一、主要内容
2026年3月12日,欧洲数据保护委员会(EDPB)与欧洲数据保护监管机构(EDPS)就欧盟委员会的《欧洲生物技术法案》提案发布联合意见,强调对临床试验中处理的健康和基因数据执行高标准的保护要求。
EDPB与EDPS提出六项建议,具体如下:
(1)明确数据控制者职责:提案应明确临床试验的资助方和实施方是单独数据控制者还是联合数据控制者,以确保责任划分清晰;
(2)限定数据保留期限:提案拟定的25年最低数据保留期限应明确仅适用于临床试验总文件,而非试验期间处理的所有个人数据;
(3)规范试验数据的二次使用:针对同一数据控制者将试验数据用于其他临床试验或科学研究的场景,提案应明确使用目的及具体保障措施;
(4)衔接《人工智能法案》要求:在促进人工智能在生物技术领域应用的同时,提案应确保申办方的义务与《人工智能法案》现有要求相辅相成;
(5)适当的技术保护措施:《临床试验条例》应明确规定,在非必须处理可直接识别的个人数据时,须对数据实施假名化处理;
(6)监管沙盒:如有必要,欧盟委员会针对临床试验特定情境下的沙盒制定的实施法案,应明确处理个人数据的法律依据,以及处理敏感数据时《通用数据保护条例》(GDPR)第9条第2款的豁免情形;其他类型的沙盒,处理个人数据须符合GDPR相关规定。
二、相关背景
2025年12月16日,欧盟委员会发布《关于建立加强欧盟生物技术和生物制造领域(特别是健康领域)措施框架的条例》(简称《欧洲生物技术法案》)提案,通过修订《临床试验条例》等7项现有立法,简化监管框架、更新临床试验规则,激励企业在欧洲开展研究和生产,并加快利用人工智能、数据和监管沙盒开发前沿新疗法。
三、中国企业应关注的重点
计划在欧盟开展或正在开展临床试验、布局生物医药研发与商业化的制药及生物技术企业,以及提供临床试验运营、数据处理、AI技术应用等服务的机构,重点关注此信息,持续关注《欧洲生物技术法案》后续立法进程和实施细则,明确自身在数据处理中的角色,规范健康与基因数据的收集、使用、留存与跨境传输,落实数据脱敏、假名化、最小化处理,确保临床试验数据处理符合GDPR及欧盟数据保护高标准要求。
(信息来源:欧洲数据保护监管机构官方网站)
《跨境合规》信息内容仅供大家参考,不能视为做决策的唯一依据。如有意见及反馈信息,请与我们联系。
联系人:北京市贸促会法律事务部吕红军
电子邮箱:lvhongjun@ccpitbj.org
联系电话:010-55560563
