严格遵守法规要求 保证数据出境安全（下）

□ 刘展 吴骏坤

个人信息保护监管要求

医药行业涉及多种数据和个人信息出境场景。近年来，我国亦出台一系列法律法规及指导性文件，对个人信息保护形成监管。

明确数据和个人信息出境程序

2024年3月，《促进和规范数据跨境流动规定》（以下简称《数据流动规定》）《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》发布，为个人信息（数据）的出境程序提供了更详细的指引。

目前，数据和个人信息出境，需要通过国家网信部门组织的出境安全评估、专业机构进行的个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同（本文中与出境安全评估及个人信息保护认证合称数据出境程序），或者满足法律、行政法规或国家网信部门规定的其他条件。

人类遗传资源与个人数据出境平行适用

医药企业部分出境数据/个人信息与人类遗传资源可能存在竞合，也可能存在不同。一般认为，除特定例外情形外，两者平行适用，即在办理人类遗传资源相关申报手续的同时，亦须考查申报数据/个人信息领域数据出境程序的情况。

例如，基于既往的人类遗传资源管理的有关指南，基因、基因组、转录组等核酸类生物标志物等数据信息，以及与此数据相关的疾病、人种等关联信息被视为构成人类遗传资源信息；如不包含上述信息，虽然可能不构成人类遗传资源信息，但仍可能因对个人的“可识别性”的关联而构成个人信息，从而触发对个人信息出境通路的考虑。

重要数据的认定

对重要数据的讨论由来已久。《中华人民共和国数据安全法》（以下简称《数据安全法》）第二十一条指出，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护；各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。笔者目前尚未从公开途径了解到任何医药行业的重要数据目录。《数据流动规定》就现阶段的重要数据认定作出了明确，即未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

2020年发布的《信息安全技术 健康医疗数据安全指南》等文件中，提及涉及人类遗传资源数据（是指利用人类遗传资源材料产生的数据，人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料）等重要数据的，按照相关部门要求执行。有观点认为，这一文件的法律位阶较低，且早于《数据安全法》发布，可能无法直接对应《数据安全法》及《数据流动规定》所述的认定重要数据的标准。部分观点认为，从审慎角度出发，建议医药企业仍将人类遗传资源信息作为重要数据对待，并相应向网信部门申报出境安全评估。目前，笔者尚未从公开渠道了解到对于这一问题的官方解读。不过，鉴于人类遗传资源的特殊性质，无论医药企业是否决定申报数据出境安全评估，仍应在内部数据治理中重视人类遗传资源信息，并以较高的安全级别对其予以管理；而在申报相关数据出境程序的过程中，也建议医药企业据实与网信主管部门沟通，了解其相应的监管态度。此外，在一些自由贸易试验区，对医药行业重要数据的认定也有相关文件发布。

敏感个人信息的认定

根据《数据流动规定》，对于敏感个人信息的量化判断也将决定医药企业采取何种数据出境程序。

《中华人民共和国个人信息保护法》对处理敏感个人信息提出诸多要求，确定了敏感个人信息是指：“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

全国网络安全标准化技术委员会于2024年9月发布的《网络安全标准实践指南——敏感个人信息识别指南》是目前较为广泛适用的确认敏感个人信息的参考指南。基于其所述的敏感个人信息识别规则，医药企业可以较全面地评估其所处理/传输的个人信息的敏感属性。同时，该指南中的“附录A常见敏感个人信息类别示例”，列举了部分医药领域可能涉及的敏感个人信息。

该指南还指出，法律法规规定为敏感个人信息的，从其规定。部分敏感个人信息，还可参照相应的国家标准等文件进一步判断。医药企业可以据此更为准确地判断敏感个人信息的类别，并对相关数据进行管理，在涉及需要出境的场景时，基于对应的标准选择适用的数据出境程序。

自由贸易试验区负面清单的适用

根据《数据流动规定》第六条，自由贸易试验区可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境程序。天津、江苏、北京、上海等地均发布了相应的负面清单。

例如，2024年8月发布的《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》，将一定规模以上的群体诊疗、健康生理状况、医疗救援保障数据等，一定规模以上特定领域、特定群体、特定区域的生物特征数据和医疗资源数据，以及纳入出口管制或技术出口管理事项的数据列为重要数据，并提供了对应的数据基本特征与描述；同时，就不同场景的个人信息出境，设置了采用出境安全评估或者标准合同/认证的不同“门槛”；此外，明确遗传信息、达到国家有关部门规定的规模或者精度的基因数据也构成“重要数据”，但已履行《人类遗传资源管理条例实施细则》中第四章规定的“行政许可与备案”义务的除外。

而近期发布的《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》未将医药行业数据放入负面清单。

医药企业应关注自由贸易试验区相关政策，选择合适的自由贸易试验区主体开展个人信息/数据跨境流动，确保个人信息/数据出境合规，提高数据跨境传输效率。

（作者单位：环球律师事务所）