医疗数据法律探析（三）：医药企业之医疗数据治理与合规

2025-09-16

继2025年7月4日在“德恒研究”发表总论《医疗数据法律探析（一）：基本概念与国际纵览》（“《医疗数据（一）》”）、2025年8月13日发表聚焦医疗机构的《医疗数据法律探析（二）：医疗机构之医疗数据治理与合规》（“《医疗数据（二）》”），本篇为“医疗数据”系列文章第三篇，聚焦医药企业地医疗数据治理与合规问题。

因《医疗数据（一）》与《医疗数据（二）》已有医疗大健康行业数据治理与合规通用法律及政策的汇总分析，本篇不再赘述医疗大健康行业通用法律和政策问题，聚焦医药企业细分行业专向数据治理与合规问题，避免与前文重复。

特别地，延用《医疗数据（一）》与《医疗数据（二）》之基本定义，“医疗数据”在本文中项下涵义，既包括医药企业所涉狭义医疗数据，即医药企业与医疗机构合作过程中产生的药物研发、临床、销售、真实世界研究等各类医疗场景下产生的院内院外医疗数据，也涵盖医药企业业务全链条过程中所涉及的与院内医疗数据相关或衍生的相关医疗大健康数据，包括人遗信息、人口健康信息等。

一、中国医药行业数据合规主要法律法规

数字中国时代背景下，中国医药企业的合规运营，已不再仅限于传统的药品质量与营销行为，更需深度融合数字时代的法律法规要求。当前，中国已逐步构建起一个以通用法律为基础，以行业专属法规为核心，并辅以政策指引与技术标准的立体化数据合规体系。该体系为健康医疗行业的数据处理活动提供了“通用+特殊”的立法指引，共同构筑了全面的合规防线。

医药行业事关国计民生，有其特殊性，属于国家强监管、严监管行业，相应有较多细分行业专属法律法规支撑起行业监管框架。如前文所述，《医疗数据（一）》与《医疗数据（二）》已反复谈及《网络安全法》、《数据安全法》、《个人信息保护法》等数据方向通用法律法规，不再赘述，本章直接从医药产业直接和专属法律法规谈起。

（一）《药品管理法》与《疫苗管理法》

《中华人民共和国药品管理法》（最早1985施行，并于2001年、2013年、2015年和2019年四次修订或修正，“《药品管理法》”）和《中华人民共和国疫苗管理法》（2019年公布和施行，“《疫苗管理法》”）是中国药品和疫苗全生命周期监管的纲领性法律，它们对药品和疫苗的研发、生产、经营和使用活动中的数据合规提出了基础性要求。这两部法律的核心原则是确保全过程信息的真实性、准确性、完整性和可追溯性。

《药品管理法》和《疫苗管理法》确立了“真实、准确、完整、可追溯”的数据管理核心原则。这不仅是法律要求，更是医药企业确保产品安全性和有效性的基本准则。这意味着企业必须在数据收集、存储、处理、分析和报告的每一个环节，都建立严格的质量控制和审计机制，确保数据的完整性和可靠性。任何数据造假或不规范行为都可能导致严重的法律后果和声誉损害，由此可把数据诚信理解为医药企业生存和发展的底线和生命线。

（二）药品各类GXP规范

作为行业强监管的具体表现，国际国内药品监督管理一般共识和共同实践，是将药品监管具体渗透和落实在药品从研发、临床试验、生产、运输、销售等全链条各环节中，并在各环节均有相应具体监管规范。如药品优良生产规范(GMP，Good Manufacturing Practice)与药品优良临床实践 (GCP， Good Clinical Practice)所示，业内将类似药品细分环节管理规范统称为“GXP”。而数据合规，是贯穿 GXP 始终的核心要求，因为延续所有链条和环节的医疗和医药数据，方可保证所有活动的可追溯性和真实性。

下表是笔者整理的GXP各环节医疗数据合规要点和实践做法示例。从中可以看到，在每个 GXP 环节，数据合规都扮演着重要角色，如：在GMP药品优良生产规范中，要求遵循ALCOA原则，即所有数据都必须遵循“可归因、清晰、同步、原始、准确”原则；而在具体做法上，生产线上的设备参数（如反应釜温度）每秒自动记录，并在电子批记录中实时更新，而任何手动修改都需要输入用户名、密码和修改理由。

从上表可以直观理解，体现在GXP中的数据合规要求和实践，一定程度上是医药品质管理的关键基石和重要抓手。

（三）《生物安全法》、《人类遗传资源管理条例》

人类遗传资源（Human Genetic Resources，“HGR”）包含人类遗传材料和相关遗传信息，而人类遗传信息则指由人类遗传材料产生的数据和信息。由以上定义可以理解，人类遗传资源和数据/医疗数据，有着天然的内在联系和定义联通。

《中华人民共和国生物安全法》于2021年4月施行并于2024年修正（“《生物安全法》”），为中国人类遗传资源的保护与利用提供了法律基础，并促进了《中华人民共和国人类遗传资源管理条例》（2019年发布并在2024年修订， “《人遗条例》”）及其实施细则（科技部2023年发布）发布和修订，旨在规范HGR的采集、保藏、利用和对外提供等活动。

《人遗条例》是针对人类遗传资源保护的专门立法，将人类遗传资源分为“材料”（如组织、细胞）和“信息”（如基因组、基因数据）两类进行严格管控。条例明确规定，外国组织、个人及其设立或实际控制的机构不得在我国境内采集、保藏我国人类遗传资源，对外提供需经审批或备案，且可能影响国家安全的还需通过安全审查。

《人遗条例》实施细则对“外方单位”的界定进行了调整，通常指外资持股50%以上或具有实际控制权的机构，并明确港澳地区内资实际控制机构视为中方单位。此外，为获得药品和医疗器械上市许可而在临床机构利用HGR开展的国际合作临床试验，如不涉及HGR材料出境，则无需申请HGR采集行政许可。但合作双方仍需在临床试验前将拟使用的HGR种类、数量及其用途向科技部备案。

《人遗条例》及实施细则对HGR信息的定义进行了重要调整，明确排除了临床数据、影像数据、蛋白质数据和代谢数据。这一变化极大地降低了医药企业在处理非基因组数据时的合规复杂性，使得企业能够更聚焦于基因组层面的数据合规。然而，这并非意味着这些被排除的数据可以随意处理，它们仍需严格遵守《个人信息保护法》等其他数据保护法律。因此，企业需要建立精细化的数据分类体系，区分不同类型的数据，并针对性地应用不同的合规策略，避免过度合规或合规不足的风险。

以下是德恒律师整理的人遗资源/生物样本库与健康医疗数据监管法律制度衔接关系图，相对清晰地描绘了相关法律法规之间地涵盖与重叠等关系。

（四）《人口健康信息管理办法（试行）》

2014年，国家卫生健康委员会发布的《人口健康信息管理办法（试行）》对人口健康信息的采集、利用、管理、安全和隐私保护提出了详细规定。该办法强调统筹规划、统一标准、属地管理、责权一致、保障安全、便民高效的原则。

该办法对人口健康信息管理提出了“一数一源、最少够用”的原则，并强调了数据采集的标准化和质量控制。这对于医药企业在进行患者招募、临床数据收集或真实世界数据整合时，具有重要的指导意义。企业需要优化数据采集流程，避免重复收集，并确保所收集数据的真实性、准确性和完整性。这不仅有助于满足合规要求，还能提高数据利用效率，降低数据管理成本。

该办法明确禁止将人口健康信息存储在境外服务器上，这与《个人信息保护法》和《数据安全法》对数据本地化存储的要求一脉相承。对于跨国医药企业而言，这意味着其全球数据架构必须进行调整，确保涉及中国公民的健康数据在中国境内存储。这种强制性的本地化要求，将促使企业审慎评估其云服务提供商、数据中心选址以及数据备份策略，以确保所有相关数据都符合境内存储的规定。

二、境外借鉴：欧美医药产业数据合规要求

欧盟和美国作为市场、法治以及医药产业都相对发达的地区，是中国医药产业法治建设的重要对标和借鉴对象，也是中国药企医药产品出海的两个核心重要目标市场。我们简单看一下欧盟和美国关于关于医药企业医疗数据治理及合规的相关规定及实践。

（一）欧盟

欧盟医药监管核心机构是总部设在阿姆斯特丹的欧洲药品管理局（European Medicines Agency，EMA），其主要职责是：负责在泛欧洲范围内，评估和监督药品的集中上市许可（CAP），是制定全球药品监管标准的重要力量。

在医疗领域，欧盟对于个人健康医疗数据最核心的监管框架是2018年通过的《通用数据保护条例》（General Data Protection Regulation，GDPR）和2025年新通过的《欧盟健康数据空间法规》（《医疗数据（一）》中对GDPR和《欧盟健康数据空间法规》有专门介绍）。在这两个法案之前，欧盟近二十年一脉相承、采取多项举措推进医疗健康数据互联互通，如在2008年即开始实施“欧洲患者智慧开放服务”，建立患者电子摘要和电子处方制度，提出电子健康互操作性指南等，2011年通过《患者跨境医疗权利指令》，2015年启动欧盟电子健康基础设施项目等，均为推动医疗数据在欧盟内有序流动、提高医疗水平和患者福祉创造有利条件。

根据GDPR有关规定，若跨境医药技术交易中涉及到了个人数据，相关主体可通过(1)充分性认定机制；(2)提供适当保障措施机制；以及(3)征得数据主体明示同意、基于公共利益、履行有利于数据主体的合同或基于组织正当利益等多种途径，进行合规数据跨境传输，以确保交易的顺利进行。其中，欧盟成员国家与通过充分性认定的国家(地区)的医药企业进行数据跨境传输无需再获得欧盟的任何批准。

根据欧盟委员会官网的公开数据显示，共有16个国家(地区)、机构通过了欧盟委员会的充分性认定，分别是：安道尔、阿根廷、加拿大（商业机构）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国，美国（参与欧盟 - 美国数据隐私框架的商业机构）、乌拉圭、欧洲专利组织。值得特别关注的是，目前中国还未通过欧盟委员会的充分性认定，由此，在跨境医药技术交易过程中，对中国医药企业进行数据跨境传输的，需履行相应程序和/或获得欧盟的对应批准以进行合规跨境传输。医药企业应关注未遵循以上合规传输途径的法律风险。根据GDPR相关规定，将个人数据违规跨境传输，可能面临最高 2000 万欧元或企业全球年营业额的4%(两者取其高)的巨额罚款。

（二）美国

美国医药监管核心机构是成立于1906年的美国食品药品监督管理局（US Food and Drug Administration，FDA）。美国FDA由国会（联邦政府）授权，是美国管理食品、药品以及化妆品等的主要行政监管部门、食品与药品监督管理的最高执法机关。

不同于欧盟统一的立法模式，美国目前还没有联邦层面的、统一的数据和隐私安全立法。但，美国作为判例法国家，其联邦和州层面的法律自成体系，目前已经在社会各个领域形成了一套较完整的规范数据处理以及隐私保护的法律规则，这些法律规则散见于不同的行业，主要包括医疗健康、金融、电信、消费者等方面。

在医疗领域，美国形成了以《健康保险可携带性与责任法案》（HIPAA）（《医疗数据（一）》中对HIPAA有专门介绍）为主的个人健康信息安全和隐私保护的法律体系 ，HIPAA其中的“隐私规则”范围包括患者医疗信息、基因信息、保险信息等个人信息。HIPAA规范了患者信息的保密性，适用于大多数医疗健康提供商、健康保险公司和医疗健康信息交流所以及相关业务合作伙伴。

和中国及本文主题密切相关的是，在中美科技和贸易竞争的大背景下，2025年4月4日，美国国立卫生研究院（NIH）实施一项史无前例的禁令，禁止中国（含港澳）等“受关注国家”的机构访问其核心生物医学数据库，涉及人类基因型-表型数据库（dbGaP）、癌症基因组图谱（TCGA）、基因数据共享平台（GDC）、基因组分析云平台（AnVIL）等全球顶尖科研资源。此举基于美国2024年发布的第14117号行政命令，以“国家安全”为由，将人类基因组数据定义为敏感信息，限制跨境传输。这是美国首次将生物医学数据纳入对华科技封锁范畴，标志着中美科技脱钩从硬件制裁向数据壁垒升级。有报道称，美国这一举措促使部分中国药企开始转向"一带一路"市场或在欧洲设立研发中心，以规避美国政策风险。

三、医药企业关键业务场景数据合规要点

医药企业作为从研发及临床开始就关系到社会伦理和公共健康的特殊行业，从研发、临床试验、生产、销售等各个环节都有严监管要求，而医疗数据合规也相应具体体现在医药企业价值链的各个环节。本章将具体讨论医药企业三个核心业务场景涉及的医疗数据合规问题，研讨具象化的合规要点。

（一）伦理审查数据合规

伦理审查是涉及人的医学研究的基石，旨在保护受试者的权益、安全和健康。所有涉及人的医学研究，包括药物临床试验和真实世界研究，都必须通过伦理委员会的审查批准。《赫尔辛基宣言》是国际医学研究伦理的核心原则，强调受试者权益和安全是临床试验的首要考量，并高于科学和社会获益。中国的《药物临床试验质量管理规范》（GCP）与《赫尔辛基宣言》的原则相一致，并将其具体化为实践要求。

根据《药物临床试验质量管理规范》（2020），伦理委员会的职责包括：审查临床试验方案、研究者手册、知情同意书等文件；对正在进行的临床试验进行定期跟踪审查；受理并及时处理受试者的投诉；有权暂停或终止未按要求进行或对受试者造成未预期严重损害的研究。另外，值得关注的是，医药企业作为临床试验的“申办者”，可以设立独立的数据监查委员会，定期对临床试验的进展、安全性数据和重要的有效性终点进行评估，并向申办者建议是否继续、调整或者停止试验。

伦理审查作为涉及人的医学研究的先决条件，其核心在于确保受试者的权益和安全高于一切科学或社会利益。这意味着医药企业在设计和执行任何临床研究时，必须将伦理考量置于首位。这不仅是法规要求，更是医药企业社会责任的体现。未能充分履行伦理审查义务，可能导致研究被暂停或终止，甚至面临法律责任和声誉危机。

知情同意是保障受试者权益的关键措施。研究者必须充分告知受试者临床试验的所有相关事项，并获得其知情同意。对于真实世界数据（RWD）的采集，也需获得患者的知情同意。在特定情况下，如已脱敏或匿名化的生物样本用于公益性研究，或已获得受试者签署的概括性知情同意，经伦理委员会审查批准后，可豁免再次知情同意。然而，豁免条件严格，且若研究对象恢复知情同意能力或需随访，仍应努力再次征得同意。

在伦理审查中，知情同意书的签署是保障受试者自主权的关键环节。医药企业需要确保知情同意书内容完整、规范，并真实反映研究目的、风险、获益以及数据处理方式。特别是对于涉及敏感健康数据或长期数据利用的真实世界研究，医药企业需要探索更为灵活和细致的知情同意形式。这要求医药企业在法律框架内，创新知情同意的实践方式，以适应大规模数据收集和长期研究的需求，同时确保患者的充分知情和自愿参与。

（二）药品研发与临床试验数据合规

药品研发的核心在于数据真实性和科学性。医药企业作为“申办者”，需遵循《药物临床试验质量管理规范》（GCP），确保数据、记录和样本的真实、准确、完整和可追溯。在数据采集方面，作为敏感个人信息的医疗健康数据，必须在数据采集前向受试者进行充分告知并取得单独同意。

临床研究是药品研发的关键环节，其数据质量直接关系到药品的安全性、有效性和可控性。在临床研究中，严格遵守数据真实性、完整性、可溯源性是核心要求。数据采集、存储和分析必须符合GCP和国内法规。GCP强调研究者必须准确记录和保存临床试验数据，确保数据质量和可靠性。申办者应建立数据质量管理体系，确保临床试验各阶段的可操作性。

数据核查是确保临床试验数据真实可靠的重要手段。核查要点包括：受试者的筛选/入组数据链的完整性（如筛选、入选和完成临床试验的例数一致性，受试者不得重复参加试验）；知情同意书的签署与试验过程的真实完整性（如签署数量与病例数一致，签署时间不早于伦理批准时间）；试验用药品的接收、保存、发放、使用、留样和回收记录的一致性；以及生物样本采集、保存、运送与交接记录的完整性和原始性。生物样本检测实验需有完整的原始记录，且生物样本的管理轨迹应可溯源。

临床研究通常涉及外部合作，例如将样本送至第三方实验室进行检测。申办者需建立严格的第三方筛选和合同管理制度，确保所有外协机构同样遵守合规要求，并明确数据所有权、存储方式和安全责任。在合同中，应详细约定样本的采集和运输、数据保存、以及知识产权归属等关键内容。

临床研究数据的“真实性、完整性、可溯源性”是监管机构进行药品审批和上市后监管的基石。这意味着医药企业在临床试验的每一个环节，从方案设计、受试者招募、数据采集、样本管理到数据分析和报告，都必须严格执行标准操作规程（SOP），并确保所有记录的准确性和完整性。任何数据篡改或缺失都可能导致试验结果的不可信，进而影响药品的注册和上市。这种对数据质量的极致要求，促使企业建立一套端到端的数据生命周期管理体系，确保数据的全流程可控。

（三）真实世界数据合规

与受试者人群受限、入组标准及诊疗环境严格的传统临床随机对照试验（RCT）相比，真实世界研究（RWD）可反映临床实际诊疗过程，具有较强的外部代表性。真实世界研究可弱化传统临床试验的限制，具备数据来源较广、可反映真实世界临床疗效等突出特点，从而成为近年国内外药物研发和监管决策关注的热点问题。

2016 年， 美国食品药品监督管理局（Food and Drug Administration，FDA） 发布的《21 世纪治愈法案》（21st Century Cures Act）将真实世界研究推向医疗实践。而我国也不甘落后，自2020年1月国家药监局发布《真实世界证据支持药物研发与评审的指导原则（试行）》后，近五年国家药监局不断发布和细化关于真实世界证据/数据应用的规范性指导文件（见下表）。

真实世界数据是从日常临床实践、健康记录、保险数据、患者登记、移动设备等多种来源中收集的数据。它与传统的数据不同，更接近真实医疗环境中的患者数据，其广泛的应用带来了独特的合规挑战。在2021年发布的《用于产生真实世界证据的真实世界数据指导原则（试行）》中，国家药监局对真实世界数据的合规管理专辟一章，明确提出三方面要求：

（1） 数据合规性：为充分保护患者的安全和权益，获取和使用真实世界数据以开 展真实世界研究，须通过伦理委员会的审查批准。参与真实世界数据治理的相关人员需严格遵守相关法律、法规的要求，申办者应严格执行，尽保护和管理义务；

（2） 数据安全管理：数据安全保护范围应涵盖包括 数据收集、数据提取、数据传输、数据存储、数据交换、数 据销毁等在内的各个生命周期。为保障数据安全，除前置管理规程，还需进行数据审计，审计相关操作规程为数据的收集、提取、传输、 维护、存储、共享、使用等提供记录和依据，范围则包括人员审计、管理审计、技术审计等；

（3） 质量管理体系：应建立完整的质量管理体系，以规范真实世界数据的处理流程，并在实际工作中持续优化、完善。这个质量管理体系包括：覆盖真实世界数据 全生命周期管理的操作流程、计算机化系统、人员管理制度、从数据收集至数据递交各环节的风险管理流程、标准的信息与文档管理规范（纸质、电子介 质）等。

四、医药上市公司数据治理实践

上市公司一般是行业龙头，资金和业务实力强、运作相对规范且信息公开，医药类上市公司所披露的医疗数据治理和合规实践，可以为其他医药企业的医疗数据治理和合规体系建设提供借鉴经验。本章通过恒瑞医药和百利天恒两个知名上市药企案例，窥斑见豹，以大致了解中国医药上市公司医疗数据治理的实践路径和核心理念。

（一）恒瑞医药

恒瑞医药作为A股医药龙头企业，高度重视医疗/医药数据合规与治理工作，这在其年度报告及年度ESG报告中均有体现。

根据恒瑞医药2023年ESG报告，该公司高度重视合规工作，不仅建立了合规管理委员会、合规管理委员会办公室、各级合规部门等内部合规梯级管理架构，而且高度重视数据合规工作，将“数据合规”明确单列为公司遵循的合规法律法规重要组成（见下图）。

而在恒瑞医药2024年ESG报告中，则进一步阐述：2024年，恒瑞医药锚定“全面合规”目标，加大对数据合规保护、出口管制与经济制裁等相关条款内容的审核力度，持续推进合规管理工作。同时，公司将合规管理绩效与高管薪酬相关联，自上而下督促公司合规管理工作高效稳定落实。

在最重要的“消费者隐私安全”保护方面，恒瑞医药作为国内龙头企业，在ESG报告中表现出国际视野：恒瑞医药严格遵循《中华人民共和国个人信息保护法》、《欧盟通用数据保护条例（GDPR）》、《美国健康保险携带和责任法案》 （HIPAA法案）等运营所在地法律法规及规范性要求，制定了《商业秘密载体管理制度（试行）》《个人数据隐私保护政策》，以全力保障消费者隐私安全。2024年度报告期内，恒瑞医药发布《将侵犯患者个人信息等三种行为纳入公司合规红线的通知》，强调公司对保护患者个人信息的立场与决心。数据收集角度，恒瑞医药表示遵循最小化原则处理消费者数据，仅在必要时收集敏感信息，并获得消费者同意。同时，恒瑞医药在销售人员设备上部署安全平台，实施信息系统访问权限管理，严防消费者隐私泄露。此外，在数据出海方面，恒瑞医药加强数据出境安全管理，确保数据的收集、分析及交换均符合合规要求，以应对不断变化的外部环境和潜在安全风险。

通过以上简要介绍我们可以了解，恒瑞医药高度重视医疗数据合规工作，不仅将数据合规列为内部系统性合规工作重要构成内容，而且通过制度建设和人员管理，在数据收集、应用、出海等全链条角度对医疗数据进行全周期合规治理。恒瑞医药的医疗/医药全周期立体治理和合规体系，值得同业参考和借鉴。

（二）百利天恒

百利天恒是2023年才登陆科创板的创新药企业，但短短两年间，股价翻了10几倍，市值突破千亿，成为国内创新药黑马龙头。而最近关于其肺癌创新药突破性疗效的国际国内报道，更说明百利天恒在一定程度上是中国生物医药DeepSeek时刻的代表。

作为面向国际市场的创新药企业，百利天恒同样重视医疗数据治理与合规工作。根据百利天恒2024年度ESG报告，该公司特别在药物警戒质量体系建设和运行方面，突出数据在其中发挥的作用。从如下图示可知，百利天恒针对药物警戒制定了较完善的质量管理体系，从定义、执行、监测、纠正到持续改进，形成一个完整的闭环；而其中，特别在定义、执行和监测这最基础的前三阶段，“数据”、“信息”、“合规”、“安全”是关键词和抓手。

在客户隐私保护方面，百利天恒2024年度ESG报告中，亦有专门表述。但百利天恒关于其客户隐私保护表述相对侧重内部员工管理方面，似不如恒瑞医药ESG报告中相对立体的客户隐私保护体系，显得其客户隐私保护体系不够丰满和完整。这应该和百利天恒作为上市公司相对年轻及历史上自身医药产品直接营收规模不够大有一定关系，相信百利天恒作为国内创新药龙头和黑马，在国内企业合规体系及文化加强建设的大背景下，其医疗数据合规体系建设也会不断加强建设和完善。

五、医药国际合作及数据出境

数据跨境传输是国际多中心临床试验和中外合作的常态，也是合规的高风险区，面临独特的“双重监管”：一是《个人信息保护法》和《数据出境安全评估办法》的通用要求；二是《生物安全法》和《人遗条例》的特殊要求。

根据《数据出境安全评估办法》，符合特定情形的数据处理者（如关键信息基础设施运营者、处理百万级个人信息或累计向境外提供超过特定数量敏感个人信息者），必须通过国家网信部门的安全评估。对于不满足评估条件的其他情形，企业可选择与境外接收方签订国家网信部门制定的标准合同或寻求专业机构的个人信息保护认证。

若数据涉及人类遗传资源，则需同时满足《生物安全法》和《人遗条例》的规定。《生物安全法》明确利用我国人类遗传资源开展国家科学研究合作将我国人类遗传资源运送、邮寄、携带出境应当经国务院科学技术主管部门批准。人类遗传资源信息对外提供（出境）需向科技部备案并提交信息备份，可能影响国家安全的还需通过安全审查。值得注意的是，为获得药品上市许可而在境内开展的国际合作临床试验，如果不涉及人类遗传资源材料出境，仅需备案，无需审批。

随着国际多中心临床试验的日益普及，医药企业数据的跨境传输成为常态。这不仅涉及到《数据安全法》和《个人信息保护法》的合规要求，也可能触发《生物安全法》和《人遗条例》的审批或备案义务。企业必须在项目启动前，对数据类型、数据量和传输路径进行详细评估，并选择合适的合规路径（如安全评估、标准合同或认证）。未能充分评估和履行跨境传输义务，可能导致数据传输受阻，延误药物研发进程，甚至引发法律纠纷。这强调了在国际合作中，对数据跨境流动的法律风险进行前瞻性评估和规划的重要性。

如果真实世界研究RWD涉及跨境传输，特别是包含个人信息或重要数据，同样需遵守《数据出境安全评估办法》等相关规定，进行安全评估或满足其他豁免条件。需要注意的是，RWD的合规性特别体现在其跨境传输的复杂性上。由于RWD往往包含敏感的患者健康信息，其跨境传输将触发《个人信息保护法》和《数据安全法》的监管要求，可能需要进行安全评估或满足其他豁免条件。这要求医药企业在规划RWD项目时，必须提前考虑数据的存储地点和流转路径，并与合作方明确数据用途和责任。通过制定详细的数据采集和存储SOP，并加强与合作方的协议约束，企业能够有效降低RWD项目中的合规风险，从而在合法合规的前提下充分发挥RWD的价值。

由于医疗数据跨境传输的复杂性和敏感性，我们特选华大基因数据出境违规的特别案例，以案说法。华大基因案是中国数据合规史上一个具有里程碑意义的案例，它深刻揭示了在生物医药领域，合规管理的边界已从传统的法律条款，延伸至国家安全和公共利益。

（一）案情回顾与违规性质界定

2015年，科技部对华大基因（深圳华大基因科技服务有限公司）作出行政处罚，指出其未经许可与英国牛津大学开展“中国女性单相抑郁症的大样本病例对照研究”，并将部分人类遗传资源信息从网上传递出境。该案还牵扯到其在无创产前基因检测服务中，未经充分知情同意便将客户基因信息用于科研。

（二）法律责任与行政处罚后果

华大基因的行为违反了当时施行的《人类遗传资源管理暂行办法》中关于“未经许可不得擅自对外提供”和“国际合作项目须由中方单位办理报批手续”的规定。对此，科技部作出了较严厉的处罚决定：要求华大基因“立即停止该研究工作”、“销毁该研究工作中所有未出境的遗传资源材料及相关研究数据”，并“停止华大基因涉及中国人类遗传资源的国际合作，进行整改”。

（三）启示：人类遗传资源管理的红线与底线

华大基因案的深层警示在于：监管层和公众对人类遗传资源违规行为的认知，已从最初的“流程不规范”上升到了“危害国家安全和公共利益”的战略高度。案发后，媒体报道和专家评论普遍认为，大规模的中国人基因信息一旦泄露或被不当利用，会对国家安全构成潜在威胁。这一认知升级，直接推动了更严格的《人类遗传资源管理条例》（2019）的出台，将HGR管理上升到国家生物安全体系的核心层面。因此，华大基因案不仅是一个医疗健康数据合规的典型警示案例，也是中国生物安全立法的催化剂，并以案说法，一定程度以知名企业的具体案例界定了该领域的“红线”。

该案的另一重警示在于其对敏感个人信息的侵犯。即便是在境内开展的研究，如果企业未能有效保障数据提供者的知情权和选择权，未经其明确同意便将敏感个人信息挪作他用，同样属于严重的违规行为。该案表明，在涉及敏感个人信息时，企业必须同时满足行政审批（对国家）和个人授权（对个体）的双重合规要求。

六、互联网售药数据合规

本文意义下的互联网售药，指面向消费者/患者（家属）个人的互联网药品销售及快递服务行为，是医药电商（医药电商大的概念上还包含2B服务）的一种。互联网售药是互联网时代的必然产物，因涉及电商、售药、互联网医疗等环节，特别是大平台涉及大量个人隐私和数据，需要特别关注和监管。

以线上外卖平台的药品零售为例，药品网络销售数据处理，涉及多方：

一是药品零售商家方（如线上连锁药店）；

二是与外卖平台或药店商家合作提供注册医师问诊或注册药师服务的医疗机构方；

三是互联网第三方外卖平台方；

四是提供药物外卖或快递服务方。

药品线上销售所涉及的数据分为以下两类：

一是消费者（平台用户）相关数据。因网络购药需要实名制，所以无论购买处方药还是非处方药都需要采集用户的个人信息（如姓名、身份证号、联系方式、健康状况等），在这其中还包含医师问诊和药师服务信息，而用户的个人信息因涉及健康生理信息通过聚合可能落入敏感个人信息的范畴，同时，药品配送信息因涉及消费者连续精准定位信息也可能构成敏感个人信息，应当遵循最小化原则，明确告知用户获取个人信息的目的、方式和必要性，敏感个人信息要征得消费者单独同意。如果涉及线上购买处方药，则涉及处方数据，必须确保电子处方的真实性、合法性和有效性。处方来源必须是合法的医疗机构，且处方内容完整可追溯；

二是药品及药店及药师相关数据。订单完成后形成电子档案包括处方信息：医师开具的电子处方，包括医师姓名、资质、开方日期；审方记录：执业药师的审核意见和药师姓名；药学服务记录：与药师的在线聊天记录和追溯信息：所售药品的生产批号、有效期等信息；以及药店因销售药品和存放药品所聚合的相关药店经营信息。这些数据都将以电子形式保存多年，以备未来药品监管部门进行抽查或出现药品质量问题时进行追溯。

外卖平台线上购买处方药的数据合规，是一个涉及身份验证、处方真实性、隐私保护、信息加密、系统对接与数据追溯的闭环管理过程。每一个环节都必须严格遵循《药品管理法》、《个人信息保护法》等相关法规。这些严格的合规措施，不仅保障了用户的用药安全，也筑起了企业健康发展的护城河。

用户在外卖平台“买药”频道下单购买了处方药，整个流程看似简单，但背后涉及的数据流转和合规要求极为复杂。以下以案例来说明互联网售药的数据合规关键步骤：

步骤一：在线问诊与电子处方生成

用户在美团App内选择在线问诊服务，由合作的互联网医院的医生进行问诊。医生根据病情开具电子处方。处方真实性与来源合法性是在线问诊的关键。医生将处方信息（患者姓名、身份证号、诊断、药品名称、用量、医生签名等）录入互联网医院系统。合规方面需重点关注：

（1）身份验证：平台会要求患者进行实名认证（如通过人脸识别或身份证号验证），确保问诊和购药者的身份一致；

（2）信息加密：处方信息在互联网医院系统和外卖平台之间通过加密通道传输，确保数据安全；

（3）处方溯源：每张电子处方都会生成一个唯一的ID，并与开具医生、问诊时间、患者ID绑定，实现全程可追溯。

步骤二：药店接单与处方审核

用户凭借电子处方在外卖平台上选择药店下单。药店接到订单后，需要对电子处方进行审核。外卖平台将脱敏后的订单信息和处方ID推送给药店。药店的执业药师通过系统查询完整的电子处方信息。合规方面需重点关注：

（1）执业药师审核：根据法规，线上销售处方药必须经过执业药师的在线审核。药师会核对处方信息是否完整、药品是否对症、用法用量是否合理，并在系统内完成审核操作；

（2）信息脱敏：外卖平台在向药店推送订单时，会进行数据脱敏，例如只显示患者姓氏和部分手机号，保护用户的个人隐私。

步骤三：药品配送与隐私保护

药店完成药品打包，骑手接单配送。骑手通过外卖平台骑手端App接收订单，获得收货地址、联系方式。合规方面需重点关注：

（1）地址隐藏：外卖平台骑手端通常只显示模糊化的地址信息，直到骑手接近目的地时才会显示详细地址，以防地址数据被泄露；

（2）虚拟号码：平台会为骑手和用户提供虚拟号码，双方通过虚拟号码联系，避免真实手机号泄露；

（3）配送箱保密：药店会使用隐私包装，确保配送过程中无法看到药品名称，保护用户的用药隐私。

步骤四：数据存储与可追溯性

交易完成后，所有数据（处方、订单、物流、支付）都被平台存档。所有交易数据上传至外卖平台后台服务器，并与国家药品追溯平台进行数据同步。合规方面需重点关注：

（1）分级存储：敏感数据（如处方信息）应当进行加密存储，并设立严格的访问权限；

（2）追溯体系对接：外卖平台需要确保其药品追溯系统与国家药监局的药品追溯协同服务平台对接，每笔处方药的销售信息（追溯码、销售时间、流向）都会实时同步，供监管部门核查；

（3）数据留存：按照法律要求，电子处方等关键数据会保存五年以上，以备溯源和监管审计。

以上相对严谨的互联网售药及数据合规流程，在实践中依然不免出现各种漏洞。笔者近期查看知名的几家外卖平台，试图购买处方药，可以看到相关平台上处方药依法规不展示包装，但点进去仍然可以加入购物车，需填写处方药问诊信息，该选项处已列举可供选择的相关已确诊疾病，消费者只要选择其中之一并点击勾选平台提供已确认此前有过明确诊断并阅读同意平台提供的《互联网诊疗风险告知以及知情同意书》和《敏感个人信息处理规则》选项即可完成处方药购药流程。这样的流程，平台看似履行了知情同意的义务，但如果不联系购买人实际的医疗开方过程，会使得处方药购买看似落入一种“先药后方”的现实窘境。互联网比较奇幻的是，若无严格流程和验证，也许无法知道互联网另一端是否坐着的是一只狗！而互联网售药也确实发生过匪夷所思的事故，如此前较为轰动的“误用自己二年级儿子信息为患心脑血管疾病的父亲购买脑梗药，平台居然审核通过”的闹剧。这样的案例，实际体现了线上药店和互联网第三方平台对于处方审核不严和购药者资格缺乏审查或审查不严的实际情况。平台方在处方药的购药过程中应当严格和规范流程，核实购药者身份和年龄，而对购药者处方的真实性加强审核则显得尤为重要。

七、医药企业数据治理与合规体系建设路径探讨

经以上医药企业医疗数据治理及合规体系、风险及案例分析与探讨，我们在本文最后部分，针对医药企业构建全面有效的医疗数据治理与合规体系进行讨论。而这样的一套数据治理与合规体系，是医药企业应对复杂监管环境、保障数据安全和推动业务发展的基础和关键。

（一）搭建数据治理顶层设计

要建立涵盖数据采集、存储、处理、传输到销毁的全生命周期管理体系，这意味着医药企业需要从战略层面规划数据治理，确保数据在整个生命周期中都符合合规要求。同时明确数据治理目标和组织架构，数据治理是一个综合性、多维度的体系建设，目标是将各业务系统产生的数据汇聚到统一平台，进行清洗、加工、装载，形成有价值、高质量的数据资产，并以安全可靠的方式供需求方高效使用。如前文恒瑞案例所示，医药企业有效合规体系的搭建，离不开高层领导的积极参与和支持，董事会应是ESG管理的最高决策机构，承担最终责任，对医药产品质量安全、供应链管理、反商业贿赂、药物流通环节等合规重点进行把关。

医药企业数据治理与合规体系的“顶层设计”是其成功的关键。这不仅仅是制定规章制度，更是将数据合规提升到企业战略层面，确保高层领导的积极参与和支持。没有高层的推动，数据合规往往难以在各业务部门有效落地。这种自上而下的战略部署，能够确保数据合规与企业的发展目标相一致，并为体系建设提供必要的资源保障。

（二）夯实数据治理内部制度建设

在网络安全管理上，医药企业应当建立健全网络安全管理、评价考核制度，制定业务管理规程，明确记录管理要求和责任，并对从事记录管理的人员进行培训。

在数据安全和保护方面，医药企业应当采取数据加密、访问控制、日志审计等技术手段，确保数据在存储、传输和处理过程中的安全性和保密性 ，建立数据安全防护体系和管理体系，按照国家信息安全等级保护制度要求实施，确保电子记录系统具备完善的功能，如创建、审查、批准、版本控制、数据采集、处理、记录生成、报告、存储和检索等，并确保原始数据创建、修改、删除可追溯；同时制定数据分类分级管理制度：根据数据的敏感程度和重要性进行分类分级，并针对不同级别的数据采取差异化的保护措施（见下表示例）。

在个人信息保护上，医药企业应当明确个人信息收集、使用、存储、共享、传输、销毁的规则，并确保符合《个人信息保护法》的要求，特别是敏感个人信息的处理和知情同意机制 。如被认定为关键信息基础设施，还需要拟订关键信息基础设施安全保护计划，建设关键信息基础设施监测预警和威胁分析平台，提升监测预警与快速处置能力。

在人员培训上，医药企业应当定期组织合规培训，提升员工风险意识和合规能力；建立专职安全管理员、关键岗位人员分类培训体系，加强实战，持证上岗 ；确保数据收集、治理、分析人员接受适当培训，满足岗位能力要求，并具备标准化权限管理。

“制度建设”和“技术保障”是数据治理体系的两个核心支柱。数据分类分级制度是基础，它使得企业能够根据数据的敏感性和重要性，采取差异化的保护策略，从而实现资源的优化配置。而数据加密、访问控制和日志审计等技术手段，则是实现制度要求的具体保障。医药企业需要投入资金和技术力量，建设符合国家等级保护要求的安全防护体系，并确保电子记录系统的完整性和可追溯性。这种制度与技术的双重保障，才能有效防范数据泄露和滥用风险。

（三）拆解数据合规关键步骤

医药企业构建数据治理与合规体系是一个系统性工程，需要分阶段、有计划地推进：

1.数据资产梳理与分类

数据资产梳理与分类是构建数据治理体系的起点，其重要性在于“摸清家底”。医药企业必须清楚自己拥有哪些数据、数据来自何处、存储在哪里以及如何被使用。只有对数据资产有了全面而精确的认知，才能进行有效的分类分级，并针对性地识别敏感数据和重要数据。未能充分梳理数据资产，将导致合规风险点的遗漏，使后续的合规评估和风险排查失去基础。医药企业应当全面识别企业内部所有数据资产，包括数据来源、类型、存储位置、处理方式、流转路径等。根据法律法规要求和企业业务特性，对数据进行分类分级，识别敏感个人信息、重要数据和人类遗传资源信息等。

2.合规评估与风险排查

合规评估与风险排查则是数据治理体系的“诊断”环节。医药企业需要对照最新的法律法规，对自身的数据处理活动进行全面“体检”，发现潜在的“病灶” 。特别是对于跨境数据传输，医药企业必须进行严格的风险自评估，这不仅是监管要求，更是医药企业自我保护的必要措施。这种前瞻性的风险识别，有助于医药企业在问题发生前采取预防措施，避免陷入被动。医药企业应当对现有数据处理活动进行合规性评估，对照《药品管理法》、《数据安全法》、《个人信息保护法》、《网络安全法》、《生物安全法》等法律法规，识别潜在的合规漏洞和风险点。开展数据出境风险自评估，特别是对于涉及跨境传输的场景，评估数据类型、数量、接收方的数据保护能力和所在国的法律环境等。

3.制定并优化数据治理方案

制定并优化数据治理方案是“治疗”和“预防”的关键。根据风险评估结果，医药企业需要制定或调整其数据生命周期管理、隐私保护政策和安全管理规范。这包括明确各部门和岗位的合规责任，并将技术控制措施融入日常运营。这种体系化的方案，能够确保数据合规从纸面落实到实践，从技术层面保障数据安全。定期开展合规审计与改进是数据治理体系的“持续健康管理”。数据合规并非一劳永逸，而是需要持续的监督、评估和优化。医药企业应当根据风险评估结果，制定或优化数据治理策略和管理制度，包括数据生命周期管理、隐私保护政策、数据安全管理规范等。明确各部门和岗位的合规责任，建立全员合规责任制。设计和实施技术控制措施，如加密、去标识化、访问控制、审计日志、数据备份和恢复等。

4.定期开展合规审计与改进

通过定期的内部审计和风险评估，医药企业能够及时发现体系运行中的不足，并根据新的监管要求和业务发展进行调整。这种持续改进的机制，能够确保数据治理体系始终与时俱进，有效应对不断变化的监管环境和业务挑战。医药企业定期对数据治理体系的运行情况进行内部审计，评估制度执行的有效性和技术措施的落实情况。按照相关法律规定定期开展个人信息保护合规审计。根据审计结果和外部监管要求变化，持续改进和优化数据治理方案，确保体系的持续有效性。建立网络安全事件应急响应机制，制定应急预案并定期演练。

综上所述，在大数据和人工智能时代，医药企业的医疗数据治理与合规，对医药企业长远和稳健发展，具有特别重要的作用和意义。中国医药企业在数字化转型及人工智能时代浪潮中，必须将医疗数据合规提升到前所未有的战略高度。通过构建全面、精细、动态的医疗数据治理与合规体系，不仅能够有效管控和规避法律风险，更能为自身的创新发展和国际合作奠定坚实的法律和制度基础，最终保障和实现自身的高质量和可持续发展。

注：除特别说明外，本文所用图片源自网络，侵删。

参考文献：

[1]人类生物样本库、健康医疗数据库设立及应用监管法律体系及核心法律问题研究，德恒研究，左玉杰，2022.1

[2]医疗数据合规白皮书 - 信息资源系统, accessed August 20, 2025, https://13115299.s21i.faiusr.com/61/1/ABUIABA9GAAgr4bkvwYohOeErAE.pdf

[3]医药企业个人信息合规常见问题及应对措施 - 安全内参, accessed August 20, 2025, https://www.secrss.com/articles/48285

[4]中华人民共和国医药行业标准医药行业合规管理规范, accessed August 20, 2025, https://www.glo.com.cn/UpLoadFile/Files/2021/3/31/16485185341770b59-1.pdf

[5]中国人类遗传资源国际合作临床试验备案范围和程序, accessed August 20, 2025, https://www.nhc.gov.cn/qjjys/rlyczygl/202503/3b99b808608240878f866e53ce3a8e36/files/1746832737326_97358.pdf

[6]一条产妇信息售价50元——记者调查医疗信息泄露问题 - 新华网, accessed August 20, 2025, http://www.xinhuanet.com/legal/20250506/3875185ac00b4d299d8e4eb39d7f2bac/c.html

[7]论健康医疗大数据保护的相对安全观- PMC, accessed August 20, 2025, https://pmc.ncbi.nlm.nih.gov/articles/PMC10400823/

[8]《人口健康信息管理办法（试行）》解读 - 国家卫生健康委员会, accessed August 20, 2025, https://www.nhc.gov.cn/guihuaxxs/c100132/201405/a2ed953ab07d4de39be6bd1f894ddd19.shtml

[9]药品、医疗器械、保健食品及医疗广告合规 - China Law Insight, accessed August 20, 2025, https://www.chinalawinsight.com/2021/07/articles/compliance/%E8%8D%AF%E5%93%81%E3%80%81%E5%8C%BB%E7%96%97%E5%99%A8%E6%A2%B0%E3%80%81%E4%BF%9D%E5%81%A5%E9%A3%9F%E5%93%81%E5%8F%8A%E5%8C%BB%E7%96%97%E5%B9%BF%E5%91%8A%E5%90%88%E8%A7%84/

[10]《医药工业数智化转型实施方案(2025—2030年)》解读 - 中国政府网, accessed August 20, 2025, https://www.gov.cn/zhengce/202504/content_7020850.htm

[11]【医疗数据资产专栏】医疗数据资产化的重要前提：数据安全和价值视角下的分类分级（下）, accessed August 20, 2025, https://www.hit180.com/64713.html

[12]大数据在各行各业的应用（二）——以医药生物行业为例 - 深圳高等金融研究院, accessed August 20, 2025, https://sfi.cuhk.edu.cn/zh-hans/node/7807

[13]医药与医疗器械- 客户案例| 邓白氏-全球商业信息服务机构, accessed August 20, 2025, https://www.dnb.com.cn/use-case/pharmaceuticals-and-medical-devices.html

[14]价值导向，势在必行：中国制药企业的数字化转型– McKinsey Greater China - 麦肯锡, accessed August 20, 2025, https://www.mckinsey.com.cn/%E4%BB%B7%E5%80%BC%E5%AF%BC%E5%90%91%EF%BC%8C%E5%8A%BF%E5%9C%A8%E5%BF%85%E8%A1%8C%EF%BC%9A%E4%B8%AD%E5%9B%BD%E5%88%B6%E8%8D%AF%E4%BC%81%E4%B8%9A%E7%9A%84%E6%95%B0%E5%AD%97%E5%8C%96%E8%BD%AC%E5%9E%8B/

[15]百度个人信息保护社会责任报告 - 百度隐私保护平台, accessed August 20, 2025, https://privacy.baidu.com/organization/reports

[16]隐私政策 - 同方全球人寿, accessed August 20, 2025, https://www.aegonthtf.com/yszc/

[17]叮当快药-28分钟送药到家,夜间送药 - App Store, accessed August 20, 2025, https://apps.apple.com/cn/app/%E5%8F%AE%E5%BD%93%E5%BF%AB%E8%8D%AF-28%E5%88%86%E9%92%9F%E9%80%81%E8%8D%AF%E5%88%B0%E5%AE%B6-%E5%A4%9C%E9%97%B4%E9%80%81%E8%8D%AF/id961159303

[18]科技部：六单位违反中国人类遗传资源管理规定被罚 - 新闻, accessed August 20, 2025, https://news.sciencenet.cn/htmlnews/2018/10/419110.shtm

[19]六家单位被科技部处罚！一部暂行了二十年的法规终于“出手”，添先进，德恒律师事务所，2018.11

[20]【新闻资讯】华大基因被罚！14万孕妇基因组已流到国外，细思极恐！ - 宁波市第一医院, accessed August 20, 2025, http://www.nbdyyy.com/art/2018/10/26/art_16256_637531.html

[21]科技部处罚华大基因等涉及违规传递人遗资源信息出境 - Caixin, accessed August 20, 2025, https://companies.caixin.com/2018-10-26/101339517.html

[22]行政处罚决定书国科罚〔2015〕2号, accessed August 20, 2025, https://www.most.gov.cn/xxgk/xinxifenlei/fdzdgknr/xzcf/202302/t20230228_184773.html

[23]网络数据安全管理条例_信息产业（含电信）_中国政府网, accessed August 20, 2025, https://www.gov.cn/zhengce/content/202409/content_6977766.htm

[24]【医疗医药行业合规】医疗医药行业数据合规最新趋势与实践经验分享 - LCOUNCIL, accessed August 20, 2025, http://lcouncil.com/pd.jsp?id=2878

[25]乐城先行区真实世界数据研究过程中数据合规问题探析, accessed August 20, 2025, https://hnrws.cn/uploads/file/20220316/10/5b86b085014f189486165eec284c4989.pdf

[26]处方药乱填病情也能开！8岁男孩信息开出脑梗药，平台审核成摆设？—北京商报2025年03月18日：https://mp.weixin.qq.com/s/OQGmMxmiq0l8PnwfEn9LLA

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。