PIPL
PIPL(Personal Information Protection Law,中华人民共和国个人信息保护法)是中国第一部专门针对个人信息保护的综合性法律,于 2021 年 11 月 1 日正式生效。它与欧盟的 GDPR 高度相似,赋予了个人对自己数据的广泛权利,并对企业施加了严格的合规义务。对于医疗健康领域,PIPL 最具震慑力的条款在于将“医疗健康”数据定义为敏感个人信息,要求处理时必须取得个人的单独同意,并且对跨国药企将中国患者数据传输至海外(数据出境)实施了极其严格的安全评估机制。它与《数据安全法》和《人类遗传资源管理条例》共同构成了中国生物医药数据合规的“三驾马车”。
医疗红线:敏感个人信息与“单独同意”
PIPL 对医疗行业的最大冲击在于其对“敏感个人信息”的定义和处理要求,这比 HIPAA 和 GDPR 都要更加具体和严格。
- 敏感个人信息 (Sensitive PI): 明确包括“医疗健康”、“生物识别”、“特定身份”以及“不满十四周岁未成年人的个人信息”。
法律逻辑:一旦泄露,容易导致人格尊严受到侵害或者人身、财产安全受到危害。 - 单独同意 (Separate Consent): 这是 PIPL 独有的高门槛。在处理敏感 PI、数据出境或提供给第三方时,企业不能只让用户勾选一个包含所有条款的隐私政策(Bundle Consent)。
临床影响: 在知情同意书 (ICF) 中,必须为“数据出境”、“处理敏感健康数据”等事项设置独立的勾选框或签字处。 - 必要性原则: 必须具有“特定的目的”和“充分的必要性”,并采取严格保护措施。
数据出境的三条路径 (Cross-border Data Transfer)
对于跨国药企 (MNC) 的多中心临床试验 (MRCT),如何将中国患者的 EDC 数据传输到海外总部是 PIPL 合规的核心痛点。PIPL 设定了三条硬性路径:
| 合规路径 | 适用条件 | 难度系数 |
|---|---|---|
| 1. 安全评估 (CAC Security Assessment) |
• 关键信息基础设施运营者 (CIIO)。 |
极高 |
| 2. 个人信息保护认证 (Certification) |
主要适用于跨国公司内部(集团内)的数据传输,或不满足安全评估门槛的企业。 |
中等 |
| 3. 标准合同 (Standard Contract / SCC) |
未达到安全评估门槛的小规模数据出境。企业需与境外接收方签署中国版 SCC 并向网信部门备案。 |
常规 |
PIPL vs. GDPR vs. HIPAA
PIPL 很大程度上借鉴了 GDPR 的框架,但融入了强烈的国家安全色彩。
- 管辖权: PIPL 和 GDPR 都有长臂管辖(境外处理境内自然人数据也受管辖),而 HIPAA 仅管辖美国的涵盖实体。
- 去标识化 (De-identification) 标准:
• HIPAA: 18类标识符移除(避风港)。
• PIPL: 去标识化仅指处理后“不借助额外信息无法识别”;要想完全免责需达到“匿名化”(无法复原)。PIPL 的匿名化标准极高,临床数据很难在保留效用的同时达到绝对匿名化。 - 关联法规: 在中国处理临床样本,除了 PIPL,还必须严格遵守《人类遗传资源管理条例》(HGR)。HGR 对“中国人类遗传资源”出境有专门的审批/备案要求,这往往比 PIPL 更先触发。
法律与解读文献 [Legal References]
[1] National People's Congress of China. (2021). Personal Information Protection Law of the People's Republic of China.
[点评]:法律原文。重点阅读第二十八条(敏感个人信息)和第三十八条(数据出境条件)。
[2] Pernot-Leplay E. (2022). China's Approach on Data Privacy Law: A Third Way Between the US and the EU? Penn State Journal of Law & International Affairs.
[点评]:分析了 PIPL 如何在 GDPR 的“人权模式”和美国的“商业模式”之外,走出了一条强调“国家安全与数据主权”的第三条道路。
[3] Cyberspace Administration of China. (2022). Measures for the Security Assessment of Outbound Data Transfers.
[点评]:《数据出境安全评估办法》。具体的操作细则,规定了药企何时必须申报安全评估。