健康医疗企业IPO数据合规重点问题与应对(上)
健康医疗企业IPO数据合规重点问题与应对(上)
“新冠疫情”的持续影响,一方面催生、加速健康医疗企业的数字化、智能化转型,另一方面,提升各界对健康医疗企业的关注,健康医疗行业也成为资本竞逐、技术突破的热点领域。近些年来,健康医疗企业逐步成为国内主板、创业板、科创板等板块“上市大军”的主力。在此过程中,随着《网络安全法》及其配套法规的体系完善,《个人信息保护法》、《数据安全法》等数据保护领域顶层立法设计草案的发布,相关执法机构数据合规监管行动频密化发展,国内数据合规立法、执法要求趋严,健康医疗数据合规及数据安全,正成为相关评审机构在企业上市评估及问询过程中的重点关注话题。如何积极应对数据合规审查,成为待上市健康医疗企业的一大挑战。
与此同时,伴随互联网医疗的快速发展及国家对应立法机制的完善,各地关于互联网医院准入、互联网医疗管理、执业规范等要求正在不断建立及完善,例如,北京市卫健委、北京市中医管理局于2021年2月24日印发的《关于北京市互联网医院许可管理有关工作的通知》。如何应对趋严的互联网医疗准入及管理要求,也成为互联网健康医疗企业日常运营的重要合规事项。
在此背景下,《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》(以下简称“《健康医疗数据安全指南》”)发布并将于2021年7月1日生效,为待上市健康医疗企业提供健康医疗数据全生命周期管理的合规指引。鉴于此,本系列文章将以健康医疗企业IPO数据合规审查为重点,全景展示健康医疗行业数据合规立法规制体系及健康医疗企业IPO审查现状,兼评《健康医疗数据安全指南》的合规适用,解读已有的数据合规问询评审案例,对健康医疗企业上市数据合规工作提出建议,并展望未来健康医疗行业数据合规建设发展方向,本文为上篇。
为更好服务健康医疗企业,尤其是待上市企业的数据合规落地工作,本篇将具体介绍健康医疗企业IPO数据合规审查相关重点及应对建议。相关建议以《网络安全法》及其配套法规为代表的现行有效的数据合规体系的明确要求为基础,结合医疗专业领域数据合规特殊要求而提出。需特别注意的是,鉴于2020年部分问询案例出现以《数据安全法(草案)》等未生效法律法规作为评审依据的情形[1],相关建议将充分考虑《个人信息保护法》《数据安全法》等尚未正式生效但对数据合规工作产生显著影响的草案版本的合规要求。
此外,近期发布并将于2021年7月1日生效的《健康医疗数据安全指南》,为健康医疗数据全生命周期管理提供详细的合规指引,其将作为本篇建议的主要标准来源。
健康医疗企业上市数据合规审查重点
基于我们对公开材料的梳理,数十家企业在上市审核过程中受到数据合规相关问题的询问。其中,健康医疗领域目前有一家科创板上市公司、四家创业板上市公司(含仍处于上市审核阶段的公司),在问询阶段被直接要求回复与数据合规相关的问题。具体公司及相关情况如下表所示:
点击图片查看大图
基于上述公司的招股说明书、审查反馈意见、问询函、发审委会议审核公告等文件,同时结合笔者在之前《科技企业上市之数据合规(上)——审核要点篇》、《科技企业上市之数据合规(中)——识别风险篇》、《科技企业上市之数据合规(下)—— 数据合规治理篇》一文中梳理的“企业上市须应对的数据合规重点问题”的分类方式,我们针对上述公司涉及的数据合规问题进行梳理,以期全面展现拟上市健康医疗企业将面临的数据合规问询。
点击图片查看大图
整体而言,“数据源合规”及“数据安全”系上市评审机构所重点关注的数据合规问题。“数据源合规”包括数据源获取渠道及其合规性评价,这要求待上市企业前期对公司底层所有数据资产进行完整梳理,实现数据字段的溯源盘点,保证既有数据及新增数据获取的合法合规性。“数据安全”主要关注数据合规制度管理建设及技术保障措施落实情况,这要求待上市企业搭建完善的数据合规管理制度体系,并搭配必要的技术保障措施。
健康医疗企业上市数据合规开展建议
健康医疗数据全生命周期管理,覆盖数据收集、存储、使用、内部管理、对外提供等环节。下文将根据上市数据合规审查重点问题分类方式,糅合数据全生命周期管理要求,为待上市企业提供直观应对建议。
(一) 数据源合规
1.基本要求梳理
健康医疗数据,尤其是可直接或结合其他信息识别具体自然人或者反映其身心健康状态的个人健康医疗数据,基本落入“个人敏感信息”范畴,其在收集阶段需严格落实“必要信息告知+获取信息主体明示授权同意”的要求。此外,大量的健康医疗数据,可能与国家安全、社会公共利益等相关,存在被认定为“重要数据”的可能性,同样需评估其收集及后续处理的合规性。
2.具体场景分析
在健康医疗企业实际业务场景中,数据源渠道呈现多样化特征。数据源合法合规性保障需结合各具体场景进行分析及落实。
点击图片查看大图
(二)数据权属
1.基本要求梳理
针对现有部分案例涉及数据权属的问询情形,我们理解,评审机构主要关注点在于,数据权属问题存在瑕疵,可能会影响后续数据处理一系列行为的合法性、有效性,包括衍生数据成果的归属等。
目前国内法律法规尚未对数据的“所有权”(包括个人信息的所有权)问题作出明确规定。相对而言,《GB/T 35273-2020 信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)所使用的“个人信息控制者”定义,以及《健康医疗数据安全指南》所使用的“健康医疗数据控制者”概念,均引入了数据“控制权”的理念,此与欧盟GDPR等域外立法所采用的处理方式基本一致。从数据“控制权”角度考虑,明确数据控制者角色及对应职责,控制者享有数据“控制权”并对应承担对用户权益保护及数据安全的责任,是解答关于数据权属问题的一种主要思路。
另一方面,鉴于数据可能隐含数据处理主体的商业秘密、商标、版权等信息,数据权属可能覆盖相关知识产权。目前国内相关知识产权法规明确,在不违反相关法律法规的前提下,尊重各相关方对特定知识成果的权属约定。
2.具体场景分析
具体到健康医疗行业,关于数据权属的讨论,主要存在于涉及多方数据共享(可能包括进一步研发)的场景,覆盖原始数据权属,以及基于原始数据而衍生形成的研发数据、算法、模型、核心技术的权属约定。对于这两类情形,建议同时考虑上述提及的“数据控制权”及“知识产权”归属。
针对原始数据权属,需评估与原始数据提供方/接收方之间的关系,一般由有能力决定数据处理目的及方式的一方作为数据控制者,其在法律法规规定及用户授权同意的基础上享有数据处理的权利。如企业希望获取数据控制权,需评估自身业务模式是否符合上述要求,以及自身是否具备承担保护用户合法权益及数据安全责任的能力。此外,关于原始数据的知识产权约定,建议双方在最初的合作协议中,在不违反现行法律法规的基础上进行约定。
针对衍生成果(研发数据、算法、模型、核心技术等)权属,需在上述针对原始数据权属评估的基础上,由双方针对衍生成果在数据控制权、知识产权层面的权益归属进行明确约定。
(三)数据对外提供
1.基本要求梳理
数据对外提供包括数据委托处理、数据共享、数据转让等不同情形,也包括数据跨境传输这类特殊场景。数据委托处理场景下,数据合规及安全责任主要由控制者承担,受托方需严格按照与控制者的协议约定,在控制者的指示下处理数据;数据共享场景下,双方互为数据控制者并共同对数据主体承担责任,双方需在合作协议中厘清彼此的数据合规权利义务。
健康医疗数据跨境传输,按照《网络安全法》及《个人信息出境安全评估办法(征求意见稿)》规定,涉及个人信息及重要数据的,需在完成安全评估并报相关机构备案后,方可跨境传输。依照《健康医疗数据安全指南》要求,因学术研讨等目的,需要向境外提供非涉密非重要数据的信息的,经主体授权同意及机构数据安全委员会审批同意,健康医疗数据控制者可向境外目的地提供个人健康医疗数据,累积数据量宜控制在250条以内,否则需提请相关部门审批。
2.具体场景分析
对于健康医疗企业而言,日常运营中涉及数据对外提供的情形主要包括两类:一是与合作方基于商业合作、科研合作目的共享获得或产生的健康医疗数据;二是与外部合作专家、机构、技术服务提供方等合作,委托后者提供数据标注、存储、处理、分析等专项服务。
参考《健康医疗数据安全指南》对于数据对外提供场景的分类及规定,在第一类场景下,合作方与健康医疗企业往往构成“控制者——控制者”或者“控制者(合作方)——处理者(健康医疗企业)”的关系。在第二类场景下,健康医疗企业与合作方往往构成“控制者(健康医疗企业)——处理者(合作方)”或者“处理者(健康医疗企业)——子处理者(合作方)”的关系。无论是何种场景,建议健康医疗企业应在数据传输前,充分审查合作方的数据安全管理能力,并与合作方通过补充协议方式,要求合作方作为数据接收方应在约定目的范围使用数据、应承担保密义务、信息安全保障义务等。
(四)数据安全
鉴于健康医疗数据的敏感性及重要性,健康医疗企业应格外重视数据安全管理工作。综合相关法律法规要求,我们将关于健康医疗数据安全管理的核心要求总结如下:
点击图片查看大图
(五)系统与技术
医疗机构作为网络运营者,应认真落实《网络安全法》关于网络安全等级保护的要求,对健康医疗业务开展涉及的核心业务系统,开展等保测评及备案,获取公安机关备案证明,并定期开展信息系统测评审计。
根据《卫生行业信息安全等级保护工作的指导意见》规定,如下重要卫生信息系统安全保护等级原则上不低于第三级:传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;三级甲等医院的核心业务信息系统等。
除等保备案证明外,对于健康医疗行业应具备的资质要求,例如互联网药品交易、医疗器械销售、互联网信息服务等,应结合法律法规及政策最新要求,及时申领必要证件,或完成相关证件续展更新。
(六)数据立法和监管
健康医疗企业应重视对公司涉及数据合规相关的案例、投诉、处罚等的管理,包括建立及时响应机制、及时优化调整机制及记录机制。具体而言,健康医疗企业(尤其是拟上市企业)应对公司已收到的涉及数据合规的用户投诉、纠纷、行政通告或处罚、司法案例等,以及公司已发生过的数据泄露、非法提供等安全事件,进行完整盘点,并复盘对应采取的弥补、优化等管理措施,做好问询应对的前期准备。
此外,鉴于我国目前网络安全及数据合规领域立法不断发展,执法活动呈现频密化趋势,建议健康医疗企业及时关注国内立法、执法最新趋势,尤其是国家顶层立法及行业主管部门制定的专项法规要求,与时俱进调整内部数据合规管理机制,降低被动合规带来的消极影响。
[注]
——(未完待续)——
下篇预告