人类遗传资源数据合规考察
前言
人类遗传资源在生命科学领域有着重要地位。以基因资源为例,前不久揭晓的2020年诺贝尔化学奖得主[1]就是凭借基因编辑技术摘得殊荣。近年来,我国愈发重视人类遗传资源的保护与科学利用。2016年,我国加入了《名古屋遗传资源议定书》[2],其中确立的“惠益分享”原则意在打破发达国家仅利用发展中国家的人类遗传资源却不与其分享惠益的局面。在此背景下,2019年国务院颁布实施了《人类遗传资源管理条例》[3]。新规接轨《名古屋遗传资源议定书》的相关要求,在内国法层面将“惠益分享”原则、“伦理审查”程序等落实到具体的法律条文。并且,新规区分出“人类遗传资源材料”和“人类遗传资源信息”,充分考虑了信息时代下通过互联网交互数据的场景,结合实物材料和电子信息的不同特性,在监管上采用了更为细化的制度设计。本篇从网络安全和数据安全维度对《人类遗传资源管理条例》的相关要求进行梳理,重点分析人类遗传资源信息处理中的合规问题。
一、人类遗传资源相关概念及监管框架
1、人类遗传资源的概念和监管机构
《人类遗传资源管理条例》项下的“人类遗传资源”包括“人类遗传资源材料”和“人类遗传资源信息”。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料,而人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。[4]《人类遗传资源管理条例》所规范的人类遗传资源处理活动包括采集、保藏、利用和对外提供。[5]
科技部是负责全国人类遗传资源管理工作的部门,国务院其他有关部门将在各自职责范围内负责有关管理工作[6],例如,网信部门负责管理人类遗传资源信息的安全、合规。对于涉及人类遗传资源利用的医药企业、医疗机构等来说,不仅需要符合科技部有关监管要求,还需要符合网信等部门的监管要求。
2、人类遗传资源信息处理需符合数据合规要求
《人类遗传资源管理条例》区分了“人类遗传资源材料”和“人类遗传资源信息”。其中,“人类遗传资源信息”与《网络安全法》项下的“个人信息”和“重要数据”均有交集。具体来说,基因数据、指纹、声纹等个人生物识别信息,以及家族病史等个人健康生理信息,既属于人类遗传资源信息,也属于《信息安全技术-个人信息安全规范》[7]中列举的个人敏感信息,个人敏感信息是一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息[8];个人和家族的遗传信息,既是人类遗传资源信息,也属于《信息安全技术-数据出境安全评估指南(征求意见稿)》[9]所列举27个行业的重要数据中的“A18-人口健康”数据。近期,《个人信息保护法(草案)》[10]《数据安全法(草案)》[11]等陆续发布,为合规处理“个人信息”和“重要数据”提供了重要指引。
涉及人类遗传资源利用的医药企业、医疗机构等处理人类遗传资源信息应遵守网络安全与数据安全方面的监管要求。《网络安全法》项下的“网络运营者”,是指网络的所有者、管理者和网络服务提供者。[12]医药企业、医疗机构等如利用网络开展人类遗传资源信息处理,例如线上采集遗传病史信息、将遗传信息数据存储于数据库、使用遗传信息数据进行研发活动等,则属于使用网络提供服务或开展活动,构成“网络运营者”,应遵守《网络安全法》。
并且,参照《关键信息基础设施安全保护条例(征求意见稿)》[13],由于医药企业、医疗机构等多处于医疗卫生、食品药品等关键行业,可能会被进一步认定为关键信息基础设施运营者(Critical Information Infrastructure Operator,“CIIO”)。[14]《网络安全法》对CIIO的监管更为严格,尤其是在数据出境方面。
二、人类遗传资源的采集
1、采集人类遗传资源应遵守科技部门的一般和特殊性要求
《人类遗传资源管理条例》适用于在中国境内从事的中国人类遗传资源的采集行为。中国人类遗传资源的采集仅限我国的科研机构、高等学校、医疗机构、企业(“中方单位”)进行,外国组织及外国组织、个人设立或者实际控制的机构(“外方单位”)不得在我国境内采集人类遗传资源。[15]
采集“特定类型”的人类遗传资源,即我国重要遗传家系、特定地区人类遗传资源或者采集国务院科学技术行政部门规定种类、数量的人类遗传资源,应通过科技部审批。[16]例如,为研发新冠疫苗,采集武汉地区的人类基因数据或病理数据,就需要审批。在申请审批时,申请单位需提供采集方案、知情同意书、伦理审查批件及人类遗传资源管理制度等申请材料,供科技部审查。
对于不涉及前述“特定类型”的人类遗传资源的采集行为,《人类遗传资源管理条例》未要求审批/备案,但仍需满足采集人类遗传资源的一般性要求,即事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利,征得人类遗传资源提供者书面同意。[17]
2、采集人类遗传资源信息应遵守网信等部门的个人信息收集要求
人类遗传资源的采集包括对人类遗传资源信息的收集。收集人类遗传资源信息的方式有多种,不仅有传统的填写表格方式,还有诸如让个人信息主体在网站、APP中输入遗传信息资料、录入指纹或声纹等数字化方式。
收集人类遗传资源信息应遵循《网络安全法》确立的合法、正当、必要原则[18]。《人口健康信息管理办法(试行)》中提到了“一数一源,最少够用”的收集原则[19],这与个人信息收集、使用的“必要”原则相一致,在人类遗传资源信息采集中可以借鉴。根据《个人信息保护法(草案)》,采集人类遗传资源信息,属于处理敏感个人信息的行为,应当“具有特定的目的和充分的必要性”。[20]
《人类遗传资源管理条例》强调采集人类遗传资源信息需要征得人类遗传资源提供者的“书面同意”。而依据《信息安全技术-个人信息安全规范》,采集基因数据、家族病史等遗传信息,还需按照收集“个人敏感信息”的要求,取得个人信息主体的“明示同意”,即个人信息主体在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。[21]
信息收集方应尊重个人信息主体的意愿,不应要求个人信息主体一次性接受并授权同意全部信息收集请求,应向个人信息主体提供对各项请求分别选择“同意”或“拒绝”的选项。[22]例如,某提供基因检测服务的企业如要求个人信息主体接受服务前必须一并同意采集基因数据进行基因检测、利用基因数据进行研发活动以及将基因数据与其他企业分享等要求,这种方式就违反了前述要求。为达到上述要求,信息收集方可在《个人信息保护政策》或《隐私政策》等书面材料中明确人类遗传资源信息的收集、使用场景,收集的目的、方式和范围等内容,征求个人信息主体的同意,并告知个人信息主体对其提供的个人信息享有的权利和权利行使途径。信息收集方应避免违规收集个人信息,比如默认个人信息主体同意被收集信息、超范围收集信息、收集与所提供服务或披露的目的无关的信息、不提供撤回同意的途径等。
三、人类遗传资源的保藏
1、保藏人类遗传资源需经科技部审批
《人类遗传资源管理条例》项下的“保藏”,是指将来源合法的人类遗传资源保存在适宜环境条件下,保证其质量和安全,用于未来科学研究的行为,不包括实验室检测后按照法律、法规要求或临床研究方案约定的临时存储行为。[23] “保藏”不限于以人类遗传资源保存为最终目的的行为,也包括为了用于未来科学研究而对材料或信息进行存储。实践中,例如将人类精子冷冻保存于精子库、将遗传资料数据存于数据库等,都属于保藏行为。但是,如医药企业、医疗机构等后续利用保藏的样本或数据开展国际合作科学研究或临床试验,则涉及人类遗传资源的“利用”,另需办理相应的审批或备案手续。
中国人类遗传资源的保藏仅限中方单位进行,外方单位不得在我国境内保藏人类遗传资源。[24]保藏我国人类遗传资源的单位需按照申请条件在科技部办理审批[25],这意味着,不同的保藏单位对同一份人类遗传资源信息分别进行保藏,每一家保藏单位应单独取得审批。保藏单位应落实保藏管理工作,采取安全措施,制定应急预案,记录保藏情况并留档,每年度向科技部提交年报等。[26]
2、存储人类遗传资源信息应做好数据安全管理
存储人类遗传资源信息的医药企业、医疗机构等,如本篇中分析,属于《网络安全法》项下的“网络运营者”,应按照网络安全等级保护的要求,履行网络安全保护义务。[27]相关医药企业、医疗机构如被认定为CIIO,还应满足更为严格的网络与数据安全要求。另外,如本篇中分析,人类遗传资源信息会涉及到“重要数据”。按照《数据安全法(草案)》的要求,重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任,定期开展风险评估,并向有关主管部门报送风险评估报告。[28]
医药企业、医疗机构等存储人类遗传资源信息,应做好数据安全与合规管理工作。例如,对中国人高血压遗传数据库应做到数据管理的分级分类、访问日志的留存、数据存储的容灾备份、数据传输的加密措施、数据处理活动的记录和归档等。[29]
四、人类遗传资源的利用
1、中外合作“利用”人类遗传资源需经科技部审批或备案
人类遗传资源的“利用”,是对利用人类遗传资源材料或信息开展研发生产活动的统称。中方单位自行“利用”人类遗传资源开展研发生产活动,以及与其他中方单位分享人类遗传资源或开展合作研发,无需审批或备案。[30]涉及外方单位的“利用”行为则需要科技部审批/备案,具体是指:(1)“国际合作科学研究”:适用审批制,例如“关于肿瘤抑制基因的研究”;(2)“国际合作临床试验”:适用备案制,例如“保健品服用前后的皮肤微生物变化的临床测试”。
所谓“国际合作”,是指“中方单位”与“外方单位”进行合作。“外方单位”是指“外国组织及外国组织、个人设立或者实际控制的机构”,包括外国机构、在华外资机构,以及受外国或外资机构控制的在华内资机构。[31]根据我们向科技部中国人类遗传资源管理办公室的匿名咨询,目前监管上对“外方单位”的认定会采取较为严格的标准。所有向上追溯含有外资成分的企业均构成“外方单位”,不论外资比例多少;由外方通过VIE(“可变利益实体”)协议控制[32]的境内企业也会被认定为“外方单位”。
2、使用人类遗传资源信息应遵循有关数据处理规则
除传统的人类遗传资源样本的研究利用外,医药企业、医疗机构等还将利用人类遗传资源信息开展研发生产活动。在利用人类遗传资源信息的研发活动中,医药企业、医疗机构等应遵守《网络安全法》及相关法律法规以及与个人信息主体的约定,按照采集信息时告知的目的、方式和范围使用人类遗传资源信息,需超出个人信息主体授权范围使用人类遗传资源信息的,应再次征得个人信息主体的明示同意[33]。
医药企业、医疗机构等应当对人类遗传资源信息提供者的个人隐私严格保密,未经同意不得向他人提供或公开信息。[34]按照《个人信息保护法(草案)》的要求,如需向第三方提供个人信息,应当向个人信息主体具体告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人信息主体的单独同意。[35]此外,多家医药企业、医疗机构合作利用人类遗传资源信息进行研发活动,如由两家或两家以上的医药企业、医疗机构作为共同个人信息控制者,共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。[36]
五、人类遗传资源的对外提供
1、人类遗传资源出境需经科技部审批或备案
人类遗传资源的“对外提供”,是指人类遗传资源材料或信息的出境。根据《人类遗传资源管理条例》,中国人类遗传资源材料的出境需科技部审批,中国人类遗传资源信息的出境需向科技部备案。[37]其中,材料出境可能通过运送、邮寄或携带等方式出境[38];信息出境包括向外方提供或向外方开放使用[39]。需注意,是否需要审批/备案的衡量标准为中国人类遗传资源材料或信息是否提供到境外,而人类遗传资源的接收方与提供方的关联关系并不影响判断。因此,即便是医药企业集团内部的境内主体向境外主体分享材料或信息,也应依法取得审批或办理备案。
关于数据出境,根据《人类遗传资源管理条例》,将人类遗传资源信息向外方提供或开放使用,应向科技部备案并提交信息备份。可能影响我国公众健康、国家安全和社会公共利益的,应通过科技部组织的安全审查。[40]
2、人类遗传资源信息出境还面临网信部门监管
根据《网络安全法》,CIIO在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。[41]具体的安全评估办法,有待网信部门会同其他有关部门制定。在《个人信息和重要数据出境安全评估办法(征求意见稿)》[42]和《个人信息出境安全评估办法(征求意见稿)》[43]中,安全评估的适用主体已由CIIO扩大为所有网络运营者,并具体规定了数据出境的评估程序和评估内容等。
如本篇中分析,利用网络提供服务或开展业务的医药企业、医疗机构等,属于网络运营者,甚至可能被认定为CIIO。如需将人类遗传资源信息出境,应接受网信部门监管,对有关数据出境进行安全评估。可见,人类遗传资源信息出境不仅需要通过科技部组织的安全审查,还需按照网信部门的要求通过数据出境安全评估。需注意的是,人类遗传资源国际合作可在境内实现,如不涉及数据出境,则不适用有关数据出境安全评估的程序。
对于广大医药企业、医疗机构来说,在遵循《人类遗传资源管理条例》及科技部门监管要求的基础上,有机结合网络安全与数据合规的相关要求,将有助于合规开展人类遗传资源的处理活动。医药企业、医疗机构可通过将网络安全与数据合规的相关内容增加到现有方案、知情同意书、管理制度中,或针对网络安全与数据合规制定单独准备相关材料两种方式来落实合规工作。前一种方式有利于丰富和完善主管机关科技部门所要求的申请材料,更好地满足审批、备案要求;后一种方式更利于医药企业、医疗机构按照科技部门和网信部门的监管方向针对性地准备和提供相应材料,准确但有限度地向监管机关进行披露和汇报。实践中,医药企业、医疗机构选择哪一种方式落实合规工作,需结合医药企业、医疗机构自身情况以及具体业务和项目中人类遗传资源的处理情况来具体考量。
[注]
[1] 2020年诺贝尔化学奖由法国女科学家埃玛纽埃勒·沙尔庞捷和美国女科学家珍妮弗·道德纳获得,以表彰她们发明了基因修饰方法(俗称“基因剪刀”)CRISPR-Cas9。
[2] 《<生物多样性公约>关于获取遗传资源和公正公平分享其利用所产生惠益的名古屋议定书》(简称“《名古屋遗传资源议定书》”)于2014年10月生效。2016年9月6日,我国正式成为其缔约方。
[3] 《中华人民共和国人类遗传资源管理条例》(简称“《人类遗传资源管理条例》”)国务院令第717号,2019年3月20日国务院第41次常务会议通过,2019年7月1日实施。
[4] 参见《人类遗传资源管理条例》第2条。
[5] 参见《人类遗传资源管理条例》第3条。
[6] 参见《人类遗传资源管理条例》第4条。
[7] 最新版《信息安全技术 个人信息安全规范》,由国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布,2020年10月1日实施。
[8] 参见《信息安全技术-个人信息安全规范》第3.2条。
[9] 《信息安全技术 数据出境安全评估指南(征求意见稿)》,由全国信息安全标准化技术委员会于2017年8月30日发布。
[10] 《个人信息保护法(草案)》,由全国人民代表大会常务委员会于2020年10月21日发布。
[11] 《数据安全法(草案)》,由全国人民代表大会常务委员会于2020年7月3日公布。
[12] 《网络安全法》第76条。
[13] 《关键信息基础设施安全保护条例(征求意见稿)》,由国家互联网信息办公室于2017年7月10日发布。
[14] 参见《关键信息基础设施安全保护条例(征求意见稿)》第18条。
[15] 参见《人类遗传资源管理条例》第7条。
[16] 参见《人类遗传资源管理条例》第11条。
[17] 参见《人类遗传资源管理条例》第12条。
[18] 参见《网络安全法》第41条。
[19] 参见《人口健康信息管理办法(试行)》第8条。
[20] 参见《个人信息保护法(草案)》第21条。
[21] 参见《信息安全技术 个人信息安全规范》第5.4 (b)条。
[22] 参见《信息安全技术 个人信息安全规范》第5.3条。
[23] 参见《中国人类遗传资源保藏审批行政许可事项服务指南》。
[24] 参见《人类遗传资源管理条例》第7条。
[25] 参见《人类遗传资源管理条例》第14条。
[26] 参见《人类遗传资源管理条例》第15条。
[27] 参见《网络安全法》第21条。
[28] 参见《数据安全法(草案)》第25、27、28条。
[29] 参见《信息安全技术 网络安全等级保护基本要求》。
[30] 参见《人类遗传资源管理条例》第19条。
[31] 参见《人类遗传资源管理条例》第21条。
[32] VIE协议控制:境外注册的上市实体与境内的业务运营实体相分离,境外的上市实体通过协议的方式控制境内的业务实体,业务实体就是上市实体的VIEs(可变利益实体)。
[33] 参见《信息安全技术-个人信息安全规范》第7.3条。
[34] 参见《网络安全法》第42条和《个人信息保护法(草案)》第26条。
[35] 参见《个人信息保护法(草案)》第24条。
[36] 参见《个人信息保护法(草案)》第21条。
[37] 参见《人类遗传资源管理条例》第27条和第28条。
[38] 参见《中国人类遗传资源材料出境审批行政许可事项服务指南》。
[39] 参见《中国人类遗传资源信息对外提供或开放使用备案范围和程序》。
[40] 参见《人类遗传资源管理条例》第28条。
[41] 参见《网络安全法》第37条。
[42] 《个人信息和重要数据出境安全评估办法(征求意见稿)》,由国家互联网信息办公室于2017年4月11日发布。
[43] 《个人信息出境安全评估办法(征求意见稿)》,由国家互联网信息办公室于2019年6月13日发布。
The End
作者简介
周洋 律师
上海办公室 合伙人
业务领域:收购兼并, 资本市场/证券, 合规/政府监管, 科技、电信与互联网
王佳一
上海办公室 公司部
作者往期文章推荐:
《新基建主题系列——互联网数据中心网络和数据安全合规性分析(下)》
《新基建主题系列——互联网数据中心网络和数据安全合规性分析(上)》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。