作者:刘新宇 冯中杰

在被称为“个人信息保护元年”的2021年中,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)等规定先后出台,为我国的个人信息保护法律体系搭建了基础的框架。而在进入2022年之后,立法者并未停下完善我国法律体系的脚步,包括《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》(以下简称“《标准合同规定(征求意见稿)》”)在内的各类法律文件相继发布。在这一趋势下,各类企业都面临着愈发严峻的合规压力。医药行业作为一个本就会接触大量个人信息,尤其是敏感个人信息的行业,所面对的监管压力更大,处理合规问题更是首当其冲。以下,笔者将结合实践经验,简述医药企业在个人信息合规领域的常见问题及应对措施,供相关企业参考。

一、医药企业应当关注“敏感个人信息”的合规义务

在个人信息中,有一个相对特殊的类别,即“敏感个人信息”。根据《个人信息保护法》第二十八条的规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”而包括“医疗健康”信息在内的多项信息均被《个人信息保护法》明确列举为敏感个人信息,故医药企业不可避免地需要在业务中对于处理“敏感个人信息”时的合规义务予以特别的关注。根据《个人信息保护法》,笔者建议医药企业作为敏感个人信息的处理者应当特别注意履行以下的义务。

首先,根据《个人信息保护法》第二十九条的规定,在处理敏感个人信息前,医药企业作为个人信息处理者应当取得个人的单独同意作为处理个人信息的合法性基础。这意味着医药企业不能将敏感个人信息与一般个人信息混同,仅获得个人的概括性授权,而应当就敏感个人信息出具单独的《告知同意书》,允许个人仅拒绝其对敏感个人信息的处理行为。需要特别注意的是,敏感个人信息还包括“不满十四周岁未成年人的个人信息”,《个人信息保护法》对于这类信息亦作出了特别规定,即处理前必须获得“未成年人的父母或者其他监护人”的单独同意。在实践中,亦可能存在个别较难获取单独同意的场景,对于这一问题,笔者建议医药企业可以考虑以其他合法性基础代替个人或未成年人监护人的单独同意。《个人信息保护法》第十三条在第二至七项规定了包括“为订立、履行个人作为一方当事人的合同所必需”在内的多项合法性基础,并明确有这些规定情形的,“不需取得个人同意”。故在实践中,如果存在一些较难直接获取个人单独同意的场景,医药企业亦可以考虑仅处理向个人提供服务所必需的个人信息,以“为订立、履行个人作为一方当事人的合同所必需”作为未能取得单独同意时的替代合法性基础。

其次,根据《个人信息保护法》第五十五条的规定,“处理敏感个人信息”属于应当开展“个人信息保护影响评估”的情形之一。医药企业在开展个人信息保护影响评估时,应当特别注意法律法规的以下几点要求:第一,作为一项事前预警机制,个人信息保护影响评估必须在特定个人信息处理活动开展之前完成,因此个人信息处理者有必要提前制定关于个人信息保护影响评估的内部制度、流程,摸排医药企业内部各部门的个人信息处理活动,确定需要开展个人信息保护影响评估的场景,并规划相应的评估方案。第二,虽然原则上可以聘请外部的团队协助医药企业开展个人信息保护影响评估,但是根据《个人信息保护法》第五十五条的规定,开展评估仍然是个人信息处理者,即医药企业自身的义务。同时,参考《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)第5.2.1条的要求,个人信息处理者亦需要“任命负责进行个人信息安全影响评估的人员(评估人)”,并“指定人员负责签署评估报告”。故综合上述规定,笔者建议医药企业亦应当在内部确定负责个人信息保护影响评估的部门或人员,以主导或配合外部团队完成个人信息保护影响评估。第三,根据《个人信息保护法》第五十六条的规定,在完成评估后,个人信息保护影响评估报告和处理情况记录都应当至少保存三年。故个人信息保护影响评估并非一劳永逸的工作,而是需要持续进行保存与记录,笔者建议医药企业建立起个人信息处理活动的档案管理制度,将历次风险评估报告及处理结果进行保存留档,以应对监管部门可能的不定期抽查,降低自身的合规风险。

二、合理确定与其他主体的个人信息传输模式

除关注与敏感个人信息有关的合规义务外,医药企业在日常经营中可能面临的另一项常见合规问题,就是如何向其他主体传输个人信息。在实践中,新品研发、线上销售等环节都可能涉及医药企业与外部合作方(例如合作研发机构、CRO、医药代理公司等)或关联主体传输个人信息的场景,因此合理确定个人信息的传输模式,妥善约定各方的权利义务关系,就成为了医药企业必须处理的合规问题。在目前《个人信息保护法》的体系下,医药企业向其他主体传输个人信息主要有三种模式:向其他个人信息处理者提供个人信息(以下简称“对外提供个人信息”),委托处理个人信息,以及作为共同处理者传输个人信息。

前两种模式,“对外提供个人信息”与“委托处理个人信息”的一项重要区别在于,接收方能否自主决定如何使用个人信息。在医药企业“对外提供个人信息”的模式下,接收方也是独立的个人信息处理者,故只要具备相应的合法性基础,就可以自主决定如何使用接收的个人信息,无需再次征得医药企业的同意。而在“委托处理个人信息”的模式下,接收方则属于医药企业的“受托人”,仅能根据医药企业的指示处理个人信息,无权将个人信息用于未经医药企业许可的目的。相应的,医药企业在两种模式下亦需要承担不同的义务,在“对外提供个人信息”的模式下,根据《个人信息保护法》第二十三条的规定,医药企业需要向个人告知“接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”并取得单独同意(除非已经有其他的合法性基础)。而在“委托处理个人信息”的模式下,医药企业可以选择不向个人披露接收方,但是必须对接收方的个人信息处理活动进行监督。综合上述的分析,“对外提供个人信息”与“委托处理个人信息”作为两种传输个人信息的模式各有优劣,前者无法直接干预接收方的处理行为,还需要承担向个人告知与取得单独同意义务,但是可以免除监督接收方的责任,而后者则恰好相反。

而第三种模式,即“作为共同处理者传输个人信息”,则与“对外提供个人信息”相对更为类似,接收方亦有权自主决定个人信息的处理行为,但区别在于,如果医药企业或接收方在处理个人信息的过程中侵害了个人信息权益,那么应当对个人承担连带责任,而非各自独立承担责任。由于这一特点可能导致风险在主体之间的传递,故在实践中,这一模式较多被应用于医药企业与关联主体之间的个人信息传输场景。

如前所述,医药企业就个人信息传输行为可能根据不同模式而需要面临不同的合规义务,但是依据《个人信息保护法》第四条的规定,个人信息不包括“匿名化处理后的信息”,故实务中亦有不少医药企业客户曾计划通过将个人信息进行匿名化处理以避免相应的合规义务。关于这一点,笔者理解要完成“匿名化处理”本身可能存在一定的难度。根据《个人信息保护法》第七十三条的规定:“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”《个人信息保护法》在该条规定中并未限定“不能复原”是指哪些主体不能对处理后的信息进行复原,故依据文义解释,包括对个人信息进行匿名化处理的医药企业自身亦应当不能复原个人信息。然而,如需要满足该项标准,则相关信息的商用价值可能会明显降低,此时再进行信息传输是否还能实现商业目的就需要企业结合具体情况加以考量。

综上所述,在向其他主体传输个人信息时,采取不同的模式或方案会导致不同的权利义务关系,故笔者建议医药企业根据商务需要、对于接收方的控制能力以及可能的风险因素,综合选择最适合自身实际情况的方案。

三、个人信息出境合规

《个人信息保护法》第三十八条规定了个人信息出境的若干前提条件,但由于该条并未对于如何落实这些前提条件作出细化规定,故在《个人信息保护法》出台后,个人信息出境合规并未立刻成为行业的热点。但进入2022年后,《标准合同规定(征求意见稿)》和《数据出境安全评估办法》相继发布,在个人信息出境领域,相关的操作细节亦逐步得到了填补,故个人信息出境合规也成为了必须引起重视的问题。

在实务中,不少医药企业可能有跨国背景或存在跨境合作的实际需求(例如,境外总部可能需要获取境内子公司员工的个人信息以实现全球统一管理,或为研发药物的目的需要与境外科研机构合作分享信息等),因此,对于如何实现个人信息出境合规亦有必要予以规划。根据《个人信息保护法》第三十八条的规定,除法律、行政法规或者国家网信部门规定的特殊出境条件外,通常的个人信息出境需要满足以下三种条件之一:通过出境安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证,以及与境外接收方签订标准合同。

首先,关于申报出境安全评估的具体流程可以参照2022年9月1日生效的《数据出境安全评估办法》。就适用范围而言,如果医药企业存在被认定为关键信息基础设施运营者、处理100万人以上个人信息、两年内累计向境外提供10万人个人信息或者1万人敏感个人信息等情形之一的,则有义务在个人信息出境前申报出境安全评估。实践中亦可能存在不少在《数据出境安全评估办法》公布前已经跨境传输个人信息且符合前述情形的主体,对于这类主体,则应当在《数据出境安全评估办法》施行之日起6个月内,即2023年2月28日前完成申报并通过出境安全评估。鉴于这一时间相对紧迫,故笔者建议此类医药企业可以提前予以准备。特别是根据《数据出境安全评估办法》第5条的规定,企业在申报出境安全评估前还应当首先开展数据出境风险自评估,鉴于数据出境风险自评估的事项与个人信息保护影响评估的事项类似,且个人信息出境本就属于应当开展个人信息保护影响评估的情形之一,故笔者建议医药企业尽早梳理自身的个人信息出境行为,并开展个人信息保护影响评估,以个人信息保护影响评估的结论作为后续起草数据出境风险自评估报告的依据。

其次,对于不符合上述情形的医药企业,则可以考虑将个人信息保护认证或签订标准合同作为出境的前提条件。其中,对于个人信息保护认证的流程和细节,网信部门尚未作出明确的规定,但关于签订标准合同的流程,目前网信部门已经发布了《标准合同规定(征求意见稿)》,虽然该规定还不是最终的正式稿,但是考虑到签订标准合同亦需要与境外接收方进行沟通,故该规定亦可以作为医药企业提前与境外接收方协商的参考。

此外,医药企业在研发、试验等环节,还可能接触到一类特殊的个人信息,即“人类遗传资源”。就这一类信息,我国已经制定了包括《中华人民共和国人类遗传资源管理条例》在内的特殊管理规定,2022年3月22日,科学技术部还发布了《人类遗传资源管理条例实施细则(征求意见稿)》(以下简称“《实施细则(征求意见稿)》”),并明确人类遗传资源具体包括人类遗传资源材料和人类遗传资源信息两类。其中,人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料,而人类遗传资源信息则是指利用人类遗传资源材料产生的人类基因、基因组数据等信息资料。就人类遗传资源能否向境外传输的问题,《实施细则(征求意见稿)》在第11条明确提出:“在我国境内采集、保藏和对外提供我国人类遗传资源必须由我国科研机构、高等学校、医疗机构和企业开展。境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。”如需开展基于人类遗传资源的国际合作,需要遵循《实施细则(征求意见稿)》其他规定项下的特殊要求。

需要特别注意的是,不同于《个人信息保护法》,《实施细则(征求意见稿)》并非仅对于“境外主体”接收人类遗传资源进行限制,而是涵盖了“境外组织、个人及其设立或者实际控制的机构”。故外资控股超过50%的外商投资企业、或以VIE等方式被境外主体实际控制的境内企业都可能落入受限的范围内,故从规制对象的角度,《实施细则(征求意见稿)》比《个人信息保护法》的限制范围更宽。笔者提示医药企业亦应当注意该项差异,不能简单地将《个人信息保护法》中个人信息出境的适用范围简单地套用到人类遗传资源的国际合作中。

最后,由于医药本身就是一个强监管的行业,因此政府的执法机构或是司法部门可能存在需要访问医药企业数据并进行监管的情况。而一旦涉及外国司法或者执法机构请求访问中国境内个人信息的情形,就可能产生相应的合规问题。根据《个人信息保护法》第四十一条:“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”故在实践中,如果医药企业在收到外国司法或者执法机构请求后即向其提供个人信息,则可能违反上述规定。故对于如何应对外国司法或者执法机构的调取请求,企业亦应当提前制定处置预案。

四、结语

综上所述,由于行业本身的特殊性,医药企业在日常经营中可能遇到较多涉及个人信息合规的场景。尤其随着各类个人信息保护的细则不断完善,未来或许会有更多适用于医药企业的个人信息保护要求,笔者建议医药企业应当时刻关注最新的立法与执法动态,及时进行调整,以符合法律法规的要求,降低自身的合规风险。

作者简介

刘新宇 律师

上海办公室 合伙人

业务领域:金融产品和信托, 网络安全和数据保护, 中国内地资本市场

特色行业类别:金融行业, 通讯与技术

冯中杰

上海办公室 私募基金与资管部

声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。