作者：

陳際紅 韓璐 薛澤涵 王雨婷

前言

“新冠疫情”的持續(xù)影響，一方面催生、加速健康醫(yī)療企業(yè)的數(shù)字化、智能化轉(zhuǎn)型，另一方面，提升各界對健康醫(yī)療企業(yè)的關(guān)注，健康醫(yī)療行業(yè)也成為資本競逐、技術(shù)突破的熱點領(lǐng)域。近些年來，健康醫(yī)療企業(yè)逐步成為國內(nèi)主板、創(chuàng)業(yè)板、科創(chuàng)板等板塊“上市大軍”的主力。在此過程中，隨著《網(wǎng)絡安全法》及其配套法規(guī)的體系完善，《個人信息保護法》、《數(shù)據(jù)安全法》等數(shù)據(jù)保護領(lǐng)域頂層立法設(shè)計草案的發(fā)布，相關(guān)執(zhí)法機構(gòu)數(shù)據(jù)合規(guī)監(jiān)管行動頻密化發(fā)展，國內(nèi)數(shù)據(jù)合規(guī)立法、執(zhí)法要求趨嚴，健康醫(yī)療數(shù)據(jù)合規(guī)及數(shù)據(jù)安全，正成為相關(guān)評審機構(gòu)在企業(yè)上市評估及問詢過程中的重點關(guān)注話題。如何積極應對數(shù)據(jù)合規(guī)審查，成為待上市健康醫(yī)療企業(yè)的一大挑戰(zhàn)。

與此同時，伴隨互聯(lián)網(wǎng)醫(yī)療的快速發(fā)展及國家對應立法機制的完善，各地關(guān)于互聯(lián)網(wǎng)醫(yī)院準入、互聯(lián)網(wǎng)醫(yī)療管理、執(zhí)業(yè)規(guī)范等要求正在不斷建立及完善，例如，北京市衛(wèi)健委、北京市中醫(yī)管理局于2021年2月24日印發(fā)的《關(guān)于北京市互聯(lián)網(wǎng)醫(yī)院許可管理有關(guān)工作的通知》。如何應對趨嚴的互聯(lián)網(wǎng)醫(yī)療準入及管理要求，也成為互聯(lián)網(wǎng)健康醫(yī)療企業(yè)日常運營的重要合規(guī)事項。

為更好服務健康醫(yī)療企業(yè)，尤其是待上市企業(yè)的數(shù)據(jù)合規(guī)落地工作，本篇將具體介紹健康醫(yī)療企業(yè)IPO數(shù)據(jù)合規(guī)審查相關(guān)重點及應對建議。相關(guān)建議以《網(wǎng)絡安全法》及其配套法規(guī)為代表的現(xiàn)行有效的數(shù)據(jù)合規(guī)體系的明確要求為基礎(chǔ)，結(jié)合醫(yī)療專業(yè)領(lǐng)域數(shù)據(jù)合規(guī)特殊要求而提出。需特別注意的是，鑒于2020年部分問詢案例出現(xiàn)以《數(shù)據(jù)安全法（草案）》等未生效法律法規(guī)作為評審依據(jù)的情形 [1]，相關(guān)建議將充分考慮《個人信息保護法》《數(shù)據(jù)安全法》等尚未正式生效但對數(shù)據(jù)合規(guī)工作產(chǎn)生顯著影響的草案版本的合規(guī)要求。

此外，近期發(fā)布并將于2021年7月1日生效的《健康醫(yī)療數(shù)據(jù)安全指南》，為健康醫(yī)療數(shù)據(jù)全生命周期管理提供詳細的合規(guī)指引，其將作為本篇建議的主要標準來源。

一

健康醫(yī)療企業(yè)上市數(shù)據(jù)合規(guī)審查重點

基于我們對公開材料的梳理，數(shù)十家企業(yè)在上市審核過程中受到數(shù)據(jù)合規(guī)相關(guān)問題的詢問。其中，健康醫(yī)療領(lǐng)域目前有一家科創(chuàng)板上市公司、四家創(chuàng)業(yè)板上市公司（含仍處于上市審核階段的公司），在問詢階段被直接要求回復與數(shù)據(jù)合規(guī)相關(guān)的問題。具體公司及相關(guān)情況如下表所示：

點擊圖片查看大圖

基于上述公司的招股說明書、審查反饋意見、問詢函、發(fā)審委會議審核公告等文件，同時結(jié)合筆者在之前、、一文中梳理的“企業(yè)上市須應對的數(shù)據(jù)合規(guī)重點問題”的分類方式，我們針對上述公司涉及的數(shù)據(jù)合規(guī)問題進行梳理，以期全面展現(xiàn)擬上市健康醫(yī)療企業(yè)將面臨的數(shù)據(jù)合規(guī)問詢。

點擊圖片查看大圖

整體而言，“數(shù)據(jù)源合規(guī)”及“數(shù)據(jù)安全”系上市評審機構(gòu)所重點關(guān)注的數(shù)據(jù)合規(guī)問題?！皵?shù)據(jù)源合規(guī)”包括數(shù)據(jù)源獲取渠道及其合規(guī)性評價，這要求待上市企業(yè)前期對公司底層所有數(shù)據(jù)資產(chǎn)進行完整梳理，實現(xiàn)數(shù)據(jù)字段的溯源盤點，保證既有數(shù)據(jù)及新增數(shù)據(jù)獲取的合法合規(guī)性?！皵?shù)據(jù)安全”主要關(guān)注數(shù)據(jù)合規(guī)制度管理建設(shè)及技術(shù)保障措施落實情況，這要求待上市企業(yè)搭建完善的數(shù)據(jù)合規(guī)管理制度體系，并搭配必要的技術(shù)保障措施。

二

健康醫(yī)療企業(yè)上市數(shù)據(jù)合規(guī)開展建議

健康醫(yī)療數(shù)據(jù)全生命周期管理，覆蓋數(shù)據(jù)收集、存儲、使用、內(nèi)部管理、對外提供等環(huán)節(jié)。下文將根據(jù)上市數(shù)據(jù)合規(guī)審查重點問題分類方式，糅合數(shù)據(jù)全生命周期管理要求，為待上市企業(yè)提供直觀應對建議。

（一） 數(shù)據(jù)源合規(guī)

1．基本要求梳理

2．具體場景分析

在健康醫(yī)療企業(yè)實際業(yè)務場景中，數(shù)據(jù)源渠道呈現(xiàn)多樣化特征。數(shù)據(jù)源合法合規(guī)性保障需結(jié)合各具體場景進行分析及落實。

點擊圖片查看大圖

（二）數(shù)據(jù)權(quán)屬

1．基本要求梳理

針對現(xiàn)有部分案例涉及數(shù)據(jù)權(quán)屬的問詢情形，我們理解，評審機構(gòu)主要關(guān)注點在于，數(shù)據(jù)權(quán)屬問題存在瑕疵，可能會影響后續(xù)數(shù)據(jù)處理一系列行為的合法性、有效性，包括衍生數(shù)據(jù)成果的歸屬等。

另一方面，鑒于數(shù)據(jù)可能隱含數(shù)據(jù)處理主體的商業(yè)秘密、商標、版權(quán)等信息，數(shù)據(jù)權(quán)屬可能覆蓋相關(guān)知識產(chǎn)權(quán)。目前國內(nèi)相關(guān)知識產(chǎn)權(quán)法規(guī)明確，在不違反相關(guān)法律法規(guī)的前提下，尊重各相關(guān)方對特定知識成果的權(quán)屬約定。

2．具體場景分析

具體到健康醫(yī)療行業(yè)，關(guān)于數(shù)據(jù)權(quán)屬的討論，主要存在于涉及多方數(shù)據(jù)共享（可能包括進一步研發(fā)）的場景，覆蓋原始數(shù)據(jù)權(quán)屬，以及基于原始數(shù)據(jù)而衍生形成的研發(fā)數(shù)據(jù)、算法、模型、核心技術(shù)的權(quán)屬約定。對于這兩類情形，建議同時考慮上述提及的“數(shù)據(jù)控制權(quán)”及“知識產(chǎn)權(quán)”歸屬。

針對原始數(shù)據(jù)權(quán)屬，需評估與原始數(shù)據(jù)提供方/接收方之間的關(guān)系，一般由有能力決定數(shù)據(jù)處理目的及方式的一方作為數(shù)據(jù)控制者，其在法律法規(guī)規(guī)定及用戶授權(quán)同意的基礎(chǔ)上享有數(shù)據(jù)處理的權(quán)利。如企業(yè)希望獲取數(shù)據(jù)控制權(quán)，需評估自身業(yè)務模式是否符合上述要求，以及自身是否具備承擔保護用戶合法權(quán)益及數(shù)據(jù)安全責任的能力。此外，關(guān)于原始數(shù)據(jù)的知識產(chǎn)權(quán)約定，建議雙方在最初的合作協(xié)議中，在不違反現(xiàn)行法律法規(guī)的基礎(chǔ)上進行約定。

針對衍生成果（研發(fā)數(shù)據(jù)、算法、模型、核心技術(shù)等）權(quán)屬，需在上述針對原始數(shù)據(jù)權(quán)屬評估的基礎(chǔ)上，由雙方針對衍生成果在數(shù)據(jù)控制權(quán)、知識產(chǎn)權(quán)層面的權(quán)益歸屬進行明確約定。

（三）數(shù)據(jù)對外提供

1．基本要求梳理

數(shù)據(jù)對外提供包括數(shù)據(jù)委托處理、數(shù)據(jù)共享、數(shù)據(jù)轉(zhuǎn)讓等不同情形，也包括數(shù)據(jù)跨境傳輸這類特殊場景。數(shù)據(jù)委托處理場景下，數(shù)據(jù)合規(guī)及安全責任主要由控制者承擔，受托方需嚴格按照與控制者的協(xié)議約定，在控制者的指示下處理數(shù)據(jù)；數(shù)據(jù)共享場景下，雙方互為數(shù)據(jù)控制者并共同對數(shù)據(jù)主體承擔責任，雙方需在合作協(xié)議中厘清彼此的數(shù)據(jù)合規(guī)權(quán)利義務。

健康醫(yī)療數(shù)據(jù)跨境傳輸，按照《網(wǎng)絡安全法》及《個人信息出境安全評估辦法（征求意見稿）》規(guī)定，涉及個人信息及重要數(shù)據(jù)的，需在完成安全評估并報相關(guān)機構(gòu)備案后，方可跨境傳輸。依照《健康醫(yī)療數(shù)據(jù)安全指南》要求，因?qū)W術(shù)研討等目的，需要向境外提供非涉密非重要數(shù)據(jù)的信息的，經(jīng)主體授權(quán)同意及機構(gòu)數(shù)據(jù)安全委員會審批同意，健康醫(yī)療數(shù)據(jù)控制者可向境外目的地提供個人健康醫(yī)療數(shù)據(jù)，累積數(shù)據(jù)量宜控制在250條以內(nèi)，否則需提請相關(guān)部門審批。

2．具體場景分析

對于健康醫(yī)療企業(yè)而言，日常運營中涉及數(shù)據(jù)對外提供的情形主要包括兩類：一是與合作方基于商業(yè)合作、科研合作目的共享獲得或產(chǎn)生的健康醫(yī)療數(shù)據(jù)；二是與外部合作專家、機構(gòu)、技術(shù)服務提供方等合作，委托后者提供數(shù)據(jù)標注、存儲、處理、分析等專項服務。

參考《健康醫(yī)療數(shù)據(jù)安全指南》對于數(shù)據(jù)對外提供場景的分類及規(guī)定，在第一類場景下，合作方與健康醫(yī)療企業(yè)往往構(gòu)成“控制者——控制者”或者“控制者（合作方）——處理者（健康醫(yī)療企業(yè)）”的關(guān)系。在第二類場景下，健康醫(yī)療企業(yè)與合作方往往構(gòu)成“控制者（健康醫(yī)療企業(yè)）——處理者（合作方）”或者“處理者（健康醫(yī)療企業(yè)）——子處理者（合作方）”的關(guān)系。無論是何種場景，建議健康醫(yī)療企業(yè)應在數(shù)據(jù)傳輸前，充分審查合作方的數(shù)據(jù)安全管理能力，并與合作方通過補充協(xié)議方式，要求合作方作為數(shù)據(jù)接收方應在約定目的范圍使用數(shù)據(jù)、應承擔保密義務、信息安全保障義務等。

（四）數(shù)據(jù)安全

鑒于健康醫(yī)療數(shù)據(jù)的敏感性及重要性，健康醫(yī)療企業(yè)應格外重視數(shù)據(jù)安全管理工作。綜合相關(guān)法律法規(guī)要求，我們將關(guān)于健康醫(yī)療數(shù)據(jù)安全管理的核心要求總結(jié)如下：

點擊圖片查看大圖

（五）系統(tǒng)與技術(shù)

醫(yī)療機構(gòu)作為網(wǎng)絡運營者，應認真落實《網(wǎng)絡安全法》關(guān)于網(wǎng)絡安全等級保護的要求，對健康醫(yī)療業(yè)務開展涉及的核心業(yè)務系統(tǒng)，開展等保測評及備案，獲取公安機關(guān)備案證明，并定期開展信息系統(tǒng)測評審計。

根據(jù)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》規(guī)定，如下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級：傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)；國家、省、地市三級衛(wèi)生信息平臺，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心；三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)等。

除等保備案證明外，對于健康醫(yī)療行業(yè)應具備的資質(zhì)要求，例如互聯(lián)網(wǎng)藥品交易、醫(yī)療器械銷售、互聯(lián)網(wǎng)信息服務等，應結(jié)合法律法規(guī)及政策最新要求，及時申領(lǐng)必要證件，或完成相關(guān)證件續(xù)展更新。

（六）數(shù)據(jù)立法和監(jiān)管

健康醫(yī)療企業(yè)應重視對公司涉及數(shù)據(jù)合規(guī)相關(guān)的案例、投訴、處罰等的管理，包括建立及時響應機制、及時優(yōu)化調(diào)整機制及記錄機制。具體而言，健康醫(yī)療企業(yè)（尤其是擬上市企業(yè)）應對公司已收到的涉及數(shù)據(jù)合規(guī)的用戶投訴、糾紛、行政通告或處罰、司法案例等，以及公司已發(fā)生過的數(shù)據(jù)泄露、非法提供等安全事件，進行完整盤點，并復盤對應采取的彌補、優(yōu)化等管理措施，做好問詢應對的前期準備。

此外，鑒于我國目前網(wǎng)絡安全及數(shù)據(jù)合規(guī)領(lǐng)域立法不斷發(fā)展，執(zhí)法活動呈現(xiàn)頻密化趨勢，建議健康醫(yī)療企業(yè)及時關(guān)注國內(nèi)立法、執(zhí)法最新趨勢，尤其是國家頂層立法及行業(yè)主管部門制定的專項法規(guī)要求，與時俱進調(diào)整內(nèi)部數(shù)據(jù)合規(guī)管理機制，降低被動合規(guī)帶來的消極影響。

[注]

[1]可參考《關(guān)于北京中數(shù)智匯科技股份有限公司首次公開發(fā)行股票并在科創(chuàng)板上市的補充法律意見書》。

[2]《關(guān)于廣州安必平醫(yī)藥科技股份有限公司首次公開發(fā)行股票并在科創(chuàng)板上市申請文件發(fā)行注冊環(huán)節(jié)反饋意見落實函的回復》

[3]《關(guān)于華廈眼科醫(yī)院集團股份有限公司首次公開發(fā)行股票并在創(chuàng)業(yè)板上市的補充法律意見書（一）》

[4]《關(guān)于成都普瑞眼科醫(yī)院股份有限公司申請首次公開發(fā)行股票并在創(chuàng)業(yè)板上市的補充法律意見書之一》

[5]《關(guān)于廣州安必平醫(yī)藥科技股份有限公司首次公開發(fā)行股票并在科創(chuàng)板上市的補充法律意見書（一）》

[6]《關(guān)于成都普瑞眼科醫(yī)院股份有限公司申請首次公開發(fā)行股票并在創(chuàng)業(yè)板上市的補充法律意見書之一》

[7]《關(guān)于湖南達嘉維康醫(yī)藥產(chǎn)業(yè)股份有限公司首次公開發(fā)行人民幣普通股并在創(chuàng)業(yè)板上市之補充法律意見書（二）》

[8]《關(guān)于廣州安必平醫(yī)藥科技股份有限公司首次公開發(fā)行股票并在科創(chuàng)板上市的補充法律意見書（一）》

—— （未完待續(xù)）——

下篇預告

關(guān)于健康醫(yī)療行業(yè)完整數(shù)據(jù)合規(guī)立法體系解讀，以及針對未來健康醫(yī)療行業(yè)發(fā)展及數(shù)據(jù)合規(guī)監(jiān)管重點領(lǐng)域趨勢的解讀，詳見本系列的下篇【法規(guī)梳理篇】。

The End

作者簡介

陳際紅 律師

業(yè)務領(lǐng)域：知識產(chǎn)權(quán)權(quán)利保護, 網(wǎng)絡安全和數(shù)據(jù)保護, 反壟斷和競爭法

特色行業(yè)類別：金融行業(yè), 通訊與技術(shù)

韓璐 律師

北京辦公室 知識產(chǎn)權(quán)部

薛澤涵

北京辦公室 知識產(chǎn)權(quán)部

王雨婷 律師

北京辦公室 知識產(chǎn)權(quán)部

《解讀 》

《網(wǎng)絡安全與數(shù)據(jù)保護2020年度觀察》

《新型電商的數(shù)據(jù)合規(guī)路徑》

《EDPB《GDPR下數(shù)據(jù)控制者及數(shù)據(jù)處理者概念的指南》解讀兼談 關(guān)于處理者的定義》

《 十一大亮點面面觀》

《解讀《商用密碼管理條例》修訂草案十大變化》

《2020年APP個人信息治理工作啟動，你需要關(guān)注的APP自評估指南的主要變化》

《 觀察：構(gòu)建我國基礎(chǔ)性數(shù)據(jù)安全制度的開端》

《 構(gòu)建數(shù)字時代個人信息和隱私保護的民法基礎(chǔ)》

《新基建主題系列——智能家居出海的八個數(shù)據(jù)保護關(guān)鍵詞》

《科技企業(yè)上市之數(shù)據(jù)合規(guī)（下）—— 數(shù)據(jù)合規(guī)治理篇》

《科技企業(yè)上市之數(shù)據(jù)合規(guī)（上）——審核要點篇》

《全景解讀2020版 重要變化》

《人工智能生成物能否獲得法律保護？》

《“抗疫”不忘數(shù)據(jù)合規(guī)： 評析》

《疫情期間企業(yè)個人信息保護十問十答》

《App數(shù)據(jù)收集劃定紅線： 解析》

《2019年 年度觀察》

特別聲明：

以上所刊登的文章僅代表作者本人觀點，不代表北京市中倫律師事務所或其律師出具的任何形式之法律意見或建議。

如需轉(zhuǎn)載或引用該等文章的任何內(nèi)容，請私信溝通授權(quán)事宜，并于轉(zhuǎn)載時在文章開頭處注明來源于公眾號“中倫視界”及作者姓名。未經(jīng)本所書面授權(quán)，不得轉(zhuǎn)載或使用該等文章中的任何內(nèi)容，含圖片、影像等視聽資料。如您有意就相關(guān)議題進一步交流或探討，歡迎與本所聯(lián)系。返回搜狐，查看更多

責任編輯：