生物医药企业是集研发、生产、商业化于一体的知识和技术密集型产业，其核心业务流程深度嵌入数据驱动：

1.药物研发阶段：涉及海量药物临床前研究数据（动物实验、分子筛选等）、患者生物信息、研发人员信息等。

2.临床试验阶段：产生核心的患者个人健康信息（PHI）、病历记录、影像数据、生物标志物数据、不良事件报告，构成高度敏感的个人信息与健康医疗大数据。

3.生产、质控阶段：收集生产药物参数、设备运行数据、原材料溯源信息、产品质量检验数据（部分可能关联特定批次或患者）。

4.药物上市阶段：涵盖药物安全性监测（PV）数据、真实世界研究（RWE）数据、患者用药反馈、市场销售数据。

生物医药企业数据类型多样（包括了公开和非公开信息、个人与企业信息、敏感与非敏感信息、原始信息和继受取得信息等）、数据来源复杂（包括药物研发阶段内部信息、患者信息、研发人员成果、政策下行政机关提供信息等）、生命周期长、价值密度高等。

这些特征决定了生物医药企业在数据合规性方面，既享有政策和患者等多方面的支持，同时也必须面对更为严峻的数据安全性和数据真实性方面的挑战与责任。

（一）以基本法形成监督体系

1.《中华人民共和国个人信息保护法》（PIPL）：作为中国数据保护基本法，确立个人信息处理基本原则，特别强调对敏感个人信息（包括医疗健康、生物识别等）的严格保护，要求单独同意、进行个人信息保护影响评估（PIA）等。

2.《中华人民共和国数据安全法》（DSL）：建立数据分类分级保护制度，要求重要数据处理者履行安全保护义务（风险评估、监测预警、事件处置）。生物医药领域的临床数据、遗传资源信息等可能被纳入重要数据范畴。

3.《中华人民共和国网络安全法》及配套：要求关键信息基础设施运营者（部分大型药企、CRO可能涉及）履行更高安全义务。

4.《中华人民共和国生物安全法》：推进做好数据的分类分级管理，完善内部流程控制，并密切关注法规动态。

（二）以行政法规开拓新方向

1.《中华人民共和国人类遗传资源管理条例》及其实施细则：严格管控我国人类遗传资源的采集、保藏、利用和对外提供。将人类基因、基因组信息纳入监管，国际合作研究需审批或备案，出境有严格限制。

2.《中华人民共和国药品管理法实施条例》：规范药品生产、经营、分类及药企运营。

（三）规章、行业规范、指南等共同完善

《信息安全技术个人信息安全规范》、《人口健康信息管理办法》、《临床试验数据管理工作技术指南》等提供具体操作指引。

网信办等发布的《人脸识别技术应用安全管理办法》等也涉及生物识别信息处理。

《药品记录与数据管理要求（试行）》推进数据的可靠性（ALCOA+原则）、完整性和可追溯性，GMP、GCP检查中数据合规是重点。

此外，美国HIPAA（健康保险流通与责任法案）、欧盟GDPR（通用数据保护条例）对于部分中国企业的涉外业务也会产生约束。

（一）数据真实性与完整性

生物医药企业因需进行大量临床开发实验，因此会同其他企业进行开发合作，数据真实性与完整性会因分工问题产生异议，也会因产业新规产生纠纷。

2011年9月，甲公司委托乙公司为其药品“注射用精氨酸酮络芬”进行临床开发研究，签订两份《技术开发合同》，约定乙公司需确保研究数据真实可靠并通过药品监管部门核查，若因数据问题导致注册失败，乙公司需退还全部费用。甲公司支付了205万元开发费。

乙公司委托多家医疗机构完成临床试验，2014年9月通过山东省食药监局现场核查（结论为“未发现真实性方面问题”）。但2015年7月国家食药监总局发布第117号公告，严查临床试验数据真实性，要求企业自查。随后，乙公司及受托医疗机构多次向甲公司发送邮件及《情况说明》，指出数据存在不规范问题（如原始记录缺失、操作违规等），建议撤回注册申请以避免风险。甲公司最终于2015年11月撤回申请。

案中，乙公司主张政策变更（审查变严）属于合同约定的免责事由、实验数据通过地方核查，并认为甲公司具有稽查义务而抗辩。

（二）个人信息泄漏风险

生物医药数据价值高，是网络攻击（如勒索软件）的重点目标。系统复杂性（内网、云、移动设备）、人员流动性（员工、第三方）增加管理难度。内部威胁（如员工违规下载、窃取数据）不容忽视。泄露事件可能导致巨额罚款、声誉崩塌、患者诉讼、研发中断等。某知名大型生物技术公司于2023年遭受网络攻击，攻击者未经授权访问并获取了约247万人的临床测试信息。尽管公司持续运营，在2023年4月11日，公司发现攻击者已访问了包括姓名、测试结果以及大约60万个社会保障号码等敏感信息，被攻击主要原因是共享账号长期不改密码、远程访问未启用MFA。

此外，在临床试验中，医疗机构或生物医药企业未对被试验者信息进行必要保护，导致患者、被试验者隐私未能得到有效保护。某企业于2022年因内部管理不当导致108万名会员个人资料泄露，泄露原因为旗下28个品牌共用客户系统，旗下员工可随意翻阅。

（一）数据审查应具前瞻性

因生物医药企业数据的海量性、合作模式多样性，且医药行业规章政策更新换代较其他领域更加频繁，因此对数据审查的视角应从法律、政策的前沿开展。若企业在数据采集（如临床试验CRF表填写不及时、不准确）、记录（如原始数据丢失）中存在不真实、不完整，可能直接导致合同目的未实现（如药品注册失败），或被药品监管部门认定为“申报资料虚假”，面临《中华人民共和国药品管理法》第一百二十三条的“撤销许可、十年内不受理申请、罚款”等处罚。

甲公司与乙公司的合同本身是合法的，但因数据问题造成双方产生纠纷。首先，乙公司以政策变严且通过地方核查为由抗辩，体现出合作企业对数据应用和管理能力的缺失。生物医药企业作为高新科技领域的代表之一，政策的风云变化不能成为不可抗力、情势变更等抗辩理由。该情形不等同于新冠、非典疫情，政策的推进虽是“不可克服、不可避免”的，但是应认为是可以预见的，作为生物医药企业，对于数据的合规整理，应当具备前瞻性，在数据收集、储存程序上，应采取足够严格的措施进行审查、监控，以保证数据的完整性和真实性。其次，乙公司以甲公司违反义务为由抗辩，虽不能免除其责任，但也体现甲公司作为生物医药企业中常见的技术开发合同的委托方，明显欠缺对乙方实验成果、实验过程等进行全过程监管的前瞻性，对乙公司的“过度信赖”往往导致企业任务无法完成、可得利益等受损。

1.建立专属数据架构：推动设立生物医药企业跨部门的数据合规委员会（法务、合规、IT、研发、医学、业务等），明确各岗位管理职责，将数据合规纳入公司治理核心。

2.制定数据管理政策体系：基于DSL、PIPL、行业指南等，制定覆盖数据全生命周期的专项数据管理制度，包括数据分类分级管理、个人信息管理、数据跨境传输管理、针对第三方数据的管理、数据安全方向应急预案等。

3.留存配置：依据法规、行业要求及业务需求制定清晰的留存档案和数据管理配置，将数据安全作为前置性配置，以应对不同主体的监管。

（二）企业应完善个人信息处理流程

生物医药企业在临床试验、患者诊疗中处理大量敏感个人信息（如病情、基因数据、生物样本信息），需严格遵守《中华人民共和国个人信息保护法》。《个保法》第十三条规定，处理个人信息需取得“个人同意”或符合“法定情形”；第28条、29条要求，处理敏感个人信息需“取得个人的单独同意”；第66条明确，违反本法情节严重的，处“5000万元以下或者上一年度营业额5%以下罚款”。

若企业未对患者信息进行匿名化处理（如用姓名、身份证号直接标识受试者）、未加密存储（如将患者数据保存在未加密的服务器或与子公司、分公司等共用信息等），或未经同意向第三方披露（如将临床试验数据出售给广告公司、其他试验机构等），会直接导致侵权纠纷，造成民事赔偿、行政处罚等。

1.安全防护：企业与法律专业人士应与信息技术安全专家紧密合作，确保技术（包括加密、数据脱敏、访问控制、审计日志）、物理（数据中心安全、设备管理）以及管理（权限审批、最小权限原则、背景调查）措施达到或超过相关法规及标准要求，以重点保护敏感数据的安全。

2.数据主体权利响应：建立高效、标准的流程模块，以响应访问、更正、删除等请求。设计自动化工具辅助，明确各环节时限与责任人。

3.数据监督机制：母子公司、总分公司之间应建立数据访问监督与记录机制，确保各环节精确到人，建立处置信息触发机制。同时设置访问权限，避免数据无条件共享，最大程度将损失最小化。

编辑 | 陈嘉元

审核 | 王   捷