适用场景
从事生命科学、生物医药、基因检测、健康科技等领域的中国出海企业,在涉及人类遗传资源(如基因数据、家族病史等)的采集、存储、利用或跨境传输时,需重点关注本指南。
核心要点
1. 双重监管与核心概念
人类遗传资源管理受科技部和网信部门双重监管。资源分为‘材料’(如细胞、组织)和‘信息’(如基因数据)。后者同时属于‘个人敏感信息’和‘重要数据’,需同时遵守《人类遗传资源管理条例》及网络安全、数据安全相关法规。
2. 采集活动的严格限制
仅中方单位可在境内采集,外方单位(含外资控股或协议控制机构)被禁止。采集特定类型资源(如重要遗传家系)需科技部审批;所有采集都必须获得提供者明确的书面知情同意,且收集个人敏感信息需取得‘明示同意’。
3. 保藏与利用的审批要求
保藏(为未来研究而存储)仅限中方单位,且需科技部审批。利用方面,若涉及与外方单位合作研发或临床试验,需进行审批或备案。判断‘外方单位’的标准严格,追溯含任何外资成分或受VIE控制的境内机构均属此类。
4. 对外提供的双重出境门槛
人类遗传资源材料出境需科技部审批,信息出境需向科技部备案并可能触发安全审查。同时,作为网络运营者(甚至可能被认定为关键信息基础设施运营者),信息出境还需遵守网信部门的数据出境安全评估要求,形成科技部与网信部门的双重监管。
5. 全流程的数据安全义务
处理人类遗传资源信息的企业需履行网络安全等级保护义务,实施数据分类分级、访问控制、加密传输、日志留存等措施。若涉及重要数据,还需设立安全负责人、定期风险评估并上报。
实务建议
- 在开展涉及人类遗传资源的业务前,首先根据股权和协议控制情况,明确自身是否被认定为‘外方单位’,这将直接影响你能开展的活动类型。
- 设计采集流程时,确保知情同意书内容具体、独立,针对数据收集、用于研发、对外提供等不同场景设置分别勾选同意的选项,并明确提供撤回同意的途径。
- 若计划保藏资源或与外方合作利用,提前向科技部申请审批或办理备案,准备包括采集方案、知情同意书、伦理审查批件等完整材料。
- 在数据安全管理上,对标网络安全等级保护要求,建立涵盖数据分类、访问日志、加密传输、容灾备份的全流程管理制度。
- 涉及数据出境时,同时评估是否需向科技部备案/审查,以及是否需按网信部门要求进行安全评估,提前规划合规路径。
- 将数据合规要求(如明示同意、出境评估)融入现有的项目方案、知情同意书和管理制度中,或制定单独的网络安全与数据合规文件,以同时满足科技部和网信部门的监管期待。
风险提示
- 切勿默认‘集团内部’数据跨境传输无需审批,只要是人类遗传资源信息提供至境外,无论接收方是谁,都需履行备案或评估程序。
- 避免在采集时采用‘一揽子’授权,强迫用户一次性同意所有后续使用目的,这违反了个人信息收集的‘最小必要’和‘明示同意’原则。
- 注意‘利用’的定义宽泛,许多研发活动都可能构成‘利用’。与外方(包括任何含外资背景的实体)合作前,务必确认是否需要审批或备案,避免未经许可开展合作。
- 不要忽视作为‘网络运营者’的潜在身份。只要利用网络处理人类遗传资源信息(如通过APP收集、云端存储),就需承担《网络安全法》等规定的义务,可能面临网信部门的监管。
- 合规材料准备应平衡完整性与针对性,避免过度披露非必要信息,但也需确保关键合规要点(如数据安全措施、同意机制)得到充分体现。