作者:金茂律师事务所 王亚萍 律师 凡素娟 律师
前两期我们对《实施细则》第一至三章及第四章部分内容进行了解读,本期继续解读剩余内容。
(四)第四章:行政许可与备案
4. 对外提供、开放使用备份信息的程序更严格:向境外组织、个人及其设立或者实际控制的机构提供、开放使用人类遗传资源信息之前,中方信息所有者应当向科技部事先报告并提交信息备份。但对于已获得行政许可或者已完成备案的国际科研合作产生的数据信息,在国际合作协议中约定由双方使用的,不需要就向外方单位提供或开放使用再单独进行信息事先报告和提交信息备份。可能影响我国公众健康、国家安全和社会公共利益的,应当通过科技部的安全审查。
“对外提供、开放使用事先报告”这一节,这里的“外”是指向境外组织、个人及其设立或者实际控制的机构提供、开放使用人类遗传资源信息,我们作如下解读:
(1)从“备份”“备案”到“事先报告”并“备份”。
常见问题是当EDC系统供应商为外方单位时如何处理。根据我们向人遗办上海服务站咨询的结果,如果临床试验中申办方、合同研究组织等合作各方均为中方单位,只有EDC供应商是外方单位,无需申请国际合作科学研究审批。但就“对外提供、开放使用”环节而言,如EDC系统供应商为外方单位且可以访问到数据、进行数据处理(采集、录入、整理、检查等),无论服务器设置在境内或境外,均涉及数据的提供,因此需根据《实施细则》第三十六条的规定进行事先报告并备份。
而对于实时出境的人类遗传资源信息应如何进行报告和备份,我们认为参照科技部2022年的答复,即在传输前将拟出境的信息类型、预估数量、单位/规格等向科技部事先报告,定期进行数据备份。结合《实施细则》第五十四条,[1]当实际传输数据量超出报告数量前,向科技部提交事项变更报告。
(2)明确需要进行科技部安全审查的情形。
《实施细则》第三十七条列举三类情形并设定兜底条款,向外方单位提供人类遗传资源信息,可能影响我国公众健康、国家安全和社会公共利益的,应当通过科技部的安全审查。
我们由科技部的安全审查联想到网信部门的安全评估。人类遗传资源信息处理活动不仅受到科技部监管,也受到网信部门的监管。根据我们此前向上海市网信部门咨询的结果,两部门尚未出台相应的协同工作机制。
向境外组织、个人及其设立或者实际控制的机构提供人类遗传资源信息如涉及信息出境,且未实现匿名化,则需要遵守《个人信息保护法》第三章“个人信息跨境提供的规则”,结合网信办《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同备案指南(第一版)》等法律法规和文件,根据人类遗传资源信息的性质、内容、数量、提供频次等情况,选择正确的出境路径。
即使部分信息经过匿名化处理后不属于个人信息,一旦所提供或开放的人类遗传资源信息落入《数据安全法》下行业主管部门认定的“重要数据”的范畴[2](参考《重要数据识别指南(征求意见稿)》),[3]根据2022年9月开始施行的《数据出境安全评估办法》,[4]数据处理者向境外提供重要数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
5. 许可和备案的变更手续进一步明确:《实施细则》第四十四条至第四十六条以及第五十三条,区分国际合作审批的重大变更和非重大变更情形,以列举方式明确各类许可和备案中重大变更所指的内容,分类设定相应的变更手续。
《实施细则》对各类许可和备案中的不同事项的变更有不同要求,具体如下:
(五)第五章至七章监督检查、行政处罚和附则
与《征求意见稿》相比,《实施细则》大幅删除了关于行政处罚的相关内容。我们认为,主要是从精简条款和执行灵活性考虑,删除了《行政处罚法》《生物安全法》《人遗管理条例》已有的规定,以“人类遗传资源行政处罚裁量基准由科技部另行制定并向社会公布”的方式保证处罚的可操作性。
结合前文,关于省级科技行政部门的职权、行政执法人员配备等规定,以及监督检查的加强(设计了日常监督检查、重点监督检查和专项监督检查等差异化分类监督机制),我们认为《实施细则》施行后监管力度的加强是势在必行的,旨在推进行业自律,各企业必须在开展人类遗传资源活动过程中加强合规管理避免处罚风险。
注释:
[1] 《实施细则》第五十四条第五十四条向境外组织、个人及其设立或者实际控制的机构提供或者开放使用人类遗传资源信息向科技部事先报告后,用途、接收方等事项发生变更的,应当在变更事项实施前向科技部提交事项变更报告。
[2]《数据安全法》第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。《数据安全法》第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
[3]《重要数据识别指南(征求意见稿)》重要数据criticaldata以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
[4]《数据出境安全评估办法》第四条数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。