2025年个人生物样本库数据跨境传输伦理审查快速通道协议

2025年个人生物样本库数据跨境传输伦理审查快速通道协议合同编号：__________

第一章总则

第一条定义

本协议所称“个人生物样本库数据”是指个人提供的生物样本所衍生的遗传信息、非遗传信息以及其他相关数据，包括但不限于基因测序数据、蛋白质组学数据、代谢组学数据等。“跨境传输”是指个人生物样本库数据跨越国家或地区边界的传输行为。“伦理审查”是指对本协议项下的个人生物样本库数据跨境传输进行伦理方面的审查和评估。“数据控制者”是指对个人生物样本库数据享有所有权，并能够决定数据处理方式和目的的个人或组织。“数据处理者”是指在数据控制者的授权下，负责处理个人生物样本库数据的个人或组织。“数据主体”是指提供生物样本并授权传输其相关数据的个人。

第二条目的

本协议旨在规范个人生物样本库数据跨境传输的伦理审查流程，确保数据跨境传输符合伦理原则，保护数据主体的合法权益，促进个人生物样本库数据的国际交流与合作。

第三条适用范围

本协议适用于所有涉及个人生物样本库数据跨境传输的行为，包括但不限于数据的收集、存储、传输、处理、使用和共享等环节。

第二章伦理审查原则

第四条自愿原则

个人生物样本库数据的跨境传输必须基于数据主体的真实意愿，数据主体有权自主决定是否同意其生物样本库数据跨境传输，并有权随时撤回其同意。

第五条知情同意原则

在进行个人生物样本库数据跨境传输前，数据控制者必须充分告知数据主体关于数据跨境传输的目的、方式、范围、期限、风险等信息，并确保数据主体在充分理解这些信息的基础上作出同意决定。

第六条公平原则

个人生物样本库数据的跨境传输应当公平、公正，不得损害数据主体的合法权益，不得存在歧视性条款或行为。

第七条安全原则

个人生物样本库数据在跨境传输过程中应当采取必要的安全措施，确保数据不被非法获取、使用或泄露，保护数据主体的隐私和安全。

第三章伦理审查程序

第八条伦理审查申请

数据控制者在进行个人生物样本库数据跨境传输前，应当向相关伦理审查机构提交伦理审查申请，申请中应当包括但不限于以下内容：

（一）数据控制者及数据处理者的基本信息；

（二）个人生物样本库数据的来源、类型、数量等信息；

（三）数据跨境传输的目的、方式、范围、期限等信息；

（四）数据主体的知情同意书；

（五）数据保护措施及应急预案。

第九条伦理审查机构

伦理审查机构负责对个人生物样本库数据跨境传输的伦理审查申请进行审查，审查机构应当由具备相关专业知识和能力的专家组成，确保审查的独立性和公正性。

第十条审查时限

伦理审查机构应当在收到伦理审查申请后的三十个工作日内完成审查，并作出批准或不批准的决定。如有特殊情况，经伦理审查机构负责人批准，可以适当延长审查时限，但延长时间不得超过十五个工作日。

第十一条审查结果

伦理审查机构审查通过后，应当出具伦理审查批准通知书，数据控制者可以依据批准通知书进行个人生物样本库数据的跨境传输。若审查不通过，伦理审查机构应当出具伦理审查不批准通知书，并说明不批准的理由。

第四章数据控制者与数据处理者的责任

第十二条数据控制者的责任

数据控制者应当对个人生物样本库数据的跨境传输负有以下责任：

（一）确保数据主体在充分理解数据跨境传输相关信息的基礎上作出同意决定；

（二）采取必要措施保护数据主体的知情同意权，确保数据主体可以随时查阅、修改或撤回其同意；

（三）监督数据处理者的数据处理行为，确保数据处理者按照本协议约定进行处理；

（四）在数据跨境传输过程中发现任何违法违规行为时，及时采取措施予以纠正，并报告相关伦理审查机构。

第十三条数据处理者的责任

数据处理者应当对个人生物样本库数据的跨境传输负有以下责任：

（一）严格按照数据控制者的授权进行处理，不得超出授权范围；

（二）采取必要的技术和管理措施，确保数据在跨境传输过程中的安全性和完整性；

（三）在数据处理过程中发现任何违法违规行为时，及时通知数据控制者，并协助数据控制者采取纠正措施；

（四）按照数据控制者的要求，定期报告数据处理情况，并接受数据控制者的监督。

第五章数据保护与安全

第十四条数据保护措施

数据控制者和数据处理者应当采取以下数据保护措施，确保个人生物样本库数据在跨境传输过程中的安全性和完整性：

（一）采用加密技术对数据进行加密传输，确保数据在传输过程中的安全性；

（二）建立数据访问控制机制，确保只有授权人员才能访问个人生物样本库数据；

（三）定期对数据进行备份，确保数据在遭受意外损失时能够及时恢复；

（四）对数据处理人员进行保密培训，确保数据处理人员了解数据保护的重要性，并能够遵守相关法律法规。

第十五条数据安全事件应急预案

数据控制者和数据处理者应当制定数据安全事件应急预案，明确数据安全事件的报告、处置、调查、补救等措施，确保在发生数据安全事件时能够及时有效地进行处理，最大限度地降低损失。

第六章违规处理与争议解决

第十六条违规处理

数据控制者和数据处理者违反本协议约定的，应当承担相应的法律责任，包括但不限于停止违规行为、赔偿损失、罚款等。情节严重的，伦理审查机构可以撤销其伦理审查批准，并禁止其参与个人生物样本库数据的跨境传输。

第十七条争议解决

本协议项下的争议应当通过友好协商解决，协商不成的，可以向有管辖权的人民法院提起诉讼。诉讼过程中，双方应当积极配合，共同维护个人生物样本库数据的合法权益。

第七章附则

第十八条协议生效

本协议自双方签字盖章之日起生效，有效期为五年。期满后，双方可以协商续签协议。

第十九条协议解除

有下列情形之一的，本协议可以解除：

（一）双方协商一致解除本协议；

（二）一方严重违反本协议约定，导致本协议目的无法实现的；

（三）出现不可抗力事件，导致本协议无法继续履行的。

第二十条其他

本协议未尽事宜，双方可以另行协商解决。本协议的解释权归双方共同所有。

（以下无正文）

一、场景一：国际多中心临床研究中的生物样本数据共享

应用说明：在全球范围内开展临床研究时，不同国家的研究机构需要共享生物样本数据以推进研究进程。这种跨境传输涉及多个数据控制者、处理者及不同司法管辖区的伦理审查要求。

条款重点与修正：

1.重点条款：

-8.3补充协议签署方：明确各参与机构需签署补充协议，明确各自数据控制者/处理者角色

-9.2伦理审查机构：新增"多中心伦理审查协调机制"，建立伦理审查机构间的沟通渠道

-12.2联合审查机制：数据控制者需成立联合伦理审查委员会，协调各国审查标准差异

2.需要修正条款：

-增加第8.4条款：多中心研究的数据分级分类标准，针对不同敏感程度数据设定差异化跨境传输要求

-修正第14.2条款：明确跨国传输中数据脱敏处理的统一标准，如符合GDPR的匿名化要求可豁免部分审查

二、场景二：生物样本商业化开发中的数据授权

应用说明：科研机构将生物样本数据授权给商业公司进行药物研发或健康风险评估，这类场景涉及商业利益分配和数据商业化使用风险。

条款重点与修正：

1.重点条款：

-5.6商业化使用限制：明确数据控制者保留对商业化开发的监督权

-10.3商业合同衔接：新增"商业合同与伦理审查的兼容性审查"条款

2.需要修正条款：

-增加第13.3条款：商业数据处理者的审计权，规定每季度进行商业合规审计

-修正第16.1条款：商业违规的处罚机制，明确违约金计算标准（按数据条目数×违规天数×基准费率）

三、场景三：公共卫生应急中的跨国数据援助

应用说明：在传染病全球大流行时，各国医疗机构共享生物样本数据以加速病毒溯源和药物研发，此类场景强调时效性与伦理的平衡。

条款重点与修正：

1.重点条款：

-8.5应急条款：新增"公共卫生紧急状态下的数据优先传输机制"

-9.3加速审查程序：规定应急申请可在7个工作日内完成初步审查

2.需要修正条款：

-增加第11.2条款：紧急状态下的数据使用范围限制，需每日更新应急使用日志

-修正第4.2条款：应急传输中数据主体的知情同意可简化为"已通过官方公告获得默示同意"，但需建立后续补签机制

四、场景四：跨国生物样本库联盟建设

应用说明：多个国家建立长期合作的生物样本库网络，实现数据永久性共享与共同管理，这类场景需要更复杂的治理结构。

条款重点与修正：

1.重点条款：

-6.2联盟理事会：新增"联盟伦理审查理事会"条款，由各成员国轮流组成

-8.6联盟数据标准：建立统一的数据元数据标准，包括ISO20357标准引用

2.需要修正条款：

-增加第10.4条款：联盟内机构间的伦理争议调解机制

-修正第19.3条款：联盟协议的变更需经2/3成员同意

五、场景五：人工智能辅助的基因组数据分析

应用说明：将生物样本数据传输至AI公司进行深度学习训练，这类场景涉及算法偏见和数据所有权归属问题。

条款重点与修正：

1.重点条款：

-8.7算法透明度要求：新增"AI模型可解释性审查"条款

-12.3算法偏见审查：规定每半年进行算法公平性测试

2.需要修正条款：

-增加第15.3条款：AI训练数据的动态脱敏技术要求（如差分隐私）

-修正第17.2条款：AI公司需指定"AI伦理官"作为数据控制者的联络人

附件一：数据主体知情同意书模板

-包含详细的风险告知：需明确列出数据泄露、算法偏见、遗传信息商业滥用等具体风险

-独立勾选栏：区分"直接使用"与"AI分析"两种不同处理方式的同意选项

-未成年人特别条款：需附家长授权书样本，明确"15岁以下需经监护人双重同意"

附件二：伦理审查机构参考清单

-国际伦理审查机构：列出IRBnet认证机构名单及联系方式

-中国大陆地区伦理审查机构：附各省市卫健委伦理审查办公室地址及电子申请系统链接

-特别说明：港澳台地区机构需同时符合内地《涉及人的生物医学研究伦理审查办法》

附件三：数据分类分级参考标准

-P0级：直接遗传标记（如单核苷酸多态性数据）

-P1级：经完全匿名化处理的数据

-P2级：经假名化处理且符合HIPAA要求的数据

-P3级：原始全基因组数据（需满足《人类遗传资源管理条例》要求）

附件四：跨境传输安全协议

-加密标准：需明确AES-256加密传输要求，附GPG密钥交换流程图

-访问控制模板：包含"最小必要访问原则"的电子授权表模板

-安全审计日志：规定需记录IP地址、操作时间、操作类型等信息的日志模板

附件五：多中心研究数据交换协议

-统一元数据标准：附《生物医学研究数据元数据集》（WHO标准版）对照表

-数据传输时间表：规定每月5日、20日为数据交换节点，附数据包验收清单

-伦理冲突调解指南：附国际医学科学组织理事会（CIOMS）伦理争议处理流程图

附件六：AI算法审查清单

-算法偏见测试用例：包含代表性不足、分类错误等8类测试场景

-可解释性要求：需附SHAP值（SHapleyAdditiveexPlanations）技术说明

-定期审查计划：规定算法模型更新后的30日内需重新提交伦理审查

注意事项及解决办法清单：

1.审查周期过长问题

-病例：某跨国企业因等待伦理审查延误了阿尔茨海默病研究数据传输

-病因：多国伦理审查机构间缺乏协调机制

-解决方案：建立"伦理审查绿色通道"，对已通过WHOGCP认证的研究项目直接豁免部分审查环节

2.数据脱敏技术不统一问题

-案例：中欧合作项目中，中国采用GB/T35273标准，欧盟使用HIPAA标准导致数据互认失败

-解决方案：在附件三中明确"脱敏数据需同时符合ISO27733标准"

3.数据主体撤回同意后的数据处置争议

-案例：某美国研究者在项目中期撤回同意，但数据已被用于AI训练

-解决方案：增加第12.4条款：数据主体撤回同意后，所有衍生数据需立即进行不可逆脱敏处理

4.算法偏见投诉处理困难

-案例：某患者投诉AI模型对女性预测精度低于男性

-解决方案：附件六需附"算法公平性投诉处理流程"，包括15日内成立临时审查小组的机制

5.企业数据控制者资质认定难题

-案例：某生物技术公司不具备"人类遗传资源采集-确权"资质却开展跨国合作

-解决方案：在8.1条款中明确"企业数据控制者需提供ISO15189认证或当地卫健委备案证明"

6.公共卫生紧急状态下的数据授权

-案例：新冠疫情初期，某医院未及时获取应急授权导致数据传输延误

-解决方案：8.5条款需附"政府应急命令备案模板"，规定医院需在收到命令后2小时内提交数据控制者授权证明

多方为主导时的，附件条款及说明

第一条甲方为主导时的，附加条款及说明

第一十条之一甲方主导下的数据控制者特殊义务

本条款适用于甲方作为数据控制者主导跨境传输的情形。甲方除应履行本协议第十条规定的义务外，还应当：

（一）建立数据控制者主导委员会，由甲方授权代表及至少两名数据主体代表组成，负责监督跨境传输的伦理合规性；

（二）在数据跨境传输开始前三十日内，向数据主体提供详细的数据使用报告，包括但不限于数据传输次数、接收方清单、数据用途变更记录等；

（三）设立独立的第三方审计监督机制，每年至少聘请一家具有ISO27001认证的机构对跨境传输的安全性进行审计，审计报告需同时提交给数据主体及伦理审查机构；

（四）针对数据主体提出的合理诉求，应在七个工作日内作出响应，并在三十日内完成相关调整；

本条款旨在强化主导方数据控制者的责任意识，确保其在跨境传输中的主导地位不损害数据主体的合法权益。实践中，甲方主导委员会的设立应通过书面决议明确成员构成、决策机制及会议频率，以保障其独立性和有效性。

第一十一条甲方主导下的数据处理者授权机制

本条款适用于甲方作为数据控制者授权数据处理者的情形。甲方在授权数据处理者时，应当：

（一）明确授权范围，包括数据类型、处理目的、传输地域、期限及例外情况等，授权文件需经数据主体书面确认；

（二）建立数据处理者分级管理制度，根据数据处理者的合规记录及专业能力，设定不同的授权级别，高风险处理者需接受更严格的定期审查；

（三）要求数据处理者建立数据访问日志，记录所有数据访问操作，包括访问者身份、访问时间、访问内容及操作类型，日志保存期限不得少于五年；

（四）在数据处理者违反授权范围时，有权立即终止授权并要求其删除相关数据，同时保留追究违约责任的权利；

本条款通过细化授权机制，防止数据处理者滥用授权，保障数据控制者的主导权。实践中，甲方应制定《数据处理者合规手册》，明确禁止性条款及违规处理措施，并要求数据处理者定期提交合规报告。

第一十二条甲方主导下的数据传输安全保障措施

本条款适用于甲方作为数据控制者主导跨境传输的情形。除本协议第十四条规定的安全措施外，甲方还应当：

（一）采用端到端的加密传输技术，确保数据在传输过程中不被窃取或篡改，加密算法应符合NISTSP800-57标准；

（二）建立数据传输中断应急预案，规定传输中断后的恢复时限及通知机制，确保数据主体及时了解传输状态；

（三）对传输路径进行安全评估，避免数据通过高风险地区或网络节点，定期更新安全评估报告；

（四）要求数据处理者使用符合ISO27017标准的云存储服务，并签订数据隔离协议，确保不同客户的数据相互隔离；

本条款通过强化传输安全措施，降低跨境传输中的数据安全风险。实践中，甲方应与数据处理者共同制定《数据传输安全测试方案》，包括压力测试、渗透测试等，并保留测试报告作为合规证据。

第二条乙方为主导时的，附加条款及说明

第二十条之一乙方主导下的数据控制者特殊义务

本条款适用于乙方作为数据控制者主导跨境传输的情形。乙方除应履行本协议第二十条规定的义务外，还应当：

（一）建立数据控制者主导监督委员会，由乙方授权代表及至少两名数据主体代表组成，负责监督跨境传输的合规性；

（二）在数据跨境传输开始前三十日内，向数据主体提供详细的数据使用报告，包括但不限于数据传输次数、接收方清单、数据用途变更记录等；

（三）设立独立的第三方审计监督机制，每年至少聘请一家具有ISO27001认证的机构对跨境传输的安全性进行审计，审计报告需同时提交给数据主体及伦理审查机构；

（四）针对数据主体提出的合理诉求，应在七个工作日内作出响应，并在三十日内完成相关调整；

本条款旨在强化主导方数据控制者的责任意识，确保其在跨境传输中的主导地位不损害数据主体的合法权益。实践中，乙方主导监督委员会的设立应通过书面决议明确成员构成、决策机制及会议频率，以保障其独立性和有效性。

第二十一条乙方主导下的数据处理者授权机制

本条款适用于乙方作为数据控制者授权数据处理者的情形。乙方在授权数据处理者时，应当：

（一）明确授权范围，包括数据类型、处理目的、传输地域、期限及例外情况等，授权文件需经数据主体书面确认；

（二）建立数据处理者分级管理制度，根据数据处理者的合规记录及专业能力，设定不同的授权级别，高风险处理者需接受更严格的定期审查；

（三）要求数据处理者建立数据访问日志，记录所有数据访问操作，包括访问者身份、访问时间、访问内容及操作类型，日志保存期限不得少于五年；

（四）在数据处理者违反授权范围时，有权立即终止授权并要求其删除相关数据，同时保留追究违约责任的权利；

本条款通过细化授权机制，防止数据处理者滥用授权，保障数据控制者的主导权。实践中，乙方应制定《数据处理者合规手册》，明确禁止性条款及违规处理措施，并要求数据处理者定期提交合规报告。

第二十二条乙方主导下的数据传输安全保障措施

本条款适用于乙方作为数据控制者主导跨境传输的情形。除本协议第二十二条规定的安全措施外，乙方还应当：

（一）采用端到端的加密传输技术，确保数据在传输过程中不被窃取或篡改，加密算法应符合NISTSP800-57标准；

（二）建立数据传输中断应急预案，规定传输中断后的恢复时限及通知机制，确保数据主体及时了解传输状态；

（三）对传输路径进行安全评估，避免数据通过高风险地区或网络节点，定期更新安全评估报告；

（四）要求数据处理者使用符合ISO27017标准的云存储服务，并签订数据隔离协议，确保不同客户的数据相互隔离；

本条款通过强化传输安全措施，降低跨境传输中的数据安全风险。实践中，乙方应与数据处理者共同制定《数据传输安全测试方案》，包括压力测试、渗透测试等，并保留测试报告作为合规证据。

第三条当有第三方中介时，增加的多项条款及说明

第三十条之一第三方中介的特殊义务

本条款适用于存在第三方中介参与跨境传输的情形。第三方中介除应履行本协议第三十条规定的义务外，还应当：

（一）建立中介服务伦理审查机制，对自身提供的每项服务进行伦理风险评估，并记录评估结果；

（二）在提供服务前，向数据控制者提供《中介服务合规证明》，包括但不限于ISO27733认证、HIPAA合规证明等；

（三）建立中介服务透明度报告制度，每季度向数据控制者及数据主体提交服务报告，包括服务次数、服务内容、处理数据量及投诉处理情况等；

（四）在发现数据控制者或数据处理者存在违规行为时，应立即通