近年来,跨境药品许可交易(License-in/out)呈现出明显的井喷式增长,已成为医药及生物科技企业实现产品价值变现、拓展赛道布局或加速商业化的重要路径。尤其是在License-out(对外许可)交易方面,无论是交易数量还是交易金额均屡创新高,行业热度持续攀升。
然而,伴随交易规模和复杂度的不断提升,相关合规问题也日益凸显,成为影响项目顺利推进的隐患。在许可交易实践中,外部观察者往往仅关注首付款、里程碑付款或交易总金额等“表面指标”;即便是直接参与项目的BD团队和相关从业人员,也多将注意力集中于许可协议谈判及交易结构设计等环节,而对交易涉及的数据合规监管等关键问题缺乏系统性认知与足够重视。这一认知偏差在当前监管环境趋严的背景下,可能进一步放大潜在的合规风险,为交易完成后的执行阶段埋下潜在风险。其中,个人信息跨境传输作为数据合规的核心环节,受到监管部门的高度关注,成为许可交易中不可忽视的合规要点。
本文结合我们在多个跨境药品许可交易中的实务经验,聚焦个人信息出境的常见问题,旨在为药企BD、法务及项目执行团队提供一份实用的合规参考。
一、个人信息出境的典型场景
在药品许可交易中,不管是License-in还是License-out项目,许可方与被许可方之间均涉及频繁的数据交互。在License-out项目中,境内企业作为许可方通常需要向境外被许可方提供临床试验数据以及不良反应事件数据等,以支持其后续临床试验、注册申报或履行当地不良反应事件报告义务。而License-in项目在交易模式上属于反向操作,对于境内被许可方而言,数据出境场景和类型相对有限,但境内企业作为被许可方仍需向境外传输境内受试者的不良反应事件相关信息。
无论何种场景,境内企业作为《个人信息保护法》项下的个人信息处理者,均需遵守个人信息出境合规要求,与境外合作方之间的数据交换一旦处理不当,极易引发的合规风险。
二、个人信息出境常见问题
(一) 编码的受试者信息是否仍属于“个人信息”?
在药物临床试验实践中,临床试验机构依据《药物临床试验质量管理规范》要求为受试者分配专属鉴认代码,以代码替代姓名报送试验数据,申办方仅可获取经编码处理的受试者信息,无法直接识别受试者身份。正因如此,在药品许可交易项目中,我们经常被问到一个问题:这类编码信息,是否仍属于《个人信息保护法》中的“个人信息”?
从法律定义来看,《个人信息保护法》将“个人信息”界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包含匿名化处理后的信息”[1]。尽管申办方无法通过编码数据直接识别受试者,但临床试验机构留存可与编码关联的受试者真实身份源数据,理论上可以通过关联实现身份还原。这意味着,这类信息仅属于法律意义上的“去标识化”[2]信息而非“匿名化”[3]信息。去标识化信息可以识别特定个人,因此仍然属于个人信息。此外,由于临床试验通常涉及受试者的医疗健康信息,该等信息又进一步构成了《个人信息保护法》下定义的“敏感个人信息”,一旦泄露或者被非法使用,将导致受试者的人格尊严受到侵害或者人身、财产安全受到危害。
此外,近年来多个自贸试验区陆续发布数据出境负面清单,其中北京、江苏、福建等自贸区的负面清单[4]明确将临床试验和药物研发中的受试者信息纳入个人信息的监管范围。这也进一步表明,监管机构普遍将此类信息视为个人信息。
(二) 个人信息出境应遵守哪种监管路径?
《个人信息保护法》及配套法规建立了三类主要的个人信息出境合规路径,具体如下:
2024年3月22日,国家网信办发布《促进和规范数据跨境流动规定》,进一步细化并优化了数据跨境管理机制,明确提出若干豁免适用情形[6],并提出自贸试验区可根据本地实际制定数据出境负面清单,探索更加灵活的监管模式。尽管前述规定释放出鼓励数据有序流动的积极信号,但在药品许可交易场景下,由于出境数据涉及受试者的敏感个人信息,且数据用途明确指向商业化开发相关目的,通常难以适用豁免条款。
结合我们服务Biotech企业的实践经验来看,大多数中小型创新药企通常不属于“关键信息基础设施运营者”,且其全年出境的个人信息总量一般未达到安全评估门槛。同时,当前采用认证路径的企业较少。因此,标准合同备案通常是当前最为普遍且可行的合规路径。
(三) 签署标准合同就万事大吉了吗?
答案是否定的。签署出境标准合同仅是备案流程中的一个环节。为顺利通过备案并满足监管要求,企业需系统性开展一系列配套工作,包括开展个人信息保护影响评估(“PIA”)、更新知情同意书(“ICF”)等。若忽视这些关键步骤,即便标准合同已签署,仍可能因材料不完整或不符合监管要求,导致备案被驳回,甚至引发后续合规风险。本章节将简要介绍备案过程中三项核心工作 — PIA的实施、ICF的更新以及标准合同的规范填写。
1.如何开展PIA?
根据《个人信息保护法》,个人信息处理者在向境外提供个人信息前,应当开展PIA并形成书面评估报告[7],该报告是备案材料中的核心文件之一。
《个人信息出境标准合同办法》进一步细化了PIA的重点评估内容,主要包括以下五个方面[8]:
个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响。
此外,国家网信办发布的《个人信息出境标准合同备案指南(第二版)》提供了PIA报告模板,明确要求企业严格按照模板起草。实践中,地方网信部门在备案流程中会仔细审核报告内容,因此企业应确保评估过程真实、完整,结论有据可依。
2.为何要更新ICF?
在药物临床试验中,“个人同意”通常是处理受试者个人信息的合法性基础。基于该等实操背景,根据《个人信息保护法》,企业向境外合作方提供受试者个人信息的,应当向受试者告知境外合作方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及受试者向境外合作方行使相关权利的方式和程序等事项,并进一步取得受试者的单独同意[9]。
在标准合同备案实践中,各地网信部门通常会要求企业提交更新后的ICF模板或签署样本,以核实上述义务是否已有效落实。因此,企业在筹备标准合同备案工作时,还应当对ICF内容开展合规自查,确保其中对受试者的告知与同意条款符合《个人信息保护法》相关要求。
3.标准合同如何填写?
标准合同为官方制式文本,其正文条款不得修改,网信办仅允许在指定空白处填写相关内容,并完成两个附录的填报。其中附录一《个人信息出境说明》是填写的重点,企业需逐项明确披露处理目的、处理方式、出境规模、出境信息种类、境外再传输情况、跨境传输方式,以及信息出境后的保存期限与保存地点等关键信息。上述所有内容需与PIA报告中的表述严格保持一致。此外,若合同双方就出境有其他个性化约定,可在附录二中补充说明,但补充内容不得与标准合同的核心条款相抵触。
(四) 如何进行标准合同备案?
标准合同备案本质为事后备案。按照《个人信息出境标准合同办法》,企业在标准合同生效后即可开展个人信息出境活动,但须在标准合同生效后的10个工作日内,向所在地省级网信办提交备案材料[10]。前述材料包括签署版标准合同、PIA报告、ICF模板或签署样本以及其他制式文件(例如承诺书、经办人授权委托书等)。
值得注意的是,备案虽为事后程序,但我们非常建议项目各方将实际准备工作做前置安排。特别是在药品许可交易中,双方通常会在许可协议中明确约定技术资料(包括临床试验数据、不良反应事件数据等)的交付时间节点(例如,许可协议生效后30日内)。而PIA的开展、ICF的更新、标准合同的协商与签署等环节均需一定周期,若未提前规划,极易导致合规流程滞后,进而影响整体交易进度。
(五) 未依法备案的法律后果有哪些?
若未依法合规履行标准合同备案义务,或违反其他适用的个人信息跨境监管要求,企业将承担《个人信息保护法》项下的法律责任,包括但不限于责令改正、警告、没收违法所得、责令暂停或者终止业务,甚至吊销业务许可或营业执照。此外,监管机构还可对企业处以最高5,000万元以下或者上一年度营业额5%的罚款,对直接负责的主管人员和其他直接责任人员处以最高100万元的罚款并禁止其在一定期限内担任企业特定岗位[11]。
值得注意的是,网信部门对个人信息出境活动的监管力度正持续加码。以上海网信办为例,其在年初发布的2025年度执法典型案例中,已将“违法违规跨境传输个人信息”列为重点通报的违法类型[12]。除行政处罚外,此类公开通报还可能对企业声誉造成实质性影响。
此外,药品许可交易中,境外合作方通常会在许可协议中明确约定中方需遵守包括数据出境合规在内的各项法定要求,并设置相应的陈述与保证、承诺、终止及违约责任条款。若企业未能遵照执行,除面临前述行政处罚外,还可能构成对合同义务的违反,进而被境外合作方追究违约责任,如要求赔偿损失、暂停付款、甚至终止合作等。这不仅会影响具体项目的推进,还可能对企业的国际形象和未来合作机会产生长期负面影响。
药品许可交易作为企业拓展市场、增强创新竞争力的关键,其商业价值备受瞩目。在这一过程中,个人信息出境这一“隐秘角落”虽非核心议题,却是影响项目进度与合规安全的关键环节。对于药企的BD、法务及项目执行团队而言,数据合规不应是交割前的“应急补丁”,而应是交易早期就必须纳入考量的“前置动作”。我们建议在项目初期(最迟不晚于许可协议谈判启动之时),即系统评估个人信息出境的合规需求,并将其列入关键事项清单。唯有将合规嵌入交易流程的起点,才能真正实现交易的平稳落地。
