近年來，隨著云計算、大數(shù)據(jù)、區(qū)塊鏈、5G、人工智能等新一代信息通信技術(shù)的快速發(fā)展。醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)進(jìn)入飛速發(fā)展時期，網(wǎng)絡(luò)信息是跨國界流動的，信息流引領(lǐng)技術(shù)流、資金流、人才流，信息資源日益成為重要生產(chǎn)要素和社會財富，信息掌握的多寡成為國家軟實力和競爭力的重要標(biāo)志。

中國醫(yī)療產(chǎn)業(yè)已經(jīng)沉淀海量的健康醫(yī)療數(shù)據(jù)，包括病患數(shù)據(jù)、病歷信息、健康醫(yī)療數(shù)據(jù)處理者運營數(shù)據(jù)以及科研數(shù)據(jù)等多種數(shù)據(jù)類型。這些數(shù)據(jù)具有數(shù)據(jù)量大、來源廣泛、存儲復(fù)雜、實時性強等典型特征。對健康醫(yī)療數(shù)據(jù)使用進(jìn)行有效規(guī)制已經(jīng)成為中國醫(yī)療行業(yè)現(xiàn)代化推進(jìn)、創(chuàng)新性發(fā)展和國際化拓展過程中的必然要求。對此，醫(yī)療數(shù)據(jù)的跨境流通合規(guī)是醫(yī)療行業(yè)、數(shù)據(jù)行業(yè)中每家企業(yè)都需要認(rèn)真對待的重要問題。

一、數(shù)據(jù)出境的定義

根據(jù)《數(shù)據(jù)出境安全評估辦法》（以下簡稱《辦法》）第二條的規(guī)定，數(shù)據(jù)出境是指“網(wǎng)絡(luò)運營者將在中國境內(nèi)運營中收集和產(chǎn)生的個人信息與重要數(shù)據(jù)，提供給位于境外的機構(gòu)、組織、個人”?！皵?shù)據(jù)出境活動”包括兩種情況：

第一種，是數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外。

第二種，是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，但境外的機構(gòu)、 組織或者個人可以訪問或者調(diào)用。

企業(yè)在判斷公司業(yè)務(wù)行為是否屬于“數(shù)據(jù)出境”的時候，需要注意以下內(nèi)容：

（1）判斷自己是否是我國個人信息保護(hù)法中的“數(shù)據(jù)處理者”；

（2）該等數(shù)據(jù)是否是在“境內(nèi)運營過程中”收集和產(chǎn)生的；

（3）企業(yè)的行為是否有涉及“向境外提供”，或被境外“訪問或調(diào)用”的情況。

二、“境”的定義

“出境”和“跨境”，不僅是指物理上跨越國境的行為，更是指從一個司法管轄區(qū)域到另一個司法管轄區(qū)域的行為，而其中司法管轄區(qū) 域既包括獨立主權(quán)的國家，也包括具有司法獨立主權(quán)的地區(qū)。比如：

（1）中國大陸與香港、澳門、臺灣地區(qū)分別屬于不同的司法管轄區(qū)域；

（2）在《中華人民共和國出境入境管理法》第八十九條中有對“出境” 進(jìn)行定義，根據(jù)規(guī)定，出境是指中國內(nèi)地前往其他國家或者地區(qū)，由中國內(nèi) 地前往香港特別行政區(qū)、澳門特別行政區(qū)，由中國大陸前往臺灣地區(qū)；

（3）當(dāng)企業(yè)將中國大陸境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和個人信息向香港、 澳門、臺灣地區(qū)傳輸時，屬于數(shù)據(jù)出境行為。

三、數(shù)據(jù)出境的原則

根據(jù)《辦法》第三條的規(guī)定，數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險自評估與安全評估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險，保障數(shù)據(jù)依法有序自由流動。從原則中可以看出，數(shù)據(jù)出境安全評估是一個動態(tài)的過程，不僅要在數(shù)據(jù)出境前進(jìn)行必要的風(fēng)險評估和審批，還要在數(shù)據(jù)出境后進(jìn)行有效的風(fēng)險監(jiān)控和管理。同時，數(shù)據(jù)出境安全評估是一個分層的過程，不僅要由數(shù)據(jù)處理者自主地進(jìn)行風(fēng)險自評估和合規(guī)管理，還要由國家網(wǎng)信部門組織相關(guān)部門和機構(gòu)進(jìn)行安全評估和監(jiān)督。此外，數(shù)據(jù)出境安全評估也是一個平衡的過程，既要防范數(shù)據(jù)出境可能帶來的國家安全、公共利益、個人權(quán)益等方面的風(fēng)險，也要促進(jìn)數(shù)據(jù)跨境安全、自由流動，支持?jǐn)?shù)字經(jīng)濟(jì)發(fā)展和國際合作。

四、醫(yī)療數(shù)據(jù)的種類及范圍

醫(yī)療數(shù)據(jù)根據(jù)涉密級別可以分為人類遺傳信息、敏感個人信息、個人信息、重要數(shù)據(jù)、一般數(shù)據(jù)五個級別。其中包括身份屬性數(shù)據(jù)、臨床數(shù)據(jù)、身體狀況數(shù)據(jù)、醫(yī)療記錄數(shù)據(jù)、交易數(shù)據(jù)、資源數(shù)據(jù)、公共數(shù)據(jù)七大類。

人類遺傳信息：B超、實驗室檢查信息、全基因組測序等；

敏感個人信息：用藥記錄、病史、交易記錄、生育信息等；

個人信息：性別、民族、電話號碼等；

重要數(shù)據(jù)：傳染病病例數(shù)量、藥品庫存等；

一般數(shù)據(jù)：每日就醫(yī)數(shù)量、醫(yī)護(hù)人員數(shù)量等。

五、醫(yī)療數(shù)據(jù)出境的法律基礎(chǔ)

醫(yī)療數(shù)據(jù)作為國家高度重視的一項涉及個人信息的重要數(shù)據(jù)，在其進(jìn)行數(shù)據(jù)出境、跨境流通的過程中要厘清醫(yī)療數(shù)據(jù)的特性，遵循數(shù)據(jù)出境的相關(guān)規(guī)定。為此，國家通過《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）、《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條款》構(gòu)建了我國數(shù)據(jù)安全方面的基本法律框架。并通過制定《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》（以下簡稱《標(biāo)準(zhǔn)合同》）、《數(shù)據(jù)出境安全評估辦法》，構(gòu)建了數(shù)據(jù)出境的基本法律框架。

六、數(shù)據(jù)跨境傳輸機制

根據(jù)我國《個人信息保護(hù)法》關(guān)于個人信息跨境傳輸?shù)囊?guī)定內(nèi)容，目前包括三種個人信息跨境傳輸?shù)臋C制：

（1）數(shù)據(jù)出境安全評估，屬于法定適用情況，即只要達(dá)到法律規(guī)定的條件，企業(yè)就必須申報數(shù)據(jù)出境安全評估。

（2）認(rèn)證機制，屬于國家推薦的自愿性的認(rèn)證情況，主要適用在跨國集團(tuán)與關(guān)聯(lián)公司之間的個人信息跨境傳輸活動。

（3）標(biāo)準(zhǔn)合同條款，考慮到境外接收方所在國家或地區(qū)在個人信息保護(hù)立法或執(zhí)法保護(hù)水平上存在的不足，通過境內(nèi)的個人信息處理者與境外的接收方簽署標(biāo)準(zhǔn)合同條款，將我國法律法規(guī)所確立的個人信息保護(hù)要求轉(zhuǎn)化為對境外接收方具有法律約束力和可執(zhí)行的合同條款。

七、適用標(biāo)準(zhǔn)合同的條件

根據(jù)《規(guī)定》第四條規(guī)定：使用標(biāo)準(zhǔn)合同的企業(yè)（個人信息處理者）應(yīng)當(dāng)同時滿足以下條件：

（1）非關(guān)鍵信息基礎(chǔ)設(shè)施運營者；

（2）處理個人信息不滿100萬人的；

（3）自上年1月1日起累計向境外提供未達(dá)到10萬人個人信息的；

（4）且自上年1月1日起累計向境外提供未達(dá)到1萬人敏感個人信息的。

故可知，以上四項條件是對通過簽訂標(biāo)準(zhǔn)合同進(jìn)行數(shù)據(jù)出鏡的個人信息處理者身份的限制，只有同時滿足以上四項條件的個人信息處理者方可使用標(biāo)準(zhǔn)合同。

八、適用安全評估的判斷流程

九、醫(yī)療數(shù)據(jù)適用傳輸機制要點

（1）醫(yī)療數(shù)據(jù)屬于重要數(shù)據(jù)，適用的是安全評估；

（2）關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴(yán)格的管理制度。對于核心數(shù)據(jù)無法通過安全評估的辦法進(jìn)行數(shù)據(jù)出境；

（3）需要對出境數(shù)據(jù)的規(guī)模、范圍、種類和敏感程度進(jìn)行評估；

（4）境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中國法律、行政法規(guī)規(guī)定的要求；

（5）在數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中需要約定數(shù)據(jù)安全保護(hù)的責(zé)任義務(wù)；

十、醫(yī)療企業(yè)如何合規(guī)進(jìn)行數(shù)據(jù)出境

第一，企業(yè)需要判斷自身是否符合《辦法》規(guī)定的需進(jìn)行申報的要求。

第二，企業(yè)可以先對自己日常經(jīng)營過程中處理的數(shù)據(jù)類型、規(guī)模、范圍、業(yè)務(wù)流程進(jìn)行確認(rèn)歸類，并梳理出企業(yè)內(nèi)部的數(shù)據(jù)處理流程，以確保企業(yè)對其合規(guī)的判斷足夠精確。

第三，合同雙方應(yīng)確認(rèn)出境的數(shù)據(jù)類型為法律法規(guī)允許傳輸?shù)臄?shù)據(jù)，不屬于中國法律規(guī)范中不可出境的情形，如涉及人類遺傳資源信息，應(yīng)遵守《人類遺傳資源管理條例》第三章“利用和對外提供”的規(guī)范要求。 

第四，合同雙方應(yīng)明確數(shù)據(jù)的出境目的、量級、方式，以及數(shù)據(jù)出境行為與醫(yī)學(xué)活動的必要性和正當(dāng)性，避免對應(yīng)業(yè)務(wù)活動違背公序良俗。

第五，結(jié)合《信息安全技術(shù)—健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725—2020)已有的個人屬性數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)、公共衛(wèi)生數(shù)據(jù)等數(shù)據(jù)分類，要求合同雙方辨別出境數(shù)據(jù)類型的風(fēng)險級別，并根據(jù)分級結(jié)果采取差異性的技術(shù)處理措施。

作者簡介：

侯澤  北京吳少博律師事務(wù)所  合規(guī)部合規(guī)助理

法律碩?，專業(yè)領(lǐng)域為勞動合規(guī)、數(shù)據(jù)合規(guī)、ESG合規(guī)等，具有多年律所、公司法務(wù)實務(wù)經(jīng)驗，計算機法律交叉專業(yè)背景。曾參與?型深度學(xué)習(xí)框架、??駕駛研發(fā)及合規(guī)?作，編寫制定多篇企業(yè)內(nèi)部勞動合規(guī)?案幫助企業(yè)降低???險，實現(xiàn)??零?險。作為編委會成員參編完成勞動合規(guī)領(lǐng)域著作?部，并在相關(guān)領(lǐng)域公開發(fā)表多篇?章。服務(wù)?業(yè)領(lǐng)域為建筑?業(yè)、??智能?業(yè)、軟件?業(yè)等。?作語?為中?、英?。

相關(guān)知識

醫(yī)療數(shù)據(jù)跨境傳輸法律合規(guī)實務(wù)指引
健康醫(yī)療數(shù)據(jù)安全的實現(xiàn)新工具《健康醫(yī)療數(shù)據(jù)安全指南》解讀
海關(guān)對跨境電商交易數(shù)據(jù)做出新規(guī)定
健康醫(yī)療數(shù)據(jù)的法律與合規(guī)問題探析（上）
發(fā)展不忘合規(guī)，健康醫(yī)療大數(shù)據(jù)合規(guī)注意事項
跨國健康數(shù)據(jù)隱私保護(hù)的法理基礎(chǔ)與實施策略.docx
個人健康醫(yī)療數(shù)據(jù)隱私安全法律法規(guī)研究
健康醫(yī)療企業(yè)IPO數(shù)據(jù)合規(guī)重點問題與應(yīng)對（上）
個人健康醫(yī)療數(shù)據(jù)隱私安全法律法規(guī)研究@MedSci
隱私保護(hù)與合規(guī)性，個人數(shù)據(jù)在存儲和傳輸中的最佳實踐

網(wǎng)址: 醫(yī)療數(shù)據(jù)跨境傳輸法律合規(guī)實務(wù)指引 http://www.u1s5d6.cn/newsview1263513.html