近年来，随着企业商事制度改革的深入推进，中国政府对市场主体的规制已由“事前审批”全面转向“事中事后监管”。经营者虽由此获得了巨大的市场空间和更为宽松的进入环境，却也切身感受到了政府监管执法力度的不断加大。2018年新一届政府进行了机构改革，在中央层面设立了国家市场监管总局，同时在31个省（市）陆续整合成立市场监管局并下辖执法大队。市场监管部门将对企业运营进行统一的“事中事后监管”，由此开启了市场监管与合规的崭新局面。

    对广大在华运营的企业而言，更为严格的监管执法带来的合规压力是全方位的；其中，从我们既往的实务经验来看，“反垄断与竞争（Antitrust & Competition）”、“数据与隐私保护，以及网络安全（Data Protection & Privacy and Cybersecurity）”和“反商业贿赂（Anti-commercial Bribery）”往往是经营者们最为关注的三个重要领域。我们理解，这既与中国相关法律制度的建立和完善，以及相关执法力度的加大有关，也是企业在到达一定发展阶段后，其内在合规需求驱动的必然结果。

    作者团队在以上三个领域具有丰富的实务经验：反垄断与竞争（Antitrust & Competition）：2004年起，数据与隐私保护,以及网络安全（Data Protection & Privacy and Cybersecurity）：2012年，起反商业贿赂（Anti-commercial Bribery）：2004年起/因此，我们计划在未来的一段时间内，陆续撰写并推出“ADA”领域的系列合规文章，主要基于我们的实务经验，并结合客户常见的具体业务场景，给读者带来“接地气”的干货指引。

概要

    鉴于医疗健康行业的特殊性，除一般个人信息外，相关企业还可能收集、处理大量包括患者治疗数据、临床研究数据、可穿戴设备数据等在内的个人敏感信息和重要数据，“互联网+”时代的到来进一步加速了数据的积累与沉淀，同时也催生了新技术、新业态的发展。近年来，“医疗大数据”概念持续发酵，随之而来的数据安全与隐私保护问题也越发受到关注。实际上，自2015年起，我国政府即相继出台了一系列规范医疗大数据应用的政策法规文件。随着《网络安全法》生效、《个人信息保护法》被纳入一类立法计划，未来医疗健康数据或将迎来更为严格的监管。对此，我们从企业角度出发，针对医疗健康行业实务场景，梳理了若干在实践中常见且值得重点关注的问题，以期为相关企业的数据保护合规工作提供参考。

    K律师——数据保护领域知名律师，不仅专业过硬，且待人谦和周到，深受各大企业法务的青睐。最近，一位医疗企业法务朋友说起“有两个”高管对数据保护很感兴趣，热情邀请他到公司“坐坐”。某日，K律师结束了半个月的异国差旅，刚下飞机便风尘仆仆地赶来了。

    前脚刚踏进会议室，K律师心中暗叹“这么大阵仗”——这哪里是“有两个”高管，整个会议室都坐满了好嘛！

    没等他坐下喘口气儿，高管们的问题便接踵而来……

一 法务视角：数据合规路径初探

    起头的是那位法务朋友: “我们医疗企业收集的数据多、来源广，近来颇感数据合规很有必要，却不知此事该从何着手？”

    K律师：当前数据保护与网络安全方面的法律法规陆续出台，医疗企业掌握着庞杂的数据，确实有必要进行数据合规。

    一般而言，数据合规工作可以分步骤进行：

    第一步，针对企业内部数据流通的各个场景与环节进行梳理，甄别、分类可能涉及的数据类型。需要注意的是，医疗企业比较特殊，除一般意义上的“个人信息”合规须适用《网络安全法》及其配套法律法规之外，还应考虑相关法律法规、行业规范对于一些特殊类型的数据，如医疗大数据、人类遗传资源、人口健康信息、医药数据、医疗器械数据、科研数据以及电子病历等的规定。在此基础上，企业可对照相关法律法规的要求，找到自身实际情况与之的差距。

    第二步，根据差距情况，制定并落地数据合规政策，包括但不限于（1）数据泄露应对政策；（2）隐私政策；（3）数据保护合规政策；（4）员工个人信息使用同意函等。

    第三步，落实数据合规制度，包括但不限于升级内部数据处理系统；任命数据安全岗位负责人，明确职责与权限范围；进行员工培训，增强员工合规意识。

    数据合规制度建设虽需要法务与合规部门“挑大梁”，但绝非其“独角戏”，需要企业上下各部门的通力协作。

二 销售视角：隐私政策缘何“难产” 

    一听“个人信息”，销售经理坐不住了，“我们部门正筹备推出企业APP，会收集不少患者的个人信息。如今万事俱备，只是法务这边隐私政策‘难产’。一个隐私政策而已，不明白为何需要花这么长时间？”

    K律师会意：这不奇怪的，由于《网络安全法》对于个人信息保护的规定比较笼统，当前的推荐做法是根据2018年5月1日实施的《信息安全技术 个人信息安全规范》（“《个人信息安全规范》”），以及2019年12月30日由国家网信办、工信部、公安部、国家市场监管总局四部门联合印发的《App违法违规收集使用个人信息行为认定方法》（“《认定方法》”）制定和实施隐私政策。如果涉及儿童个人信息的收集使用，则还需要注意符合《儿童个人信息网络保护规定》的相关规定。

    尽管从效力上看，《个人信息安全规范》属于国家推荐性标准，并不具有法律强制力；但从实务角度而言，已有互联网公司因“不符合《个人信息安全规范》精神”被国家网信办约谈的先例；从立法趋势来看，2019年10月1日正式生效的《儿童个人信息网络保护规定》大量借鉴了《个人信息安全规范》的规定，故将《个人信息安全规范》中的规定上升至立法层面之势已初露端倪。《认定方法》作为规范性文件，旨在为监管部门认定App违法违规收集使用个人信息行为提供参考，但实际上，相关内容在此前已经被作为监管执法活动的依据，因此值得企业重点关注。

    值得注意的是，2019年10月公布的最新版《个人信息安全规范（征求意见稿）》在原规范的基础上进行了补充更新，例如：在个人信息的使用方面，增加了对用户画像的使用限制、个性化展示的使用、基于不同业务目的所收集的个人信息的汇聚融合、个人信息查询等内容；在个人信息的委托处理、共享、转让、公开披露方面，明确了个人信息控制者对第三方接入管理的要求；在组织管理层面，增加了个人信息保护负责人和个人信息保护工作机构的职责内容，并且在个人信息安全工程、个人信息处理活动记录等方面对个人信息控制者提出了要求。如前面提到的，该规范虽没有法律强制力，但实践中具有重要参考价值，建议企业对其制定和实施给予密切关注。

三 研发视角：科研数据跨境“不易” 
 

    研发负责人若有所思，推了下眼镜，“Sales的事情我不清楚，当下R&D倒有一个问题迫在眉睫，需要把科研数据传输到境外总公司，法律层面有什么注意事项？”

    K律师：首先，不是所有科研数据都可以跨境存储或传输。例如，《人口健康信息管理办法（试行）》规定“人口健康信息”不得存储于境外服务器。又如，《保守国家保密法》规定国家秘密不得出境。但是，《国家健康医疗大数据标准、安全和服务管理办法（试行）》规定的“健康医疗大数据”，除了在原则上要求本地化存储之外，对于确需向境外提供的，安全评估审核通过的允许跨境传输。

    根据《网络安全法》的规定，关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据，应当满足本地化存储要求；因业务需要，确需向境外提供的，应当按照本办法进行安全评估。其后针对“安全评估”制定的两份草案《个人信息和重要数据出境安全评估办法（征求意见稿）》和《个人信息出境安全评估办法（征求意见稿）》进一步将适用范围从“关键信息基础设施的运营者”扩大至所有“网络运营者”。但是，目前两份草案均未生效，因此根据现行法律规定，仅关键信息基础设施的运营者须遵守《网络安全法》下的数据本地化和数据出境安全评估要求。

（一）关键信息基础设施的运营者

    根据《网络安全法》，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。在此基础上，《关键信息基础设施安全保护条例（征求意见稿）》进一步规定，卫生医疗、食品药品等行业领域科研生产单位应当纳入关键信息基础设施的运营者范围。因此，虽然相关认定规则尚不明确，但制药、医疗器械制造等医疗行业企业被认为构成“关键信息基础设施的运营者”的可能性较高。

（二）重要数据

    《网络安全法》并未明确“重要数据”的定义和范围。根据《个人信息与重要数据出境安全评估办法（征求意见稿）》，“重要数据”是指与国家安全、经济发展，以及社会公共利益密切相关的数据。同时，《信息安全技术 数据出境安全评估指南（征求意见稿）》在其附录A《重要数据识别指南》中依据行业对重要数据进行了分类和举例（其中包含人口健康、食品药品行业），是目前较为详细和明确的针对重要数据的识别指引，具有重要参考价值。

    此外，针对一些特殊数据类型，例如人类遗传信息资源，在进行跨境传输前须根据《人类遗传资源管理条例》等具体的相关规定进行事前审批。因此，医疗企业应在甄别数据属性的基础上，对科研数据做好分类，并基于不同的数据出境规定完成数据的跨境传输工作。需要说明的是，如果科研数据还涉及个人信息，则其出境前还需经过个人信息主体的明确同意。

四 HR视角：内外部调查中的员工个人信息保护

    HR总监来了兴致，“我们有时应境外总公司要求开展内部反舞弊调查，需要将员工个人信息跨境传输至海外，法律怎么规定？如果遭遇境外政府调查，我们的员工数据还能给吗？”

    K律师：OK，先说内部调查。前面说过，按照当前法律规定，医疗企业被认定为“关键信息基础设施的运营者”的概率相对较高，但考虑到目前关于个人信息出境安全评估的办法尚在制定过程中，因此现阶段而言，如需将员工个人信息传输出境，建议至少向员工进行明确告知，并取得员工的同意。例如，在员工手册、员工个人信息使用同意函等文件中，向员工告知，其个人信息可能被传输至公司境外关联实体用于内部调查之目的；或者在调查之前，以同意函形式向相关员工单独取得同意。

未来，如《个人信息出境安全评估办法》正式生效，则个人信息出境将以申报的形式，由网信部门统一监管。值得注意的是，2019年6月公布的《个人信息出境安全评估办法（征求意见稿）》要求数据提供方与境外接收方签订明确双方权利义务的合同提交备案，并供个人信息主体备查。就公司内部的个人信息跨境传输而言，该等机制与欧盟《通用数据保护条例》（General Data Protection Regulation，“GDPR”）下的“有约束力的公司准则（Binding Corporate Rules，“BCR”）”具有一定相似性，但在中国规则下，由于行政监管贯穿整个周期，企业可能面临更高的监管要求。

    就境外政府调查而言，首先，其并不能作为中国法下任何数据跨境传输中的数据保护义务（如征得个人信息主体同意）的豁免理由，即为境外政府调查之目的向境外传输员工个人信息，仍然需要取得同意。此外还须注意，根据《国际刑事司法协助法》，非经中华人民共和国主管机关同意，中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和该法规定的协助。因此，如涉及刑事调查取证，则在未取得中国主管机关事先同意的情况下，注意不要擅自向外国提供刑事案件证据材料或相关协助。

五 IT视角：强监管下的VPN使用

    CIO:“我主管技术，想问一个VPN跨境联网的问题。我们是跨国公司，需要使用跨境VPN确保内部信息的安全性，但是据我了解国内对VPN监管趋严，想知道有没有可能影响到我们公司VPN的使用？”

    K律师：你一定是看到了浙江一家外贸公司因使用“翻墙软件”被给予行政处罚的案例吧！是的，这几年国内对于VPN的监管有渐严的趋势，实际上，1997年国务院就发布了《计算机信息网络国际联网管理暂行规定》，根据该规定，计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。但是，直至2017年1月，工信部下发《关于清理规范互联网网络接入服务市场的通知》，该条规定被作为执法依据的案件才逐渐出现，并有增多趋势。

    从罚则来看，违反前述规定将由公安机关责令停止联网，给予警告，可以并处15000元以下的罚款；有违法所得的，没收违法所得。但是，罚款事小，停止联网可能实质性影响公司运营。

    因此，我们建议企业选择具有相关资质的公司提供联网服务；同时建议企业内部通过黑名单/白名单等形式对敏感网站（如涉及危害国家安全、恐怖主义、封建迷信、赌博、淫秽、暴力等）进行屏蔽，并注意监控和记录公司内部国际联网情况，确保员工合理使用VPN。

六 业务模式创新(BMI)视角：隐私保护从商业模式创新开始？

    业务创新总监：“听了一圈，感觉这隐私保护的问题和我们BMI似乎没啥关系？”

    K律师：此言差矣。后期工作做得再好，都不如一开始就把隐私保护重视起来，这也是时下热门的“Privacy by Design”与“Privacy by Default”理念。Privacy by Design，即隐私保护设计，是指从产品或服务设计开发之初便将数据与隐私保护的理念贯彻始终；Privacy by Default，即默认隐私保护，是指产品或服务从发布即默认提供最严格的隐私保护设置，终端用户无须进行额外操作。Privacy by Design包含七大基本原则：（1）主动而非被动，预防而非补救；（2）以默认方式保护隐私；（3）隐私嵌入式设计；（4）所有的功能：正和而不是零和；（5）端对端安全性：全生命周期的保护；（6）可视性和透明度：保持开放性；（7）尊重用户个人隐私：以用户为中心。

    实践中，越来越多的企业开始践行这些理念——例如，谷歌街景中的人脸模糊化处理、脸书的广告偏好设置等。但是也不乏反例，例如Wifi探针从设计之初就违背了个人隐私保护的原则。

    隐私保护设计与默认隐私保护已经被明确规定在GDPR第25条中。中国虽对此没有明确规定，但《个人信息安全规范》中“在业务模式发生重大变更时，应重新进行个人信息安全影响评估”的要求，在一定程度上具有“业务模式创新，数据保护先行”的意向。

七 管理视角：有必要设DPO吗？

    沉默半晌的VP发言：“我从宏观管理层面问一个问题，有没有必要设立DPO？如有必要，如何设立？”

    K律师：数据保护官（Data Protection Officer，“DPO”）是GDPR下的一个重要概念。但是，即使受到GDPR的管辖，也并非所有企业都必须设立DPO。

    GDPR对于DPO设立的要求并非以企业规模为标准，而是关注对于实现企业目标至关重要的数据处理活动。根据GDPR的规定，受到GDPR管辖的企业仅在以下情况下有义务设立DPO：（1）数据处理活动由公共机构主导；（2）作为核心业务的数据监控和处理活动是系统性和常规化的，且规模较大；或（3）核心业务涉及收集和处理一些敏感数据，例如犯罪数据、医疗数据、生理数据等。就医疗企业而言，由于可能涉及患者健康信息、生物信息等数据的收集和处理，因此具有较高的需要设立DPO的可能。值得注意的是，部分欧盟成员国针对DPO条款另行规定了更严格的要求（例如《德国联邦数据保护法》第38条），企业应当根据自己的实际情况考虑适用。

    企业可以任命内部员工作为DPO，也可以外聘DPO。前者情况下，应当注意确保DPO的职责不与其在IT、HR等部门或管理层的工作产生利益冲突，避免发生“自己监督自己”的情况。

    需要说明的是，中国虽然没有DPO的概念，但相关法律法规也对“数据安全岗位”提出了要求。例如《网络安全法》要求设立网络安全负责人，《关键信息基础设施安全保护条例（征求意见稿）》要求设立网络安全管理负责人，《数据安全管理办法（征求意见稿）》要求设立数据安全责任人，《个人信息安全规范》要求设立个人信息保护负责人，《儿童个人信息网络保护规定》要求设立儿童个人信息保护负责人。因此，在目前尚无统一规定的情况下，建议企业对照不同法律法规，选择设立适当的数据安全岗位。

八 法务视角：《健康医疗数据安全指南》对企业有何影响？

    “最后一问”，法务朋友显得比往日更激动了些，“我留意到去年四月出台了《健康医疗数据安全指南》征求意见稿，不知如果该指南通过的话，对我们医疗行业企业有何影响？”

    K律师：如您所知，2018年底，国家标准化管理委员会即发布了《信息安全技术 健康医疗数据安全指南（征求意见稿）》，其在很大程度上借鉴了美国的《健康保险携带和责任法案》（Health Insurance Portability and Accountability Act）与ISO27799（健康信息安全国际标准）。2019年4月又发布了一版征求意见稿，在前版基础上增加了分类分级指南、安全技术指南、安全管理指南等章节，还对一些子章节的内容进行了细化，例如在典型场景数据安全一章下新增患者数据查询安全的内容。附录部分也进行了大量扩充，明确了个人健康医疗数据范围，提供了卫生信息数据集分类与标准、医院数据使用管理办法参考、数据申请审批参考等内容。

    与前面提到的《个人信息安全规范》相似，《健康医疗数据安全指南》也是推荐性国家标准，不具有法律强制力。但是同样地，其作为强制性法律法规的重要补充，可作为企业现阶段的最佳实践标准，对于企业合规具有重要的参考价值。

    话至此处，只见高管们关于数据合规的主要问题都得到回答，其纷纷露出满意之情…法务此时便总结道:“K律师，谢谢你的专业解答。请问你对我们公司有什么需要了解的吗？”

    K律师抹了一把额头上的汗，哑着嗓子道：“你们的茶水间在哪里？”

    大家这才回过神来，120分钟不知不觉过去了，竟忘了给K律师倒水了。