2024年3月,威科先行携手上正恒泰律师事务所合伙人杨澜波律师及团队发布《数据合规实务指引(2024版)》和《药械企业数据合规实务指引(2024版)》两份实务指引。随后,国家互联网信息办公室于2024年3月22日公布并实施《促进和规范数据跨境流动规定》,数据跨境流动条件适当放宽,数据出境的监管因此发生变化。对该新规的详细解读,可参见本团队的往期文章《数据合规 | 数据出境监管的“变”与“不变”——<促进和规范数据跨境流动规定>评析》。
根据《促进和规范数据跨境流动规定》,本团队现更新两份实务指引的“第二章 数据出境合规”部分,更新后两份指引的主要内容和目录如下。如需两份指引更新版PDF,欢迎长按并识别相应的二维码提供您的姓名、就职单位、职务、公司邮箱及手机号,以便我们及时发送给您。
《数据合规实务指引(2024年4月更新版)》
《药械企业数据合规实务指引(2024年4月更新版)》
数据,是指任何以电子或者其他方式对信息的记录。数据作为新型生产要素,是国家的基础性和战略性资源,数据安全不仅关乎个人、单位切身利益,更关乎国家安全和公共安全。身处大数据时代,以电子形式记录的数据(也即网络数据)已然成为主流,因此数据保护也与网络安全密切相关。企业在经营过程中离不开数据合规,因为不可避免会涉及对数据的收集、存储、使用、加工、传输、提供、公开等处理活动。
因此本指引将从以下四个方面切入,为企业的数据合规提供专业指引:
第一章,介绍我国数据立法和执法的概况,使企业直观、全面地了解当下的数据监管情况。
第二章,对数据出境的监管要求作全面、详细介绍,以帮助企业识别自身是否涉及数据出境,从而确定需要满足的合规要求,并介绍数据本地化存储与数据出境的区别。
第三章,针对企业日常会涉及的各类个人信息处理场景,以“告知和同意”为重点,从不同角度全面介绍个人信息处理的合规要求。
第四章,介绍与数据安全密切相关的网络安全等级保护的相关要求。
具体目录
本章将对我国数据相关的重要法律予以介绍,在理解整体监管框架、明确执法框架和执法重点的基础上,通过典型执法案例来解读当前数据合规的监管态势,为企业明确合规的主要方向。
一、相关法律法规概览
中国关于数据合规的现行法律架构可以概括为 “1+3+N”体系,本部分将对这一体系进行介绍
二、执法机构及重点
本部分将介绍数据相关的整体执法框架,并通过典型执法案例的分类阐述,对所涉的执法重点予以总结,以明确当前数据合规监管的执法趋势。
1. 执法部门
2. 重大典型案例
2.1 滴滴网络安全审查相关行政处罚
2.2 知网网络安全审查相关行政处罚
2.3 首例涉及高铁运行安全的危害国家安全类案件
3. 网信部门的典型执法案例
4. 公安部门的典型执法案例
4.1 网络安全相关违法典型案例
4.2 数据安全相关违法典型案例
4.3 个人信息相关违法典型案例
三、中国的数据安全合规趋势
本章分为如下八个部分:一是介绍数据出境安全管理的法律体系建立和发展的阶段;二是对数据出境的定义和场景予以介绍;三是具体分析免予履行和应当通过数据出境路径的情形;四是对三种数据出境路径的适用范围、程序和要求详细说明;五是结合对三种数据出境路径的特点比较,为企业如何选择数据出境路径和做好不同路径之间的程序衔接提供指引,帮助企业对数据出境路径进行全局把握;六是结合经验对个人信息出境路径之一的标准合同备案实务作具体介绍;七是简要说明数据出境的其他监管要求;八是关于数据的本地化存储要求。
一、 数据出境安全管理的法律体系
1. 第一阶段:制定实施基本法律
2. 第二阶段:出台具体实施规定
3. 第三阶段:监管放宽新规
二、 数据出境行为和具体场景
1. 数据出境行为
2. 数据出境的具体场景
三、 免予履行和应当通过数据出境路径的情形
1. 免予履行数据出境路径的情形
1.1 不包含境内个人信息或重要数据
1.2 个人信息出境的4种特定情形
2. 自贸区负面清单制度
3. 应当通过数据出境路径的情形
四、 三种数据出境路径各自的适用范围、程序和要求
1. 关于安全评估路径
1.1 必须进行安全评估的情形
重要数据出境安全评估申报标准
关于人类遗传资源是否属于“重要数据”
关于“关键信息基础设施运营者(CIIO)”
1.2 安全评估流程和评估要求
程序和时间
申报资料和自评估
自评估和个人信息保护影响评估(PIA)
2. 关于标准合同路径
2.1 适用情形
2.2 程序和要求
2.3 粤港澳大湾区的特别规定
3. 关于认证路径
3.1 适用情形
3.2 程序和要求
五、 三种数据出境路径的选择和衔接
1. 三种数据出境路径的选择
2. 三种数据出境路径的衔接
3. 标准合同和认证的选择和比较
4. 三种出境路径下的不同评估要求
六、 标准合同出境路径的实务
1. 整体安排
2. 标准合同的填写要点
3. PIA报告的准备思路
七、 数据出境的其他监管要求
八、 数据的本地化存储
2021年11月1日,《中华人民共和国个人信息保护法》(“《个保法》”)正式实施,对个人信息处理活动的各个方面提出了要求,标志着国家对个人信息的保护又提升到一个新的高度。本章第一部分重点讨论告知和同意,第二部分介绍企业在一些通用的个人信息处理场景下如何履行告知和同意,第三部分总结个人信息处理所涉及的其他各项合规要求,最后第四部分提示企业可能涉及承担的法律责任。
一、 告知和同意
1. 个人信息概述
1.1 个人信息的含义
1.2 个人信息的类型
2. 告知和同意的关系及适用情形
2.1 告知和同意的关系
2.2 告知和同意的适用情形
3. 告知和同意实施的基本要求
3.1 如何履行告知和取得同意
3.2 单独同意和增强告知
二、 个人信息处理场景
企业日常经营中可能涉及处理内外部人员的个人信息,包括处理员工、劳务派遣人员或外包人员的个人信息,处理企业客户/供应商联系人以及企业网络和网站的访问人员的个人信息,还可能涉及与第三方处理个人信息,以及境外主体直接收集境内个人信息的情形。针对不同的场景,企业在履行告知和取得个人同意时,应注意哪些事项呢?
1. 关于员工、派遣/外包人员
1.1 如何履行告知和取得同意
1.2 个人信息与个人隐私
1.3 用人单位安装调取监控注意事项
1.4 用人单位安装电脑监控软件注意事项
2. 关于企业客户联系人等
2.1 企业客户/供应商联系人
2.2 企业网络和网站的访问人员
3. 涉及第三方处理个人信息的情形
4. 境外主体直接收集境内个人信息的情形
三、 其他合规要求
1. 采取个人信息保护措施
2. 设置个人信息保护负责人
3. 个人信息处理合规审计
4. 保存个人信息的期限
5. 个人信息保护影响评估
四、 法律责任
1. 行政处罚
2. 民事侵权责任
3. 刑事责任
《网络安全法》施行后,围绕网络安全等级保护制度,各项国家标准也随即展开更新或起草。2019年5月16日,公安部召开“网络安全等级保护制度2.0国家标准宣贯会”,标志着国家网络安全等级保护工作步入2.0时代。《网络安全法》要求网络运营者按照网络安全等级保护制度的要求,履行相关安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,保障网络数据的完整性、保密性、可用性。网络运营者还需根据等保相关的国家标准来开展等保工作。
一、 等保的基本流程
二、 定级与备案
三、 定级后程序
四、 法律责任
《药械企业数据合规实务指引(2024年4月更新版)》
相较一般企业,药械企业会涉及处理更多的数据类型以及开展更多样的数据处理活动。例如,药械企业可能会因需要专业服务而涉及处理外部顾问(如医生)的个人信息,因临床试验涉及处理研究者、受试者等不同主体的个人信息;药械企业也会涉及数据出境;此外,药械企业开展业务活动会涉及人类遗传资源。
因此,本指引在前述《数据合规实务指引》的基础上,针对药械企业特有的数据处理活动提供更有针对性的实务指引和建议。
本指引分为三章:第一章,对药械企业在个人信息处理的特定场景下应遵守的合规要求分别介绍;第二章,对三种数据出境路径的适用情形以及药械企业应当特别关注的要点予以提示;第三章,对药械企业涉及处理人类遗传资源时应当遵守的合规要求予以详细梳理。
具体目录
对于企业日常经营中通常涉及的个人信息处理场景,例如处理员工、劳务派遣人员或外包人员、企业客户/供应商联系人、企业网络和网站的访问者等内外部人员的个人信息,企业履行告知和同意以及个人信息处理的其他合规要求、法律责任等内容,详见《数据合规实务指引》第三章关于个人信息处理合规的部分。
除《数据合规实务指引》第三章讨论的通用场景外,药械企业因其所在行业的特殊性,还可能会涉及处理更多类型主体的个人信息,例如为企业提供服务的顾问个人信息,参与相关临床试验的研究者、受试者的个人信息,用于患者教育的患者的个人信息,以及药物警戒活动中患者的个人信息。对于这些特定场景下的个人信息处理,药械企业应当如何履行“告知-同意”相关法律要求,本章将予以介绍。
一、顾问
二、临床试验中临床机构的研究者和工作人员
三、参加临床试验的受试者
四、提供治疗反馈用于患者教育的患者
五、药物警戒活动的患者
在全球化背景下,药械企业同其他行业的企业一样,常常因不同需求而涉及数据出境,例如,数据境外存储、邮件传输、跨境查询或访问数据等方式均可能构成数据出境。本章我们对数据出境合规的基本要点以及药械企业可能涉及的重点内容予以介绍。若需了解更为详细的数据出境监管要求,例如数据出境安全管理法律体现的确立和完善过程、各个数据出境路径应当满足的具体程序和要求和数据本地化存储等内容,可以参看《数据合规实务指引》第二章数据出境部分。
一、 数据出境行为
二、 免予履行和应当通过数据出境路径的情形
1. 免予履行数据出境路径的情形
1.1 不包含境内个人信息或重要数据
1.2 个人信息出境的4种特定情形
2. 自贸区负面清单制度
3. 应当通过数据出境路径的情形
三、 三种不同数据出境路径的选择和衔接
1. 三种数据出境路径的选择和衔接
2. 三种数据出境路径的基本程序及比较
3. 关于重要数据及人类遗传资源信息
四、 数据出境的其他监管要求
药械企业因其行业特点,可能会在开展业务过程中涉及处理人类遗传资源。人类遗传资源是发展生命科学及相关产业的重要战略资源,从最早国务院办公厅于1998年发布的《人类遗传资源管理暂行办法》,到国务院于2019年正式通过《中华人民共和国人类遗传资源管理条例》(“《管理条例》”),2020年《中华人民共和国生物安全法》(“《生物安全法》”)出台,再到2023年7月1日,《人类遗传资源管理条例实施细则》(“《实施细则》”)正式实施,人类遗传资源的监管经历了一个逐渐完善细化的过程,也体现了国家对其重视程度日益提高。
《实施细则》施行后,科技部即发布了《关于更新人类遗传资源行政许可事项服务指南、备案以及事先报告范围和程序的通知》及六份配套的新版《服务指南》:《采集行政许可事项服务指南》、《保藏行政许可事项服务指南》、《材料出境行政许可事项服务指南》、《国际科学研究合作行政许可事项服务指南》、《国际合作临床试验备案范围和程序》和《信息对外提供或开放使用事先报告范围和程序》,为申请人了解相关的行政程序要求提供指引。
本章主要聚焦《管理条例》和《实施细则》规定的监管对象与监管范围、相关的许可/备案/事先报告制度、行政程序的变更延续手续,以及科技部2023年9月12日针对《实施细则》生效以来申请人咨询的常见问题解答,从实务角度提示相关药械企业在申请行政许可、备案以及对外提供人类遗产资源时需要注意的相关要点。
一、监管对象与监管范围
1. 人类遗传资源信息的范围
2. 中方单位与外方单位的界定
3. 小结
二、“4种许可+1种备案+1种事先报告”制度
1. 采集许可
2. 保藏许可
3. 国际合作科学研究许可外方单位伦理文件豁免简化
4. 人类遗传资源国际合作临床试验备案
5. 人类遗传资源信息对外提供或开放使用的事先报告制度
6. 小结
三、变更延续相关程序及监管
1. 变更和延续之程序流程
2. 监管
3. 行政处罚
4. 小结
四、常见问题解答
1. 采集、保藏行政许可
2. 国际合作行政许可与备案
3. 信息对外提供或开放使用事先报告
4. 人类遗传资源监管范围明确
-
lanboyang@hengtai-law.com
-
021-68816261
-
Corporate and M&A/Private Equity and Investment Funds/Dispute Resolution/Healthcare and Life Sciences/Compliance
-
Chinese、English
-
liqi@hengtai-law.com
-
021-68816261
-
Corporate and M&A/Dispute Resolution/Healthcare and Life Sciences/Labor and Employment
-
Chinese、English