医疗大数据跨境传输合规方案解读

《数据安全法》将于今年9月1日实施。该法重点关注数据安全保障制度方面的建设，包括：数据分类分级保护、数据安全风险预警机制、数据安全应急处置机制、数据国家安全审查机制等。上述制度背后蕴含着大量企业应遵守的法律义务，势必对企业的合规工作产生重大影响。换言之，涉及数据处理活动的企业不仅要基于民商事法律履行契约合规义务，还要服从于公权力机关出于对公共利益的考量而课以的数据安全防护义务。因此，任何一个数据收集、存储、使用、加工、传输、提供、公开等环节均需同时符合国家安全、公共安全、个人人身安全以及交易安全的要求，可想其背后要经受多少重复杂的制度规制。

纵观美国与欧盟，对数据安全的监管与保护更趋严苛。美国的健康保险隐私及责任法案（“HIPAA”）及其《个人可识别健康信息的隐私标准》在保证医疗数据合理流动从而更好服务于医疗事业的同时，确保公民的个人医疗信息受到合理的保护。根据HIPAA的隐私规则，适用主体只能在以下两种情况中使用或披露受保护的个人信息：（1）个人信息主体或其授权的代表以书面的形式授权此类个人信息的使用或披露；或（2）根据HIPAA隐私规则允许或要求使用或披露。而美国财政部海外投资委员会（“CFIUS”）针对2018年出台的《2018年外国投资风险评估现代化法案》（“FIRRMA”）发布的《最终法规》已于2020年2月13日正式生效。该法案授权CFIUS对搜集及掌握美国公民之“敏感个人数据”（Sensitive Personal Data）的非控股投资交易进行审查。《最终法规》将敏感个人数据分为两类：“基因检测”和“可识别数据”，其中健康保险的申请数据、与个人的身体或心理健康状况有关的数据均被列入可识别数据类别清单。同样，已生效实施三年多的欧盟《通用数据保护条例》（“GDPR”）也高度重视数据合规审查，其中的数据处理合法性（第6条）、数据处理协议DPA（第28条）、数据保护影响评估DPIA（第35条）以及数据跨境流动机制（第5章）等均成为监管机构的具体执法手段。

目前，我国针对医疗数据的监管规定分散在不同的法律法规中，并没有明确统一的规定，同一数据处理主体收集的医疗数据可能涉及到多种法规的监管，同一医疗数据又因监管角度不同而构成多种受保护的数据类型，无疑为医药行业从业者以及相关投资机构的合规或是尽调工作增加难度。

医疗数据的来源和范围具有多样化的特征，包括病患数据、病历信息、医疗保险信息、健康日志、基因遗传、医学实验、临床数据、IVD及第三方检测数据、科研数据等。通过对目前颁行的医疗行业法律法规、标准和指南的归纳，医疗数据又可进一步细分为健康医疗大数据（患者数据）、个人健康医疗数据、医疗器械领域的健康数据；人口健康信息、个人健康生理信息；人类遗传资源；病历（电子病历）。而医疗数据作为电子化的信息本身，在《民法典》《网络安全法》以及《数据安全法》的安全监管体系中又分属于个人信息中的敏感信息以及与国家安全、经济发展以及社会公共利益密切相关的重要数据。因此在开展医疗数据合规工作时，医药行业从业者既要关注行业规范的具体要求，也不能忽视网络及数据安全监管体系中的医疗数据属性。

根据《个人信息和重要数据出境安全评估办法（征求意见稿）》第十七条的规定，数据出境，是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人。《信息安全技术 数据出境安全评估指南（征求意见稿）》进一步描述了数据出境的含义，即网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

（1）数据跨境传输的一般规定

下表简要罗列了目前生效的或是尚在征求意见的法律法规、标准和指南中涉及数据信息跨境传输（共享）的有关规定。

此外，《数据安全法》还新设立了数据主权的保卫机制。2018年美国《澄清境外数据的合法使用法案》（“CLOUD ACT”）签署生效，该法案扩张了美国执法机构获取存储于境外的数据的能力，引发国际社会对数据主权的担忧。《数据安全法》明确规定，向境外司法机构或执法机构提供境内存储的数据需经主管机关批准。

（2）医疗数据跨境传输的特殊规定

健康医疗大数据原则上应当存储于境内服务器，因业务需要确需向境外提供的，应按照相关法律法规及有关要求进行安全评估审核；与之不同的是，人口健康信息则必须严格遵循本地化处理要求。值得注意的是，《人口健康信息管理办法（试行）》对于人口健康信息的本地存储义务并未规定任何的例外情景，其明确要求“不得将人口健康信息存储于境外服务器，不得托管、租赁在境外的服务器”。换言之，一旦医疗数据属性上构成人口健康信息，其跨境传输活动将被严格禁止。

与人口健康信息不同的是，人类遗传资源在特定条件下可以跨境传输。根据《人类遗传资源管理条例》，利用我国人类遗传资源开展国际合作科学研究，或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的，应符合特定条件，并取得人类遗传资源材料出境证明。

根据《信息安全技术 健康医疗数据安全指南》的有关规定，基于学术研讨需要的健康医疗数据跨境传输宜进行必要的去标识化处理，经数据安全委员会讨论审批同意，且数量在250条以内的非涉密非重要数据可以提供。对于不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据，宜经主体授权同意和数据安全委员会讨论审批同意，且累计数据量控制在250条以内。

《信息安全技术 健康医疗数据安全指南》列举了8个医疗数据应用的典型场景，就其可能存在的跨境传输情形试析如下：

前述场景中均存在医疗数据跨境传输或共享的实施可能，通过对数据息跨境传输的一般规定和医疗数据跨境传输的特别规定的归纳和总结，我们理解，实施医疗数据信息跨境传输必须履行如下合规义务：

• 明确主体（信息主体；数据收集、使用主体；数据跨境传输的发送方、接收方及为此提供服务的第三方）

• 明确医疗数据内容与属性

• 明确数据存储地

• 定方案（数据出境计划方案；数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等评估方案；数据出境及再转移后被泄露、毁损、篡改、滥用等风险应对方案）

• 定协议（涵盖如下条款：数据处理目的、方式和采取的安全措施；要求数据接收方配合数据发送方对数据出境活动进行调查；要求其在未获得数据发送方的授权前提下，不得对数据进行公开披露及再转移；要求数据接收方使用、留存数据的合法周期及超出合法周期后数据接收方应对数据采取的处理措施如：删除、销毁等；同时配合数据发送方响应个人信息主体的请求，如：访问、更正、删除等。）

• 前提一：取得同意。此等同意必须是个人信息主体明确授权同意。医疗行业通常可采取与个人信息主体签署格式文本的方式，但必须对个人信息的收集、保管、处理、利用等一系列授权信息进行着重标记，并就相关授权的目的、可能产生的风险等向个人信息主体进行解释。

• 前提二：通过评估。一方面，自行组织对数据出境涉及到的信息交换的合法性、必要性以及安全影响进行评估，并对评估结果负责。数据出境安全评估应重点评估以下内容：（一）数据出境的必要性；（二）涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；（三）涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；（四）数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；（五）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；（六）数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险；（七）其他需要评估的重要事项。另一方面，国家网信部门、行业主管部门根据数据出境类型、数量、范围、重要程度等，酌情组织开展主管部门评估。

（1）重要数据处理活动风险自评机制

涉及医疗数据中重要数据跨境传输的企业或组织，应当根据《数据安全法》第三十条的有关规定，结合重要数据所处业务特性、跨境应用场景及流转路径，定期开展风险评估工作，包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等，及时开展合规自查和整改工作。与此同时，应当及时关注主管部门后续发布的关于跨境传输的监管细则，从而有效、快速应对后续的监管活动。

（2）网络安全等级保护机制

网络安全等级保护即对网络进行分等级保护、分等级监管。现行的网络安全等级保护制度是基于《网络安全法》第二十一条规定设置的制度，要求网络运营者应根据相关规定确定其信息系统安全保护等级，并采取相应的保护措施。根据医疗管理法规，一般医院进行互联网诊疗及互联网医院的网络设备设施、信息系统、技术人员及信息安全系统，均应通过第三级信息安全等级保证认证。根据2011年发布的《卫生行业信息安全等级保护工作的指导意见》，三级甲等医院的核心业务信息系统等原则上应不低于第三级，并且对第二级以上信息系统，应当报属地公安机关及卫生行政部门备案。

（3）关键信息基础设施（CII）安全保护机制

CII安全保护制度，是基于《网络安全法》设置的、针对一旦遭到破坏、丧失功能或者数据泄露而可能严重危害国家安全或者公共利益等的信息系统的网络安全保护及合规管理要求体系。如特定的医疗行业经营者被认定构成《网络安全法》下的关键信息基础设施运营者，则需要严格遵守《网络安全法》第三十七条的有关规定，做好信息数据本地存储和出境安全评估，必要时接受网络安全审查。

（4）非CII运营者网络安全审查应对机制

当然对于非CII运营者而言，7月10日国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿）》进一步明确将网络安全审查的义务主体涵盖到数据处理者，大大拓宽了网络安全审查的义务主体。现行《网络安全审查办法》主要瞄准关键信息基础设施运营者（CIIO），紧盯CIIO采购网络产品和服务等环节，通过实施网络安全审查，对CII供应链的网络安全予以保护。而《网络安全审查办法（修订草案征求意见稿）》则要求数据处理者开展数据处理活动，影响或可能影响国家安全的，亦应当进行网络安全审查。数据处理包括了数据全周期内的所有活动，且数据处理者也涉及各类主体，同时包括CIIO和非CII运营者。因此，我们理解，非CII运营者可以：1）持续关注主管部门对CIIO细化后的认定标准，切实评估自身可适用的义务内容；2）即使不构成CIIO，也应当酌情建立和完善自身的网络安全评估以及网络安全审查预判和应对制度；3）涉及重要数据出境的，自主履行安全评估等合规义务，以备可能存在的网络安全审查。