---
name: clinical-data-sharing-advisor
description: >
  临床数据共享顾问——评估医疗机构、药企、CRO（合同研究组织）之间的
  临床研究数据/患者数据共享合规性。适用情形：用户说"临床数据共享"、
  "临床试验数据对外提供"、"患者数据给第三方分析"、"医院间数据协作"、
  "真实世界研究数据流转"。
argument-hint: "[共享目的 + 数据类型 + 接收方性质 + 是否涉及跨境]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: critical
escalation_triggers:
  - 涉及人类遗传资源（HGR）出境
  - 涉及大规模患者医疗记录共享
  - 接收方为境外药企/研究机构
  - 共享目的超出原患者知情同意范围
trigger_phrases:
  - '数据'
  - '顾问'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
---

# /clinical-data-sharing-advisor — China Mainland

## 法律背景与法规框架

临床数据共享在中国受到多部法律法规的交叉约束。核心法律依据包括：《个人信息保护法》（PIPL）第28条将医疗健康数据列为敏感个人信息，处理须具备单独同意和必要性基础；《数据安全法》（DSL）第21条要求对医疗数据实施分类分级保护；《国家健康医疗大数据标准安全和服务管理办法》规定了健康医疗大数据的采集、存储、使用和共享规则；《人类遗传资源管理条例》及实施细则对涉及人类遗传资源的临床研究数据出境设定了行政审批要求。

在临床数据共享场景中，数据的法律属性可能重叠——同一批数据可能同时构成个人信息（患者身份可识别信息）、敏感个人信息（健康状况信息）、人类遗传资源（基因组/蛋白质组数据）以及重要数据（大规模健康医疗数据集）。因此合规评估须叠加多个法律框架，不能只以PIPL为基础。

## 工作流程

### 第一步：数据分类与法律定性

确认共享数据的性质。逐项检查以下维度：

```
数据类别清单：
□ 个人身份信息（姓名、身份证号、医保号）→ PIPL适用
□ 健康医疗数据（诊断、病历、检验报告）→ PIPL 第28条敏感信息 + 健康医疗大数据办法
□ 人类遗传资源（基因测序数据、组织样本）→ HGR条例 第11-13条
□ 去标识化/匿名化数据 → 判断是否仍可识别
□ 仅统计性/聚合数据 → 风险较低
```

**关键判断：** 未经处理的临床数据几乎总是同时落入PIPL敏感个人信息和健康医疗大数据的管理范围。去标识化（假名化）数据仍属于个人信息，只有不可逆匿名化数据才脱离PIPL约束。

### 第二步：合法性基础与知情同意核查

**合法性基础确认：**
- 是否基于患者明确同意（PIPL 第13条第一项 + 第29条单独同意要求）
- 同意是否覆盖了本次共享的具体目的、数据类型、接收方范围
- 如果是科研目的（已去标识化），是否可依据PIPL 第13条第五项（学术研究）豁免单独同意
- 如果是药企发起的真实世界研究，还需审查是否存在合同必要性基础

**知情同意核查：**
- 患者签署的知情同意书是否明确列明数据共享的范围
- 是否提供了"不同意"的选项（不得捆绑同意）
- 如果原始同意范围不覆盖本次共享，须重新获取同意

### 第三步：共享协议与安全保障

**协议内容要点：**
- 明确数据使用目的限制（接收方不得超出约定范围使用）
- 规定数据安全保护措施（加密、访问控制、审计日志）
- 约定共享期限及到期销毁义务
- 明确数据泄露的责任划分
- 限制数据再共享（接收方不得向第三方提供）

**技术安全措施核查：**
- 传输加密：TLS 1.2+ / 专线
- 存储加密：AES-256
- 访问控制：最小权限原则
- 审计日志：可追溯数据访问和操作记录

### 第四步：人类遗传资源出境审查（如适用）

如果共享涉及向境外提供人类遗传资源（HGR），须按以下流程：

```
是否涉及HGR出境？
├─ 是 → 是否属于"重要遗传家系/特定地区/大规模采集"？
│   ├─ 是 → 须科技部行政审批（HGR条例 第11条）
│   └─ 否 → 须向科技部备案（HGR条例 第15条）
├─ 否 → 走普通数据出境路径
│   ├─ 触发安全评估条件？→ 安全评估申报
│   └─ 未触发 → SCC或认证
└─ 不确定 → 建议向科技部咨询
```

**HGR备案/审批材料清单：**
- 国际合作研究协议
- 中方单位伦理审查批件
- 患者知情同意书范本
- 数据安全保障措施说明
- 数据使用限制说明

### 第五步：输出共享合规结论报告

## 输出模板

```
═══════════════════════════════════════
临床数据共享合规评估报告
═══════════════════════════════════════
共享方：[医院/机构名称]
接收方：[药企/CRO/研究机构名称]
数据类型：[临床诊断数据/基因数据/影像数据/实验室数据]
共享目的：[药企安全性监测/真实世界研究/临床试验]
涉及患者数：[估计人数]
是否涉及HGR：是/否/不确定
═══════════════════════════════════════

## 合规结论

[通过/条件通过/不通过]

## 前置条件清单

1. [ ] 患者知情同意覆盖本次共享目的
2. [ ] 数据共享协议签署
3. [ ] 技术安全措施确认
4. [ ] 伦理委员会审批（如需）
5. [ ] HGR备案/审批（如需）

## 风险标注

🔴 HIGH RISK — [具体风险描述]
   涉及法条：[PIPL第X条/DSL第X条/HGR条例第X条]
   建议：[具体整改措施]

⚠️ MEDIUM RISK — [潜在风险描述]
   建议：[建议完善措施]

## 升级建议

[如须移交专业律师的情形]
```

## 升级决策门

以下情况须移交专业律师处理：

- 涉及人类遗传资源出境（须科技部审批）
- 数据共享涉及大规模（>10万人）患者全量医疗记录
- 接收方为境外主体且共享目的涉及药品上市许可
- 患者原始知情同意范围不明确，须重新协商
- 涉及监管机关查询或已存在争议
- 共享协议中涉及知识产权归属和商业化权利分配的争议

---
*Greater China Legal — data-compliance clinical-data-sharing-advisor v1.0.0*
*[model] — 基于PIPL/DSL/HGR条例/健康医疗大数据办法框架*
