2026-05-20 15:58:46.png)
宣娴写在前面:2025 年 4 月起,美国对临床试验数据流向中国的监管逻辑,已从隐私合规(HIPAA)升级为国家安全合规(美国司法部数据安全计划DOJ DSP规则),罚则最高可达 20 年监禁。2026 年DSP年度报告义务全面铺开,在当前的中美地缘政治与法治环境下,医药研发企业在数据合规赛道上,跑得早比跑得快更重要。
一、为什么 2025 年是分水岭?
过去十年,中美双报、跨国多中心临床试验中的数据流动,主要受 HIPAA(隐私层面)约束。原来的普遍认知是:只要医药研发合同外包服务机构(Contract Research Organization,CRO)在数据跨境传输前做好去标识化、签好 BAA(业务伙伴协议),数据流向中国就合法顺畅。
但 2025 年发生了三件大事,彻底改写规则:
关键转变:监管对象从数据本身是否敏感,转向接收方是否属于受关注国家及其覆盖人员。
二、三层监管框架:看懂规则才能合规
第 1 层:HIPAA(底层隐私规则)
适用对象:受保护健康信息(PHI)
核心要求:临床试验数据出境前需完成下列任一处理:
• 按 Safe Harbor 去除 18 类标识符(如姓名、电话等可识别个人信息数据),或经专家认定(Expert Determination)
• 形成有限数据集 + 签署数据使用协议(DUA)
• 获取受试者书面授权,或 IRB 豁免授权
HIPAA 不直接禁止跨境传输,这也是过去中美临床合作通畅的法律基础。
第2层:DOJ DSP 规则(目前最具杀伤力的规则)
针对国家:中国(含港澳)、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉
针对数据(临床试验场景下重点关注):
对于企业来说,有三个最容易踩的雷区:
• 加密 ≠ 安全:去标识化、假名化、加密都不影响阈值判断。
这与 HIPAA、PIPL 逻辑完全相反,是当前实务中误解最深的一点。
• 关联公司不豁免:跨国药企内部从美国总部传到中国子公司,同样落入监管。
• 存量合同无“祖父条款”保护:2025 年 4 月前签订的中美临床合作合同,不享受既存合同保护,必须
重审。
罚则:
• 民事罚款:最高为单笔交易金额的 2 倍,或 37.8 万美元(取高者)
• 刑事处罚(故意违反):最高 100 万美元罚金 + 20 年监禁
第 3 层:临床研究豁免——有,但门槛高
DSP 为临床研究开了两个豁免口子,但适用条件相当苛刻。
• § 202.510 监管审批豁免:为获得/维持 FDA(或他国监管机构)药械批准所必需的数据
• § 202.511 临床研究豁免:FDA 监管下的临床试验数据及上市后监测数据
实务新动向:2025 年 6 月 FDA 公开表态,将严格审查依赖 § 202.511 豁免的临床试验,尤其是涉及活细胞、生物样本回输美国受试者的项目。DOJ 给的豁免,FDA也极有可能在药物审批端进行穿透式逆向收紧。
三、中国端对位要求
美国数据流入中国,反向触发中国监管的情形相对有限,但以下场景仍需注意:
四、合规实操建议
第一步:清楚数据台账
逐项盘点各项临床试验项目并形成数据台账:
• 数据涉及多少名美国受试者?
• 是否包含基因组/组学数据?是否包含生物样本?
• 滚动 12 个月累计是否触及 DSP 阈值?
• 是否包含 HIPAA 18 类标识符?
第二步:明确数据接收方情况
判断数据接收方是否构成 EO14117,DSP 项下的 covered person:
• 中国境内实体
• 中国国籍雇员或承包商
• 中国控股 ≥ 50% 的海外公司
• 述实体在中国的雇员或承包商
• 跨国药企的中国子公司——这一条最常被忽视!
第三步:豁免可行性与合同的设计
若计划依赖临床研究豁免,合同设计必须满足:
对于正在加速出海的中国创新药企而言,无论是 License-out 交易、海外临床推进,还是赴美上市筹备,数据安全合规都是法律风险评估中绕不开的核心议题。临床试验数据的跨境传输安排,必须前置到项目立项阶段——这不再是上市前的“补课项”,而是立项时的“前置题”。随着美国 BIOSECURE Act 正式签署生效,叠加 EO 14117 / DSP 的落地执行,中美双轨监管已成新常态。唯有尽早将这套全新的地缘政治和国家安全合规逻辑,内化到企业的SOP、底层数据治理架构以及核心合同模板中,才能确保在出海赛道上行稳致远。
有任何问题,请联系:xuanxian@concordsage.com
上一篇
.png)
