自2023年全国医药领域腐败问题集中整治以来，中国医药合规的评价标准已从形式合规转向实质合规。与此同时，医药企业的营销活动正在快速向数字化迁移，由此产生了一系列新的合规场景：医生在短视频平台发布疾病科普内容并接受企业资助，药企与互联网医院合作搭建患者服务闭环，第三方数据服务商为企业提供患者画像与精准触达工具，AI工具被用于患教内容生成和人群分层。这些场景并非处于监管真空，而是同时落在反商业贿赂、广告监管、互联网医疗、个人信息保护、算法治理与数据出境等多重规则的交叉地带。然而，大多数企业内部尚无任何一个部门能够完整地审视这张风险全景图。本文围绕上述核心场景，梳理相关监管规则与执法动态，分析各场景中的主要合规风险，并就企业的应对方向提出框架性思考。

一、传统营销路径的制度性终结

2018年国家医疗保障局组建后，药品目录、支付标准、招采和价格治理归入同一套机构逻辑。2019年至2021年，带量集采从试点走向常态化，药价空间被制度性压缩。2023年夏天，十部门联合整治医药腐败，并在此后的年度纠风工作中持续推进。2025年初施行的《医药企业防范商业贿赂风险合规指引》，将学术拜访、咨询、外包、赞助等九类场景纳入风险识别框架。2026年5月1日施行的“两高”司法解释，则进一步细化了贿赂犯罪的穿透式认定标准。

上述变化叠加在一起，传递的信号是行政监管、招采管理和刑事追诉三条线，正在共同要求企业证明其合规体系在实际运行，而非仅存在于制度文本中。某跨国药企案的警示意义至今仍在延续，法院对该单位判处罚金30亿元，追究的并非个别代表的行为，而是从销售压力到预算结构再到全国推广的完整公司治理链条。近年市场监管系统发布的商业贿赂典型案例同样印证了这一方向：监管识别的重点已不再局限于费用的名目，而是深入交易结构与利益流向。

传统的带金销售、高额讲课费、会议赞助驱动处方增量模式在DRG/DIP支付改革和集采常态化的双重挤压下，已越来越难与医院端的管理逻辑兼容。这是制度层面的结构性变化，而非短期执法波动。企业的商业化需求并未因此消失，数字化营销由此成为多数企业正在探索的方向。然而，相当数量的企业将其简单视为传统营销的线上替代，其尚未充分认识到新路径上的监管密度同样很高，且合规复杂度有过之而无不及。

二、数字化营销的监管现实

当前医药企业的数字化营销实质上已形成清晰链路，内容平台承载注意力，互联网医院承接咨询，DTP和线上医保完成交易，第三方服务商整合数据，AI工具负责内容生成和人群分层。每一环节都具有合理的商业逻辑，但也都可能在监管审视下被重新定性为广告、导流、商业贿赂或个人信息违规处理行为。

2025年四部门联合印发的“自媒体”医疗科普通知，要求平台核验医生执业资质、展示MCN签约信息，严禁变相广告。同年发布的《医务人员互联网健康科普负面行为清单》将导流、直播带货、泄露患者信息等行为明确列出。上海浦东新区2024年发布的《生物医药数字化运营合规发展指南》，亦在尝试将药企、医生、患者、平台和数据纳入同一套治理语言。更准确的判断是：规则并不缺，缺的是对具体业务场景做跨规则定性的能力，而这恰恰是大多数企业的合规职能尚未系统建立的能力。

三、患者数据获取与平台建设的合规风险

1. 处理目的

患者数据领域的风险具有一个共同特征：企业在启动项目时对数据的定性往往是“服务数据”，但随着业务推进，数据的实际用途逐渐滑向营销，而患者端的授权文本和伦理依据并未随之调整。《个人信息保护法》将健康信息列为敏感个人信息，要求取得信息主体的单独同意；《人口健康信息管理办法（试行）》要求医疗机构在采集人口健康信息时遵循“一数一源、最少够用”原则，药企在与医院合作获取数据时须确保数据采集符合上述法定要求；涉及人的研究还受伦理审查约束。法律并未完全禁止企业接触患者，但企业一旦接触患者，其数据处理目的、处理者身份、敏感信息属性、伦理基础和跨境路径将同步浮现。

2. 各渠道的具体风险

药企与医院合作获取电子病历或HIS数据时，核心问题在于企业获取的究竟是匿名研究样本还是可追溯到个人的诊疗数据。如属后者，其授权来自何处？医疗机构是否有权单方面向药企提供？现行规定对电子病历的查阅设有严格的身份限制，非直接参与诊疗或质量控制的人员不得擅自查阅。企业不宜简单认为“签署合作协议即解决授权问题”，即合作协议不能替代患者层面的知情同意和伦理审查。

通过互联网医院获取的咨询数据，争议点在于患者预期用途与数据实际用途之间的偏差。患者的合理预期是其咨询记录仅用于诊疗服务，而非用于商业分层或患者发现。互联网诊疗规则、个人信息保护规则和平台协议在此形成多层约束，但企业在设计合作方案时往往仅关注其中一层。

通过患者社区和患者组织收集的自报数据，需要回答的是患者组织在数据链条中的角色，是提供公益服务，还是事实上进行数据采集？患者加入社区的初衷是获取疾病信息和同伴支持，但如果其病程描述、用药反馈和生活质量评分最终流入药企的商业化数据库，中间的授权链条是否经得起审视？

DTP药房购药记录的问题更为微妙。药房在交付履约阶段处理购药数据属于必要行为，但一旦延伸至续方提醒、依从性管理或风险分层，处理目的即已发生实质性变化。此时药房究竟是在为患者提供药事服务，还是在为药企提供营销线索？这一角色转换往往未被任何一方明确意识到，也未体现在任何一份协议的条款中。而在监管越来越强调“穿透审查”的背景下，这种模糊空间还能持续多久？

3. 罕见病与专科领域的特殊考量

在罕见病和专科疾病领域，上述问题的尖锐程度进一步上升。罕见病患者数量少、数据辨识度高、个体信息的商业价值与隐私风险同步放大。“患者发现”（patient finding）是商业化团队的刚性需求，亦是合规红线的密集区。企业如希望合规地建立患者发现机制，需在项目架构阶段即厘清以下事项：处理目的的准确界定，所依赖信息的敏感等级，同意方式与伦理审查的匹配关系，以及后续数据是否涉及出境或模型训练。上述事项均不宜在项目上线后再行补救。

4. 平台架构与责任

药企建设患者管理平台（PSP、随访系统、疾病管理App）时，最需厘清的并非技术选型，而是哪种架构能使责任最为可追溯。谁是个人信息处理者？合作终止后数据如何处置？患者端授权文本与后台数据流是否一致？2025年生效的《个人信息保护合规审计管理办法》已将“可审计性”推至前台，监管不仅审视企业是否具有规则，还将审视规则与实际操作之间是否存在偏差。

药企与科技公司共建平台时，法律上的角色界定决定了整个项目的合规架构。共同决定处理目的和方式的，构成共同个人信息处理者；仅按指令提供技术支持的，属于受托处理者。两种结构下，告知义务、合同条款、出境路径和事故责任的设计逻辑截然不同。从实务观察来看，问题往往不在于“未签合同”，而在于合同条款所描述的数据流向与实际系统中的数据流向之间存在偏差，这在监管审查和纠纷处理中几乎很难有解释空间。

5. 合规审视的切入点

项目立项阶段是否明确了数据处理目的，且该目的能否经受住后续业务变化的检验？合作协议中对各方个人信息处理者角色的界定，与实际系统中的数据流向是否一致？患者授权方案的同意范围是否能覆盖项目上线后可能出现的功能扩展、数据二次利用或合作方变更？对涉及敏感个人信息的项目，是否启动了个人信息保护影响评估？数据流图是否存在，且是否与合同约定和患者告知文本三者保持一致？

更值得关注的现实是：即便上述问题在项目启动时得到了回答，半年后系统实际运行的数据流与合同签署时的架构设想之间，往往已出现偏差。这种偏差通常不会在监管审查或合规审计到来前被主动发现。目前行业中建立了定期数据流比对机制的企业仍属少数，能够将合规审计穿透到实际系统层面，而非停留在“制度文件齐全”层面的，则更为有限。

四、AI介入后的合规风险

1. 多重规则的复合效应

AI介入数字化营销之后，前述各场景中的合规问题开始在单一项目中叠加。精准患者画像涉及自动化决策和敏感个人信息处理——《个人信息保护法》第24条对自动化决策设有专门规定，对个人权益有重大影响的，个人有权要求说明并有权拒绝。AIGC生成的患教文案涉及内容标识和责任归属，2025年的“自媒体”医疗科普通知已明确要求AI生成的医疗科普内容必须标注信息来源或生成内容标识。药企一旦将AIGC推至医生或患者前台，其性质即不再是内部效率工具，而更接近一项受监管的信息产品。聊天机器人回答患者咨询，一旦从通用健康知识滑向个体化用药建议，即触及互联网诊疗的边界，该边界在实践中并不清晰，但一旦出现问题，认定往往是事后的、严格的。社交媒体疾病讨论数据的分析，则牵涉数据来源合法性和跨境模型调用等问题。

2. 模型训练数据的合规性

模型训练数据的合规性是一个容易被忽略但后果严重的问题。患者咨询记录、随访对话、购药记录乃至罕见病社群中的发言，一旦被用于模型训练或微调，即已不再属于原始服务场景下的数据处理行为。“为提供服务所必需”这一处理依据在此不再成立，企业面对的是一个全新的处理目的，需重新审视同意基础、必要性、去标识化程度和影响评估。如训练数据中包含人类遗传资源信息（如在罕见病领域这并非罕见情形），还将触发《人类遗传资源管理条例》及其实施细则下的额外许可要求。目前不少企业的AI团队在技术层面推进较快，但在合规层面对训练数据的来源和属性尚缺乏系统性梳理。一个值得追问的问题是：如果监管部门要求企业在短期内说明某一AI模型的训练数据来源清单及其对应的法律依据，能够在合理时间内提供完整清单的企业，恐怕为数不多。

3. 跨国药企的特殊关注点

跨国药企在AI合规方面还面临一个结构性问题：中国对医疗科普内容资质核验、AIGC标识、敏感个人信息的单独同意和合规审计的要求，在精细度上往往超过总部的全球政策框架。总部通常采用“全球内容标准加本地翻译”或“全球隐私通知加本地附件”的模式，但中国的监管预期要求的是实质性的本地化设计，而非仅语言层面的适配。在数据跨境方面，安全评估、标准合同、保护认证三条路径已经明确，自贸试验区负面清单亦在逐步覆盖医药领域。每一个涉及数据流动的数字化营销项目，均需进行穿透式的路径梳理。

4. 合规审视的切入点

AI合规的管控逻辑与前述场景有一个重要区别：AI工具往往跨场景部署，一个模型可能同时服务于患者沟通、医生教育和内部分析，而各场景的合规要求不尽相同。这意味着，对AI工具做一次性合规评估远远不够，但目前真正做到按应用场景逐一梳理合规触点的企业，在行业中仍属少见。

在训练数据层面，企业是否清楚用于训练或微调的数据来自何处、是否包含未经授权的患者个人信息或人类遗传资源信息？是否有任何登记和审查机制？在内容输出层面，面向医生或患者发布的AIGC内容上线前是否经过人工审校？标识义务是否已在发布流程中被落实？在边界管理层面，AI工具的功能范围是否有明确界定，尤其是“健康信息提供”与“个体化诊疗建议”的边界是否被固化在产品设计中，还是仅依赖一行免责声明？在跨境层面，调用境外模型API或将数据传输至境外服务器的场景，是否被逐一识别并评估相应的数据出境合规义务？

上述任何一个问题中如果没有明确答案，都意味着企业在该AI应用场景上存在未被识别的合规敞口。而AI应用的迭代速度远快于合规体系的更新速度，这一时间差本身也构成了风险。

五、医生短视频科普的合规边界

1. 定性的核心难点

医生短视频科普的合规难点，不在于此类活动能否开展，而在于如何判断一条内容从“医学信息”滑向了“变相广告”。

现有执法给出的判断标准较为务实：定性不看标签看实质。一条视频自称疾病科普，但如果出现了特定产品暗示、购药入口、导流链接、患者见证或医生个人形象背书，监管即可能将其认定为广告。处方药在面向公众的网络平台上做推广，现行规则是明确禁止的。

药企对医生短视频的介入方式，提供讲课费、内容制作费、流量投放预算、MCN合作经费等，在合规层面的核心问题始终是同一个：这些支付是否具有真实的、可验证的服务对价基础？还是与流量指标、处方增量或患者转化之间存在事实上的绑定关系？如果是后者，渠道的数字化并未改变利益输送的实质，只是改变了费用的包装形式。而在目前的行业实务中，能够清楚回答这一问题的企业并不多见。

2. MCN机构的责任隔断问题

不少企业认为通过MCN机构间接合作即可与内容责任划清界限。但2025年的规则明确要求平台展示MCN签约信息、核验医生执业资质。在此监管预期下，选题由谁确定、脚本由谁审阅、流量投放由谁执行、底稿由谁保存，这些问题将被追溯。中间环节越多，追溯越复杂，但责任不会因此减少。值得追问的是：企业当前与MCN的合作协议中，是否对内容审阅权、脚本存档、投放记录和退出机制做出了足够清晰的约定？如果监管要求企业说明某一条视频从选题到上线的完整决策链条，企业能否及时拿出完整的证据？

3. 合规审视的切入点

医生短视频科普并非不可为，但企业如选择介入这一场景，需要认真面对以下问题：内容审阅是否覆盖了从选题到最终投放版本的全流程，还是仅停留在脚本阶段？对医生或MCN的费用支付是否具备独立于流量表现的对价依据，且该依据是否体现在书面协议中、能否在事后被独立验证？MCN机构的准入和资质审查是否有制度化标准，还是完全取决于市场部门的商务判断？上述制度即便存在，其运行记录是否被完整保存？

在监管从“查行为”走向“查体系”的趋势下，企业被追问时需要说明的不仅是“这件事我们做了没有”，而是“这条内容是怎么产生的、这笔费用是怎么确定的、这个合作方是怎么遴选的”，能完整回答这些问题的企业，目前在行业中并不多见。

合规途径

建议企业在专业人士的指导和帮助下，在以下层面有所行动：一是对现有的数字化营销业务逐一完成场景盘点和跨规则的风险识别，把内容、费用、数据、平台、AI和跨境放在同一张图上审视；二是对涉及患者数据的项目建立数据流穿透梳理和定期比对机制，确保合同文本、授权方案与实际系统运行三者一致；三是在事前而非事后，完成证据结构的设计，使企业在面对监管问询时能够以经得起穿透验证的证据链条证明合规体系的真实运行。前述工作的难点在于，其要求具备同时理解监管语言、商业逻辑和技术实现的专业能力，并将三者映射到具体的交易结构上。而企业现有的部门分工中往往缺乏此类能力，也很难从内部自然培育形成。如何补上这个缺口，或许是当下医药企业数字化营销领域最迫切也最值得投入的课题。