2018年9月13日，衛健委發布了《國家健康醫療大數據標準、安全和服務管理辦法（試行）》（下稱《管理辦法》）及其解讀稿。《管理辦法》明確了健康醫療數據的數據保護義務及行政部門的監管，對衛生醫療行業數據保護提出了具體要求，同時反映出我國在數據保護方面的監管態度，為其他行業的數據保護合規提供了借鑒方向。

1. 《網路安全法》中的數據出境：缺乏細則

中國的網路安全與數據保護法律體系以《網路安全法》為基礎，《網安法》第37條為數據出境確定了整體操作框架，即本地化儲存為主、數據出境評估為輔的數據保護原則。為明確數據出境評估操作，先後出臺了《個人信息和重要數據出境安全評估辦法（徵求意見稿）》、《信息安全技術 數據出境安全評估指南（草案）》及《關鍵信息基礎設施安全保護條例（徵求意見稿）》，但上述數據出境指南文件均未生效，目前數據出境的生效依據只有《網路安全法》第37條，評估的方法與主管部門均未明確，許多企業在數據跨境流動時並未進行數據出境安全評估。

2. 《管理辦法》中的數據出境：境內存儲+安全評估

《管理辦法》明確了健康醫療大數據的主管部門，並對數據安全提出了具體明確的保護要求，是《網路安全法》在健康醫療大數據這一領域的細化。《管理辦法》規定主管部門為衛生健康行政部門，明確責任單位的安全管理義務和服務管理義務，具體包括數據備份、數據加密、網路安全審查和監測預警系統，並在第30條中提到了健康醫療數據的儲存管理。《管理辦法》與《網路安全法》中數據出境的基本原則一致，即境內儲存與出境安全評估相結合；同時，《管理辦法》還要求責任單位委託他人運營儲存數據時，委託單位與受託單位共同承擔健康醫療大數據的管理和安全責任。健康醫療大數據安全管理由主管部門監督管理，包括日常檢查和監測評估。這些內容在《關鍵信息基礎設施安全保護條例（徵求意見稿）》均有體現：衛生醫療行業屬於CII，應按照網路安全等級保護制度的要求，履行相關安全保護義務。

第三十條 責任單位應當具備符合國家有關規定要求的數據存儲、容災備份和安全管理條件，加強對健康醫療大數據的存儲管理。健康醫療大數據應當存儲在境內安全可信的伺服器上，因業務需要確需向境外提供的，應當按照相關法律法規及有關要求進行安全評估審核。

3. 《管理辦法》出臺所體現的數據保護趨勢：加強監管

《網路安全法》中的數據出境因無細化措施一直被企業忽視，但《管理辦法》作為健康醫療數據的特別法，又一次強調了數據本地化儲存和數據出境安全評估，並由衛生健康行政部門負責標準的制定與數據監管。中國在健康醫療數據保護方面的態度是數據安全優於數據流動，並加強數據出境時的國家監管，把控境內數據的管理權及其流動。這些與《網路安全法》及其尚未生效的配套法律文件內容大體一致。

可見，《個人信息和重要數據出境安全評估辦法（徵求意見稿）》等法律文件雖未生效，但對於無法可依的企業具有很大的參考價值。企業應當注意數據保護合規，尤其是多次出現在配套法律文件中的電商企業中的客戶數據，應當參考《網路安全法》及其配套法律文件中的規定，提前做好數據保護合規，減少和避免數據保護的法律風險。

【題圖來源：視覺中國，侵刪。】

歡迎關注公眾號：合規CCO。

推薦閱讀：