健康醫療行業數據跨境流動合規分析
責編:gltian |2022-09-02 14:36:48【政策背景】
數據作為現代社會的核心發展要素,是科技進步的源頭。近年來,隨著新冠疫情的爆發,以核酸檢測為代表的生命健康產業蓬勃發展,產業數據隨之快速增長。安全是發展的前提,發展是安全的保障,當今我國的健康醫療產業已進入蓬勃發展期,加強數據合規建設是數字時代確保產業持續發展的重中之重。
根據《個人信息保護法》《數據安全法》《網絡安全法》《數據出境安全評估辦法》(以下統稱評估辦法)等法律法規,重要數據出境需經國家網信部門批準,個人信息出境可通過安全評估、個人信息保護認證、簽訂國家網信部門制定的標準合同等3種路徑提供。2022年9月1日《數據出境安全評估辦法》正式實施,是穩步推進《個人信息保護法》《數據安全法》《網絡安全法》等法律落地的有力舉措。
【醫療數據重要性,跨境流動的實際訴求】
眾所周知,健康醫療數據的科研和應用價值非常高,對生命健康影響重大。醫療數據具有廣泛的真實性,屬于隱私、敏感個人信息,隨著數據量爆發增長和各種復雜場景的出現,大規模的數據資源匯聚共享模式將不斷被開啟,比如匯聚我國百萬人以上的全基因組數據,需要特別說明的是,這種大規模的數據匯聚活動已將個人敏感信息轉變成重要數據。可以說,醫療健康數據不僅事關患者生命安全、個人信息權益,還關乎社會公共利益和國家安全。
數據價值的體現關鍵在于數據的使用,數據流動可以有效促進數據的使用,發揮數據效能。健康醫療數據跨境流動有其合理的業務需求,既有科研的現實需求,又有業務全球化的商業合作需求等。跨國的科研合作有助于科研視野的開拓,知識的共享,有利于加強科研能力建設,提升科研水平。對于跨國企業來講,業務全球化有利于優化資源配置,開拓發展空間,增強自主創新能力,引領全球產業發展。
【從安全治理入手,科技向善造福人類】
科技創新是當今社會發展的重要引擎,醫療健康從業者共同的愿景和目標是能夠實現科技造福人類。在當今數字社會的背景下,科技創新的根源是數據,做好數據安全治理工作,有利于提高科技創新的能力。數據安全治理工作的原則是如何提高數據合規管理水平,確保數據安全有序流動,不斷推進數據安全治理與業務發展的融合,堅定科技創新的理念,最終實現造福人類的目標。
建立數據安全治理體系應與管理組織架構、制度建設及數據安全技術保障等方面緊密結合,綜合做好頂層設計。一是在管理組織架構上,設立相關部門責權負責人,為落實監管政策的基本要求和開展數據出境工作奠定良好的合規基礎。二是在制度建設上,數據處理者根據當前法律法規,并結合數據處理者在實際工作中各個數據處理環節的要求,制定符合自身行為規范和法律要求的規章制度。三是在數據安全技術保障上,圍繞數據全生命周期的安全防護要求,不斷提高安全技術保障措施,確保數據在傳輸過程中有與之相匹配的數據安全保障能力。總之設立管理組織架構、制定規章制度、提升數據安全技術能力,構建數據安全治理體系是促進管理制度的落地和技術措施的有效應用,精準實施對數據差異化的管理和保護,在合規的前提下,實現數據價值利用最大化。
【做好數據跨境合規工作要點】
1.清晰適用范圍,明確出境場景
《評估辦法》是數據處理者開展數據跨境活動應遵循的規定,在出境數據涉及重要數據的情況下,安全評估是強制性,在出境數據僅涉及個人信息的情況下,達到一定要求才需進行安全評估。為防止未被明確的出境場景出現數據安全風險,《評估辦法》還提出國家網信部門規定的其他需要申報數據出境安全評估的情形,作為兜底條款。
根據《評估辦法》第二條規定的適用范圍,數據處理者向境外提供在我國境內運營中收集和產生的重要數據和個人信息,包括兩種數據跨境行為。第一類場景是數據處理者將數據轉移至中國境外的地方,是我們通常理解的數據跨越國界的傳輸、轉移行為。第二類場景是數據依舊存儲在境內,數據處理者將境內數據庫的訪問登錄信息或接口提供給境外主體,境外主體可以遠程訪問查看。第一類場景存在容易被忽略的情況,如在境內開展相關的商業合作項目時,將數據傳輸至境外的云環境,此時是適用評估辦法的規定。鑒于健康醫療數據的重要性,數據處理者應避免此情況發生,數據需上傳至云端時,應首選將數據傳輸至境內云環境。第二類場景也存在容易被忽略的情況,如出于科研合作的目的,確需向境外開放基因數據庫平臺的訪問權限,基因數據庫存儲個人信息的規模達到了需要評估的情形,且數據庫中也可能包含重要數據,數據處理者除做好網站安全保障外,也需做好申報數據出境安全評估的相關準備。
2.優先做好自評估工作
做好自評估工作,是《評估辦法》中數據處理者開展數據出境安全評估的第一步。根據《評估辦法》第五條的評估內容,自評估工作可以歸納為三方面:數據出境活動評估、數據安全保障能力評估、法律文件評估。
數據出境活動評估,即是對數據出境可能對國家安全、公共利益、個人或組織合法權益帶來的風險評估。闡述數據處理者和境外接收方的基本情況、數據出境目的、范圍、方式等的合法性、正當性。必要性,出境數據的數量、范圍、種類、敏感程度等。
數據安全保障能力評估是指境外接收方,需和境內數據處理者一樣具備一定的數據安全保障能力。數據跨境傳輸時,必然需要經過數據接收方所在國家境內,再到接收方。這意味著需要關注數據接收方所在國家及接收方,兩方的數據保護水平。評估應關注接收方所在國家或地區在數據合規方面的法律法規健全度及網絡安全的重視程度。數據接收方是否具備數據識別、防護、監測、審計等保護能力。在應對數據保護負面事件發生時,是否有相關經驗和預案。在很多健康醫療數據安全事件發生時,往往可以看到由于缺乏預警機制或者重視程度不高,導致束手無策。
法律文件是指與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等,與境外接收方簽訂的合同應至少包括《評估辦法》中第九條全部內容,在數據安全保護責任義務方面,應保障個人維護個人信息權益的渠道及承諾保證出境數據安全的責任義務。
數據的流動可能是在數據采集、使用、共享、存儲等不同階段發生。數據處理者與合作方、監管方、客戶等不同維度交流涉及的書面內容,如涉及數據跨境,需闡述清晰,明確目的、范圍、方式等。包括但不限于開展檢查檢測時的知情同意書告知、互聯網業務的隱私政策告知、跨境機構合作中的合作協議告知、跨國企業的員工協議告知等,履行“告知+同意”的要求。
總體上看,數據的傳輸關系業務流程的每個環節。如果涉及到跨境安全評估的,在設計業務流程時應提前開展安全自評估,避免由于跨境中的不合規事項影響到業務的正常運轉。另外,在健康醫療領域,根據《生物安全法》相關規定,將我國人類遺傳資源信息向境外組織、個人及其設立或者實際控制的機構提供或者開放使用的,應當向國務院科學技術主管部門事先報告并提交信息備份。可能影響我國公眾健康、國家安全和社會公共利益的,應當通過國務院科學技術行政部門組織的安全審查。這與《評估辦法》不相沖突,兩者各自側重不同,均是協同推進國家安全總體治理的有力保障。
來源:網絡安全應急技術國家工程實驗室