医疗数据法律探析（四）：医疗器械企业之医疗数据治理与合规

2025-11-14

数字化时代，医疗器械在临床试验、检验、销售及临床应用过程中持续产生海量数据，如何合规地治理与利用这些数据，成为医疗器械企业合规运营和创新发展的关键课题。本文试图系统梳理医疗器械企业在中国境内外医疗数据合规所面临的法律框架和实践要点，探讨医疗器械典型业务场景和上市公司合规实践，并提出医疗器械企业数据治理与合规体系建设的路径建议。

一、中国医疗器械行业相关法律法规

如《医疗数据法律探析》系列前三篇文章所呈现，中国已构建起由《网络安全法》《数据安全法》《个人信息保护法》等数据安全法律体系，以及医疗健康行业特别规定共同组成的医疗数据合规法律框架。在此框架下，不同类型的医疗数据被划分为个人信息、敏感个人信息、重要数据、核心数据等类别，分别适用差异化的合规要求。医疗领域的重要数据和核心数据范围已由卫健委、药监局等部门予以明确。此前已就通用数据安全法律体系作详细论述，本篇不再赘述，主要就医疗器械领域相关法律法规进行介绍。

（一）医疗器械行业专项法规

在通用立法之外，医疗器械监管法规对涉及的数据活动有明确要求。

医疗器械领域基础的行政法规《医疗器械监督管理条例》（2024修订）（“《医械监管条例》”），有对医疗器械研发、生产、经营各环节数据造假行为惩处性规定，尤其强调医疗器械临床试验数据的真实性、完整性。例如，该条例第95条和第96条规定，对提供虚假临床试验报告或虚假检验报告等行为处以严厉处罚，处罚方式包括：罚款（10万元-30万）、没收单位违法所得、十年禁止期、相关责任人违法所得将被没收并处以所得0.3~3倍罚款等 。《医械监管条例》的这些规定强化体现了监管部门对医疗器械临床试验和检验数据真实性的高度重视。同时，该条例要求医疗器械注册申请人、备案人提交的资料必须合法、真实、准确、完整、可追溯，否则将承担法律责任 。

（二）药监局规章和规范性文件

与《医械监管条例》配套，国家药监局发布了一系列规章和规范性文件进一步细化医疗器械的数据管理要求：

——《医疗器械临床试验数据递交要求注册审查指导原则》（2021年）及配套的体外诊断试剂数据递交要求：指导企业规范收集、整理、分析并提交临床试验数据，提升数据质量和可审评性 。这实际上倒逼企业在试验过程中加强数据管理，如采用电子数据采集（EDC）系统等，提高准确性和透明度 。

——《医疗器械临床试验质量管理规范》（2022年修订）（即医疗器械GCP）：要求临床试验各方保障受试者权益和试验数据质量，对知情同意、记录保存等作出规范，确保试验数据可核查和溯源。

——《医疗器械临床试验项目检查要点及判定原则》（2025年修订）：明确了检查临床试验数据真实性的6大要点，包括受试者信息、试验过程、记录与报告等方面，列举了编造受试者信息、捏造研究数据等具体违规情形。这为监管部门稽查临床试验提供了标准，对数据作假形成震慑。

——《医疗器械生产监督管理办法》（2022）、《医疗器械经营监督管理办法》（2022年）：强化了医疗器械生产经营过程的数据记录要求。其中《医疗器械经营监督管理办法》第38条规定第二类、第三类医疗器械批发企业和第三类零售企业必须建立销售记录制度，详细记录进货来源、销售去向等以实现产品追溯。销售记录需包括医疗器械名称、型号规格、批号、有效期、销售日期、购货者名称地址及联系方式、相关许可证编号等信息。

——《医疗器械网络销售监督管理办法》（2017）：规范了医疗器械电商平台的数据管理。该办法定义了医疗器械网络交易第三方平台提供者的义务，要求其审查入驻企业资质，保存交易数据并及时向监管部门提供追溯信息等。医疗器械电商平台会收集大量第三方商户和用户的信息数据，因此办法强调平台运营者要建立健全平台规则、隐私政策，保障平台上数据处理活动的合法合规。平台对接入的商户和服务商负有数据安全管理责任，应通过合同明确第三方的数据安全义务，并督促其落实安全措施。这些规定体现出医疗器械行业在“互联网+”模式下对平台数据治理的要求。

上述规范和要求本质上是在构建医疗器械全链条的数据追踪体系，保证医疗器械相关数据全链条信息真实可查。最重要的下游场景，医疗器械使用单位（如医院），也被要求按说明书对大型设备的使用维护进行记录，并为长使用寿命的大型设备建立使用档案，记录其使用、保养、转让等情况 。这些都是医疗器械领域数据可追溯性和真实性要求的体现，对于保障器械安全使用和有效监管具有重要意义。

（三）国家标准及行业标准

我国制定了一系列数据安全和个人信息保护的国家标准、行业标准，为医疗器械企业合规提供操作性指南。GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》于2021年7月实施，适用于医疗健康数据控制者，该指南建立了健康医疗数据的分类体系，将数据细分为六类，并按敏感程度分为五级；同时规定了数据使用披露的原则、安全防护措施以及典型场景下的数据安全分析等。例如，指南第11部分针对8个代表性场景（包括临床研究数据、个人健康设备数据、移动医疗App数据、医疗器械数据等）给出了安全防护建议，具有很强的实操性。虽然该标准不具备强制法律效力，用语上多用“宜”以示建议。企业在合规过程中可将其作为参考，与《个人信息安全规范》（GB/T 35273-2020）等标准以及上述法律法规要求相结合。

此外，一些地方和行业协会也发布了团体标准，如广东省计算机信息网络安全协会牵头制定的《健康医疗数据合规流通标准》（T/GDNS 002—2023），面向医疗机构、医药企业、医疗器械企业的数据共享流通提供合规指引。虽然团体标准不具法律强制性，但体现了行业对平衡数据价值利用与个人信息保护的探索，可作为医疗器械企业完善内部标准的参考对象。

二、境外借鉴：欧美医械产业数据合规要求

在全球市场中运营的医疗器械企业，必须同步满足目标国家或地区的医疗数据保护合规要求。欧盟以《通用数据保护条例（GDPR）》为核心，辅以医疗器械法规（MDR/IVDR）等，对医疗数据的处理提出了严格标准；美国则通过《健康保险可携性和责任法案（HIPAA）》等保护个人健康信息，并由FDA监管医疗器械的数据安全。下面分别介绍欧盟和美国的主要合规要求及其对中国企业出海的影响。

（一）欧盟GDPR及医疗器械法规要求

1.个人数据保护

欧盟GDPR自2018年施行以来，被誉为“史上最严”数据保护法。它适用于任何在欧盟境内处理个人数据的组织，以及虽不在欧盟但处理欧盟居民个人数据的组织。这意味着中国医疗器械企业只要收集了欧盟用户的个人数据（例如通过远程医疗设备、移动App等），即使公司不在当地，也要遵守GDPR。GDPR将健康信息归为特殊类别的个人数据（special category data），要求更高保护：一般只有在获得明确的、知情的、自由给予的“显式同意”（explicit consent）情况下，才能处理个人健康数据。同意必须是特定目的的，告知充分且语言清晰易懂，不能默认勾选，数据主体有权撤回同意。比中国类似法律要求更严格的是，GDPR赋予个人“被遗忘权”、数据可携带权等权利，个人可以请求企业删除其数据、获取副本、限制处理等。

2.安全和合规义务

GDPR要求数据控制者和处理者都对合规负责。医疗器械公司如果直接决定数据处理目的手段，就是数据控制者，需要全面落实合规措施；如受他人委托处理，也是数据处理者，同样有安全义务 。GDPR强调“隐私设计与默认”原则，要求在产品和业务流程设计之初就考虑数据最小化和安全，并默认采用对隐私影响最小的设置。对于医疗器械的软件，企业需要在开发阶段引入隐私保护措施，例如仅收集必要的数据，默认关闭非必要的数据分享功能等。此外，GDPR要求采取适当的技术和组织安全措施保障数据的机密性、完整性和可用性，防止意外或非法的破坏、丢失、泄露等 。这实际上要求医疗器械企业建立类似ISO27001的信息安全管理体系，并定期评估改进。GDPR还规定一旦发生严重的数据泄露，需要在72小时内通知监管机构和受影响的个人。因此企业必须有完善的数据泄露响应机制。对违反GDPR的行为，监管机构可施以高达2000万欧元或企业全球年营业额4%的巨额罚款，这对企业是一种强力震慑。

医疗器械法规（MDR/IVDR）：欧盟于2021年起全面实施新的《医疗器械法规（MDR）》和《体外诊断医疗器械法规（IVDR）》。这些法规主要关注器械的安全有效性和监管管理，但其中也包含与数据相关的要求：一方面，MDR强调了器械生命周期内的安全，包括网络安全和数据保护。例如MDR附件I的基本安全性能要求中指出，含电子系统或软件的器械必须确保其网络安全，防止因数据泄露、篡改导致安全风险。欧盟医疗器械协调小组（MDCG）发布的指导文件（如MDCG 2019-16）更是明确，制造商在设计器械时应考虑隐私保护，确保器械符合GDPR要求。这意味着如果医疗器械收集处理患者数据，制造商在符合MDR的同时，也应达到GDPR标准，二者相辅相成。实际上，GDPR合规是MDR合规的前提。比如一款医疗可穿戴设备，如果根据MDR被认定为医疗器械，那么它在欧盟市场投放前不仅需要通过CE认证证明安全有效，还要证明对用户个人数据的处理符合GDPR，否则将无法合法销售。另一方面，MDR/IVDR引入的唯一器械标识（UDI）系统、上市后监测和不良事件报告等，也会产生和处理大量数据。企业需妥善管理这些数据，保证其质量和安全，并遵守相关隐私规定（例如不良事件报告中可能含有患者个案信息，需脱敏或符合法律授权才能对监管机构之外的其他方披露）。此外，欧盟各国对健康数据的使用还有本国法规（如德国数字医疗法等），企业在开展临床试验或远程医疗服务时，也要留意当地的附加要求。

总的来说，欧盟对医疗器械相关数据施行强隐私+强安全的双重监管模式，中国企业若计划进入欧盟市场，须提早建立GDPR合规体系，包含委任欧盟代表、设立数据保护官（若满足条件）、执行数据保护影响评估、签署标准合同条款（SCC）应对数据跨境传输等措施 。这将有助于企业顺利通过欧盟监管审查，取得CE认证进入市场。

（二）美国HIPAA及FDA监管要求

1.HIPAA对医疗数据的保护

美国的医疗数据保护以1996年的《健康保险携带和责任法案》（HIPAA）为核心。HIPAA主要调整受保护健康信息（PHI）在医疗服务提供者、医保机构及其业务关联方之间的使用披露。其适用范围取决于数据的来源实体和处理者身份，而不局限于地理所在地。即，只要PHI由美国的“涵盖实体”（如医院、诊所、保险公司等）提供或委托处理，那么无论处理者位于美国本土还是境外，都要遵守HIPAA。例如，一家美国医院将患者影像数据交给中国的医疗器械公司云端平台处理，该中国公司就成为HIPAA下的业务伙伴（Business Associate），必须签署业务伙伴协议（BAA）并履行HIPAA规定的义务。

HIPAA包括隐私规则和安全规则两部分：

——隐私规则限定了PHI的使用和披露，要求未经患者书面授权，不得将可识别的健康信息用于治疗、支付、运营以外的目的（治疗、支付、医疗运营这三类用途被视为法定豁免，可在授权外使用，但也仅限相关范围内）。比如医疗器械公司作为业务伙伴，不能私自将患者数据用于科研或营销，除非数据已去识别化（de-identified）处理或获得患者同意。

——安全规则则要求业务伙伴对电子PHI采取适当的行政、物理、技术安全措施，保障其机密性、完整性、可用性，防止数据被泄漏、篡改或丢失 。这实际上要求公司建立信息安全程序，包括访问控制、加密、审计追踪、应急计划等 。如果发生PHI泄露事件，根据美国HITECH法案，业务伙伴需及时通知涵盖实体，后者在一定条件下还需通知受影响患者和联邦卫生与公众服务部（HHS）。

HIPAA违规会导致严厉处罚，从每项违规数千美元到年罚款上限百万美元不等，情节严重者甚至可能承担刑责。因此，进入美国市场的中国医疗器械企业，应仔细评估自身是否会接触PHI：如果设备或服务直接面向患者且独立于医疗提供者，可能不属于HIPAA调节范围，但其数据仍受一般消费者隐私保护（例如FTC/美国联邦贸易委员会可能监管）；但如果与医院等开展合作或提供云服务，那么极大概率成为HIPAA业务伙伴，必须建立符合HIPAA的隐私与安全合规计划。这包括制定隐私政策、指定隐私/安全官员、员工培训、签署BAA、风险评估和定期审计等。特别是PHI若要跨境传输回中国存储，医院通常会在BAA中要求严格的保障，如强加密、限制访问、可能还要求数据驻留美国服务器等，以符合HIPAA和患者预期。

2.FDA相关监管要求

FDA对医疗器械数据与网络安全的监管：作为医疗器械监管的主管，美国食品药品监督管理局（FDA）关注医疗器械在设计和整个生命周期中的网络安全和数据安全。随着医疗设备日益数字化、联网，FDA已发布多份指导原则来帮助厂商加强器械的网络安全合规。例如，FDA早在2014年和2018年就发布了关于医疗器械网络安全的指南文件，并在2022年发布更新稿，将网络安全要求纳入质量体系考虑。FDA要求制造商在产品设计阶段就考虑所有可能的安全漏洞并进行防护。具体措施包括：访问控制（如用户身份鉴别、权限管理）、数据加密、活动日志和审计追踪、自动超时注销、防止恶意代码等。这些要求的目标不仅是保护患者数据隐私，更是为了防止网络攻击导致设备功能失灵，从而危及患者安全。

FDA强调，医疗器械全生命周期内都要保障患者数据的保密性、完整性、可用性。在上市前，FDA通过审查要求确保厂商已经建立充分的网络安全措施。例如，提交510(k)或PMA申请时需要提供网络安全信息，包括威胁风险分析、控制措施、说明如果数据被未授权访问会如何应对等。如网络安全方面资料不足，FDA可能会拒绝产品上市许可。上市后，如果发现新的漏洞或发生网络安全事件，FDA期望厂商及时通知用户和采取补救措施，有必要时甚至发布安全通讯或产品召回。美国近年通过的《2021医疗器械安全法案》也加强了这方面要求，规定某些联网医疗器械在申报上市时必须提交网络安全计划。

因此，中国医疗器械企业出口美国时，应当严格对标FDA的网络安全要求，对产品进行威胁建模和渗透测试，完善数据加密、访问控制等功能，撰写充分的网络安全文档。只有这样，才能顺利获取FDA批准并避免因数据安全隐患被监管点名甚至阻断市场准入。同时，FDA和FTC也关注企业对用户隐私的承诺，如果医疗器械伴随移动应用直接收集消费者健康数据，虽不属于HIPAA调整，也可能受到FTC依据其消费者保护法的执法（例如不得作出误导性的隐私承诺、要对敏感信息提供合理安全保护）。

综上，美国对医疗数据的监管呈现出医疗场景分层的特点：医疗服务体系内的PHI由HIPAA严格规范，而体系外的消费者健康数据目前主要靠行业自律和一般法律，但趋势是强化保护。此外，美国对于境外公司获取美国用户健康数据日趋敏感，从国家安全角度亦有所涉及（如曾有中资背景公司被要求剥离敏感健康数据资产）。因此中国企业在美运营，最好采取数据本地化或去标识化等策略，将敏感个人健康数据留在美国本土或确保中国母公司无法直接关联个人身份，从而降低地缘政治因素带来的合规风险。

（三）对中国医械数据合规的启示

总体而言，欧美对医疗器械相关数据的监管强调两个关键词：患者隐私和系统安全。欧盟以患者隐私为核心，通过GDPR等给予个人高度的数据权利，同时要求企业落实强有力的安全措施 ；美国则既关注患者隐私（HIPAA框架下），又非常重视设备本身的网络安全对患者安全的影响 。

这要求中国医疗器械企业在出海时，必须做好“两手准备”：

——一手抓隐私合规——建立全球统一的隐私保护体系，根据不同国家要求调整策略（例如提供多语言隐私政策、用户同意流程，满足GDPR/CPRA等法规的不同细节要求）；

——另一手抓网络与数据安全——在产品开发和运维中贯彻“安全即合规”的理念，达到欧美法规的技术标准。

另外，出海企业宜建立专门团队或聘请顾问跟踪各国医疗数据监管动态（如欧盟AI法案、美国州级隐私法等新动向），未雨绸缪地调整合规措施。只有充分理解和尊重本地监管要求，才能在国际市场开拓中行稳致远，避免因数据合规问题导致的法律风险或商业挫折。

三、医械企业关键业务场景数据合规要点

医疗器械企业在日常运营中会遇到多种涉及数据处理的业务场景。不同场景下的数据类型和合规侧重点各有不同，需要企业有针对性地采取合规措施。下选取临床试验数据采集与传输、远程设备数据监测与存储、UDI追溯系统数据处理、医疗器械网络销售医疗数据合规四个典型场景，逐一分析数据合规挑战和要点。

（一）临床试验数据采集与传输合规

许多医疗器械在注册上市前需要进行临床试验以验证安全有效性。企业通常会在医疗机构招募受试者，采集临床数据（如诊断影像、检测指标、疗效观察记录等）并传输给公司研发部门或第三方CRO机构进行分析。随着国际多中心试验增多，数据有时需要跨境传输给境外合作方或监管机构。这个场景涉及大量患者个人医疗信息和研究数据，是高度敏感的合规领域。

关于临床试验数据采集与传输合规，有如下五点重要方面：

——一是要做到严格的伦理审查与告知同意：临床试验必须通过伦理委员会审批，确保对受试者权益保护。医疗器械企业应配合研究者向受试者充分告知试验目的、所需采集的数据类型、可能的隐私风险，以及数据将如何使用和保护，并取得书面同意。对未成年人等特殊人群，还需监护人同意。如果临床试验数据未来计划用于发表论文或共享，则需要提前在同意书中告知并获得许可，否则试验结束后不得擅自公开涉及个人的信息。

——二是要坚持个人健康数据的分类及最小必要原则：临床试验中收集的数据多属于敏感个人信息（医疗健康信息），因此必须按照敏感信息要求进行保护。企业应确保只收集为试验目的所需的最少信息，避免附带无关的个人信息。对于采集的各种数据（影像、化验结果等），要内部分类标记为敏感级别，在传输和存储时加密、防止泄露。

——三是要加强数据真实性和质量控制：医疗器械临床试验数据的真实、准确、完整是合规的底线要求，也是法律强制义务。企业应建立健全试验数据管理计划，包括数据的记录、核查和审计追踪机制，所有原始数据（纸质或电子）都应妥善保存备查。最高法、最高检在2017年出台《关于办理药品、医疗器械注册申请材料造假刑事案件适用法律若干问题的解释》，将恶意数据造假情节严重者纳入刑法规制。因此企业管理层需树立“数据造假零容忍”文化，对临床试验合作方（医院、CRO等）也明确要求真实合规，同时可引入第三方稽查确保数据可靠。‌

——四是要规范数据传输与跨境合规：临床试验数据通常需要在研究者、监查人员、统计分析人员之间传递，企业应确保传输渠道安全。例如通过加密的临床数据管理平台分享数据，避免用普通邮件发送敏感数据。如需将数据传出境外（比如提交境外监管审批或与境外研发团队共享），要考虑数据出境合规。同时，需征求受试者在知情同意时对数据出境的许可。如果试验由国外赞助商主导，中国机构只是参与，那么在签订试验协议时就应明确数据留存在境内的要求或出境的流程。企业也可选择在境内完成数据分析，只输出分析报告，从而避免个人数据出境。在跨境多中心试验中，还要同步遵守各国对试验数据的要求。总之，临床试验数据的跨境传输必须合法、安全、最小化，既维护受试者隐私权，也满足各监管方需求。

——最后要关注试验数据的后续使用与销毁：临床试验结束后，企业往往希望留存数据用于支持注册申报或进一步科研。合规上需要注意数据的生命周期管理。当初承诺只为试验目的使用的数据，不得挪作他用，除非再次取得授权。企业若计划开展回顾性分析，应对数据进行充分匿名化，确保无法溯回个人身份。在满足法定保存年限（一般不少于10年）后，应根据公司制度对试验数据进行安全销毁或长期封存。因此，企业应制定临床试验数据管理标准操作规程，涵盖数据采集、存储、备份、传输、归档和销毁每个环节，确保试验数据始终处于受控和受保护状态。

综上，临床试验数据场景下，医疗器械企业需要坚持“以受试者为中心”的合规理念，确保伦理先行、知情充分，数据最小化且真实可靠。在此基础上，通过完善的数据管理系统和流程，实现对数据全生命周期的安全合规管控。

（二）远程设备数据监测与存储合规

现代医疗器械越来越多地具备联网和远程监测功能。例如：植入式心脏起搏器可通过家庭基站将患者心率等数据上传；智能可穿戴医疗设备（血糖仪、血压计等）通过手机App与云端服务器同步用户健康数据；大型医疗设备（CT机、监护仪）支持厂家远程监控运行状态甚至远程诊断故障。这些远程医疗设备数据的采集和存储为医疗服务带来便利的同时，也涉及对患者/用户个人健康数据的持续处理，并可能牵涉数据跨境流动。因此，其合规要求尤为突出。

关于远程设备数据监测与存储合规，应重点关注如下几个方面：

——一是要加强用户知情与授权：当医疗器械具有联网采集个人数据的功能时，企业必须确保用户在使用前已明确知晓并授权相关数据处理。这通常通过用户协议和隐私政策来实现。合规的隐私政策应避免笼统含糊地表述，不得以默认勾选或捆绑方式获取同意。特别地，由于健康数据是敏感个人信息，隐私政策中应要求用户进行单独的确认操作表示同意，比如勾选专门的复选框同意采集健康数据。另外，如果设备可能采集定位信息（如手持超声设备上传时附带位置信息），这也是敏感个人信息的一种，也要单独征求。对不愿上传数据的用户，企业应提供基本功能的离线模式或明确告知不同意上传将导致哪些功能无法使用。总之，让用户充分了解并自愿选择，是远程设备数据合规处理的第一步。

——二是注重数据最小化与目的限定：远程设备往往可以采集多种数据，但企业应遵循最小必要原则，仅收集为实现设备核心功能所需的数据。有时出于提供增值服务的考虑，厂商可能想收集更多用户习惯数据，这需要谨慎权衡。如果额外数据与设备主功能直接无关，应当另行征得用户同意或至少给予关闭选项。数据用途上，也必须限定在同意范围内。远程设备采集的数据通常用于健康监测和设备性能改进，企业不得擅自将其用于其他目的（例如商业营销、广告推荐），除非再次取得用户许可。

——三是做好跨境数据流动控制：值得注意的是，不少高端医疗设备的远程监控服务由境外厂商提供，例如大型影像设备会连接厂家在海外的服务器。这样的数据跨境现象在医疗器械领域并不罕见。根据中国法规，涉及中国境内个人信息和重要数据出境需要经过合规评估和履行相应手续。医疗器械企业应首先评估此类远程数据是否存储在境外或传输至境外服务器。如果是，应尽量推动本地化部署。如果完全做不到本地化（例如设备实时连接制造商全球云平台），则企业需要采取合规通道：对于个人信息出境，判断是否达到需要申报安全评估的规模或性质，如达不到则签署标准合同并完成备案；若涉及重要数据（比如全国多台设备运行状态汇总可能被视为重要数据），则应向网信办申请数据出境安全评估批准。此外还要符合国外所在地的法律要求。企业应对每款联网设备进行跨境数据风险评估。如果风险高，应考虑技术上减少跨境。对于仍需跨境的部分，要确保已与用户说明并取得认可。在中国监管层面，对于进口设备将数据上传出境亦日趋关注，企业有必要提前报备说明，以免日后陷入合规被动。

另外，从技术角度，企业还需系统加强数据传输和存储安全管理，并关注设备网络安全与数据完整性。

综上，远程设备数据监测场景要求医疗器械企业在技术和管理两方面同时发力：一方面通过完善产品设计和云安全架构确保数据传输存储万无一失，另一方面通过透明告知和用户授权确保数据使用获得正当合法性。通过最小化、加密、分级存储等措施，在提供优质远程医疗服务的同时，将对用户隐私的影响降到最低，从而实现商业价值与合规要求的平衡。

（三）UDI追溯系统数据处理合规

UDI（Unique Device Identification，即唯一器械标识）系统是医疗器械监管的重要手段，旨在给每件医疗器械赋予全球唯一的标识并建立追溯体系。国家药监局近年全面推行UDI制度，要求企业在器械生产、流通和使用环节采集、上传相应数据，实现器械来源可查、去向可追。典型的数据包括：产品基本标识数据，生产批号/序列号，供应链流转信息（销售去向、购货者信息等），以及在使用单位的使用和维护记录等。这些数据由医疗器械注册人、经营企业、使用单位等共同生成，部分需上传至监管系统，部分在企业内部系统留存备查。UDI追溯体系涉及的数据主要是产品和交易信息，但其中也可能包含个人信息（如购货者联系人、设备使用中的患者信息）等。因此企业需要妥善处理此类数据，既满足监管要求又保护相关主体隐私安全。

关于UDI追溯系统数据处理合规，有如下三个方面需给予重点注意：

——一是要确保数据真实、准确、可追溯，UDI追溯的核心价值在于数据质量。法规要求医疗器械注册人/备案人必须确保提交的UDI相关资料合法、真实、准确、完整、可追溯。经营企业也要建立进货查验记录和销售记录，做到真实、准确、完整、可追溯 。这意味着企业必须建立严格的内部流程来采集和维护追溯数据。

——二是加强个人信息保护。UDI系统本身主要涉及产品信息，但在销售记录中往往包含购货者或客户的名称、地址、联系方式等 。企业需遵守个人信息保护法，在收集客户信息时应告知其用途（用于建立器械追溯、售后服务等）并取得同意（例如经销合同或交易条款中写明数据用于追溯目的，客户选择交易即视为同意），同时要落实最小必要原则；超出追溯需要的个人信息不应额外收集。对已收集的客户个人信息，要严格访问控制，仅限追溯管理相关人员查阅。系统应对查询日志留痕，以防内部人员滥用客户信息。企业还应制定隐私政策涵盖此类客户信息处理，允许客户根据法规行使查询、更正等权利。

——三是是规范对外提供和监管报送：医疗器械企业除了内部维护UDI数据，还需要按监管要求将部分数据报送至国家UDI数据库或提供给下游/上游合作方。数据安全法提倡在共享重要数据时签署数据安全责任协议 ，企业可在与合作伙伴合同中增加一条，限定对方使用追溯数据仅为合规追溯目的，不得另行复制或泄露，并要求其采取安全措施保护数据 。同时企业应留存日志，记录每次对外提供数据的内容、时间和对象，以备监管检查 。对于监管机构的查询和调阅（如不良事件调查需要企业提供特定产品追溯信息），企业要积极配合，这在法律上属于无需另行同意即可提供数据的情形（法律法规要求或公共利益需要） 。但提供过程中也应注意仅限相关数据、隐藏无关个人信息，以履行监管义务的同时维护隐私最小化。

综上，在UDI追溯场景中，医疗器械企业需要做到两手抓：一手抓数据真实性和完整性，满足监管追溯要求；另一手抓数据安全与隐私保护，确保追溯体系不因数据泄露或滥用而损害相关方权益。通过建立完善的追溯数据管理制度，应用信息技术强化数据收集和核查，并融合个人信息保护规范，企业可以实现“源清流洁”：既让每一件产品来源去向清清楚楚，又让每一条涉及个人的信息处理合情合法，维护追溯体系的权威性和公信力。

（四）医疗器械网络销售医疗数据合规

随着“互联网＋医疗健康”与医疗器械电商化趋势的加速，中国医疗器械网络销售模式呈现出从传统 B2B 到 B2C、C2C、多平台融合的结构性变革。医疗器械网络交易涉及大量消费者个人信息、医疗健康信息、设备使用数据与交易行为数据，在电商高渗透率、数据高敏感性与平台高集中度背景下，中国医疗器械网络销售中的医疗数据合规风险呈现系统性、结构性与技术性新特征。医疗数据具有敏感性与公共性，因此如何在电商环境下保护医疗器械相关数据权利，是当前中国法律与监管框架面临的重要挑战。

2017年《医疗器械网络销售监督管理办法》（国家药监局令第38号）是最直接的行业规制，明确以下内容：

——网络交易平台提供者义务：必须审查经营者资质、保存交易数据、采取技术措施保障信息安全；

——交易数据留存义务：平台应当保存交易数据并向监管部门提供追溯信息；

——不得编造虚假交易数据：同时涉及数据真实性要求；

2018年《电子商务法》则专门针对电子商务经营者收集、使用消费者个人信息的行为进行了约束，规定电子商务经营者收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定，遵循合法、正当、必要的原则，其中不得泄露消费者信息：属于行业专法对数据安全的特别规定，同样适用于医疗器械网络销售场景。

网络销售场景下存在三类主要数据处理主体，三者共同处理“医疗器械交易数据”，但法律义务的层级不同：

—— 平台方（数据控制者）承担“更高强度的安全义务”；

——经营者（数据处理者）对非法收集、违法使用信息承担相关责任；和

——第三方（物流、支付等处理者）则受委托处理。

近年来省级药监部门多次查处医械网络销售数据违法行为，例如：非法收集用户身份信息、未取得单独同意处理敏感信息、未按规定留存交易数据、隐私政策不规范。而典型特点体现在，主要问题集中在网络平台端、数据处理行为往往超出必要范围、多涉及虚假宣传、夸大功效与隐私侵犯交织的违法行为。

医疗器械网络销售企业面临复杂的医疗数据合规要求，需严格遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规，确保数据在采集、存储、传输、共享和销毁全生命周期内安全合规。企业应重点关注用户隐私保护，明确数据采集范围与用途，采取最小必要原则，落实加密传输、分级存储和访问权限控制，强化数据泄露应急响应与监管配合机制。

四、医械上市公司数据治理实践

数据合规不仅是法律要求，也是企业管理的重要组成部分。中国头部医疗器械上市公司在数据治理与合规方面已有诸多实践经验，下选取迈瑞医疗和联影医疗两家上市公司，基于其公开年报、环境社会治理（ESG）报告等信息，对其在数据架构、隐私合规、数据治理体系和合规制度设计进行分析。

迈瑞医疗

迈瑞医疗作为中国医疗器械领域的领军企业，已建立起全面的数据合规治理架构：

——在高层统筹与组织架构方面：迈瑞在集团层面设立了合规委员会作为数据安全及隐私保护管理的最高管理机构。该委员会之下专门设有“数据安全委员会”等分支机构，聚焦数据合规事务。同时，集团合规办公室是日常执行部门，主要负责监督和管理全集团的数据安全与隐私合规工作，包括个人信息保护在内。这种组织架构将数据治理提升到公司治理的高度，由高层直接领导，确保了资源投入和跨部门协调。在数据安全负责人方面，迈瑞明确了专职的负责人（或团队）统筹数据保护事务，这符合数据安全法对重要数据处理者的要求 。通过成立高规格的数据安全管理组织，迈瑞确保数据治理有权威领导和清晰分工，为制度落实提供了组织保障。

——在制度体系与标准方面: 迈瑞制定了完善的内部合规制度，将数据保护要求嵌入公司规章和员工行为规范中 。它遵循ISO/IEC 27001信息安全管理体系和ISO/IEC 27701隐私信息管理体系等国际标准，建立了覆盖技术和管理的全套措施来保护个人信息 。例如，迈瑞的隐私政策中明确提到遵循上述ISO标准，并采取各种技术和组织措施保护个人信息 。可以推测，这包括访问控制、加密存储、权限分级、日志监控等具体措施。同时，迈瑞将数据合规要求融入公司章程、业务流程和员工绩效考核，将合规责任压实到各岗位。据报道，迈瑞每年还会定期向管理层汇报产品网络安全规划与进展，以确保高层知情并支持改进。迈瑞通过内外部标准相结合，搭建了完善的数据安全合规管理体系，做到有规可依、有据可查。

——在数据分类分级与风险管控方面：作为医疗器械企业，迈瑞处理的数据种类繁多，包括产品研发数据、临床试验数据、客户及患者信息等。根据监管要求和公司实际，迈瑞建立了数据分级分类制度，将各类数据划分等级1-5级，并针对不同级别制定相应管理和安全措施 。这意味着高度敏感或重要的数据会施以更严密的控制（如核心研发资料、患者敏感信息），一般数据则采取常规保护即可，做到资源合理分配。迈瑞还开展数据合规审计和风险评估，对重要数据处理活动定期进行检查评估，并将评估报告报送主管部门。例如，对于涉及个人敏感信息的大型项目，可能会预先做个人信息影响评估，运行中持续监测是否有泄露风险点，并每年向监管报告风险情况。这种主动审计与监管沟通机制，使迈瑞能及时发现隐患并整改，防患于未然，也体现出头部企业对法规遵从的重视。

联影医疗

联影医疗作为2022年刚IPO登陆科创板的国产医疗器械龙头企业，同样非常重视医疗数据的合规工作，既建立了整个集团层面董事会领导下的合规架构，也特别建立了集团层面的信息安全管理组织架构（见如下二图）。文章篇幅所限，不展开，有兴趣的读者可查阅《上海联影医疗科技股份有限公司2024年度环境、社会与治理报告》。

五、医械企业数据治理与合规体系建设路径探讨

面对日益严峻的监管环境和数据安全挑战，医疗器械企业须构建面向未来的数据治理与合规体系。这一体系不应只是被动应付检查的工具，而应成为企业运营管理的有机组成部分，可考虑从以下方面入手：

一是加强数据资产梳理与分类分级：企业需要全面了解自身持有的数据资产，才能实施针对性地管理。首先开展数据资产清查，列出公司业务流程涉及的各类数据，包括科研、生产、销售、售后、客户、员工等数据。对每类数据评估其性质和敏感程度，按照法规和行业标准进行分类分级。企业应定期更新数据资产清单，特别在新项目上线或业务变化时及时补充。

二是完善跨境数据管理机制：鉴于许多医疗器械企业都有出海业务，必须建立规范的跨境数据管理机制，规定凡涉及数据出境的行为均需评估备案。明确什么情形需要申报安全评估，什么需要签标准合同，流程如何走，责任部门是谁。企业可以准备标准化的出境评估模板，由需求部门填写，合规部门审核决定采用何种合规路径。同时，落实出境前影响评估制度，在数据首次出境前，对个人权益影响、潜在风险进行评估并存档。对已在进行的跨境数据传输，建立监控和年度复评机制。对于涉及境外的合作合同，统一增加数据跨境合规条款，要求境外合作方配合中方履行法律义务（如同意接受中国标准合同约束等）。

三是健全数据合规制度与流程：在组织和分类的基础上，企业需建立完整数据合规管理制度，覆盖数据生命周期各环节和各类场景。 可以借鉴业内标准和规范性文件制定，如基于ISO/IEC27701、GB/T35273等要求，结合企业自身情况编制数据处理标准和操作流程 。

数据治理与合规体系建设是一个持续改进的过程。应定期根据新法律、新技术、新业务调整更新体系内容。只有具备动态调整和学习能力的合规体系，才能真正在保障安全的同时助力企业创新。

医疗器械企业的数据治理与合规之路，需要法律意识与实践智慧并行。通过梳理中国法律框架、借鉴国际经验、深入业务场景分析以及总结头部企业做法，我们可以理解：合规并非企业发展对立面，而是企业行稳致远的底座。大健康企业的合规工作与每个人的健康和隐私息息相关——只有当医疗数据被安全合法地使用，我们才能安心享受科技带来的高质量医疗服务。特别对医疗器械企业而言，数据合规不仅是必须履行的义务，其实也是提升管理能力和国际竞争力的契机。建立完善的数据治理体系，医疗器械企业将在减少法律风险的同时，相信可更好赢得患者和客户的信任，并积累宝贵的数据资产价值。

注：除特别说明外，本文所用图片源自网络，侵删。

参考文献：

[1]范继文.“平台+多主体”双驱动模式下医疗数据共享规范化策略[J/OL].现代情报,1-14[2025-11-10].https://link.cnki.net/urlid/22.1182.G3.20251021.1818.006.

[2]莫琳芳,李喆,甘辉亮,等.全球视野下医疗人工智能中患者隐私和数据安全：焦点与策略[J].海军军医大学学报,2025,46(08):989-999.DOI:10.16781/j.CN31-2187/R.20250363.

[3]曾益康.数据时代健康信息交换中的隐私保护——以美国《HIPAA法案》为例[J].中国数字医学,2022,17(03):6-10.

[4]武翠丹.健康医疗数据应用的法律规制[J].华东政法大学学报,2025,28(05):68-80.

[5]王凰.中外个人健康医疗数据保护标准比较研究[D].山西大学,2022.

[6]何晶晶,张心宇.中国健康医疗数据跨境流动规制探析[J].国际法研究,2022,(06):62-74.

[7]《迈瑞医疗2024可持续发展报告》

[8]《上海联影医疗科技股份有限公司2024年度环境、社会与治理报告》

[9]《上海联影医疗科技股份有限公司2024年度环境、社会与治理报告》

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。