专家解读 | 《数据出境安全评估办法》下浅析人类遗传资源信息出境合规要点
2022-12-29 18:47
发布于:山西省
作者:董红曼 黄丹婷
生物医药、健康医疗领域涉及海量的生物医药数据、健康医疗数据,包括人类遗传资源信息、基因数据信息等,其出境流动应遵守《人类遗传资源管理条例》、《生物安全法》以及《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规规定。
国家互联网信息办公室2022年7月发布《数据出境安全评估办法》,8月发布《数据出境安全评估申报指南(第一版)》,具体明确对数据出境安全评估及申报的适用、申报流程及材料等。而此前科技部于2022年3月发布《关于更新人类遗传资源管理常见问题解答的通知》、《人类遗传资源管理条例实施细则(征求意见稿)》,通过问答方式解释说明人类遗传资源相关行政审批及备案中的常见问题,细化具体要求。
本文以下探讨梳理人类遗传资源信息监管及数据出境安全审查要求,建议相关企业加强合规管理,切实做好人类遗传资源信息监管相关行政审批备案及数据出境安全评估申报。
目次
一、人类遗传资源信息
二、人类遗传资源信息与数据出境监管下的重要数据三、人类遗传资源信息与出境监管下的个人信息
四、人类遗传资源信息出境安全审查
五、人类遗传资源信息出境信息备份和备案
一、人类遗传资源信息
人类遗传资源信息 [1]是指“利用人类遗传资源材料产生的数据等信息资料”,即是指利用含有人体基因组、基因等遗传物质的器官、组织、细胞等人类遗传资源材料产生的数据等信息资料。 《人类遗传资源管理条例实施细则(征求意见稿)》将其进一步定义为,人类遗传资源信息是指利用人类遗传资源材料产生的人类基因、基因组数据等信息资料 [2]。 以此可理解,除“利用人类遗传资源材料产生的人类基因、基因组数据等信息”之外的数据或信息不属于人类遗传资源。仅收集不含人类遗传资源信息的数据,如仅收集心电图数据,则不在人类遗传资源管理范围 [3]。
二、人类遗传资源信息与数据出境监管下的重要数据
三、人类遗传资源信息与出境监管下的个人信息
四、人类遗传资源信息出境安全审查
行政处罚决定书国科罚〔2015〕1号 [11]、国科罚〔2015〕2号 [12],科技部中国人类遗传资源管理办公室对华某医院、华某基因公司开展的“中国女性单相抑郁症的大样本病例对照研究”国际科研合作情况进行调查,查明其存在未经许可将部分人类遗传资源信息从网上传递出境的行为,违反《人类遗传资源管理暂行办法》(国办发〔1998〕36号)第四条规定的“国家对重要遗传家系和特定地区遗传资源实行申报登记制度,发现和持有重要遗传家系和特定地区遗传资源的单位或个人,应及时向有关部门报告。未经许可,任何单位和个人不得擅自采集、收集、买卖、出口、出境或以其他形式对外提供“。同时华某医院、华某基因公司未经许可与某外国大学开展中国人类遗传资源国际合作研究,违反了”我国人类遗传资源的国际合作项目,须由中方合作单位办理报批手续,经人类遗传资源管理办公室审核批准后方可正式签约 [13]“的规定。 科技部规定境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源 [14]。若违反规定的,则处以责令停止违法行为,没收违法所得和违法采集、保藏的人类遗传资源,并处一百万元以上一千万元以下的罚款;违法所得在一百万元以上的,并处违法所得十倍以上二十倍以下的罚款 [15]。 对于将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构或者开放使用的情形,《人类遗传资源管理条例》规定以不得危害我国公众健康、国家安全和社会公共利益 [16]为要件。 对于可能影响我国公众健康、国家安全和社会公共利益的情形,如对外提供或者开放使用以下信息 [17],如重要遗传家系的人类遗传资源信息、特定地区的人类遗传资源信息、500人以上人群的外显子组测序、基因组测序信息资源,则必须通过国务院科学技术行政部门组织的安全审查。科技部将会同相关部门制定安全审查原则,组织相关领域专家进行安全审查评估,并根据专家安全审查评估意见做出决定。此外,对于确因学术研究需要向境外提供数据的健康医疗数据 [18],需要进行去标识化处理,并经数据安全委员会讨论审批通过。
五、人类遗传资源信息出境信息备份和备案
将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用,应向科技部事先报告并提交备案 [19],并向科技部指定的信息备份机构提交人类遗传资源信息备份 [20]。利用已公开的人类遗传资源数据,则不需要信息备份和备案 [21]。 备案材料中应说明:对外提供或者开放使用我国人类遗传资源基因、基因组信息的目的、用途;向外方单位提供或者开放使用的人类遗传资源基因、基因组信息;信息接收单位信息;对我国人类遗传资源保护可能造成潜在风险的评估。已备案的若发生重大事项变更,则应备案变更。依评估办法数据处理者应在数据出境前进行安全评估和申报。涉及人类遗传资源信息、基因数据的实时出境,如涉及基因数据信息,应将拟出境数据信息类型、合计例数、单位/规格等进行数据备份,并预估整个项目的数据量进行数据备案,备案通过后定期进行数据备份,如果实际备份的数据量预计超过备案数据量时,需要进行备案变更。若发表文章涉及开放使用人类遗传资源信息的,应当在人类遗传资源数据信息出境之前进行信息备份和备案。在国外发表文章或参加国际会议涉及人类遗传资源信息开放使用的 [22],应当先登录网上备份平台 (https://202.108.211.75),首次登录需要注册登记,提交信息备份并确定备份成功,获得信息备份号后登录网上备案平台(https://grants.most.gov.cn)通过单位法人账号授权的自然人账号填写备案申请,之后通过单位法人账号提交科技部,获得备案号后即可将人类遗传资源信息开放使用。
结 语
综上,生物医药、健康医疗等相关领域的数据处理者或信息提供者,凡涉及人类遗传资源信息、基因信息等的跨境流动,应注意审查其出境活动是否触发评估办法规定的数据安全评估和申报。无论是研究单位或企业、跨国商业机构,应注意审查日常工作文件传输、电子邮件往来、境内/增外服务器或数据库信息的跨境传输及调用等活动,以及跨国合作项目的合规管理。依《数据出境安全评估办法》规定先行开展数据出境风险自评估,对数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;与境外接收方拟订立相关法律文件等各方面先予以风险评估,及时开展数据出境安全评估和申报,以符合监管要求。
注释(上下滑动阅览)
文章来源:知产前沿
十二月活动推荐
十二月课程预告返回搜狐,查看更多
责任编辑:
