《数据出境安全评估办法》正式实施数月后，北京市互联网信息办公室（下文简称“北京网信办”）于今年1月发文公示，首都医科大学附属北京友谊医院（下文简称“北京友谊医院”）与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个被北京网信办批准的数据出境安全评估案例（编号20220001）（下文简称“首例”）。数据出境安全评估作为近几年备受关注的热点话题，首例即落在医疗数据领域，可见监管机关对于医疗数据合规出境监管的关切态度，亦一定程度上显示出对医疗数据合规跨境交流与利用的鼓励和认可。根据北京网信办和上海网信办近期发布的通知，目前已有不少药品及医疗器械企业正在提交相关申报材料并等待受理批准。

随着医疗企业数据出境申报工作的陆续开展和获批，医药企业数据出境合规的关注重点也从立法监管逐步转向实践操作，而业内也对医疗数据出境的相关实务落地的相关话题讨论热烈。对于首例对目前医药企业数据出境的实操究竟有多少影响和借鉴，笔者注意到自首例的信息发布之后，医疗行业内专家和相关法律从业者都表达了不同角度的看法，例如：

• 该研究与目前境内企业面临的国际多中心临床试验项目有何异同？

• 北京友谊医院达到何种主体条件或数据门槛而触发了数据出境安全评估的申报义务？

• 该医院的行业主管部门在医疗数据出境安全评估中的角色和参与程度如何？

• “首例”是否将作为医疗数据出境的样板案例进行全国推广？

  … …

针对以上问题，虽然有关“首例”的通知或新闻稿已经可以对部分问题给予回应，但同时仍有大部分问题面临着监管上的留白甚至困境。基于此，笔者将从医疗数据的出境合规角度分上下两部分对“首例”当中涉及的问题提出几点澄清建议，并就所获知的启示予以分享：

经笔者对“首例”项目相关公开信息的梳理，该出境安全评估涉及的项目背景信息主要包括如下内容：

2018年7月，北京友谊医院普外中心受邀参与国际高水平结直肠领域研究第三阶段项目“中低位直肠癌经肛全直肠系膜切除与腹腔镜全直肠系膜切除术多中心随机临床对照研究（COLOR III）”。2022年4月，北京友谊医院成为中低位直肠癌经肛全直肠系膜切除与腹腔镜全直肠系膜切除术多中心随机临床对照研究（COLOR Ⅲ）中全球首个突破百例入组病例的研究中心，该项目旨在为全球直肠癌患者提供更加精准微创的保肛手术方式，目前已经入组研究170例，是COLOR Ⅲ研究全球入组数最多的研究中心。

（图一：COLOR Ⅲ项目研究中心分布，来源COLOR Ⅲ项目官网）

同时，北京友谊医院开始筹备与荷兰阿姆斯特丹医学中心共同牵头发起高质量全球结直肠领域研究的第四个研究项目：“腹腔镜右半结肠癌切除术后腹腔内吻合对比腹腔外吻合前瞻性、多中心、随机对照临床研究（COLOR IV）” 。COLOR IV研究预计将有全球30-50家合作单位参与，将持续至2030年。北京友谊医院副院长、普外中心张忠涛教授与荷兰阿姆斯特丹大学医学中心普通外科的Jaap Bonjer教授，成为该项目的联合发起人（首要研究者，PI）。根据相关公开渠道信息显示，该COLOR IV项目未来3-5年内预计收集1200个左右病例，项目数据将涉及病患敏感信息及医疗跨境研究数据。

2022年9月1日《数据出境安全评估办法》正式实施。为贯彻落实国家数据出境安全评估制度，促进北京市数据跨境安全、自由流动，北京市网信办率先开通全国首个地方申报受理咨询专线，积极开展数据出境安全评估申报受理工作。北京友谊医院成为首批申报单位，北京市网信办将本项目列为北京市先行先试项目。

上述项目筹备阶段，北京友谊医院即启动了该项目的数据出境审批申报工作。具体包括以下几个步骤：

• 医院科技处对该临床研究项目的前期执行情况、科学意义和产出价值、人类遗传资源等方面的情况进行了深入评估，尤其对数据出境与项目实施和产出之间的关系进行了分析，确认数据出境的必要性和科学意义。

• 北京市互联网信息中心对网络安全、数据安全进行了重新评估，确保医院网络安全制度完善、落实有力，安全防范技术能力符合等级保护等标准规范。

• 为规范医院数据出境活动，保护患者个人信息权益，医院还出台了《数据出境安全管理办法》，建立重要数据出境的审核、评估和监督机制，数据出境安全管理坚持事前审核、安全评估和持续监督相结合，防范数据出境安全风险，保障数据依法有序自由流动。

• 2023年2月顺利成为全国首个数据出境安全评估获批案例。

根据上述项目背景并结合各类公开观点，笔者认为首例在数据出境方面的相关信息仍有以下几点问题有待澄清：

（1）主管部门：与通常在临床试验中作为数据处理者的医药企业不同，首例中的数据处理者北京友谊医院为受卫生健康管理部门领导并监管的医疗卫生机构。根据《个人信息保护法》及《数据出境安全评估办法》，网信部门受理申报后可根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。尽管卫生健康管理部门并非是医疗数据出境相关申报事项的主管部门，但据笔者了解，北京友谊医院在《数据出境安全评估办法》出台后即进行首批申报并启动申报工作，卫生健康主管部门在该安全评估中开展了相关指导和委托调研工作，并同时希望通过该首例为行业医疗数据跨境收集使用建立先行先试的案例。

（2）主体性质：首例中的数据处理者北京友谊医院的主体性质为事业单位。根据相关规定，事业单位本身是国家为了社会公益目的，由国家机关举办或者其他组织利用国有资产举办的，从事教育、科技、文化、卫生等活动的社会服务组织。与一般医药企业不同，北京友谊医院的事业单位和大型三甲医院性质，决定了该首例存在主体认定方面的特定性和差异化。

（3）出境必要性和科学意义：在发布的新闻通稿中，北京友谊医院着重强调了其首先对数据出境开展的工作为，“医院科技处对该临床研究项目的前期执行情况、科学意义和产出价值、人类遗传资源等方面的情况进行了深入评估，尤其对数据出境与项目实施和产出之间的关系进行了分析，确认数据出境的必要性和科学意义”。根据现行法规要求，在数据出境时需要就数据出境的“必要性”进行评估，但在首例中将该法定的“必要性”的评估内容扩展并明确为该项目的科学意义、产出价值、数据出境与项目实施和产出之间的关系等内容。

（4）数据出境管理制度：北京友谊医院自身亦出台了内部的《数据出境安全管理办法》，建立了重要数据出境的审核、评估和监督机制。在数据出境方面，与一般医药企业不同，除通常适用的“三法一条例”外，医疗卫生机构还受《医疗卫生机构网络安全管理办法》有关数据出境规定的监管，北京友谊医院在本次数据出境评估中亦显示出其落实了该办法的相关规定。同时，北京友谊医院还接受国家卫健委的委托，就下一步起草有关医疗数据跨境收集使用的安全管理办法进行调研，故该内部的《数据出境安全管理办法》可能在一定程度上吸收了该调研项目的成果。

综上，从首例相关的项目信息不难看出，虽然首例在宣传方面不断被提及其具有“医疗数据”“临床研究项目”等与医药行业数据出境场景强关联的因素，但该案例在发起申报、主管部门参与程度、主体性质、出境必要性和科学意义、适用行业法规等方面具有一定的特定性。对于该案例是否可以作为可参考的医疗数据出境评估典型范例（尤其是对目前行业普遍关注的医药企业所拥有的医疗数据出境安全评估申报项目的参考作用），由网信部门与卫生健康主管部门共同在医疗医药行业进行宣传和推广的问题，笔者认为，该案例可参照程度或有限，且有待进一步观察。当然，首例对医药企业常规的临床试验数据出境仍具有参考价值，笔者将通过场景对比方式在下文中予以总结。

根据目前可查询到的公开信息显示，COLOR Ⅲ和COLOR IV均为国际多中心的临床研究项目，由荷兰或中国的医疗机构作为申办者，并由全球多个医疗机构作为研究中心参与实施并推进该等研究。根据在ClinicalTrials.gov网站的查询，首例涉及COLOR Ⅲ和COLOR IV项目的主体信息分别如下：

COLOR III项目信息（申办方为荷兰阿姆斯特丹医学中心）：

点击可查看大图

COLOR IV项目信息（申办方为北京友谊医院）：

点击可查看大图

由可查询信息得知，相较于医药企业作为申办方开展的国际多中心临床试验（Multi-regional Clinical Trials，下文简称“MRCT”）而言，首例虽然对于临床试验数据的合规出境具有一定的借鉴意义，但从数据出境角度与常规MRCT或境内临床试验数据出境场景仍存在较大差异。以下，笔者就首例与常规MRCT或境内临床试验数据出境场景中的数据处理者内容的差异通过图表比较如下：

点击可查看大图

尽管首例为医药企业就临床数据出境安全评估带来了很多有价值的参考，但受限于首例的特定的背景要素及数据场景，医药企业的数据出境实务中仍有诸多留白而有待将来的立法和行业实践去填补，在此笔者从自身对首例的学习研究，抛出如下一些未决问题，希望与行业法律专家以及广大读者们一起思考和讨论：

1. 医药企业是否会由于临床数据出境行为触发向国家网信办的安全评估申报义务？

在首例案例公布以后，部分医药企业及业内人士注意到该项目为国际多中心临床研究项目，引发了关于涉及临床试验项目的医药企业数据出境是否会像该首例一样需向网信办提交安全评估申报的讨论。笔者认为，首例在数据处理者性质、出境业务场景等方面具有一定的特定性，医药企业是否同样会由于临床数据出境行为触发向国家网信办的安全评估申报义务，还有待于根据各自企业的性质、企业数据出境涉及业务、信息系统情况以及拟出境数据情况观察和分析。

2. 在医药企业涉及健康医疗数据出境安全评估申报工作中，网信部门与相关行业部门的角色定位和分工如何？

无论是针对医疗卫生机构还是涉及健康医疗数据监管的法规中，对于健康医疗数据的境内存储和境外提供均规定了较其他类型数据更为严格的要求，一般会表述为“因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核”，且对于医疗卫生机构和健康医疗数据而言，目前的行业监管部门均为卫生健康主管部门。根据《个人信息保护法》规定，网信部门受理申报后可根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。在首例当中，卫生健康部门作为医疗卫生机构的行业主管部门，对于该项目中涉及的跨境医疗数据利用进行了委托调研和参与。考虑到健康医疗数据的特殊性，与首例当中面临的情况不同，卫生健康部门并非医药企业的行业对口主管部门。因此，在开展涉及健康医疗数据的出境评估过程中，医药企业是否需通过网信部门与其他有关部门（例如药品监管、卫生健康、市场监管部门等）进行沟通协作，以明确该等数据出境的必要性和相关科学意义，目前仍有待于后续立法及监管实践的验证。

3. “首例”之后，常规MRCT或医药企业其他业务场景中还有哪些跨境传输问题仍待解决？

尽管首例在出境数据资产和类型、境内外数据安全保障能力情况、数据制度建设情况等方面可以为常规MRCT或医药企业其他业务场景提供一定可借鉴的内容，但由于首例的相关业务场景与常规MRCT或医药企业其他业务场景存在差异，其是否能够作为行业典型案例适用于医疗数据的跨境传输仍具有不确定性。

同时，北京友谊医院向国家网信办进行安全评估申报，暂未公布其触发了何种申报标准，且其内部评估流程亦与医药企业存在一定差异，后续涉及健康医疗数据出境是否会增加不同于常规数据的特殊评估要求，也需要根据后续评估申报实践加以判断。

4. 行业主管部门是否会针对医疗健康数据的跨境传输出台专门立法？

目前，卫健委针对医疗数据监管所制定的法规主要包括《国家健康医疗大数据标准、安全和服务管理办法（试行）》及《医疗卫生机构网络安全管理办法》等，按照该等规定，涉及医疗数据的跨境传输均应参考其他相关法律法规要求进行安全评估，但并未就医疗数据的跨境处理和利用作出更为细致的规定。在2021年7月，国家卫健委曾于《关于政协十三届全国委员会第四次会议第3854号（医疗体育类381号）提案答复的函》中表示，“我委将积极配合相关部门推动出台有关（注：即针对临床研究数据出境问题）应对办法，并在此基础上推进医疗卫生机构落实相关工作。”考虑到北京友谊医院在“首例”项目中曾接受国家卫健委开展有关医疗数据跨境收集使用的安全管理办法的立法调研，国家卫健委是否会针对健康医疗数据的跨境传输进行专门的行业立法，从而完善对该类数据出境的监管标准，亦需要持续关注。

5. 已经超过《数据出境安全评估办法》规定的6个月整改期未能完成整改和申报的医药企业，是否会受到处罚？对于医疗数据跨境传输违法行为的执法将如何实施？

根据《数据出境安全评估办法》规定，在该办法施行前（2022年9月1日前）已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。根据《个人信息保护法》的相关规定，若处理个人信息未履行规定的个人信息保护义务的，将受到警告、没收违法所得、责令停止服务等处罚，拒不改正或情节严重将受到责令改正、没收违法所得、罚款、停业、吊销业务许可或营业执照等处罚。

截止本文发布之日，目前该期限已经超出月余，暂未看到有相关企业在该期间内以未完成整改为由受到处罚的公开案例，那么何时会出现针对医疗数据出境安全评估的“首例处罚案例”，以及该“首例处罚案例”又将为将来的医疗数据跨境收集使用及其安全监管的实操树立怎样的具体标准将会是业内的下一个重大关注点。同时，由于医疗数据的跨境传输违法行为可能涉及网信办、卫健委及其他相关部门的多条线的监管管辖，在确定前述的监管执法标准以及在相关的处罚认定过程中，网信办与卫健委以及其他主管部门会扮演什么样的角色以及彼此之间会如何协作同样是广大医药大健康行业的所有机构和企业关注的未解问题。

综上，“首例”虽然为全国第一例获批的数据出境安全评估申报获批案例，亦是第一个医疗数据出境申报案例，但根据笔者就所披露的相关项目背景信息的澄清，以及对该项目与医药企业常见场景的对比分析，该案例可供参考借鉴的内容仍有一定的局限性，尚有不少问题亟待监管部门通过持续立法与执法加以明确和解决。近日，北京网信办和上海网信办同时也在陆续发布管辖区域内企业申报、材料递交、受理及咨询的数量，上海网信办还在各辖区内开展数据出境安全评估政策系列宣讲活动，笔者也正在就医药企业数据出境的最新实践，以及医药企业就医疗数据出境场景中所关心的问题进行了解和跟踪，并希望在本文的续篇中与广大读者们进一步分享笔者持续的学习研究的成果与心得。