数据出境
数据出境(Cross-border Data Transfer)是指将在中国境内运营中收集和产生的个人信息或重要数据,提供给境外机构、组织或个人的行为。在法律定义上,它不仅包括将数据文件传输至境外服务器,还包括境外机构对境内存储数据的远程访问(Remote Access)。根据中国 PIPL(个人信息保护法)、《数据安全法》以及 2024 年最新发布的《促进和规范数据跨境流动规定》,数据出境实行分级分类管理。企业必须根据出境数据的类型(如是否含敏感个人信息)和数量级,选择安全评估、标准合同 (SCC) 或认证三条合规路径之一。对于生物医药行业,这通常涉及临床试验数据(EDC)和人类遗传资源信息的双重监管。
什么是“出境”?(Scope of Export)
很多企业误以为只有“物理拷贝”才算出境。实际上,网信办的定义非常宽泛:
- 主动传输: 将数据存储在境外的服务器(如 AWS 美国节点、外企全球总部数据库)。
- 被动访问(关键): 数据存储在中国境内的服务器,但允许境外机构、个人通过网络进行查询、调取、下载。
例: 中国医院的 EDC 系统服务器在上海,但美国的 PI (主要研究者) 可以登录账号查看患者数据 → 算数据出境。
三条路径的选择逻辑 (2024 新规版)
根据 2024 年 3 月发布的《促进和规范数据跨境流动规定》,合规门槛有所放宽。企业应按以下逻辑判断:
| 路径 | 触发条件 (Threshold) | 难度与耗时 |
|---|---|---|
| 免予申报 (豁免) |
• 国际贸易/学术合作中不含 PI 的数据。 |
无 |
| 标准合同备案 (SCC Filing) |
• 非敏感个人信息:10万 ~ 100万人/年。 |
中等 |
| 安全评估 (Security Assessment) |
• CIIO (关键信息基础设施运营者)。 |
极高 |
临床试验的双重合规 (PIPL + HGR)
对于生物医药企业,数据出境往往涉及两个平行的监管体系。必须同时满足,缺一不可。
-
1. HGR 条线 (科技部/卫健委):
如果出境数据属于“人类遗传资源信息”(如基因测序数据、转录组数据),必须先完成 HGR 的信息对外提供备案。
注:常规临床数据(如身高体重、影像)已豁免 HGR,但仍需走 PIPL。 -
2. PIPL 条线 (网信办):
患者的身高、体重、病史、用药记录等属于“医疗健康信息”,是 PIPL 定义的敏感个人信息。出境需取得患者的单独同意,并根据数量级做 SCC 备案或安全评估。
核心法规文件 [Key Regulations]
[1] CAC (Cyberspace Administration of China). (2024). Provisions on Promoting and Regulating Cross-border Data Flow.
[点评]:俗称“2024新规”。大幅提高了安全评估的触发门槛(从累计改为按年计算,从全量改为区分敏感/非敏感),被视为对企业的重大利好。
[2] CAC. (2022). Measures for the Standard Contract for the Outbound Transfer of Personal Information.
[点评]:发布了中国版的 SCC 模板。企业必须严格按此模板签署合同,不得擅自修改核心条款。
[3] TC260. (2022). Practice Guide for Cybersecurity Standards - Technical Specifications for Certification of Cross-Border Processing of Personal Information.
[点评]:为跨国公司集团内部(Intra-group)的数据传输提供了一种除 SCC 和安全评估之外的认证路径。