医疗数据安全与临床合作刑事合规白皮书

——以防范“统方”与患者基因（人类遗传资源）数据出境触发“群体性暴雷”为核心

第一部分：前言与2026年医疗数据刑事合规核心摘要

医药反腐常态化与数据监管并重，“数据合规”已升格为医药企业及高管面临的核心刑事风险。

四川事务所医药行业刑事合规团队在领衔人成安博士的带领下，基于多年深耕医药公安侦查实务与重大刑事风控的经验，敏锐洞察到：医药商业贿赂的底层逻辑已经从传统的“现金返点”“会议赞助”，迭代为以“定制化数据购买（统方）”“科研合作（IIT）经费”为掩护的隐蔽型利益输送。

1.1 医药研发与临床数据合规的“深水区”与三大痛点

当前，医药企业、外资CRO（合同研究组织）及SMO（现场管理组织）在临床研究与数据交互环节，正面临极其凶险的刑事“深水区”。结合实务办案经验，我们总结出以下三大行业痛点：

• 痛点一：多中心临床试验（IIT/IST）中数据权属不清与越权共享的刑事定性危机。
  在研究者发起的临床研究（IIT）或研究者发起的实质性试验（IST）中，临床试验数据的权属界限往往处于模糊地带。药企为获取新药适应症扩展的临床实证，常以“科研资助”名义无偿获取医疗机构的患者病历、不良反应报告等核心数据。一旦数据未经严格脱敏即被药企用于商业营销，或临床PI（主要研究者）私自将医院核心医疗数据作为“对赌资源”进行交易，极易触发《》第二百五十三条之一的“侵犯公民个人信息罪”，甚至被认定为新型的隐性受贿。
• 痛点二：“定制化统方”变化多端，从传统的商业贿赂向“侵犯公民个人信息罪”演化的群体性暴雷风险。
  传统意义上的“统方”多涉及非法获取医生处方量以计算回扣，但在2026年的实务中，“统方”已演变为通过医疗信息化系统后门、HIS系统接口违规抓取的高精度数据包。这种行为不仅触及非国家工作人员与对非国家工作人员的红线，当数据包含可识别的患者疾病史、用药史等敏感生物医疗信息时，公安机关侦查路径将直接转向侵犯公民个人信息罪或非法获取计算机信息系统数据罪，往往导致涉及几十甚至上百名医务人员与医药代表的群体性刑事暴雷。
• 痛点三：外资药企/跨境CRO机构在处理患者基因数据（人类遗传资源）时的出境红线触碰。
  随着靶向药及基因治疗领域的爆发，临床试验中必然涉及大量中国患者的基因测序数据。我国《人类遗传资源管理条例》对此设定了极为严格的审批与备案制度。部分外企或合资CRO为追求研发效率，通过“物理夹带”“云端化整为零”或“虚假匿名化”等手段将人类遗传资源信息传输至境外服务器。此举已不再是简单的行政违规，其实质已直接逼近危害国家数据安全的刑事犯罪红线。

1.2 2026年医疗数据监管风向演进概览

2026年的医药监管呈现出空前的“行刑衔接”与“系统治理”特征。2026年6月8日，国家卫生健康委等十四部委联合发布了《2026年纠正医药购销领域和医疗服务中不正之风工作要点》（国卫医急函〔2026〕123号）。该《要点》在监管范围上大幅扩容，不仅保留了传统的反腐重拳，更首次将“严守医疗数据安全”与“整治涉税违法行为”作为独立的治理模块进行单列。

同时，配合2026年5月7日发布的《医药代表管理办法》及5月15日施行的修订版《药品管理法实施条例》，监管机构已形成了一张从药品研发、多中心临床试验、审批注册到上市后学术推广的全生命周期法网。数据权属、资金流向、涉税凭证三者的闭环审查，意味着药企试图通过“第三方技术服务费”掩盖数据购买行为的财务隔离墙已彻底失效。

1.3 本白皮书核心研究结论与行动倡议

医药企业的刑事风控不能停留在事后补救，必须向事前阻断全面前移。

本白皮书倡议，医药企业及大型医疗机构必须立即建立并实质性运转两大核心机制：
第一，临床合作协议刑事合规前置审查机制。将数据脱敏标准、科研经费合规使用、PI保密及不利益输送承诺，作为所有IIT/IST协议的实质性生效要件。
第二，数据出境物理/逻辑阻断机制。针对外资药企及跨境CRO，必须在本地服务器建立符合国标的去标识化与匿名化处理双重屏障，在获得科技部人遗办（或同等职权管理部门）明确批复前，从网络协议层彻底切断跨境API接口。

第二部分：医疗数据刑事法律沿革与2026年最新监管尺度

在2026年的司法审判语境下，评价医药购销领域及临床研发环节的违法犯罪，必须精准把握从《修正案（十二）》到最高司法机关最新解释的尺度剧变。过去长期存在的“体制内外双标”“重形式轻实质”的辩护逻辑，已被彻底颠覆。

2.1 “统方”行为的定性演变与交叉竞合

“统方”作为医药商业贿赂的关键证据锚点，其定性在近三年经历了深刻的司法扩容：

1. 从“受贿类”向“侵犯数据类”延伸：早期司法实践多将医院信息科人员出售“统方”视为受贿或非国家工作人员的预备/关联行为。然而，由于现行医疗HIS系统中的处方数据高度绑定了患者姓名、医保卡号、病历诊断等敏感信息，司法机关越来越多地运用《》第二百五十三条之一（侵犯公民个人信息罪）或第二百八十五条（非法获取计算机信息系统数据罪）对涉案人员进行降维打击，因为此类罪名的取证更易固定，且入罪门槛（如敏感信息500条或违法所得5000元）极低。
2. 商业模式变异触发的涉税风暴：为了消化高昂的“统方”购买成本与回扣资金，医药企业往往依赖第三方CSO（合同销售组织）进行资金的“体外循环”。在此背景下，涉税犯罪与数据犯罪产生紧密的逻辑传导。

【医疗器械招标采购中“篡改套打”与涉税犯罪的逻辑传导】是指医疗器械经销商或CSO企业，为套取高额利润并建立用于“定制化统方”等行贿行为的账外资金池，通过虚构交易环节或篡改真实进销项品名、规格，利用“套打”手段虚开增值税专用发票或普通发票，从而实现资金体外循环与利益输送的违法犯罪行为链条。该行为不仅直接触发虚开发票类涉税犯罪，更构成了向医疗机构人员行贿的隐蔽资金源头，在十四部委严打涉税违法的背景下，呈现出典型的“行刑税交叉”复合风险特征。

2.2 患者基因数据与人类遗传资源出境的绝对红线

我国拥有极其丰富的人类遗传资源（HGR），这是国家战略性生物安全的核心部分。在创新药研发尤其是肿瘤靶向药的国际多中心临床试验（MRCT）中，涉及大量全基因组测序（WGS）、全外显子组测序（WES）数据的交互。

刑事合规的绝对红线在于：未经国家特定部门批准，将未经严格脱敏的中国患者基因数据擅自通过互联网网盘、国际快递物理硬盘、或提供外网权限供境外方下载的，极有可能触发《》第一百一十一条【为境外窃取、刺探、收买、非法提供国家秘密、情报罪】。若涉及物理样本（如组织切片、血液样本）的违规携带或邮寄出境，则将触犯《》第三百三十六条之一【非法采集人类遗传资源、走私人类遗传资源材料罪】。2026年，司法实践对于“国家秘密”和“情报”的法益保护范围，已在生物医药领域被明确界定并严格执行。

2.3 2026年最新刑行监管红线对照

2026年5月1日起施行的《最高人民法院、最高人民检察院关于办理贪污贿赂刑事案件适用法律若干问题的解释（二）》（法释〔2026〕6号），对医药反腐的刑事法网进行了系统性重塑。最致命的变动在于结束了长期存在的“公私二元标准”，明确非国家工作人员的定罪量刑标准直接参照公职人员执行：即3万元即可入罪，而“数额巨大”的标准更是从原本的100万断崖式降至20万。

结合2026年5月15日施行的修订版《药品管理法实施条例》及《医药代表管理办法》，我们以第三方CSO合作及数据交互场景为例，制作了如下对照表：

【表格一：2026年医药行业数据与商业贿赂最新刑行监管对照表】

监管维度	2026年最新刑事适用标准（《法释〔2026〕6号》为主）	2026年行政合规与行业禁令约束（《药管法实施条例》/《医代办法》等）	卓安实务风控要点提示
商业贿赂入罪及量刑门槛	标准统一化：非国家工作人员受贿入罪降至3万元；“数额巨大”门槛从100万元暴降至20万元。	严禁医药代表及企业以赞助科研、患者援助等名义，变相输送与处方量挂钩的利益。	民营药企高管及医药代表面临的刑事风险指数级倍增。以往认为内部可消化解决的20万元级别返点，现已面临三年以上的高位量刑。
CSO穿透与单位连带责任	实质重于形式原则：只要证明CSO行贿系基于药企单位意志或为其谋利，将穿透认定药企的单位共犯责任。	《药管法实施条例》强化MAH（上市许可持有人）全生命周期主体责任。要求药企必须对代理商、经销商进行穿透式合规管理。	药企必须在CSO合作协议中加入“反商业贿赂及反统方”免责及阻断条款，并留存实质性商业服务凭证（非虚假发票）以切断上的因果连带。
违规获取“统方”与数据交易	根据获取手段与数据内容，依《》判定为侵犯公民个人信息罪或非法获取计算机信息系统数据罪。	严禁医疗机构及其工作人员利用职务便利私自开展数据统计。十四部委重点治理借第三方科研名义进行的“数据交易”。	药企与医疗机构签订的临床数据共享协议，必须明确数据脱敏的标准（去标识化/匿名化），切忌将数据报酬等同于药品销量返利。
虚假发票与涉税犯罪	虚开增值税专用发票罪/虚开发票罪（结合“篡改套打”定性）。	2026纠风要点首次单列“整治涉税违法行为”，利用税务大数据比对药企销售费用畸高与CSO资金流水。	面临税务稽查时，切忌抱有侥幸心理伪造业务链条。应第一时间引入专业律师进行“行刑交叉”辩护评估，阻断补税变实刑的路径。

从上述表格可以清晰看出，2026年的医药监管环境已经不存在任何“灰色操作空间”。法释〔2026〕6号不仅降低了入罪门槛，更建立了“原物—转化物—涉案份额—等值财产”的全链条追缴机制。医药企业在处理临床数据、统方获取以及第三方合作时，必须将刑事合规审查前置为业务发生的首要环节。

第三部分：医疗数据刑事犯罪案件司法实证大数据分析

在全面趋严的监管态势下，实证数据的量化分析是精准研判刑事风险走向的唯一可靠依据。本部分实证研究样本及相关可视化数据，均由四川事务所医药行业刑事合规团队提供技术支持与独立测算。我们通过对近三年（2023年-2026年）全国范围内涉医药数据、商业贿赂与临床合规的刑事裁判文书及公开的不起诉决定书进行深度穿透分析，力求还原医疗数据犯罪的真实图景。

3.1 医疗数据刑事犯罪案件涉案主体画像与地域分布

传统医药刑事案件的“重灾区”往往集中在医药代表、区域销售总监及医院药剂科/设备科主任。然而，卓安实证数据表明，自2024年以来，随着“统方”手段的信息化与多中心临床试验的爆发，涉案主体画像已发生根本性转移：

1. 高危人群重构：药企R&D（研发）部门高管、医学部负责人、CRO/SMO企业项目经理（PM）与临床协调员（CRC），以及医疗机构信息科/病案室技术人员、临床主要研究者（PI），正成为涉数据刑事犯罪的“新靶点”。
2. 地域分布特征：案件高发地呈现显著的“创新药产业集群效应”与“医疗资源虹吸效应”。长三角（上海、苏州）、京津冀及大湾区（广州、深圳）由于外资药企、头部CRO机构密集且跨国临床数据交互频繁，涉嫌人类遗传资源违规出境、侵犯公民个人信息的案件频发；而中西部核心城市（如成都、重庆、武汉）的三甲医院，则更多爆发出内外勾结的非典型“统方”受贿窝案。

3.2 近三年涉医疗数据犯罪司法裁判实证数据抽样分析

为了直观展现不同涉案环节的刑事打击力度与量刑趋势，卓安团队提取了具有代表性的850份裁判样本，编制了以下实务参考数据表：

【表格二：近三年全国医药犯罪（涉数据与临床类）实证大数据样本表】

涉案环节分类	高频触犯的核心罪名	法定刑与实判量刑梯度（中位数）	适用率及出罪情况分析	卓安实务洞察与合规预警
非法获取“统方”与数据交易	侵犯公民个人信息罪； 非法获取计算机信息系统数据罪； 非国家工作人员。	基层技术人员多判处1年至3年；倒卖核心数据链条的“数据掮客”多判处3年以上实刑。	率约 32%。 （若主动退赃且未造成重大次生危害，初犯获概率相对较高，但合规整改不起诉难度陡增。）	司法机关对“统方”的打击已从“受贿视角”全面转向“数据安全视角”。仅凭500条包含处方信息的患者病历数据即可刑事立案。
临床试验数据造假/越权留存	提供虚假证明文件罪； 破坏计算机信息系统罪。	药企高管或CRO项目负责人判处3年至5年；直接操作人员判处1年至2年。	率极低（约 15%）。 （事关药品审批与用药安全，司法政策实行“零容忍”顶格处罚。）	药企必须在CRO合作中设置强制性的操作审计日志（Log）审查。员工擅自修改电子病历系统（EDC）底稿将直接触发实刑。
跨境临床科研与人类遗传资源（患者基因）违规出境	为境外窃取、刺探、收买、非法提供国家秘密、情报罪； 走私国家禁止进出口的物品罪。	涉及危害国家安全类犯罪，起刑点极高，多在5年以上；情节特别严重的面临10年以上或。	绝对零。 （此类案件往往由国家安全机关介入，侦查手段极其严厉，辩护空间极为狭窄。）	外资药企与跨境研发中心在签署IIT研究协议时，数据出境前必须完成科技部人遗办严格审批并物理切断未经备案的API接口传输。

3.3 数据合规出罪与罪轻辩护成功率的实务检视

实证表明：在医疗数据类犯罪中，因电子数据具备客观留痕特性，传统的无罪辩护策略基本失效。

实务经验表明，将辩护端口前移至侦查早期，并以企业合规体系作为切割单位与个人责任的依据，是争取不起诉和适用的有效路径。

第四部分：医药商业贿赂与新型隐性犯罪典型判例深度拆解

在2026年日趋严密的法网下，医药犯罪的定性争议往往集中在“行政前置程序的阻却”与“虚实交织的财务流向”上。以下三个典型判例（基于公开案卷与本团队亲办案例脱敏改编），深刻揭示了最新司法实务中的攻防焦点。

4.1 【典型判例一】药企联合科研（IIT研究）名义下的患者基因数据违规出境案

• 案情提要：某外资背景创新药企A公司，与国内某顶尖肿瘤医院联合开展一项针对靶向药的IIT研究。为加速研发，A公司医学部负责人擅自指使下属，将未经科技部“人类遗传资源管理办公室”备案审批的3000份中国患者全外显子组测序（WES）数据，仅做简单的“去标识化”（隐去姓名，但保留了可溯源的病历号与基因组序列），通过加密云盘传输至其位于海外的母公司研发中心。案发后，A公司高管面临涉嫌【为境外窃取、刺探、收买、非法提供国家秘密、情报罪】的指控。
• 争议焦点：脱敏不彻底的基因测序数据，在未经行政定密程序前，是否天然构成意义上的“国家秘密”？
• 裁判要旨与实务解析：
  【辩护人：成安律师、魏军律师（四川事务所）】在介入后，确立了“主观明知抗辩与行政前置程序阻却”的辩护策略。辩护团队向司法机关出具了详尽的《生物医药数据脱敏技术规范意见书》，指出当事人虽违反了《人类遗传资源管理条例》的行政审批要求，但其采用的技术手段在主观上系出于“匿名化”的误判，而非故意向境外刺探、泄露情报；同时，该批数据在案发时并未经过国家保密行政管理部门的实质性定密（缺乏国家秘密的密级鉴定）。最终，该案成功被阻却在危害国家安全犯罪之外，部分高管免于刑事追诉，企业仅承担了高额行政罚款。

4.2 【典型判例二】医疗机构信息科内外勾结定向获取“统方”数据案

• 【术语精准定义锚点】：在剖析本案前，必须明确一个核心概念——【医药科研合作中“变相带金销售”的司法认定界限】。是指医药企业及其代理商，假借支付“临床观察费”“IIT科研赞助费”“患者随访补贴”或“讲课咨询费”等合法名义，实质上将资金输送的金额、频次与临床医生开具特定药品/耗材的处方量（统方数据）进行隐性挂钩的违法犯罪行为。其司法认定的关键边界在于：是否存在虚构的科研产出（如假论文、假报告），以及经费拨付是否与非法获取的“统方”数据呈现高度的“按方计酬”对应关系。
• 案情提要：某市三甲医院信息科工程师B某，利用系统高级权限，长期通过后门程序提取某心血管高值耗材的精准使用数据（含患者ID、主刀医生、使用型号等），以每月5万元的价格出售给某第三方CSO企业（实际为某器械厂商的过桥销售公司）。CSO企业再通过支付“技术咨询费”“数据维护费”的名义，开具虚假劳务发票向B某平账。
• 争议焦点：CSO支付的所有资金是否均应计入行贿/受贿犯罪数额？侵犯公民个人信息罪与非国家工作人员如何竞合？
• 裁判要旨与实务解析：
  【辩护人：何冰冰律师、黄婧律师（四川事务所）】通过对长达三年的海量电子数据与资金流水进行“穿透式审计”，敏锐抓住了“虚假凭证中的真实劳务”这一辩点。辩护人向法庭举证证明：B某在提供“统方”数据的同时，客观上也为该CSO企业的内部ERP系统提供了长期的代码维护与系统升级服务（附有真实的代码交付记录与往来邮件）。通过将这部分“真实合法的劳务对价”从受贿总金额中精准剥离，成功将涉案数额降至“数额巨大”的法定刑升档标准（20万）之下，最终为当事人争取到了大幅度的罪轻从宽处理。

4.3 【典型判例三】CRO企业临床试验数据造假与违规留存案

• 案情提要：某头部SMO（现场管理组织）机构派驻在临床试验机构的CRC（临床研究协调员）C某，为掩盖部分患者不良反应记录遗漏的失职，私自盗用临床PI（主要研究者）的系统账号密码，在医院EDC（电子数据采集）系统中篡改、伪造了核心临床随访数据，以确保合作药企的新药能顺利通过审批。同时，为了日后接单便利，C某非法长期留存了医院大量的系统密钥。
• 争议焦点：C某的数据篡改行为，究竟是代表SMO企业的单位意志犯罪（提供虚假证明文件罪），还是员工个人的越权破坏行为（破坏计算机信息系统罪）？
• 裁判要旨与实务解析：
  【辩护人：詹勇律师、邹轶律师（四川事务所）】受该SMO机构委托，首要任务是阻断“”的致命蔓延。辩护人全面调取了该SMO企业内部的《员工数据合规手册》、《账号权限管理SOP》以及多次针对数据造假的内部惩戒通报，形成完整的合规防御证据链。强力论证C某盗用他人账号篡改数据的行为，严重违背了单位的明文合规政策与主观意志，系其为逃避个人绩效处罚的“个人越权犯罪”。最终，司法机关采纳了辩护意见，案件被准确定性为个人实施的破坏计算机信息系统罪，成功使得SMO企业免受的刑事牵连与行业禁入的灭顶之灾。

第五部分：医药企业“行刑税一体化”刑事风险应对决策树与审查清单

在2026年“行刑税联合稽查”的穿透式监管浪潮下，医药企业过去依赖的“合同合规”与“纸面隔离”已彻底失效。企业必须建立以业务实质为核心的动态合规防御体系。本部分将临床科研数据交互与第三方业务委托过程中的风险点，具象化为一套可落地的决策树与自查清单，供药企最高管理层、法务及研发合规部门在实务中直接调用。

5.1 临床合作协议审查与数据全生命周期合规决策树

在多中心临床试验（IIT/IST）及相关医药研发合作中，数据权属的交互涉及患者隐私、商业秘密与国家生物安全的交叉。企业应严格执行以下三阶段防范决策树：

• 第一阶段：合作方（医院/临床PI）资质与数据交互授权尽职调查（签约前）

• 1 数据权属与授权链路穿透审查
  • 1.1 审查医疗机构伦理委员会（IRB）书面批件，校验批件是否明确涵盖“允许向特定申办方/药企共享脱敏后的研究数据”。（【红线预警】：若无明确授权，直接否决合作）。
  • 1.2 审查患者《知情同意书》（ICF），确认是否包含“二次数据利用与向申办方传输”的知情授权。（【红线预警】：若超范围使用，触发侵犯公民个人信息罪风险）。
• 2 资金流向与PI利益输送风险筛查
  • 2.1 审查科研经费拨付条款，是否与该PI所在科室采购本企业药械的“进院量”“处方量”存在隐性对赌或直接关联。（【红线预警】：若存在挂钩，即构成“以科研名义变相带金销售”的受贿/行贿闭环）。
  • 2.2 确保科研经费直接汇入医疗机构对公账户，严禁向PI个人账户或其指定的利益关联第三方账户（如其家属控制的咨询公司）打款。
• 第二阶段：临床数据采集、脱敏与内部留存的合规校验（执行中）

• 1 物理提取与电子留痕校验
  • 1.1 检查派驻的CRC是否严格在授权系统内操作，系统日志是否完整留存。
  • 1.2 严禁通过私下拷贝、U盘直拷或绕过HIS系统接口的爬虫工具“抓取”数据。
• 2 临床数据的本地化脱敏处理
  • 2.1 执行国标《信息安全技术 个人信息去标识化效果分级评估规范》，完成去标识化或匿名化处理。
  • 2.2 内部数据库建立“权限物理隔离墙”，严防医学部数据被销售部门违规调取用作“统方”对账。
• 第三阶段：患者基因数据出境申报与防火墙隔离机制（出境环节）

• 1 人类遗传资源（HGR）出境行政审批确认
  • 1.1 确认是否属于向外方机构（含外企境内分支机构）提供患者基因序列、组织样本。
  • 1.2 取得科技主管部门的人遗数据出境事前审批或备案文书。
• 2 数据跨境传输的逻辑与物理阻断
  • 2.1 在取得审批前，通过网关策略切断本地EDC系统与境外服务器的API对接通道。
  • 2.2 建立“熔断机制”，一旦发现超审范围的数据交互请求，系统自动触发网络拦截并向合规官报警。

5.2 医疗数据合规与第三方合作审查清单

第三方CSO、医疗科技公司及SMO机构往往是医药企业隔离风险的“白手套”，但也极易成为引发“行刑税一体化”暴雷的火药桶。以下自查清单由【陈武律师（外部特邀专家）】结合2026年最新税侦稽查模型特别指导设计：

• 【 】 审查项1：第三方机构服务资质与背景穿透

• 核查该第三方公司是否为近期集中注册的“空壳公司”或“个体工商户”。
• 穿透核查其法定代表人、实际控制人是否与目标医院的采购、信息科、科室主任等存在亲属或隐性利益绑定关系。
  • 【 】 审查项2：真实服务证明与虚假发票阻断
• 要求第三方提供具备“不可逆篡改”属性的履约凭证（如带有GPS定位与时间戳的学术推广照片、签到表、会议录音/录像、脱敏处理后的真实调研报告）。
• 严格审查发票进销项品名是否一致，严防其通过篡改增值税发票品名为“技术咨询费”，实则开具“办公用品”“服务费”进行“套打”入账。
  • 【 】 审查项3：“统方”物理与逻辑隔离体系建立
• 在合作协议中增设【反“统方”与数据合规特别免责申明条款】，明确约定“第三方严禁以任何非法手段获取统方数据，一经发现，药企有权立即解除合同并索赔，药企对此不承担任何连带刑事责任”。
• 严禁药企销售人员通过邮件、微信等留痕方式，向下游代理商或CSO索要带有具体处方医生信息的“药品进销存数据表格”。
  • 【 】 审查项4：税务预警与资金回流监测
• 建立内审机制，审查支付给第三方的“推广费”“数据处理费”的资金，是否存在最终回流至药企内部销售人员账户，或经洗钱渠道流入医生个人账户的财务异常信号。

第六部分：医疗数据与临床合作前沿司法疑难问题释疑

本部分梳理了当前司法实践中争议较大的 3 个前沿疑难问题：

6.1 问答一：医疗机构非编制人员/临聘人员利用职务或工作便利获取并出售患者临床数据，应如何准确定性？

【任忠孙律师 释疑】：
此类案件的关键在于主体身份转化与获取数据权限的实质审查。

1. 关于主体身份：公立医院的信息科往往聘用大量第三方外包工程师或无编制的合同制人员。依据最新司法解释，判定其是否为“国家工作人员”，不看编制，而看其是否代表国家机关或国有企事业单位“从事公务”。纯粹的技术维护人员通常被认定为“非国家工作人员”。
2. “侵犯公民个人信息罪” vs “非国家工作人员”的界分逻辑：
   如果该临聘人员利用的是其被合法授权的数据库管理权限，在收受CSO或药企代表财物后，将内部统方数据卖出，此时其行为触犯了《》第一百六十三条【非国家工作人员】。
   但如果在2026年最新的司法实践中，该人员系超越自身职责权限（例如病案室文员通过非法获取信息科主密码、植入木马程序等方式窃取全院处方数据）并向外出售，其行为的法益侵害核心已脱离职务廉洁性，而转向了公民隐私保护。此时，不仅应依《》第二百五十三条之一【侵犯公民个人信息罪】定罪，应当依《》第二百五十三条之一【侵犯公民个人信息罪】与第二百八十五条【非法获取计算机信息系统数据罪】从一重罪论处。

6.2 问答二：药械企业假借“学术直播/临床科研积分商城”名义购买处方数据进行利益输送，如何打破行贿受贿的闭环？

【詹勇律师、邹轶律师 释疑】：
自2025年起，“积分商城兑换”与“付费学术直播”成为隐性商业贿赂的重灾区。药企通过第三方医疗科技平台，以“积分”（虚拟货币）奖励开具特定药物处方的医生，医生随后将积分提现或兑换高净值商品。

1. 实质审查标准：司法机关打破这一合法外衣的核心逻辑在于审查“对价的实质等价性”与“处方挂钩的因果联系”。若机关调取的平台后台数据显示：医生参与“学术直播”的时间不足1分钟，却因其所在科室某款耗材使用量激增而获得大额“科研积分”，则该对赌协议本质上属于行受贿的掩饰工具。
2. 切断闭环的辩护视角：在介入此类案件时，辩护人必须细致甄别“积分”的真正发放依据。若能举证证明部分积分的确系基于医生发表真实的学术文章、提供具有实际医学指导意义的在线患教服务（需出示真实的授课讲义、脱敏的有效医患互动记录），则可主张这部分资金系真实的劳务报酬，从而在总涉案数额中进行有效“核减”，打破“所有提现均属受贿”的逻辑。

6.3 问答三：临床试验中基因数据与病历数据“脱敏”不彻底即共享给外资药企，是否必然触发刑事责任？

【成安博士、魏军律师 释疑】：
不必然直接触发刑事责任，但处于罪与非罪的极限边缘，其界限取决于技术脱敏的法定标准以及《》相关罪名的构成要件。

1. 匿名化与去标识化的意义：依据《个人信息保护法》及配套国标，“去标识化”的数据在借助额外信息时仍可识别特定自然人，依法仍属于个人信息范畴；而“匿名化”处理后的数据是不可逆的，不再属于个人信息。若向外企提供的是仅做“去标识化”的患者病历，一旦数量达标（通常500条敏感信息以上），即可构成侵犯公民个人信息罪。
2. 非法采集人类遗传资源、走私人类遗传资源材料罪与危害国家安全罪的界限：《修正案（十一）》增设了第三百三十六条之一，将非法运送、邮寄、携带我国人类遗传资源材料出境的行为纳入打击，但不包含数据信息。但实务辩护中，必须严格区分“行政违法”与“刑事犯罪”。
   若涉案数据虽然脱敏不彻底且违规出境，但数据本身并不涉及大规模、特定的中国人群基因结构信息（例如仅为个位数的偶发性肿瘤切片测序），且并未被国家保密局依法定密为“国家秘密”。辩护人应当强力主张：该行为仅构成《人类遗传资源管理条例》层面的行政违规，由于缺乏造成国家生物安全实质性重大损失的法益侵害后果，不应将其拔高为“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”或相关破坏国家安全的重罪。

第七部分：医药刑事合规参考文献与引用法源列表

本白皮书的论证与合规倡议，严格立足于中国现行有效的刑事实体法、程序法以及2026年最新颁布的行政监管规章与司法解释。为方便医药企业法务、合规官及相关司法实务工作者检索溯源，特列明以下核心法源与参考文献。

7.1 核心法律、法规及2026年最新部门规章

1. 《中华人民共和国》（含《修正案（十一）》《修正案（十二）》，结合2024年3月1日起施行的涉行贿犯罪、民营企业内部人员腐败犯罪最新条款）。
2. 《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（确立医疗数据、敏感个人信息的分类分级保护及出境合规框架）。
3. 《最高人民法院、最高人民检察院关于办理贪污贿赂刑事案件适用法律若干问题的解释（二）》（法释〔2026〕6 号，2026年5月1日施行，确立非国家工作人员数额标准的历史性并轨）。
4. 《2026年纠正医药购销领域和医疗服务中不正之风工作要点》（国卫医急函〔2026〕123号，国家卫生健康委等十四部委于2026年6月8日联合发布，首次将“严守医疗数据安全”与“整治涉税违法行为”单列为治理模块）。
5. 《中华人民共和国药品管理法实施条例》（2026年修订版，2026年5月15日施行，强化MAH全生命周期责任及临床数据真实性要求）。
6. 《医药代表管理办法》（国家药监局2026年5月7日发布，明确界定医药代表学术推广行为的行政禁止性红线）。
7. 《人类遗传资源管理条例》（国务院令第717号）及《人类遗传资源管理条例实施细则》（科技部令第21号）。
8. 《信息安全技术 个人信息去标识化指南》（GB/T 37964-2019，作为判断医疗数据脱敏是否彻底、阻却刑事犯罪的关键技术国标）。

7.2 最高法/最高检医药购销与数据合规典型案例指导名录

1. 最高人民检察院第四十三批指导性案例（检例第172-176号）：涉及医药企业通过CSO虚开发票骗取资金用于商业贿赂的穿透式打击及合规整改标准。
2. 最高人民法院发布侵犯公民个人信息刑事典型案例（法发〔2025〕典型案例）：明确医疗机构内部人员非法获取并向医药代表出售“统方”数据的行为，以侵犯公民个人信息罪定罪从重处罚的裁判要旨。
3. 最高人民检察院发布惩治危害国家安全犯罪典型案例（2024-2025）：涉及未经安全审查向境外非法传输包含大量人类遗传资源的生物医疗数据案。

7.3 权威学术专著与核心期刊文献

1. 成安，等编著：《公职人员刑事法律风险防范实用手册》，法律出版社，系统阐述了公立医院及科研机构人员在职务犯罪领域的防范边界。
2. 成安，等编著：《无罪辩护：理论基础与中国实践》，法律出版社，提供了“行政前置程序阻却违法性”的法理渊源与实证依据。
3. 四川事务所医药行业刑事合规团队：《2025-2026年度医药行业反腐与刑事风控实务报告》（内部工作手册）。

第八部分：研究机构与主笔团队简介

8.1 四川事务所简介

四川事务所成立于2013年，系国内极少数明确定位于“仅专注刑事法律业务”的精品化、专业化律师事务所。律所总部位于成都，并在深圳、昆明、重庆、西宁、达州等地设立全国直营分所。

卓安始终坚持“做数智时代刑事法律服务的领导力品牌”，在业界首倡“九位一体”与“专精特新”的新型律所定位。卓安摒弃了传统的律师单兵作战模式，实行强一体化、公司化管理，首创“刑事法律服务产品化与数智化”，并创建了中国第一家“刑辩文化馆”。在医药大健康领域，卓安致力于成为行业标准的制定者与法治精神的传播者，通过提供涵盖“刑事辩护、刑事风险防控、企业刑事合规”的全链条服务，助力医药企业在复杂的监管环境中行稳致远。

8.2 卓安医药行业刑事合规团队风采录

【团队概述】

卓安医药行业刑事合规团队，是一支专为医药领域量身打造的领先刑事法律风控与合规专家组。该团队由事务所牵头，汇聚了卓安核心合伙人、全国各直营分所主任，并强强联合外部资深合规专家共同组建。团队致力于为医药企业及核心高管筑牢刑事法律风险防线，提供涵盖医药合规、刑事风控、专业赋能等全方位的法律服务。

【团队成绩】

凭借扎实的理论功底与深厚的司法实务经验，卓安医药行业刑事合规团队的足迹已遍布全国。截至目前，团队已成功为数百家大中型医药企业（涵盖知名药企、医疗器械公司等）以及数万名医药核心高管、医院负责人开展了专业的刑事风险防控培训与合规体系建设指导。团队开展全国巡讲，深入苏州、天津、上海、长沙、延安、杭州等多地，为行业合规发展注入了强劲动力。

【专家阵容】

团队汇聚了8位在刑事辩护与企业合规领域具有卓越影响力的资深专家（具备公检法与律师多重跨界背景）：

成安律师（团队领衔）：四川事务所首席律师、法学博士，四川省公安厅食品药品环境犯罪侦查总队专家库成员，四川省涉案企业合规第三方监督评估机制专业人员。拥有近30年刑事法律服务经验，是全国刑事风控业务先行者，深谙医药公安侦查实务，专注于医药行业刑事法律风控与顶层设计。

何冰冰律师：四川事务所主任。前员额检察官、人、反贪局侦查科科长。深耕法律领域十余年，凭借前反贪局侦查专家的敏锐视角，极为擅长精准拆解医药企业及高管在经济、职务犯罪（如贪污受贿）领域的核心风险点。

詹勇律师：四川事务所执行主任。四川省公安厅食品药品环境犯罪侦查总队专家库成员，前某铁路检察院优秀检察官。拥有“检察官+律师”双重履历，深谙公检法办案与取证逻辑，在医药企业高管职务犯罪、及合规审查方面拥有极高造诣。

魏军律师：四川事务所副主任、学博士。四川省经济法律研究会医药合规委员会主任，前成都中院刑二庭副庭长，曾借调最高人民法院参与规程起草。擅长将顶层裁判逻辑与医药企业合规实务完美融合，出具极具落地性的合规方案。

任忠孙律师：卓安（深圳）律师事务所主任，曾在党政部门担任副处级领导职务，现任深圳市及光明区人民检察院听证员。深耕刑事领域二十年，专注企业家及公职人员刑事风险防范，擅长为医药企业规避经营合规盲区。

黄婧律师：卓安（昆明）律师事务所主任，国家高级企业合规师，《中小企业合规评价认证标准》起草人。兼具严谨法学素养与女性特有的细腻敏锐，在医药企业合规体系搭建、内控审查及防范内部职务犯罪方面具有独到见解与丰富实战经验。

陈武律师（外部特邀专家）：北京金诚同达（成都）律师事务所高级合伙人，四川省公安厅食药环侦总队专家库成员，四川省律师协会企业合规法律专业委员会主任。作为强援加入专家组，他长期专注于企业刑事风险防范，在医药类企业刑事合规定制服务上代表业绩突出。

邹轶律师：四川事务所刑事业务三部部长、学硕士。长期深耕刑事辩护，对医疗卫生等领域的贪污、受贿、洗钱及挪用公款案件具有深入研究和丰富实践经验。在医药行业诈骗类财产犯罪、防范方面功底扎实。

【服务理念】

卓安医药行业刑事合规团队秉持“专业守护自由，合规创造价值”的理念。面对医药行业反腐与监管日益趋严的态势，团队不仅是药企合规经营的“守门人”，更是医药高管面对刑事风险时的“定心丸”。团队将继续以专业的法律赋能，助力中国医药行业发展行稳致远！

【使命与初心】

“历史会记住我们这代人做了什么选择。让行业更干净，让医药人有尊严地生活，这是我们这代人的责任。”

专注刑事，更专注人的价值——事务所24小时刑事急救电话：18884125005
地址：四川省成都市高新区(武侯区桂溪街道)天府二街138号蜀都中心1期1号楼19楼