日前,据北京市互联网信息办公室(“北京网信办”)消息,首都医科大学附属北京友谊医院(“北京友谊医院”)与荷兰阿姆斯特丹大学医学中心合作研究项目通过了数据出境安全评估,成为全国首个成功案例。中国国际航空股份有限公司(“国航”)项目紧随其后成为第二个获批的数据出境安全评估案例。
据了解,北京友谊医院数据出境安全评估成功案例涉及北京友谊医院普外中心和荷兰阿姆斯特丹大学医学中心普通外科作为全球牵头中心发起的国际多中心临床研究项目。早在2018年7月,北京友谊医院普外中心即受邀参与了国际高水平结直肠领域研究的第三阶段项目“中低位直肠癌经肛全直肠系膜切除与腹腔镜全直肠系膜切除术多中心随机临床对照研究(COLOR III)”。截至2022年4月,北京友谊医院成为COLOR III研究中全球首个突破百例入组病例的研究中心,目前已经入组研究170例,是COLOR III研究全球入组数最多的研究中心。与此同时,北京友谊医院普外中心开始筹备与荷兰阿姆斯特丹医学中心共同牵头发起高质量全球结直肠领域研究的第四个研究项目:“腹腔镜右半结肠癌切除术后腹腔内吻合对比腹腔外吻合前瞻性、多中心、随机对照临床研究(COLOR IV)”,COLOR IV研究预计将持续至2030年。项目筹备阶段,北京友谊医院即启动了该项目的数据出境审批申报工作。
该全国首例数据出境安全评估成功案例对后续数据出境安全评估申报具有较大指导意义,本文结合现有公开信息、法规文件,以及我们协助数据出境安全评估工作的项目经验对北京友谊医院案例作概要评析。
一、数据出境安全评估的触发门槛
根据《数据出境安全评估办法》(“《办法》”)第四条,达到下列门槛之一的数据出境情形,数据处理者应当自评估后通过省级网信部门向国家互联网信息办公室(“国家网信办”)申报数据出境安全评估:1)任何数据处理者向境外提供重要数据;2)关键信息基础设施运营者、处理100万人以上个人信息的数据处理者向境外提供个人信息;3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;4)国家网信办另行规定的其他情形。
(一)关于重要数据
医院所处理的医疗健康数据,不但属于病患个体的敏感个人信息,还会涉及国家人类遗传资源和生物安全,因此这类群体数据集合构成重要数据的可能性比较高。然而,目前国家层面统一的重要数据识别指南/规则迟迟未能落地,行业、地方性的重要数据目录亦待出台,以致于在实践中重要数据的识别存在诸多困扰。
历经修订的《重要数据识别指南(征求意见稿)》/《重要数据识别规则(征求意见稿)》,以及《网络数据安全管理条例(征求意见稿)》普遍将群体医疗健康数据,尤其是达到规定规模或者精度的遗传信息/基因数据列入重要数据的范畴。然而,遗传信息/基因数据到底在多大规模、精度上构成重要数据一直没有明确的判定。对此,推荐性国家标准《基因识别数据安全要求》曾提出将一万人份以上基因数据作为重要数据保护;此外,《人类遗传资源管理条例实施细则(征求意见稿)》也拟将以下重要类型的人类遗传资源信息的对外提供或开放使用纳入安全审查的范畴:(1)重要遗传家系的人类遗传资源信息;(2)特定地区的人类遗传资源信息;(3)500 人以上人群的外显子组测序、基因组测序信息资源;(4)可能影响我国公众健康、国家安全和社会公共利益的其他信息。上述两个文件,尽管一部是非强制性国家标准,另一部尚未正式落地,但它们比较明确得提出了作为重要数据的遗传信息/基因数据的大致标准,一定程度上反映了监管的方向,对于当下重要数据自我识别和评估具有参考意义。
根据公开信息,北京友谊医院数据出境项目若仅涉及百余例入组病例的医疗健康数据和遗传信息/基因数据的话,在不了解具体项目合作背景的情况下,似乎相关数据构成重要数据的可能性相对较小。但无论如何,医疗类数据处理者不宜单纯地认为重要数据相关规则和目录未完全落地,而忽视对自身所处理数据的性质的判定。
(二)关于关键信息基础设施运营者、处理100万人以上个人信息的数据处理者向境外提供个人信息
根据《办法》,如果数据处理者构成关键信息基础设施运营者,或者其处理的个人信息涉及个人信息主体(目前口径一般需将包括员工在内的各类个人信息主体加总计算)在100万人以上,那么其向境外提供哪怕一个人的一条个人信息都会触发数据出境安全评估的门槛。
很多大型医院的年接诊量达到几百万人次,其处理的个人信息所涉个人信息主体的数量可能远远超过100万的门槛。此外,关键信息基础设施,一般由相关行业、领域的关键信息基础设施安全保护工作部门根据相关认定规则组织开展认定,并将认定结果通知其运营者。在医疗行业中,鉴于大型三甲医院在卫生健康系统内的重要地位,一般认为三甲医院被认定为关键信息基础设施运营者是大概率事件。
因此,医疗类数据处理者因被认定为关键信息基础设施,或其处理的个人信息所涉主体的数量达到100万人,将导致其向境外提供任何一条个人信息都会触发《办法》规定的必须申报数据出境安全评估的门槛。
(三)关于自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息
《人口健康信息管理办法(试行)》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等法规均较早提出对人口健康信息、健康医疗大数据的出境进行严格限制,要求相关数据不得存储在境外的服务器上,而必须存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当严格进行安全评估审核。
实践中,类似北京友谊医院与境外机构合作开展研究项目是较为常见的医疗健康数据出境场景。相关医疗健康数据,除非经过严格的匿名化处理,即便经过脱敏,亦通常构成敏感个人信息。
医疗类数据出境项目是否触发《办法》对应的该项申报门槛,根据实际的出境数据、累计的数据出境规模等情况比较容易判定。
二、人类遗传资源监管与数据安全监管
类似北京友谊医院与境外机构合作开展的研究项目,以及医药企业在药品上市过程中作为申办方开展的国际合作临床试验等项目,通常涉及利用我国人类遗传资源材料或信息,而受到既有的科技部人类遗传资源管理办公室(“人遗办”)负责的人类遗传资源监管。我们对人类遗传资源监管和数据安全监管的框架作了概要对比总结如下。
总体而言,人类遗传资源监管与数据安全监管在监管思路和维度上存在一定程度上的交叉,但也存在不同考量。比如,数据出境安全评估首要关注的“数据出境的合法性、必要性”,与人类遗传资源监管关注的“项目合法、必要”高度一致。而数据出境安全评估中关注的境外接受方所在地的法律和网络安全环境则不在现有人类遗传资源监管考量的范围内。北京友谊医院国际合作项目通过数据出境安全评估,尤其说明了项目的数据出境合法性、必要性,以及境外接收方所在地——荷兰的法律和网络安全环境等各项事宜均获得了国家网信办的认可。
在目前的法规监管框架下,结合北京友谊医院数据出境安全评估成功案例实践,如果某国际合作项目同时触发人类遗传资源审批/备案和数据出境安全评估的门槛,则该项目应同时、分别申报相应的人类遗传资源审批/备案、数据出境安全评估。后续,两个监管条线如何协调乃至简化操作有待观察和期待。
三、结语
北京友谊医院项目作为全国首例获批数据出境安全评估案例,对于包括医院等在内的医疗行业数据处理者开展数据出境风险自评估及后续申报而言,具有示范效应。有鉴于此,我们建议数据处理者应当积极推进数据出境安全评估工作,审慎梳理数据出境业务,尽早关注并妥善协调处理好现有行业监管与数据出境安全评估之间的关系。