政策背景

數(shù)據(jù)作為現(xiàn)代社會的核心發(fā)展要素，是科技進步的源頭。近年來，隨著新冠疫情的爆發(fā)，以核酸檢測為代表的生命健康產(chǎn)業(yè)蓬勃發(fā)展，產(chǎn)業(yè)數(shù)據(jù)隨之快速增長。安全是發(fā)展的前提，發(fā)展是安全的保障，當今我國的健康醫(yī)療產(chǎn)業(yè)已進入蓬勃發(fā)展期，加強數(shù)據(jù)合規(guī)建設是數(shù)字時代確保產(chǎn)業(yè)持續(xù)發(fā)展的重中之重。

根據(jù)《個人信息保護法》《數(shù)據(jù)安全法》《網(wǎng)絡安全法》《數(shù)據(jù)出境安全評估辦法》(以下統(tǒng)稱評估辦法)等法律法規(guī)，重要數(shù)據(jù)出境需經(jīng)國家網(wǎng)信部門批準，個人信息出境可通過安全評估、個人信息保護認證、簽訂國家網(wǎng)信部門制定的標準合同等3種路徑提供。2022年9月1日《數(shù)據(jù)出境安全評估辦法》正式實施，是穩(wěn)步推進《個人信息保護法》《數(shù)據(jù)安全法》《網(wǎng)絡安全法》等法律落地的有力舉措。

醫(yī)療數(shù)據(jù)重要性，跨境流動的實際訴求

眾所周知，健康醫(yī)療數(shù)據(jù)的科研和應用價值非常高，對生命健康影響重大。醫(yī)療數(shù)據(jù)具有廣泛的真實性，屬于隱私、敏感個人信息，隨著數(shù)據(jù)量爆發(fā)增長和各種復雜場景的出現(xiàn)，大規(guī)模的數(shù)據(jù)資源匯聚共享模式將不斷被開啟，比如匯聚我國百萬人以上的全基因組數(shù)據(jù)，需要特別說明的是，這種大規(guī)模的數(shù)據(jù)匯聚活動已將個人敏感信息轉(zhuǎn)變成重要數(shù)據(jù)?？梢哉f，醫(yī)療健康數(shù)據(jù)不僅事關患者生命安全、個人信息權(quán)益，還關乎社會公共利益和國家安全。

數(shù)據(jù)價值的體現(xiàn)關鍵在于數(shù)據(jù)的使用，數(shù)據(jù)流動可以有效促進數(shù)據(jù)的使用，發(fā)揮數(shù)據(jù)效能。健康醫(yī)療數(shù)據(jù)跨境流動有其合理的業(yè)務需求，既有科研的現(xiàn)實需求，又有業(yè)務全球化的商業(yè)合作需求等。跨國的科研合作有助于科研視野的開拓，知識的共享，有利于加強科研能力建設，提升科研水平。對于跨國企業(yè)來講，業(yè)務全球化有利于優(yōu)化資源配置，開拓發(fā)展空間，增強自主創(chuàng)新能力，引領全球產(chǎn)業(yè)發(fā)展。

從安全治理入手，科技向善造福人類

科技創(chuàng)新是當今社會發(fā)展的重要引擎，醫(yī)療健康從業(yè)者共同的愿景和目標是能夠?qū)崿F(xiàn)科技造福人類。在當今數(shù)字社會的背景下，科技創(chuàng)新的根源是數(shù)據(jù)，做好數(shù)據(jù)安全治理工作，有利于提高科技創(chuàng)新的能力。數(shù)據(jù)安全治理工作的原則是如何提高數(shù)據(jù)合規(guī)管理水平，確保數(shù)據(jù)安全有序流動，不斷推進數(shù)據(jù)安全治理與業(yè)務發(fā)展的融合，堅定科技創(chuàng)新的理念，最終實現(xiàn)造福人類的目標。

建立數(shù)據(jù)安全治理體系應與管理組織架構(gòu)、制度建設及數(shù)據(jù)安全技術(shù)保障等方面緊密結(jié)合，綜合做好頂層設計。一是在管理組織架構(gòu)上，設立相關部門責權(quán)負責人，為落實監(jiān)管政策的基本要求和開展數(shù)據(jù)出境工作奠定良好的合規(guī)基礎。二是在制度建設上，數(shù)據(jù)處理者根據(jù)當前法律法規(guī)，并結(jié)合數(shù)據(jù)處理者在實際工作中各個數(shù)據(jù)處理環(huán)節(jié)的要求，制定符合自身行為規(guī)范和法律要求的規(guī)章制度。三是在數(shù)據(jù)安全技術(shù)保障上，圍繞數(shù)據(jù)全生命周期的安全防護要求，不斷提高安全技術(shù)保障措施，確保數(shù)據(jù)在傳輸過程中有與之相匹配的數(shù)據(jù)安全保障能力。總之設立管理組織架構(gòu)、制定規(guī)章制度、提升數(shù)據(jù)安全技術(shù)能力，構(gòu)建數(shù)據(jù)安全治理體系是促進管理制度的落地和技術(shù)措施的有效應用，精準實施對數(shù)據(jù)差異化的管理和保護，在合規(guī)的前提下，實現(xiàn)數(shù)據(jù)價值利用最大化。

做好數(shù)據(jù)跨境合規(guī)工作要點

1.清晰適用范圍，明確出境場景

《評估辦法》是數(shù)據(jù)處理者開展數(shù)據(jù)跨境活動應遵循的規(guī)定，在出境數(shù)據(jù)涉及重要數(shù)據(jù)的情況下，安全評估是強制性，在出境數(shù)據(jù)僅涉及個人信息的情況下，達到一定要求才需進行安全評估。為防止未被明確的出境場景出現(xiàn)數(shù)據(jù)安全風險，《評估辦法》還提出國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形，作為兜底條款。

根據(jù)《評估辦法》第二條規(guī)定的適用范圍，數(shù)據(jù)處理者向境外提供在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息，包括兩種數(shù)據(jù)跨境行為。第一類場景是數(shù)據(jù)處理者將數(shù)據(jù)轉(zhuǎn)移至中國境外的地方，是我們通常理解的數(shù)據(jù)跨越國界的傳輸、轉(zhuǎn)移行為。第二類場景是數(shù)據(jù)依舊存儲在境內(nèi)，數(shù)據(jù)處理者將境內(nèi)數(shù)據(jù)庫的訪問登錄信息或接口提供給境外主體，境外主體可以遠程訪問查看。第一類場景存在容易被忽略的情況，如在境內(nèi)開展相關的商業(yè)合作項目時，將數(shù)據(jù)傳輸至境外的云環(huán)境，此時是適用評估辦法的規(guī)定。鑒于健康醫(yī)療數(shù)據(jù)的重要性，數(shù)據(jù)處理者應避免此情況發(fā)生，數(shù)據(jù)需上傳至云端時，應首選將數(shù)據(jù)傳輸至境內(nèi)云環(huán)境。第二類場景也存在容易被忽略的情況，如出于科研合作的目的，確需向境外開放基因數(shù)據(jù)庫平臺的訪問權(quán)限，基因數(shù)據(jù)庫存儲個人信息的規(guī)模達到了需要評估的情形，且數(shù)據(jù)庫中也可能包含重要數(shù)據(jù)，數(shù)據(jù)處理者除做好網(wǎng)站安全保障外，也需做好申報數(shù)據(jù)出境安全評估的相關準備。

2.優(yōu)先做好自評估工作

做好自評估工作，是《評估辦法》中數(shù)據(jù)處理者開展數(shù)據(jù)出境安全評估的第一步。根據(jù)《評估辦法》第五條的評估內(nèi)容，自評估工作可以歸納為三方面：數(shù)據(jù)出境活動評估、數(shù)據(jù)安全保障能力評估、法律文件評估。

數(shù)據(jù)出境活動評估，即是對數(shù)據(jù)出境可能對國家安全、公共利益、個人或組織合法權(quán)益帶來的風險評估。闡述數(shù)據(jù)處理者和境外接收方的基本情況、數(shù)據(jù)出境目的、范圍、方式等的合法性、正當性。必要性，出境數(shù)據(jù)的數(shù)量、范圍、種類、敏感程度等。

數(shù)據(jù)安全保障能力評估是指境外接收方，需和境內(nèi)數(shù)據(jù)處理者一樣具備一定的數(shù)據(jù)安全保障能力。數(shù)據(jù)跨境傳輸時，必然需要經(jīng)過數(shù)據(jù)接收方所在國家境內(nèi)，再到接收方。這意味著需要關注數(shù)據(jù)接收方所在國家及接收方，兩方的數(shù)據(jù)保護水平。評估應關注接收方所在國家或地區(qū)在數(shù)據(jù)合規(guī)方面的法律法規(guī)健全度及網(wǎng)絡安全的重視程度。數(shù)據(jù)接收方是否具備數(shù)據(jù)識別、防護、監(jiān)測、審計等保護能力。在應對數(shù)據(jù)保護負面事件發(fā)生時，是否有相關經(jīng)驗和預案。在很多健康醫(yī)療數(shù)據(jù)安全事件發(fā)生時，往往可以看到由于缺乏預警機制或者重視程度不高，導致束手無策。

法律文件是指與境外接收方擬訂立的數(shù)據(jù)出境相關合同或者其他具有法律效力的文件等，與境外接收方簽訂的合同應至少包括《評估辦法》中第九條全部內(nèi)容，在數(shù)據(jù)安全保護責任義務方面，應保障個人維護個人信息權(quán)益的渠道及承諾保證出境數(shù)據(jù)安全的責任義務。

數(shù)據(jù)的流動可能是在數(shù)據(jù)采集、使用、共享、存儲等不同階段發(fā)生。數(shù)據(jù)處理者與合作方、監(jiān)管方、客戶等不同維度交流涉及的書面內(nèi)容，如涉及數(shù)據(jù)跨境，需闡述清晰，明確目的、范圍、方式等。包括但不限于開展檢查檢測時的知情同意書告知、互聯(lián)網(wǎng)業(yè)務的隱私政策告知、跨境機構(gòu)合作中的合作協(xié)議告知、跨國企業(yè)的員工協(xié)議告知等，履行“告知+同意”的要求。

總體上看，數(shù)據(jù)的傳輸關系業(yè)務流程的每個環(huán)節(jié)。如果涉及到跨境安全評估的，在設計業(yè)務流程時應提前開展安全自評估，避免由于跨境中的不合規(guī)事項影響到業(yè)務的正常運轉(zhuǎn)。另外，在健康醫(yī)療領域，根據(jù)《生物安全法》相關規(guī)定，將我國人類遺傳資源信息向境外組織、個人及其設立或者實際控制的機構(gòu)提供或者開放使用的，應當向國務院科學技術(shù)主管部門事先報告并提交信息備份。可能影響我國公眾健康、國家安全和社會公共利益的，應當通過國務院科學技術(shù)行政部門組織的安全審查。這與《評估辦法》不相沖突，兩者各自側(cè)重不同，均是協(xié)同推進國家安全總體治理的有力保障。

相關知識

醫(yī)療數(shù)據(jù)跨境傳輸法律合規(guī)實務指引
醫(yī)療健康大數(shù)據(jù)分類分析.docx
健康醫(yī)療大數(shù)據(jù)分析報告
互聯(lián)網(wǎng)醫(yī)院及健康醫(yī)療大數(shù)據(jù)合規(guī)分析
醫(yī)療健康數(shù)據(jù)分析
醫(yī)療健康大數(shù)據(jù)分析.pptx
數(shù)據(jù)分析驅(qū)動醫(yī)療健康服務創(chuàng)新
健康醫(yī)療數(shù)據(jù)的法律與合規(guī)問題探析（上）
健康醫(yī)療大數(shù)據(jù)行業(yè)發(fā)展?jié)摿?健康醫(yī)療大數(shù)據(jù)行業(yè)市場規(guī)模及發(fā)展前景分析
發(fā)展不忘合規(guī)，健康醫(yī)療大數(shù)據(jù)合規(guī)注意事項

網(wǎng)址: 健康醫(yī)療數(shù)據(jù)跨境流動合規(guī)分析 http://www.u1s5d6.cn/newsview1263521.html