人类遗传资源在生物医学领域、人类起源探索等方面有重要的价值,而随着医药企业、医疗机构等利用网络采集、处理人类遗传资源信息已成为常态,相关违规违法行为更为便利,监管难度更大,因此,对人类遗传资源的合理保护和使用也需要加强。

2018年10月24日,科技部首次公布了人类遗传资源的行政处罚信息,这也意味着国家对医疗行业开始更严格的监管,处罚单位涉及阿斯利康、药明康德、华大基因、上海华山医院等。其中,有两起违法案件与人类遗传资源出境有关,即华大科技与华山医院未经许可与英国牛津大学开展中国人类遗传资源国际合作研究,华大科技未经许可将部分人类遗传资源信息从网上传递出境;苏州药明康德公司未经许可将5165份人类遗传资源(人血清)作为犬血浆违规出境。

一、人类遗传资源数据-审核出境

根据《中华人民共和国人类遗传资源管理条例》(下称“《条例》”),人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。《人类遗传资源管理条例实施细则(征求意见稿)》第2条规定:“人类遗传资源信息是指利用人类遗传资源材料产生的人类基因、基因组数据等信息资料”目前,我国对人类遗传资源信息出境的主管部门为科技部。

按照《条例》第27、28条之规定,人类遗传资源材料出境需要取得科技部出具的人类遗传资源材料出境证明。而向境外提供人类遗传资源信息,应当向科技部备案并提交信息备份。

二、人类遗传资源数据-安全评估出境

《数据出境安全评估办法》(下称“《评估办法》”)规定,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

依据上述条款,人类遗传资源数据涉及其中的重要数据以及敏感个人信息。具体而言,根据《信息安全技术-重要数据识别指南》,反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据。同时,属于人类遗传资源信息的个人生物识别信息与健康生理信息也是《信息安全技术-个人信息安全规范》中规定的个人敏感信息。

因此,人类遗传资源数据也符合《评估办法》中数据出境安全评估的条件。

三、人类遗传资源数据合规出境方式选择

从前两章可见,人类遗传资源数据既有审核出境的要求,又符合数据出境安全评估的条件,那么人类遗传资源数据出境除了按以往科技部审批出境外,是否还需按个保法的规定进行安全评估出境呢?

对此,目前监管机构尚未明确规定。但是笔者的观点是人类遗传资源数据仅进行科技部审批出境即可。根据2022年8月8日发布的《医疗卫生机构网络安全管理办法》(下称“《管理办法》”),数据全生命周期活动应在境内开展,因业务确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估或审核。由此可见,安全评估和审核都是医疗卫生机构数据出境的一种方式,而如人遗资源此类数据既已通过科技部审批,则无需再进行安全评估,但医药企业的其他医疗健康数据出境仍需进行“数据出境安全评估”。

综上可见,国家对人类遗传资源数据的管控日趋严格,由于医疗行业往往掌握着此类数据,更需要重视对此类数据的合规处理,避免违法行为的发生。

01 东数西算系列

02数据合规系列

03互联网版权系列