我国对于通用数据合规三点一面的立法，面是指《民法典》、三点即《网络安全法》、《个人信息保护法》、《数据安全法》。数据跨境合规的通用合规要求是符合《数据安全法》的相关规定。

健康医疗数据跨境，如下图根据数据分类对应不同监管要求。

人类遗传资源信息在《生物安全法》第85条第（八）项、《人类遗传资源管理条例》第2条定义为“利用人类遗传资源材料产生的数据等信息资料” 。《人类遗传资源管理条例实施细则（征求意见稿）》进行了限缩为“利用人类遗传资源材料产生的人类基因、基因组数据等信息资料”。

跨境提供我国人类遗传资源时，应当经国务院科学技术主管部门批准。此外，向境外组织、个人及其设立或者实际控制的机构提供或者开放使用我国人类遗传资源信息，应当向国务院科学技术主管部门事先报告并提交信息备份。”

境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源。境外组织、个人及其设立或者实际控制的机构获取和利用我国生物资源，应当依法取得批准。

人类遗传资源信息如能识别到特定个人，则属于“个人信息”。《个人信息保护法》第28条针对敏感个人信息所列举的几种示例中，包括了生物识别、医疗健康等信息；参考《信息安全技术-个人信息安全规范》附录A，“个人基因”被列入“个人生物识别信息”，即个人基因或基因组数据属于个人敏感信息的范畴。跨境提供人类遗传资源信息时，除了符合人类遗传资源相关的监管要求，还需符合《个人信息保护法》关于敏感个人信息处理以及个人信息出境的相关规定。具体包括：应“具有特定的目的和充分的必要性，并采取严格保护措施”的要求，应事先征得个人的单独同意，应满足法定出境要件之一（例如，通过国家网信部门组织的出境安全评估）等。

人类遗传资源信息可能构成《数据安全法》第21条规定的重要数据，甚至是“关系国家安全、国民经济命脉、重要民生、重大公共利益等”的国家核心数据。参考正在制订中的国家标准《信息安全技术-重要数据识别指南（征求意见稿）》“反映群体健康生理状况、族群特征、遗传信息等的基础数据，如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据”。因此，向境外提供人类遗传资源信息的主体，还应遵守《数据安全法》第31条并参照《数据出境安全评估办法（征求意见稿）》第4条等相关法规的规定，应当依法向国家网信部门申报并通过数据出境的安全评估。

在涉人类遗传资源管理领域，近年来执法行为频繁，监管加强，处罚力度加大，从上市审核、行政处罚到刑事处罚均有。《人类遗传资源管理条例实施细则（征求意见稿）》第4条和第89条将人类遗传资源管理与监督、违法案件调查、行政执法等事项由科技部委托给省级科学技术行政部门，可理解为行政执法力度在未来会有所加强。

对业内企业而言，从事相关活动的主体的跨境合作、跨国公司或同一经济实体下属子公司或关联公司之间数据出境是在数字经济下的必然趋势，也是机会。在合规的前提下创新，大有可为。

作者简介

张茵律师

北京市京师（深圳）律师事务所律师

深圳市律协数字经济委成员

 

工作经验

执业前拥有多年知名上市健康科技企业、保险企业和IT企业的管理从业经验，同时具有临床遗传咨询师、经济师、寿险管理师（FLMI）和北美核保师（ALU）资格。

 

执业领域

民商事争议解决、公司治理及合规业务。