特朗普政府时期的制药行业数据隐私与网络安全

引言

乍看之下，特朗普政府对制药行业的做法似乎主要是放松监管。然而，从数据隐私和安全角度来看，实际情况要复杂得多。当前的政策趋势表明，监管义务并非被取消，而是正在进行重新调整。

本届政府已就人工智能及某些医疗信息技术法规表明了更支持创新的立场，与此同时，既维持了——在某些情况下甚至加强了——对医疗保健相关实体的网络安全要求，也收紧了针对跨境流动的敏感医疗和基因组数据的国家安全管控。

对于制药公司而言，这意味着隐私风险越来越受到网络安全治理、供应商管理、数字营销实践以及地缘政治数据管控的影响，而非仅受某一部笼统的隐私法规的约束。

《HIPAA现代化法案》

最重要的进展之一是联邦政府为更新《健康保险流通与责任法案》（HIPAA）安全规则所做的努力。美国卫生与公众服务部已提出重大修订方案，旨在反映当今的网络安全威胁环境。如果最终版本与当前草案基本一致，该规则将成为近年来最具影响力的联邦医疗保健网络安全更新之一。

拟议的变更将要求采取更具体且可验证的保障措施，包括全面的技术资产清单、网络拓扑图、详细的书面风险分析、更严格的加密要求、关键场景下的多因素身份验证、定期漏洞扫描、年度渗透测试，以及能够在规定时限内恢复关键系统和数据的正式灾难恢复能力。实际上，联邦基准将更接近大多数网络安全专业人士所认为的现代网络安全规范。

这些发展对制药公司至关重要，即使制造商本身并非传统意义上的《健康保险流通与责任法案》（HIPAA）所涵盖的实体。HIPAA框架正式适用于健康保险计划、医疗信息交换中心以及某些医疗服务提供者。然而，现代制药生态系统在运营中越来越接近受监管的医疗工作流程。 患者支持项目、专科药房合作关系、数字疗法、联网医疗设备以及患者参与平台，往往涉及患者信息在多个实体间的流转。因此，即使制药公司自身未直接受监管，也经常与受HIPAA监管的合作伙伴或业务关联方进行互动。此外，在HIPAA不适用的情况下，其他监管机构仍可能对健康相关信息的收集和使用行使监管权。

实际情况是，当前的合规环境虽然支离破碎，但确实存在：部分医药数据受《健康保险流通与责任法案》（HIPAA）约束，部分则不在其管辖范围内；如果治理不力，所有这些数据都可能引发重大的监管风险和声誉风险。

执法趋势

执法趋势印证了这一现实。联邦监管机构越来越强调，基础性的网络安全措施已不再是可有可无的选择。调查往往侧重于组织是否进行了彻底的风险分析、实施了合理的风险管理措施，以及是否保持了充分的系统监控和监督。 许多执法行动仍涉及勒索软件攻击、网络钓鱼事件或数据库泄露，而这些本可通过多因素身份验证、漏洞管理和有据可查的事件响应程序等基本控制措施加以缓解。对于运营患者支持中心、数字健康平台或面向医疗保健行业的附属机构的制药公司而言，这些执法信号突显了可验证的网络安全治理的重要性。监管机构越来越期待看到有据可查的安全计划，而非仅仅是口头保证重视安全。

在线追踪技术

另一个日益受到关注的领域是医疗保健相关网站和移动应用程序中在线追踪技术的使用。政府指导文件强调，当追踪工具（如分析像素、软件开发工具包及类似技术）以可能泄露敏感健康信息的方式将用户信息传输给第三方供应商时，可能会引发合规问题。制药公司通常运营疾病认知网站、报销支持工具、用药依从性应用程序以及患者参与门户。 这些平台生成的数据可能间接揭示患者的健康状况、治疗意向或用药情况。在当前的监管环境下，企业必须秉持强烈的“隐私设计”理念来处理这些数字工具。这包括绘制数据流图、审慎评估第三方分析供应商、限制不必要的数据收集，以及在供应商处理潜在敏感信息时确保合同保障措施到位。

跨境数据传输与国家安全

一项可能更为重大的进展则超出了传统医疗保健监管的范畴。近期旨在保护美国敏感数据免受外国敌对势力侵害的联邦举措，对某些跨境数据传输施加了新的限制。这些计划限制或禁止向受关注国家或某些外国个人提供大量敏感个人信息或政府相关数据的交易。 对生命科学领域而言，关键在于敏感数据的定义涵盖了与制药和生物技术公司高度相关的类别，例如人类基因组数据以及其他生物或健康相关的数据集。这些规则的适用范围不仅限于医院和临床服务提供者，还可能涵盖制药研究数据集、基因检测数据、用药数据，以及通过数字平台或应用程序收集的健康信息。

对于从事全球研究合作、云计算或数据分析合作的制药公司而言，这些国家安全限制措施构成了新的治理层级。以往主要从隐私或知识产权角度审视的数据共享安排，如今可能还需要进行国家安全分析。 企业必须考虑敏感研究数据的存储位置、访问权限范围，以及国际合作方或服务提供商是否属于受限类别。对于开展基因组研究、精准医疗项目或大规模患者数据分析的机构而言，这些考量尤为重要。

监管监督

联邦政策制定者一直试图在这些限制与药物研发及医学研究的实际需求之间寻求平衡。 针对与监管审批相关的活动、在适用监管框架下开展的临床研究，以及制药创新所需的其他活动，存在某些豁免条款。然而，这些豁免通常要求采取去识别化、假名化等保障措施，并对共享数据的范围进行严格限制。在许多情况下，机构必须保留记录，以证明豁免条款适用且已实施了适当的保障措施。因此，跨境研究治理正迅速成为生命科学公司董事会层面的重要议题。

人工智能

与此同时，特朗普政府已表明在人工智能及某些医疗信息技术法规方面将采取更为宽松的立场。联邦政策制定者强调，必须保持美国在人工智能领域的领导地位，并减少可能阻碍创新的监管壁垒。联邦医疗信息技术法规的拟议修订同样侧重于提高灵活性，并减轻可能阻碍技术发展的合规负担。

对制药企业的影响

对于制药行业而言，本届政府的政策方向既带来了机遇，也带来了责任。人工智能技术正越来越多地应用于药物研发、临床试验设计、药物警戒、监管文件编制以及患者参与等领域。 联邦监管力度的放宽可能加速这些工具的试验与应用。然而，缺乏详细的监管防护措施意味着企业必须高度依赖自身的内部治理框架。部署处理健康或研究数据的人工智能系统的组织，必须确保在数据溯源、模型访问、人工监督、偏见缓解以及供应商尽职调查等方面实施适当的管控措施。

归根结底，特朗普政府对制药行业隐私和网络安全的影响，比“放松监管”这一简单标签所暗示的要复杂得多。其可能带来的结果并非合规要求的降低，而是合规方式的转变。制药企业将面临日益增长的网络安全韧性要求、对跨境数据传输的更严格审查，以及与数字化患者互动平台相关的日益增大的风险。与此同时，它们在开发人工智能驱动的技术和健康数据创新方面，可能会获得更大的灵活性。

企业现在可以采取哪些措施

在这种环境下，最有可能取得成功的企业，将是那些将隐私和网络安全视为企业风险管理的核心要素，而非狭隘的法律合规义务的企业。企业若能立即识别潜在的风险领域并制定数据保护计划，将大有裨益。

企业还应评估现有治理架构的定位，以应对这些风险。有效的治理需要法律、信息安全、研究、法规事务及高管层之间的通力协作。在当前的监管环境中，最重要的规则越来越多地来自多个方面——包括医疗保健法规、网络安全执法以及国家安全政策——那些既能快速适应变化，又能保持坚实数据治理基础的组织，将展现出最强的韧性。

如需了解有关特朗普政府对制药业影响的更多资源，请访问福里律师事务所的“特朗普政府资源中心”。

福里律师事务所致力于协助您应对监管变革带来的短期与长期影响。我们拥有丰富的资源，助您应对这些挑战以及与业务运营和行业特定问题相关的其他重要法律考量。请联系本文作者、您的福里客户关系合伙人或我们的 医疗保健与生命科学业务部或 创新技术业务组 团队。