作者：毛凯律师

从2004年我国批准注册了全球首个基因治疗药物开始， 基因和细胞治疗已经成为人类对抗肿瘤、遗传疾病等恶性疾病的重要方式。在基因和细胞治疗的全过程中，能够采集大量的人体遗传资源信息数据和个人信息。这些数据与国家安全、个人信息保护等问题密切相关，因此基因和细胞治疗中的数据合规问题值得关注。

一、人体基因和细胞治疗中的数据

目前，我国对人体基因和细胞治疗的应用监管上施行双轨制，基因和细胞治疗既是医疗技术又是药品。在全流程监管上涉及的监管主体有三家，分别是科技部门、卫生健康部门和药品监管部门。基因和细胞治疗的应用层面，主要集中在以医疗机构为代表的医疗技术应用和以医药企业为代表的药品注册上市。人体基因和细胞治疗的数据多集中在医疗机构的临床研究和生物制药企业的药品注册流程中，按照业务流程涉及到的数据大体可以分为实验室实验数据、临床研究（试验）数据和使用（应用）数据。

在这三个阶段中所产生的数据，包括与人体相关的细胞、基因等主要涉及到人体遗传资源信息和个人信息的数据，与试验（研究）的客体对象相关的动物组织、病毒等产生的多涉及专利、商业秘密为代表的知识产权的数据。总得来看，基因和细胞治疗中产生的数据在法律性质上可以为分为三大类，人类遗传资源信息、个人信息和知识产权。

人体基因和细胞治疗中的数据合规监管部门的监管重心不一，科技部门关注人类遗传资源信息数据的安全性；卫生健康部门从保护患者隐私角度；药品监管部门关注数据的真实、准确、完整和可追溯性。人体基因和细胞治疗中的数据合规的法律保护体系，主要由《网络安全法》《数据安全法》《个人信息保护法》构筑的数据安全法律体系和知识产权相关法律组成，共同构成了保护个人信息、数据安全和保护知识产权的法律体系。无论在何种阶段，人体基因和细胞治疗中的数据合规必然以患者（受试者）为基础，以保护医疗机构和企业的合法权益为要义。

二、三大阶段的数据合规

（一）实验室研究阶段

基因和细胞治疗技术首先诞生于实验室，研究人员在实验室进行基因和细胞研究时能够产生大量的数据，这些数据主要来源于实验对象提供的基因、细胞数据和实验中因工艺、技术手段而产生的科学效应数据。这些数据的来源于实验的客体对象多为动物细胞、病毒、体细胞等，一般来说较少从人体采集细胞。从数据的性质上来看，多涉及专利、商业秘密等与知识产权相关的数据。

因为基因和细胞治疗监管施行双轨制，所以实验室阶段的基因细胞治疗主要以药品监管部门制定的《药物非临床研究质量管理规范》（2017年）（简称GLP）为监管依据。GLP第3条规定：药物非临床安全性评价研究是药物研发的基础性工作，应当确保行为规范，数据真实、准确、完整。药品监管部门对数据要求核心就是真实、准确、完整，根据GLP（2017年）的要求，此阶段数据合规的重点在于人员、制度、设施设备、操作，其中在数据采集、分析上以真实、准确、完整为要求。

（二）临床试验（研究）阶段

根据《干细胞临床研究管理办法（试行）》（2015年）的规定，干细胞临床研究指应用人自体或异体来源的干细胞经体外操作后输入(或植入)人体，用于疾病预防或治疗的临床研究。体外操作包括干细胞在体外的分离、纯化、培养、扩增、诱导分化、冻存及复苏等。可以说基因和细胞治疗的临床试验（研究）阶段直接面对人体，相对应的在此阶段能够采集到大量的人类遗传资源信息数据和个人信息。

根据《人类遗传资源管理条例》第11条的规定，采集人类遗传资源必须经科技部门批准。因此数据采集的源头，即人类遗传资源采集必须经科技部门批准，否则此阶段的数据采集缺乏合法性。另外《人类遗传资源管理条例》第12条的规定，采集我国人类遗传资源，应当事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利，征得人类遗传资源提供者书面同意。

另外，根据《干细胞临床研究管理办法（试行）》第17条的规定，干细胞临床研究应当符合《药物临床试验质量管理规范》（简称GCP）的要求。GCP对数据的要求与GLP的一致，仍然是要求数据和结果的科学、真实、可靠。GCP第36条对临床试验申办者在试验管理、数据处理与记录保存提出了详细的要求。

因为临床试验直接面对患者（受试者），涉及到大量的个人信息，因此此阶段的数据合规必须遵守《个人信息保护法》的规定。《个人信息保护法》第28条的规定，生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息为个人敏感信息。临床试验（研究）阶段要采集患者（受试者）的人体细胞，对基因、细胞进行分析，这些均涉及生物识别和医疗健康方面的信息。因此，在此阶段对个人信息的保护，除了遵循《个人信息保护法》对个人信息保护的一般规则外，还应适用敏感信息的单独同意+特别告知规则。

最后，无论是人类遗传资源信息数据采集的合法性还是和个人信息的保护，都离不开临床阶段患者（受试者）签署的知情同意书，作为相关数据采集合法合规性的基础性文件。因此，知情同意书应当包含采集人类遗传资源的告知内容、处理个人信息的告知和患者（受试者）的单独同意+特别告知内容。

（三）使用（应用）阶段

目前，对于人体基因和细胞治疗的医疗技术应用没有完全放开，只能以药物的形式在临床中使用，并且使用（应用）阶段只发生在以医院为代表的医疗机构，相关规则以医疗机构的管理规范为主。

以CAR-T细胞疗法为例，首先从患者处采集血液，分离、纯化出T细胞，再对T细胞进行基因改造并进行扩增，然后以药物的名义注射入患者体内。这个过程与临床试验（研究）阶段的数据合规类似，都存在人体遗传资源采集和个人信息保护的问题，只不过使用阶段在医疗机构的临床使用中，以适用医疗机构相关的管理规范为主。对于个人信息的保护，除了仍然要遵循《个人信息保护法》的规定外，医疗机构还应该遵循《医疗机构病历管理规定》《电子病历应用管理规范》《国家健康医疗大数据标准安全和服务管理办法（试行）》和《信息安全技术健康医疗数据安全指南》等。

另外，根据《药品管理法》《疫苗管理法》和《药物警戒质量管理规范》的规定，药品上市和药物临床试验时，相关责任人应开展药物警戒活动。药物警戒活动是指对药品不良反应及其他与用药有关的有害反应进行监测、识别、评估和控制的活动。药物警戒活动，实际上也是对患者（受试者）的用药的相关信息的收集，除了《药物警戒质量管理规范》规定的数据真实、完整、准确性外，还会涉及个人的信息保护。在相关责任人进行药物警戒活动时仍然要注意数据合规。

三、知识产权保护

人体基因和细胞治疗的数据，可以说是医疗机构或企业整个研发、治疗信息的总结，不仅仅涉及到监管的合法合规性问题，还事关企业的知识产权保护的问题。根据我国《专利法》第25条的规定，疾病的诊断和治疗方法不授予专利。目前，人体基因和细胞治疗作为治疗方法是无法商业化人体基因和细胞治疗只能以一定的载体作为药物才能在临床上使用。因此，在药物的研发、生产流程中可以申请相关发明、实用新型专利。

企业为保持自己的核心竞争力不想公开相关数据和细节，而选择以商业秘密的方式对相关数据予以保护。这时，人体基因和细胞治疗的数据合规，要从《反不正当竞争法》中商业秘密保护的角度进行考量。

四、结语

基因和细胞治疗是生物医药的前沿领域，相关技术还在不断探索，其市场化、商业化在摸索中前进，整个治疗中获得的相关数据与人类遗传资源、个人信息保护、知识产权保护等密切相关。随着《数据安全法》和《个人保护法》的实施，基因和细胞治疗的数据合规的重要性日显突出，要在法治的轨道内用基因和细胞技术为人类谋福祉。

律师介绍

毛凯律师，北京市京师（武汉）律师事务所企业合规中心主任，青年律师工作委员会主任，武汉市律师协会第六届资产与财务管理专业委员会、证券与资本专业委员会委员。

业务领域：企业合规；私募基金、医药、食品行业合规；刑事辩护。