医疗数据出境法律风险解读

1、医疗数据监管

医疗数据的来源和范围具有多样化的特征，包括病历信息、医疗保险信息、健康日志、基因遗传、医学实验、科研数据等。目前，我国针对医疗数据的监管性规定分散在不同的法律法规中，并没有统一的明确的规定，同一责任主体收集的医疗数据可能涉及到多种法规的监管。

目前监管情况如下：

点击可查看大图

2、医疗数据层面风险

（1）患者数据可被认定为健康医疗大数据，适用《国家健康医疗大数据标准、安全和服务管理办法（试行）》[8]。根据《国家健康医疗大数据标准、安全和服务管理办法（试行）》，“健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。”

但是《国家健康医疗大数据标准、安全和服务管理办法（试行）》并未明确违反上述规定的处罚，且安全评估相关的法律法规尚未颁布生效。

（2）如果患者就诊记录中包含人口健康信息，则根据《人口健康信息管理办法（试行）》[9]，不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。如果违反该规定，根据《人口健康信息管理办法（试行）》，上级主管部门（即医院所属卫健委）应当视情节轻重予以督导整改、通报批评、提出给予行政处分的建议；构成犯罪的，依法追究刑事责任[10]。

综上所述，患者数据出境应当进行安全评估，但安全评估的具体实施办法尚未颁布生效。另外，含有人口健康信息的数据不得传输至境外。

1、个人信息及重要数据监管

《中华人民共和国网络安全法》（以下简称“《网安法》”）对于个人信息（Personally Identifiable Information”，可简称为“PII” ）保护提出了重要的原则[11]。根据《网安法》[12]，个人信息是指，“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《个人信息保护法（草案）》[13]则不仅指明个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，并且明确个人信息不包括匿名化处理后的信息。

2、个人信息及重要数据层面风险

（1）患者数据可能包括个人信息，也可能被认为是《信息安全技术 数据出境安全评估指南（征求意见稿）》[14]下界定的重要数据。

（2）根据《网安法》[15]，关键信息基础设施的运营者（简称“CIIO”）在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

如果传输主体被认定为CIIO，那么跨境传输个人信息或重要数据需要根据《网安法》进行安全评估。如果该CIIO未进行安全评估，那么该CIIO将面临行政处罚，包括责令改正、给予警告、收违法所得、处五万元以上五十万元以下罚款，并可能面临暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款[16]。

如果该传输主体未被认定为CIIO，那么根据《个人信息保护法（草案）》，在境外传输的个人信息达到网信办规定数量时，也需要进行安全评估[17]。

但是目前为止，个人信息和重要数据出境相关安全评估办法尚未生效。相关行政处罚亦尚未落实。

以下选取了科技部发布的关于人类遗传资源管理事项的处罚案例[18]：

点击可查看大图

其中，前两个案例是针对人类遗传资源未经许可出境做出的行政处罚，第三个案例则是针对在申请人类遗传资源国际合作行政许可的过程中存在违规而被处罚。因此，企业不仅要注意履行相关数据出境的许可或审查手续，且在申请过程中也需注意合法、合规操作。此外，以上案例的处罚依据主要是《人类遗传资源管理暂行办法》，处罚措施主要是警告，销毁数据及叫停整改。而根据2021年3月1日生效的《刑法修正案（十一）》以及2021年4月15日生效的《生物安全法》，违反相关规定向境外提供我国人类遗传资源或非法携带我国人类遗传资源出境的，可能面临数额较大的罚款及刑事处罚。[19]

国家禁止人口健康信息跨境传输，且人类遗传资源的信息规范非常严格，有刑事处罚的可能。因此，应尽量避免跨境传输人口健康信息和人类遗传基因数据。

由于医疗数据更为敏感，且可能对国家安全、国计民生和公共利益构成危害, 实务中最好事前根据现有评估草案如《信息安全技术 数据出境安全评估指南（征求意见稿）》进行自我审查，从而避免盲目向境外传输具有一定敏感度的医疗健康数据。

重点关注医疗数据出境相关的立法动态，适当调整数据的本地化存储和出境措施，并制定相应后备方案，以及时响应立法和监管变化，降低违规风险。