為更好服務(wù)健康醫(yī)療企業(yè)，尤其是待上市企業(yè)的數(shù)據(jù)合規(guī)落地工作，本篇將具體介紹健康醫(yī)療企業(yè)IPO數(shù)據(jù)合規(guī)審查相關(guān)重點(diǎn)及應(yīng)對(duì)建議。相關(guān)建議以《網(wǎng)絡(luò)安全法》及其配套法規(guī)為代表的現(xiàn)行有效的數(shù)據(jù)合規(guī)體系的明確要求為基礎(chǔ)，結(jié)合醫(yī)療專業(yè)領(lǐng)域數(shù)據(jù)合規(guī)特殊要求而提出。需特別注意的是，鑒于2020年部分問詢案例出現(xiàn)以《數(shù)據(jù)安全法（草案）》等未生效法律法規(guī)作為評(píng)審依據(jù)的情形[1]，相關(guān)建議將充分考慮《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等尚未正式生效但對(duì)數(shù)據(jù)合規(guī)工作產(chǎn)生顯著影響的草案版本的合規(guī)要求。

?

此外，近期發(fā)布并將于2021年7月1日生效的《健康醫(yī)療數(shù)據(jù)安全指南》，為健康醫(yī)療數(shù)據(jù)全生命周期管理提供詳細(xì)的合規(guī)指引，其將作為本篇建議的主要標(biāo)準(zhǔn)來源。

?

健康醫(yī)療企業(yè)上市數(shù)據(jù)合規(guī)審查重點(diǎn)

?

基于我們對(duì)公開材料的梳理，數(shù)十家企業(yè)在上市審核過程中受到數(shù)據(jù)合規(guī)相關(guān)問題的詢問。其中，健康醫(yī)療領(lǐng)域目前有一家科創(chuàng)板上市公司、四家創(chuàng)業(yè)板上市公司（含仍處于上市審核階段的公司），在問詢階段被直接要求回復(fù)與數(shù)據(jù)合規(guī)相關(guān)的問題。具體公司及相關(guān)情況如下表所示：

點(diǎn)擊圖片查看大圖

?

基于上述公司的招股說明書、審查反饋意見、問詢函、發(fā)審委會(huì)議審核公告等文件，同時(shí)結(jié)合筆者在之前《科技企業(yè)上市之?dāng)?shù)據(jù)合規(guī)（上）——審核要點(diǎn)篇》、《科技企業(yè)上市之?dāng)?shù)據(jù)合規(guī)（中）——識(shí)別風(fēng)險(xiǎn)篇》、《科技企業(yè)上市之?dāng)?shù)據(jù)合規(guī)（下）—— 數(shù)據(jù)合規(guī)治理篇》一文中梳理的"企業(yè)上市須應(yīng)對(duì)的數(shù)據(jù)合規(guī)重點(diǎn)問題"的分類方式，我們針對(duì)上述公司涉及的數(shù)據(jù)合規(guī)問題進(jìn)行梳理，以期全面展現(xiàn)擬上市健康醫(yī)療企業(yè)將面臨的數(shù)據(jù)合規(guī)問詢。??

點(diǎn)擊圖片查看大圖

?

整體而言，"數(shù)據(jù)源合規(guī)"及"數(shù)據(jù)安全"系上市評(píng)審機(jī)構(gòu)所重點(diǎn)關(guān)注的數(shù)據(jù)合規(guī)問題。"數(shù)據(jù)源合規(guī)"包括數(shù)據(jù)源獲取渠道及其合規(guī)性評(píng)價(jià)，這要求待上市企業(yè)前期對(duì)公司底層所有數(shù)據(jù)資產(chǎn)進(jìn)行完整梳理，實(shí)現(xiàn)數(shù)據(jù)字段的溯源盤點(diǎn)，保證既有數(shù)據(jù)及新增數(shù)據(jù)獲取的合法合規(guī)性。"數(shù)據(jù)安全"主要關(guān)注數(shù)據(jù)合規(guī)制度管理建設(shè)及技術(shù)保障措施落實(shí)情況，這要求待上市企業(yè)搭建完善的數(shù)據(jù)合規(guī)管理制度體系，并搭配必要的技術(shù)保障措施。

健康醫(yī)療企業(yè)上市數(shù)據(jù)合規(guī)開展建議

?

健康醫(yī)療數(shù)據(jù)全生命周期管理，覆蓋數(shù)據(jù)收集、存儲(chǔ)、使用、內(nèi)部管理、對(duì)外提供等環(huán)節(jié)。下文將根據(jù)上市數(shù)據(jù)合規(guī)審查重點(diǎn)問題分類方式，糅合數(shù)據(jù)全生命周期管理要求，為待上市企業(yè)提供直觀應(yīng)對(duì)建議。

?

?

1．基本要求梳理

?

健康醫(yī)療數(shù)據(jù)，尤其是可直接或結(jié)合其他信息識(shí)別具體自然人或者反映其身心健康狀態(tài)的個(gè)人健康醫(yī)療數(shù)據(jù)，基本落入"個(gè)人敏感信息"范疇，其在收集階段需嚴(yán)格落實(shí)"必要信息告知+獲取信息主體明示授權(quán)同意"的要求。此外，大量的健康醫(yī)療數(shù)據(jù)，可能與國家安全、社會(huì)公共利益等相關(guān)，存在被認(rèn)定為"重要數(shù)據(jù)"的可能性，同樣需評(píng)估其收集及后續(xù)處理的合規(guī)性。

?

2．具體場景分析

?

在健康醫(yī)療企業(yè)實(shí)際業(yè)務(wù)場景中，數(shù)據(jù)源渠道呈現(xiàn)多樣化特征。數(shù)據(jù)源合法合規(guī)性保障需結(jié)合各具體場景進(jìn)行分析及落實(shí)。

點(diǎn)擊圖片查看大圖

?

?

1．基本要求梳理

?

針對(duì)現(xiàn)有部分案例涉及數(shù)據(jù)權(quán)屬的問詢情形，我們理解，評(píng)審機(jī)構(gòu)主要關(guān)注點(diǎn)在于，數(shù)據(jù)權(quán)屬問題存在瑕疵，可能會(huì)影響后續(xù)數(shù)據(jù)處理一系列行為的合法性、有效性，包括衍生數(shù)據(jù)成果的歸屬等。

?

目前國內(nèi)法律法規(guī)尚未對(duì)數(shù)據(jù)的"所有權(quán)"（包括個(gè)人信息的所有權(quán)）問題作出明確規(guī)定。相對(duì)而言，《GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范》（以下簡稱"《個(gè)人信息安全規(guī)范》"）所使用的"個(gè)人信息控制者"定義，以及《健康醫(yī)療數(shù)據(jù)安全指南》所使用的"健康醫(yī)療數(shù)據(jù)控制者"概念，均引入了數(shù)據(jù)"控制權(quán)"的理念，此與歐盟GDPR等域外立法所采用的處理方式基本一致。從數(shù)據(jù)"控制權(quán)"角度考慮，明確數(shù)據(jù)控制者角色及對(duì)應(yīng)職責(zé)，控制者享有數(shù)據(jù)"控制權(quán)"并對(duì)應(yīng)承擔(dān)對(duì)用戶權(quán)益保護(hù)及數(shù)據(jù)安全的責(zé)任，是解答關(guān)于數(shù)據(jù)權(quán)屬問題的一種主要思路。

?

另一方面，鑒于數(shù)據(jù)可能隱含數(shù)據(jù)處理主體的商業(yè)秘密、商標(biāo)、版權(quán)等信息，數(shù)據(jù)權(quán)屬可能覆蓋相關(guān)知識(shí)產(chǎn)權(quán)。目前國內(nèi)相關(guān)知識(shí)產(chǎn)權(quán)法規(guī)明確，在不違反相關(guān)法律法規(guī)的前提下，尊重各相關(guān)方對(duì)特定知識(shí)成果的權(quán)屬約定。

?

2．具體場景分析

?

具體到健康醫(yī)療行業(yè)，關(guān)于數(shù)據(jù)權(quán)屬的討論，主要存在于涉及多方數(shù)據(jù)共享（可能包括進(jìn)一步研發(fā)）的場景，覆蓋原始數(shù)據(jù)權(quán)屬，以及基于原始數(shù)據(jù)而衍生形成的研發(fā)數(shù)據(jù)、算法、模型、核心技術(shù)的權(quán)屬約定。對(duì)于這兩類情形，建議同時(shí)考慮上述提及的"數(shù)據(jù)控制權(quán)"及"知識(shí)產(chǎn)權(quán)"歸屬。

?

針對(duì)原始數(shù)據(jù)權(quán)屬，需評(píng)估與原始數(shù)據(jù)提供方/接收方之間的關(guān)系，一般由有能力決定數(shù)據(jù)處理目的及方式的一方作為數(shù)據(jù)控制者，其在法律法規(guī)規(guī)定及用戶授權(quán)同意的基礎(chǔ)上享有數(shù)據(jù)處理的權(quán)利。如企業(yè)希望獲取數(shù)據(jù)控制權(quán)，需評(píng)估自身業(yè)務(wù)模式是否符合上述要求，以及自身是否具備承擔(dān)保護(hù)用戶合法權(quán)益及數(shù)據(jù)安全責(zé)任的能力。此外，關(guān)于原始數(shù)據(jù)的知識(shí)產(chǎn)權(quán)約定，建議雙方在最初的合作協(xié)議中，在不違反現(xiàn)行法律法規(guī)的基礎(chǔ)上進(jìn)行約定。

?

針對(duì)衍生成果（研發(fā)數(shù)據(jù)、算法、模型、核心技術(shù)等）權(quán)屬，需在上述針對(duì)原始數(shù)據(jù)權(quán)屬評(píng)估的基礎(chǔ)上，由雙方針對(duì)衍生成果在數(shù)據(jù)控制權(quán)、知識(shí)產(chǎn)權(quán)層面的權(quán)益歸屬進(jìn)行明確約定。

?

?

1．基本要求梳理

?

數(shù)據(jù)對(duì)外提供包括數(shù)據(jù)委托處理、數(shù)據(jù)共享、數(shù)據(jù)轉(zhuǎn)讓等不同情形，也包括數(shù)據(jù)跨境傳輸這類特殊場景。數(shù)據(jù)委托處理場景下，數(shù)據(jù)合規(guī)及安全責(zé)任主要由控制者承擔(dān)，受托方需嚴(yán)格按照與控制者的協(xié)議約定，在控制者的指示下處理數(shù)據(jù)；數(shù)據(jù)共享場景下，雙方互為數(shù)據(jù)控制者并共同對(duì)數(shù)據(jù)主體承擔(dān)責(zé)任，雙方需在合作協(xié)議中厘清彼此的數(shù)據(jù)合規(guī)權(quán)利義務(wù)。

?

健康醫(yī)療數(shù)據(jù)跨境傳輸，按照《網(wǎng)絡(luò)安全法》及《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》規(guī)定，涉及個(gè)人信息及重要數(shù)據(jù)的，需在完成安全評(píng)估并報(bào)相關(guān)機(jī)構(gòu)備案后，方可跨境傳輸。依照《健康醫(yī)療數(shù)據(jù)安全指南》要求，因?qū)W術(shù)研討等目的，需要向境外提供非涉密非重要數(shù)據(jù)的信息的，經(jīng)主體授權(quán)同意及機(jī)構(gòu)數(shù)據(jù)安全委員會(huì)審批同意，健康醫(yī)療數(shù)據(jù)控制者可向境外目的地提供個(gè)人健康醫(yī)療數(shù)據(jù)，累積數(shù)據(jù)量宜控制在250條以內(nèi)，否則需提請(qǐng)相關(guān)部門審批。

?

2．具體場景分析

?

對(duì)于健康醫(yī)療企業(yè)而言，日常運(yùn)營中涉及數(shù)據(jù)對(duì)外提供的情形主要包括兩類：一是與合作方基于商業(yè)合作、科研合作目的共享獲得或產(chǎn)生的健康醫(yī)療數(shù)據(jù)；二是與外部合作專家、機(jī)構(gòu)、技術(shù)服務(wù)提供方等合作，委托后者提供數(shù)據(jù)標(biāo)注、存儲(chǔ)、處理、分析等專項(xiàng)服務(wù)。

?

參考《健康醫(yī)療數(shù)據(jù)安全指南》對(duì)于數(shù)據(jù)對(duì)外提供場景的分類及規(guī)定，在第一類場景下，合作方與健康醫(yī)療企業(yè)往往構(gòu)成"控制者——控制者"或者"控制者（合作方）——處理者（健康醫(yī)療企業(yè)）"的關(guān)系。在第二類場景下，健康醫(yī)療企業(yè)與合作方往往構(gòu)成"控制者（健康醫(yī)療企業(yè)）——處理者（合作方）"或者"處理者（健康醫(yī)療企業(yè)）——子處理者（合作方）"的關(guān)系。無論是何種場景，建議健康醫(yī)療企業(yè)應(yīng)在數(shù)據(jù)傳輸前，充分審查合作方的數(shù)據(jù)安全管理能力，并與合作方通過補(bǔ)充協(xié)議方式，要求合作方作為數(shù)據(jù)接收方應(yīng)在約定目的范圍使用數(shù)據(jù)、應(yīng)承擔(dān)保密義務(wù)、信息安全保障義務(wù)等。

?

?

鑒于健康醫(yī)療數(shù)據(jù)的敏感性及重要性，健康醫(yī)療企業(yè)應(yīng)格外重視數(shù)據(jù)安全管理工作。綜合相關(guān)法律法規(guī)要求，我們將關(guān)于健康醫(yī)療數(shù)據(jù)安全管理的核心要求總結(jié)如下：

點(diǎn)擊圖片查看大圖

?

?

醫(yī)療機(jī)構(gòu)作為網(wǎng)絡(luò)運(yùn)營者，應(yīng)認(rèn)真落實(shí)《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求，對(duì)健康醫(yī)療業(yè)務(wù)開展涉及的核心業(yè)務(wù)系統(tǒng)，開展等保測評(píng)及備案，獲取公安機(jī)關(guān)備案證明，并定期開展信息系統(tǒng)測評(píng)審計(jì)。

?

根據(jù)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》規(guī)定，如下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第三級(jí)：傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)；國家、省、地市三級(jí)衛(wèi)生信息平臺(tái)，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級(jí)數(shù)據(jù)中心；三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)等。

?

除等保備案證明外，對(duì)于健康醫(yī)療行業(yè)應(yīng)具備的資質(zhì)要求，例如互聯(lián)網(wǎng)藥品交易、醫(yī)療器械銷售、互聯(lián)網(wǎng)信息服務(wù)等，應(yīng)結(jié)合法律法規(guī)及政策最新要求，及時(shí)申領(lǐng)必要證件，或完成相關(guān)證件續(xù)展更新。

?

?

健康醫(yī)療企業(yè)應(yīng)重視對(duì)公司涉及數(shù)據(jù)合規(guī)相關(guān)的案例、投訴、處罰等的管理，包括建立及時(shí)響應(yīng)機(jī)制、及時(shí)優(yōu)化調(diào)整機(jī)制及記錄機(jī)制。具體而言，健康醫(yī)療企業(yè)（尤其是擬上市企業(yè)）應(yīng)對(duì)公司已收到的涉及數(shù)據(jù)合規(guī)的用戶投訴、糾紛、行政通告或處罰、司法案例等，以及公司已發(fā)生過的數(shù)據(jù)泄露、非法提供等安全事件，進(jìn)行完整盤點(diǎn)，并復(fù)盤對(duì)應(yīng)采取的彌補(bǔ)、優(yōu)化等管理措施，做好問詢應(yīng)對(duì)的前期準(zhǔn)備。

?

此外，鑒于我國目前網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)領(lǐng)域立法不斷發(fā)展，執(zhí)法活動(dòng)呈現(xiàn)頻密化趨勢，建議健康醫(yī)療企業(yè)及時(shí)關(guān)注國內(nèi)立法、執(zhí)法最新趨勢，尤其是國家頂層立法及行業(yè)主管部門制定的專項(xiàng)法規(guī)要求，與時(shí)俱進(jìn)調(diào)整內(nèi)部數(shù)據(jù)合規(guī)管理機(jī)制，降低被動(dòng)合規(guī)帶來的消極影響。

?

?

?