如前所述,医药行业的多种场景下均可能涉及数据的跨境传输。从网信部门的监管角度来看,(考虑到目前实操中大多数企业并未被认定为 CIIO 的前提)医药企业需要厘清相关数据的属性,以便据此结合数量等其他信息判断医药企业需要履行何种合规路径(申报并通过数据出境安全评估、订立并备案个人信息出境标准合同或通过个人信息保护认证)。从部门监管角度来看,也需要根据相关数据的属性以明确其具体所需满足的合规事项。
从数据的监管角度考虑,企业可能需要厘清相关数据是否构成重要数据或核心数据。如前所述,基于《跨境流动规定》第二条的规定,目前以地方和行业主管部门的告知/公开发布为标准,未被告知/公开发布的,则不需要将相关数据作为重要数据申报数据出境安全评估。这一规定减轻了企业企业对于识别重要数据的合规压力。而从个人信息的监管角度考察,医药企业需要判断其出境的数据涉及的个人信息的数量是否达到《跨境流动规定》项下的不同阈值,以及其是否涉及敏感个人信息。
如前所述,《个人信息保护法》将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息。GB/T 35273-2020《信息安全技术 个人信息安全规范》在附录 B 列举了敏感个人信息类型,其中就包括(i)个人生物识别信息,如个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,以及(ii) 个人健康生理信息,如个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等。
当然,判断的前提是,相关数据构成个人信息,即《个人信息保护法》所规定的"个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息"。在临床试验等场景中,受试者等个人的身份一般已通过受试者鉴认代码等方式进行了去标识化的处理(通过对应揭盲措施,其个人身份仍可以对应还原)。但该等信息是否仍然在去标识化处理后仍构成敏感个人信息呢?如前文所述,从目前一些省级网信办等监管部门咨询的态度来看,取决于其是否可以改变"敏感"的性质。如果经过去标识化处理的敏感个人信息被泄露或者非法使用,且泄露和非法使用不会导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,那么经过去标识化处理的"敏感个人信息"不再属于敏感个人信息。
由于目前官方尚未对医药领域的该定义有更为明确的解释,考虑到医药企业的特点,从审慎的角度考虑,一些企业还是选择从严解释,以敏感个人信息的角度对待去标识化后的临床试验数据。
除上述角度外,在行业单行法规规定中也需要厘清相关出境数据的性质。最为典型的是《人类遗传资源管理条例》("《人遗条例》")等法规规定的人类遗传资源信息。根据《人遗条例》的规定,人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料,而人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。《人类遗传资源管理条例实施细则》("《人遗细则》")进一步指出,人类遗传资源信息包括利用人类遗传资源材料产生的人类基因、基因组数据等信息资料,不包括临床数据、影像数据、蛋白质数据和代谢数据。相关数据的出境也涉及对于人类遗传资源的特殊监管。在临床试验等场景中,此类信息是较长涉及的。
来源:环球律师事务所