做医疗器械或药品出口的企业,每天都在把数据传出中国——不良事件报告发给海外AR、临床试验数据同步给美国CRO、产品质量投诉汇总给欧盟公告机构、软件更新日志上传到美国云服务器。这些操作在2026年之前可能只是"默认允许",但2026年的监管环境变了。
2026年1月1日,三部法律同时生效或完成框架搭建:修正后的《网络安全法》(CSL)大幅提高处罚力度;《个人信息保护法》(PIPL)的第三条跨境传输路径——个人信息保护认证——正式实施;数据出境安全评估和标准合同备案的实操经验也已积累了一年多。
对中国出海的医药企业来说,这不是"要不要合规"的问题,而是"用哪条路径合规、什么时候启动"的问题。
中国数据出境法律框架:三部法律叠加
跨境数据传输在中国受三部法律共同约束,每部法律的侧重点不同:
| 法律 | 核心关注 | 与医疗企业的关系 |
|---|---|---|
| 网络安全法(CSL) | 网络运行安全、关键信息基础设施 | 医疗器械云平台可能被认定为CII |
| 数据安全法(DSL) | 数据分类分级、重要数据出境 | 健康数据可能被归类为"重要数据" |
| 个人信息保护法(PIPL) | 个人信息处理、敏感信息、跨境传输 | 患者/受试者个人健康数据是"敏感个人信息" |
2024年3月,CAC发布了《促进和规范跨境数据流动规定》,放宽了部分数据出境的门槛——提高了触发安全评估的数据量阈值,免除了某些场景下的合规手续。但"放宽"不等于"豁免",企业仍然需要完成数据映射、分类分级和合规路径评估。
三条跨境传输路径:哪条适合你
PIPL规定了三条合法的跨境数据传输路径。2026年1月1日认证路径正式生效后,三条路都通了,但每条路的适用场景不同。
路径一:CAC数据出境安全评估
适用条件:- 被认定为关键信息基础设施运营者(CIIO)
- 处理个人信息达到CAC规定的数量门槛(2025年放宽后的标准:累计向境外提供100万人以上个人信息或1万人以上敏感个人信息)
- 涉及"重要数据"出境
对医疗企业的实际影响: 如果你的企业运营的医疗器械云平台被认定为CII(比如连接了大量公立医院设备的大型远程监测平台),或者你向境外传输的个人健康数据(敏感个人信息)累计超过1万人的量级,大概率要走这条路径。
时间线: 安全评估从提交到结果一般在45-60个工作日。但准备材料(数据映射、合规审计报告、安全保障措施说明)通常需要3-6个月。
路径二:标准合同备案
适用条件:- 不是CIIO
- 未达到安全评估的数据量门槛
- 不涉及重要数据
对医疗企业的实际影响: 这是最多中小型医疗器械和药品出口企业会选择的路径。如果你的跨境数据传输主要是:向海外AR发送不良事件报告、向海外经销商共享产品注册技术文档(不含大规模患者个人信息)、向海外合作伙伴发送脱敏后的汇总数据——标准合同备案通常就够用了。
实操要点:- 使用CAC提供的标准合同模板(不能自行修改核心条款)
- 在合同生效后10个工作日内向省级网信部门备案
- 备案材料包括合同文本、个人信息保护影响评估报告、境外接收方的安全保障能力说明
- 可以在合同生效后立即开始传输,不必等备案完成
路径三:个人信息保护认证
适用条件:- 2026年1月1日正式生效的《跨境个人信息传输认证措施》
- 适合同一跨国公司内部的数据传输,或关联公司之间的数据共享
- 需要通过CAC和SAMR认可的第三方认证机构
对医疗企业的实际影响: 这条路径最适合有中国子公司或办事处的跨国医疗器械企业——比如在中国设有研发中心或生产基地的外资企业,需要把中国产生的数据传回总部。对于纯中国本土的出口企业,这条路径的实际用途有限。
认证要求(GB/T 46068-2025):- 2026年3月1日生效的国家标准《跨境个人信息处理活动安全认证要求》
- 要求认证申请人建立完整的数据治理体系,包括数据映射、分类分级、访问控制、加密传输、事件响应等
健康数据的特殊地位:敏感个人信息
在PIPL框架下,个人健康数据被归类为"敏感个人信息"。这个分类直接影响了处理要求:
| 普通个人信息 | 敏感个人信息(健康数据) |
|---|---|
| 一般同意即可 | 需要明确、单独的同意 |
| 最低必要原则适用 | 更严格的"真正必要"标准 |
| 违规罚款相对较低 | 违规处罚更重,容忍度更低 |
| 跨境传输门槛较高 | 跨境传输门槛更低(1万人 vs 100万人触发安全评估) |
2026年的执法动向显示,CAC对健康数据领域的执法力度在加强。China Briefing在2026年的分析中特别指出,医院、诊所、健康App、数字健康平台和企业医疗提供商是2026年的重点执法对象。
对医疗器械企业来说,这意味着你的产品如果采集患者数据(哪怕是穿戴设备的生理参数),在设计数据出境方案时就要按照敏感个人信息的标准来做。不要等到产品已经部署到海外市场再去补合规。
医疗器械出海场景中的数据出境检查表
不同出海场景涉及的数据类型和合规要求差异很大。以下是几个常见场景的具体分析:
场景一:向欧盟AR发送不良事件报告
涉及数据: 患者个人信息(姓名缩写、年龄、性别、不良事件描述、器械信息) 数据性质: 敏感个人信息(健康相关) 推荐路径: 标准合同备案(数据量通常不触发安全评估) 关键动作:
- 在与AR的服务协议中嵌入CAC标准合同条款
- 完成个人信息保护影响评估
- 确保AR在欧盟的GDPR合规不影响中方义务
- 10个工作日内向省级网信部门备案
场景二:临床试验数据跨境同步
涉及数据: 受试者个人信息、临床评估数据、影像数据、实验室结果 数据性质: 敏感个人信息,可能涉及重要数据 推荐路径: 需要逐案评估——如果数据量大(多中心、大样本),可能触发安全评估 关键动作:
- 在试验方案设计阶段就纳入数据出境评估
- 伦理委员会审查时需要说明数据跨境传输安排
- 如果是MRCT(国际多中心临床试验),数据管理的复杂度更高
- 考虑数据本地化存储+脱敏后跨境传输的方案
场景三:SaMD/连接器械的云服务数据
涉及数据: 用户生理参数、使用日志、软件性能数据、可能的地理位置 数据性质: 取决于产品功能——如果是健康监测,通常是敏感个人信息 推荐路径: 取决于用户规模和数据量 关键动作:
- 产品设计阶段就要考虑数据本地化存储方案
- 中国用户数据存储在中国境内的云服务器
- 如需跨境传输(比如总部需要分析全球使用数据),走标准合同或认证路径
- APP隐私政策需要明确告知用户数据跨境传输的情况
CSL修正案:处罚力度大幅提升
2026年1月1日生效的CSL修正案,最显著的变化是处罚力度。对企业来说,以下几点值得特别关注:
- 企业罚款采用阶梯式处罚:严重后果(大规模数据泄露等)罚款50万-200万元,特别严重后果(关键信息基础设施核心功能丧失等)罚款200万-1000万元——相比原法上限50万元,提高了20倍
- 直接责任人员的罚款上限从10万元提高到100万元
- 执法手段更为多样,包括责令关闭网站、暂停服务、吊销许可证等
- 首次将AI治理纳入网络安全法律框架
值得注意的是,如果违法行为同时涉及个人信息处理违规,还可能触发PIPL的处罚——PIPL对严重违规的最高罚款为5000万元或上一年度营业额的5%(以高者为准)。两法叠加时,企业的实际罚款风险远高于单一法律下的处罚
修正案也引入了宽大处理机制(Article 73):如果违规者主动消除或减少危害后果、主动报告未被发现的违法行为、配合调查、或者属于首次轻微违规并及时纠正,监管部门可以减轻或免除处罚。这说明完善的合规记录和审计追踪在出问题时不只是"好看",而是能直接降低处罚。
实操时间线建议
根据Klealegal在2026年的合规指南,以下是分阶段的时间线建议:
0-7天: 完成全面的数据映射——梳理你的企业处理哪些个人信息、存在哪里、有哪些跨境流向。这一步是所有后续工作的基础。
7-30天: 对所有跨境数据传输进行合规评估——确认每条数据流是否需要安全评估、标准合同备案或认证。启动个人信息保护影响评估(DPIA)。指定或确认个人信息保护负责人。
30-90天: 完成合规整改——更新合同条款、完善技术保障措施(加密、访问控制)、确认境外接收方的安全能力。提交标准合同备案或启动认证申请。进行桌面应急演练。
出海企业如果还没开始做数据合规,建议从数据映射开始。不需要一步到位,但需要现在就开始。2026年的监管信号已经很明确:执法从"解释规则"转向"检查执行"。
参考资源
- Bird & Bird, "China Data Protection and Cybersecurity: Annual Review of 2025 and Outlook for 2026 (I)" — 2025年中国数据保护年度回顾与2026展望
- China Briefing, "China Releases Cross-Border Data Transfer Certification Measures" — 跨境个人信息传输认证措施解读
- Klealegal, "China Data Laws 2026: Key Changes for Businesses" — 2026年中国数据法律变化要点
- ICLG, "Digital Health Laws and Regulations Report 2026 China" — 2026年中国数字健康法律法规报告
- China Briefing, "China 2026 Personal Information Protection Enforcement: Key Focuses" — 2026年中国个人信息保护执法重点
- IAPP, "China's new cross-border data transfer regulations: What you need to know and do" — 中国跨境数据传输新规解读
- Sesame Disk, "China PIPL Compliance 2026: Essential Guide for Foreign Businesses" — 2026年PIPL合规外籍企业指南
- DLA Piper/JDSupra, "China: New guidance on data transfer and identification of important data in the automotive sector" — 行业数据跨境传输指引分析(汽车行业参考框架)
相关文章
药物洗脱支架与药物涂层球囊全球注册指南:组合产品的FDA PMA、EU MDR与NMPA合规路径
详解药物洗脱支架(DES)和药物涂层球囊(DCB)作为组合产品的全球注册路径,涵盖FDA PMA临床证据要求、EU MDR Class III技术文件、CMC药物释放测试与生物相容性评价。
MDCG 2025-6解读:EU AI Act下医疗器械合规时间线与实操要点
MDCG 2025-6联合指引全文解读:MDAI定义、高风险分类、Digital Omnibus延期后的合规时间线、MDR整合评估流程,以及中国AI医疗器械企业的应对策略。
中国AI伦理审查新规解读:MIIT十部委联合发布,健康AI与SaMD首当其冲
深度解读2026年3月工信部等十部委联合发布的《人工智能科学技术伦理审查和服务管理措施(试行)》——中国首个AI伦理审查专门框架,高影响AI清单首次纳入健康相关技术,对中国医疗器械和药品企业AI研发、注册和出口的影响与应对。