编者按
2021年6月10日,《中华人民共和国数据安全法》经十三届全国人大常委会第二十九次会议表决通过,将于2021年9月1日起施行;2021年8月20日,《中华人民共和国个人信息保护法》获表决通过,自2021年11月1日起施行。
医疗行业作为关系国计民生的重要领域,在相关法律法规的要求下,面临的数据合规压力日益紧迫。苏州大学附属儿童医院质量管理办公室主任朱晨、上海市锦天城(苏州)律师事务所律师魏灿灿联袂带来“医疗机构数据合规系列”文章,为医疗机构加强数据合规体系建设提供建议与参考。
据公开报道,从2017年5月起至2018年间,国家互联网应急中心共发现国内基因数据跨境传输925余包次,涉及境内358万个IP地址,覆盖境内全部31个省(市、区)。该中心还发现4391家境内单位疑似发生了基因数据出境行为,其中,生物技术企业、高等院校和科研院所、医疗机构分别占比72%、19%、9%。国家计算机网络应急技术处理协调中心(CNCERT/CC)发布《2020年中国互联网网络安全报告》指出,2020年共发现我国未脱敏医学影像数据出境近40万次,占医学影像数据出境总次数的7.9%,其中包含大量患者个人信息。
实践中,医疗机构因学术或临床研究需要与国外科研机构或者跨国公司合作,往往会涉及医疗数据出境的问题,即便是与国内机构合作的生物样本(体液、组织等)外送检验检查、科研教学中的数据分析利用等,也可能因为第三方机构原因涉及数据出境。而医疗数据中包含患者个人信息、健康状况数据、医疗应用数据以及人类遗传资源等,涉及社会公共利益和国家安全。对于数据出境,国家已通过立法进行了规制和指导,值得医疗机构重视。
什么是“数据出境”
在国家网信办2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中,将“数据出境”定义为“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人”。
同年8月30日,全国信标委发布《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称“《数据出境评估指南》”)的3.7条对“数据出境”作出更进一步的解释,数据出境是指“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。”
《数据出境评估指南》还列举了数据出境的几种情形:(1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;(2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
根据上述列举的数据出境的几种情形,值得注意的是,“数据出境”不仅指数据在物理空间的转移(数据转移存储至境外),还包括主动将存储在境内的数据开放路径给境外主体访问查看的行为。
医疗数据的本地化存储要求
从全球范围看,出于国家安全的考虑,各国对于数据出境都采取了不同的措施或政策,其中数据本地化策略尤为常见。数据安全问题已得到我国立法和监管的高度重视,并将其上升为国家战略,因此我国医疗行业相关立法对于医疗数据的监管,也提出了本地化存储的要求,具体如下:
原国家卫计委于2014年5月5日出台的《人口健康信息管理办法(试行)》中第十条第二款规定,“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器”。
国家卫生健康委于2018年7月12日发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》指出,“健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。”
2021年7月1日正式实施的《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)规定,“不将健康医疗数据在境外的服务器中存储,不托管、租赁在境外的服务器;使用云平台的应符合国家相关要求。”
医疗数据的出境监管
《网络安全法》首次对关键信息基础设施运营者在个人信息和重要数据出境设置了限制条件,要求其收集和产生的个人信息和重要数据的跨境传输需进行安全评估。《数据安全法》《个人信息保护法》的颁布,对于个人信息、重要数据出境的规则又进一步进行了明确。
1.患者个人信息
患者个人信息是指患者在诊疗过程中提供或产生的所有信息,包括患者个人属性数据、健康状况数据、医疗应用数据、医疗支付数据等。根据《个人信息保护法》第二十八条对于敏感个人信息的定义,患者个人信息基本纳入敏感个人信息的范畴。
医疗数据中包括海量的患者个人信息,基于《个人信息保护法》相关规定,患者个人信息出境需要遵循以下规定:
(1)应当向个人进行充分告知,并取得单独同意。
告知内容包括境外接收方名称/姓名、联系方式、处理目的和方式、个人信息种类以及个人向境外接收方行使权利的方式和程序等事项。此外,因涉及敏感个人信息,需要额外告知“处理敏感个人信息的必要性以及对个人权益的影响”。
需要说明的是,《个人信息保护法》第十三条第一款[1]规定了处理个人信息可以豁免同意的几种情形;如果个人信息出境场景落入豁免同意的情形,是否还需要个人单独同意,这一问题目前存在争议。笔者倾向认为,在豁免同意情形下,个人信息出境无需取得个人单独同意。
(2)应当进行个人信息保护影响评估,个人信息保护影响评估报告和处理情况应当至少保存三年。
个人信息保护影响评估具体包括:个人信息的处理目的、处理方式是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。
(3)应确认是否已具备法定的必要条件,并确保境外接收方处理活动达到规定的保护标准。
法定必要条件包括:一是通过国家网信部门组织的安全评估(前提是个人信息处理者被认定为关键信息基础设施运营者,或者处理的个人信息达到网信办规定数量时);二是按照国家网信部门的规定,经专业机构进行个人信息保护认证;三是按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
对于安全评估,可以参照国家网信办2019年发布的《个人信息出境安全评估办法(征求意见稿)》,但对于安全评估的具体流程及要求,仍有待立法进一步明确。
2.重要数据
《网络安全法》首次提出了“重要数据”概念,《数据安全法》指出要加强重要数据的保护,但仍未给出重要数据的概念界定方法和认定标准。
全国信息安全标准化技术委员会于2017年8月30日发布《信息安全技术 数据出境安全评估指南(征求意见稿)》,明确将“人口健康”“食品药品”等领域纳入重要数据领域。2019年5月28日,国家网信办公布《数据安全管理办法(征求意见稿)》,对“重要数据”界定为:一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。
《信息安全技术 重要数据识别指南(征求意见稿)》(以下简称《重要数据识别指南》)于2021年9月23日发布,作为《数据安全法》配套的国家标准对“重要数据”这一概念进行规范明确:重要数据是指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。《重要数据识别指南》明确了重要数据的识别流程以及对重要数据的描述方法,指出重要数据的特征与“经济运行”“人口和健康”“自然资源和环境”“科学技术”“安全保护”“应用服务”“政务活动”有关。《重要数据识别指南》对于重要数据特征的多方面描述,为医疗行业重要数据的识别工作提供了参考。
根据《数据安全法》,重要数据的出境规则根据数据处理者的主体不同有所区别:关键信息基础设施运营者在境内运营中收集和产生的重要数据出境安全管理适用《网络安全法》的规定;其他数据处理者在境内运营中收集和产生的重要数据出境安全管理办法,由国家网信办会同国务院有关部门制定。
虽然《数据出境安全评估指南》尚未正式出台,但其详细的出境评估方法亦可作为实践操作的参考和借鉴。因此,医疗机构涉及医疗数据出境可参照《信息安全技术 数据出境安全评估指南(征求意见稿)》对自身情况进行初步判定,以应对可能出现的数据出境安全评估要求。
值得注意的是,《重要数据识别指南》指出重要数据不包括个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。在医疗领域,个人信息和重要数据可能存在范围上的重合,这种情况下,医疗数据出境需要同时遵循个人信息和重要数据出境的要求。
3.人类遗传资源
对于人类遗传资源的定义,《生物安全法》和《人类遗传资源管理条例》作出了一致的规定:“人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料;人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。”
近年来,人类遗传资源在开展国际合作科学研究时的非法外流出境问题凸显。人类遗传资源的外流出境,轻则帮助外企开发药物独占市场,导致国家经济损失;重则危害公众利益和国家安全。2018年,科技部首次在官网公布人类遗传资源行政处罚信息,涉及的违规案件中就包括上海某大型医疗机构。
人类遗传资源原则上不能跨境传输,在国际合作科学研究这种特定情形下可以出境传输。根据《人类遗传资源管理条例》,利用我国人类遗传资源开展国际合作科学研究,应经国务院科学技术行政部门批准;利用我国人类遗传资源开展国际合作科学研究或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的,应符合特定条件,并取得人类遗传资源材料出境证明。
此外,将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,不得危害我国公众健康、国家安全和社会公共利益;可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查,并应当向国务院科学技术行政部门备案并提交信息备份。
法律责任
1.按照《个人信息保护法》的规定,医疗机构未经患者允许,将患者个人信息提供给境外人员或者机构,可能涉及民事责任,如赔礼道歉、消除影响以及赔偿损失;如存在合规瑕疵,对于情节严重的违法行为,将面临五千万以下或上一年度营业额百分之五以下的罚款,直接主管人员可被处以十万元以上一百万元以下的罚款;此外还可能构成侵犯公民个人信息罪。
2.医疗机构违反《数据安全法》的规定,给患者造成损害的,同样应承担民事责任;如违法规定向境外提供境外数据,情节严重的,将面临一百万元以上一千万元以下罚款,直接主管人员可被处以十万元以上一百万元以下罚款。
3.违反相关规定向境外提供我国人类遗传资源或非法携带我国人类遗传资源出境的,根据2021年3月1日生效的《刑法修正案(十一)》第三百三十四条[2]以及2021年4月15日生效的《生物安全法》第七十九条[3],可能面临数额较大的罚款及刑事责任。
笔者建议,医疗机构应重点关注医疗数据出境相关的立法动态,及时响应立法和监管变化,持续做好风险监控。除了加强自身数据安全管理之外,医疗机构对于与临床辅助诊疗、科研数据处理、教学数据利用等数据相关项目进行合作的第三方机构,应签订必要的数据处理使用协议,对于涉及数据出境事宜,明确双方责任,避免合规瑕疵,以降低违法违规的风险。
【参考资料】
[1]《个人信息保护法》 第十三条:符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
[2]《刑法修正案(十一)》第三百三十四条之一:【非法采集人类遗传资源、走私人类遗传资源材料罪】违反国家有关规定,非法采集我国人类遗传资源或者非法运送、邮寄、携带我国人类遗传资源材料出境,危害公众健康或者社会公共利益,情节严重的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
[3] 《生物安全法》第七十九条:违反本法规定,未经批准,采集、保藏我国人类遗传资源或者利用我国人类遗传资源开展国际科学研究合作的,由国务院科学技术主管部门责令停止违法行为,没收违法所得和违法采集、保藏的人类遗传资源,并处五十万元以上五百万元以下的罚款,违法所得在一百万元以上的,并处违法所得五倍以上十倍以下的罚款;情节严重的,对法定代表人、主要负责人、直接负责的主管人员和其他直接责任人员,依法给予处分,五年内禁止从事相应活动。
作者简介
朱晨,苏州大学附属儿童医院质量管理办公室主任,曾履职医院医务、科教、信息、装备、门诊等多个部门,其间从事医疗信息化建设和管理工作十余年。
魏灿灿,上海市锦天城(苏州)律师事务所律师,毕业于吉林大学,硕士学位。具有信息技术和医疗健康行业的从业背景,对相关企业的产品、业务、运营管理有深度了解。常年为互联网、大数据、人工智能、医疗健康、生物医药等领域的企业提供公司治理、股权架构及控制权设计、融资、并购、诉讼仲裁等法律服务;同时致力于研究并为相关机构或企业提供数据安全和个人信息保护方面的数据合规方案。
声明:本文来自HIT专家网news,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
