.png)
.png)
.png)
.png)
#数据合规业务委员会#
* 本文共1751字,需阅读3分钟。
图片源于网络
我们的“人体密码”- 人类遗传资源信息【1】可否出境,出境应符合什么条件?本文先从2015年的一起案件谈起。
2015年,国内某医院及某基因公司与国外一所大学开展一项题为“中国女性单相抑郁症的大样本病例对照研究”的国际科研合作,医院与基因公司未经许可将部分人类遗传资源信息从网上传递出境。科技部认定医院和基因公司违反了《人类遗传资源管理暂行办法》【2】,给予相应的行政处罚,包括停止研究工作,销毁未出境的遗传资源材料及相关研究数据等。如果此类情况发生在现在,结果是否会有不同?以下将进行解析。
人类遗传资源信息出境的具体监管要求
目前,《人类遗传资源管理条例》和《生物安全法》对人类遗传资源有专门的规定,其中明确规定了人类遗传资源信息的出境具体要求,包括单位履行告知义务、取得提供者的事先知情同意、符合伦理原则、向科技部事先报告并提交信息备份等,如果可能影响我国公众健康、国家安全和社会公共利益,还应当通过科技部组织的安全审查。
同时,从数据法的角度来看,人类遗传资源信息属于“数据”,也将受到即将实施的《数据安全法》调整。《数据安全法》明确了重要数据保护制度、数据安全审查制度和数据出境评估制度。对影响或者可能影响国家安全的数据处理活动,应进行国家安全审查【3】。对关键信息基础设施运营者在境内运营中收集和产生的重要数据的出境,应根据《网络安全法》进行出境安全评估;对其他数据处理者在境内运营中收集和产生的重要数据的出境,应遵循国家网信部门会同国务院有关部门制定的出境安全管理办法,进行相应管理和评估【4】。
从国家互联网信息办公室发布的关于《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施的列举来看,卫生医疗单位运营的网络设施和信息系统被纳入关键信息基础设施保护范围【5】,因此,对于卫生医疗网络运营者收集和产生的人类遗传资源信息,很可能需要根据《网络安全法》进行出境安全评估【6】。
人类遗传资源信息也很可能是其他数据处理者收集和产生的重要数据,具体属于《信息安全技术 数据出境安全评估指南》(征求意见稿)的附录A“重要数据识别指南”之“A18.人口健康”中的数据,因此,作为重要数据,人类遗传资源信息出境应当进行出境安全评估,具体评估办法将有待网信部门会同其他有关部门制定。
人类遗传资源信息还可能属于《信息安全技术 个人信息安全规范》中个人敏感信息中的“健康生理信息”【7】,其出境管理也将受到即将出台的《个人信息保护法》调整。根据《个人信息保护法》(草案二次审议稿),跨境提供超过规定数量的个人信息需经过国家网信部门组织的安全评估。
可见,人类遗传资源信息出境不仅需要满足科技部监管的系列前置条件并通过科技部组织的安全审查,还需按照网信部门的要求通过数据出境安全评估,甚至在特殊情况中可能需要进行国家安全审查。
另外,《数据安全法》还规定了对等反制制度【8】,以及跨境数据司法合作制度【9】,对数据跨境提出了其它方面的限制,鉴于实际情况多样、复杂,需针对性分析,囿于篇幅所限,本文对此不做展开。
对人类遗传资源信息违规出境行为的处罚
根据目前的法律规定,监管部门不仅会责令停止研究工作,没收有关数据,有关单位或将面临以下更严厉的惩罚:
没收违法所得,并处一百万元至一千万元的罚款;当违法所得在一百万元以上时,罚款将达到违法所得的二十倍【10】;
停业整顿、吊销相关业务许可证或营业执照【11】。
结语
随着《网络安全法》、《生物安全法》、《数据安全法》的实施以及《个人信息保护法》的即将出台,有关人类遗传资源信息的数据出境管理成为一个网络安全、生物安全、数据安全和个人信息保护的交叉地带,预计未来将有更多的配套规定及标准来完善这一地带的数据处理规则。我们对此领域的规则动态将持续关注,协助企业一起提早构建起充分考虑网络安全、数据合规及未来发展趋势的合规体系,以适应不断更新的监管要求。
注释
【1】 人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。
【2】 《人类遗传资源管理暂行办法》现已失效。
【3】 《数据安全法》第24条
【4】 《数据安全法》第31条
【5】 《关键信息基础设施安全保护条例(征求意见稿)》第18条
【6】 《网络安全法》第37条
【7】 《信息安全技术 个人信息安全规范》第3.2条
【8】 《数据安全法》第26条
【9】 《数据安全法》第36条
【10】 《生物安全法》第80条
【11】 《数据安全法》第46条
