医疗数据出境法律风险解读
作者:
蔡荣伟 杨杰
引言
2021年4月7日,国家发改委以及商务部联合海南省政府出台《关于支持海南自由贸易港建设放宽市场准入若干特别措施的意见》,其中明确海南自贸区放宽部分行业市场准入要求,重点支撑医疗创新。此外,今年2月,深圳市政府办公厅审议通过了《关于加快推动医疗服务跨境衔接的若干措施》,以促进优质医疗卫生资源更自由地跨境流通,让深圳人看香港名医、用境外新药;港澳居民在内地就医、病人的跨境转运都更便捷。
不论是医疗创新还是跨境诊疗活动,都可能存在医疗数据出境的问题,把握医疗数据出境风险对于新型诊疗活动的展开有重要意义。
一、法律风险简析
(一)医疗数据
1、医疗数据监管
医疗数据的来源和范围具有多样化的特征,包括病历信息、医疗保险信息、健康日志、基因遗传、医学实验、科研数据等。目前,我国针对医疗数据的监管性规定分散在不同的法律法规中,并没有统一的明确的规定,同一责任主体收集的医疗数据可能涉及到多种法规的监管。
目前监管情况如下:
点击可查看大图
2、医疗数据层面风险
(1)患者数据可被认定为健康医疗大数据,适用《国家健康医疗大数据标准、安全和服务管理办法(试行)》[8]。根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》,“健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。”
但是《国家健康医疗大数据标准、安全和服务管理办法(试行)》并未明确违反上述规定的处罚,且安全评估相关的法律法规尚未颁布生效。
(2)如果患者就诊记录中包含人口健康信息,则根据《人口健康信息管理办法(试行)》[9],不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。如果违反该规定,根据《人口健康信息管理办法(试行)》,上级主管部门(即医院所属卫健委)应当视情节轻重予以督导整改、通报批评、提出给予行政处分的建议;构成犯罪的,依法追究刑事责任[10]。
综上所述,患者数据出境应当进行安全评估,但安全评估的具体实施办法尚未颁布生效。另外,含有人口健康信息的数据不得传输至境外。
(二)个人信息
1、个人信息及重要数据监管
《中华人民共和国网络安全法》(以下简称“《网安法》”)对于个人信息(Personally Identifiable Information”,可简称为“PII” )保护提出了重要的原则[11]。根据《网安法》[12],个人信息是指,“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《个人信息保护法(草案)》[13]则不仅指明个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,并且明确个人信息不包括匿名化处理后的信息。
2、个人信息及重要数据层面风险
(1)患者数据可能包括个人信息,也可能被认为是《信息安全技术 数据出境安全评估指南(征求意见稿)》[14]下界定的重要数据。
(2)根据《网安法》[15],关键信息基础设施的运营者(简称“CIIO”)在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
如果传输主体被认定为CIIO,那么跨境传输个人信息或重要数据需要根据《网安法》进行安全评估。如果该CIIO未进行安全评估,那么该CIIO将面临行政处罚,包括责令改正、给予警告、收违法所得、处五万元以上五十万元以下罚款,并可能面临暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款[16]。
如果该传输主体未被认定为CIIO,那么根据《个人信息保护法(草案)》,在境外传输的个人信息达到网信办规定数量时,也需要进行安全评估[17]。
但是目前为止,个人信息和重要数据出境相关安全评估办法尚未生效。相关行政处罚亦尚未落实。
(三)处罚案例
以下选取了科技部发布的关于人类遗传资源管理事项的处罚案例[18]:
点击可查看大图
其中,前两个案例是针对人类遗传资源未经许可出境做出的行政处罚,第三个案例则是针对在申请人类遗传资源国际合作行政许可的过程中存在违规而被处罚。因此,企业不仅要注意履行相关数据出境的许可或审查手续,且在申请过程中也需注意合法、合规操作。此外,以上案例的处罚依据主要是《人类遗传资源管理暂行办法》,处罚措施主要是警告,销毁数据及叫停整改。而根据2021年3月1日生效的《刑法修正案(十一)》以及2021年4月15日生效的《生物安全法》,违反相关规定向境外提供我国人类遗传资源或非法携带我国人类遗传资源出境的,可能面临数额较大的罚款及刑事处罚。[19]
二、实务建议
1、避免人口健康信息及人类遗传资源信息相关数据传输
国家禁止人口健康信息跨境传输,且人类遗传资源的信息规范非常严格,有刑事处罚的可能。因此,应尽量避免跨境传输人口健康信息和人类遗传基因数据。
2、对每一项涉及医疗数据出境项目提前进行自我审查
由于医疗数据更为敏感,且可能对国家安全、国计民生和公共利益构成危害, 实务中最好事前根据现有评估草案如《信息安全技术 数据出境安全评估指南(征求意见稿)》进行自我审查,从而避免盲目向境外传输具有一定敏感度的医疗健康数据。
3、关注立法动态
重点关注医疗数据出境相关的立法动态,适当调整数据的本地化存储和出境措施,并制定相应后备方案,以及时响应立法和监管变化,降低违规风险。
[注]
[1] 《国家健康医疗大数据标准、安全和服务管理办法(试行)》(卫健委于2018年7月12日发布)第四条。
[2]《人口健康信息管理办法(试行)》(卫计委(已撤销)于2014年5月5日发布)第三条。
[3]《人类遗传资源管理条例》(国务院于2019年5月28日发布,于2019年7月1日施行)第二条。
[4] 《生物安全法》(全国人大于2020年10月17日发布,于2021年4月15日起施行),相比于《人类遗传资源管理条例》,规定了更为严厉的行政处罚。
[5] 《医疗机构病历管理规定》(卫计委(已撤销)于2013年11月20日发布,于2014年1月1日起施行)第二条。
[6] 《电子病历应用管理规范》(卫计委(已撤销)于2017年2月15日发布,于2017年4月1日起实施)第三条。
[7] 《医疗器械网络安全注册技术审查指导原则》(食药监局(已撤销)于2017年1月20日发布,于2018年1月1日起施行,为我国首个关于医疗器械网络安全的注册技术审查指导原则,该指导原则适用于具有网络连接功能以进行电子数据交换或远程控制的医疗器械产品的注册申报。重点关注医疗器械产品全生命周期过程中网络安全问题,包括医疗器械产品的设计开发、生产、分销、部署和维护。要求申请人结合相关数据的类型、功能、用途、交换方式及要求,并结合医疗器械的产品特性考虑其网络安全问题,并采用基于风险管理的方法来保证医疗器械的网络安全。)
[8] 《国家健康医疗大数据标准、安全和服务管理办法(试行)》(卫健委于2018年7月12日发布)第三十条。
[9] 《人口健康信息管理办法(试行)》第十条。
[10] 《人口健康信息管理办法(试行)》第二十一条、第二十二条。
[11] 《网安法》第四十一条至第四十五条。
[12] 《网安法》第七十六条。
[13] 《个人信息保护法(草案)》第四条。
[14] 《信息安全技术 数据出境安全评估指南(征求意见稿)》附录A《重要数据识别指南》。
[15] 《网安法》第三十七条。
[16] 《网安法》第六十六条。
[17] 《个人信息保护法(草案)》第四十条。
[18] 以上案例官方链接如下:https://fuwu.most.gov.cn/html/jcxtml/20181201/2837.html?tab=xzcf。
[19] 《刑法修正案(十一)》第三十八条;《生物安全法》第八十条。
The End
作者简介
蔡荣伟
上海办公室 高级顾问
业务领域:投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁
特色行业类别:能源与自然资源, 通讯与技术
杨杰
上海办公室 公司业务部
作者往期文章推荐
《<健康医疗数据安全指南>亮点解读》
《开发区投资应注意的若干法律问题》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。