2023健康及生命科学行业出海合规实用指南

©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved.亚马逊云科技健康及生命科学行业出海丨1 本《医药出海，直挂云帆――健康及生命科学行业出海合规实用指南》 （“本指南”）由普华永道商务咨询（上海）有限公司（以下简称“普华永道”）和AmazonWebServices,Inc.或其关联方（“亚马逊云科技”）分别撰写，双方就各自撰写的内容分别、独立享有相关知识产权。其中普华永道负责撰写“引言”、“第一部分海外关于数据保护相关的法律法规”、“第二部分部分法律法规的进一步解读”和“第三部分行业合规前瞻”，单独享有该部分的知识产权；亚马逊云科技负责撰写“第四部分亚马逊云科技的全球安全合规基础架构及网络服务”，单独享有该部分的知识产权。本指南中所有文字、数据、图片、表格，均受中华人民共和国著作权法及其它法律法规保护。未经普华永道和/或亚马逊云科技书面许可，任何机构和个人不得基于任何商业目的使用本指南中普华永道部分和/或亚马逊云科技部分的信息（包含指南全部或部分内容），不得摘录、复制、储存在检索系统中，或以任何形式或通过任何手段（包括电子、机械、影印、录制或扫描）进行传播。如果任何机构和个人因非商业、非盈利、非广告的目的需要引用本指南中内容，需要注明“转载自普华永道商务咨询（上海）有限公司和AmazonWebServices,Inc.或其关联方联合发布的《医药出海，直挂云帆――健康及生命科学行业出海合规实用指南》”。 关于普华永道部分的声明： 本指南仅作为一般性指导，并不构成提供任何形式的法律咨询、会计服务、投资建议或专业咨询。本指南所提供的信息不能取代专业税收、会计、法律咨询或其他相关专业咨询建议。在作出任何决定或采取任何行动之前，您应该咨询专业顾问，并向其提供与您特定情况相关的所有事实。 本指南的信息来源于本次调研所收集的数据以及公开的资料，我们对信息的完整性、准确性或及时性概不作出任何保证或担保，也不提供任何明示或暗示的担保，包括但不限于对业绩、适销性和适用于特定用途的担保，在不同时期可能会得出与本指南不一致的观点。 本指南仅供一般参考使用，不构成具体事项和咨询意见，普华永道不对本指南内容承担审慎责任，并且未就本指南内容做出任何明示或暗示保证。普华永道不就本指南内容向任何人士承担任何责任或义务，也不向任何人士承担因本指南所引起的或与本指南有关的任何责任或义务。读者不应依赖本指南内容做出投资或其他商业决定。如需具体意见，请咨询专业顾问。 关于亚马逊云科技部分的声明： 本指南中由亚马逊云科技负责撰写的内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践，该等信息可能变化且我们不会另行通知。读者对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断，该等内容都是“依现状”提供，不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、供应商或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分，也不构成对任何协议的修改。 ©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved.亚马逊云科技健康及生命科学行业出海丨3 2丨亚马逊云科技健康及生命科学行业出海©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved. 2丨亚马逊云科技健康及生命科学行业出海 ©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved. ©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved. 亚马逊云科技健康及生命科学行业出海丨3 引言 近年来，国内医疗健康行业的投融资金额不断攀升，虽然由于疫情影响，自2022年起投资热度略有降低，但医疗行业投资结构正面临转型，医药企业投资逐步呈现全球化布局的趋势，在跨境合作领域仍持续释放活力。同时，随着药品集采、医保谈判持续推进，国内医药企业发展空间被日益压缩，在此背景下，中国健康及生命科学行业的企业纷纷走出国门迈向海外市场，以寻找发展的沃土。 2022年颁布的《“十四五”医药工业发展规划》也表达出寻求更深层次的国际化， 加入到主流市场竞争的愿景。《规划》指出要创造国际竞争新优势。到2025年，主要经济指标实现中高速增长，前沿领域创新成果突出，产业链现代化水平明显提高，药械供应保障体系进一步健全，国际化全面向高端迈进。 ©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved.亚马逊云科技健康及生命科学行业出海丨5 在本文中，我们试图围绕健康及生命科学行业企业出海发展需要面对的相关数据安全法律法规、合规挑战，数字化解决方案和应对的最佳实践等方面展开探讨。 4丨亚马逊云科技健康及生命科学行业出海©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved. ©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved. 亚马逊云科技健康及生命科学行业出海丨5 表1：部分海外国家与地区关于数据方面的重要法律法规 第一部分 海外关于数据保护相关的法律法规 自21世纪起，中国健康及生命科学行业企业开始探索国际化发展道路，从最初的化学原料药，到仿制药出海，继而创新药的全球布局，企业不断探索国际营运模式。同时，健康及生命科学行业企业面临全球创新及空前的互联性，应运而生的数据保护、数据合规已成为各国最重视合规要求之一，也是所有国际布局的健康及生命科学企业必须面对和解决的重要问题。本文列举了企业出海普遍选择的部分国家与地区关于数据方面的重要法律法规，具体见《表1：部分海外国家与地区关于数据方面的重要法律法规》。 国家 法规/标准名 生效年份 适用领范域围/ 欧盟 《（中Ge文ne：ra《lD通a用ta数Pr据ot保ec护tio条n例Re》gu，la简tio称n“》*《GDPR”） 2018年 通用数据合规 欧盟 Regulationonaframeworkforthefreeflowofnon-personaldata i（n中th文eE：u《ro非pe个an人U数ni据on在》欧盟境内自由流动框架条例》，简称“”） FFDR 2018年 非个全人合数规据安个人健康信息 美国 《（中He文al：th《In健su康ra保nc险eP流o通rta与bi责lit任ya法n案dA》cc，o简un称ta“bilityAct》*《HIPAA”） 1996年 的隐合私规和安全 美国 HealthInformationTechnologyforEconomicandClinicalHealth A（c中t”文》：*《经济与临床健康信息技术法案》，简称“”） HITECH 2009年 经济康与信临息床健 美国 《（中Co文de：o《fF美ed国er联al邦Re法g规ula：ti第on:Title21FoodandDrugs》* 21篇食品和药品》，简称“21CFR”） 1936年 食品药品合规 美国 《GoodVariousPractice》《良好实践规范》，简称“GXP” 1936年 药品生产管理 英国 《（中Da文ta：Pr《otectionAct2018》 2018年数据保护法》） 2018年 数据安全合规 英国 《（中UK文G：en《er英al国D通ata用P数ro据te保ct护ion条R例eg》u，lat简io称n》“”） UKGDPR 2021年 通用数据合规 英国 《（中Pri文va：cy《a隐nd私E和lec电tr子on通ic信Co条m例m》un，ic简ati称on“sRegu”lat）ions》 PECR 2003年 隐私信和合电规子通 日本 《（中Ph文ar：ma《ce日u本tic药al品an和d医M疗ed器ica械lD法e案vic》eA，c简t》称“”） PMDAct 2014年 药品械和管医理疗器 日本 《（中Ac文to：n《th个eP人ro信te息ct保io护no法fP》e，rso简na称l“Information》 APPI”） 2003年 个人信息保护 加拿大 《（中Ca文na：di《an加M拿ed大ic医al疗De器vi械ce法R规eg》ul，ati简on称s》“”） CMDR 2003年 医疗器械 加拿大 《（中Ca文na：di《an加Fo拿o大da食n品dD药r品ug条R例egu》la，tio简n称s》“”） C.R.C.,c.870 1985年 药品管理 加拿大 《（中Pe文rso：n《al个In人for信m息at保ion护P及ro电te子ct文ion档a法nd案E》le，ct简ron称ic“DocumentsAct》 PIPEDA”） 2001年 个人信息保护 新加坡 《（中HE文AL：TH《P卫R生OD产U品CT法SACT2007》 2007》，简称“HPA2007”） 2007年 药品管理 新加坡 《（中Pe文rso：n《alDataProtectionAct》 2012年个人数据保护法案》，简称“PDPA”） 2013年 个人信息保护 备注：“*”法律法规将在第二章节进一步解读 6丨亚马逊云科技健康及生命科学行业出海 ©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved. ©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved.亚马逊云科技健康及生命科学行业出海丨7 2.1 欧盟国家严格执行的数据合规要求：《通用数据保护条例》（简称“GDPR”） 第二部分 部分法律法规的进一步解读 欧洲和北美依然占据中国企业出海的首选目的地，下文针对欧盟国家严格执行的《通用数据保护条例》（简称“GDPR”）、美国应用范围较广且影响较大的《健康保险流通与责任法案》（简称“HIPAA”）、《经济与临床健康信息技术法案》（简称“HITECH”）和《良好实践规范》（简称“GxP”）进行进一步解读。此外，日本、加拿大和新加坡也是中国健康及生命企业出海选择的热门国家，下文对这些重要国家的数据安全管理相关的法律也进行了概述和解读。 GDPR概要 欧盟与2018年5月25日出台了GDPR，对欧盟公民数据的处理制定了一套统一的法律和更严格的规定。GDPR颁布框架如《图1GDPR颁布框架》所示，条例概要如《图 2GDPR法规概要》所示。 图1GDPR颁布框架 EuropeanUnion欧盟 TheEurope 欧洲议会 anParliament eanUnion TheCounciloftheEurop 欧盟(部长)理事会 8丨亚马逊云科技健康及生命科学行业出海 GeneralDataProtectionRegulation通用数据保护条例(GDPR) ©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved. ©2023,AmazonWebServices,Inc.oritsaffiliates.Allrightsreserved.亚马逊云科技健康及生命科学行业出海丨9 数据可携权 不受制于自动化决策 拒绝权 删除权(被遗忘权) 限制处理权 访问权 更正权 知情权 3数据主体权利 图2GDPR法规概要 欧盟境内有实体的企业; 欧盟境外企业: 面向位于欧盟的数据主体提供产品或服务 监控位于欧盟境内的数据主体发生在欧盟的行为 1适用范围 2