近期,數(shù)據(jù)安全話題持續(xù)升溫,國家互聯(lián)網(wǎng)信息辦公室相關部門先后要求下架多款App,并持續(xù)對多家公司實施網(wǎng)絡安全審查。受此影響,多家計劃赴美IPO的企業(yè)被推至資本市場熱議前沿。
放眼醫(yī)藥行業(yè),隨著《數(shù)據(jù)安全法》正式實施的腳步逐漸臨近,醫(yī)療數(shù)據(jù)資產(chǎn)價值飛速提升的同時,資本市場發(fā)展、數(shù)據(jù)跨境流動與國家安全和公共利益之間的考量成為各方關注的焦點。醫(yī)療數(shù)據(jù)的生物(理)特征、隱私特征和倫理特征都使其天然帶有“安全紅線”屬性,數(shù)據(jù)應用與數(shù)據(jù)保護之間的緊張關系更為嚴峻。
《數(shù)據(jù)安全法》將于今年9月1日實施。而就在2021年10月29日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)出境安全評估辦法(征求意見稿)》,向社會公開征求意見,進一步加強數(shù)據(jù)出境的安全屬性。
《數(shù)據(jù)出境安全評估辦法(征求意見稿)》是為了規(guī)范數(shù)據(jù)出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全、自由流動,根據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律法規(guī),制定本辦法。
什么是數(shù)據(jù)出境
在國家網(wǎng)信辦2017年4月11日發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》中,將“數(shù)據(jù)出境”定義為“網(wǎng)絡運營者將在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù),提供給位于境外的機構、組織、個人”。
同年8月30日,全國信標委發(fā)布《信息安全技術 數(shù)據(jù)出境安全評估指南(征求意見稿)》(以下簡稱“《數(shù)據(jù)出境評估指南》”)的3.7條對“數(shù)據(jù)出境”作出更進一步的解釋,數(shù)據(jù)出境是指“網(wǎng)絡運營者通過網(wǎng)絡等方式,將其在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù),通過直接提供或開展業(yè)務、提供服務、產(chǎn)品等方式提供給境外的機構、組織或個人的一次性活動或連續(xù)性活動。”
醫(yī)療數(shù)據(jù)出境法律法規(guī)現(xiàn)狀
目前,我國針對醫(yī)療數(shù)據(jù)的監(jiān)管規(guī)定分散在不同的法律法規(guī)中,并沒有明確統(tǒng)一的規(guī)定,同一數(shù)據(jù)處理主體收集的醫(yī)療數(shù)據(jù)可能涉及到多種法規(guī)的監(jiān)管,同一醫(yī)療數(shù)據(jù)又因監(jiān)管角度不同而構成多種受保護的數(shù)據(jù)類型,無疑為醫(yī)藥行業(yè)從業(yè)者以及相關投資機構的合規(guī)或是盡調(diào)工作增加難度。
醫(yī)療數(shù)據(jù)的來源和范圍具有多樣化的特征,包括病患數(shù)據(jù)、病歷信息、醫(yī)療保險信息、健康日志、基因遺傳、醫(yī)學實驗、臨床數(shù)據(jù)、IVD及第三方檢測數(shù)據(jù)、科研數(shù)據(jù)等。通過對目前頒行的醫(yī)療行業(yè)法律法規(guī)、標準和指南的歸納,醫(yī)療數(shù)據(jù)又可進一步細分為健康醫(yī)療大數(shù)據(jù)(患者數(shù)據(jù))、個人健康醫(yī)療數(shù)據(jù)、醫(yī)療器械領域的健康數(shù)據(jù);人口健康信息、個人健康生理信息;人類遺傳資源;病歷(電子病歷)。
下表簡要羅列了目前生效的或是尚在征求意見的法律法規(guī)、標準和指南中涉及數(shù)據(jù)信息跨境傳輸(共享)的有關規(guī)定。?
醫(yī)療數(shù)據(jù)出境風險評估事項
《數(shù)據(jù)出境安全評估辦法(征求意見稿)》中規(guī)定,數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前,應事先開展數(shù)據(jù)出境風險自評估,重點評估以下事項:
(一)數(shù)據(jù)出境及境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當性、必要性;
(二)出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度,數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
(三)數(shù)據(jù)處理者在數(shù)據(jù)轉移環(huán)節(jié)的管理和技術措施、能力等能否防范數(shù)據(jù)泄露、毀損等風險;
(四)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數(shù)據(jù)的安全;
(五)數(shù)據(jù)出境和再轉移后泄露、毀損、篡改、濫用等的風險,個人維護個人信息權益的渠道是否通暢等;
(六)與境外接收方訂立的數(shù)據(jù)出境相關合同是否充分約定了數(shù)據(jù)安全保護責任義務。
總結:醫(yī)療數(shù)據(jù)安全合規(guī)體系建立必須圍繞醫(yī)療數(shù)據(jù)全周期的運行開展,正所謂數(shù)據(jù)跨境傳輸合規(guī)無法“獨木成林”。醫(yī)療企業(yè)必須通過采取必要措施,確保醫(yī)療數(shù)據(jù)信息有效保護和合法利用,并使其處于持續(xù)安全的狀態(tài)。
