首页 > 资讯 > 医疗数据跨境传输法律合规实务指引

医疗数据跨境传输法律合规实务指引

泰然健康网
2025-05-16 15:07

近年来，随着云计算、大数据、区块链、5G、人工智能等新一代信息通信技术的快速发展。医疗大数据产业进入飞速发展时期，网络信息是跨国界流动的，信息流引领技术流、资金流、人才流，信息资源日益成为重要生产要素和社会财富，信息掌握的多寡成为国家软实力和竞争力的重要标志。

中国医疗产业已经沉淀海量的健康医疗数据，包括病患数据、病历信息、健康医疗数据处理者运营数据以及科研数据等多种数据类型。这些数据具有数据量大、来源广泛、存储复杂、实时性强等典型特征。对健康医疗数据使用进行有效规制已经成为中国医疗行业现代化推进、创新性发展和国际化拓展过程中的必然要求。对此，医疗数据的跨境流通合规是医疗行业、数据行业中每家企业都需要认真对待的重要问题。

一、数据出境的定义

根据《数据出境安全评估办法》（以下简称《办法》）第二条的规定，数据出境是指“网络运营者将在中国境内运营中收集和产生的个人信息与重要数据，提供给位于境外的机构、组织、个人”。“数据出境活动”包括两种情况：

第一种，是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。

第二种，是数据处理者收集和产生的数据存储在境内，但境外的机构、组织或者个人可以访问或者调用。

企业在判断公司业务行为是否属于“数据出境”的时候，需要注意以下内容：

（1）判断自己是否是我国个人信息保护法中的“数据处理者”；

（2）该等数据是否是在“境内运营过程中”收集和产生的；

（3）企业的行为是否有涉及“向境外提供”，或被境外“访问或调用”的情况。

二、“境”的定义

“出境”和“跨境”，不仅是指物理上跨越国境的行为，更是指从一个司法管辖区域到另一个司法管辖区域的行为，而其中司法管辖区域既包括独立主权的国家，也包括具有司法独立主权的地区。比如：

（1）中国大陆与香港、澳门、台湾地区分别属于不同的司法管辖区域；

（2）在《中华人民共和国出境入境管理法》第八十九条中有对“出境” 进行定义，根据规定，出境是指中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区；

（3）当企业将中国大陆境内收集和产生的重要数据和个人信息向香港、澳门、台湾地区传输时，属于数据出境行为。

三、数据出境的原则

根据《办法》第三条的规定，数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。从原则中可以看出，数据出境安全评估是一个动态的过程，不仅要在数据出境前进行必要的风险评估和审批，还要在数据出境后进行有效的风险监控和管理。同时，数据出境安全评估是一个分层的过程，不仅要由数据处理者自主地进行风险自评估和合规管理，还要由国家网信部门组织相关部门和机构进行安全评估和监督。此外，数据出境安全评估也是一个平衡的过程，既要防范数据出境可能带来的国家安全、公共利益、个人权益等方面的风险，也要促进数据跨境安全、自由流动，支持数字经济发展和国际合作。

四、医疗数据的种类及范围

医疗数据根据涉密级别可以分为人类遗传信息、敏感个人信息、个人信息、重要数据、一般数据五个级别。其中包括身份属性数据、临床数据、身体状况数据、医疗记录数据、交易数据、资源数据、公共数据七大类。

人类遗传信息：B超、实验室检查信息、全基因组测序等；

敏感个人信息：用药记录、病史、交易记录、生育信息等；

个人信息：性别、民族、电话号码等；

重要数据：传染病病例数量、药品库存等；

一般数据：每日就医数量、医护人员数量等。

五、医疗数据出境的法律基础

医疗数据作为国家高度重视的一项涉及个人信息的重要数据，在其进行数据出境、跨境流通的过程中要厘清医疗数据的特性，遵循数据出境的相关规定。为此，国家通过《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《关键信息基础设施安全保护条款》构建了我国数据安全方面的基本法律框架。并通过制定《个人信息出境标准合同规定（征求意见稿）》（以下简称《标准合同》）、《数据出境安全评估办法》，构建了数据出境的基本法律框架。

六、数据跨境传输机制

根据我国《个人信息保护法》关于个人信息跨境传输的规定内容，目前包括三种个人信息跨境传输的机制：

（1）数据出境安全评估，属于法定适用情况，即只要达到法律规定的条件，企业就必须申报数据出境安全评估。

（2）认证机制，属于国家推荐的自愿性的认证情况，主要适用在跨国集团与关联公司之间的个人信息跨境传输活动。

（3）标准合同条款，考虑到境外接收方所在国家或地区在个人信息保护立法或执法保护水平上存在的不足，通过境内的个人信息处理者与境外的接收方签署标准合同条款，将我国法律法规所确立的个人信息保护要求转化为对境外接收方具有法律约束力和可执行的合同条款。

七、适用标准合同的条件

根据《规定》第四条规定：使用标准合同的企业（个人信息处理者）应当同时满足以下条件：

（1）非关键信息基础设施运营者；

（2）处理个人信息不满100万人的；

（3）自上年1月1日起累计向境外提供未达到10万人个人信息的；

（4）且自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

故可知，以上四项条件是对通过签订标准合同进行数据出镜的个人信息处理者身份的限制，只有同时满足以上四项条件的个人信息处理者方可使用标准合同。

八、适用安全评估的判断流程

九、医疗数据适用传输机制要点

（1）医疗数据属于重要数据，适用的是安全评估；

（2）关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。对于核心数据无法通过安全评估的办法进行数据出境；

（3）需要对出境数据的规模、范围、种类和敏感程度进行评估；

（4）境外接收方的数据保护水平是否达到中国法律、行政法规规定的要求；

（5）在数据处理者与境外接收方拟订立的法律文件中需要约定数据安全保护的责任义务；

十、医疗企业如何合规进行数据出境

第一，企业需要判断自身是否符合《办法》规定的需进行申报的要求。

第二，企业可以先对自己日常经营过程中处理的数据类型、规模、范围、业务流程进行确认归类，并梳理出企业内部的数据处理流程，以确保企业对其合规的判断足够精确。

第三，合同双方应确认出境的数据类型为法律法规允许传输的数据，不属于中国法律规范中不可出境的情形，如涉及人类遗传资源信息，应遵守《人类遗传资源管理条例》第三章“利用和对外提供”的规范要求。

第四，合同双方应明确数据的出境目的、量级、方式，以及数据出境行为与医学活动的必要性和正当性，避免对应业务活动违背公序良俗。

第五，结合《信息安全技术—健康医疗数据安全指南》(GB/T 39725—2020)已有的个人属性数据、卫生资源数据、公共卫生数据等数据分类，要求合同双方辨别出境数据类型的风险级别，并根据分级结果采取差异性的技术处理措施。

作者简介：

侯泽北京吴少博律师事务所合规部合规助理

法律硕⼠，专业领域为劳动合规、数据合规、ESG合规等，具有多年律所、公司法务实务经验，计算机法律交叉专业背景。曾参与⼤型深度学习框架、⽆⼈驾驶研发及合规⼯作，编写制定多篇企业内部劳动合规⽅案帮助企业降低⽤⼈⻛险，实现⽤⼈零⻛险。作为编委会成员参编完成劳动合规领域著作⼀部，并在相关领域公开发表多篇⽂章。服务⾏业领域为建筑⾏业、⼈⼯智能⾏业、软件⾏业等。⼯作语⾔为中⽂、英⽂。