5月16日，上海临港新片区管委会发布《中国（上海）自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单（试行）》（“《生物医药一般数据清单》"），为生物医药企业在临床试验和研究、药物警戒、医学问询与产品投诉、供应商管理等场景下的数据跨境流动提供便利。《生物医药一般数据清单》范围内数据在完成备案后可实现自由出境流动。五大场景、30项数据类别覆盖生物医药企业日常经营数据出境需求，明确去标识化技术对受试者个人信息保护效果，不再一概将患者健康医疗数据纳入敏感个人信息监管范畴。笔者尝试从适用场景和实操指引进行解读。

一、出境数据适用场景及类型

《生物医药一般数据清单》是《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》（“《数据跨境流动办法》"）在生物医药行业得以落地的配套措施。《生物医药一般数据清单》适用于在中国（上海）自由贸易试验区及临港新片区内登记注册的，且在临港新片区开展数据跨境流动相关活动的从事研发、生产和销售与生物医学、医药学相关的药品、医疗器械、诊断试剂、生物制剂和相关服务的企业、事业单位、机构协会和组织等数据处理者（“数据处理者"），但不适用于生物医药领域关键信息基础设施运营者。目前如何界定在临港新片区开展数据跨境流动相关活动，尚需主管部门进一步解释说明，但笔者认为数据出境的关键行为须发生在临港新片区范围内，即境内运营中收集和产生的数据/个人信息传输至境外，或是允许境外接收方查询、调取、下载、导出存储于境内的数据/个人信息的活动应当发生在临港新片区。

（一）临床试验和研发场景

1. 场景描述

注册临床试验或临床研究，例如，MRCT中将受试者的临床试验数据、生物样本信息等传输到参与试验的其他国家和地区或是中心实验室，以便进行统一的数据分析、研究和统计。国际合作研发和AI药物研发，例如，不同国家或地区的合作伙伴共同进行药物研发或多个医学中心合作研究某种新技术或者新疗法时，可能会共享研究数据、实验结果、化合物库信息等。为了改进药物研发效率，境外创新药企可能利用境内临床数据集训练靶点发现引擎等。

2. 符合条件下自由出境数据类型

临床试验和研发场景下的去标识化受试者的个人基本资料和健康生理信息，以及研究者的个人基本资料和教育工作信息。例如，药品药械临床试验涉及的受试者去标识化的个人基本资料，如受试者鉴认代码、年龄、性别等；或是受试者的健康生理信息，如受试者入选/排除标准、用药记录等。

3. 关注人类遗传资源和数据跨境流动的双重监管

如果某国际合作项目同时触发人类遗传资源监管和数据出境安全监管，则该项目应同时、分别申报相应的人类遗传资源审批/备案/事先报告、数据出境前置审批/备案程序。

具体而言，数据处理者对外传输的数据涉及人类遗传资源信息的，数据处理者应当按照《人类遗传资源管理条例》规定，向国务院卫生健康主管部门事先报告并提交信息备份。可能影响我国公众健康、国家安全和社会公共利益的，应当通过国务院卫生健康主管部门组织的安全审查。已取得行政许可的国际科学研究合作或者已完成备案的国际合作临床试验实施过程中，中方单位向外方单位提供合作产生的人类遗传资源信息的，如国际合作协议中已约定由合作双方使用，不需要单独事先报告和提交信息备份。

（二）药物警戒和医疗器械不良事件监测场景

1. 场景描述

药物警戒和医疗器械不良事件监测是药械企业参与国际市场的法定义务。对于境内外均上市的药品或医疗器械，通常跨国药械企业作为持有人需要搭建全球药物警戒和不良事件监测体系，收集在各国发生的疑似药品或医疗器械的不良反应信息，监测、识别、评估和控制相关的不良反应情况，并将其统一汇总至集团总部进行分析和处理。

2. 符合条件下自由出境数据类型

药物警戒和医疗器械不良事件监测场景下的去标识化的患者个人基本资料、患者基础生理状况信息、患者用药记录、患者不良反应信息、去标识化报告人的个人基本资料、事件总结描述等，传输范围涵盖了安全监测和评价所必需的数据类型，但上述跨境数据的使用范围仅限用于安全性评价目的。

（三）医学问询场景

1. 场景描述

跨国药械企业在日常经营中需要依托全球医学专家资源，有效解答公众疑问，通过全球平台开展医学支持，用全球视野和资源为患者提供更专业、高效的服务，也为国内医学专家与国际同行开展学术交流创造条件。这些过程中涉及跨境流动相关的医学问询数据。

2. 符合条件下自由出境数据类型

包括去标识化问询人的个人基本资料、工作信息（如为医疗卫生专业人士）以及问询信息记录。例如，如问询人代码、性别、是否为医疗卫生专业人士等，或是问询时间、问询记录及内容等。

（四）产品投诉场景

1. 场景描述

跨国药械企业需要准确、及时、高效地解决有关产品投诉的质量问题和退换货要求等，提升企业全球客户服务水平和品牌形象，这些过程需要跨境流动产品投诉数据。

2. 符合条件下自由出境数据类型

包括去标识化投诉人的个人基本资料、工作信息（如为医疗卫生专业人士）、投诉过程中主动提供的患者去标识化个人基本资料，以及投诉信息记录和汇总信息。

（五）商业合作伙伴管理场景

1. 场景描述

跨国药械企业需要管理全球供应链，包括原材料采购、生产、物流、经销等，实现数字化的采购、销售管理，这些过程中可能会跨境传输供应商和分销商的数据。

2. 符合条件下自由出境数据类型

包括组织商业合作伙伴的背景信息、建档信息、合同管理信息、支付信息、联系人信息、关键项目成员信息、高管信息，以及个人商业合作伙伴的个人基本资料、工作信息、银行账户信息和资质信息。

二、数据出境备案指引

生物医药企业作为数据处理者，对在《生物医药一般数据清单》内的数据，可向临港新片区管委会申请登记备案，并在满足相关管理要求下自由流动。《生物医药一般数据清单》中涉及个人信息的，数据处理者应满足自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的条件。

根据《中国（上海）自由贸易试验区临港新片区数据跨境流动一般数据清单操作指南（试行）》的有关规定，数据处理者适用《生物医药一般数据清单》包含以下三个环节：

（一）事前备案审核程序

1. 准备申报

数据处理者准备好完备的数据跨境申报材料，主要包括企业统一社会信用代码证件、法定代表人身份证件、经办人身份证件、经办人授权委托书、自律合规承诺书、备案申请表、拟出境场景和拟出境一般数据情况说明、与境外接收方拟订立的数据出境相关合同等。

2. 综合评估

（1）风险自评估：可以委托第三方专业机构对数据处理者进行尽职调查，协助开展PIA（个人信息保护影响评估，Privacy Impact Assessment），再由数据处理者完成合规性自查和风险评估整改。

（2）申请综合评估：完成自评估及整改后，数据处理者可向主管部门提交数据跨境综合评估申请材料；主管部门组织法律、信息安全等领域专家对申报方案进行评估，评估意见将作为备案审核参考。

3. 备案申请

（1）提交备案申请：综合评估通过后，数据处理者正式提交数据跨境备案登记申请。将电子材料提交至“临港新片区数据便捷流通公共服务管理平台"（https://sjkj.lingang.gov.cn/）。

（2）等待审核结果：主管部门组织多部门联合审核备案申请，确保各监管要求都得到落实。联合审核完成，向数据处理者告知审核结果，颁发备案证明。成功备案后，有效期是一年。

（二）事中传输存证程序

数据跨境备案申请获批后，数据处理者可以利用临港新片区“数据存证监管一体化平台"按备案的传输计划对外发送数据。在此过程中，将对传输数据生成唯一哈希值，作为数据指纹传输至存证平台。数据通过备案的安全通道进行跨境传输，全程受控，避免出现实际传输与事先备案不一致的情况。

（三）事后监管抽查阶段

根据《数据跨境流动办法》第十六条的有关规定，临港新片区管委会负责对数据处理者的数据跨境活动进行日常监督检查以及抽查，数据处理者应予以积极配合。

据了解，监管部门通过发起抽查、现场检查等方式，重点核查数据跨境活动与事前备案的一致性。若数据处理者在数据跨境流动过程中未严格履行相关承诺，或出现其他违规行为的，监管部门形成书面的违规情节认定意见后，可立即暂停或终止数据跨境流动。数据处理者需继续开展数据跨境流动的，应按照要求整改，整改完成后重新备案。

三、数据出境工作方案

根据我们从临港新片区数据跨境服务中心了解到的信息，目前企业适用《生物医药一般数据清单》均采取“一事一议"的方式，监管部门会根据企业实际情况制定个性化的数据跨境流通方案。《生物医药一般数据清单》的出台为特定区域内医药企业数据跨境活动进行“松绑"，但其并未免除企业应尽法定义务。结合笔者团队的项目经验，在申请数据跨境备案之前，建议生物医药企业在律师等专业力量的协助下积极采取以下应对措施：一是判断集团公司内部承担数据处理者职责的主体是否属于《生物医药一般数据清单》的适用范围，如不属于，可考虑通过在临港新片区新设主体、业务移转和建立业务连结等方式解决。二是尽早开展个人信息保护影响评估（“PIA"），梳理及识别数据跨境场景、对数据链路进行梳理并分析合规差距、完成合规整改。三是关注源数据合规，针对个人信息主体履行告知、取得单独同意等前置义务。