新《中华人民共和国个人信息保护法》（以下简称《个保法》）正式施行以来，各行各业都在探讨个人信息处理的合法合规性问题。

医药企业充分了解在各种业务场景下处理个人信息的合法性基础，以及应当依据何种合法性基础进行个人信息的处理，对于企业的合规经营殊为重要。本文探讨药品上市许可持有人在药物警戒活动中对个人信息处理的合法性基础。

个人信息处理的合法性基础

医药企业在多个业务场景下都会处理个人信息，其中包括个人医疗健康信息等敏感信息。

根据《个保法》第十三条，仅在符合下列情形之一的前提下，个人信息处理者方可处理个人信息：(一) 取得个人的同意；(二) 为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；(三) 为履行法定职责或者法定义务所必需；(四) 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；(五) 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；(六) 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；(七) 法律、行政法规规定的其他情形。

取得个人同意是处理个人信息最重要的合法性基础，但并不是唯一的合法性基础。《个保法》第十三条同时规定，有上述第（二）项至第（七）项规定情形的，不需取得个人同意。

在欧洲数据保护委员会（European Data Protection Board，EDPB）于2021年2月2日发布的“EDPB Documents on response to arequset by The European Commission for clarification on the consistent application of the GDPR,focussing on health research”中，EDPB也阐述了并不是只有数据主体的明示同意可以作为处理健康数据的合法性基础，欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）中包含的其他法律基础及豁免，也可以作为处理健康数据的依据。

因此，对于医药企业在不同业务场景下处理个人信息的合法性基础需要深入探讨，特别应当关注并非以个人同意作为处理依据的情况。

药物警戒活动涉及的个人信息处理

药物警戒活动是指对药品不良反应及其他与用药有关的有害反应进行监测、识别、评估和控制的活动，其中不可避免地会涉及对个人信息的处理。

《药物警戒质量管理规范》要求药品上市许可持有人在首次获知疑似药品不良反应信息时，应当尽可能全面收集患者、报告者、怀疑药品以及不良反应发生情况等。收集过程与内容应当有记录，原始记录应当真实、准确、客观。

一份有效的个例药品不良反应报告应包括四个元素：可识别的患者、可识别的报告者、怀疑药品、不良反应。当患者的下列一项或几项信息可获得时，即认为患者可识别：姓名或姓名缩写、性别、年龄（或年龄组，如青少年、成年、老年）、出生日期、患者的其他识别代码。提供病例资料的初始报告人或为获得病例资料而联系的相关人员应当是可识别的。对于来自互联网的病例报告，报告者的可识别性取决于是否能够核实患者和报告者的存在，如提供有效的电子邮箱或者其他联系方式。而个例不良反应报告中的用药情况和不良反应情况将涉及患者的医疗健康信息。因此在收集个例药品不良反应时，持有人将直接从事个人信息的收集、储存和使用。

持有人可以通过受托方、医疗机构、药品经销商收集药品不良反应，在此过程中将会涉及患者和报告者个人信息的委托处理或传输。同时，持有人向药品监管部门提交个例药品不良反应报告时，患者的个人信息也将随之提供给药品监管部门。

如果收集个例药品不良反应报告的持有人是境外实体，还可能会出现个人信息向境外提供的情形。

《药物警戒质量管理规范》要求药物警戒记录和数据至少保存至药品注册证书注销后十年，并应当采取有效措施防止记录和数据在保存期间损毁、丢失。因此，患者和报告者的个人信息在此期间将由持有人储存。

如果持有人转让药品上市许可，应当同时移交药物警戒的所有相关记录和数据，确保移交过程中记录和数据不被遗失。因此，在发生药品上市许可转让的情况下，患者和报告者的个人信息也将随之转移给新的持有人。

药物警戒活动中处理个人信息是履行法定义务

根据《中华人民共和国药品管理法》（以下简称《药品管理法》），持有人应当开展药品上市后不良反应监测，主动收集、跟踪分析疑似药品不良反应信息。持有人、药品生产企业、药品经营企业和医疗机构发现疑似不良反应的，应当及时向药品监管部门和卫生健康主管部门报告。

由此看出，开展药物警戒是持有人的一项法定义务。因此，在药物警戒活动中持有人对个人信息的处理可以依据《个保法》第十三条第一款第（三）项“为履行法定职责或者法定义务所必需”，作为其合法性基础。

所谓法定义务，是指信息处理者依据法律法规的规定而负有的义务。法定义务的主体包括普通的民事主体，即自然人、法人和非法人组织。我国法律中规定了很多与个人信息处理相关的法定义务，如金融机构在反洗钱法规定下为履行反洗钱义务而收集、核对用户的个人信息。

因此，笔者认为，持有人开展药物警戒活动，在药品不良反应的收集和报告过程中处理患者个人信息属于履行其在《药品管理法》《药品不良反应报告和监测管理办法》《药物警戒质量管理规范》等法律法规项下的法定义务，并不需要患者的同意。

同时，患者作为个人信息主体在《个保法》下的其他权利也可能受到药物警戒的法定义务的限制。例如，在药物警戒数据保存期届满之前，患者并不能要求持有人删除个人信息。

个人信息处理的注意事项

尽管持有人在药物警戒活动中对个人信息的处理可以将“为履行法定职责或者法定义务所必需”作为其合法性基础，但是并不意味着持有人可以不受限制地任意处理患者的个人信息。

第一，持有人不能将药物警戒活动中收集的患者个人信息用于法律法规规定的药物警戒活动之外的目的，例如用于药物警戒以外的其他研究目的或商业目的。

值得注意的是，虽然《药物警戒质量管理规范》规定，境外发生的严重不良反应，持有人应当按照个例药品不良反应报告的要求向中国药品监管部门提交报告，但是并没有规定持有人可以将在中国发生的严重不良反应信息报告给其他国家和地区政府部门。一般认为，《个保法》中提及的“法定职责/义务”是指中国法律法规项下的职责和义务，并不涵盖其他国家和地区法律项下的职责和义务。因此，持有人是否可以把含有患者个人信息的不良反应报告提交给其他国家和地区政府部门，还存在疑问，有待相关部门加以明确。

此外，含有患者个人信息的不良反应报告仅能由持有人用于药物警戒活动，并不能提供给持有人以外的对药物警戒没有法定义务的第三方，如药品知识产权许可方、持有人的合作方等。

第二，持有人应遵守《个保法》中个人同意之外的与药物警戒活动不相冲突的规则。

例如，持有人委托他人开展药物警戒工作时，相关协议中除了规定药物警戒相关法规项下的职责分工外，还应符合《个保法》第二十一条的规定，要求受托方按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息。

相关主体（如药物警戒受托方或药品经销商）将含有患者个人信息的不良反应报告提供给境外的持有人时，虽然不需要个人同意，但应当遵守《个保法》第三十八条规定的条件之一，即通过安全评估、经个人信息保护认证或订立标准合同。

此外，持有人也应当遵守《个保法》第五章的义务，如采取相应的安全措施、指定个人信息保护负责人、进行合规审计、进行个人信息保护影响评估等。

（作者单位：金杜律师事务所）

本文仅代表作者观点，不代表本站立场。

(责任编辑：陆悦)