生物医药、健康医疗领域涉及海量的生物医药数据、健康医疗数据,包括人类遗传资源信息、基因数据信息等,其出境流动应遵守《人类遗传资源管理条例》、《生物安全法》以及《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规规定。
国家互联网信息办公室2022年7月发布《数据出境安全评估办法》,8月发布《数据出境安全评估申报指南(第一版)》,具体明确对数据出境安全评估及申报的适用、申报流程及材料等。而此前科技部于2022年3月发布《关于更新人类遗传资源管理常见问题解答的通知》、《人类遗传资源管理条例实施细则(征求意见稿)》,通过问答方式解释说明人类遗传资源相关行政审批及备案中的常见问题,细化具体要求。
本文以下探讨梳理人类遗传资源信息监管及数据出境安全审查要求,建议相关企业加强合规管理,切实做好人类遗传资源信息监管相关行政审批备案及数据出境安全评估申报。
人类遗传资源信息[1]是指“利用人类遗传资源材料产生的数据等信息资料”,即是指利用含有人体基因组、基因等遗传物质的器官、组织、细胞等人类遗传资源材料产生的数据等信息资料。《人类遗传资源管理条例实施细则(征求意见稿)》将其进一步定义为,人类遗传资源信息是指利用人类遗传资源材料产生的人类基因、基因组数据等信息资料[2]。以此可理解,除“利用人类遗传资源材料产生的人类基因、基因组数据等信息”之外的数据或信息不属于人类遗传资源。仅收集不含人类遗传资源信息的数据,如仅收集心电图数据,则不在人类遗传资源管理范围[3]。针对向境外提供在境内运营中收集和产生的重要数据,国家网信办《数据出境安全评估办法》[4]规定了数据处理者应当按规定进行安全评估和申报的两类情形:数据处理者将在境内运营中收集和产生的重要数据传输、存储至境外;以及,数据处理者收集和产生的重要数据存储在境内,但境外的机构、组织或者个人可以查询、调取、下载、导出。具体如境外主体在境外对存储于境内的重要数据进行访问、下载或调用;如境内的数据处理者通过传输、存储、上载、递送等动作将其在境内运营中收集和产生的重要数据提供至境外。从《信息安全技术 重要数据识别指南》明确的对重要数据的识别原则及考量因素[5]来看,如从国家安全、经济运行、社会稳定、公共健康和安全等角度出发,基于聚集安全影响原则来识别重要数据,如将反映群体健康生理状况、族群特征、遗传信息等的基础数据的情形作为识别重要数据的考量因素,人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据,即属于一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据[6]。人类遗传资源信息、基因数据等信息,以及健康医疗数据中个人属性数据包含的基因、指纹、声纹、掌纹、虹膜、面部特征等个人生物识别信息,健康状况数据中的病史、家庭病史、遗传咨询数据、采集的基因测序数据、转录产物测序、人体微生物检测数据、蛋白质分析、代谢小分子检测数据等信息[7],与特定自然人相关,可用于识别特定自然人,属于《个人信息保护法》下定义的以电子或者其他方式记录的与已识别或者可识别的自然人有关的个人信息,属于敏感个人信息,即属于一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、医疗数据、金融信息、旅行记录等信息,以及不满十四周岁未成年人的个人信息。尽管个人信息不包括在重要数据范畴内,但基于海量个人信息形成的统计数据、衍生数据[8]有可能属于重要数据,应依评估办法要求出境安全评估和申报。《数据出境安全评估办法》[9]规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的个人信息的,如关键信息基础设施运营者CIIO、处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者,确需向中华人民共和国境外提供个人信息的[10],应按规定组织安全评估。行政处罚决定书国科罚〔2015〕1号[11]、国科罚〔2015〕2号[12],科技部中国人类遗传资源管理办公室对华某医院、华某基因公司开展的“中国女性单相抑郁症的大样本病例对照研究”国际科研合作情况进行调查,查明其存在未经许可将部分人类遗传资源信息从网上传递出境的行为,违反《人类遗传资源管理暂行办法》(国办发〔1998〕36号)第四条规定的“国家对重要遗传家系和特定地区遗传资源实行申报登记制度,发现和持有重要遗传家系和特定地区遗传资源的单位或个人,应及时向有关部门报告。未经许可,任何单位和个人不得擅自采集、收集、买卖、出口、出境或以其他形式对外提供“。同时华某医院、华某基因公司未经许可与某外国大学开展中国人类遗传资源国际合作研究,违反了”我国人类遗传资源的国际合作项目,须由中方合作单位办理报批手续,经人类遗传资源管理办公室审核批准后方可正式签约[13]“的规定。科技部规定境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源[14]。若违反规定的,则处以责令停止违法行为,没收违法所得和违法采集、保藏的人类遗传资源,并处一百万元以上一千万元以下的罚款;违法所得在一百万元以上的,并处违法所得十倍以上二十倍以下的罚款[15]。对于将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构或者开放使用的情形,《人类遗传资源管理条例》规定以不得危害我国公众健康、国家安全和社会公共利益[16]为要件。对于可能影响我国公众健康、国家安全和社会公共利益的情形,如对外提供或者开放使用以下信息[17],如重要遗传家系的人类遗传资源信息、特定地区的人类遗传资源信息、500人以上人群的外显子组测序、基因组测序信息资源,则必须通过国务院科学技术行政部门组织的安全审查。科技部将会同相关部门制定安全审查原则,组织相关领域专家进行安全审查评估,并根据专家安全审查评估意见做出决定。此外,对于确因学术研究需要向境外提供数据的健康医疗数据[18],需要进行去标识化处理,并经数据安全委员会讨论审批通过。将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用,应向科技部事先报告并提交备案[19],并向科技部指定的信息备份机构提交人类遗传资源信息备份[20]。利用已公开的人类遗传资源数据,则不需要信息备份和备案[21]。备案材料中应说明:对外提供或者开放使用我国人类遗传资源基因、基因组信息的目的、用途;向外方单位提供或者开放使用的人类遗传资源基因、基因组信息;信息接收单位信息;对我国人类遗传资源保护可能造成潜在风险的评估。已备案的若发生重大事项变更,则应备案变更。依评估办法数据处理者应在数据出境前进行安全评估和申报。涉及人类遗传资源信息、基因数据的实时出境,如涉及基因数据信息,应将拟出境数据信息类型、合计例数、单位/规格等进行数据备份,并预估整个项目的数据量进行数据备案,备案通过后定期进行数据备份,如果实际备份的数据量预计超过备案数据量时,需要进行备案变更。若发表文章涉及开放使用人类遗传资源信息的,应当在人类遗传资源数据信息出境之前进行信息备份和备案。在国外发表文章或参加国际会议涉及人类遗传资源信息开放使用的[22],应当先登录网上备份平台(https://202.108.211.75),首次登录需要注册登记,提交信息备份并确定备份成功,获得信息备份号后登录网上备案平台(https://grants.most.gov.cn)通过单位法人账号授权的自然人账号填写备案申请,之后通过单位法人账号提交科技部,获得备案号后即可将人类遗传资源信息开放使用。综上,生物医药、健康医疗等相关领域的数据处理者或信息提供者,凡涉及人类遗传资源信息、基因信息等的跨境流动,应注意审查其出境活动是否触发评估办法规定的数据安全评估和申报。无论是研究单位或企业、跨国商业机构,应注意审查日常工作文件传输、电子邮件往来、境内/增外服务器或数据库信息的跨境传输及调用等活动,以及跨国合作项目的合规管理。依《数据出境安全评估办法》规定先行开展数据出境风险自评估,对数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;与境外接收方拟订立相关法律文件等各方面先予以风险评估,及时开展数据出境安全评估和申报,以符合监管要求。【1】2019年7月1日《中华人民共和国人类遗传资源管理条例》,第二条;2021年4月15日《生物安全法》,第八十五条【2】2022年3月22日科技部发布《人类遗传资源管理条例实施细则(征求意见稿)》,第二条【3】2022年3月2日《人类遗传资源管理常见问题解答》https://www.most.gov.cn/tztg/202203/t20220304_179634.html【4】2022年9月1日国家网信办《数据出境安全评估办法》,第二条【6】2022年9月1日国家网信办《数据出境安全评估办法》【9】2022年9月1日国家网信办《数据出境安全评估办法》,第二条
【10】2021年11月1日《个人信息保护法》,第三十八条【11】https://fuwu.most.gov.cn/html/rlycxzcf/20150907/123123230.html【12】https://fuwu.most.gov.cn/html/rlycxzcf/20150907/123123231.html【17】2022年3月21日《人类遗传资源管理条例实施细则(征求意见稿)》,第四十八条、第四十九条
【18】2021年7月1日《健康安全技术 健康医疗数据安全指南》【19】《人类遗传资源管理条例实施细则(征求意见稿)》2022年3月21日科学技术部社会发展科技司发布,第四十七条【20】《人类遗传资源管理条例实施细则(征求意见稿)》2022年3月21日科学技术部社会发展科技司发布,第三十条【21】科技部中国人类遗传资源管理办公室2022年3月2日发布的《人类遗传资源管理常见问题解答》https://www.most.gov.cn/tztg/202203/t20220304_179634.html【22】科技部中国人类遗传资源管理办公室2022年3月2日发布《人类遗传资源管理常见问题解答》https://www.most.gov.cn/tztg/202203/t20220304_179634.html
董红曼,上海德禾翰通律师事务所管理合伙人、律师。
联系方式:hmdong@dehehantong.com
黄丹婷,上海德禾翰通律师事务所律师。
联系方式:dthuang@dehehantong.com
作者:董红曼 黄丹婷
admin 
0条评论