作者:曲晓琨 | 王筱东
审校:刘一民
日前,据北京市互联网信息办公室(“北京网信办”)消息,首都医科大学附属北京友谊医院(“北京友谊医院”)与荷兰阿姆斯特丹大学医学中心合作研究项目通过了数据出境安全评估,成为全国首个成功案例。中国国际航空股份有限公司(“国航”)项目紧随其后成为第二个获批的数据出境安全评估案例。
据了解,北京友谊医院数据出境安全评估成功案例涉及北京友谊医院普外中心和荷兰阿姆斯特丹大学医学中心普通外科作为全球牵头中心发起的国际多中心临床研究项目。早在2018年7月,北京友谊医院普外中心即受邀参与了国际高水平结直肠领域研究的第三阶段项目“中低位直肠癌经肛全直肠系膜切除与腹腔镜全直肠系膜切除术多中心随机临床对照研究(COLOR III)”。截至2022年4月,北京友谊医院成为COLOR III研究中全球首个突破百例入组病例的研究中心,目前已经入组研究170例,是COLOR III研究全球入组数最多的研究中心。与此同时,北京友谊医院普外中心开始筹备与荷兰阿姆斯特丹医学中心共同牵头发起高质量全球结直肠领域研究的第四个研究项目:“腹腔镜右半结肠癌切除术后腹腔内吻合对比腹腔外吻合前瞻性、多中心、随机对照临床研究(COLOR IV)”,COLOR IV研究预计将持续至2030年。项目筹备阶段,北京友谊医院即启动了该项目的数据出境审批申报工作。
该全国首例数据出境安全评估成功案例对后续数据出境安全评估申报具有较大指导意义,本文结合现有公开信息、法规文件,以及我们协助数据出境安全评估工作的项目经验对北京友谊医院案例作概要评析。
一、数据出境安全评估的触发门槛
根据《数据出境安全评估办法》(“《办法》”)第四条,达到下列门槛之一的数据出境情形,数据处理者应当自评估后通过省级网信部门向国家互联网信息办公室(“国家网信办”)申报数据出境安全评估:1)任何数据处理者向境外提供重要数据;2)关键信息基础设施运营者、处理100万人以上个人信息的数据处理者向境外提供个人信息;3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;4)国家网信办另行规定的其他情形。
(一)关于重要数据
医院所处理的医疗健康数据,不但属于病患个体的敏感个人信息,还会涉及国家人类遗传资源和生物安全,因此这类群体数据集合构成重要数据的可能性比较高。然而,目前国家层面统一的重要数据识别指南/规则迟迟未能落地,行业、地方性的重要数据目录亦待出台,以致于在实践中重要数据的识别存在诸多困扰。
历经修订的《重要数据识别指南(征求意见稿)》/《重要数据识别规则(征求意见稿)》,以及《网络数据安全管理条例(征求意见稿)》普遍将群体医疗健康数据,尤其是达到规定规模或者精度的遗传信息/基因数据列入重要数据的范畴。然而,遗传信息/基因数据到底在多大规模、精度上构成重要数据一直没有明确的判定。对此,推荐性国家标准《基因识别数据安全要求》曾提出将一万人份以上基因数据作为重要数据保护;此外,《人类遗传资源管理条例实施细则(征求意见稿)》也拟将以下重要类型的人类遗传资源信息的对外提供或开放使用纳入安全审查的范畴:(1)重要遗传家系的人类遗传资源信息;(2)特定地区的人类遗传资源信息;(3)500 人以上人群的外显子组测序、基因组测序信息资源;(4)可能影响我国公众健康、国家安全和社会公共利益的其他信息。上述两个文件,尽管一部是非强制性国家标准,另一部尚未正式落地,但它们比较明确得提出了作为重要数据的遗传信息/基因数据的大致标准,一定程度上反映了监管的方向,对于当下重要数据自我识别和评估具有参考意义。
根据公开信息,北京友谊医院数据出境项目若仅涉及百余例入组病例的医疗健康数据和遗传信息/基因数据的话,在不了解具体项目合作背景的情况下,似乎相关数据构成重要数据的可能性相对较小。但无论如何,医疗类数据处理者不宜单纯地认为重要数据相关规则和目录未完全落地,而忽视对自身所处理数据的性质的判定。
(二)关于关键信息基础设施运营者、处理100万人以上个人信息的数据处理者向境外提供个人信息
根据《办法》,如果数据处理者构成关键信息基础设施运营者,或者其处理的个人信息涉及个人信息主体(目前口径一般需将包括员工在内的各类个人信息主体加总计算)在100万人以上,那么其向境外提供哪怕一个人的一条个人信息都会触发数据出境安全评估的门槛。
很多大型医院的年接诊量达到几百万人次,其处理的个人信息所涉个人信息主体的数量可能远远超过100万的门槛。此外,关键信息基础设施,一般由相关行业、领域的关键信息基础设施安全保护工作部门根据相关认定规则组织开展认定,并将认定结果通知其运营者。在医疗行业中,鉴于大型三甲医院在卫生健康系统内的重要地位,一般认为三甲医院被认定为关键信息基础设施运营者是大概率事件。
因此,医疗类数据处理者因被认定为关键信息基础设施,或其处理的个人信息所涉主体的数量达到100万人,将导致其向境外提供任何一条个人信息都会触发《办法》规定的必须申报数据出境安全评估的门槛。
(三)关于自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息
《人口健康信息管理办法(试行)》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等法规均较早提出对人口健康信息、健康医疗大数据的出境进行严格限制,要求相关数据不得存储在境外的服务器上,而必须存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当严格进行安全评估审核。
实践中,类似北京友谊医院与境外机构合作开展研究项目是较为常见的医疗健康数据出境场景。相关医疗健康数据,除非经过严格的匿名化处理,即便经过脱敏,亦通常构成敏感个人信息。
医疗类数据出境项目是否触发《办法》对应的该项申报门槛,根据实际的出境数据、累计的数据出境规模等情况比较容易判定。
二、人类遗传资源监管与数据安全监管
类似北京友谊医院与境外机构合作开展的研究项目,以及医药企业在药品上市过程中作为申办方开展的国际合作临床试验等项目,通常涉及利用我国人类遗传资源材料或信息,而受到既有的科技部人类遗传资源管理办公室(“人遗办”)负责的人类遗传资源监管。我们对人类遗传资源监管和数据安全监管的框架作了概要对比总结如下。
|
|
人类遗传资源监管 |
数据安全监管 |
|
监管法规 |
《生物安全法》 《人类遗传资源管理条例》 《人类遗传资源管理条例实施细则(征求意见稿)》 |
《数据安全法》 《数据出境安全评估办法》 |
|
监管事项 |
国际合作科学研究审批、国际合作临床试验备案、对外提供或开放使用备案 安全审查 |
数据出境风险自评估 + 数据出境安全评估 数据安全审查 |
|
监管部门 |
科技部人遗办 |
国家网信办 |
|
监管对象 |
人类遗传资源材料出境、“外方单位”(包括被境外控制的境内机构)获取人类遗传资源信息(基因、基因组数据) |
“境外接收方”获取重要数据、关键信息基础设施运营者/大型个人信息处理者(处理100万人以上个人信息)的个人信息、大量个人信息(10万人的一般个人信息/1万人的敏感个人信息)等 |
|
审查要点 |
项目合法、必要 工作基础和条件(外方合作单位的研究开发实力和优势等) 工作方案(合作涉及的人类遗传资源材料和信息的基本情况、生物标志物数据信息情况、基因数据信息情况等) 知识产权归属和分享的安排 风险分析和对策(信息接收单位的安全保护措施、能力和水平;信息对外提供及再转移后被泄露、毁损、篡改、滥用等风险和可能存在的知识产权纠纷) |
数据出境的合法性、正当性、必要性 境外接收方所在地的法律、网络安全环境 数据的敏感程度等,出境对国家安全、公共利益等带来的风险 境外接收方的责任义务,以及管理和技术措施、能力等能否保障出境数据的安全 数据被篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅 数据处理法律文件 其他 |
总体而言,人类遗传资源监管与数据安全监管在监管思路和维度上存在一定程度上的交叉,但也存在不同考量。比如,数据出境安全评估首要关注的“数据出境的合法性、必要性”,与人类遗传资源监管关注的“项目合法、必要”高度一致。而数据出境安全评估中关注的境外接受方所在地的法律和网络安全环境则不在现有人类遗传资源监管考量的范围内。北京友谊医院国际合作项目通过数据出境安全评估,尤其说明了项目的数据出境合法性、必要性,以及境外接收方所在地——荷兰的法律和网络安全环境等各项事宜均获得了国家网信办的认可。
在目前的法规监管框架下,结合北京友谊医院数据出境安全评估成功案例实践,如果某国际合作项目同时触发人类遗传资源审批/备案和数据出境安全评估的门槛,则该项目应同时、分别申报相应的人类遗传资源审批/备案、数据出境安全评估。后续,两个监管条线如何协调乃至简化操作有待观察和期待。
三、结语
北京友谊医院项目作为全国首例获批数据出境安全评估案例,对于包括医院等在内的医疗行业数据处理者开展数据出境风险自评估及后续申报而言,具有示范效应。有鉴于此,我们建议数据处理者应当积极推进数据出境安全评估工作,审慎梳理数据出境业务,尽早关注并妥善协调处理好现有行业监管与数据出境安全评估之间的关系。
曲晓琨
seanqu@glo.com.cn
曲晓琨的主要业务领域包括合规、公司与商事,以及争议解决。曲晓琨在网络和数据安全、个人信息保护领域具有丰富经验,包括合规风险评估和整改、合规架构和制度设计、法律文件安排等。曲晓琨是国际隐私专业人员协会(International Association of Privacy Professionals,IAPP)会员,并获得了欧盟信息隐私专业人员认证(Certified Information Privacy Professional / Europe, CIPP/E),以及中国注册信息安全专业人员-个人信息保护(CISP-PIP)认证。曲晓琨时常接受采访就数据安全、个人信息保护问题发表法律评论。此外,曲晓琨还经常协助客户处理公司重组、合规调查、商事仲裁和诉讼事宜。曲晓琨服务的客户涉及生命科学及医疗、汽车、房地产等行业。
扫码直通官网简历
王筱东
vincentwang@glo.com.cn
王筱东具有超过20年的服务外资客户经验。在加入环球律师事务所之前,王筱东曾在三家国内和国际的律师事务所工作,包括在美国戴维斯律师事务所的十八年工作经历。王筱东的主要业务领域涉及广泛,尤其擅长解决TMT领域中出现的新问题和挑战性问题。王筱东服务的行业包括电信、电商、网络安全和数据保护、电子支付、各类互联网业务、高科技制造和技术、新兴技术管制(诸如人工智能、区块链、电子货币、物联网、运输电气化及云计算等)、电动汽车、新媒体和流媒体娱乐、食品饮料、农业种植、和跨境贸易和投资等行业。
扫码直通官网简历
免责. 本文及其内容并不代表环球律师事务所对有关问题的法律意见,同时我们并不保证将会在载明日期之后继续对有关内容进行更新,我们不建议读者仅仅依赖于本文中的全部或部分内容而进行任何决策,因此造成的后果将由行为人自行负责。如果您需要法律意见或其他专家意见,我们建议您向具有相关资格的专业人士寻求专业帮助。
北京 · 上海 · 深圳 · 成都
www.glo.com.cn
