《中国健康医疗行业企业数据出境实用指南及方案介绍-48页-WN6.pdf》由会员分享,可在线阅读,更多相关《中国健康医疗行业企业数据出境实用指南及方案介绍-48页-WN6.pdf(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国健康医疗行业企业数据出境实用指南及方案介绍2023年04月AMAZON010203040506070809101112131415161718192021222324252627282930313233343536373839404142声 明-02引 言-03摘 要-05正 文-07第一章 数据出境-07一、数据从中国出境的几条路径-07二、需进行数据出境风险评估的主体范围及申报程序简介-08三、相关核心术语解释-10四、数据出境企业的合规要点-11五、违法数据出境的行为处罚措施及依据-12六、向境外监管机构、境外司法机构或境外执法机构提供数据-13第二章 健康医疗大数据出境-15一、健
2、康医疗大数据-15二、健康医疗大数据出境的可行性-15三、健康医疗大数据出境及相关合规要点-16第三章 遗传数据出境-22一、遗传数据出境的可行性-22二、遗传数据出境需要履行的程序-22三、遗传数据出境的合规要求-24第四章 药企经营数据出境-26一、药企经营数据出境的可行性-26二、药企运营数据出境的合规要求-27三、与药企数据相关的企业上市要求-28第五章 健康穿戴设备数据出境-30一、健康穿戴设备数据-30二、健康穿戴设备数据出境的可行性-30三、健康穿戴设备产生的个人信息出境的合规要求-31第六章 亚马逊云科技助力健康医疗行业-33一、亚马逊云科技服务的责任共担模型-33 二、广泛且
3、严格的安全性与合规性-34三、全球领先的安全理念和全方位的安全服务-34四、植根中国的配套技术解决方案-35010203040506070809101112131415161718192021222324252627282930313233343536373839404142声 明本 中国健康医疗行业企业数据出境实用指南及方案介绍(“本指南”)由上海国瓴律师事务所和Amazon Web Services,Inc.或其关联方(“亚马逊云科技”)分别撰写,双方就各自撰写的内容分别、独立享有相关知识产权。其中上海国瓴律师事务所对其撰写的部分(包括关于本指南国瓴部分的声明、国瓴引言、摘要、第一章“数据
4、出境”、第二章“健康医疗大数据出境”、第三章“遗传数据出境”、第四章“药企经营数据出境”和第五章“健康穿戴设备数据出境”)单独享有知识产权;亚马逊云科技对其撰写的部分(包括关于本指南亚马逊云科技部分的声明、亚马逊云科技引言以及第六章“亚马逊云科技助力健康医疗行业”)单独享有知识产权。关于本指南亚马逊云科技部分的声明:本部分内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践,该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断,该等内容都是“依现状”提供,不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技、北京光环新网科
5、技股份有限公司(“光环新网”)、宁夏西云数据科技有限公司(“西云数据”)、或其各自的关联方、提供方或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技、光环新网、西云数据对其各自的客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技、光环新网、西云数据和其各自的客户之间任何协议的组成部分,也不构成对任何协议的修改。关于本指南国瓴部分的声明:本指南中上海国瓴律师事务所拟写部分(以下简称:“本指南国瓴部分”,包括声明、引言、摘要中涉及国瓴部分的内容及本指南第一章至第五章)所涉内容的依据为本指南封面页所示日期以前已经颁布并生效的中华人民共和国法律、法规、规范性文件、国家标准
6、等,借鉴了尚未生效的法律、法规、规范性文件的内容及其中体现的立法趋势,并结合了上海国瓴律师事务所在本指南封面页所示日期以前的有关服务经验及实践经验,该等信息可能变化且我们不会另行通知。本指南国瓴部分所含内容为一般性信息,上海国瓴律师事务所及其律师并不因此构成提供任何法律建议、其他专业性建议或服务,在做出任何影响您的法律决策、商业决策或其他决策之前,您应咨询合格的专业顾问。本指南没有为上海国瓴律师事务所及其律师、员工、合作方、关联方、代理方创设任何保证、陈述、合同性承诺、条件或者担保,任何上海国瓴律师事务所或其律师、员工、合作方、关联方、代理方均不对任何方因使用本指南而直接或间接导致的任何损失或
7、损害承担任何责任。上海国瓴律师事务所及其合作方、关联方均为具有独立法律地位的法律实体,相互之间不因第三方而承担任何责任或约束对方。中国健康医疗行业企业数据出境实用指南及方案介绍 2023 Amazon Web Services,Inc.or its affiliates.All rights reserved.0203040506070809101112131415161718192021222324252627282930313233343536373839404142引 言国瓴引言根据 健康产业统计分类(2019),健康医疗行业(Health Care Life Science,以下简称:
8、“HCLS”)指以医疗卫生和生物技术、生命科学为基础,以维护、改善和促进人民群众健康为目的,为社会公众提供与健康直接或密切相关的产品(货物和服务)的生产活动集合。健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。随着健康医疗数据应用、“互联网+医疗健康”和智慧医疗的蓬勃发展,健康医疗数据跨境交互的机会越来越多、场景也越来越丰富,与之相对的是对于数据出境行为的监管力度不断加强,健康医疗数据出境给企业带来的风险和挑战也越来越大。国家计算机网络应急技术处理协调中心(CNCERT/CC)发布的 2020年中国互联网网络安全报告 在“2020年我国网络生物安全态势
9、专题分析”部分提到:在2020年,共发现国内基因数据通过网络出境717万余次,涉及我国境内近2.4万个IP地址,覆盖境内31个省(直辖市、自治区),我国基因数据流向境外170个国家和地区,涉及境外IP地址近4.7万个。2020年我国新冠肺炎病毒数据出境次数达99万余次,占生物数据出境总次数的13.8%。在2020年,发现境内医学影像数据通过网络出境497万余次,我国医学影像数据流向境外128个国家和地区,涉及境外IP地址近4.7万个,涉及境内3347个IP地址。2020年我国未脱敏医学影像数据出境近40万次,占出境总次数的7.9%。本指南旨在解读中国健康医疗企业数据出境相关的法律、法规、标准及
10、规范性文件,分析中国健康医疗企业所面临的问题和挑战,并提出企业应当关注的出境路径、合规要点及法律+管理+技术的解决方案,旨在为中国健康医疗企业出海尽一份绵薄之力。亚马逊云科技引言随着人类步入由互联网、云技术催生的大数据时代,大到国家决策,小到日常生活都在走向数字化,在健康医疗领域,中国庞大的人口和全民医疗体系更是提供了丰富的数据来源。健康医疗大数据是国家重要的基础性战略资源。健康医疗大数据蓬勃发展,带来健康医疗模式的深刻变化,有利于激发深化医药卫生体制改革的动力和活力,提升健康医疗服务效率和质量,扩大资源供给,不断满足人民群众多层次、多样化的健康需求,有利于培育新的业态和经济增长点。“健康中国
11、2030”规划纲要 要求加强健康医疗大数据应用体系建设,推进基于区域人口健康信息平台的健康医疗大数据共享开放、深度挖掘和广泛应用。为加强健康医疗大数据服务管理,促进“互联网+健康医疗”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,进一步强化对健康医疗大数据的政策指引,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,国家相关部门也积极研究、制定、发布各项规范、办法中国健康医疗行业企业数据出境实用指南及方案介绍 2023 Amazon Web Services,Inc.or its affiliates.All rights reserved.030405060708091
12、01112131415161718192021222324252627282930313233343536373839404142对健康医疗大数据管理使用加以引导和规范。2015年,国务院发布 关于印发促进大数据发展行动纲要的通知 提出在健康医疗等领域开展大数据应用示范,鼓励和规范有关单位开展创新应用研究。2016年,国务院发布 关于促进和规范健康医疗大数据应用发展的指导意见,提出健康医疗大数据是国家基础性战略资源,其发展将带来健康医疗模式的深刻变化,不断满足人民群众多层次、多样化的健康需求,并制定了发展目标、主要任务和组织框架。并明确指出:“到2020年,健康医疗大数据相关政策法规、安全防护
13、、应用标准体系不断完善,适应国情的健康医疗大数据应用发展模式基本建立”。2018年,国家卫生健康委员会发布 国家健康医疗大数据标准、安全和服务管理办法(试行)的通知,不仅首次对“健康医疗大数据”做出了官方定义:“在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”并且提出“我国公民在中华人民共和国境内所产生的健康和医疗数据,国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用”。今年5月,国务院办公厅印发的 “十四五”国民健康规划 提出要全面推进健康中国建设,促进全民健康信息联通应用,推广应用人工智能、大数据、第五代移动通信(5
14、G)、区块链、物联网等新兴信息技术,实现智能医疗服务、个人健康实时监测与评估、疾病预警、慢性病筛查等。通过将强大的数据资源与新技术相结合来解决现有的诸多挑战,不仅能提供更好的循证决策,还可以为改变现有医学模式提供指引。从尚未出生的胎儿到新生儿检查、定期体检,直至临终关怀,人生中所有的医疗健康数据都被存储记录下来,为医生的诊断提供参考。同时,大数据让覆盖全生命周期的健康服务成为可能。健康大数据分析可以为医生做出精准的医疗方案提供重要的科技支撑。基于健康医疗大数据的技术,将实现个性化的治疗、提高疗效、降低副作用、降低费用。数据流动将促进数据使用,从而更好的发挥数据价值。健康医疗数据依法合规跨境流动
15、,既可以满足科研合作的需要,又能满足全球化的商业合作需求。国际科研合作,有助于知识的共享,开拓研究视野,促进国内学科能力建设,提升科研水平。对于跨国药企来讲,业务全球化有利于优化资源配置,实现正确的商业布局,开拓发展空间,增强创新能力,推动产业发展。数据共用共存,单个数据价值或创造价值有限,聚合后的大量数据处理才能够带来巨大价值,所以数据的开发、许可、转让权能的行使非常重要。中国健康医疗行业企业数据出境实用指南及方案介绍 2023 Amazon Web Services,Inc.or its affiliates.All rights reserved.04050607080910111213
16、1415161718192021222324252627282930313233343536373839404142摘 要与其他行业企业一样,健康医疗行业数据处理者在重要数据出境时需要通过国家网信部门组织的安全评估,如果出境数据涉及个人信息,应当根据出境个人信息的数量和敏感程度等通过国家网信部门组织的安全评估、第三方机构个人信息保护认证或使用标准合同出境,相关法律体系和数据出境路径可参考下图在健康医疗行业企业数据出境的过程中,国瓴的数据合规团队与技术专家可以为客户提供包括法律+技术+管理的一站式解决服务,将协助需要申报数据出境安全评估的处理者完成包括但不限于:初步尽职调查(法律+管理+技术),
17、合规整改及差距分析(法律+管理+技术),盘点数据资产及信息系统资产,梳理数据链路,出具数据出境相关法律意见和技术意见,协助拟写数据出境风险自评估报告,协助申报、反馈及与网信部门沟通,协助应对监管问询和调查等工作。在项目整改过程中,国瓴的数据合规团队与技术专家可以协助客户建立完善的组织保障体系,协助客户搭建数据合规、个人信息保护及隐私保护、网络安全保障相关管理体系、管理制度及控制流程,协助客户建立个人信息保护影响评估机制,起草或审核数据出境处理协议、隐私政策等法律文本,提供数据保护培训、APP治理等服务。在后续落地的第三方机构个人信息保护认证出境场景及使用标准合同出境场景中,国瓴的数据合规团队与
18、技术专家亦可为客户提供包括法律+技术+管理的一站式解决服务。从企业数据合规体系搭建、数据保护培训到跨境数据合规甚至数据合规刑事风险防范、企业上市及投融资中的数据合规尽职调查,国瓴数据合规团队可以为各类数据合规业务提供专业的服务。中国健康医疗行业企业数据出境实用指南及方案介绍个人信息保护法、网络安全法、数据安全法通过国家网信部门组织的安全评估适用范围详见本指南第一章网络安全法 第37条数据出境安全评估办法 数据出境安全评估申报指南(第一版)第三方机构个人信息保护认证集团内部、关联公司之间跨境传输;个人信息保护法第三条第二款。网络安全标准实践指南个人信息跨境处理活动安全认证规范;个人信息安全影响评
19、估指南使用标准合同未达出境安全评估标准的个人数据出境。个人信息出境标准合同规定(征求意见稿);个人信息安全影响评估指南0506070809101112131415161718192021222324252627282930313233343536373839404142 根据 信息安全技术 健康医疗数据安全指南(GB/T 39725-2020)及相关法律、法规、规范性文件的规定,不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,经个人信息主体授权同意,并经数据安全委员会讨论审批同意,健康医疗大数据的控制者可向境外目的地提供个人健康医疗数据,累计数据量应控制在250条以内,否则应提请相
20、关部门审批。根据遗传资源的分类,人类遗传资源信息出境需要科学技术部门备案(非基因遗传资源信息)或审批(基因识别数据及关联信息)科学技术部门安全审查(涉及公众健康、国家安全和社会公共利益的);人类遗传材料运送、邮寄、携带出境需要科学技术部门许可海关审批。对于业务范围涉及药物研发或医疗器械研发的企业而言,临床实验需要依法通过伦理审查,取得知情同意,并履行临床试验申请/备案/批准等程序;此外,若拟出境的临床实验数据中若涉及重要数据的,需通过网信部门组织的安全评估,拟出境的临床实验数据涉及个人信息的,需依据数据处理者情况、出境的个人信息数量及敏感程度等判断并选择适用网信部门组织的安全评估、第三方机构个
21、人信息保护认证、使用标准合同出境(自2023年6月1日起施行)。中国健康医疗行业企业数据出境实用指南及方案介绍06070809101112131415161718192021222324252627282930313233343536373839404142第一章 数据出境一、数据从中国出境的几条路径数字化经济背景下,数据在技术层面上不再受限于地域,其中个人信息不仅占比大,且事关每个个体的信息安全。因此,为保护个人信息安全和重要数据等的安全,中华人民共和国网络安全法(以下简称:“网络安全法”)、中华人民共和国数据安全法(以下简称:“数据安全法”)、中华人民共和国个人信息保护法(以下简称:“个人
22、信息保护法”)、数据出境安全评估办法、数据出境安全评估指南 等法律、法规、规范性文件对于中国企业的数据出境行为提出了规范性要求。1.个人信息出境的三条路径根据相关法律、法规、规范性文件的规定,目前数据处理者向境外传输个人信息有三条路径:(1)通过国家网信部门组织的安全评估后出境(详见本指南第一章第二节介绍)。(2)第三方机构个人信息保护认证出境:按照 网络安全标准实践指南个人信息跨境处理活动安全认证规范 等进行个人信息保护认证出境,适用情形:a.跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动(此种个人信息跨境处理活动可以由境内一方申请认证,并承担法律责任);b.个
23、人信息保护法 第三条第二款适用的在中国境外处理中国境内自然人个人信息的活动。基本要求:个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件,确保个人信息主体权益得到充分的保障;个人信息处理者和境外接收方均应指定个人信息保护负责人(DPO)及个人信息保护机构;个人信息处理者和境外接收方遵守统一的个人信息跨境处理规则;事前进行个人信息保护影响评估。(3)使用标准合同出境(自2023年6月1日起施行):适用情形:个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:a.非关键信息基础设施运营者;b.处理个人信息不满100万人的;c.自上年1月1日起累计向境外提
24、供未达到10万人个人信息的;d.自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。基本要求:个人信息处理者应当事前开展个人信息保护影响评估+在标准合同生效之日起10个工作日内向所在地省级网信部门备案。2.健康医疗行业的数据处理者数据出境的路径(1)具体来说,健康医疗行业的数据处理者数据出境涉及个人信息部分的出境合规要求包括:a.数据涉及敏感个人信息。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。中国健康医疗行业企业数据出境实用指南及方案介绍07080910111213141516171819202122232425262728293031323334
25、3536373839404142i.自上年1月1日起累计向境外提供1万人敏感个人信息的国家网信部门安全评估;ii.自上年1月1日起累计向境外提供未达到1万人敏感个人信息的签订国家网信部门制定的标准合同/经专业机构进行个人信息保护认证。b.健康医疗行业的数据处理者出境数据不涉及敏感个人信息:i.自上年1月1日起累计向境外提供10万人个人信息的国家网信部门安全评估;ii.自上年1月1日起累计向境外提供未达到10万人个人信息的签订国家网信部门制定的标准合同/经专业机构进行个人信息保护认证。(2)健康医疗行业的数据处理者向境外提供重要数据的,需由国家网信部门进行安全评估。(3)健康医疗行业的关键信息基
26、础设施运营者向境外提供个人信息的,需由国家网信部门进行安全评估。二、需进行数据出境风险评估的主体范围及申报程序简介1.主体范围根据 数据出境安全评估办法 及 数据出境安全评估申报指南 等相关规定,自2022年9月1日起,数据处理者向境外提供数据,有下列情形之一的,应当每两年一次通过所在地省级中国国家互联网信息办公室(以下简称:“网信部门”或“网信办”)向国家网信部门申报数据出境安全评估:(1)数据处理者向境外提供重要数据;(2)关键信息基础设施运营者和处理100万以上个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向
27、境外提供个人信息;(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。2.数据出境风险评估的申报程序及申报资料(1)数据出境风险评估申报所需资料如下:序号 材料名称 要求 1 统一社会信用代码证件 影印件加盖公章 2 法定代表人身份证件 影印件加盖公章 3 经办人身份证件 影印件加盖公章 4 经办人授权委托书 原件 5 5.1 承诺书 原件 5.2 数据出境安全评估申报表 原件 6 7 数据出境风险自评估报告 原件8 其他相关证明材料 原件或影印件 加盖公章对数据出境相关约定条款做高亮、线框等显著标识。法律文件以中文版本为准,若仅有非中文版本的,需同步提交准确的中文译本。数据出境安全评
28、估申报书中国健康医疗行业企业数据出境实用指南及方案介绍0809101112131415161718192021222324252627282930313233343536373839404142数据处理者省网信办国家网信办受理资料实施安全评估形式审查通过可申请复评现状尽调、差距分析、整改不得开展所申报的数据出境活动按要求开展出境活动自评估报告安全评估结果复评7个工作日内5个工作日内45个工作日内15是否有异议个工作日内序号 材料名称 要求1 统一社会信用代码证件 影印件加盖公章2 法定代表人身份证件 影印件加盖公章3 经办人身份证件 影印件加盖公章4 经办人授权委托书 原件5 数据出境安全评估
29、申报书5.1 承诺书 原件5.2 数据出境安全评估申报表 原件 6 7 数据出境风险自评估报告 原件 8 其他相关证明材料 加盖公章对数据出境相关约定条款做高亮、线框等显著标识。法律文件以中文版本为准,若仅有非中文版本的,需同步提交准确的中文译本。与境外接收方拟定的数据出境相关合同或其他具有法律效力的文件相关材料以中文版本为准,若仅有非中文版本的,需同步提交准确的中文译本。(图片部分内容参考:江苏省数据出境安全评估申报工作指引)(2)数据出境风险评估的项目流程及申请流程如下:原件或影印件加盖公章原件或影印件加盖公章中国健康医疗行业企业数据出境实用指南及方案介绍09三、相关核心术语解释1.关键信
30、息基础设施与关键信息基础设施运营者(CIIO)关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施运营者(CIIO)负责关键信息基础设施的运行、管理,对本组织关键信息基础设施安全负主体责任。2.敏感个人信息敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年
31、人的个人信息。3.跨境跨境是指从一个司法管辖区域到另一个司法管辖区域的行为,而其中司法管辖区域是既包括具有独立主权的国家,也包括具有司法独立主权的地区。4.数据出境以下情形属于数据出境行为:(1)数据处理者将境内运营中收集和产生的数据传输、存储至境外;(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(3)国家网信部门规定的其他数据出境行为。5.1 重要数据重要数据指:一旦遭到篡改、破坏、泄露或者非法获取、非法利用等可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。如未公开的政府信息、大面积人口、基因健康、地理矿产资源等。数据处理者需按
32、照相关行业标准确定,以下为江苏版出境评估指南,仅供参考:(1)未公开的政务数据、工作秘密、情报数据和执法司法数据;(2)重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;(3)达到国家有关部门规定规模或者精度的基因、地理、矿产、气象等国家基础数据;(4)影响关键信息基础设施安全稳定运行的数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;(5)出口管制物项涉及的核心技术、设计方案、生产工艺等相关数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争力有直接影响的科学技术成果数据;(6)国家法律、行政法规、部门规章明确规定需要保护或者限制
33、处理的国家经济运行数据、重要行业和领域业务数据、统计数据等;法律、法规及参考文件(部分列举):1.中华人民共和国网络安全法2.中华人民共和国数据安全法3.中华人民共和国个人信息保护法4.数据出境安全评估办法5.数据出境安全评估指南6.国家健康医疗大数据标准、安全和服务管理办法(试行)7.人口健康信息管理办法(试行)8.信息安全技术 健康医疗数据安全指南(GB/T 39725-2020)9.信息安全技术 个人信息安全规范(GB/T 35273-2020)10.信息安全技术 个人信息告知同意指南(征求意见稿)11.信息安全技术 大数据服务安全能力要求(征求意见稿)(20220157-T-469)1
34、2.信息安全技术 大数据安全管理指南(GB/T 37973-2019)39725-2020)等相关规定的要求管理和使用,实施不同的安全措施:(1)第1级:可完全公开使用的数据。包括可以通过公开途径获取的数据,例如医院名称、地址、电话等,可直接在互联网上面向公众公开。(2)第2级:可在较大范围内供访问使用的数据。例如不能标识个人身份的数据,各科室医生经过申请审批可以用于研究分析;(3)第3级:可在中等范围内供访问使用的数据,如果未经授权披露,可能对个人健康医疗数据主体造成中等程度的损害。例如经过部分去标识化处理,但仍可能获得重标识的数据,仅限于获得授权的项目组范围内使用。(4)第4级:在较小范围
35、内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害。例如可以直接标识个人身份的数据,仅限于参与诊疗活动的医护人员访问使用。(5)第5级:仅在极小范围内严格限制条件下供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成严重程度的损害。例如特殊病种的详细资料,仅限于主旨医护人员访问且需要进行严格管控。6.强化安全保障措施、落实网络安全等级保护制度出境健康医疗大数据的数据处理者应严格落实网络安全等级保护制度,遵守国家有关网络安全审查制度,并建立健全安全保障机制,强化安全保障措施。具体责任如下:(1)加强健康医疗大数据相关系统安全保障体系建设,提升关键
36、信息基础设施和重要信息系统的安全防护能力;(2)定期对相关信息系统开展定级、备案和测评工作;(3)建立健全涉及国家秘密的健康医疗大数据管理与使用制度,严格管理制作、审核、登记、拷贝、传输、销毁等环节;(4)采取数据分类、重要数据备份、加密认证等措施;(5)建立可靠的数据容灾备份工作机制,定期进行备份和恢复检测;(6)为健康医疗大数据在不同系统间的交互、共享和运营提供安全与便利条件;(7)提供安全的信息查询和复制渠道,确保公民隐私保护和数据安全;(8)严格规范不同等级用户的数据接入和使用权限,确保数据在授权范围内使用;(9)建立严格的电子实名认证和数据访问控制;(10)建立健康医疗大数据安全监测
37、和预警系统,建立网络安全通报和应急处置联动机制;(11)依法对网络安全重大事件进行报告并处置。7.大数据服务提供者、大数据处理者须遵循大数据管理相关要求若出境健康医疗大数据的数据处理者同时为大数据服务提供者(指拥有大数据平台和应用,提供大数据服务的组织或企业),还需满足大数据服务安全能力、大数据安全管理等要求。a.只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,出境健康医疗大数据的数据处理者方可处理敏感个人信息。b.个人信息主体需要对于种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等个人敏感信息场景下的授权同意,应进一步选择使用单独同意的方式以充分保障个人信息
38、主体能充分知情和自主授权。如果出境健康医疗大数据的数据处理者处理不满十四周岁未成年人的个人信息的,应当取得未成年人的父母或者其他监护人的同意。c.传输和存储个人敏感信息时,应采用加密等安全措施;存储个人生物识别信息时,应采用技术措施确保信息安全后再进行存储,例如将个人生物识别信息的原始信息和摘要分开存储,或仅收集、存储、使用摘要信息。(3)制定个人信息保护政策与其他行业的企业一样,出境健康医疗大数据的数据处理者应制定个人信息保护政策,内容应包括但不限于:对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任。(4)建立个人信息保护影响评估
39、机制与其他行业的企业一样,出境健康医疗大数据的数据处理者向境外提供个人信息前应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估应当包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。3.制定并实施个人信息安全事件应急预案及安全审计机制与其他行业企业一样,出境健康医疗大数据的数据处理者应对个人信息处理活动进行日常化的审计,确保安全管理措施到位、安全技术措施有效;此外,发生个人信息泄露、篡改、丢失时应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。4.数据共享或转移处理健康医疗
40、大数据的责任单位在选择健康医疗大数据服务提供商时,应当确保其符合国家和行业规定及要求,具备满足相关法律法规要求、落实相关标准、确保数据安全的能力,建立数据安全管理、应急响应管理等方面管理制度。处理健康医疗大数据的责任单位发生变更时,应当将所管理的健康医疗大数据完整、安全地移交给承接延续其职能的机构或本行政区域内的卫生健康行政部门,不得造成健康医疗大数据的损毁、丢失和泄露。5.健康医疗数据的分类分级与其他行业企业一样,出境健康医疗大数据的数据处理者需建立并实施完善的数据分类分级制度。健康医疗数据根据数据的重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗
41、数据划分为以下5级,并按照 信息安全技术 健康医疗数据安全指南(GB/T 定重新取得个人同意。单独同意过程不应捆绑与被同意事项不相关的任何业务功能或处理目的。个人信息主体授权同意的例外。根据 信息安全技术 健康医疗数据安全指南(GB/T 39725-2020)的规定,数据控制者即使没有获得主体的授权,在以下情况可以使用或披露相应个人健康医疗数据:(i)向本人提供其本人健康医疗数据时;(ii)治疗、支付或保健护理时;(iii)涉及公共利益或法律、法规要求时;(iv)受限制数据集用于科学研究、医学/健康教育、公共卫生目的时。在上述情况下,出境健康医疗大数据的数据处理者可依靠法律法规要求、职业道德、
42、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露。b.基于个人同意处理个人信息的,个人有权撤回其同意,处理涉及健康医疗大数据的个人信息处理者应当提供便捷的撤回同意的方式。处理涉及健康医疗大数据的个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务(处理个人信息属于提供产品或者服务所必需的除外)。c.个人请求查阅、复制其个人信息的,处理涉及健康医疗大数据的个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,处理涉及健康医疗大数据的个人信息处理者应当提供转移的途径。d.个人发现其个人信息不准确或者不完整的,有
43、权请求处理涉及健康医疗大数据的个人信息处理者更正、补充。个人请求更正、补充其个人信息的,处理涉及健康医疗大数据的个人信息处理者应当对其个人信息予以核实,并及时更正、补充。e.个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。f.有下列情形之一的,出境健康医疗大数据的数据处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(i)处理目的已实现、无法实现或者为实现处理目的不再必要;(ii)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(iii)个人撤回同意;(iv)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(v)法律、行政法规规定的其他情形。法
44、律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,出境健康医疗大数据的数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。(2)处理敏感个人信息的特殊要求由于健康医疗大数据可能涉及众多敏感个人信息,出境健康医疗大数据的数据处理者在数据全生命周期中均需注意:责任单位不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。此外,健康医疗大数据出境中对于数据处理者的合规要求包括但不限于:1.建立完善的组织保障体系与其他行业的企业一样,出境健康医疗大数据的数据处理者宜建立完善的组织保障体系、健全的健康医疗大数据安全管理人才培养机制、健全的制度规范体系及完整的个
45、人信息访问控制措施。个人信息控制者在以下情况下需设立专职的个人信息保护负责人和个人信息保护工作机构:(1)主要业务涉及个人信息处理,且从业人员规模大于200 人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3)处理超过10万人的个人敏感信息的。此外,需注意处理健康医疗大数据的企业应建立健全相关安全管理制度(其中“数据使用管理办法”可参考 信息安全技术 健康医疗数据安全指南 附录C的示例)、操作规程和技术规范,落实“一把手”责任制,加强安全保障体系建设,强化统筹管理和协调监督,保障健康医疗大数据安全。处理健康医疗大数据的企业的组织架构中至少包括健康医疗数
46、据安全委员会和健康医疗数据安全工作办公室,并需指定专人(例如DPO)负责健康医疗数据安全日常工作,以确保做好健康医疗数据安全管理工作,并形成相应的文档记录。处理健康医疗大数据的责任单位应当结合服务和管理工作需要,及时更新、甄别、优化和维护健康医疗大数据,确保信息处于最新、连续、有效、优质和安全状态。2.个人信息主体权益保护(1)与其他行业的企业一样,出境健康医疗大数据的数据处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:a.制定内部管
47、理制度和操作规程;b.对个人信息实行分类管理;c.采取相应的加密、去标识化等安全技术措施;d.合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;e.制定并组织实施个人信息安全事件应急预案;f.法律、行政法规规定的其他措施。(2)个人信息主体的权益保护及个人信息权益维护的渠道a.与其他行业的企业一样,出境健康医疗大数据的数据处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。出境健康医疗大数据的数据接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。出境健康
48、医疗大数据的数据接收方变更原先的处理目的、处理方式的,应当依照本法规会讨论审批同意,健康医疗大数据的控制者可向境外目的地提供个人健康医疗数据,累计数据量应控制在250条以内,否则应提请相关部门审批。健康医疗大数据原则上只与有相应资质的境内单位开展合作研究,在未获得政府行业主管或监管部门批准合作项目批准的情况下,数据不予境外单位(含外国组织和个人以及在我国注册的外商独资企业和中外合资、合作企业)使用。此外,由于健康医疗大数据与 网络安全法、数据安全法 以及 个人信息保护法 项下的“重要数据”和“个人信息”等概念存在部分重叠,因此健康医疗大数据的出境除了上述规定外,还需要依照 网络安全法个人信息保
49、护法数据安全法 的规定履行相关程序(详见本指南第一章相关介绍)。三、健康医疗大数据出境及相关合规要点健康医疗大数据出境合规要点包括但不限于:(1)与其他行业的企业一样,健康医疗数据出境需遵循“最少必要原则”,数据出境的目的、范围、方式需要具有合法性、正当性、必要性;(2)数据开放的目的、内容、使用方等经过健康医疗大数据企业内部的数据安全委员会审批,确保符合合法性、正当性和必要性的要求;(3)根据使用目的尽可能地去标识化;(4)明确数据开发和使用目的、使用方需要承担的安全责任、安全措施等,并签署相应的协议;(5)宜依规进行安全评估,涉及重要数据的应依规进行评估审批;(6)需加强对健康医疗大数据的
50、存储管理,健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律、法规及有关要求进行安全评估审核。此外,人口健康信息管理受到该法规制的企业提出更高的信息披露要求之外,还表示如果美国上市公司会计监督委员会连续三年无法对一家在美上市公司的美国境外审计机构进行审查,美国证监会应当禁止该公司证券在美国的交易所或在美国境内以其他形式(比如通过场外OTC市场)进行交易。与此相反,中国法律、法规对向外国行政机构提供或者外国行政机构调取我国境内数据存在限制,例如:个人信息保护法 第41条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定