查看原文
其他

专访世辉医药数据合规团队:“懂行”的团队是如何诞生的?记录他们的医药行业观察日记

安拓E疗 2024-03-02

The following article is from 商业合规观察 Author 编辑部


短短几年间,伴随着数字技术的勃兴,医药行业如同离弦之箭高速发展,同时国家数据监管日益加强,各种法规层出不穷,对医药行业的数据监管也提出了新的要求,医药行业也冲出了医药合规的原有领地,需要重塑与之匹配的医学数据合规体系。

在安拓的平台上,近两年世辉律师事务所的王新锐律师团队在医药数据合规领域逐渐深耕,收获了越来越多客户的好评。今天我们就一起来探秘下世辉的医药数据合规团队是如何深入到这个”最难的行业之一“。在与王新锐律师、卢璟律师进行交谈之后,我们深刻体会到一支懂行的研究型团队,其业务逻辑背后蕴含的高维度思考。


1
“懂行”的医药数据合规团队是如何诞生的

医药行业数据合规,相较于其他行业,其法律颗粒度细,监管形势相对复杂。而随着医药大健康概念的兴起,AI技术、互联网医院等技术的开发,医药数据合规领域的法律服务需求,呈现出医药行业和互联网行业相互融合的趋势,也给传统医药行业的数据合规带来了新的挑战。用王新锐律师的话来说,这或许是数据合规领域“最难的行业之一”


我们分别就律师经历、行业现状、市场需求等方面,与两位律师进行对话,以下是两位律师的回答与叙述——



缘起:两位是如何进入医药数据合规领域的?

——截然不同的打开方式,恰好互补


王律师:我最开始做数据合规的时候,也并没有特别的去区分行业,当时比较多的客户还是来自于互联网行业。随着业务地展开,我们主动地去挖掘探索还有哪些行业有这样的需求?特别是它的数据量比较大,或者数据特别敏感,像金融、医药、汽车这些行业都是属于互联网之后,本身也感受到了更强的监管,合规需求也更强烈,恰好这个时候有一些大型医药公司找到我们,近年就在医药领域积累了很多的项目经验。后来邀请卢律师加入了团队,在与卢律师在一起合作的过程中,我们也感受到在整个医药行业现在需要的数据合规是比较综合性的,而且涉及到很多新场景,有些是中国所独有的,有些是跟全球的方案做配合,这也是医药行业数据合规的一个特点,我们也在努力不断覆盖这个领域的场景。


卢律师:我的背景与王律师正好互补,我是在09年前后先加入了生命科学的业务领域,10多年以来一直服务医药和器械公司,为他们处理各方面的法律事务。步入医药数据合规领域,也是顺应着时代潮流的步伐。随着我国《网络安全法》出台,以及欧盟GDPR出台,医药行业的公司也都开始关注数据合规的话题,从2016年以来,医药行业的许多公司都开始对数据合规投入了更多的精力和资源。



探秘:目前医药企业数据合规主要关注哪些?

面临哪些难点?

——临床实验数据普遍关注、多方主体协同是难点


卢律师:我觉得现在在医药行业,可能大家目前最为关注以及比较棘手的一个话题是临床试验当中的试验实验数据合规问题,既包括遵守《数据安全法》也包括遵守《个人信息保护法》的合规问题。这个话题之所以有一些复杂,是因为这里面牵涉到了多重的监管要求以及多重的参与方。在《数据安全法》和《个人信息保护法》出台之前,其实医药行业已经有一套关于患者隐私保护的规范体系,并且有了关于人类遗传资源方面的监管要求。现在,我们又有了《数据安全法》、《个人信息保护法》。如何在三重甚至四重的不同法律法规的监管要求下做好合规,这对于每家公司而言都存在一定的挑战。第二是临床实验的场景当中涉及到多方,这里面包括作为临床试验中心的医院,作为申办方的医药公司,还涉及到CRO、SMO、研究者、医院工作人员等多个参与方。这些参与方在数据合规的体系下应当承担怎样的职责,彼此的权利义务关系是怎样的,都需要进行仔细的梳理。


另外,现在临床实验通常会涉及跨境的合作,例如:会与全球范围内最顶尖的各类技术服务供应商、数据统计供应商、检测中心等进行合作,这必然涉及到数据的跨境流动,从而导致需要遵守数据跨境传输方面的合规要求



王律师:其实我们在做很多项目的过程中,感受的一个难点是医药行业的多方主体怎么样去做数据合规,到底它的义务是什么,做到什么程度,包括同行做到什么程度,这些方面大家存在一个不同步的问题。在合规的过程中始终有一个难点,就是各方去参与的时候,约束条件是不一样的。医药行业又有一个非常突出的特点是,不管是器械还是药,都有非常多基于科学的客观原因决定了数据处理流程,因此不是随便可以去调整的。从法律法规的颗粒度本身来讲,现在医药行业的一些具体规则还在起草中,还在论证中,还没有完全落地,大家在很多理解上不一致。再加上又是这么复杂的流程,有时周期又很长,这种情况下怎么样让各方接受这个方案,因为医药行业其实是需要多方去谈合规义务由谁落实,这些方面都是有很多难点。


当然这里面我觉得也会涉及到,到底是行业共同的问题,还是一家公司的问题?公司总部所在地、本身的业务模式等带来的特殊性问题,这点也是我们在服务大型医药企业需要研究的。难度上来讲,我自己的感受是,医药行业跟其他行业相比,应该说是最难的行业之一,互联网行业算是颗粒度非常细,但互联网行业中有很多问题是直接面向终端用户的,是有办法能够做到的,但是医药行业很多都是涉及到大型企业与大型医疗机构之间的合规方案,之间受到的约束因素更多。


▲ 王新锐律师

走在最前沿:医药行业呈现怎样的新趋势?

——深度融合互联网行业,监管复杂度与颗粒度要求极高


卢律师:可能传统药厂器械厂处理的个人信息、数据,虽然说有很复杂的各种各样的分析在里面,但场景相对来讲没有那么丰富。随着医药大健康的概念,AI技术、互联网医院等新模式的出现,明显感觉到现在的医药行业和互联网行业有越来越多的融合,里面涉及到越来越多的深度学习、大数据开发、算法设计,这些可能会对传统医药行业的数据合规带来新的挑战。所以我们在考虑问题的时候,不是单纯去考虑医药行业的法律法规,同时要考虑比如关于算法的监管、关于深度学习的监管等等,这个也是我们现在看到的一个新的趋势。

▲ 对话卢璟律师、王新锐律师

直面“内卷”:如何在竞争中提供差异化服务?

——数据合规是我们团队长期的业务,精细化服务仍有许多需要补齐


王律师关于内卷,至少在数据合规这个领域,我自己觉得还远远没有达到内卷或者竞争非常激烈的状态,这个可能和外界的观察有所不同。为什么这么说?因为其实这个领域发展的时间也没有很长,我觉得律师在精细化服务的供给方面其实做得还远远不够,包括我们的团队,我们也在一直在内部做很多的培训,做很多的研究工作,但我仍然觉得我们其实离一个世界高水准的服务仍然还是有距离,还是有很多东西要去补齐


这个领域我觉得就像前面提到的,客户希望律师团队输出的服务很稳定,另一方面对于所有这些创新的事情要有所回应,同时要了解全球的趋势,从跟总部沟通的角度,从帮助中国客户做整体研判的角度,需求很丰富、很复杂。所以,我觉得首先,一个团队还是要把数据合规这个事情当做是长期的业务来干,而不是说当作一个跟风、蹭热点的事情去干。第二,研究工作非常重要,世辉这块业务其实最大的特点是对于行业的研究,对于整个立法轨迹,对于监管思路的研究,花了很长的时间


当然,我们也做了很多相应的立法和监管的支撑工作,在这个工作中去发现国际上好的实践,研究国内大型公司的实践。很多时候,客户的期待也是律师给出的解决方案不是纸上谈兵,而是考虑整个行业中的约束性,考虑整个行业最佳实践,甚至世界范围的最佳实践。对于整个团队的规模、研究深度,包括这种定力,我觉得都是有要求的。所以这个领域我特别欢迎所有同行一起,把这个领域做得很规范,做得很漂亮。目前这个阶段我们都是很早期的状态,我觉得还有很多事情是要去深入地精细化地去做。

 

我之前参加了一个会议,有一位公司法务当时提到他们看中世辉数据合规团队的几个点,第一点是对行业监管,包括整体数据的监管,对这些立法监管规则的理解,因为这一块的规则非常庞杂,怎么样更贴近地理解对监管规则中间的矛盾,对中间不同的表述进行协调。第二个能力是对于各种技术的落地方案中间的问题有所了解,如果律师给出的方案会影响到技术方案,当然在公司内部是一个很大的事情,而且数据合规往往是要跟IT部门、研发部门、跟技术性比较强的部门去打交道,你需要对这些场景以及常用技术语言有所了解。第三就是英文能力,医药行业有很多跨国公司,而中国很多创新公司也涉及到跨境业务,在很多数据需要有跨境的场景,或者说本身业务场景下有很多跨境的问题,不管是跟国外的总部,还是国内公司在境外的服务方合作的过程中,英文能力还是很重要的。这几点是我们客户提出的需求,这是对律师的要求,也是提供医药行业法律服务的特殊之处。这几点能力在医药行业我觉得它的要求是特别高的,因为本身这个行业监管的复杂程度、颗粒度,在我自己服务经历中算是最细的行业之一。


卢律师:我觉得我们的医药数据合规团队最大的一个优势是,我们是懂这个行业的,而不是只是单纯地给出数据合规建议。就我本人而言,在医药行业提供法律服务的时间已经超过10年,并且我也曾被外派到医药公司内部作为in-house council工作。所以我们非常了解医药公司业务上的需求是什么,现在面临的监管要求是什么,以及如何将业务需求和已有的这些监管更有机地融合。我们不是说单纯地基于对法律法规地字面解读给出合规建议,我们能看到怎样把这些法规要求有机地和业务结合起来,以一种既能管控合规风险、又能促进业务发展的方式去做我们的数据合规业务。


2
医药行业观察日记:
在行业深耕,与行业发展共同前行

快速发展的大数据时代和严谨的立法执法之间,存在着错位与缝隙。对于这些界线,参与立法工作的律师是感受最直观、最强烈的一批人。某些标准的设计、规则的要求可能过高,合规义务与产业发展不相适配,医药大数据理念对医学伦理体系提出了新的挑战,而法律必然地存在滞后性与局限性。


王新锐律师与卢璟律师参与了一系列医药数据立法支撑工作。两位合伙人致力于打造“研究型医药数据合规团队”,深入开展法律实践研究,致力于推动规则更加落地实际,平衡合规义务的要求和医药行业治病救人、创新研发的需求。


谈及律师群体在行业发展进程中的作用,王新锐律师这样评价:“个人或团队起到的作用是有限的,整个规则的形成,最后的核心在于风险本身对于整个立法的推动。我们看到过去在数据领域,所有的规则形成几乎都是对风险的回应,其中当然也会有法律价值、权利保护、安全保护这些方面的因素,但它的核心还是对风险的回应。所以如何去客观准确地定义风险、解决风险,不把它泛化、扩大化,是我们在其中能够参与的小小的工作。另外,如何利用试点项目去摸索企业创新性的项目和风险,进一步优化流程和方案,这点也是我们能够贡献其中的一部分工作。”




为行业发声:医药行业立法现状与监管

——立法政策需要平衡,企业内部资源优先级也应有所划分


卢律师:关于医药行业的立法,因为确实最近参与了一些工作,包括我们和医疗机构、医药企业有过沟通以后,也确实有一些观察。第一,现在的《个人信息保护法》、《数据安全法》的一些规则,在制定之初,可能更多的是关注互联网行业的一些风险。当然,这是有必要的,因为确实相关行业中有一些亟待解决的数据保护合规问题,但是也因为更多关注的是某个行业,有些规则、标准的设计对于其他行业来讲,可能在落地实施上会有一些困难,比方说对于医疗机构,它们的IT基础设施,可能跟互联网大厂相比还是有一定的差距,如何让规则更加合理,能让每一家医院都能很好地去达到规则和标准提出的要求,这是需要在设计规则和标注时考虑的问题。

 

第二个问题是政策平衡的问题,对于医药行业,其实在数据保护相关法律法规出台之前,已经有一套比较完善的、基于医学伦理制定的关于患者隐私保护的规则存在了。基于新的数据保护法律法规,怎么去平衡合规义务的要求和医药行业治病救人、创新研发的需求?一方面我们需要做好数据保护,另一方面我们也需要有效地去利用数据,让它能更好地服务于患者的治疗,以及创新产品的研发。这二者的平衡关系,也是需要在制定相关规则时仔细考量的。


王律师:医药数据立法,我跟卢律师一起去参与了一些立法支撑工作,这个事情也在持续地进行中。我觉得可以跟企业去分享的,主要在于说,这个领域一定是先从数安法个保法这样比较抽象的规则,到覆盖全行业的规则,再到各个行业逐渐落地的这么一个状态,这是一个过程。所以企业首先在现在的阶段,不要觉得现在规则就这样了,很多地方没有说清楚,在这些规则确定下来的过程中,怎么样把行业好的实践、行业难点,和立法监管机构进行一个同步和沟通,也是很重要的。

其实我们过去在不少行业中都看到,行业里最好的实践成为了监管规则中的一部分。这点当然对于一些已经做得不错的企业来讲,一方面是形成它的竞争优势,另外一方面立法通过这样的方式拉高整个行业的合规水准,这也是全世界在数据领域立法普遍的一种做法,这点上我们也在做很多的研究工作。举个例子来说,我们经常会去研究美国欧盟的行业实践,既包括大公司的实践,也包括一些立法实践,然后提供给监管和立法机构,供他们参考。

 

另外还有一点,立法和监管在合规中的落地,其实是一定要非常有针对性,而不能是做把战线拉得很长的合规,我们还是非常强调,对于合规,监管关注的具体的点,要有针对性地去做合规,我们也经常跟企业说,你的资源是有限的,做合规的时候,你的时间、企业的内部资源要有优先级的划分,针对性地对待监管重点,但识别工作其实是有一定难度的,这也是我们跟企业讨论比较多的方面。


▲ 王新锐律师



行业洞察:数据跨境传输将是重点



卢律师:目前来说的话,毕竟数安法和个保法才出台,可能现在大家做的还是基于法律来搭建自己的数据合规体系,这是我们看到目前最多的。另外在临床实验场景当中,如何基于个人信息保护法的要求去修改相应的文件,包括临床试验协议、知情同意书等等,现在也是最直接的一个需求。我们预计接下来很大的一块法律服务需求是关于数据跨境传输的问题,因为在医药行业里跨境传输的场景还是比较多的。这里面会涉及到,个人信息的性质可能会比较敏感,另外可能有一些数据会落入重要数据的范畴。


随着数据出境安全评估管理办法未来的正式公布,关于数据出境,向政府部门去申请安全评估的法律服务需求,未来也会是很大的一块。第三,随着法律真正的落地和执行,我们预期未来肯定会有相应的执法检查和活动,这些过程当中,如何帮助企业更好地准备好合规体系的论证,向监管机构展示我们在合规方面做出的努力,这个也是我觉得未来可以由律师帮助企业一起来做的事情。


3
对前沿问题的快速反应与精细化处理

面对医药行业的高速发展和层出不穷的新型法律问题,如何迅速更新信息、优化事务处理程序、进行快速应对,是数据合规律师匹配客户需求的核心竞争力之一。世辉医药数据团队重视合规服务的稳定输出,从企业业务的底层逻辑出发,深度研究全球趋势,将大量时间精力运用在立法轨迹、监管思路的研究上,以保证“对所有创新事务快速而准确地回应”。

 

以个人信息出境的评估问题为例,寥寥数字,真正落到实处,需要经过许多细节的综合考量。卢璟律师细数其中包含的隐在问题:包括涉及哪些种类的个人信息?境外接收方是什么?出境的目的是什么?出境目的可以非常笼统地归结为人力资源管理,但是如果细分的话,又可以分成诸如出于支付工资、绩效考核、员工福利等目的,那么申请做评估的时候,是否需要做适当拆分,申请多个评估?单个评估或拆分评估分别有什么好处和坏处?法律细节、业务需求与处理技巧的综合考虑,深刻影响着合规工作的最终质量。

 

深入精细化地处理问题、提升法律服务细节,是世辉医药数据团队对业务实践的基本要求,也是他们作为研究者与推动立法的瞭望者,对于这个领域发展前景的衷心希冀。面对数据合规圈子的火热,两位律师的朴素愿望是,欢迎所有同行一起,把这个领域做得很规范,做得很漂亮。



萨维尼曾说:“解释法律系法律学之开端,并为其基础,系一项科学性工作,但又为一种艺术。”世辉医药数据团队专注于法律研究,追求高水准输出,在实务领域精耕细作,致力于推动立法与产业的发展。在他们的观点中,我们可以感受到,一支通过法律创造价值、同时为行业发展贡献自身力量的团队,其工作所呈现出的艺术性。


王新锐

 世辉律师事务所

 合伙人


王律师毕业于清华大学法学院,执业超过18年。王律师提供合规法律服务的客户包括国内外多家著名科技公司,并为多个中央部委和地方政府的立法和监管工作提供支撑。王律师兼任中国网络安全产业联盟数据安全委员会副主任委员、隐私计算联盟法律专家、清华大学法学院课程讲师、国际商会(ICC)数据治理工作组专家等职务。在数据保护领域,王律师先后获得ALB、The Legal 500、China Law & Practice、Legalband等多个法律评级机构颁发的奖项。王律师曾为多家世界500强的医药企业提供数据合规服务,包括搭建数据合规体系,修改与第三方的数据处理协议,针对企业的数字化业务模式提供数据合规解决方案等。



卢 璟

 世辉律师事务所

 合伙人


卢璟律师先后毕业于北京大学和美国哥伦比亚大学,并获得法学学士和法学硕士学位。加入世辉之前,卢律师是美国盛德国际律师事务所的资深律师,并作为其中国生命科学团队的核心成员工作多年。卢璟律师在生命科学领域有着丰富的法律服务经验,其为客户提供的服务包括:在各类交易或合作项目中(例如:产品许可交易、推广服务外包交易、广阔市场项目、零售渠道合作项目、患者援助项目、数字化平台管理项目等)为企业提供商业谈判、尽职调查、协议起草以及法律及合规风险分析等服务,协助企业搭建数据合规体系以及反腐败合规体系,评估合规治理有效性,在并购交易中开展合规尽职调查,代表企业开展针对员工的内部合规调查等。加入世辉之前,卢律师是美国盛德国际律师事务所(Sidley Austin LLP)的资深律师,并作为其中国生命科学团队的核心成员有超过10年的工作经验。




安拓老友记


点击标题即可跳转




继续滑动看下一个

专访世辉医药数据合规团队:“懂行”的团队是如何诞生的?记录他们的医药行业观察日记

向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存