引言：数据——跨境BD交易的核心标的

2025年，中国医药技术出海BD交易[1]继续加速，全年交易总金额达1,356.55亿美元，首付款约70亿美元，交易数量157起，各项指标均创历史新高。中国创新药BD交易额在全球占比首次达到49%，在规模上实现对美国的反超。[2]在数字之外，更值得关注的是交易结构上的变化。除了以单向许可为主的交易，还出现了各种方式的共同开发以及NewCo模式。[3]合作安排随之复杂化，交易各方不再只是“卖管线”，而是在更长周期内共同承担研发与商业化的不确定性。

在交易规模迅速扩张的同时，一个过去常被忽视的问题也随之紧迫起来：数据正在成为BD交易的核心标的物，在交易链条中成为更加敏感、也更容易引发风险的一环。在客体类型上，“数据”的范围可能涵盖临床试验数据、人类遗传资源信息、药学研究数据、受试者个人健康信息、研发技术秘密、中医药特有的工艺参数等等。不同数据的法律属性差异很大，并且可能出现交叉与重叠。在法律结构上，以BD交易常见的许可协议为例，需要回应数据由谁控制、可以在何种范围内使用、是否允许再利用或转移、如何承担保密义务，以及在不同法域下何时触发监管审批或申报要求。对这些问题的处理直接影响后续合作能否顺利推进。

与此同时，监管环境的不断变化使得跨法域的BD交易更具复杂性与不确定性。首先，中国人类遗传资源管理的主管机关已于2024年由科技部划转至国家卫生健康委员会，监管逻辑与执法重心正在重塑。[4]其次，美国司法部制定的《批量数据规则》已于2025年4月8日生效，[5]并将在同年7月进入全面执法阶段，对敏感数据向“受关注国家”[6]的流动设置了更直接的限制。再次，欧盟“制药一揽子方案”已于2025年12月11日达成协议，对既有药品监管框架进行系统性修订。[7]上述规则共同影响数据来源、流转、使用等环节。

在上述背景下，本文围绕创新药、生物制品及中医药出海等不同场景中的需求，从实务视角出发，漫谈医药技术跨境BD交易中的数据问题。

一、跨境交易中的数据类型与关键阶段

（一）六类核心数据的法律性质

BD交易语境下“数据”所涵盖的对象及类型存在差异，法律属性存在区别，适用的保护路径也不相同。结合交易实践，相关数据大致可分为以下六类：

第一，临床试验数据。包括新药临床试验与上市申请的申报资料、统计分析报告及中期分析结果等。此类数据一方面构成企业核心技术成果，通常以商业秘密方式加以保护；另一方面，又受到药品监管体系下数据保护期等制度的行政保护。

第二，人类遗传资源信息。主要体现为基因组数据、基因测序结果以及与特定靶点相关的生物标志物数据等。该类数据在中国法下尤为特殊，在涉及可识别个体时可能构成个人信息，同时也可能被认定为国家重要战略资源，进而适用人类遗传资源管理制度。

第三，药学研究数据。包括处方组成、生产工艺、质量控制标准等。这类数据本质上属于技术信息，可能构成专利技术的背景资料，在未公开或无法专利化的情况下则主要依赖商业秘密保护。

第四，患者个人健康数据。包括受试者生物样本信息、电子病历数据以及相关临床观察记录等。该类数据通常依法属于个人信息，且生物识别、医疗健康等信息可能被认定为敏感个人信息，适用单独同意规则、个人信息保护影响评估程序及更严格的数据安全保护义务。

第五，具有商业秘密属性的其他研发数据。主要表现为未公开的技术方案、研究方法、实验设计、失败数据以及尚未申请专利的技术成果。该类数据不依赖登记或审批取得权利，获得保护的核心路径是满足反不正当竞争法商业秘密保护所要求的秘密性、保密性与价值性。

第六，中医药数据。包括经典方剂的配伍结构、道地药材来源、质量控制经验等。这类数据的特殊性在于兼具现代技术与传统知识的双重属性，既可能构成商业秘密，在特定情形下还可能涉及非物质文化遗产或动植物遗传资源保护。不少经典方剂或工艺已有文献记载，往往难以满足专利法要求的新颖性和创造性，需要在交易中以合同形式约定相关数据的使用范围与保密义务。

（二）三个数据流通中的关键阶段

BD交易中的数据通常不会一次性完成交付，而是随着交易推进在不同阶段逐步移交并持续使用。实践中，通常可以观察到三个风险相对集中的阶段。

其一，尽职调查阶段。为完成技术评估，买方团队需要接触较为完整的研发资料和临床数据，相关信息在短时间内集中披露，泄露或不当使用的风险相应增加。卖方一般应在尽调启动前对数据进行系统梳理，并在披露时对数据范围和使用方式作出必要限制。如果不同来源数据之间存在口径差异，亦应事先说明，以减少后续争议。

其二，技术转移阶段。该阶段发生在交易文件签署之后，数据由前期的有限披露转为成体系的移交，通常伴随更为明确的合规要求。例如，涉及人类遗传资源的数据对外提供、以及数据跨境传输相关程序，往往需要在这一阶段办理或完成。[8]

其三，合作开发阶段。在持续合作安排下，数据不再是一次性交付，而是随着研发推进不断产生、共享和更新。相应地，数据合规义务需要以数据治理的形式长期落实，贯穿整个合作周期。

二、跨境交易中的规制框架与行政保护

对于企业而言，行政机关在跨境BD交易中的扮演双重角色，一方面通过相关规范性文件设定合规要求，另一方面也为相关主体提供了行政保护路径，二者共同彰显着特定法域在数据议题上的政策取向与治理风格。

（一）中国：资源主权规制与注册数据保护

中国的监管框架主要围绕资源保护、个人信息保护与国家安全保障三方面展开。《人类遗传资源管理条例》及其实施细则要求涉及中国人类遗传资源的国际合作研究须事先报告或审批，对外提供信息则须另行申报。[9]这一机制强调国家主权与数据源头控制。2024年主管机关由科技部划转至国家卫健委，执法重心亦随之向医疗场景下的数据管理倾斜。与此并行的是《个人信息保护法》《数据安全法》在跨境传输上设定的标准合同与安全评估认证，以及网信办2024年发布的《促进和规范数据跨境流动规定》引入的阈值豁免规则。[10]整体来看，这套规制框架在强化数据安全与资源主权的同时，多部门并行管理也使跨境BD交易中的数据合规问题更加复杂。

与规制相对应的是颇具特色的行政保护。随着将于2026年5月15日施行的《中华人民共和国药品管理法实施条例(2026修订)》的出台，中国药品注册环节的行政保护机制迎来重要调整：新条例取消了原《中华人民共和国药品管理法实施条例(2024修订)》第三十三条项下不超过5年的新药品种监测期制度，转由市场独占期与数据保护期两项新制度取代。根据2026条例第二十一条，国家对儿童用药品给予不超过2年的市场独占期，对符合条件的罕见病治疗用药品给予不超过7年的市场独占期；[11]第二十二条则规定,对含有新型化学成份的药品以及符合条件的其他药品，其上市许可持有人自行取得且未披露的试验数据和其他数据，自药品注册之日起享有不超过6年的保护期，他人未经许可不得利用该等数据申请药品注册。[12]通过这两项新的监管制度，中国药品注册环节的行政保护强度明显提升，在制度设计上也已向美国孤儿药市场独占期、新化学实体数据独占期等监管性保护工具靠拢。配合市场监管部门的商业秘密行政执法，[13]共同为本土企业提供了以行政手段快速制止泄密与仿冒的渠道。同时，中国亦在探索“数据二十条”[14]三权分置、数据登记制度、数据交易所等数据权利配置的规则与基础设施，未来可以作为中国药企在数据跨境交易中的又一项制度工具。

（二）美国：出口管制逻辑与强势行政保护

美国近年对数据流动的态度越来越接近其对关键技术的出口管制逻辑。2025年生效的《批量数据规则》对美国人敏感数据向“受关注国家”（包括中国）的大规模流动设置了直接限制。[15]此外，美国食品药品监督管理局针对生物标志物和基因检测数据等问题发布了多份行业指南，对相关数据在药品审批中的来源、采集方式、分析方法、质量控制等提出了具体要求。[16]并且，根据美国外国投资委员会的审查规则，外国企业涉及美国人健康数据的交易可能被认定为“涵盖交易”并触发审查。[17]

美国行政保护制度的突出特点则在于保护强度高、可执行性强。以食品药品监督管理局的数据独占期制度为例，此前未获批准活性基团的新药通常可获得5年排他期，孤儿药享有7年市场独占期，原研生物制品则享有12年保护期。[18]该等保护不以专利权的存续为前提，能够在相应期限内形成实质性的市场排他利益。337调查是另一高效路径，针对通过不正当手段获取商业秘密并生产出进入美国市场的产品，国际贸易委员会可在大约16至18个月内作出排除令，相较联邦法院动辄三至五年的审理周期要迅速得多。[19]

整体来看，美国构建了“攻守兼备”的高效行政规制体系，一方面严格限制敏感数据外流，另一方面为本土产业提供高强度救济，使美国成为医药数据领域中相当强势的监管者与保护方。

（三）欧盟：协调平衡与行为相关的独占保护

欧盟的组织制度决定其需要在成员国之间实现协调平衡。在临床研究领域，《临床试验规则》通过建立欧盟统一申报平台，整合各成员国的审批规则，从而减少多国试验中的制度摩擦。[20]GDPR则将健康数据纳入特殊类别个人数据，原则上禁止处理，仅在医疗、科研等有限情形下例外允许。[21]在跨境传输方面，中国尚未获得欧委会的充分性认定，因此相关数据向中国转移一般依赖标准合同条款与传输影响评估（TIA）。[22]

欧盟药品数据行政保护的核心仍围绕市场独占展开。2025年12月，欧盟理事会与欧洲议会就“制药一揽子方案”达成政治协议，对既有欧盟药品法作了近二十年来最系统的一次修订：现行欧盟药品法规定了“8年监管数据保护期+2年市场保护期”，符合条件时可获得额外1年的市场保护期。此次改革拟将基础市场保护期改为1年，如药品针对未满足医疗需求，或含有新活性物质且满足比较性临床试验、在多个成员国开展临床试验并在首次向欧盟外提出上市申请后90日内向欧盟申请上市等条件，可额外获得1年的市场保护期；如上市许可持有人在监管数据保护期内获批一个或多个具有显著临床获益的新治疗适应症，还可再获得1年的市场保护期。总体监管保护期限以11年为上限。[23]从制度取向看，这种将保护期限与企业研发、临床布局、申报节奏等行为挂钩的设计，体现了欧盟一贯的以监管激励创新的政策思路。

三、跨境交易中的数据风险与协议安排

（一）交易前阶段

在BD交易文件正式签署前，往往经历数月乃至数年的谈判期，保密协议/条款是该阶段数据保护的主要手段。然而，实务中保密协议/条款的质量参差不齐，大量法律风险隐藏于条款的模糊地带。

从要素上看，交易当事人首先需要关注“保密信息”的界定，需要避免在发生争议时出现范围不清的问题。对医药项目而言，除临床前数据、临床数据外，工艺参数、实验方法等未公开的技术资料往往也具较高价值，应当在条款中予以明确，而不宜依赖事后解释。其次，交易当事人在约定保密信息接收方承担保密义务的同时，还应进一步约定具体的、可执行的行为内容，例如采取不低于保护自身保密信息的保密措施、限制接触保密信息的相关人士范围、发现已泄露或泄露风险时的报告义务等。再次，建议交易当事人明确约定违反保密义务的后果，例如违约金或损害赔偿额的计算方式。

此外，部分境外药企格式合同中存在“残留信息条款”，即允许接收方人员在不使用书面资料的情况下，基于记忆保留相关信息并不承担保密义务。中国卖方在谈判中应限制其适用范围，例如仅限于非关键性信息，或明确不得用于开发竞争性产品等。

（二）许可协议签署与履行阶段

在该阶段，数据条款的设计直接决定数据提供方的权益能否得到切实保护。

首先是数据归属的划分。实践中通常区分三类：一是交易前已形成的数据，分别归各自一方所有；二是合作过程中由单方独立产生的数据，原则上归该方所有；三是合作开发过程中形成的数据，如联合临床数据等，则权属需单独约定。如果仅约定“共同所有”而缺乏具体规则，比如是否允许单方独立使用、对外许可是否需对方同意等，在合作后期往往容易引发纠纷，可能直接影响双方后续能否独立使用这些数据开展竞争性项目。

其次是数据标准与付款条件的衔接。临床阶段的里程碑付款通常以试验结果或数据达标为触发条件，但“达标”的判断依赖于具体技术口径，采用何种统计方法、分析集范围及显著性标准，都会影响结果认定。如果合同中未予明确，执行时容易出现理解分歧，进而影响付款节奏。

最后是合作终止后的数据安排。实务中常见的问题包括，已向对方提供的数据是否需要返还或删除，合作期间形成的数据由谁继续使用，以及已用于申报的资料如何处理等。若合同未作约定，一旦合作提前终止，相关问题往往难以通过一般条款解决。

（三）NewCo架构下的数据风险

在NewCo模式下，例如中国药企将境外权益授予一家新设公司，相关数据也随之在多个主体之间流转，包括技术提供方、NewCo及其后续投资方等。交易链条的拉长，使数据接触范围扩大，管理难度也相应上升。实践中，技术提供方与NewCo之间的技术许可协议极其容易滋生风险。

在NewCo架构设计上，首先需要明确数据权属与使用权的区分。通常做法是由技术提供方保留数据所有权，NewCo仅在约定范围内取得使用权，以避免因股权变动导致数据权属一并转移。其次，应当对重大情形作出安排。例如，在NewCo发生控制权变更、重大资产处置或进入清算程序时，技术提供方是否可以终止许可、要求返还或删除数据。再次，需要限制数据的再利用方式。常见风险包括将数据用于约定范围之外的研发、对外转许可，或在融资中作为重要资产对外披露。

此外，在涉及人类遗传资源的项目中，NewCo架构可能带来额外的合规问题。尽管其为境外设立公司，但其是否属于人类遗传资源管理规则中的“外方单位”，通常需要穿透股权与实际控制权认定。较为稳妥的做法，是在项目启动前与主管部门进行沟通或确认，以降低后续不确定性。

四、跨境交易中的类型化权益与个案保护

（一）商业秘密：BD交易中的兜底保护路径

在我国，尽管“数据二十条”以及目前正在征求意见的《数据产权登记工作指引（试行）》提出了数据持有权、使用权和经营权的分类思路，但其思路更多是将法律和市场的焦点从“数据归谁所有”这一难题，转移到“谁可以在何种条件下使用数据并获益”这一更具操作性的问题上，旨在为激活数据要素的流通和利用扫清制度障碍，在促进数据流动与价值释放的同时，有效平衡多方利益。

美国在商业秘密保护上提供了较为完备的联邦层面救济，根据2016年施行的《保护商业秘密法》，只要被告的行为与美国存在“实质性关联”，如中国药企相关数据被用于在美开展研发、申报或销售，就可能落入该法管辖范围。在中国法下，《反不正当竞争法》确立了商业秘密保护的基本规则。笔者认为，相关主体可将商业秘密作为数据的权益载体，在BD交易可能涉及的尽职调查、技术人员流动、合作开发、反向工程等事项中，对相关数据进行兜底性保护。在医药领域，企业也往往将商业秘密作为专利之外的主要保护手段。针对临床试验数据、研发过程资料及工艺参数等信息，在未公开或不适合申请专利的情况下，企业通常将其纳入商业秘密体系进行保护。根据我国当前司法实践，法院结合数据属性与交易结构、保密强度和竞争样态，逐步形成了有层次、有衔接的“商业秘密、类商业秘密、著作权及竞争秩序保护体系”。

（二）BD项目后续争议与仲裁实务

随着交易量的不断增加，医药BD项目在进入临床推进和商业化阶段后的纠纷也逐渐增多。根据笔者经验，有几类争议值得持续关注：一是合规义务履行问题，例如特定审批或报告程序未完成，是否构成违约；二是数据完整性争议，尤其在多中心试验中，各试验点数据差异可能影响整体结论；三是临床结果未达到约定标准，是否触发里程碑付款或对价调整。实践中已有案例表明，在前期已支付首付款并约定独家商业化权益的情况下，如后续研发进展未达预期，一方尝试以项目失败或进度不及预期为由主张返还对价，但在合同未对相关情形作出明确约定时，该类请求未被仲裁支持。

在实践中，仲裁地的选择很可能影响相关数据证据的调取。如果选择香港或新加坡作为仲裁地，在涉及中国内地当事人时，可依托《海牙取证公约》框架申请境外证据协助，亦可借助司法协助机制对内地证据进行保全，在证据衔接方面较为便利；涉及欧美对手方的案件中，国际商会国际仲裁院（ICC）在证据开示和专家证人程序方面较为成熟。因此，可以结合具体案情权衡仲裁地的选择问题。

此外，在数据争议的相关程序中，临时措施的紧迫性尤为突出。仲裁启动时，如存在证据被删除或转移至管辖区外的风险，当事人需要尽早向有管辖权的法院申请证据保全或类似措施。部分仲裁规则下还可通过紧急仲裁员机制，在仲裁庭组成前申请临时救济，以防止关键数据灭失。

最后，在涉及复杂技术问题的数据案件中，专家证人的选择可能会决定案件的走向。例如，临床生物统计专家就数据解读方法的作证、监管事务专家对数据合规标准的解释，是数据完整性争议中的关键证据。中医药BD纠纷中，还需要能就中医证候数据有效性进行作证的中医临床专家，而该类资源在国际仲裁中高度稀缺，需要加以储备。

五、针对跨境交易前中后期的几点提示

（一）交易前：数据资产评估与合规尽调

在BD交易之初，通常需要律师辅助企业完成数据资产的全面清查与合规评估，包括：

1、梳理出海数据资产清单，将拟纳入交易的数据按数据类型、敏感级别、监管属性等维度分类整理，明确哪些数据可以进入尽调范围，哪些需要限制披露。

2、核查既有数据的申报义务与合规情况，重点看数据在收集、使用以及对外合作过程中，是否具备相应的授权或审批基础。

3、对买方开展数据安全合规的反向尽调，在公开信息范围内了解其过往的数据管理和合规记录，以判断在尽调阶段是否需要收紧披露范围或增加额外保护措施。

（二）交易中：数据条款的关键安排

进入谈判阶段后，数据相关条款通常需要重点处理如下几项核心事宜：

1、区分数据的产生阶段、产生主体、技术领域等，分别约定权利归属。

2、约定数据的使用范围，例如是否仅限于本项目研发，是否可以用于其他适应症或后续产品，以及使用的地域和期限。

3、约定数据的使用权性质，例如是否为独占使用，是否限制对方开展竞争性项目。

4、约定可操作性的数据返还条款，包括如何删除数据及其载体，是否可以在有限范围内继续使用，已用于申报的资料如何处理等。

5、约定数据是否达标、是否满足里程碑条件等问题的判断标准或解决机制。

（三）交易后：持续合规运营机制

不少企业在交易签约完成后即放松对数据合规与保护的关注，但在跨境合作中，数据使用和流转往往是持续发生的，相应义务履行也需要长期跟进。实践中可以重点建立以下几项机制：

1、数据监控与审计机制。可以建立数据访问日志，记录每次数据跨境传输的时间、人员、传输量与目的。

2、数据泄露应急响应机制。可以设置安全事件响应机制，提前明确内部响应流程和责任人，确保一旦发生数据泄露，能够在各法域规定的通报时限内完成响应。

3、定期合规审查机制。在持续合作中，数据使用方式可能随着项目推进发生变化，也可能受到新规影响。可以在协议中约定定期开展合规审查，尽早发现问题，而不是在监管介入或争议发生时被动应对。

结 语

数据既是企业资产，也是中国医药技术走向全球过程中重要的主权命题。在千亿美元级别的年度交易规模背后，不论创新药还是中医药领域，不论是数据保护、合规管理还是跨境争议解决，都是中国医药产业走向国际化过程中不可回避的核心问题。近年来，各主要法域对数据流动的监管持续细化，规则体系日趋清晰，但合规要求也相应加码。对企业而言，不仅需要逐项落实合规义务，还需要重视不同规则下义务的统筹衔接，避免因程序衔接不当影响交易进度。决定项目成败的，往往已不只是技术本身，也包括数据能否被合法取得、持续使用并顺利转化。只有当创新成果与规则体系能够真正对接，知识产权的价值才不会停留于纸面，创新的商业价值才可能被真正实现。

[注]

[1] 此处“中国医药技术出海BD交易”指中国制药企业或生物技术公司将其自主研发的药物分子、技术平台、专利授权或联合开发权益授权给海外企业，收取首付款、里程碑付款及销售分成等。典型模式包括License-out、合作开发、资产转让等。

[2] 参见医药魔方NextPharma®数据库《2025年中国创新药BD出海年度报告》, 2026年1月发布。

[3] NewCo模式是一种新兴的医药交易模式，由药企与资本方合作成立一个新的公司（NewCo），药企将某些特定的药物管线授权给这个新公司，不仅能获得授权费用，还能通过持有NewCo股权分享未来收益，其核心是将部分临床阶段资产装入海外新实体，使其成为中国药企在海外的延伸。

[4] 参见2024年4月25日科技部《关于人类遗传资源管理工作由科学技术部负责调整为国家卫生健康委员会负责的公告》。

[5] Department of Justice, "Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons", 28 C.F.R. Part 202, effective April 8, 2025.

[6] 目前为中国、俄罗斯、伊朗、古巴、朝鲜和委内瑞拉。

[7] European Parliament Press Release, "Deal on comprehensive reform of EU pharmaceutical legislation", 11 December 2025.

[8] 参见2023年《人类遗传资源管理条例实施细则》，第36条。

[9] 参见2024年《中华人民共和国人类遗传资源管理条例》，第36至45条。

[10] 参见2021年《中华人民共和国个人信息保护法》第38-43条；2021年《中华人民共和国数据安全法》第27-36条；2024年《促进和规范数据跨境流动规定》第3-6条。

[11] 参见2026年《中华人民共和国药品管理法实施条例(2026修订)》，第21条。在2026年5月15日施行前，过渡期内仍适用2024修订版第33条，新药品种监测期不超过5年的规定。

[12] 参见2026年《中华人民共和国药品管理法实施条例(2026修订)》第二十二条。

[13] 参见2025年《中华人民共和国反不正当竞争法》第10条。

[14] 参见2022年中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》，简称“数据二十条”。

[15] U.S. Department of Justice, Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons, Jan. 8, 2025.

[16] U.S. Food and Drug Administration, E18 Genomic Sampling and Management of Genomic Data Guidance for Industry, Sept. 2018; Clinical Pharmacogenomics: Premarket Evaluation in Early-Phase Clinical Studies and Recommendations for Labeling, Apr. 2013; Developing and Labeling In Vitro Companion Diagnostic Devices for a Specific Group of Oncology Therapeutic Products, Apr. 2018; Pharmacogenomic Data Submissions, Mar. 2023.

[17] U.S. Department of the Treasury, Regulations Pertaining to Certain Investments in the United States by Foreign Persons, 31 C.F.R. § 800.241(a)(1)(ii)(D), § 800.241(a)(2), § 800.303.

[18] U.S. Congress, Federal Food, Drug, and Cosmetic Act, 21 U.S.C. § 355(j)(5)(F)(ii); Orphan Drug Act, 21 U.S.C. § 360cc(a); Public Health Service Act, 42 U.S.C. § 262(k)(7)(A); Tariff Act of 1930, 19 U.S.C. § 1337.

[19] U.S. International Trade Commission, About Section 337, Apr. 21, 2026; U.S. International Trade Commission, Section 337 Statistics: Average Length of Investigations.

[20] European Parliament and Council, Regulation (EU) No 536/2014, Article 80, Article 81, Apr. 16, 2014; European Commission, Clinical trials - Regulation EU No 536/2014.

[21] European Parliament and Council, Regulation (EU) 2016/679, Article 9(1), Article 9(2), Apr. 27, 2016.

[22] 截至本文写作之时,中国尚未获得欧委会依据GDPR第45条作出的充分性认定。参见欧委会现行充分性决定列表: European Parliament and Council, Regulation (EU) 2016/679, Article 45, Article 46, Apr. 27, 2016; European Commission, Data protection adequacy for non-EU countries.

[23] European Council, “Pharma package: Council and Parliament reach a deal on new rules for a fairer and more competitive EU pharmaceutical sector”, Dec. 11, 2025; European Parliament, “Background note: pharmaceutical package provisional agreement elements”, Dec. 11, 2025.