2025年临床试验受试者隐私保护特别措施协议

2025年临床试验受试者隐私保护特别措施协议合同编号：__________

2025年临床试验受试者隐私保护特别措施协议

第一章总则

第一条协议目的

本协议旨在明确临床试验过程中受试者个人信息的保护义务与责任，确保受试者隐私权益不受侵害，依据《中华人民共和国个人信息保护法》、《药物临床试验质量管理规范》及相关法律法规制定。

第二条适用范围

本协议适用于[试验名称]临床试验所有参与环节，包括但不限于知情同意、数据收集、存储、使用、传输及销毁等全流程。所有涉及受试者个人身份信息、健康状况、遗传信息及临床试验结果的参与方均须遵守本协议约定。

第三条术语定义

（一）受试者：指根据本协议规定，自愿签署知情同意书并参与临床试验的个人；

（二）个人信息：指能够单独或者与其他信息结合识别特定自然人的各种信息，包括但不限于姓名、身份证号、联系方式、住址、生物识别信息、病历资料、影像资料及临床试验数据等；

（三）临床试验机构：指依法取得开展临床试验资格的医疗机构或科研机构；

（四）数据控制者：指决定个人信息处理目的、方式和范围的主体，通常为申办者或临床试验机构；

（五）数据处理器：指为数据控制者处理个人信息，但无权决定处理目的和方式的第三方机构或个人。

第二章隐私保护基本原则

第四条合法正当必要原则

所有个人信息的处理活动必须基于合法性基础，以实现临床试验目的为必要条件，不得超出临床试验所需范围进行收集或使用。处理个人信息应遵循最小必要原则，仅收集与试验直接相关的个人信息。

第五条透明公开原则

数据控制者应通过书面形式或电子方式，向受试者清晰说明个人信息处理规则，包括处理目的、方式、存储期限、权利行使方式及安全保护措施等。信息披露内容应使用受试者易于理解的表述方式。

第六条安全保障原则

数据控制者及处理器应建立完善的个人信息安全管理制度，采取技术措施和管理措施确保个人信息安全。技术措施包括数据加密、访问控制、安全审计等；管理措施包括制定操作规程、定期培训工作人员、建立应急响应机制等。

第七条责任明确原则

明确临床试验各参与方在个人信息保护中的责任分工，申办者作为主要责任主体，临床试验机构及数据处理器承担相应连带责任。各参与方应指定专门人员负责个人信息保护工作，并建立责任追究制度。

第三章个人信息处理规范

第八条知情同意阶段处理

（一）在受试者签署知情同意书前，必须充分说明个人信息处理的具体事项，包括数据类型、处理目的、使用范围、存储期限及权利行使方式等；

（二）受试者有权在充分理解后自主决定是否参与，有权在试验过程中随时撤回同意，撤回同意不影响已发生处理的合法性；

（三）知情同意书应作为临床试验档案永久保存，并采用电子签名或特殊标记方式确认受试者真实意愿。

第九条临床试验期间处理

（一）禁止将受试者个人信息用于临床试验目的之外的其他用途，包括商业推广、学术发表等非研究活动；

（二）涉及敏感个人信息（如遗传信息、心理健康信息）的处理必须取得受试者额外书面同意，并采取加强型保护措施；

（三）临床试验过程中产生的数据应进行去标识化处理，通过技术手段删除或修改可识别个人身份的信息，确保数据用于统计分析时不直接指向特定受试者。

第十条多方协作处理

（一）当申办者委托第三方机构处理个人信息时，应通过书面合同明确约定处理范围、方式及安全保障要求，并定期对第三方进行合规审查；

（二）临床试验机构在临床试验过程中收集的个人信息，未经申办者书面授权不得直接提供给其他医疗机构或科研单位；

（三）涉及跨国传输个人信息时，必须符合数据出境安全评估要求，通过国家网信部门备案或获得受试者明确同意。

第十一条特殊群体保护

（一）对未成年人、老年人及限制民事行为能力人参与临床试验，必须同时获得其监护人或法定代理人的书面同意；

（二）在处理精神障碍患者、传染病患者等特殊群体的个人信息时，应严格遵循医疗伦理原则，必要时咨询伦理委员会意见；

（三）对参与临床试验的孕妇、哺乳期妇女等特殊生理群体，应采取特殊保护措施，避免对母婴健康造成潜在风险。

第四章受试者权利保障

第十二条知情权

受试者有权随时查询其个人信息在临床试验中的处理情况，包括被收集的数据类型、使用目的、存储期限及处理方式等。数据控制者应在收到查询请求后十五个工作日内予以答复。

第十三条更正权

受试者发现其个人信息存在错误或缺陷时，有权要求数据控制者进行更正或补充。数据控制者应在收到请求后三十个工作日内完成处理，并书面通知受试者处理结果。

第十四条删除权

在以下情形受试者有权要求删除其个人信息：（一）已无临床试验使用价值且超过保存期限；（二）处理目的已实现或不再必要；（三）受试者撤回同意且无其他合法依据继续处理。数据控制者应在收到请求后六十个工作日内完成删除，但法律另有规定的除外。

第十五条限制处理权

当受试者有合理理由怀疑个人信息处理违反法律法规时，有权要求数据控制者暂停处理，直至其提供充分证据证明处理合法。数据控制者应在收到请求后二十个工作日内进行审查并作出答复。

第十六条投诉举报权

受试者认为其个人信息权益受到侵害时，有权向数据控制者所在单位或上级主管部门投诉，也可向国家或地方卫生健康行政部门、网信部门及市场监管部门举报。各参与方应建立畅通的投诉处理渠道，并在收到投诉后十日内予以受理。

第五章安全事件处置

第十七条事件识别

各参与方应建立个人信息安全事件监测机制，通过技术监测、人工巡查等方式及时发现以下情形：（一）未经授权的访问或泄露；（二）系统漏洞或故障；（三）非法获取或篡改个人信息等。

第十八条应急响应

发生个人信息安全事件时，应立即启动应急预案，按照事件严重程度分级处理：（一）一般事件：立即控制现场，限制影响范围，评估损害程度；（二）重大事件：立即向监管机构报告，采取补救措施，并开展受试者告知程序。

第十九条事件报告

（一）发生重大个人信息安全事件时，数据控制者应在事件发生后七十二小时内向所在地卫生健康行政部门、网信部门及市场监管部门报告，同时通知可能受影响的受试者；（二）一般事件应在事件发生后十五个工作日内进行风险评估，必要时向相关部门备案；（三）报告内容应包括事件概述、影响范围、已采取措施及改进计划等。

第二十条损害赔偿

因个人信息处理不当导致受试者合法权益受到损害的，数据控制者应依法承担赔偿责任。赔偿范围包括直接经济损失、精神损害抚慰金等，具体标准参照《个人信息保护法》相关规定执行。

第六章责任与义务

第二十一条申办者责任

（一）作为数据控制者，负责制定个人信息保护管理制度，明确各参与方责任分工，并定期开展合规审查；（二）在临床试验方案中包含个人信息保护章节，确保处理活动符合本协议约定；（三）建立个人信息保护专项资金，用于技术升级、人员培训及应急响应等。

第二十二条临床试验机构责任

（一）作为数据处理器及可能的共同控制者，应指定专人负责个人信息保护工作，并建立操作规程和培训制度；（二）对临床试验人员进行定期考核，确保其掌握个人信息保护基本要求；（三）配合数据控制者开展安全事件处置，及时提供技术支持和证据材料。

第二十三条数据处理器责任

（一）在处理个人信息时，应严格遵守数据控制者的授权范围，不得超出约定目的使用；（二）建立个人信息处理台账，记录所有处理活动，并定期向数据控制者提交处理报告；（三）发生安全事件时，应在第一时间向数据控制者报告，并协助开展应急处置。

第二十四条持续改进义务

各参与方应建立个人信息保护持续改进机制，每年进行合规评估，根据法律法规变化、技术发展及实践需求，及时完善保护措施。评估结果应作为年度绩效考核的重要指标。

第七章协议效力与终止

第二十五条生效条件

本协议自各方签字盖章之日起生效，但以取得伦理委员会批准及药品监督管理部门备案为前提条件。各参与方应在收到批准文件后三十日内完成协议签署。

第二十六条协议期限

本协议有效期限自临床试验开始之日起至试验结束且所有数据完成归档后三年止。特殊情形下，经各方协商一致可延长协议期限，但最长不超过五年。

第二十七条终止情形

出现以下情形时，本协议自动终止：（一）临床试验提前终止；（二）申办者变更或破产；（三）法律法规规定必须终止的其他情形。协议终止不影响已发生处理的合法性。

第二十八条清理要求

协议终止时，各参与方应完成以下工作：（一）删除或匿名化处理受试者个人信息；（二）返还或销毁包含个人信息的资料载体；（三）提交终止报告及清理证明，并存档备查。

第二十九条不可抗力

因自然灾害、战争、政府行为等不可抗力因素导致本协议无法履行的，各方可协商变更或解除协议。不可抗力影响消除后，应立即恢复履行，并采取措施减少损失。

第八章争议解决

第三十条争议类型

本协议项下的争议包括但不限于合同履行争议、侵权争议及个人信息保护争议。争议解决应遵循合法、公正、高效的原则，优先通过协商或调解方式解决。

第三十一条协商调解

发生争议时，各方应首先通过书面形式进行协商，协商不成的可共同委托第三方调解机构进行调解。调解协议经各方签字后具有约束力。

第三十二条法律途径

协商或调解不成的，任何一方均可向临床试验所在地有管辖权的人民法院提起诉讼。诉讼期间，不影响本协议其他条款的继续履行。

第三十三条证据规则

争议解决过程中，各方应提供真实、完整的证据材料。电子数据作为证据的，应提供数据来源、生成过程及完整性证明，必要时可申请公证或鉴定。

第九章附则

第三十四条法律适用

本协议适用中华人民共和国法律，包括但不限于《中华人民共和国民法典》、《中华人民共和国个人信息保护法》及《药物临床试验质量管理规范》等相关法律法规。

第三十五条文本效力

本协议一式[]份，申办者、临床试验机构、数据处理器各执[]份，具有同等法律效力。补充协议与本协议具有同等效力，但应以书面形式签署。

第三十六条通知送达

本协议项下的所有通知应以书面形式送达至协议首部列明的地址。电子送达的，应通过协议约定的邮箱或系统进行。送达后三日内视为有效送达。

第三十七条费用承担

因履行本协议产生的合理费用，包括但不限于咨询费、评估费、诉讼费等，由责任方承担。争议解决过程中产生的费用，按实际发生额分摊。

第三十八条版本控制

本协议最后修订日期为2025年[]月[]日，版本号为V1.0。后续修订应另行签署补充协议，并替换原协议文本。

第三十九条其他

本协议未尽事宜，由各方另行协商解决。本协议的解释权归各参与方共有，任何一方不得单方面作出解释。

###特殊应用场景一：基因临床试验

**应用场景说明**

基因临床试验涉及遗传信息的收集与分析，属于高度敏感的个人信息处理范畴。此类试验往往需要受试者提供血液、唾液等生物样本，并可能涉及家族成员遗传风险信息，对隐私保护要求更为严格。场景中常见的数据类型包括DNA序列、基因变异检测报告、遗传病史等，这些信息一旦泄露可能引发歧视或身份识别风险。

**关键条款及修正说明**

1.**条款修正**：需重点参考《基因技术伦理与安全规范》中关于遗传信息处理的特殊规定，在原第9条“临床试验期间处理”中增加条款：

-**修正条款**：“涉及遗传信息的处理必须取得受试者额外书面同意，并采用去标识化处理；禁止将遗传信息用于健康保险、就业等非研究目的。基因数据应存储在符合ISO27045标准的专用数据库中，访问需经伦理委员会批准。”

2.**权利保障强化**：在第15条“限制处理权”后增加基因信息特殊保护条款，明确受试者有权要求对遗传信息进行单独加密存储，并限制科研人员直接访问原始基因数据。

**注意事项**

-基因信息跨境传输需符合《人类遗传资源管理条例》，确保数据出境经过国家人类遗传资源管理办公室备案；

-伦理委员会需对基因试验方案进行专项审查，特别关注知情同意书的通俗化表述是否充分说明遗传风险；

-当受试者同意将其家族成员纳入遗传风险评估时，需增加条款明确：“家族成员信息仅用于群体遗传学研究，不得单独用于健康咨询或商业用途。”

---

###特殊应用场景二：远程临床试验

**应用场景说明**

远程临床试验通过互联网、可穿戴设备等技术收集受试者数据，具有数据类型多样、处理环节分散的特点。场景中可能涉及视频问诊记录、运动手环生理参数、电子病历同步等，数据在传输、存储过程中面临更高的安全风险。此类试验常见于慢性病管理、康复医学等领域。

**关键条款及修正说明**

1.**条款修正**：在原第6条“安全保障原则”中增加远程数据安全条款：

-**修正条款**：“远程数据传输必须采用TLS1.3加密协议；可穿戴设备数据采集需符合GDPR《医疗器械数据传输条例》，确保设备端数据脱敏处理；建立异常访问预警机制，对连续三次登录失败的行为自动触发安全审计。”

2.**处理器责任细化**：在第23条“数据处理器责任”中增加远程设备管理条款：

-**修正条款**：“数据处理器需定期对可穿戴设备进行安全检测，每季度提交检测报告；设备故障导致的原始数据损坏，处理器需在48小时内通知数据控制者并提供技术恢复方案。”

**注意事项**

-远程试验需额外获取《互联网医疗管理办法》合规证明，确保电子知情同意书符合电子签名法要求；

-需制定专项应急预案，针对网络攻击、设备丢失等情况明确处理流程；

-受试者有权要求查看远程数据传输日志，原第12条“知情权”需增加：“远程数据传输日志可通过加密邮件或专用APP查阅，日志记录需包含IP地址、设备MAC码等安全标识。”

---

###特殊应用场景三：儿童临床试验

**应用场景说明**

儿童临床试验涉及未成年人个人信息处理，需遵循《儿童权利公约》及《未成年人保护法》的特殊保护原则。场景中常见的数据类型包括学龄前儿童的认知评估记录、青少年心理健康量表等，数据敏感度较高且易受家庭隐私影响。

**关键条款及修正说明**

1.**条款修正**：在原第11条“特殊群体保护”中增加儿童专项条款：

-**修正条款**：“涉及6岁以下儿童的认知测试数据必须由监护人全程陪同采集，数据采集人员需通过儿童心理学培训；对12岁以下青少年进行的心理评估，必须同时获得学校教师签字确认。”

2.**监护权条款补充**：在第13条“删除权”后增加监护权行使条款：

-**修正条款**：“监护人有权以儿童名义行使所有隐私权利，包括撤回同意、要求数据删除；儿童成年后可要求撤销监护人的代为行使权利，需提供身份证明及精神健康评估报告。”

**注意事项**

-儿童试验的伦理审查需通过教育部联合审查机制，确保试验方案符合《涉及儿童的临床试验伦理审查指南》；

-儿童数据跨境传输需符合《儿童在线隐私保护法》（COPPA），确保数据接收国无虐待儿童记录；

-监护人有权要求定期获取儿童试验进展报告，原第12条“知情权”需增加：“报告形式必须采用漫画+视频解读，确保监护人理解试验对儿童发展的潜在影响。”

---

###特殊应用场景四：多中心临床试验

**应用场景说明**

多中心临床试验涉及多个临床试验机构协同处理受试者数据，具有数据主体分散、处理标准差异大的特点。场景中常见的数据类型包括不同医院的诊断记录、不同地区的生活环境数据等，数据整合时面临隐私交叉风险。

**关键条款及修正说明**

1.**条款修正**：在原第10条“多方协作处理”中增加多中心管理条款：

-**修正条款**：“各中心必须使用统一的数据脱敏规则，采用K-匿名技术处理诊断数据；建立多中心数据协调委员会，每季度审查数据使用合规性。”

2.**数据安全强化**：在第6条“安全保障原则”中增加多中心传输条款：

-**修正条款**：“多中心数据传输必须通过专用VPN隧道，传输路径需经过国家保密局认证；各中心数据管理员需通过国家信息安全水平考试（ISSEP）认证。”

**注意事项**

-多中心试验需额外取得《多中心临床试验管理办法》备案，确保各中心伦理委员会资质符合要求；

-数据整合前需进行隐私风险评估，原第6条“安全保障原则”需增加：“风险评估报告需由第三方独立第三方评估机构出具，评估等级为‘高度敏感’的试验禁止跨中心数据共享。”

-当某中心发生数据泄露时，需建立“数据污染阻断机制”，立即暂停所有中心的数据传输，原第17条“事件识别”需增加：“阻断机制启动后，各中心需48小时内提交自查报告，经协调委员会确认无交叉污染后方可恢复传输。”

---

###特殊应用场景五：AI辅助临床试验

**应用场景说明**

AI辅助临床试验通过机器学习算法分析海量受试者数据，包括电子病历、基因测序、社交媒体数据等，具有数据类型复合、算法偏见风险高的特点。场景中常见的数据类型包括未去标识化的临床记录、受试者自愿上传的互联网行为数据等。

**关键条款及修正说明**

1.**条款修正**：在原第7条“责任明确原则”中增加AI责任条款：

-**修正条款**：“AI算法开发方作为数据处理者，需通过ISO27701数据保护管理体系认证；算法训练期间产生的中间数据必须进行差分隐私处理，差分隐私参数需经伦理委员会批准。”

2.**算法透明度条款**：在第5条“透明公开原则”中增加算法说明条款：

-**修正条款**：“AI算法必须提供可解释性报告，说明模型对受试者分类的依据；算法每次迭代需重新进行偏见测试，测试报告必须包含对性别、种族、年龄等敏感群体的公平性评估。”

**注意事项**

-AI辅助试验需额外取得《新一代人工智能伦理规范》合规证明，确保算法符合“人类监督原则”；

-当AI算法预测结果与临床诊断不符时，需建立“算法争议处理委员会”，由临床专家、AI工程师、伦理委员组成；

-受试者有权要求查看AI对其健康数据的预测结果，原第12条“知情权”需增加：“预测结果必须以可视化图表形式呈现，附带专业解读说明。”

---

###原始合同所需附件清单（口语化整理）

1.**伦理委员会批准文件**

-需包含完整伦理审查报告及批准函，需有伦理委员签字及机构盖章

2.**药品监督管理部门备案/批件**

-需包含临床试验备案证明或药物临床试验批件，需有监管机构电子章

3.**数据脱敏技术说明**

-详细说明采用K-匿名、差分隐私等技术的具体参数及验证报告

4.**安全事件应急预案**

-包含数据泄露时的责任划分、处置流程、赔偿标准等

5.**数据处理器资质证明**

-提供ISO27001、COPPA认证、ISSEP证书等

6.**受试者知情同意书模板**

-必须有受试者手写签名及监护人签字，需包含儿童专用版本

7.**算法透明度报告**

-包含算法偏见测试报告、可解释性说明、人类监督机制说明

8.**多中心协调机制文件**

-包含各中心伦理委员会互认函、数据传输协议等

9.**基因信息特殊保护方案**

-包含基因数据跨境传输备案证明、遗传风险告知书等

10.**儿童临床试验专项说明**

-包含儿童心理学评估报告、学校同意书、监护人培训材料等

11.**远程试验技术规范**

-包含视频传输加密协议、设备兼容性测试报告等

12.**AI辅助试验技术说明**

-包含算法偏见测试报告、模型验证数据等

附件要求：所有附件必须经过公证或认证，电子版需采用区块链存证技术，确保不可篡改。

多方为主导时的，附件条款及说明

第十章多方主导条款

第一条甲方为主导时的特殊条款

（一）条款新增：甲方作为数据控制者及主要出资方，在临床试验数据全生命周期管理中享有主导性监督权，但不得滥用主导地位干预数据处理的独立性。具体表现为：

1.甲方有权对临床试验机构及数据处理器提交的数据处理报告进行初步审核，但需在收到报告后十五个工作日内完成，不得无理拖延；

2.甲方主导制定的数据处理标准需经临床试验机构及数据处理器共同确认，确认程序包括但不限于召开数据保护委员会会议，形成书面决议后方可执行；

3.甲方需建立专项监督基金，金额不低于临床试验总预算的5%，用于处理因主导权滥用导致的第三方索赔或监管处罚。

（二）条款说明：本条款旨在平衡甲方主导地位与第三方合法权益，避免因甲方利益诉求导致数据处理活动偏离伦理轨道。实践中，主导方需提供书面证明材料说明监督措施符合《个人信息保护法》第二十一条关于“履行管理职责所必需”的要求，避免过度干预。特别针对基因数据等高度敏感信息，主导方需提供伦理委员会出具的专项审查意见，证明监督措施不会影响科学研究的客观性。

第二条乙方为主导时的特殊条款

（一）条款新增：乙方作为临床试验机构或数据处理器时，若在协议中明确主导地位，需承担额外义务：

1.乙方需指定数据保护官（DPO）专职负责主导方授权范围内的数据处理活动，DPO需通过国家数据保护专业能力认证，并向甲方提供授权证明；

2.乙方主导制定的数据处理方案需经甲方书面同意后方可实施，同意程序包括但不限于提交方案后三十日内完成审核；

3.乙方需建立主导权滥用举报机制，设置独立举报邮箱及保密热线，对举报线索需在七个工作日内启动调查，并书面反馈调查结果。

（二）条款说明：本条款旨在约束乙方主导行为，防止其利用主导地位规避数据保护责任。实践中，主导方需提供书面承诺，声明其主导行为不会影响数据处理的合法性基础，特别是对于涉及未成年人、精神障碍患者等特殊群体的信息处理活动，需提供伦理委员会的特别授权证明。

第三条有第三方中介时的特殊条款

（一）条款新增：当存在第三方中介机构参与数据整合、分析等环节时，需明确以下义务：

1.第三方中介机构作为数据处理者，需与甲方、乙方签订三方协议，协议中需明确数据使用边界，特别是禁止将数据用于临床试验目的之外的其他商业用途；

2.第三方中介机构需通过国家数据出境安全评估，评估报告中需包含对数据安全风险的专项说明，并由中介机构法定代表人签字确认；

3.第三方中介机构需建立数据使用日志，记录每次数据访问的时间、IP地址、操作内容等信息，日志保存期限不得少于临床试验结束后三年。

（二）条款说明：本条款旨在规范第三方中介行为，防止数据在流转过程中发生污染或滥用。实践中，第三方中介机构需提供营业执照、ISO27001认证、数据安全保险单等资质证明，并定期提交数据保护合规报告。特别针对AI辅助分析场景，需提供算法偏见测试报告，证明第三方提供的分析模型不存在对特定群体的歧视性结果。

第十一章责任分配细则

第四条主导方责任细化

（一）条款新增：主导方需建立数据保护委员会，委员会成员不得少于三方代表，包括但不限于甲方技术负责人、乙方伦理委员会主席、第三方中介的DPO，委员会需每年至少召开四次会议；

（二）条款说明：本条款旨在确保多方利益平衡，避免主导方单方面决策。实践中，委员会会议需形成书面决议，并作为协议附件存档。特别针对重大数据处理活动，如基因数据跨境传输、敏感心理评估数据整合等，需经委员会三分之二以上成员同意后方可实施。

第五条第三方责任细化

（一）条款新增：第三方中介机构需建立数据使用合规保证金制度，保证金金额不低于中介服务费的200%，保证金由甲方指定银行托管，用于赔偿因第三方责任导致的损失；

（二）条款说明：本条款旨在强化第三方责任，防止其因合规风险导致整个临床试验中断。实践中，保证金需在协议签署后三十日内缴纳，如有必要，甲方有权要求第三方增加保证金或提供银行保函。

第六条联合责任认定

（一）条款新增：当数据泄露事件由多方共同责任导致时，需按照“过错相抵”原则分配赔偿责任，分配比例由受影响的受试者所在地的司法机关根据各方过错程度裁定；

（二）条款说明：本条款旨在明确复杂场景下的责任划分。实践中，各方需在事件发生后十日内提交责任认定申请，由具有管辖权的法院委托第三方独立评估机构进行责任评估。

第十二章协议变更特殊规定

第七条主导方变更的特殊处理

（一）条款新增：甲方主导地位发生变更时，需提前六个月书面通知乙方及第三方中介，变更方案需经原数据保护委员会同意，并重新取得伦理委员会批准；

（二）条款说明：本条款旨在确保主导权变更不影响数据处理的连续性。实践中，变更方案需包含对现有数据处理协议的修订说明，特别是针对已去标识化数据的处理规则，需保证变更前后法律效力一致。

第八条第三方介入的特殊处理

（一）条款新增：任何一方需引入新的第三方中介机构时，需经其他方书面同意，同意程序包括但不限于提交介入方案后二十个工作日内完成评估；

（二）条款说明：本条款旨在防止第三方机构随意介入数据流转过程。实践中，新介入的第三方需提供与原第三方同等或更高的数据保护资质证明，并由原数据保护委员会进行风险评估。

第十三章独立审计与整改

第九条主导方审计义务

（一）条款新增：甲方需每年委托第三方独立审计机构对乙方及第三方中介的数据处理活动进行审计，审计报告需提交给所有参与方，并报送至伦理委员会及药品监督管理部门备案；

（二）条款说明：本条款旨在强化主导方的监督责任。实践中，审计机构需具备《信息安全审计师认证》资质，审计范围包括但不限于数据处理协议执行情况、数据安全事件记录、受试者权利响应机制等。

第十条整改措施要求

（一）条款新增：当审计发现数据处理活动存在合规风险时，相关方需在三十个工作日内提交整改方案，整改方案需经原数据保护委员会审核，并报伦理委员会批准后方可实施；

（二）条款说明：本条款旨在确保合规风险得到及时纠正。实践中，整改方案需包含问题清单、整改措施、完成时限、责任分工等内容，并由整改方法定代表人签字确认。

第十四章特别声明条款

第十一条主导权与伦理优先原则

（一）条款新增：本协议各条款均不得损害受试者合法权益，任何以主导权为由提出的特殊数据处理要求，需经伦理委