中国健康医疗行业企业数据出境实用指南及方案介绍
AI智能总结
企业数中据国出健境康实医用疗行指业南 AMAZON 及方案介绍 2023年04月 声明02 引言03 摘要05 正文07 第一章数据出境07 一、数据从中国出境的几条路径07 二、需进行数据出境风险评估的主体范围及申报程序简介08 三、相关核心术语解释10 四、数据出境企业的合规要点11 五、违法数据出境的行为处罚措施及依据12 六、向境外监管机构、境外司法机构或境外执法机构提供数据13 第二章健康医疗大数据出境15 一、健康医疗大数据15 二、健康医疗大数据出境的可行性15 三、健康医疗大数据出境及相关合规要点16 第三章遗传数据出境22 一、遗传数据出境的可行性22 二、遗传数据出境需要履行的程序22 三、遗传数据出境的合规要求24 第四章药企经营数据出境26 一、药企经营数据出境的可行性26 二、药企运营数据出境的合规要求27 三、与药企数据相关的企业上市要求28 第五章健康穿戴设备数据出境30 一、健康穿戴设备数据30 二、健康穿戴设备数据出境的可行性30 三、健康穿戴设备产生的个人信息出境的合规要求31 第六章亚马逊云科技助力健康医疗行业33 一、亚马逊云科技服务的责任共担模型33 二、广泛且严格的安全性与合规性34 三、全球领先的安全理念和全方位的安全服务34 四、植根中国的配套技术解决方案35 声明 本《中国健康医疗行业企业数据出境实用指南及方案介绍》(“本指南”)由上海国瓴律师事务所和AmazonWebServices,Inc.或其关联方(“亚马逊云科技”)分别撰写,双方就各自撰写的内容分别、独立享有相关知识产权。其中上海国瓴律师事务所对其撰写的部分(包括关于本指南国瓴部分的声明、国瓴引言、摘要、第一章“数据出境”、第二章“健康医疗大数据出境”、第三章“遗传数据出境”、第四章“药企经营数据出境”和第五章“健康穿戴设备数据出境”)单独享有知识产权;亚马逊云科技对其撰写的部分(包括关于本指南亚马逊云科技部分的声明、亚马逊云科技引言以及第六章“亚马逊云科技助力健康医疗行业”)单独享有知识产权。 关于本指南亚马逊云科技部分的声明: 本部分内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践,该等信息可能变化且我 们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断,该等内容都是“依现状”提供,不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技、北京光环新网科技股份有限公司(“光环新网”)、宁夏西云数据科技有限公司(“西云数据”)、或其各自的关联方、提供方或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技、光环新网、西云数据对其各自的客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技、光环新网、西云数据和其各自的客户之间任何协议的组成部分,也不构成对任何协议的修改。 关于本指南国瓴部分的声明: 本指南中上海国瓴律师事务所拟写部分(以下简称:“本指南国瓴部分”,包括声明、引言、摘要中涉及 国瓴部分的内容及本指南第一章至第五章)所涉内容的依据为本指南封面页所示日期以前已经颁布并生效的中华人民共和国法律、法规、规范性文件、国家标准等,借鉴了尚未生效的法律、法规、规范性文件的内容及其中体现的立法趋势,并结合了上海国瓴律师事务所在本指南封面页所示日期以前的有关服务经验及实践经验,该等信息可能变化且我们不会另行通知。 本指南国瓴部分所含内容为一般性信息,上海国瓴律师事务所及其律师并不因此构成提供任何法律建议、其他专业性建议或服务,在做出任何影响您的法律决策、商业决策或其他决策之前,您应咨询合格的专业顾问。本指南没有为上海国瓴律师事务所及其律师、员工、合作方、关联方、代理方创设任何保证、陈述、合同性承诺、条件或者担保,任何上海国瓴律师事务所或其律师、员工、合作方、关联方、代理方均不对任何方因使用本指南而直接或间接导致的任何损失或损害承担任何责任。上海国瓴律师事务所及其合作方、关联方均为具有独立法律地位的法律实体,相互之间不因第三方而承担任何责任或约束对方。 引言 国瓴引言 根据《健康产业统计分类(2019)》,健康医疗行业(HealthCareLifeScience,以下简称:“HCLS”)指以医疗卫生和生物技术、生命科学为基础,以维护、改善和促进人民群众健康为目的,为社会公众提供与健康直接或密切相关的产品(货物和服务)的生产活动集合。 健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数 据。随着健康医疗数据应用、“互联网+医疗健康”和智慧医疗的蓬勃发展,健康医疗数据跨境交互的机会越来越多、场景也越来越丰富,与之相对的是对于数据出境行为的监管力度不断加强,健康医疗数据出境给企业带来的风险和挑战也越来越大。 国家计算机网络应急技术处理协调中心(CNCERT/CC)发布的《2020年中国互联网网络安全报告》在 “2020年我国网络生物安全态势专题分析”部分提到:在2020年,共发现国内基因数据通过网络出境717万余次,涉及我国境内近2.4万个IP地址,覆盖境内31个省(直辖市、自治区),我国基因数据流向境外170个国家和地区,涉及境外IP地址近4.7万个。2020年我国新冠肺炎病毒数据出境次数达99万余次,占生物数据出境总次数的13.8%。在2020年,发现境内医学影像数据通过网络出境497万余次,我国医学影像数据流向境外128个国家和地区,涉及境外IP地址近4.7万个,涉及境内3347个IP地址。2020年我国未脱敏医学影像数据出境近40万次,占出境总次数的7.9%。 本指南旨在解读中国健康医疗企业数据出境相关的法律、法规、标准及规范性文件,分析中国健康医 疗企业所面临的问题和挑战,并提出企业应当关注的出境路径、合规要点及法律+管理+技术的解决方案,旨在为中国健康医疗企业出海尽一份绵薄之力。 亚马逊云科技引言 随着人类步入由互联网、云技术催生的大数据时代,大到国家决策,小到日常生活都在走向数字化,在健康医疗领域,中国庞大的人口和全民医疗体系更是提供了丰富的数据来源。 健康医疗大数据是国家重要的基础性战略资源。健康医疗大数据蓬勃发展,带来健康医疗模式的深刻 变化,有利于激发深化医药卫生体制改革的动力和活力,提升健康医疗服务效率和质量,扩大资源供给,不断满足人民群众多层次、多样化的健康需求,有利于培育新的业态和经济增长点。《“健康中国2030”规划纲要》要求加强健康医疗大数据应用体系建设,推进基于区域人口健康信息平台的健康医疗大数据共享开放、深度挖掘和广泛应用。为加强健康医疗大数据服务管理,促进“互联网+健康医疗”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,进一步强化对健康医疗大数据的政策指引,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,国家相关部门也积极研究、制定、发布各项规范、办法 对健康医疗大数据管理使用加以引导和规范。 2015年,国务院发布《关于印发促进大数据发展行动纲要的通知》提出在健康医疗等领域开展大数据应用示范,鼓励和规范有关单位开展创新应用研究。2016年,国务院发布《关于促进和规范健康医疗大数据应用发展的指导意见》,提出健康医疗大数据是国家基础性战略资源,其发展将带来健康医疗模式的深刻变化,不断满足人民群众多层次、多样化的健康需求,并制定了发展目标、主要任务和组织框架。并明确指出:“到2020年,健康医疗大数据相关政策法规、安全防护、应用标准体系不断完善,适应国情的健康医疗大数据应用发展模式基本建立”。2018年,国家卫生健康委员会发布《国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》,不仅首次对“健康医疗大数据”做出了官方定义:“在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”并且提出“我国公民在中华人民共和国境内所产生的健康和医疗数据,国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用”。今年5月,国务院办公厅印发的《“十四五”国民健康规划》提出要全面推进健康中国建设,促进全民健康信息联通应用,推广应用人工智能、大数据、第五代移动通信(5G)、区块链、物联网等新兴信息技术,实现智能医疗服务、个人健康实时监测与评估、疾病预警、慢性病筛查等。 通过将强大的数据资源与新技术相结合来解决现有的诸多挑战,不仅能提供更好的循证决策,还可以 为改变现有医学模式提供指引。从尚未出生的胎儿到新生儿检查、定期体检,直至临终关怀,人生中所有的医疗健康数据都被存储记录下来,为医生的诊断提供参考。同时,大数据让覆盖全生命周期的健康服务成为可能。健康大数据分析可以为医生做出精准的医疗方案提供重要的科技支撑。基于健康医疗大数据的技术,将实现个性化的治疗、提高疗效、降低副作用、降低费用。数据流动将促进数据使用,从而更好的发挥数据价值。健康医疗数据依法合规跨境流动,既可以满足科研合作的需要,又能满足全球化的商业合作需求。国际科研合作,有助于知识的共享,开拓研究视野,促进国内学科能力建设,提升科研水平。对于跨国药企来讲,业务全球化有利于优化资源配置,实现正确的商业布局,开拓发展空间,增强创新能力,推动产业发展。数据共用共存,单个数据价值或创造价值有限,聚合后的大量数据处理才能够带来巨大价值,所以数据的开发、许可、转让权能的行使非常重要。 摘要 个人信息保护法、网络安全法、数据安全法 适用范围详见本指南第一章 通过国家安网全信评部估门组织的 《数据出境安全评估办法》 《网络安全法》第37条 《数据出境安全评估 申报指南(第一版)》 集团内部、关联公司之间跨 第三方保机护构认个证人信息 境传输;《个人信息保护法》 第三条第二款。 南⸺个人信息跨境处理活 《网络安全标准实践指 动安全认证规范》;《个人信 息安全影响评估指南》 未达出境安全评估标准的个 使用标准合同 《 个人信息出境标准合同规 人数据出境。 《个人信息安全影响 定(征求意见稿)》; 评估指南》 与其他行业企业一样,健康医疗行业数据处理者在重要数据出境时需要通过国家网信部门组织的安全评估,如果出境数据涉及个人信息,应当根据出境个人信息的数量和敏感程度等通过国家网信部门组织的安全评估、第三方机构个人信息保护认证或使用标准合同出境,相关法律体系和数据出境路径可参考下图 在健康医疗行业企业数据出境的过程中,国瓴的数据合规团队与技术专家可以为客户提供包括法律+技术+管理的一站式解决服务,将协助需要申报数据出境安全评估的处理者完成包括但不限于:初步尽职调查 (法律+管理+技术),合规整改及差距分析(法律+管理+技术),盘点数据资产及信息系统资产,梳理数据链路,出具数据出境相关法律意见和技术意见,协助拟写数据出境风险自评估报告,协助申报、反馈及与网信部门沟通,协助应对监管问询和调查等工作。在项目整改过程中,国瓴的数据合规团队与技术专家可以协助客户建立完善的组织保障体系,协助客户搭建数据合规、个人信息保护及隐私保护、网络安全保障相关管理体系、管理制度及控制流程,协助客户建立个人信息保护影响评估机制,起草或审核数据出境处理协议、隐私政策等法律文本,提供数据保护培训、APP治理等服务。在后续落地的第三方机构个人信息保护认证出境场景及使用标准合同出境场景中,国瓴的数据合规团队与技术专家亦可为客户提供包括法律+技术+管理的一站式解决服务。 从企业数据合规体系搭建、数据保护培训到跨境数据合规甚至数据合规刑事风险防范、企业上市及投融资中的数据合规尽职调查,国瓴数据合规团队可以为各类数据合规业务提供专业的服务。 根据《信息安全技术健康医疗数据安全指南》(GB/T39725-2020)及相关法律、法规、规范性文件的规定,不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,经个人信息主体授权同意,并经数据安全委员会讨论审批同意,健康医疗大数据的控制者可向境外目的地提供个人健康医疗数据,累计
