医疗大数据跨境传输合规方案解读
1. 法律法规概述
- 《网络安全法》:要求数据处理活动影响或可能影响国家安全的,应当进行网络安全审查。
- 《数据安全法》:将于2021年9月1日起施行,重点建设数据分类分级保护、数据安全风险预警机制、数据安全应急处置机制、数据国家安全审查机制等。
- 《个人信息和重要数据出境安全评估办法(征求意见稿)》:明确了数据出境的定义,即网络运营者将在境内运营中收集和产生的个人信息和重要数据提供给境外机构、组织或个人。
2. 医疗数据跨境传输的特殊规定
- 健康医疗大数据:原则上应在境内存储,确需跨境提供时需进行安全评估。
- 人口健康信息:必须严格遵循本地化处理要求,不得存储于境外服务器。
- 人类遗传资源:在特定条件下可以跨境传输,需符合特定条件并取得相应证明。
- 数据跨境传输场景:涉及健康医疗数据的应用场景,应进行必要的去标识化处理,且数量在250条以内的非涉密非重要数据可以提供。
3. 合规义务
- 明确主体:包括信息主体、数据收集、使用主体、跨境传输的发送方、接收方及第三方。
- 明确医疗数据内容与属性:包括数据存储地、数据出境计划方案、数据接收方的安全保护措施等。
- 取得同意:个人信息主体明确授权同意。
- 通过评估:自行组织对数据出境的安全影响进行评估,并配合主管部门评估。
4. 其他合规保障机制
- 重要数据处理活动风险自评机制:定期开展风险评估工作,及时开展合规自查和整改。
- 网络安全等级保护机制:根据《网络安全法》进行网络安全等级保护。
- 关键信息基础设施(CII)安全保护机制:基于《网络安全法》设置的保护要求体系。
总结
医疗大数据跨境传输需严格遵守相关法律法规,确保数据安全合规。医药行业从业者应提前构建合规底线清单,主动把握监管思路,以应对数据安全挑战。