杨 涛 上海邦信阳中建中汇律师事务所 律师
邮箱:yangtao@boss-young.com
本文从一个常见的境外医疗器械企业在中国境内的业务模式总结其数据流走向,并结合中国目前个人健康信息出境法律法规的不确定性与公司业务的必然性,提出个人健康数据出境的两个基本点:出境必要性和出可行性,并对此给出一些具体的建议。
一
一些境外医疗器械公司常见的商业模式
一些境外的医疗器械公司在中国境内并没有研发和生产基地,仅仅是在境内设置了贸易公司。但是由于这些公司提供的医疗器械产品都是量身打造的定制化产品,他们通常是将境内患者的个人健康信息传输到境外,[1]然后通过在境外的研发和生产机构进行分析、处理以后制造出个性化的产品,再将这些产品寄回到国内给患者使用。这个过程的信息流如下:
在以上主要步骤中都存在诸多数据合规风险敞口,例如第一步涉及如何保证做到充分告知并获取明示同意等数据收集部分相关的义务履行;第二步涉及如何保证附加在邮件中的广告符合监管要求,特别是作为医疗器械企业,其广告会受到《医疗器械广告审查办法》等规定的规制;第三第四步涉及医疗机构和医疗器械企业在合作过程中的权利义务划分,特别是合作协议中是否反映了数据合规的基本要求,尤其是医疗机构极有可能是关键信息基础设施运营者;第五步是该数据流中风险性最高的健康数据出境,也是本文探讨的部分。
二
个人健康信息出境规则的不确定性
目前个人健康信息出境问题上最大的困境是当下相关法律法规之间的冲突性和不确定性。目前国内关于个人健康信息出境规制的法律法规以及标准主要有两种类型的文件构成,一个是针对普遍意义上数据出境的规定,包括《网络安全法》《个人信息和重要数据出境安全评估办法(征求意见稿)》(该征求意见稿一共有两稿)《信息安全技术 数据出境安全评估指南(征求意见稿)》(该指南目前已经公布两稿);另外一种是主管部门发布的行业类规范性文件,包括:卫计委的《人口健康信息管理办法(试行)》《国家健康医疗大数据标准、安全和服务管理办法(试行)》,以及相关标准,例如《健康信息学 推动个人健康信息跨国流动的数据保护指南》等。[2]此外健康产业还有专门关于药品数据,特别是遗传资源数据出境的相关规定,这部分将另文讨论。
这些规定由于部分还未正式生效,且相互之间有一定的冲突或交叉。例如就健康数据是否能出境来看,《网络安全法》《评估办法》和《管理办法》是支持有条件的出境的,而《人口健康信息管理办法》除了严格的本地化,对此并没有规定;就数据本地化和出境安全评估的义务主体来看,《网络安全法》仅针对关键信息基础设施运营者设置了该等义务,而在《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(征求意见稿)》里均将这种信息保护义务的主体范围扩大到网络运营者。
三
个人健康数据出境涉及的必要性和可行性
尽管面对这些不确定性,公司的业务还是要开展的。问题是如何在不确定的环境中较为合规地开展个人健康信息出境业务。我们认为抓住基原则、适用或参考明确的规则、并保持与主管部门及监管部门的良好沟通是三个必要条件。其中基本原则根据以下的规定有两个基本点,也是本文探讨的内容,即“出境的必要性”和“出境的可行性”,前者从现有的数据出境安全评估流程上综合体现在出境目的评估中,而后者体现在出境安全性评估中,具体如下:
从以上相关文件的规定来看,数据出境的两个基本点:第一、数据出境是有前提的,即“因业务需要”和“确需向境外提供”;第二、数据出境也是有条件的,即“经过数据出境安全评估”,下文将对这两点展开论述。
四
中国现行法律框架下个人健康信息出境的必要性问题
通过以上罗列可以得出,个人健康信息出境的前提是“因业务需要”和“确需向境外提供的”。关于什么是“因业务需要”,目前并没有相关的规定,但是我们可以从《信息安全技术 数据出境安全评估指南(征求意见稿)》对出境目的评估中的“必要性”评估中得到一些参考(指南将必要性评估作为目的评估的三部分之一,但其具体范围较之本文所讨论的“必要性”要小)。根据《信息安全技术 数据出境安全评估指南(征求意见稿)》第二稿5.1(c)的规定,必要性包括“履行合同义务所必需;同一机构、组织内部开展业务所必需;我国政府部门履行公务所必需;履行我国政府与其他国家和地区、国际组织签署的条约、协议所必需;其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益所需要”。
其中“履行合同义务所必需的”是大多数医疗器械企业个人健康数据出境的主要依据。但是《信息安全技术 数据出境安全评估指南(征求意见稿)》并没有对此进一步解释。对此,可以参考国家质量监督检验检疫总局和国家标准委发布的《健康信息学 推动个人健康信息跨国流动的数据保护指南》的两种情形:(1)数据出境对于履行数据主体和公司之间的合同为必须,或者是为了响应数据主体在形成合同前提出的请求而采取的必要措施;(2)传输该数据对于公司与第三方之间达成或执行符合数据主体利益的合同而言是必要的。由此可见,在企业与其客户的服务合同中应该对个人数据出境这方面内容进行明确、合理的规定,为此后数据出境的顺畅性铺平道路,否则可能会给健康数据出境制造没有必要的障碍。
至于“确需向境外提供”如何认定,目前也没有法律依据。即使在《信息安全技术数据出境安全评估指南(征求意见稿)》中对于出境目评估部分也没有包含进去:如果通过出境目的检测,则直接进入出境安全评估,至于是不是“确需出境”并没有进行分析,这当然是利于企业数据出境的(这在将来可能会是对关键信息基础设施运营者和一般的网络运营者的一个义务区分,具体见下文)。但是该要求在将来的执法实践中可能给企业带来困境,例如主管部门或监管部门可能要求企业提供证据以证明为什么该些数据一定要传输到境外进行处理,而不是在境内处理即可。我们理解一般只要能够证明在境内没有其他可供替代的数据处理方式可达到前述“因业务需要”的目的即可。当然这个证明需要考虑的因素很多,例如商业秘密的保护、数据处理成本的控制(境内处理是否会给企业带来不合理成本)、技术条件限制、人力资源、信息安全、国家安全可控性、社会影响等。
当然《个人信息和重要数据出境安全评估办法(征求意见稿)》第二稿对于其第二条的修订(见上表格)似乎为此提供了一种潜在的可能性。根据修改后的规定,网络运营者数据出境不再被描述为“因业务需要,确需向境外提供的”,而是直接使用“网络运营者向境外提供”且不再要求本地化储存。从修改的趋势来看,对于网络运营者的数据出境行为不再设置“必要性”的义务。个人认为这个修改是合适的,因为这一条的主体是“网络运营者”,其信息敏感性低于关键信息基础设施运营者;而关键信息基础设施运营者根据《网络安全法》第三十七条的规定,有数据本地化的义务,在这个前提下数据出境有“必要性”的要求是安全保护的逻辑必然。如此一来,《个人信息和重要数据出境安全评估办法(征求意见稿)》第二稿就与《网络安全法》的规定相互衔接了,也对出境数据安全评估的主体相关义务进行了新的区分,即:
1.数据本地化的要求仅针对关键信息基础设施运营者;
2.数据安全评估义务针对所有的网络运营者(包括关键信息基础设施运营者);
3.关键信息基础设施运营者承担的数据出境安全评估义务范围相对于一般的网络运营者更加宽泛,主要体现在“数据出境的必要性”证明的义务上。
基于以上的分析,我们认为对于现在有实际需要将个人健康信息进行跨境传输的企业,如果不被认定为关键信息基础设施运营者,可期待在将来生效文件颁布后,减去“出境必要性”审核的义务。但是就现阶段而言最佳实践还是在个人健康数据出境前进行“必要性”审核,特别是根据《信息安全技术个人信息安全规范》附录B的规定,大部分个人健康信息属于个人敏感信息,其被监管的力度更大,从出境必要性上来看,主管部门和监管部门也更为关注。
五
中国现行法律框架下个人健康信息出境的可行性问题
必要性问题回答的是“为什么要出境”的问题,而可行性问题回答的便是“怎样才能出境”的问题,本质上就是数据出境安全评估的具体义务。根据《信息安全技术 数据出境安全评估指南(征求意见稿)》,数据出境安全评估两大板块:第一、对拟出境数据本身进行的安全评估;第二、对拟出境数据以外的对数据安全可能会造成影响的因素进行的安全评估。最后基于这两个评估的结果通过横纵叠加的方式进行综合评级,获得数据出境安全评估的最终结果。
就针对拟出境个人健康信息的安全评估而言,其主要包括信息敏感程度、信息数量大小、信息范围大小、技术处理情况。其中敏感程度分为三类:个人敏感信息为主、包含少量个人敏感信息、不包含个人敏感信息。这几个要素结合在一起共同构成一个等级判定表格,具体如下:
就个人健康信息而言,由于其绝大部分都属于个人敏感信息,基本可以认定其影响等级为3。因此要控制风险等级,医疗器械公司只能在“数量”“范围”和“技术处理情况”上采取措施。其中出境数量要尽量保持小于主管部门规定的“大量”,至于“大量”是多少,目前尚未看到具体的规定。根据《个人信息和重要数据出境安全评估办法(征求意见稿)》报请主管部门审批的数字标准,个人信息为50万条。不过这是针对个人信息,不是健康产业主管部门针对个人健康信息出境“大量”的规定。但可以肯定的是针对个人健康信息这种个人敏感信息的规数量限制应该会小于50万,企业应该在这个问题上与主管部门保持沟通。
数量是安全审核的定量要求,从逻辑上自然还需要定性要求,这里体现的就是对“范围”的规定,即关联性要求:出境的个人健康信息必须要与出境目的直接相关,为最小集。至于怎么判断最小集,法律并没有给出具体的规定。我们认为最好的方式即证明如果该等拟出境个人健康信息不出境则无法实现出境目的,换言之即使不出境也不影响数据出境目的实现的或对该目的的实现影响很小则属于最小集之外。由于出境目的是在一开始数据入口处就进行了告知的,其对于数据此后的进一步处理行为起到根本的影响,因此企业应该在一开始就对目的描述有合理的系统化规划,为此后的数据处理提供便利。
即使做好前面两项只也能保证个人健康信息出境的敏感性不增高,如果需要将敏感性降下来,从现有的评估标准来看,采用技术去标识化处理是唯一可以在这部分起到降低敏感性的作用。在实践中,一些境外医疗器械企业会将客户身份信息进行编码,并且境外机构获取数据以后是无法将编码与境内具体个人关联的。境外实体根据具体信息制造出定制化产品后将产品寄回国内,国内公司再将产品编码与具体患者信息结合识别产品与患者之间的关系。当然,去标识的数据可能对患者个人不会带来安全性风险了,但是即便如此,这些信息还是可能被认定为重要数据。以下是重要数据本身安全评估的要点:
就重要数据而言,一旦被识别出来,敏感程度为4,比个人信息最高的敏感度高出1个点,而且不存在分级的情况。换言之,重要数据敏感性可变动弹性很低。相对前述个人健康信息出境来讲,其修正要素中的数量并没有年限限制,任何一次出境均应该从整体考虑数量问题;另外在技术处理部分,其要求的是不可还原的脱敏处理,相对于个人信息下不可识别个体的去标识处理程度更深。实践中一些企业将重要数据中的敏感部分通过覆盖的方式抹去,然后将被覆盖后的文件做成图片格式再进行传输。有一些数据传出方和数据接收方之间会使用同一种数据处理软件,这种情况下,使用该软件做到不可还原的脱敏处理会方便一些。
这里简单补充一下关于重要数据的定位。在中国,最敏感的信息是国家秘密。根据《保守国家秘密法》,国家秘密被分为三级:绝密、机密、秘密。其中绝密是不能出境的,而机密和秘密是附条件出境,有一套专门的审核制度。与国家秘密同样敏感的是情报,《刑法》第一百一十一条“为境外窃取、剌探、收买、非法提供国家秘密、情报罪”就将这两种敏感信息放在一起治罪。
但是在这两种信息之下仍然会有一些信息,这些信息广泛存在于社会各行业中,没有国家秘密或者情报这么敏感,保密要求相对低,但是其对于社会、公民权益、国家安全也具有重要影响,对于这部分信息一直以来没有明确的法律规制。重要数据就在这个背景下产生,根据《个人信息和重要数据出境安全评估办法(征求意见稿)》的规定,其指的是相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。
从比较角度,美国在政府数据管理上也有类似的规定。美国按照不同保护程度将政府数据资源划分为保密数据、敏感数据与公开数据三类,并对其分别采取相应的管理措施。其中,敏感数据介于保密数据与公开数据之间,不属于国家秘密,但一旦公开却有可能造成某种损害或潜在损害,需要限制公开或控制其传播,美国将该类数据定义为“受控非密信息”。
通过以上的分析,重要数据本身是带有较为明显的公共属性的,是国家权力在信息控制领域基于国家秘密和情报的进一步延伸。网信办网络安全协调局负责人在一次答记者问中就重要数据的定位给出了很明确的解释:“重要数据是针对国家而言,而不是针对企业或个人”。这样也就很好理解为什么《个人信息和重要数据出境安全评估办法(征求意见稿)》在对重要数据进行风险性评估的时候使用的是“国家安全、经济发展和社会公共利益受影响等级评判表”的标题。因此在面对重要数据出境安全评估的时候,与主管部门或监管部门的有效沟通显得尤其重要。
完成以上对出境个人健康信息数据本身进行安全评估后,还要对这些信息以外的会影响到数据安全的其他要素进行评估,包括数据发送方安全保障能力评估、接收方安全能力保障评估、接收方所在国家或地区的政治法律环境。通过评估后将这些信息进行组合得出“安全事件可能性等级”。最后在用这些等级与前述个人健康数据本身的风险等级相结合,综合考虑出最终的风险系数。由于篇幅所限,此处不展开叙述。但有一点值得注意的是,关于接收方所在国家或地区的政治法律环境的评估,个人观点可能应该是国家的义务,而不应该是由每一个不同的私主体自行评估。因为评估的对象都是一致的,但是最终的结果可能会因为评估主体不同而有差别。参考欧盟对此建立的“白名单”制度应该较为有益。
以上是个人健康数据出境的可行性问题分析,其实际内容很丰富也较为复杂,此处仅是对其中一部分提供一些基本的见解。实际操作中还需要具体问题具体来考虑。特别是在拟出境个人健康数据之外的其他影响安全评估因素这部分。《信息安全技术 数据出境安全评估指南(征求意见稿)》对该部分也规定得较为宽泛,很多评估事项只有在遇到的时候才会有具体的解决的方式,该部分我们将另文讨论。但是即便如此,还是需要在这些较为宽泛的版本上去操作的。我们联系过卫健委的相关人士,他们明确日常业务确实包括个人健康信息出境审核,换言之这些不确定的规定实际上是“活着”的,建议企业还是不要因为法律的不明确性而忽视对法律的诚意遵守。
结语
境外的医疗器械公司在境内经营,不可避免地会发生将将境内个人数据传输出境的行为。但是目前中国数据出境的相关规定相互冲突且缺乏确定性,这给很多境外医疗器械带来了数据出境方面的困境。
但是即使法律模糊,业务还是需要继续进行的,特别是不太可能轻而易举地将境外的研发和生产机构搬迁至中国。在这样的情况下,企业能做的就是在已有的法律框架下摸索最佳实践,我们认为有三个要素:遵守基本原则、使用能参考的规则、保持与主管和监管机构的有效沟通。原则我们认为应该从个人健康数据出境的两个基本点出发,即必要性和可行性。
关于“必要性”涉及到两个方面的因素:“业务原因”和“确需出境”,前者较好解决,后者目前没有被明确强调,但是在将来的执法中可能成为一个困境。关于“可行性”涉及两个方面的评估,一个是针对拟出境个人健康数据本身的,一个是针对前述数据之外对安全有相应的其他因素。
最终我们认为,虽然法律规定不够明确,一定程度也缺乏实践指引的意义,但这不能为企业不善意遵守背书,特别是主管机关确确实实也在进行数据出境安全评估的工作。2018年华大基因和华山医院基因数据出境被罚的事件虽然是第一起个人健康信息出境相关的处罚案例,但是此类执法以后还会不断增多,企业还是应该秉承善意履行可参照的规定,从必要性和安全性出发,做好个人健康数据出境安全评估工作。
附注:
[1] 本文所称的个人健康信息是根据《信息安全技术个人信息安全规范》附录A和附录B中的“个人健康生理”信息为依据。根据该标准的规定,个人健康生理信息指的是个人因生病治疗等产生的相关记录,如病史、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况产生的相关信息,及体重、身高、肺活量。
[2]《健康信息学推动个人健康信息跨国流动的数据保护指南》是参照ISO 22857:2004 Health informatics--Guidelines on data protection to facilitate trans-border flows of personal health information制作的,但是现在ISO 22857:2004已经被ISO 22857:2013取代。
律师简介
杨涛律师,上海邦信阳中建中汇律师事务所张士海律师团队成员。杨律师2015年毕业于复旦大学法学院,先在一家合规领域业内知名的律师事务所担任律师,后在一家NASDAQ上市的互联网数据中心运营企业担任法律和合规顾问。杨律师专注于数据合规、反腐败、反垄断、广告合规等业务,经验包括为诸多大型跨国企业提供合规咨询与培训、进行内部调查、应对政府调查等。
往期阅读
3•15晚会曝光骚扰电话背后的企业数据合规问题
公司并购的数据保护指南:数据合规的尽职调查
公司并购的数据保护指南:从签约到交割的数据转让操作
律所要聘用数据保护官吗?
数据采集二三事
从数据保护视角解读区块链信息新规 -兼论我国区块链的发展方向与合规建议
长按下图识别二维码关注我们
© 上海邦信阳中建中汇律师事务所
本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。本文系邦信阳中建中汇律师原创文章,转载请完整注明作者信息及出处。
点击“阅读原文”,直达邦信阳中建中汇官网了解更多资讯!