亚洲某医院与某医学中心合作研究项目通过了数据出境安全评估,成为全国首个成功案例。亚洲某医院数据出境安全评估成功案例涉及亚洲某医院普外中心和欧洲某医学中心普通外科作为全球牵头中心发起的国际多中心临床研究项目。项目筹备阶段,亚洲某医院即启动了该项目的数据出境审批申报工作。截至2022年4月,亚洲某医院已经入组病例研究一百余例。
该例数据出境安全评估成功案例对后续数据出境安全评估申报具有较大指导意义,本文结合现有公开信息、法规文件对亚洲某医院案例作概要评析。
根据《数据出境安全评估办法》第四条规定,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
首先,医院所处理的医疗健康数据,不仅属于患者个体的个人信息,还会涉及国家人类遗传资源和生物安全。但就目前公开信息的情况下,若亚洲某医院数据出境项目仅涉及百余例入组病例的医疗数据,相关数据构成重要数据的可能性相对较小。
其次亚洲某医院在卫生健康系统内享有重要地位,其处理的个人信息所涉个人信息主体的数量可能远远超过100万的门槛。因此被认定为关键信息基础设施运营者具有很大可能性
《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》第三十条规定,责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件,加强对健康医疗大数据的存储管理。健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。实践中,相关医疗健康数据即便经过脱敏,亦通常构成敏感个人信息。医疗类数据出境项目是否达到《数据出境安全评估办法》对应的该项申报门槛与实际的出境数据、累计的数据出境规模相关。
综上所述,国樽律师认为对符合条件的数据予以出境申报是企业的强制法定义务,医疗机构在国际合作中需要根据具体情况判断数据是否涉及物理出境和境外远程访问;如属于数据出境情形,评估是否符合申报条件;对于符合条件的,应当开展自评估并及时进行申报。
