一、法律框架和合规总体要求
为规范医疗机构医疗数据的出境行为,除《人遗管理条例》作出专门的合规规定外,我国网络安全、数据安全及个人信息保护的基本法律法规,包括《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等分别从网络安全、个人信息保护和数据安全的维度对合规要求作出了规定。已公布的系列征求意见稿,包括《网络数据安全管理条例(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《信息安全技术重要数据识别指南(征求意见稿)》(以下简称《重要数据识别指南》)、《数据出境安全评估办法(征求意见稿)》(以下简称《评估办法(征求意见稿)》)及《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称《数据出境评估指南》)等则在操作层面作了较为具体的规定。
医疗机构作为跨境传输临床试验等医疗数据的主体,是《网络安全法》下的网络运营主体和“信息基础设施的运营者”、也是《网络数据安全管理条例(征求意见稿)》下 “重要数据处理者”,同时传输的临床试验等医疗数据是《数据安全法》、《网络数据安全管理条例(征求意见稿)》定义的“重要数据”和 《个人信息保护法》下的“敏感个人信息”,因此,其医疗数据出境应同时遵守前述网络安全、数据安全和个人信息保护相关合规的规定。
二、涉及的重要概念
01数据出境
“数据出境”不仅指数据在物理空间的转移(数据转移存储至境外),还包括主动将存储在境内的数据开放路径给境外主体访问查看的行为。
《评估办法(征求意见稿)》将“数据出境”定义为“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人”。
《数据出境评估指南(征求意见稿)》第3.7条规定:数据出境是指“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。”
《数据出境评估指南》列举了数据出境的几种情形:
(1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
(2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
02重要数据
《网络安全法》首次提出了“重要数据”概念,《数据安全法》指出要加强重要数据的保护,但并未给出重要数据的概念界定方法和认定标准。
《数据出境评估指南(征求意见稿)》,明确将“人口健康”“食品药品”等领域纳入重要数据领域。
《数据安全管理办法(征求意见稿)》,对“重要数据”界定为:一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。
《重要数据识别指南》作为《数据安全法》配套的国家标准对“重要数据”这一概念进行规范明确:重要数据是指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。《重要数据识别指南》明确了重要数据的识别流程以及对重要数据的描述方法,指出重要数据的特征与“经济运行”“人口和健康”“自然资源和环境”“科学技术”“安全保护”“应用服务”“政务活动”有关。《重要数据识别指南》对于重要数据特征的多方面描述,为医疗行业重要数据的识别工作提供了参考。
值得注意的是,《重要数据识别指南》指出重要数据不包括个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
03患者个人信息
患者个人信息是指患者在诊疗过程中提供或产生的所有信息,包括患者个人属性数据、健康状况数据、医疗应用数据、医疗支付数据等。根据《个人信息保护法》第二十八条对于敏感个人信息的定义,患者个人信息基本纳入敏感个人信息的范畴。
三、医疗数据出境监管的主要对象
网络安全、数据安全和个人信息监管视角下,医疗数据出境监管主要就是对个人信息和重要数据出境的监管。《网络安全法》首次对关键信息基础设施运营者在个人信息和重要数据出境设置了限制条件,要求其收集和产生的个人信息和重要数据的出境需进行安全评估。《数据安全法》和《个人信息保护法》对于个人信息、重要数据出境监管又进一步进行了明确。
在医疗领域,个人信息和重要数据可能存在范围上的重合,这种情况下,医疗数据出境需要同时遵循个人信息和重要数据出境的要求。
01患者个人信息出境
医疗数据中包括海量的患者个人信息,基于《个人信息保护法》相关规定,患者个人信息出境需要遵循以下规定:
(1)应当向个人进行充分告知,并取得单独同意
告知内容包括境外接收方名称/姓名、联系方式、处理目的和方式、个人信息种类以及个人向境外接收方行使权利的方式和程序等事项。此外,因涉及敏感个人信息,需要额外告知“处理敏感个人信息的必要性以及对个人权益的影响”。
《个人信息保护法》第十三条第一款规定了处理个人信息可以豁免同意的几种情形。如果个人信息出境场景落入豁免同意的情形,个人信息出境笔者理解应无需取得个人单独同意。
(2)应当进行个人信息保护影响评估
个人信息保护影响评估具体包括:个人信息的处理目的、处理方式是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况应当至少保存三年。
(3)应确认是否已具备法定的必要条件,并确保境外接收方处理活动达到规定的保护标准
法定必要条件包括:1) 通过国家网信部门组织的安全评估(前提是个人信息处理者被认定为关键信息基础设施运营者,或者处理的个人信息达到网信办规定数量时);2) 按照国家网信部门的规定,经专业机构进行个人信息保护认证;3) 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
02重要数据出境
根据《数据安全法》,重要数据的出境规则根据数据处理者的主体不同有所区别:关键信息基础设施运营者在境内运营中收集和产生的重要数据出境安全管理适用《网络安全法》的规定;其他数据处理者在境内运营中收集和产生的重要数据出境安全管理办法,由国家网信办会同国务院有关部门制定。
虽然《数据出境评估指南》尚未正式出台,但其详细的出境评估方法亦可作为实践操作的参考和借鉴。因此,医疗机构涉及医疗数据出境可参照《数据出境评估指南(征求意见稿)》对自身情况进行初步判定,以应对可能出现的数据出境安全评估的合规要求。
四、医疗数据出境合规的具体要求
鉴于《评估办法(征求意见稿)》是根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规制定的,为便于医疗机构了解并履行临床试验等医疗数据出境的相关合规要求和义务,本文将以《评估办法(征求意见稿)》为基础对有关医疗数据出境的合规要求进行简要梳理。
01自评估
《评估办法(征求意见稿)》规定重要数据出境前,应事先开展数据出境风险自评估。医疗机构作为数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,主要评估以下事项:
(1)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(2)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(3)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
(4)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(5)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(6)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
02安全评估
《网络安全法》、《数据安全法》和《个人信息保护法》都明确了重要数据和个人信息出境应当通过国家网信部门组织的安全评估。《评估办法(征求意见稿)》规定重要数据出境前,应事先开展数据出境风险自评估,如属于《评估办法(征求意见稿)》第四条规定情形的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
医疗机构作为数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(1)关键信息基础设施的运营者收集和产生的个人信息和重要数据;
(2)出境数据中包含重要数据;
(3)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(4)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;
(5)国家网信部门规定的其他需要申报数据出境安全评估的情形。
03安全评估的重点评估事项
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(1)数据出境的目的、范围、方式等的合法性、正当性、必要性;
(2)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
(3)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
(4)数据安全和个人信息权益是否能够得到充分有效保障;
(5)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
(6)遵守中国法律、行政法规、部门规章情况;
(7)国家网信部门认为需要评估的其他事项。
04重新评估
数据出境评估结果有效期二年。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:
(1)向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方式发生变化,或者延长个人信息和重要数据境外保存期限的;
(2)境外接收方所在国家或者地区法律环境发生变化,数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;
(3)出现影响出境数据安全的其他情形。
有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。
若未按上述规定重新申报评估的,应当停止数据出境活动。
05通过合同条款充分约定境外接收方数据安全保护的责任义务
医疗机构作为数据处理者与境外接收方订立的合同充分约定数据安全保护的责任义务,应当包括但不限于以下内容:
(1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(2)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
(3)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
(4) 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
(5)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
(6)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
五、医疗数据出境的合规建议
基于前述网络安全、数据安全和个人信息保护法律法规项下有关医疗数据出境合规要求的梳理,针对医疗机构在医疗数据出境过程中普遍面临的既要保护个人权益及数据安全,又需兼顾药品、医疗器械创新研发效率的难题,如何避免相关的合规风险提出些许建议:
01构建合规体系和合规基础建设
(1)形成由决策层、管理层、执行层、监督层及协同层构成的组织结构;
(2)制定并完善系统的合规管理机制,包括重要数据处理活动风险自评机制、网络安全等级保护机制、关键信息基础设施(CII)安全保护机制以及非CII运营者网络安全审查应对机制;
(3)合规基础建设层面,按照我国目前法律法规要求进行数据的分类分级,单独划分可能涉及/禁止出境的数据,并通过数据失真技术、数据加密技术和匿名化限制发布技术等隐私计算等技术手段,处理法律法规明确规定不能传输的数据,来协助达到合规要求。
02履行数据出境前各项合规义务
发生医疗数据出境行为前,履行各项合规义务:
(1)制定数据出境计划和方案,包括明确数据收集、使用、传输发送和接收方,以及为此提供服务的第三方、医疗数据内容与属性、数据存储地等;
(2)建立、完善自身的数据相关安全评估机制,在相关部门安全评估之前先对涉及数据安全的行为进行自评估并履行数据出境的安全评估义务;
(3)了解境外接收方所在国家或者地区的数据安全保护法规政策及网络安全环境对出境数据安全的影响。如经初步判断,的确属于安全评估的范围,则需注意评估跨境传输目的国家/地区的数据安全保护情况;
(4)调查、评审境外接收方在数据保护方面的能力和状况、资质,并在与境外接收方订立的合同起草和商谈中,按照《评估办法(征求意见稿)》第九条的规定约定数据处理目的、方式和采取的安全措施以及数据安全保护责任义务,以规避数据跨境传输风险。
03严格执行安全评估内容并事后跟综
在实施医疗数据出境过程中和出境后的跟踪管理:
(1)确保出境数据按照安全评估材料的内容执行,包括出境数据按照评估材料中已经确定的处理目的、范围、方式等各项内容执行;
(2)不时关注数据出境的目的、范围、方式或数据接收方所在地的法律法规要求发生的任何变化,如有可能,要求数据接收方对前述内容的变更负有告知义务及承担相应补正及违约责任。
网络、数据安全监管视角下的医疗数据出境合规要求和建议
作者:王晓青来源:天册律师事务所

一、法律框架和合规总体要求 为规范医疗机构医疗数据的出境行为,除《人遗管理条例》作出专门的合规规定外,我国网络安全、数据安全及个人信息保护的基本法律法规,包括《网络安全法》、《数据安全法》、《个人信息