数据产品定位下医疗数据出口贸易的合规要点

来源:法德东恒律师

文章摘要
2024年12月,首都医科大学宣武医院与北京国际大数据交易所成功完成了一笔动脉支架手术数据集的交易;2025年4月,杭州市以“颅脑MRI影像数据资产”为标的完成全国首单“数据知识产权跨境交易”……这些

2024年12月,首都医科大学宣武医院与北京国际大数据交易所成功完成了一笔动脉支架手术数据集的交易;2025年4月,杭州市以“颅脑MRI影像数据资产”为标的完成全国首单“数据知识产权跨境交易”……这些都标志着医疗数据正在从诊疗活动的原始记录,转变成为标准化、可交易的数据产品。这一转变不仅重构了数据的价值实现路径,也深刻影响了其跨境流动的合规逻辑,为企业通过合规方式释放医疗数据价值提出了新的要求。
一、医疗数据产品的典型形态与法律定义
(一)医疗数据产品的主要形态
根据在北京、上海等主流数据交易所的挂牌情况,医疗数据产品已形成三大主流形态,覆盖从研发到应用的完整价值链:
1.标准化数据集
此类产品是当前交易市场的主力,表现为经过治理的结构化、标准化数据集合,主要服务于科研与产品研发。疾病专病库如首都医科大学宣武医院的“颈动脉支架手术数据集”、福州大学附属省立医院的“糖尿病专病库”等,围绕特定疾病整合多维度临床数据;影像数据集包括北京一脉阳光的“CT胸部病变标注数据”、上海市第一人民医院的“乳腺癌超声图像数据”等,为AI医疗发展提供关键训练素材;基因与病理数据则如上海市第一人民医院的“急性白血病基因突变数据”,在微观层面推动精准医疗发展。
2.数据应用产品
此类产品超越了原始数据层面,集成了算法模型或分析能力,直接面向具体应用场景提供完整解决方案。例如佛山市第四人民医院的“智能阅片结核辅助诊断系统”将数据与诊断流程深度融合,万达信息的“灵素体检报告解读服务”为个人用户提供专业的健康管理支持,深势科技的生物医药数据资产则为药物研发提供核心数据支撑。
3.数据报告与洞察类产品
此类产品是数据价值的深度萃取,以分析结论或趋势判断的形式交付,直接服务于决策。金域医学的《碳青霉烯耐药地图》《呼吸道病原体流行地图》为公共卫生监管提供科学依据,成都市第三人民医院的“胃转流支架置入术疗效数据洞察”则通过长期疗效追踪指导临床技术持续改进。
(二)法律定义
通过梳理国内数据交易所的主流医疗数据产品,医疗数据产品可以定义为:经过深度加工和标准化处理,具有明确应用场景、质量标准和经济价值,能够在数据交易市场中进行流通和交易的数据商品。这一定义与一般医疗数据形成了本质区别,具体体现在三个核心特征上:
首先是形态层面的标准化跃升。一般医疗数据作为诊疗活动中直接产生的原始记录,具有零散性、非标准化的特点。而医疗数据产品则通过系统的清洗、脱敏、标注和标准化处理,形成了统一格式、明确用途的数据商品。这种从“原始记录”到“标准产品”的转变,使得数据具备了可交易的基本属性。
其次是法律属性的根本转变。一般医疗数据首要被界定为“敏感个人信息”,受到《个人信息保护法》的严格规制。而医疗数据产品通过有效的匿名化处理,在法律上实现了从“个人信息”到“数据资产”的属性升级。当数据达到无法识别特定个人且不能复原的标准时,其监管重心就从单纯的个人权益保护扩展到数据资产价值和国家安全等更宏观的层面。
最后是价值创造方式的深刻变革。一般医疗数据的价值主要体现在单个患者的诊疗过程中,而医疗数据产品通过价值重构,形成了独立的经济价值和使用场景。无论是服务于AI训练的专业数据集,还是支撑公共卫生决策的分析报告,亦或是助力药物研发的数据资产,都展现出从“诊疗附属”到“独立商品”的价值重构过程。
这三个本质特征共同构成了医疗数据产品的完整定义,也清晰地划定了其与一般医疗数据的根本界限。
二、医疗数据出境的合规路径辨析
(一)一般医疗数据出境的合规框架
在全球数字经济深度融合的背景下,数据跨境流动已成为国际合作与贸易的重要基石。中国基于《网络安全法》《数据安全法》和《个人信息保护法》构建的数据出境管理制度,聚焦于可能影响国家安全、公共利益和个人权益的重要数据与个人信息,旨在筑牢安全底线的同时保障必要的数据流动需求。为将法律框架转化为可操作的实践,国家互联网信息办公室制定并实施了《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等一系列配套法规,明确了各项制度的具体实施路径。一项关键的创新举措便是在自由贸易试验区内实施数据出境负面清单管理。该规定授权自贸区在国家数据分类分级保护的顶层设计下,自行制定本区域的负面清单,经省级网信委批准并报国家主管部门备案后即可实施。列入负面清单的数据需依法依规出境,而清单之外的数据则获得了极大的便利,可免于申报数据出境安全评估、订立标准合同或通过保护认证。为确保负面清单的严谨与统一,其制定过程需充分征求意见,并接受国家网信部门和数据管理部门的前置审核。同时,为避免重复劳动,已针对某一领域发布负面清单的自贸区,其成果可为其他自贸区所参照执行。鉴于《中国(江苏)自由贸易试验区数据出境管理清单(负面清单)(2025版)》率先在医药领域进行探索,其监管思路与医疗数据产品出口的合规要求高度对应,因此,以江苏自贸试验区的数据出境负面清单管理办法为样本,通常数据出境合规有以下要点:
1.负面清单管理是核心机制
自贸试验区实施数据出境负面清单制度。对于清单外数据,其出境活动可免于申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,实现了数据的自由便捷流动;对于清单内数据,必须严格按照国家规定的路径完成合规手续后,方可出境。
2.数据分类分级是合规前提
数据出境管理制度体现了分类分级的科学监管思路:对不涉及个人信息和重要数据的一般数据,充分促进其自由跨境流动;对确需出境的重要数据,设置了数据出境安全评估这一安全阀,确保在经评估不危害国家安全和社会公共利益后可以出境;对个人信息出境,则构建了包含安全评估、保护认证和标准合同在内的多元化合规路径,为企业提供了灵活选择。
3.以数量门槛作为关键判定因素
在具体执行层面,合规路径的选择往往取决于数据的性质和规模。重要数据的出境必须通过安全评估这道关口。而对于个人信息,监管则根据年度出境数量设置了分级管理制度。当出境规模达到较高阈值时,需要启动安全评估程序;处于中间规模的可通过标准合同或保护认证等相对简化的方式实现合规;而未达规定数量的个人信息,在清单制度下通常可以自由流动。
(二)两类数据出境的异同分析
在数据跨境流动的监管框架下,医疗数据产品与一般医疗数据出境既存在根本共性,又展现出重要差异。二者的异同可归纳为“表1”,理解这些异同,对企业制定合规策略具有关键意义。
1.共同遵循的监管底线
无论是一般医疗数据还是数据产品,都需要遵守相同的监管原则。首先,二者都适用统一的法律框架,包括《数据安全法》《个人信息保护法》以及自贸试验区的负面清单管理制度。其次,在重要数据的认定上标准一致,一旦涉及群体性诊疗数据等被界定为重要数据的内容,都必须通过严格的安全评估。此外,个人信息的判定标准完全相同,都以可识别性作为核心标准。最后,二者在合规路径的选择逻辑上也保持一致,都需要根据数据性质和出境规模来选择相应的合规方式。
2.差异化的合规要求
尽管监管框架统一,但由于数据产品经过深度处理,其在合规实践中展现出独特特点。医疗数据产品通过有效的匿名化处理,可能实现法律身份的转变,从“个人信息”转化为“非个人信息”,从而获得更便捷的出境路径。这种可能性是一般医疗数据所不具备的。这种可能性带来了举证责任的差异,对于一般医疗数据,企业的责任主要是准确识别和申报;而医疗数据产品的处理者则需要承担更重的举证责任,必须准备充分的技术文档和论证材料,证明其数据处理方法的有效性和不可逆性。同时,数据产品通常包含更复杂的数据成分,要求企业建立更精细化的内部分类分级体系。
表 1 一般医疗数据与医疗数据产品出境的异同辨析

方面

一般医疗数据

医疗数据产品

监管本质

完全一致,适用同一套负面清单和规则体系。

核心红线

完全一致,

“重要数据”和“可识别的个人信息”是共同底线。

核心差异

合规路径确定,基本无豁免空间。

存在“匿名化”豁免的可能性,但需自行严格证明。

企业责任

以识别、申报和遵守为主。

负有更重的举证责任,需证明数据的新属性。

管理重点

准确的分类分级和计数。

更精细的数据治理、技术论证和文档准备。


三、医疗数据产品出境的合规建议
在规划医疗数据产品的出口路径时,我们需要建立一种贯穿始终的合规思维。数据在前端处理阶段打下的基础,将直接决定其后端出境的可行性与效率。将合规要求融入产品设计与开发的初始阶段,远比事后补救更为关键。这意味着我们需要将数据治理与合规建设视为一项长期投资,而非临时任务。
(一)将合规思维融入产品设计全过程
打造符合出境要求的数据产品,首先要从设计源头着手。在项目立项阶段就应当考虑未来的出境场景,确保数据采集、处理和存储的每个环节都符合跨境传输的要求。这种前瞻性的规划能够有效避免后期因合规问题导致的返工和延误,为数据产品的顺利出境奠定坚实基础。
(二)把技术创新作为合规的核心支撑
技术层面,企业需要将匿名化视为核心能力。通过掌握差分隐私、合成数据等先进技术,确保数据达到无法识别到特定个人且不可复原的标准。这些技术投入不仅是满足监管要求的关键,更是提升数据产品价值的有效途径。建议企业建立专门的技术团队,持续跟进最新的数据安全技术发展,必要时寻求第三方权威机构的技术认证,为数据出境提供可靠的技术保障。
(三)建立精细化的数据管理体系
在日常运营中,企业需要建立完善的数据分类分级制度。这套体系应当能够清晰界定一般数据、个人信息与重要数据的边界,为后续的数据出境决策提供准确依据。同时,要特别注意在数据采集环节就获取涵盖未来出境用途的完整授权,确保整个数据处理流程的合法性。建议企业设立专门的数据治理岗位,负责持续优化数据管理制度,确保其与最新监管要求保持一致。
(四)善用政策优化合规路径
在具体执行层面,企业应当充分利用自贸试验区的政策优势。比如江苏自贸区的负面清单管理制度,为符合条件的数据产品提供了更为便捷的出境通道。建议企业密切关注各自贸试验区的最新政策动态,结合自身业务特点选择合适的出境路径。对于已完成可靠匿名化且不涉及重要数据的产品,可以积极申请适用简化出境程序,提升数据流通效率。
企业应当认识到良好的数据合规能力正在成为重要的市场竞争优势。通过将安全要求与数据价值释放相结合,企业不仅能够满足监管要求,更能在全球数字贸易中赢得客户信任。建议企业将合规建设纳入长期发展战略,通过持续投入和优化,将数据合规能力打造为企业的核心竞争优势,为参与国际市场竞争提供有力支撑。

技术驱动法律,专业成就未来