2020年10月17日,《中华人民共和国生物安全法》(以下简称"《生物安全法》")经全国人大常委会审议通过,将自2021年4月15日(我国第5个全民国家安全教育日)起正式实施。《生物安全法》的出台,标志着我国在法律层面将生物安全纳入国家安全体系,国家将统筹生物技术的健康发展和生物安全风险的防范,与时俱进,全方位保护我国生物安全。
我们在前文《"管中窥豹"—<生物安全法>前瞻及现行生物安全相关监管体系回顾》 中曾就《生物安全法》的出台背景以及征求意见稿中的重点内容进行探讨,本文将继续从数据合规(个人信息和重要数据的管理与保护)角度,讨论《生物安全法》对企业提出的具体要求。
一、《生物安全法》概览
出台背景
《生物安全法》出台适应了国际国内生物技术发展和生物安全风险防范的需要。20世纪以来,生物技术发展日新月异,生物技术不断在医学、农业、工业、环境、能源等领域展现出巨大的潜力,正在引发新的科技革命,并有可能从根本上解决世界人口、粮食、环境、能源等影响人类生存与发展的重大问题,生物经济的蓝图被越来越深刻地描绘。
- 医疗领域:以干细胞、基因测序和编辑、生物芯片等核心技术突破为基础,新兴生物技术在医学领域的广泛应用,不仅极大地改造了传统的医药产业,还使得医疗技术的核心从末端的疾病治疗,逐步走向前端的诊断和预防,并打开了未来个性化医疗的大门;
- 农业领域:生物科技的"绿色革命"引领现代种植业和养殖业正在发生翻天覆地的变化;
- 能源领域:越来越多的国家努力寻找更加经济高效绿色的能源替代方案,生物乙醇、生物柴油、生物发电、生物氢等生物质能在全球能源生产消费中的比重越来越大;
- 传统制造业领域:工业生物技术的突破,使传统化工、造纸、食品等工业领域的制造工艺发生质的变化,不仅提高了生产效率,还降低了污染物排放。
有预测认为,除了上述已经被生物技术改变的四大领域,在2025年之后,当人类跨入生物经济成熟期,生物技术将对那些现在看起来似乎与生物学没有关联的更多产业发生作用,并最终对整个人类经济社会发展产生重大影响。 在此背景下,大部分发达国家均相继发布了国家级生物安全法律法规、发展战略和纲要。例如,美国先后颁布了《公共卫生安全与生物恐怖准备与应对法》《生物盾牌法案》《生物防御和大流行性疫苗与药物开发法案》《国家生物安全防御战略》等综合性管理生物安全法律或发展战略,针对具体生物产品还颁布了《联邦食品、药品和化妆品法案》《生物制品管制法》等法案;日本发布了《生物技术战略大纲》《生物战略 2019——面向国际共鸣的生物社区的形成》等生物安全战略,以及《重组DNA工作准则》《重组DNA实验准则》《实验室生物安全指南》等专项规范。
立法目的
《生物安全法》开篇名义将生物安全纳入国家安全范畴,维护生物安全成为维护国家安全的重要组成部分,其直接立法目的则指向生物安全风险的防范和生物安全技术健康发展,前者为保障人民生命健康、保护生物资源和生态环境,后者为推动构建人类命运共同体、实现人与自然和谐共生。两项目的相辅相成,《生物安全法》将以法律形式保障生物技术稳定健康发展的同时,确保人民生命健康和生态系统相对处于不受威胁的状态。
基于《生物安全法》立法目的,对企业而言,无论在生物技术开发还是提供相关产品和服务过程中,均应以保护人民生命健康和生态环境为原则。
适用范围和管理对象
《生物安全法》管理对象广泛,科研院校、医疗机构以及企事业单位和相关个人均应遵守《生物安全法》相关规定。对医疗机构和企事业单位而言,从事下列活动时,应特别注意生物安全合规:
- 防控重大新发突发传染病、动植物疫情
- 生物技术研究、开发与应用;
- 病原微生物实验室生物安全管理;
- 人类遗传资源与生物资源安全管理;
- 防范外来物种入侵与保护生物多样性;
- 应对微生物耐药;
- 防范生物恐怖袭击与防御生物武器威胁;
- 其他与生物安全相关的活动。
二、《生物安全法》对企业数据合规工作的"问答题"
1. 医疗、体检机构等面对突发传染病或动植物疫情应注意哪些方面?
《生物安全法》明确国家生物安全工作协调机制将组织建立国家生物安全风险监测预警体系,提高生物安全风险识别和分析能力,同时授权相关部门建立新发突发传染病、动植物疫情、进出境检疫、生物技术环境安全监测网络。在国家生物安全风险监测预警体系下,企业在个人信息和重要数据管理和保护方面需要注意以下方面:
(1)突发传染病或动植物疫情的报告义务
根据《生物安全法》第二十九条,任何单位和个人发现传染病、动植物疫病的,应当及时向医疗机构、有关专业机构或者部门报告;医疗机构、专业机构及其工作人员发现传染病、动植物疫病或者不明原因的聚集性疾病的,应当及时报告,并采取保护性措施。该要求与《中华人民共和国传染病防治法》("《传染病防治法》")、《突发公共卫生事件应急条例》《重大动物疫情经济条例》所规定的传染病预防预警机制、动物疫情监测机制一脉相承。(具体可参见金杜此前研究文章《"管中窥豹"—<生物安全法>前瞻及现行生物安全相关监管体系回顾》《同舟共济—不同场景下健康医疗数据流转的合规路径》《数据资源流转与公开》) 。
结合上述法律法规要求,企业发现员工感染或疑似感染传染病的,应当及时向医疗机构和传染病预防控制机构和/或卫生行政主管部门报告。医疗机构和相关专业机构(如能够检验传染病病毒的体检机构、第三方检验机构)在履行报告义务的同时,还应严格遵循《病原微生物实验室生物安全管理条例》等实验室生物安全相关要求,分类管理微生物与实验室,加强实验室感染控制,合理、合规处理实验活动废物,提前制定实验室环境污染应急预案等。
(2)生物安全信息发布限制与个人信息保护
《生物安全法》确立了生物安全信息发布制度,授权国家生物安全工作协调机制成员单位根据职责分工发布国家生物安全总体情况、重大生物安全风险警示信息、重大生物安全事件及其调查处理信息等重大生物安全信息,由国务院有关部门和县级以上地方人民政府及其有关部门根据职责权限发布其他生物安全信息,并要求任何单位和个人不得编造、散布虚假的生物安全信息。由此,《生物安全法》明确了相关国家机构和各级政府及有关部门是生物安全信息发布的唯一渠道,医疗、体检机构和相关企业不得自行发布生物安全信息,更不能编造、散布虚假的生物安全信息。当前正处于新冠疫情防控特殊时期,新冠疫情病例的确诊信息也可能属于生物安全信息,医疗、体检机构等宜注意对该等信息的发布是否受到限制。
此外,根据2020年2月中央网信办公开发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,任何单位和个人还应注意以下方面:
- 目的限制:为疫情防控、疾病防治收集的个人信息,不得用于其他用途;
- 授权同意原则:除国务院卫生健康部门依据《中华人民共和国网络安全法》("《网络安全法》")《传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息,任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码等个人信息;
- 最小范围原则:收集联防联控所必需的个人信息应参照国家标准《信息安全技术 个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上的歧视;
- 安全保护义务:收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。
2. 医疗机构和企业在生物技术开发研究时需注意哪些方面?
《生物安全法》提出国家加强对生物技术研究、开放和应用活动的安全管理,禁止企业从事危及公众健康、损害生物资源、破坏生态系统和生物多样性等危害生物安全的生物技术研究、开发与应用活动。结合《生物安全法》及相关法律法规的要求,在生物技术开发研究时,企业应注意履行下述义务:
(1)遵循伦理原则
《生物安全法》第三十四条要求企业从事生物技术研究、开发和应用活动应当符合伦理原则,第四十条明确企业从事生物医学新技术临床研究,应当通过伦理审查,并在具备相应条件的医疗机构内进行;进行人体临床研究操作的,应当由符合相应条件的卫生专业技术人员执行。
目前,针对生物技术开发研究的伦理原则所指向的具体内容和审查方式尚待配套法律法规加以明确,但在生物医药方面,至少需要遵循《中华人民共和国药品管理法》("《药品管理法》")、《药品注册管理办法》《药物临床试验质量管理规范》("GCP")、《涉及人的生物医学研究伦理审查办法》("《伦理审查办法》")等法律法规对药品研发和临床试验伦理审查的相关规定,即具有医疗机构执业许可证,且以研究者和临床试验机构的身份参与药物研发与临床试验的企业,必须具有负责药物临床试验伦理审查的伦理委员会,并在药物临床试验开展前通过伦理审查。
此外,对于基因诊断技术而言,涉及处理人类遗传资源的环节也应当通过伦理审查。具体请参见下文从事人类遗传资源相关活动应适用的伦理审查相关规定。
(2)风险防控与应急预案
《生物安全法》确立了生物安全风险调查评估制度和生物安全应急制度、生物安全事件调查溯源制度,授权有关部门在必要时对企业生物技术研发所涉及的生物安全风险进行评估,并在发生生物安全事件后进行应急响应。对企业而言,为防控生物安全风险、更好地应对生物安全事件,应当注意以下合规要点:
- 风险防控管理:从事生物技术研究、开发与应用活动的单位应当对本单位生物技术研究、开发与应用的安全负责,采取生物安全风险防控措施,制定生物安全培训、跟踪检查、定期报告等工作制度,强化过程管理;
- 事前审批备案和应急预案:从事高风险、中风险生物技术研究、开发活动,应当由在我国境内依法成立的法人组织进行,并依法取得批准或者进行备案,还应当进行风险评估,制定风险防控计划和生物安全事件应急预案,降低研究、开发活动实施的风险;
- 追溯管理:购买或者引进列入管控清单的重要设备和特殊生物因子,应当进行登记,确保可追溯,并报国务院有关部门备案。
提请企业注意的是,在制定风险防控方案和安全事件应急预案过程中,还需要结合《国家突发公共卫生事件应急预案》《突发公共卫生事件应急条例》和《网络安全法》《个人信息安全规范》等法律法规和国家标准的要求,特别关注个人信息和生物安全相关重要数据的管理和保护,包括但不限于:
- 安全措施:采取有效技术和制度保障措施(如采取加密、备份等手段)保护生物技术开发研究过程中收集、产生的个人信息和重要数据,以防未经授权访问与信息泄露;
- 应急预案:在生物安全事件应急预案中加入个人信息和重要数据保护及数据安全事件应对的相关内容,并明确数据安全事件发生后向有关部门和个人信息主体的报告和告知义务;
- 处理活动记录:为方便生物安全事件发生后追根溯源以及更好地应对可能的行政调查,企业可以根据业务功能和授权情况区分个人信息和重要数据的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况,同时记录各类活动所涉及的个人信息和重要数据类型、数量、来源以及参与活动各环节的信息系统、组织或成员。
3. 医疗机构和企业在保护人类遗传资源时应做到哪些方面?
人类遗传资源包括人类遗传资源材料和人类遗传资源信息。其中,人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料;人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。 人类遗传资源安全是维护国家生物安全的重要方面之一,其关系到公众健康、国家安全和社会公共利益,一直以来受到国家的高度重视。
早在1998年,我国即颁布了《人类遗传资源管理暂行办法》("《暂行办法》"),《暂行办法》是我国最早出台的关于人类遗传资源的行政法规。其后,《人类遗传资源管理条例》("《管理条例》")颁布实施,在《暂行办法》的基础上对人类遗传资源作出了更加全面、明确且细化的规定,对人类遗传资源的采集、保藏、利用和对外提供进行了规制,并强调应当符合伦理原则,需按照国家相关规定进行伦理审查等。此次公布的《生物安全法》在第二条就明确了从事"人类遗传资源与生物资源安全管理"活动将适用该法,并在"人类遗传资源与生物资源安全"一章中以八个条款对涉及人类遗传资源和生物资源的相关活动作出了进一步明确规定,在一定程度上延续了《管理条例》中的相关规则。
尤为值得注意的是,本次《生物安全法》首次在法律层面明确强调了人类遗传资源的主权问题。根据《生物安全法》第五十三条第二款,"国家对我国人类遗传资源和生物资源享有主权"。这一规定意味着我国对于人类遗传资源具有国内的最高权力和国际上的独立自主权利,可排除任何外来干涉,人类遗传资源将和国家领土、领空一样,具有不可忽视的重要性,成为影响国家安全的重要资源。
《生物安全法》除了针对国家对人类遗传资源的管理和监督问题作出了明确规定外,其针对医疗机构和相关企业在人类遗传资源的采集、保藏、利用和对外提供方面更是提出了不同程度的合规要求。根据《生物安全法》,医疗机构和相关企业在从事人类遗传资源相关活动时,应当注意以下合规问题:
(1)在采集、保藏和利用人类遗传资源前应完成必要的事前审批
对于采集我国重要遗传家系、特定地区人类遗传资源或者采集国务院科学技术主管部门规定的种类、数量的人类遗传资源,保藏我国人类遗传资源,以及利用我国人类遗传资源开展国际科学研究合作,应当经过国务院科学技术主管部门批准。但对于临床诊疗、采供血服务、查处违法犯罪、兴奋剂检测和殡葬等为目的采集和保藏人类遗传资源及开展的相关活动,则不受前述事前审批的要求。
此外,对于利用我国人类遗传资源开展国际科学研究合作的,还应当保证中方单位及其研究人员全过程、实质性地参与研究,依法分享相关权益。结合《管理条例》,国际合作科学研究过程中的所有记录以及数据信息等应完全向中方单位开放,并向中方单位提供备份。
(2)应当符合伦理原则
根据《生物安全法》第五十五条,采集、保藏、利用、对外提供我国人类遗传资源,应当符合伦理原则,不得危害公众健康、国家安全和社会公共利益。此外,根据《管理条例》,采集、保藏、利用、对外提供我国人类遗传资源,均应当按照国家有关规定进行伦理审查。
目前,针对人类遗传资源的伦理审查内容及方式等仍需相关配套措施加以明确,但在涉及人类遗传资源的生物医学研究方面,医疗机构和相关企业应至少符合《伦理审查办法》的相关规定。根据《伦理审查办法》,从事涉及人的生物医学研究的医疗卫生机构是涉及人的生物医学研究伦理审查工作的管理责任主体,应当设立伦理委员会。伦理委员会应当建立伦理审查工作制度或者操作规程,保证伦理审查过程独立、客观、公正,并应当符合知情同意原则、控制风险原则、免费和补偿原则、保护隐私原则、依法赔偿原则及特殊保护原则等伦理原则。在个人信息保护方面,为切实保护受试者的隐私,对于在生物医学研究过程中搜集到的受试者的个人信息,《伦理审查办法》明确要求(搜集主体)应如实将这些个人信息的储存、使用及保密措施情况告知受试者,未经授权不得将受试者个人信息向第三方透露。
同时,《伦理审查办法》还对伦理审查中需要提交的材料、重点审查的内容、批准研究项目的基本标准等作出了详细规定,为医疗机构和相关企业从事涉及人类遗传资源的生物医学研究活动提供了重要指引,也意味着对医疗机构和相关企业提出了更高的合规要求。
此外,当前大量生物人工智能技术发展迅速,因此通常涉及的伦理审查除了人口遗传资源等相关医疗伦理相关的验证以外,还需要考虑人工智能本身的"伦理尺度"。
以美国和欧盟为例,美国白宫在2019年6月发布了《国家人工智能研究发展战略计划》2019更新版(The National Artificial Intelligence Research And Development Strategic Plan: 2019 Update),其中明确将人工智能中的伦理道德问题作为研发战略之一。同一时期,欧盟于2019年4月发布了《可信赖人工智能伦理准则》(Ethics Guidelines for Trustworthy AI),将"人工智能技术须满足伦理道德原则及价值"作为人工智能发展的一项基本要素,并明确伦理原则应包括尊重人类自主性、防止侵害,以及公平性和明确性(有关人工智能的伦理准则具体可参见金杜此前研究文章《人工智能系列开篇:伦理准则与现行规制》 )。
我国国务院在2017年发布的《新一代人工智能发展规划》中就认识到人工智能发展的伦理问题,提到了关于"初步建立人工智能法律法规、伦理规范和政策体系,形成人工智能安全评估和管理能力"的战略目标规划。 2019年,国家新一代人工智能治理专业委员会发布了《新一代人工智能治理原则——发展负责任的人工智能》,其中明确提出"和谐友好、公平公正、包容共享、尊重隐私、安全可控、共担责任、开放协作、敏捷治理"八项原则。 当下,随着人工智能的复杂化发展,医疗机构和相关企业在运用人工智能技术从事人类遗传资源相关活动时,更要注意生物医学伦理与人工智能伦理的平衡。
(3)对外提供我国人类遗传资源时应履行的义务
根据《生物安全法》,将我国人类遗传资源材料运送、邮寄、携带出境,应当经国务院科学技术主管部门批准。此外,向境外组织、个人及其设立或者实际控制的机构提供或者开放使用我国人类遗传资源信息,应当向国务院科学技术主管部门事先报告并提交信息备份。其中,为取得相关药品和医疗器械在我国上市许可,在临床试验机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源出境的,不需要获得前述批准,但在开展临床实验前也应向国务院科学技术主管部分进行必要的备案。
值得注意的是,与《管理条例》一致,《生物安全法》明确规定境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。结合我国现有相关规定来看,境外组织、个人及其设立或实际控制的机构目前仅可通过与中方单位合作的方式开展国际合作科学研究,而研究过程中的所有记录以及数据信息等应完全向中方单位开放,并向中方单位提供备份。
此外,2019年底,科技部办公厅发布了《关于开展全国人类遗传资源行政许可管理专项检查有关工作的通知》("《专项检查通知》") ,科技部联合有关部门于2019年12月—2020年2月开展了人类遗传资源行政许可管理专项检查,表现出行政执法层面对人类遗传资源的高度关注。在生物安全的重要性日益凸显的情况下,涉及人类遗传资源的相关医疗机构和企业将面对更严格的合规挑战。
4. 《生物安全法》对境外企业的数据获取和利用提出了哪些限制?
如上文所述,在人类遗传资源方面,《生物安全法》明确禁止境外组织、个人及其设立或者实际控制的机构在我国境内采集、保藏我国人类遗传资源,禁止向境外提供我国人类遗传资源。除此之外,《生物安全法》第五十八条还规定,境外组织、个人及其设立或者实际控制的机构获取和利用我国生物资源,应当依法取得批准。
生物资源涵盖范围广泛,包含实体的生物资源和非实体的生物资源,如生物样本数据、试验数据等。境外企业在获取和利用这些生物数据时,还可能受到同属于国家安全体系下的《网络安全法》及其配套措施的规制。根据网信办《数据安全管理办法(征求意见稿)》("《管理办法》"),网络运营者向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。根据《管理办法》附则,重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。其中,"大面积人口"、"基因健康"等领域中的特定类型数据均可能涉及生物数据。因此,对于境外企业在获取和利用生物资源时,除应受到政府科学技术、自然资源、生态环境等主管部门的监管外,对于生物数据还会受到网络安全领域(即个人信息与重要数据保护)的交叉监管。
此外,上述《专项检查通知》中明确要求检查单位法人主体对于人类遗传资源国际合作、出境等活动规章制度的建立和完善情况,以及获批项目中人类遗传资源出境情况、国际合作知识产权分享与安排情况等。
综合上述,对于境外企业来说,应识别其所获取和利用的生物资源种类及其在不同监管领域的法律身份,谨慎梳理各个部门的监管要求,积极应对各类审批、备案等前置程序。特别地,在生物数据方面,企业还可通过数据脱敏、处理统计级数据等方式以缓解多部门监管带来的合规压力。
小结和建议:
《生物安全法》规定了生物安全风险监测预警制度、生物安全风险调查评估制度等十一项具体的生物安全制度,全方位、多层次、多角度地建立了我国生物安全的风险防护体制,适应了国际、国内生物技术发展和生物安全风险防范的需要,为防范和应对生物安全风险、保障人民生命健康、保护生物资源和生态环境、促进生物技术健康发展等提供了立法层面的保障。
从法律的角度来看,《生物安全法》串联了《传染病防治法》《环境保护法》等相关法律以及《突发公共卫生事件应急条例》《人类遗传资源管理条例》等行政法规,使得我国生物安全在风险防控、技术开发与应用、防范生物恐怖与生物武器威胁等环节第一次形成了立体的保护体系。
从企业的角度来看,由于《生物安全法》的目的是平衡生物安全风险的防范和生物安全技术的健康发展,在对国家提出新要求的同时,也意味着相关企业应承担更多的责任和义务。因此,建议相关企业在《生物安全法》生效之前,全面检查现有生物安全体系是否能够应对《生物安全法》的具体要求,并针对识别出的风险及时采取应对措施。具体来说:
(1)对于医疗机构、体检机构等与传染病防治相关的企业
对于传染病防治相关企业来说,其一方面应当在突发传染病和动植物疫情的情况下,及时履行报告义务,并采取保护性措施;另一方面,企业应注意不得自行发布生物安全信息,不能编造、散布虚假生物安全信息,并注意履行个人信息保护的相关义务。
(2)对于药品企业、医疗器械企业等与生物技术开发研究相关的企业
对于药品、医疗器械等企业,在生物技术开发研究时,其一方面应当遵循伦理原则,通过伦理审查;另一方面,为防控生物安全风险、更好地应对生物安全事件,企业应当注意风险防控管理,并在制定风险防控方案和安全事件应急预案过程中特别关注个人信息和生物安全相关重要数据的管理和保护。
(3)对于医疗机构等与人类遗传资源相关的企业
对于涉及人类遗传资源相关活动的企业来说,其在人类遗传资源的采集、保藏、利用和对外提供时,应当完成必要的事前审批、备案等程序,并及时核查是否存在应报未报或超出审批范围开展相关活动的情况;此外,企业从事相关活动时还应当符合伦理原则,不得危害公众健康、国家安全和社会公共利益,并应重点关注对外提供我国人类遗传资源的情况。
(4)对于涉及我国生物资源的境外企业
对于涉及我国生物资源的境外企业来说,其需要更加全面地梳理生物安全风险,识别合规要求,履行必要的审批和备案制度,并严格避免法律所禁止的生物资源跨境传输情形,以更加谨慎的态度应对跨境合作中的生物安全风险;特别地,在生物数据方面,企业还应当注意网络安全领域(即个人信息与重要数据保护)的交叉监管。
(特别感谢实习生姚敏侣为本文所做的贡献)
