适用场景
从事医疗健康、生物医药、医疗器械、互联网医疗、健康科技等业务的中国出海企业,尤其是在业务中涉及收集、处理或传输患者数据、健康信息、基因数据、临床研究数据,并计划进行数据跨境传输、国际合作、境外上市或使用境外云服务/服务器的阶段。
核心要点
1. 医疗数据属性特殊,监管严格
医疗数据(如病历、基因、健康日志等)兼具个人敏感信息和重要数据双重属性,受到《数据安全法》《个人信息保护法》及行业法规(如《人类遗传资源管理条例》)的多重严格规制。其跨境传输面临比普通数据更高的安全与合规门槛。
2. 数据出境定义广泛,场景多样
数据出境不仅指直接传输数据至境外,还包括通过业务、服务、产品(如远程医疗、跨境研究、使用境外服务器或云服务)等方式使境外机构或个人能够访问境内数据。常见场景包括跨境远程会诊、临床研究合作、使用境外健康APP服务器等。
3. 合规义务核心:评估、同意与本地化
数据跨境传输需满足核心合规前提:一是通过安全评估(包括自评估和可能的监管评估);二是获得个人信息主体的单独明确同意;三是遵守数据本地化存储要求(特别是“人口健康信息”严禁出境,重要数据原则上境内存储)。
4. 区分关键信息基础设施(CII)与非CII运营者义务
被认定为CII的医疗健康机构(如大型医院核心系统)需严格遵守数据境内存储和出境安全评估规定,并可能面临网络安全审查。非CII运营者(如许多医疗科技公司)也需履行数据安全保护义务,并在掌握超百万用户信息赴国外上市时申报网络安全审查。
5. 建立全周期合规保障机制
企业不能仅关注跨境环节,需围绕数据全生命周期建立合规体系。这包括实施网络安全等级保护(通常需达到三级)、对重要数据处理活动进行定期风险自评,并准备应对可能扩大的网络安全审查范围。
实务建议
- 开展数据资产盘点与分类分级:明确识别自身处理的医疗数据具体类型(如是否属于人口健康信息、人类遗传资源、重要数据),并对其进行分类分级管理。
- 设计合规的数据跨境传输流程:在确需出境前,务必完成“三明二定两前提”:明确相关主体、数据内容与属性、存储地;制定详细的出境方案与数据保护协议;确保已获得用户明确同意并完成安全评估。
- 审慎选择数据存储与处理架构:优先考虑将医疗数据,特别是敏感和重要数据,存储于中国境内的服务器。如使用境外云服务,需评估其是否符合中国法规,并采取加密、去标识化等技术保护措施。
- 完善法律文件与内部制度:与境外接收方签订包含数据保护、用途限制、再转移约束、删除义务及协助响应个人权利等条款的数据处理协议。内部建立数据安全委员会,制定数据出境审批流程。
- 关注并提前应对上市审查:若计划赴国外上市且处理大量个人信息(如超100万用户),应提前评估并准备向中国网络安全审查办公室申报网络安全审查。
- 进行定期合规自查与风险评估:定期对数据跨境活动进行安全影响评估,关注监管动态,及时调整合规策略,特别是对重要数据的处理活动进行风险自评。
风险提示
- 误区:认为只有直接发送数据文件到国外才算“出境”。实际上,境外机构通过API接口访问境内数据库、使用境外服务器存储或处理数据等,均可能被认定为数据出境行为。
- 误区:忽视“人口健康信息”的绝对本地化要求。此类数据(依据相关管理办法)严禁存储于境外服务器或向境外提供,没有例外情形,企业需精准识别。
- 注意事项:用户同意必须“单独、明确”,不能捆绑在一般用户协议中。对于医疗敏感信息,同意的获取标准更高,需进行显著提示和说明。
- 注意事项:人类遗传资源出境有特殊审批流程(需获取出境证明),且通常禁止向外方机构提供原始数据,须严格遵守《人类遗传资源管理条例》。
- 注意事项:即使不构成CII运营者,若数据处理活动影响或可能影响国家安全,仍可能被纳入网络安全审查范围,不可抱有侥幸心理。
- 注意事项:数据出境安全评估不是“一次性”动作,当出境目的、方式、数据量、接收方等情况发生重大变化时,需要重新评估。