近年來(lái)，隨著云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈、5G、人工智能等新一代信息通信技術(shù)的快速發(fā)展。醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)進(jìn)入飛速發(fā)展時(shí)期，網(wǎng)絡(luò)信息是跨國(guó)界流動(dòng)的，信息流引領(lǐng)技術(shù)流、資金流、人才流，信息資源日益成為重要生產(chǎn)要素和社會(huì)財(cái)富，信息掌握的多寡成為國(guó)家軟實(shí)力和競(jìng)爭(zhēng)力的重要標(biāo)志。

中國(guó)醫(yī)療產(chǎn)業(yè)已經(jīng)沉淀海量的健康醫(yī)療數(shù)據(jù)，包括病患數(shù)據(jù)、病歷信息、健康醫(yī)療數(shù)據(jù)處理者運(yùn)營(yíng)數(shù)據(jù)以及科研數(shù)據(jù)等多種數(shù)據(jù)類(lèi)型。這些數(shù)據(jù)具有數(shù)據(jù)量大、來(lái)源廣泛、存儲(chǔ)復(fù)雜、實(shí)時(shí)性強(qiáng)等典型特征。對(duì)健康醫(yī)療數(shù)據(jù)使用進(jìn)行有效規(guī)制已經(jīng)成為中國(guó)醫(yī)療行業(yè)現(xiàn)代化推進(jìn)、創(chuàng)新性發(fā)展和國(guó)際化拓展過(guò)程中的必然要求。對(duì)此，醫(yī)療數(shù)據(jù)的跨境流通合規(guī)是醫(yī)療行業(yè)、數(shù)據(jù)行業(yè)中每家企業(yè)都需要認(rèn)真對(duì)待的重要問(wèn)題。

一、數(shù)據(jù)出境的定義

根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》（以下簡(jiǎn)稱(chēng)《辦法》）第二條的規(guī)定，數(shù)據(jù)出境是指“網(wǎng)絡(luò)運(yùn)營(yíng)者將在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息與重要數(shù)據(jù)，提供給位于境外的機(jī)構(gòu)、組織、個(gè)人”。“數(shù)據(jù)出境活動(dòng)”包括兩種情況：

第一種，是數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外。

第二種，是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，但境外的機(jī)構(gòu)、 組織或者個(gè)人可以訪(fǎng)問(wèn)或者調(diào)用。

企業(yè)在判斷公司業(yè)務(wù)行為是否屬于“數(shù)據(jù)出境”的時(shí)候，需要注意以下內(nèi)容：

（1）判斷自己是否是我國(guó)個(gè)人信息保護(hù)法中的“數(shù)據(jù)處理者”；

（2）該等數(shù)據(jù)是否是在“境內(nèi)運(yùn)營(yíng)過(guò)程中”收集和產(chǎn)生的；

（3）企業(yè)的行為是否有涉及“向境外提供”，或被境外“訪(fǎng)問(wèn)或調(diào)用”的情況。

二、“境”的定義

“出境”和“跨境”，不僅是指物理上跨越國(guó)境的行為，更是指從一個(gè)司法管轄區(qū)域到另一個(gè)司法管轄區(qū)域的行為，而其中司法管轄區(qū) 域既包括獨(dú)立主權(quán)的國(guó)家，也包括具有司法獨(dú)立主權(quán)的地區(qū)。比如：

（1）中國(guó)大陸與香港、澳門(mén)、臺(tái)灣地區(qū)分別屬于不同的司法管轄區(qū)域；

（2）在《中華人民共和國(guó)出境入境管理法》第八十九條中有對(duì)“出境” 進(jìn)行定義，根據(jù)規(guī)定，出境是指中國(guó)內(nèi)地前往其他國(guó)家或者地區(qū)，由中國(guó)內(nèi) 地前往香港特別行政區(qū)、澳門(mén)特別行政區(qū)，由中國(guó)大陸前往臺(tái)灣地區(qū)；

（3）當(dāng)企業(yè)將中國(guó)大陸境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息向香港、 澳門(mén)、臺(tái)灣地區(qū)傳輸時(shí)，屬于數(shù)據(jù)出境行為。

三、數(shù)據(jù)出境的原則

根據(jù)《辦法》第三條的規(guī)定，數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)，保障數(shù)據(jù)依法有序自由流動(dòng)。從原則中可以看出，數(shù)據(jù)出境安全評(píng)估是一個(gè)動(dòng)態(tài)的過(guò)程，不僅要在數(shù)據(jù)出境前進(jìn)行必要的風(fēng)險(xiǎn)評(píng)估和審批，還要在數(shù)據(jù)出境后進(jìn)行有效的風(fēng)險(xiǎn)監(jiān)控和管理。同時(shí)，數(shù)據(jù)出境安全評(píng)估是一個(gè)分層的過(guò)程，不僅要由數(shù)據(jù)處理者自主地進(jìn)行風(fēng)險(xiǎn)自評(píng)估和合規(guī)管理，還要由國(guó)家網(wǎng)信部門(mén)組織相關(guān)部門(mén)和機(jī)構(gòu)進(jìn)行安全評(píng)估和監(jiān)督。此外，數(shù)據(jù)出境安全評(píng)估也是一個(gè)平衡的過(guò)程，既要防范數(shù)據(jù)出境可能帶來(lái)的國(guó)家安全、公共利益、個(gè)人權(quán)益等方面的風(fēng)險(xiǎn)，也要促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，支持?jǐn)?shù)字經(jīng)濟(jì)發(fā)展和國(guó)際合作。

四、醫(yī)療數(shù)據(jù)的種類(lèi)及范圍

醫(yī)療數(shù)據(jù)根據(jù)涉密級(jí)別可以分為人類(lèi)遺傳信息、敏感個(gè)人信息、個(gè)人信息、重要數(shù)據(jù)、一般數(shù)據(jù)五個(gè)級(jí)別。其中包括身份屬性數(shù)據(jù)、臨床數(shù)據(jù)、身體狀況數(shù)據(jù)、醫(yī)療記錄數(shù)據(jù)、交易數(shù)據(jù)、資源數(shù)據(jù)、公共數(shù)據(jù)七大類(lèi)。

人類(lèi)遺傳信息：B超、實(shí)驗(yàn)室檢查信息、全基因組測(cè)序等；

敏感個(gè)人信息：用藥記錄、病史、交易記錄、生育信息等；

個(gè)人信息：性別、民族、電話(huà)號(hào)碼等；

重要數(shù)據(jù)：傳染病病例數(shù)量、藥品庫(kù)存等；

一般數(shù)據(jù)：每日就醫(yī)數(shù)量、醫(yī)護(hù)人員數(shù)量等。

五、醫(yī)療數(shù)據(jù)出境的法律基礎(chǔ)

醫(yī)療數(shù)據(jù)作為國(guó)家高度重視的一項(xiàng)涉及個(gè)人信息的重要數(shù)據(jù)，在其進(jìn)行數(shù)據(jù)出境、跨境流通的過(guò)程中要厘清醫(yī)療數(shù)據(jù)的特性，遵循數(shù)據(jù)出境的相關(guān)規(guī)定。為此，國(guó)家通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》）、《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全法》）、《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》）、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條款》構(gòu)建了我國(guó)數(shù)據(jù)安全方面的基本法律框架。并通過(guò)制定《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見(jiàn)稿）》（以下簡(jiǎn)稱(chēng)《標(biāo)準(zhǔn)合同》）、《數(shù)據(jù)出境安全評(píng)估辦法》，構(gòu)建了數(shù)據(jù)出境的基本法律框架。

六、數(shù)據(jù)跨境傳輸機(jī)制

根據(jù)我國(guó)《個(gè)人信息保護(hù)法》關(guān)于個(gè)人信息跨境傳輸?shù)囊?guī)定內(nèi)容，目前包括三種個(gè)人信息跨境傳輸?shù)臋C(jī)制：

（1）數(shù)據(jù)出境安全評(píng)估，屬于法定適用情況，即只要達(dá)到法律規(guī)定的條件，企業(yè)就必須申報(bào)數(shù)據(jù)出境安全評(píng)估。

（2）認(rèn)證機(jī)制，屬于國(guó)家推薦的自愿性的認(rèn)證情況，主要適用在跨國(guó)集團(tuán)與關(guān)聯(lián)公司之間的個(gè)人信息跨境傳輸活動(dòng)。

（3）標(biāo)準(zhǔn)合同條款，考慮到境外接收方所在國(guó)家或地區(qū)在個(gè)人信息保護(hù)立法或執(zhí)法保護(hù)水平上存在的不足，通過(guò)境內(nèi)的個(gè)人信息處理者與境外的接收方簽署標(biāo)準(zhǔn)合同條款，將我國(guó)法律法規(guī)所確立的個(gè)人信息保護(hù)要求轉(zhuǎn)化為對(duì)境外接收方具有法律約束力和可執(zhí)行的合同條款。

七、適用標(biāo)準(zhǔn)合同的條件

根據(jù)《規(guī)定》第四條規(guī)定：使用標(biāo)準(zhǔn)合同的企業(yè)（個(gè)人信息處理者）應(yīng)當(dāng)同時(shí)滿(mǎn)足以下條件：

（1）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；

（2）處理個(gè)人信息不滿(mǎn)100萬(wàn)人的；

（3）自上年1月1日起累計(jì)向境外提供未達(dá)到10萬(wàn)人個(gè)人信息的；

（4）且自上年1月1日起累計(jì)向境外提供未達(dá)到1萬(wàn)人敏感個(gè)人信息的。

故可知，以上四項(xiàng)條件是對(duì)通過(guò)簽訂標(biāo)準(zhǔn)合同進(jìn)行數(shù)據(jù)出鏡的個(gè)人信息處理者身份的限制，只有同時(shí)滿(mǎn)足以上四項(xiàng)條件的個(gè)人信息處理者方可使用標(biāo)準(zhǔn)合同。

八、適用安全評(píng)估的判斷流程

九、醫(yī)療數(shù)據(jù)適用傳輸機(jī)制要點(diǎn)

（1）醫(yī)療數(shù)據(jù)屬于重要數(shù)據(jù)，適用的是安全評(píng)估；

（2）關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。對(duì)于核心數(shù)據(jù)無(wú)法通過(guò)安全評(píng)估的辦法進(jìn)行數(shù)據(jù)出境；

（3）需要對(duì)出境數(shù)據(jù)的規(guī)模、范圍、種類(lèi)和敏感程度進(jìn)行評(píng)估；

（4）境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中國(guó)法律、行政法規(guī)規(guī)定的要求；

（5）在數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中需要約定數(shù)據(jù)安全保護(hù)的責(zé)任義務(wù)；

十、醫(yī)療企業(yè)如何合規(guī)進(jìn)行數(shù)據(jù)出境

第一，企業(yè)需要判斷自身是否符合《辦法》規(guī)定的需進(jìn)行申報(bào)的要求。

第二，企業(yè)可以先對(duì)自己日常經(jīng)營(yíng)過(guò)程中處理的數(shù)據(jù)類(lèi)型、規(guī)模、范圍、業(yè)務(wù)流程進(jìn)行確認(rèn)歸類(lèi)，并梳理出企業(yè)內(nèi)部的數(shù)據(jù)處理流程，以確保企業(yè)對(duì)其合規(guī)的判斷足夠精確。

第三，合同雙方應(yīng)確認(rèn)出境的數(shù)據(jù)類(lèi)型為法律法規(guī)允許傳輸?shù)臄?shù)據(jù)，不屬于中國(guó)法律規(guī)范中不可出境的情形，如涉及人類(lèi)遺傳資源信息，應(yīng)遵守《人類(lèi)遺傳資源管理?xiàng)l例》第三章“利用和對(duì)外提供”的規(guī)范要求。 

第四，合同雙方應(yīng)明確數(shù)據(jù)的出境目的、量級(jí)、方式，以及數(shù)據(jù)出境行為與醫(yī)學(xué)活動(dòng)的必要性和正當(dāng)性，避免對(duì)應(yīng)業(yè)務(wù)活動(dòng)違背公序良俗。

第五，結(jié)合《信息安全技術(shù)—健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725—2020)已有的個(gè)人屬性數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)、公共衛(wèi)生數(shù)據(jù)等數(shù)據(jù)分類(lèi)，要求合同雙方辨別出境數(shù)據(jù)類(lèi)型的風(fēng)險(xiǎn)級(jí)別，并根據(jù)分級(jí)結(jié)果采取差異性的技術(shù)處理措施。

作者簡(jiǎn)介：

侯澤  北京吳少博律師事務(wù)所  合規(guī)部合規(guī)助理

法律碩?，專(zhuān)業(yè)領(lǐng)域?yàn)閯趧?dòng)合規(guī)、數(shù)據(jù)合規(guī)、ESG合規(guī)等，具有多年律所、公司法務(wù)實(shí)務(wù)經(jīng)驗(yàn)，計(jì)算機(jī)法律交叉專(zhuān)業(yè)背景。曾參與?型深度學(xué)習(xí)框架、??駕駛研發(fā)及合規(guī)?作，編寫(xiě)制定多篇企業(yè)內(nèi)部勞動(dòng)合規(guī)?案幫助企業(yè)降低???險(xiǎn)，實(shí)現(xiàn)??零?險(xiǎn)。作為編委會(huì)成員參編完成勞動(dòng)合規(guī)領(lǐng)域著作?部，并在相關(guān)領(lǐng)域公開(kāi)發(fā)表多篇?章。服務(wù)?業(yè)領(lǐng)域?yàn)榻ㄖ?業(yè)、??智能?業(yè)、軟件?業(yè)等。?作語(yǔ)?為中?、英?。

相關(guān)知識(shí)

醫(yī)療數(shù)據(jù)跨境傳輸法律合規(guī)實(shí)務(wù)指引
健康醫(yī)療數(shù)據(jù)安全的實(shí)現(xiàn)新工具《健康醫(yī)療數(shù)據(jù)安全指南》解讀
海關(guān)對(duì)跨境電商交易數(shù)據(jù)做出新規(guī)定
健康醫(yī)療數(shù)據(jù)的法律與合規(guī)問(wèn)題探析（上）
發(fā)展不忘合規(guī)，健康醫(yī)療大數(shù)據(jù)合規(guī)注意事項(xiàng)
跨國(guó)健康數(shù)據(jù)隱私保護(hù)的法理基礎(chǔ)與實(shí)施策略.docx
個(gè)人健康醫(yī)療數(shù)據(jù)隱私安全法律法規(guī)研究
健康醫(yī)療企業(yè)IPO數(shù)據(jù)合規(guī)重點(diǎn)問(wèn)題與應(yīng)對(duì)（上）
個(gè)人健康醫(yī)療數(shù)據(jù)隱私安全法律法規(guī)研究@MedSci
隱私保護(hù)與合規(guī)性，個(gè)人數(shù)據(jù)在存儲(chǔ)和傳輸中的最佳實(shí)踐

網(wǎng)址: 醫(yī)療數(shù)據(jù)跨境傳輸法律合規(guī)實(shí)務(wù)指引 http://www.gysdgmq.cn/newsview1263513.html