基因信息出境，是否既要“安全审查”，又要“安全评估”？

一、背景

按照科技部2023年《人类遗传资源管理条例实施细则》“第四章 行政许可与备案”“第三节 对外提供、开放使用事先报告”的第三十七条规定：将人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用，可能影响我国公众健康、国家安全和社会公共利益的，应当通过科技部组织的安全审查。应当进行安全审查的情形包括：……（三）人数大于500例的外显子组测序、基因组测序信息资源；

按照2024年3月开始实施的《促进和规范数据跨境流动规定》第七条规定：数据处理者向境外提供数据，符合下列条件之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：……（二）关键信息基础设施运营者以外的数据处理者向境外提供重要数据。同时，第六条规定：自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。据此，一些典型自贸区已经按照《网络安全法》《数据安全法》《个人信息保护法》和上述规定，开始制定数据出境管理清单（负面清单）。例如北京自由贸易试验区数据出境管理清单（负面清单）（2024版）对医药行业的重要数据做出规定，（1）涉及 10万人以上的病案、影像、病理、血液检测、基因检测等涉及人民群众生命健康和安全的医疗领域诊疗数据（需要通过数据出境安全评估）；（2）包括利用人类遗传资源材料产生的人类基因、基因组数据，不包括临床数据、影像数据、蛋白质数据和代谢数据（需要通过其他合法合规路径出境，如《人类遗传资源管理条例实施细则》中第四章“行政许可与备案”）。

二、问题

人数大于500例的外显子组测序、基因组测序信息资源的出境或开放使用，是否需要同时满足科技部的“安全审查”与网信部门的“数据出境安全评估”监管？

这个问题的实质可能需要从两方面考虑，一是“安全审查”与“安全评估”在审查内容、法律属性和效力等方面是否实质相同？二是“安全审查”与“安全评估”法律关系和逻辑关系？

（一）“安全审查”与“安全评估”是否实质相同？

1、“安全审查”与“安全评估”均指向“重要数据”

《中华人民共和国数据安全法》第二十一条规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

《促进和规范数据跨境流动规定》第七条规定，对关键信息基础设施运营者以外的数据处理者向境外提供重要数据的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。即 “数据出境安全评估”指向的是《数据安全法》意义上的重要数据。

《人类遗传资源管理条例实施细则》第三十七条规定，对人数大于500例的外显子组测序、基因组测序信息资源，因可能影响我国公众健康、国家安全和社会公共利益的，应当通过科技部组织的安全审查。毫无疑问， “安全审查”指向的也是重要数据。

这类“重要数据”的组成，包括但不限于：

（1）原始测序数据（FASTQ文件），即测序设备直接生成的原始数据文件，包含测序读段及其质量信息。FASTQ文件是基因分析和治疗的基础，通常达到数百GB甚至TB级别；

（2）BAM/CRAM文件，是经过比对后的序列数据，存储测序读段与参考基因组的比对信息，是变异检测和注释的基础；

（3）变异数据，如VCF文件和CNV文件：VCF文件是临床基因组分析的核心输出，包含变异位点、插入缺失、基因型、频率等信息；

（4）注释数据，特别是变异注释文件，通过数据库（如OMIM、ClinVar、gnomAD等）对变异进行功能注释，生成包含变异致病性、人群频率、功能预测等信息等。

此外，该类重要数据还包括Circos图、PPI网络图等各类统计图表、报告文件呈现的分析结果与可视化数据，用于展示变异分布、基因功能富集等分析结果。以及与上述信息资源相关的大量元数据，如样本信息，包括样本来源、测序平台、测序深度等元数据；不同厂商、平台的实验设计信息，如测序策略、数据分析流程等。

2、“安全审查”与“安全评估”之间异同

如果将《人类遗传资源管理条例实施细则》、《促进和规范数据跨境流动规定》中“安全审查”与“安全评估”进行对比，不难发现之间的异同。

通过上述对比，可以发现两种行政监管行为存在明显差异，体现在行政行为主体、行政监管事项、行政监管程序和依据等不同。且上述规范性依据未规定、未披露“安全审查”与“安全评估”的具体事项、标准、评价评估要素等内容，尚无法判断“安全审查”与“安全评估”是否实质相同，但目的指向一致。

（二）“安全审查”与“安全评估”的法律与逻辑关系

根据《数据安全法》第二十一条规定，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

对该条文的正确解读，会对认识“安全审查”与“安全评估”的法律关系和逻辑关系有重要影响。

1、“重要数据”概念的内涵和外延丰富，数据门类、种类繁多，并涉及众多行业和领域，特别是对重要数据的认定、评估、管理等必须依赖不同学科的知识背景。因此，各地区、各部门按照数据分类分级制度，进行分类分级管理，就成为必然和现实选择。

2、“安全审查”和“安全评估”都是数据实现分类分级管理的重要方式和路径。

人数大于500例的外显子组测序、基因组测序信息资源，既是重要数据，又属于重要数据项下细分类别的人类遗传资源信息，应按照数据分类分级制度，由相关领域的主管部门（科技部）进行监管。

3、《数据安全法》作为由全国人民代表大会常务委员会制定的部门法，且兼具公法和私法的一些特点，在调整国家干预社会生活所形成的社会关系层面上，又具有行政法上的意义。《数据安全法》二十一条的规定，在行政法体系中应当视为通过法律授权相关部门行使部分数据监管职权。

因此，笔者认为：从法理上讲，《人类遗传资源管理条例实施细则》第三十七条规定的“人数大于500例的外显子组测序、基因组测序信息资源”的“安全评估”与《促进和规范数据跨境流动规定》第七条规定的 “数据出境安全评估”的行政监管行为，不必然须同时具备。可以通过行政规章（例如《人类遗传资源管理条例实施细则》等）和其他经授权出台的规范性文件（例如，贸易试验区数据出境管理清单（负面清单）等）进行规定，并依照其进行相关数据监管。

4、“安全审查”与“安全评估”兼容中存在的问题

（1）网信部门是否可以对各部门、各地自由贸易试验区制定的相关数据管理的规则、负面清单等本身行使监管权？在其认为各部门、各地出台的规范性文件存在错误、不适当时，能否提出监管意见和建议调整，甚或直接进行调整？

（2）各部门、各地认为相关数据不需要或应免于监管的，网信部门认为需要进行监管的，应如何监管？

（3）一方面是网信部门并没有充分能力和意愿进行基因类数据的重要性识别、出境安全评估。另一方面，科技部虽然有足够能力识别判断基因类数据的重要性，但从电子化数据的角度认识出境的安全风险可能有所不足。这导致了两种看起来类似重复，确又存在差异的监管程序，最终如何安排、统合以充分实现各自功能和价值成为难题。

（4）按照《人类遗传资源管理条例实施细则》对“人数大于500例的外显子组测序、基因组测序信息资源”的安全审查要求，其对于信息资源并无更细粒度的字段要求，实际上是作为一种场景整体出境，因此单一适用科技部的实施细则的监管要求（各地负面清单也默认了此类出境路径），将导致包括原始数据、衍生数据等各类不同类别、级别数据的出境，与网信部门按照《数据出境安全评估办法》要求可能发生实质性冲突，将导致企业存在合规风险。

（5）对“人数大于500例的外显子组测序、基因组测序信息资源”进行“安全审查”，是否按照《数据出境安全评估办法》《促进和规范数据跨境流动规定》的规定进行重要数据的识别以及数据出境安全评估，或保持实质性一致？

《人类遗传资源管理条例实施细则》规定了基因类数据的相对量化的人数标准。这个数字不仅以为着其为刻画数据敏感性和重要性的标尺之一，还意味着将达到一定数量的基因类数据识别为重要数据将成为必然。例如，美国2024年第14117号《关于防止受关注国家获取美国人士批量敏感个人数据和美国政府相关数据的行政令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）和配套《关于防止受关注国家或受限主体访问美国敏感个人数据及政府相关数据的规定》（Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）将人类组学数据的敏感阈值界定为大于100 名美国人（人类基因组数据）和大于1,000 名美国人（其它人类组学数据）。

而这些数字确定本身，体现的是对数据和监管认识的动态变化和认识不断更新的过程，也体现着对重要数据的识别和监管的认知。科技部是否按照、是否应按照《数据出境安全评估办法》《促进和规范数据跨境流动规定》进行重要数据标识及数据出境安全评估？就成为一道必须澄清和抉择的监管难题。

三、结论

综上，从现有法律规定和监管架构看，未对上述问题进行明确规定和给出明确的指引。从企业层面而言，在数据合规上存在不确定性和风险。但随着自贸区负面清单和行业领域重要数据的认知发展，宏观层面上逐步推动建立跨部门的前置程序整合、联动和互认机制，具体相关法律规定和细化指引、支持类文件，实现对典型场景数据出境的整体符合性评价值得期待。

选择困难并不意味着无解，只要遵从客观规律，负责任的制定兼容、互认的出境规则，在便利化和保障安全之间寻求动态平衡仍然是可能的，在数据跨境场景中的个案实现和可度量也将是真实的。

夏巍 原浩，文章所涉观点内容谨代表作者本人

声明：本文来自苏州信息安全法学所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。