适用场景
从事医疗健康、生物科技、跨境诊疗服务、医疗设备研发与销售,或业务中涉及处理患者信息、健康数据、基因遗传信息等敏感数据的中国出海企业,在开展国际合作、跨境研发、远程医疗或数据存储与分析时需重点关注。
核心要点
1. 医疗数据定义广泛,监管分散且严格
医疗数据涵盖病历、健康日志、基因遗传、医学实验等多种信息,受《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《人口健康信息管理办法(试行)》等多部法规分散监管。其中,人口健康信息明确禁止存储在境外服务器,人类遗传资源信息管理尤为严格,违规可能面临刑事处罚。
2. 个人信息与重要数据出境需安全评估
医疗数据通常包含可识别个人身份的信息,属于受《网络安全法》及《个人信息保护法》规制的个人信息,甚至可能被认定为“重要数据”。关键信息基础设施运营者(CIIO)收集的个人信息和重要数据原则上应境内存储,出境需经安全评估;非CIIO在达到规定数量时也可能触发评估义务。
3. 违规处罚严厉,涵盖行政、刑事多重责任
违规出境医疗数据可能面临警告、罚款、停业整顿、吊销许可等行政处罚。对于人类遗传资源等特定类型数据,根据《生物安全法》和《刑法修正案(十一)》,情节严重的还可能构成犯罪,承担刑事责任。已有因人类遗传资源违规出境而被处罚的公开案例。
4. 安全评估具体办法尚待完善,但合规要求不容忽视
尽管部分数据出境安全评估的具体实施办法尚未正式生效,但相关原则性规定已明确,监管趋势趋严。企业不能以细则未出为由忽视合规,应依据现有法律法规及征求意见稿(如《数据出境安全评估指南(征求意见稿)》)的精神提前进行自我审查和准备。
实务建议
- 严格筛查并避免跨境传输“人口健康信息”及“人类遗传资源信息”,这两类数据出境风险极高。
- 在启动任何涉及医疗数据出境的项目前,主动参照现有法规和评估指南草案进行全面的自我合规审查。
- 建立数据分类分级管理制度,清晰界定哪些数据可出境、哪些必须境内存储,并制定相应的数据流转流程。
- 密切关注国家网信办、卫健委等部门关于数据出境安全评估办法、医疗数据管理细则的最新立法动态。
- 与境外合作方签订数据处理协议时,明确约定数据出境的合规性保证、安全保护措施及违规责任。
- 考虑在业务模式设计中优先采用数据本地化处理、匿名化或去标识化技术,从源头减少出境需求。
风险提示
- 误区:认为相关评估细则未生效就可以暂时不理会。风险:监管机构可依据上位法原则进行处罚,且法律具有追溯力,待细则出台后可能追究既往行为。
- 误区:将所有健康相关数据混同处理。风险:必须区分“人口健康信息”(禁止出境)与可经评估出境的“一般医疗数据”,错误归类将导致严重违规。
- 注意事项:人类遗传资源信息(包括基因数据)的出境管理独立且极其严格,需取得行政许可,切勿与一般个人信息混淆。
- 注意事项:即使作为非CIIO,若处理的个人信息数量达到未来规定门槛,同样需履行安全评估义务,需提前评估业务规模。
- 注意事项:在申请相关行政许可(如人类遗传资源国际合作审批)过程中,也必须保证材料与操作的合规性,否则可能单独被罚。