21世纪经济报道长期关注数据合规议题，伴随着法律法规实施，我们希望能从垂直领域了解行业动态，故推出“守护医疗数据安全”系列报道，详解宏观政策、产业发展，探讨不同场景、细分行业的合规难点，以期提升整个行业的数据合规水位线。

跨境会诊、跨境医学研究、国际临床试验、医疗器械出海……跨境医疗近年来发展迅速，而这其中大量敏感个人信息的医疗数据跨境对于相关机构和企业而言，意味着更高的合规要求。

受访专家认为，我国目前医疗数据的跨境流动机制尚未明确，亟需在《数据安全法》《个人信息保护法》的框架下，结合医药行业的特性设计有针对性的行业规则，既做好个人权益及数据安全的保护，又兼顾药品、医疗器械创新研发的效率。同时，积极实现本国数据治理规制与国际数据治理规制的融合，将助力我国与境外医药企业、高校和医院更加深度的合作。

医疗数据跨境需求迫切

2020年以来，全球新冠肺炎疫情一定程度上阻断了跨境寻医之路，持续刺激着跨境远程医疗的需求。

网络将患者与身处异国的医生连接起来，可以通过视频或电话交流，得出诊疗结论。在此过程中，往往涉及到医生对于患者医疗影像等信息和数据的跨境调取。

这是医疗数据跨境传输常见的应用场景之一。事实上，随着全球医学交流日益频繁，医疗数据所面临的跨境需求也愈加迫切。

“一是患者出境就诊或跨境会诊；二是跨境医学研究，通过国内外高水平的多个医学中心合作研究和跨境数据对比分析，研究某种新技术或者新疗法的疗效，推动医学的进步并造福于患者；三是国产医疗药品、医疗器械企业到国外上市售卖，通过国内外数据比对以获得国外地区和国家认证和上市售卖（如美国FDA，欧洲CE）的先决条件。”首都医科大学附属北京友谊医院普外中心胃肠外科主任姚宏伟教授向21世纪经济报道记者介绍。

国家计算机网络应急技术处理协调中心发布的《2020年中国互联网网络安全报告》显示，2020年，共发现境内医学影像数据通过网络出境497万余次，其中，我国未脱敏医学影像数据出境近40万次，占出境总次数的7.9%。而医学影像文件在未脱敏的情况下包含大量患者个人信息。

除患者个人信息、健康状况数据外，医疗数据还囊括了医疗应用数据及人类遗传资源等，这些数据的大量向外流失可能对我国医疗卫生安全带来隐患。

早在2018年10月，科技部官网就曾公布6则处罚信息，涉及华大基因、复旦大学附属华山医院、苏州药明康德、阿斯利康、艾德生物、昆皓睿诚等6家公司。罚单显示，这6家公司均违反了人类遗传资源管理规定，或违规转运接收已获批项目的剩余样本；或违规开展国家合作研究；有的甚至将人血清作为犬血浆违规出境。

个人信息传输受瞩目

数据跨境流动一直以来为数据合规的难点和风险所在。《网络安全法》《数据安全法》《个人信息保护法》等法律法规对数据的跨境传输提出了一系列合规要求。在这些数据中，医疗健康领域的个人信息因其特殊性而更受关注。

北京世辉律师事务所合伙人卢璟介绍，《个人信息保护法》将“医疗健康”信息视为敏感信息，医疗行业中的大量患者相关信息均会因其“医疗健康”的属性落入敏感个人信息的范畴。例如：诊疗过程中的病历信息、不良反应报告信息、临床试验数据等。

以国际临床试验为例，中伦律师事务所合伙人蔡鹏介绍，在国际临床试验合作中，将会涉及构成敏感个人信息的医疗数据，数据处理者在收集处理敏感个人信息时，应当遵循《个人信息保护法》中关于处理敏感个人信息的合规要求，并按规定事前进行个人信息保护影响评估。同时，涉及跨境提供的，境内数据提供者还需要确保符合《个人信息保护法》中针对个人信息跨境提供的规则。

除了上述监管要求，如果国际合作临床试验所涉数据被认定为“健康医疗大数据”、“人口健康信息”或是涉及到基因、基因组等遗传物质或遗传材料，则需按照《国家健康医疗大数据标准、安全和服务管理办法（试行）》《人口健康信息管理办法（试行）》《中华人民共和国人类遗传资源管理条例》或是《人类遗传资源管理条例实施细则（征求意见稿）》等法规的具体要求进行合规处理。

今年2月，国家卫生健康委公布对全国政协委员陈红专《关于加强临床研究受试者个人信息数据保护的提案》答复的函。其中提到，对“关于数据不出境但是处理结果出境、境外机构通过代理人在内地临床数据等新的挑战，相关部分应及时出台有效应对办法”的建议，国家卫健委将积极配合相关部门推动出台有关应对办法，并在此基础上推进医疗卫生机构落实相关工作。

相关企业迎挑战

对于医疗健康企业而言，实现医疗数据跨境合规有何难点？

从医药企业的角度来看，卢璟指出，医药企业需要付出额外的时间成本履行合规义务，药品、医疗器械的研发时间也会相应增加。而部分合规要求（例如：在向境外提供个人信息前，要向自然人告知每一境外接收方的名称和联系方式），在临床试验国际合作的场景下可能难以落地执行。

“在规则设计层面过于严格的合规要求，很可能会导致在规则实施层面的普遍性违法，从而影响法规的严肃性。”卢璟说。

因此，他建议在《数据安全法》《个人信息保护法》的框架下，结合医药行业的特性，有针对性地设计行业规则，既保护个人权益及数据安全，又兼顾药品、医疗器械创新研发效率。

锘崴科技创始人、董事长王爽则认为，目前医疗数据跨境的难点主要在于满足跨境合规性前提下同时满足不同业务场景的需求。在国内，医疗数据可能涉及到多部法律法规，在不同场景下将产生不同的受保护数据分类。而全球各国的法律规制并不相同，因此也将产生不同的分类分级标准。

对此，王爽建议在进行医疗数据跨境前，相关企业和机构应首先确保根据本国法律法规要求进行数据的分类分级。然后，在数据出境时寻找各国要求的共同点，以符合规定。这其中，可通过隐私计算等技术手段处理明确规定无法交换的数据，使其以达到合规要求，实现跨境医疗数据在“可用不可见”模式下“可管、可控、可计量”的合作。此外，建设完备的人员制度同样必不可少，应形成由决策层、管理层、执行层、监督层及协同层构成的组织结构。同时，完善文档制度，应包含与数据安全相关的政策方针、制度流程规范、人员培训材料、数据收集情况等详细内容。

中伦律师事务所认为，企业实施医疗数据信息跨境传输必须明确数据收集、使用、传输发送和接收方，以及为此提供服务的第三方，明确医疗数据内容与属性；明确数据存储地；同时定好数据出境计划等方案，定立涵盖数据处理目的、方式和采取的安全措施等条款的协议；还应完善重要数据处理活动风险自评机制、网络安全等级保护机制、关键信息基础设施（CII）安全保护机制以及非CII运营者网络安全审查应对机制。

对于有上市需求的医疗健康企业而言，数据跨境监管趋严所产生的影响或更为直接。“医疗大数据企业已经将数据跨境的难题作为选择上市地的考虑重点之一。”互联网医疗系统与应用国家工程实验室副主任翟运开表示。

近期，医疗大数据龙头零氪科技撤回美国IPO计划。其先前披露的招股书显示，该公司有超过250万名患者超过900万次纵向医疗记录。在去年7月该公司突然暂停赴美IPO后，同年9月曾传出或转赴香港上市的消息，零氪并未对此进行回应。

促进国际医疗数据流动

目前，国际上对于个人健康医疗数据跨境流动的专门标准并不多，国际标准化组织（ISO）2004年颁布的《健康信息学 推动个人健康信息跨国流动的数据保护指南》提及，除保护数据主体切身利益所必要的传输之外，个人健康数据不应传输，除非得到数据主体明确的同意。澳大利亚则明确禁止与健康医疗相关的数据出境。

“医疗数据在不同国家的流通对于推动相关领域科学研究和产业发展并进一步推动医疗健康服务水平意义重大，但越来越多的国家或地区基于‘重要’‘敏感’数据对国家安全或个人隐私保护医院数据合规，公开呼吁将医疗健康数据完全本地化，这不利于促进数据自由流动，更不利于科学研究和产业发展。”翟运开表示。

对于我国而言，一方面，可通过完善医疗数据合规跨境的制度体系本身推动面向国际的数据流动。蔡鹏指出，《个人信息保护法》的出台毋庸置疑使得企业面临更高的合规成本，但该法案的问世也是我国在保障人权上的一大进步，促使我国企业在相关领域与国际接轨，并得到国际认可。以GDPR为例，若我国后续的配套立法能够与之接轨，那么对于国内企业与欧洲的企业、高校、医院开展深度科研临床合作，在保障国家安全的情况下促进数据流动，将具有十分积极的意义。

另一方面医院数据合规，我国还多番探索数据跨境试点。早在2019年7月，国务院印发《中国（上海）自由贸易试验区临港新片区总体方案》，明确支持新片区聚焦生物医药等关键领域，试点开展数据跨境流动的安全评估，建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制。2020年底，北京市又聚焦人工智能、生物医药等关键领域推进数据跨进流动安全管理试点工作。

“医疗数据作为特殊数据，应该建立什么样的跨境流动机制，法律法规和实践的确都还需要进一步明确。”翟运开强调。他建议我国可参考欧盟及其他国家经验，设立符合我国国情需要的多样化合法流动机制，以及指引性的数据跨境流动协议范本。

同时，从国际协调来看，可推动形成数据跨境统一治理体系，由相应的国际组织，如WHO、ITU等，联合制定医疗健康数据跨境流动与交易的详细规范，共同协商制定有关国际标准。面对海量医疗大数据跨境传输保护，形成独立统一的数据保护执法机构，独立实现对数据活动安全的保障，避免不同国家重复执法，提高数据流动效率。