适用场景
涉及与中国实体合作,在中国境内收集、处理并向境外传输人类遗传资源(HGR)数据,进行国际研发合作、多中心临床试验、药物或医疗器械开发等业务的出海企业。
核心要点
1. 人类遗传资源(HGR)的定义与多重监管
HGR不仅包括人体器官、组织、细胞等遗传物质,也涵盖利用这些物质产生的信息和数据。其跨境传输需同时遵守科技部《人类遗传资源管理条例》以及《个人信息保护法》和《数据安全法》等多部法律法规。
2. HGR信息作为个人信息出境的合规要求
若HGR信息构成个人信息,企业需向个人充分告知境外接收方信息、处理目的、方式、数据类别及权利行使途径,并获得个人同意。若涉及敏感个人信息(如生物识别、医疗健康等),还需额外同意并进行事前影响评估。
3. HGR信息作为重要数据出境的合规要求
《数据安全法》引入“重要数据”概念,HGR信息和公共卫生相关数据常被认定为重要数据。一旦被识别为重要数据,其出境必须通过国家网信部门组织的安全评估。
4. 跨境数据传输的合规路径选择
个人信息出境需根据数据类型和规模选择合规路径,包括通过国家网信部门安全评估(适用于大规模个人信息或敏感个人信息出境、关键信息基础设施运营者)、个人信息保护认证,或与境外接收方签订标准合同。重要数据出境则必须进行安全评估。
实务建议
- 建立完善的HGR数据管理制度,明确数据收集、处理、存储和出境的全生命周期合规流程。
- 严格履行告知义务,确保在HGR信息出境前获得个人充分知情同意,特别是敏感个人信息需额外同意。
- 提前识别HGR信息是否构成个人信息或重要数据,并根据适用法规选择合适的跨境传输机制(如安全评估、标准合同、认证)。
- 与中方合作单位建立清晰的合规责任分担机制,确保中方履行科技部备案和备份义务。
- 密切关注中国数据出境相关法律法规的最新动态和实施细则,及时调整合规策略。
- 定期进行数据安全和个人信息保护影响评估,识别并降低潜在合规风险。
风险提示
- 忽视HGR信息的多重属性,未能同时满足科技部、网信部门等多方监管要求。
- 未能充分识别HGR信息中的敏感个人信息或重要数据,导致合规路径选择错误或评估不足。
- 个人信息出境规模认定不清晰,可能低估安全评估的适用范围。
- 重要数据识别目录尚未完全明确,存在不确定性,需持续关注官方指引。
- 未能与中方合作单位明确HGR出境的备案和备份责任,导致违规风险。