2022年5月21日（周六）晚，上海賽博網絡安全產業創新研究院聯合安永(中國)企業咨詢有限公司主辦「數安周享會·Cyber Talk」第五期直播活動。

本期以“生命科學領域的數據合規要點”為主題，鑒于在生命科學領域，企業開展醫藥和醫療器械生產、研發、銷售相關業務時，通常涉及大量的個人敏感信息和重要數據。如臨床試驗數據、人類遺傳信息等一旦泄露，將帶來難以估量的影響。因此，重點探討了在生命科學領域如何做好企業數據合規？

江律師重點介紹了現行醫療機構的數據管理現狀及存在的問題、結合立法規定對醫療健康數據的合規趨勢進行了研判，并聚焦臨床試驗數據的傳輸、使用以及跨境相關場景問題，提出建議與思考。

01醫療機構的數據管理現狀

過去，行業數據保護和安全涉及到隱私保護、醫療安全、醫患糾紛、傳染病防護等各個方面。然而，伴隨著《數據安全法》《個人信息保護法》以及《信息安全技術健康醫療數據安全指南》（以下簡稱“《指南》”）等法律法規的出臺，健康醫療數據的安全合規管理及利用也就邁入新的階段，數據的共享、利用和傳輸有了相應的規范和約束。

目前，需要合規傳輸審查的醫療數據包括：

病歷資料：電子病歷數據的系統對操作人員進行身份識別，確保操作記錄可查詢、追溯，設置使用、修改權限。

健康醫療大數據：醫療機構因業務需要確需向境外提供的，應按照相關法律法規及有關要求進行安全評估審核。

人類遺傳資源：將人類遺傳資源信息向外方單位提供或者開放使用的，應向國務院科學技術行政部門備案并提交信息備份。

人口健康信息：依法應向社會公開的信息應當及時主動公開；涉及保密信息和個人隱私信息，不得對外提供。

臨床試驗數據：根據監查員、稽查員、倫理委員會或者藥監部門的要求，研究者和臨床試驗機構應當配合并提供所需的與試驗有關的記錄。

由于醫療機構對于醫療健康數據的處理，涉及到政府、醫院、企業、個人等多個主體，目前的醫療數據主要產生并存儲在醫療機構和政府平臺上。實踐中醫療機構往往會與第三方合作開發利用醫療數據。

科研合作的數據流向，一般是從醫院到企業，由企業提供技術、研發力量和設備資源，再由醫院來提供病患的數據以及臨床經驗。在醫療機構的內部，患者的醫療信息原來是由大多數醫療機構自行調閱，管理部門監督監測?，F在機構與機構之間逐漸互聯互通，開發了遠程醫療移動應用的新場景，自然也就擴大了隱私信息的分布場景、增加了信息泄露的渠道。

此外，醫療機構對醫療數據管理的現狀還存在一些問題。例如，2020年的《互聯網網絡安全報告》披露，2020年國內的醫學影像數據，通過網絡出境就達到了接近五百萬次，里面沒有脫敏的醫學影像數據達到四十萬。醫學影像文件在沒有脫敏的情況下包含了大量的患者個人信息和敏感信息，這些數據如果不加限制地大量流失，很可能對我國醫療安全衛生帶來隱患。由于現在醫療機構數據管理缺乏體系化的合規制度，人員部門的權責不夠清晰，分類分級權限的控制沒有完全落地，加上思維和意識上的僵化，導致數據流動的價值受限。所以現在醫療機構的認識存在誤區、管理出現漏洞的情況也時有發生。

當前醫療領域面臨的安全挑戰已經逐漸清晰，相關機構亟需建立適應于多場景的隱私安全管理制度以及技術保障體系，形成具體場景的數據安全管理制度。

02醫療健康數據合規趨勢

《數據安全法》《個人信息保護法》已經頒布實施，在相關部門的規章、政策文件、國家標準陸續征求意見和逐步出臺以后，醫療機構數據安全合規會有怎樣的變化和趨勢？

數據安全合規建設的首要壓力來自違規的法律責任。民事、行政和刑事責任對違規的機構和個人形成嚴厲的約束。尤為引人關注的是《數據安全法》《個人信息保護法》的相關行政處罰條款。暫停業務、停業整頓、吊銷業務許可證、吊銷營業執照、禁止擔任董監高和個人信息保護責任人等處罰措施是十分嚴厲的，對于企業來講會造成嚴重影響，也能起到威懾作用。

未來，隨著《數據安全法》《個人信息保護法》監管體系的日漸完善，作為掌控眾多健康醫療數據的醫療機構來說，如何打造數據安全合規的體系，是應當關注的問題。

醫療機構的數據合規體系建設必然會依托《數據安全法》《個人信息保護法》以及《指南》，還有即將出臺的《出境數據評估指南》來搭建制度體系。

《健康醫療數據安全指南》列舉了八個醫療數據應用的典型場景，囊括了醫療機構內部數據大部分情形。基于數據的敏感程度、等級保護的不同，數據共享的范圍、方式、要求也必然相應不同。因此醫療機構首先有必要對所掌握的數據按照類別進行劃分，并且按照重要、敏感程度對數據進行分級。在這個過程中，醫療機構將會根據所管轄的數據類型、特性、規模及機構的特性（綜合醫院、?？漆t院、門診部）等因素來綜合考慮本機構數據安全管理的總體目標和安全策略，按照一定的顆粒度，對數據進行合理的梳理、歸類和細分，最終確定數據分級的清單。在健康醫療數據分類分級后，確定數據開放共享利用的形式（如安全策略、數據權限管理、訪問控制管理、去標識化、脫敏以及安全監督和應急處置預案等），逐步形成有組織保障、有制度保障以及合規文化的全面體系。

需要注意的是，并不是所有的臨床研究都由《指南》規制?！吨改稀分械摹暗湫蛨鼍皵祿踩币徽轮械摹芭R床研究數據安全”一節，明確了“以藥械上市獲批為目的的臨床試驗的數據安全”不屬于本標準的范疇。當然這些數據仍會受到《數據安全法》《個人信息保護法》以及《藥物臨床試驗質量管理規范》《醫療器械臨床試驗質量管理規范》《臨床試驗數據管理工作技術指南》的約束。

廣東省衛生經濟學會出臺的《廣東省醫療健康數據安全分類分級管理技術規范（征求意見稿）》和廣州市標準化促進會出臺的《廣東省健康醫療數據脫敏技術規范》值得借鑒。

對于數據分類，可以先收集并梳理數據資源，以線分類法為基礎，結合業務屬性或特征將健康醫療數據分為若干數據大類，再將每個大類的數據分為若干層級，從而對數據進行類型化細分。對于數據分級，可以先確定數據分級對象及數據安全受到破壞時造成影響的客體，然后評定對影響客體的影響程度，以之為標準確定數據分級對象的安全等級，從而確定數據級別。

03對藥械臨床試驗數據傳輸的影響

藥械企業尤為關注臨床試驗數據的傳輸、使用以及跨境問題。醫療機構在未來的合規建設過程中，是否會因為要滿足數據跨境合規，而影響不同數據使用場景和業務對于數據的需求？這個問題值得關注。

臨床試驗數據受到三個維度的制約：一是受到《個人信息保護法》的約束；二是在數據收集、存儲、傳輸、使用以及銷毀的全生命周期，受到《人類遺傳資源管理條例》《國家健康醫療大數據標準、安全和服務管理辦法（試行）》《醫療機構病歷管理規定》《藥物臨床試驗質量管理規范》《醫療器械臨床試驗質量管理規范》等行業法規的規制；三是受到《網絡安全法》《數據安全法》中關于重要數據的立法制約。

目前《信息安全技術重要數據識別指南》仍然在征求意見、尚未正式發布，但是，自從2021年6月到現在已經經歷了兩次重大的修改。

《指南》于2021年6月18日首次公開征求意見。2022年1月7日版《指南》征求意見稿較前版發生了重大變化，主要體現在取消了對重要數據的“特征”說明。2022年3月16日該版本經匯總意見后再次發生重大變化，相對客觀地對重要數據識別原則做了較為清晰的描述，主要體現在：（1）更名為《信息安全技術重要數據識別規則》；（2）“重要數據”的定義被修改為：特定領域、特定群體、特定區域或達到一定精度和規模的數據，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。

一旦數據被認定為重要數據，就需要在跨境傳輸前要面臨評估審批的流程。需要注意的是，在不屬于重要數據的情況下，也可能觸發評估審批程序，情形包括：

涉個人信息達到數量要求：

1）處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；

2）累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息。

不以產品上市獲批為目的的臨床試驗數據：

1）控制者因學術研討需要，需向境外提供相應數據的，在進行必要的去標識化處理后，經過數據安全委員會討論審批同意，數量在250條以內的非涉密非重要數據可以提供，否則宜提請相關部門審批；

2）不涉及國家秘密、重要數據或者其他禁止或限制向境外提供的數據，經主體授權同意，并經數據安全委員會討論審批同意，控制者可向境外目的地提供個人健康醫療數據，累計數量宜控制在250條以內，否則宜提請相關部門審批。

《數據出境安全評估辦法（征求意見稿）》規定，有出境需求的數據處理者，必須要事前進行風險自評。風險自評估形成的報告，連同申報書和合同等材料應提交給省級網信部門，必要時由其向國家網信部門申報。國家網信部門會組織相關的專門機構等開展安全評估工作。如果涉及重要數據，則由行業主管部門、國務院相關部門共同評審。最終，評審結果下發后，企業才允許進行數據跨境活動。

數據出境安全評估是一個持續的過程。企業在評估滿兩年有效期、希望繼續開展數據出境業務時，須在有效期屆滿前六十個工作日重新申報評估；企業在情勢發生變化，即數據出境業務的基本特征如目的、方式、范圍、類型、用途、境外保存期限、相關合作方的合同變更時，或境內處理者、境外接收方變更時，需重新申報評估。有關部門發現企業違規行為、企業按要求整改后需要重新申報評估。

歐盟GDPR（《通用數據保護條例》，General Data Protection Regulation）沒有要求企業必須通過監管部門的安全評估，但可以通過簽署標準合同條款來實現脫敏數據的合法跨境傳輸。

相較于歐盟，美國也不需要申請評估，而是通過界定是否屬于“受限制的數據集“這一概念，以及是否滿足一定條件，對臨床試驗數據進行跨境傳輸審查。

以GDPR為例，如果我國后續的配套立法能夠與之接軌，則在保障國家安全的情況下，對國內企業與歐洲企業、高校、醫院或科研機構之間的深度的科研臨床合作、促進數據流動都會具有十分積極的意義。