生物医药企业数据合规：基因数据处理要求

根据《中华人民共和国人类遗传资源管理条例》（以下简称《管理条例》），人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息（“人遗信息”）是指利用人类遗传资源材料产生的数据等信息资料。《人类遗传资源管理条例实施细则》（以下简称《实施细则》）进一步明确人遗信息包括利用人类遗传资源材料产生的人类基因、基因组数据等信息资料，但不包括临床数据、影像数据、蛋白质数据和代谢数据。

根据《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）并参考国家标准《信息安全技术 个人信息安全规范》（GB/T 35273-2020）及标准相关技术文件《网络安全标准实践指南—敏感个人信息识别指南》对敏感个人信息的定义与分类，个人基因属于敏感个人信息中的个人生物识别信息，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇。

个人信息处理者就敏感个人信息的处理，应具有特定的目的和充分的必要性，同时应取得个人的单独同意并采取严格保护措施。此外，敏感个人信息处理者还应当开展事前的个人信息保护影响评估。

根据《中华人民共和国数据安全法》并参考国家标准《数据安全技术 数据分类分级规则》（GB/T 43697-2024）中重要数据识别指南，反映群体遗传信息的基础数据，如人遗信息属于重要数据。

依据《促进和规范数据跨境流动规定》建立的主动识别+被动认定的重要数据判断标准，涉及向境外提供人遗信息的企业应当按照生物医药行业重要数据目录重点识别出境数据是否符合重要数据标准，以及是否被相关部门、地区告知或者公开发布为重要数据。参考北京市互联网信息办公室等三部门于2024年8月发布的《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》，遗传信息、达到国家有关部门规定的规模或者精度的基因数据被归类为重要数据。

重要数据处理者应明确数据安全负责人和管理机构，落实数据安全保护责任；采取重要数据备份和加密等安全保护措施；定期对数据处理活动开展风险评估，并向主管部门报送风险评估报告。

点击查看大图

在2023年国务院机构改革中，科学技术部所属中国生物技术发展中心划入国家卫生健康委员会（“国家卫健委”），该中心下设的中国人类遗传资源管理办公室一并划入国家卫健委。人类遗传资源主管部门由科学技术部调整为国家卫健委。

根据新修订的《管理条例》，国务院卫生健康主管部门负责全国人类遗传资源管理工作，省、自治区、直辖市人民政府人类遗传资源主管部门负责本行政区域人类遗传资源管理工作。

2023年7月，科技部公布与《实施细则》配套的人类遗传资源采集、保藏、人类遗传资源材料出境、人类遗传资源国际科学研究合作行政许可事项服务指南、人类遗传资源国际合作临床试验备案范围和程序、人类遗传资源信息对外提供或开放使用事先报告范围和程序。另外，针对《实施细则》发布后申请人在办理人类遗传资源行政审批和备案等事项时咨询的常见问题，科技部于2023年9月更新发布了《人类遗传资源管理常见问题解答》。

在上述法律法规、规章之外，国家标准《信息安全技术 健康医疗数据安全指南》（GB/T 39725-2020）将个人基因归为健康医疗数据，并给出健康医疗数据控制者可采取的安全保护措施；《信息安全技术 生物特征识别信息保护基本要求》（GB/T 40660-2021）规定了各类生物特征识别信息控制者开展收集、存储、使用、委托处理共享等处理活动应遵循的基本原则和安全要求；《信息安全技术 基因识别数据安全要求》（GB/T 41806-2022）规定了基因识别数据及关联信息的收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求，并提出个体服务场景、研究开发场景和其他应用场景下的安全要求。

 针对人遗信息的采集、保藏、利用，需遵守《管理条例》和《实施细则》的特殊规定，例如：

（一）外方单位（包括外国组织及外国组织、个人设立或者实际控制的机构）以及境外个人不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源，前述活动必须由中方单位（包括我国科研机构、高等学校、医疗机构、企业；设在港澳的内资实控机构视为中方单位）开展。

《实施细则》提供了认定外方单位的具体标准：

▶ 境外组织、个人持有或者间接持有机构百分之五十以上的股份、股权、表决权、财产份额或者其他类似权益；

▶ 境外组织、个人持有或者间接持有机构的股份、股权、表决权、财产份额或者其他类似权益不足百分之五十，但其所享有的表决权或者其他权益足以对机构的决策、管理等行为进行支配或者施加重大影响；

▶ 境外组织、个人通过投资关系、协议或者其他安排，足以对机构的决策、管理等行为进行支配或者施加重大影响。

（二）采集、保藏、利用、对外提供我国人类遗传资源应进行伦理审查。

（三）采集特定类型人类遗传资源需经国务院卫生健康主管部门批准。包括重要遗传家系人类遗传资源采集活动、特定地区人类遗传资源采集活动、用于大规模人群研究且人数大于3000例的人类遗传资源采集活动。

（四）告知和书面同意。采集我国人类遗传资源，应当告知提供者采集目的和用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利，并征得提供者书面同意。

外方单位需要利用我国人类遗传资源开展科学研究活动（包括临床试验）的，应当采取与中方单位合作的方式进行，并需要报国务院卫生健康主管部门¹审批/备案。

在数据跨境提供方面企业应特别注意，人遗信息属于受特殊监管的数据，如跨境传输人遗信息，在数据跨境监管一般机制之外，应当向国务院卫生健康主管部门事先报告并提交信息备份²，可能影响我国公众健康、国家安全和社会公共利益的，应当通过安全审查。

由于人遗信息可能构成重要数据，企业如向境外提供重要数据，应根据《数据出境安全评估办法》向网信部门申报数据出境安全评估。对于企业是否需履行向生物医药领域主管部门与网信部门的双重合规义务的问题，以《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》为例，该清单将人遗信息列入医药行业下“需要通过其他合法合规路径出境的数据清单”，与“需要通过数据出境安全评估的数据清单”和“需要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单”并列。我们就此问题咨询了国家网信办与北京、上海、广东省网信办，各地网信办均表示企业向卫生健康主管部门与向网信部门两个维度的数据出境申报互不替代，需要平行办理，即不管是否通过国家卫健委的安全审查，只要出境数据构成重要数据，就需申报数据出境安全评估。因此，我们建议企业首先履行本行业领域关于出境的法定义务，同时为向网信部门申报数据出境安全评估做好准备（例如开展数据出境风险自评估），并就数据出境合规要求积极征求行业领域主管部门以及网信部门的意见。

此外，遗传物质包括染色体、基因组等可能涉及出口管制。《中华人民共和国出口管制法》规制的物项（包括物项相关的技术资料等数据）包括两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项。其中，遗传物质若具有生物两用品出口管制清单中定义的生物双用途则称为生物两用品。企业应关注所涉遗传物质相关数据是否被《中华人民共和国生物两用品及相关设备和技术出口管制条例》列入管制清单实行出口管制。

注释

1.中国人类遗传资源管理办公室职能包括涉及人类遗传资源的国际合作项目的行政审批，中国人类遗传资源国际合作项目申请管理系统：https://apply.hgrg.net/login

2.根据《实施细则》，已取得行政许可的国际科学研究合作或者已完成备案的国际合作临床试验实施过程中，中方单位向外方单位提供合作产生的人类遗传资源信息的，如国际合作协议中已约定由合作双方使用，不需要单独事先报告和提交信息备份。

刘佩韦律师对本文亦有贡献

以上文章仅作为法律信息评述，不能作为对任何客户或者事件的法律意见。仅代表作者个人观点，不代表其所在机构立场。如需转载或引用文章中的任何内容，请联系海润天睿市场部，邮箱地址：xucong@myhrtr.com。