首頁(yè) 資訊健康醫(yī)療數(shù)據(jù)跨境流動(dòng)合規(guī)分析

健康醫(yī)療數(shù)據(jù)跨境流動(dòng)合規(guī)分析

來(lái)源：泰然健康網(wǎng) 時(shí)間：2025年05月16日 15:07

政策背景

數(shù)據(jù)作為現(xiàn)代社會(huì)的核心發(fā)展要素，是科技進(jìn)步的源頭。近年來(lái)，隨著新冠疫情的爆發(fā)，以核酸檢測(cè)為代表的生命健康產(chǎn)業(yè)蓬勃發(fā)展，產(chǎn)業(yè)數(shù)據(jù)隨之快速增長(zhǎng)。安全是發(fā)展的前提，發(fā)展是安全的保障，當(dāng)今我國(guó)的健康醫(yī)療產(chǎn)業(yè)已進(jìn)入蓬勃發(fā)展期，加強(qiáng)數(shù)據(jù)合規(guī)建設(shè)是數(shù)字時(shí)代確保產(chǎn)業(yè)持續(xù)發(fā)展的重中之重。

根據(jù)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)出境安全評(píng)估辦法》(以下統(tǒng)稱(chēng)評(píng)估辦法)等法律法規(guī)，重要數(shù)據(jù)出境需經(jīng)國(guó)家網(wǎng)信部門(mén)批準(zhǔn)，個(gè)人信息出境可通過(guò)安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、簽訂國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同等3種路徑提供。2022年9月1日《數(shù)據(jù)出境安全評(píng)估辦法》正式實(shí)施，是穩(wěn)步推進(jìn)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等法律落地的有力舉措。

醫(yī)療數(shù)據(jù)重要性，跨境流動(dòng)的實(shí)際訴求

眾所周知，健康醫(yī)療數(shù)據(jù)的科研和應(yīng)用價(jià)值非常高，對(duì)生命健康影響重大。醫(yī)療數(shù)據(jù)具有廣泛的真實(shí)性，屬于隱私、敏感個(gè)人信息，隨著數(shù)據(jù)量爆發(fā)增長(zhǎng)和各種復(fù)雜場(chǎng)景的出現(xiàn)，大規(guī)模的數(shù)據(jù)資源匯聚共享模式將不斷被開(kāi)啟，比如匯聚我國(guó)百萬(wàn)人以上的全基因組數(shù)據(jù)，需要特別說(shuō)明的是，這種大規(guī)模的數(shù)據(jù)匯聚活動(dòng)已將個(gè)人敏感信息轉(zhuǎn)變成重要數(shù)據(jù)?？梢哉f(shuō)，醫(yī)療健康數(shù)據(jù)不僅事關(guān)患者生命安全、個(gè)人信息權(quán)益，還關(guān)乎社會(huì)公共利益和國(guó)家安全。

數(shù)據(jù)價(jià)值的體現(xiàn)關(guān)鍵在于數(shù)據(jù)的使用，數(shù)據(jù)流動(dòng)可以有效促進(jìn)數(shù)據(jù)的使用，發(fā)揮數(shù)據(jù)效能。健康醫(yī)療數(shù)據(jù)跨境流動(dòng)有其合理的業(yè)務(wù)需求，既有科研的現(xiàn)實(shí)需求，又有業(yè)務(wù)全球化的商業(yè)合作需求等。跨國(guó)的科研合作有助于科研視野的開(kāi)拓，知識(shí)的共享，有利于加強(qiáng)科研能力建設(shè)，提升科研水平。對(duì)于跨國(guó)企業(yè)來(lái)講，業(yè)務(wù)全球化有利于優(yōu)化資源配置，開(kāi)拓發(fā)展空間，增強(qiáng)自主創(chuàng)新能力，引領(lǐng)全球產(chǎn)業(yè)發(fā)展。

從安全治理入手，科技向善造福人類(lèi)

科技創(chuàng)新是當(dāng)今社會(huì)發(fā)展的重要引擎，醫(yī)療健康從業(yè)者共同的愿景和目標(biāo)是能夠?qū)崿F(xiàn)科技造福人類(lèi)。在當(dāng)今數(shù)字社會(huì)的背景下，科技創(chuàng)新的根源是數(shù)據(jù)，做好數(shù)據(jù)安全治理工作，有利于提高科技創(chuàng)新的能力。數(shù)據(jù)安全治理工作的原則是如何提高數(shù)據(jù)合規(guī)管理水平，確保數(shù)據(jù)安全有序流動(dòng)，不斷推進(jìn)數(shù)據(jù)安全治理與業(yè)務(wù)發(fā)展的融合，堅(jiān)定科技創(chuàng)新的理念，最終實(shí)現(xiàn)造福人類(lèi)的目標(biāo)。

建立數(shù)據(jù)安全治理體系應(yīng)與管理組織架構(gòu)、制度建設(shè)及數(shù)據(jù)安全技術(shù)保障等方面緊密結(jié)合，綜合做好頂層設(shè)計(jì)。一是在管理組織架構(gòu)上，設(shè)立相關(guān)部門(mén)責(zé)權(quán)負(fù)責(zé)人，為落實(shí)監(jiān)管政策的基本要求和開(kāi)展數(shù)據(jù)出境工作奠定良好的合規(guī)基礎(chǔ)。二是在制度建設(shè)上，數(shù)據(jù)處理者根據(jù)當(dāng)前法律法規(guī)，并結(jié)合數(shù)據(jù)處理者在實(shí)際工作中各個(gè)數(shù)據(jù)處理環(huán)節(jié)的要求，制定符合自身行為規(guī)范和法律要求的規(guī)章制度。三是在數(shù)據(jù)安全技術(shù)保障上，圍繞數(shù)據(jù)全生命周期的安全防護(hù)要求，不斷提高安全技術(shù)保障措施，確保數(shù)據(jù)在傳輸過(guò)程中有與之相匹配的數(shù)據(jù)安全保障能力?？傊O(shè)立管理組織架構(gòu)、制定規(guī)章制度、提升數(shù)據(jù)安全技術(shù)能力，構(gòu)建數(shù)據(jù)安全治理體系是促進(jìn)管理制度的落地和技術(shù)措施的有效應(yīng)用，精準(zhǔn)實(shí)施對(duì)數(shù)據(jù)差異化的管理和保護(hù)，在合規(guī)的前提下，實(shí)現(xiàn)數(shù)據(jù)價(jià)值利用最大化。

做好數(shù)據(jù)跨境合規(guī)工作要點(diǎn)

1.清晰適用范圍，明確出境場(chǎng)景

《評(píng)估辦法》是數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)跨境活動(dòng)應(yīng)遵循的規(guī)定，在出境數(shù)據(jù)涉及重要數(shù)據(jù)的情況下，安全評(píng)估是強(qiáng)制性，在出境數(shù)據(jù)僅涉及個(gè)人信息的情況下，達(dá)到一定要求才需進(jìn)行安全評(píng)估。為防止未被明確的出境場(chǎng)景出現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)，《評(píng)估辦法》還提出國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形，作為兜底條款。

根據(jù)《評(píng)估辦法》第二條規(guī)定的適用范圍，數(shù)據(jù)處理者向境外提供在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息，包括兩種數(shù)據(jù)跨境行為。第一類(lèi)場(chǎng)景是數(shù)據(jù)處理者將數(shù)據(jù)轉(zhuǎn)移至中國(guó)境外的地方，是我們通常理解的數(shù)據(jù)跨越國(guó)界的傳輸、轉(zhuǎn)移行為。第二類(lèi)場(chǎng)景是數(shù)據(jù)依舊存儲(chǔ)在境內(nèi)，數(shù)據(jù)處理者將境內(nèi)數(shù)據(jù)庫(kù)的訪問(wèn)登錄信息或接口提供給境外主體，境外主體可以遠(yuǎn)程訪問(wèn)查看。第一類(lèi)場(chǎng)景存在容易被忽略的情況，如在境內(nèi)開(kāi)展相關(guān)的商業(yè)合作項(xiàng)目時(shí)，將數(shù)據(jù)傳輸至境外的云環(huán)境，此時(shí)是適用評(píng)估辦法的規(guī)定。鑒于健康醫(yī)療數(shù)據(jù)的重要性，數(shù)據(jù)處理者應(yīng)避免此情況發(fā)生，數(shù)據(jù)需上傳至云端時(shí)，應(yīng)首選將數(shù)據(jù)傳輸至境內(nèi)云環(huán)境。第二類(lèi)場(chǎng)景也存在容易被忽略的情況，如出于科研合作的目的，確需向境外開(kāi)放基因數(shù)據(jù)庫(kù)平臺(tái)的訪問(wèn)權(quán)限，基因數(shù)據(jù)庫(kù)存儲(chǔ)個(gè)人信息的規(guī)模達(dá)到了需要評(píng)估的情形，且數(shù)據(jù)庫(kù)中也可能包含重要數(shù)據(jù)，數(shù)據(jù)處理者除做好網(wǎng)站安全保障外，也需做好申報(bào)數(shù)據(jù)出境安全評(píng)估的相關(guān)準(zhǔn)備。

2.優(yōu)先做好自評(píng)估工作

做好自評(píng)估工作，是《評(píng)估辦法》中數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)出境安全評(píng)估的第一步。根據(jù)《評(píng)估辦法》第五條的評(píng)估內(nèi)容，自評(píng)估工作可以歸納為三方面：數(shù)據(jù)出境活動(dòng)評(píng)估、數(shù)據(jù)安全保障能力評(píng)估、法律文件評(píng)估。

數(shù)據(jù)出境活動(dòng)評(píng)估，即是對(duì)數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)評(píng)估。闡述數(shù)據(jù)處理者和境外接收方的基本情況、數(shù)據(jù)出境目的、范圍、方式等的合法性、正當(dāng)性。必要性，出境數(shù)據(jù)的數(shù)量、范圍、種類(lèi)、敏感程度等。

數(shù)據(jù)安全保障能力評(píng)估是指境外接收方，需和境內(nèi)數(shù)據(jù)處理者一樣具備一定的數(shù)據(jù)安全保障能力。數(shù)據(jù)跨境傳輸時(shí)，必然需要經(jīng)過(guò)數(shù)據(jù)接收方所在國(guó)家境內(nèi)，再到接收方。這意味著需要關(guān)注數(shù)據(jù)接收方所在國(guó)家及接收方，兩方的數(shù)據(jù)保護(hù)水平。評(píng)估應(yīng)關(guān)注接收方所在國(guó)家或地區(qū)在數(shù)據(jù)合規(guī)方面的法律法規(guī)健全度及網(wǎng)絡(luò)安全的重視程度。數(shù)據(jù)接收方是否具備數(shù)據(jù)識(shí)別、防護(hù)、監(jiān)測(cè)、審計(jì)等保護(hù)能力。在應(yīng)對(duì)數(shù)據(jù)保護(hù)負(fù)面事件發(fā)生時(shí)，是否有相關(guān)經(jīng)驗(yàn)和預(yù)案。在很多健康醫(yī)療數(shù)據(jù)安全事件發(fā)生時(shí)，往往可以看到由于缺乏預(yù)警機(jī)制或者重視程度不高，導(dǎo)致束手無(wú)策。

法律文件是指與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等，與境外接收方簽訂的合同應(yīng)至少包括《評(píng)估辦法》中第九條全部?jī)?nèi)容，在數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)方面，應(yīng)保障個(gè)人維護(hù)個(gè)人信息權(quán)益的渠道及承諾保證出境數(shù)據(jù)安全的責(zé)任義務(wù)。

數(shù)據(jù)的流動(dòng)可能是在數(shù)據(jù)采集、使用、共享、存儲(chǔ)等不同階段發(fā)生。數(shù)據(jù)處理者與合作方、監(jiān)管方、客戶等不同維度交流涉及的書(shū)面內(nèi)容，如涉及數(shù)據(jù)跨境，需闡述清晰，明確目的、范圍、方式等。包括但不限于開(kāi)展檢查檢測(cè)時(shí)的知情同意書(shū)告知、互聯(lián)網(wǎng)業(yè)務(wù)的隱私政策告知、跨境機(jī)構(gòu)合作中的合作協(xié)議告知、跨國(guó)企業(yè)的員工協(xié)議告知等，履行“告知+同意”的要求。

總體上看，數(shù)據(jù)的傳輸關(guān)系業(yè)務(wù)流程的每個(gè)環(huán)節(jié)。如果涉及到跨境安全評(píng)估的，在設(shè)計(jì)業(yè)務(wù)流程時(shí)應(yīng)提前開(kāi)展安全自評(píng)估，避免由于跨境中的不合規(guī)事項(xiàng)影響到業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。另外，在健康醫(yī)療領(lǐng)域，根據(jù)《生物安全法》相關(guān)規(guī)定，將我國(guó)人類(lèi)遺傳資源信息向境外組織、個(gè)人及其設(shè)立或者實(shí)際控制的機(jī)構(gòu)提供或者開(kāi)放使用的，應(yīng)當(dāng)向國(guó)務(wù)院科學(xué)技術(shù)主管部門(mén)事先報(bào)告并提交信息備份。可能影響我國(guó)公眾健康、國(guó)家安全和社會(huì)公共利益的，應(yīng)當(dāng)通過(guò)國(guó)務(wù)院科學(xué)技術(shù)行政部門(mén)組織的安全審查。這與《評(píng)估辦法》不相沖突，兩者各自側(cè)重不同，均是協(xié)同推進(jìn)國(guó)家安全總體治理的有力保障。

網(wǎng)址: 健康醫(yī)療數(shù)據(jù)跨境流動(dòng)合規(guī)分析 http://www.u1s5d6.cn/newsview1263521.html