数据作为现代社会的核心发展要素,是科技进步的源头。近年来,随着新冠疫情的爆发,以核酸检测为代表的生命健康产业蓬勃发展,产业数据随之快速增长。安全是发展的前提,发展是安全的保障,当今我国的健康医疗产业已进入蓬勃发展期,加强数据合规建设是数字时代确保产业持续发展的重中之重。
根据《个人信息保护法》《数据安全法》《网络安全法》《数据出境安全评估办法》(以下统称评估办法)等法律法规,重要数据出境需经国家网信部门批准,个人信息出境可通过安全评估、个人信息保护认证、签订国家网信部门制定的标准合同等3种路径提供。2022年9月1日《数据出境安全评估办法》正式实施,是稳步推进《个人信息保护法》《数据安全法》《网络安全法》等法律落地的有力举措。
众所周知,健康医疗数据的科研和应用价值非常高,对生命健康影响重大。医疗数据具有广泛的真实性,属于隐私、敏感个人信息,随着数据量爆发增长和各种复杂场景的出现,大规模的数据资源汇聚共享模式将不断被开启,比如汇聚我国百万人以上的全基因组数据,需要特别说明的是,这种大规模的数据汇聚活动已将个人敏感信息转变成重要数据。可以说,医疗健康数据不仅事关患者生命安全、个人信息权益,还关乎社会公共利益和国家安全。
数据价值的体现关键在于数据的使用,数据流动可以有效促进数据的使用,发挥数据效能。健康医疗数据跨境流动有其合理的业务需求,既有科研的现实需求,又有业务全球化的商业合作需求等。跨国的科研合作有助于科研视野的开拓,知识的共享,有利于加强科研能力建设,提升科研水平。对于跨国企业来讲,业务全球化有利于优化资源配置,开拓发展空间,增强自主创新能力,引领全球产业发展。
科技创新是当今社会发展的重要引擎,医疗健康从业者共同的愿景和目标是能够实现科技造福人类。在当今数字社会的背景下,科技创新的根源是数据,做好数据安全治理工作,有利于提高科技创新的能力。数据安全治理工作的原则是如何提高数据合规管理水平,确保数据安全有序流动,不断推进数据安全治理与业务发展的融合,坚定科技创新的理念,最终实现造福人类的目标。
建立数据安全治理体系应与管理组织架构、制度建设及数据安全技术保障等方面紧密结合,综合做好顶层设计。一是在管理组织架构上,设立相关部门责权负责人,为落实监管政策的基本要求和开展数据出境工作奠定良好的合规基础。二是在制度建设上,数据处理者根据当前法律法规,并结合数据处理者在实际工作中各个数据处理环节的要求,制定符合自身行为规范和法律要求的规章制度。三是在数据安全技术保障上,围绕数据全生命周期的安全防护要求,不断提高安全技术保障措施,确保数据在传输过程中有与之相匹配的数据安全保障能力。总之设立管理组织架构、制定规章制度、提升数据安全技术能力,构建数据安全治理体系是促进管理制度的落地和技术措施的有效应用,精准实施对数据差异化的管理和保护,在合规的前提下,实现数据价值利用最大化。
《评估办法》是数据处理者开展数据跨境活动应遵循的规定,在出境数据涉及重要数据的情况下,安全评估是强制性,在出境数据仅涉及个人信息的情况下,达到一定要求才需进行安全评估。为防止未被明确的出境场景出现数据安全风险,《评估办法》还提出国家网信部门规定的其他需要申报数据出境安全评估的情形,作为兜底条款。
根据《评估办法》第二条规定的适用范围,数据处理者向境外提供在我国境内运营中收集和产生的重要数据和个人信息,包括两种数据跨境行为。第一类场景是数据处理者将数据转移至中国境外的地方,是我们通常理解的数据跨越国界的传输、转移行为。第二类场景是数据依旧存储在境内,数据处理者将境内数据库的访问登录信息或接口提供给境外主体,境外主体可以远程访问查看。第一类场景存在容易被忽略的情况,如在境内开展相关的商业合作项目时,将数据传输至境外的云环境,此时是适用评估办法的规定。鉴于健康医疗数据的重要性,数据处理者应避免此情况发生,数据需上传至云端时,应首选将数据传输至境内云环境。第二类场景也存在容易被忽略的情况,如出于科研合作的目的,确需向境外开放基因数据库平台的访问权限,基因数据库存储个人信息的规模达到了需要评估的情形,且数据库中也可能包含重要数据,数据处理者除做好网站安全保障外,也需做好申报数据出境安全评估的相关准备。
做好自评估工作,是《评估办法》中数据处理者开展数据出境安全评估的第一步。根据《评估办法》第五条的评估内容,自评估工作可以归纳为三方面:数据出境活动评估、数据安全保障能力评估、法律文件评估。
数据出境活动评估,即是对数据出境可能对国家安全、公共利益、个人或组织合法权益带来的风险评估。阐述数据处理者和境外接收方的基本情况、数据出境目的、范围、方式等的合法性、正当性。必要性,出境数据的数量、范围、种类、敏感程度等。
数据安全保障能力评估是指境外接收方,需和境内数据处理者一样具备一定的数据安全保障能力。数据跨境传输时,必然需要经过数据接收方所在国家境内,再到接收方。这意味着需要关注数据接收方所在国家及接收方,两方的数据保护水平。评估应关注接收方所在国家或地区在数据合规方面的法律法规健全度及网络安全的重视程度。数据接收方是否具备数据识别、防护、监测、审计等保护能力。在应对数据保护负面事件发生时,是否有相关经验和预案。在很多健康医疗数据安全事件发生时,往往可以看到由于缺乏预警机制或者重视程度不高,导致束手无策。
法律文件是指与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等,与境外接收方签订的合同应至少包括《评估办法》中第九条全部内容,在数据安全保护责任义务方面,应保障个人维护个人信息权益的渠道及承诺保证出境数据安全的责任义务。
数据的流动可能是在数据采集、使用、共享、存储等不同阶段发生。数据处理者与合作方、监管方、客户等不同维度交流涉及的书面内容,如涉及数据跨境,需阐述清晰,明确目的、范围、方式等。包括但不限于开展检查检测时的知情同意书告知、互联网业务的隐私政策告知、跨境机构合作中的合作协议告知、跨国企业的员工协议告知等,履行“告知+同意”的要求。
总体上看,数据的传输关系业务流程的每个环节。如果涉及到跨境安全评估的,在设计业务流程时应提前开展安全自评估,避免由于跨境中的不合规事项影响到业务的正常运转。另外,在健康医疗领域,根据《生物安全法》相关规定,将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术主管部门事先报告并提交信息备份。可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。这与《评估办法》不相冲突,两者各自侧重不同,均是协同推进国家安全总体治理的有力保障。