医疗健康企业港股IPO上市前的15个数据合规关注点
发布时间:2023-09-01
文 | 王小敏律师团队 汇业律师事务所
随着中美关系发展的不确定性,以及美国证券交易委员会(SEC)对中企赴美上市信息披露要求持续加码的影响,越来越多的中国企业拟转向香港联交所IPO上市。以医疗健康行业企业为例,最近两三年来在香港上市的医疗健康企业越来越多,比如已成功上市的海吉亚医疗、业聚医疗、美皓医疗集团等,正在递交上市申请文件流程中的陆道培、壹健康、方舟云康、一脉阳光集团等。
鉴于中国证监会及港交所不断加强对拟上市企业数据安全合规的重视程度,内地医疗健康企业在赴港股上市之前,均会自行或聘请第三方专业机构加强对企业在中国法下的数据安全合规审查和改进工作。根据笔者团队的相关经验,我们总结以下医疗健康类企业赴港股IPO上市前的数据合规自查过程中应格外注意的合规要点供参考。
1、数据处理场景及数量
医疗健康企业处理的数据主要分为个人健康医疗数据和健康医疗相关数据,企业应对其医疗健康业务或服务涉及的数据处理场景及个人信息数据量进行尽调盘点,梳理公司整体的数据资产、数据处理涉及的业务、场景、渠道、环节、量级等,以确定中国法下所适用的全部法律合规义务和要求。
2、关键信息基础设施运营者
医疗健康属于公共服务行业,该行业相关企事业单位很有可能被认定为关键信息基础设施运营者(CIIO)。但对于一般的民营医疗健康服务企业来说,被认定为CIIO的可能性较低,但也不排除某些细分特定领域的医疗健康行业被认定为CIIO的可能,相关企业应密切关注卫健委等有关主管部门的动态认定通知。
3、网络安全等级保护证明
网络安全等级保护建设是企业开展《网安法》《个保法》等相关合规义务的前提和基础,医疗健康类企业的相关信息系统(如HIS、CIS、LIS、EMR等)通常需实施三级信息安全等级保护,按照该定级要求进行备案、整改和测评等保护工作。
4、医疗健康数据分类分级
数据分类分级是开展数据合规工作的基础,医疗健康数据分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据等类别,而医疗健康数据的分级则根据数据重要程度、风险级别、对个人健康医疗数据主体可能造成的损害以及影响的级别等,一般可分为五级。
5、重要数据/核心数据/国家秘密
鉴于医疗健康数据的敏感和特殊性,某些数据很可能构成重要数据或者核心数据,比如涉及人类遗传资源的数据构成重要数据,涉及基因分析的医学科研数据可能构成国家核心数据。如涉及国家秘密的医疗健康数据(比如部分人类遗传资源信息),还应按照国家保密工作部门有关涉密信息系统分级保护的管理要求进行保护。
6、处理敏感个人信息的合法性基础与PIA
医疗健康数据涉及众多敏感个人信息,处理敏感个人信息需按个保法要求取得患者等个人医疗健康数据主体的单独同意或书面同意,且只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下医疗健康服务机构等数据控制者方可处理敏感个人信息,并应当事前进行个人信息保护影响评估(PIA),并对处理情况进行记录和保存至少三年。
7、个人信息保护合规审计
个保法规定了个人信息处理者的个保合规审计义务,今年8月国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》,对个保合规审计的落地进一步细化,规定处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。该规定后续若正式生效,将对医疗健康企业落实个保合规义务产生较大影响。
8、医疗健康数据存储地域及期限
医疗健康数据应当存储在中国境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。同时应根据医疗健康数据映射的类型,比如电子病历、档案等相关存储要求进行保存。
9、委托处理与共同处理
医疗健康数据处理涉及的主体链条较多,各主体在不同业务场景下的数据处理角色有所区别,特别是医疗健康行业常见的委托处理、共同处理等与第三方合作场景下,相关主体的数据控制者、数据处理者等角色决定了其合规义务以及应承担的责任。
10、医疗健康数据出境
医疗健康企业数据出境因涉及的出境主体身份、数据重要属性、数量等因素,通常需按要求走数据出境安全评估路径,但满足一定条件的少量数据出境可走签署SCC标准合同的途径。如涉及人类遗传资源的数据出境,还需通过相关部门的安全审批。
11、人类遗传资源特殊保护
处理人类遗传资源数据应取得数据主体的书面同意。如境外上市主体为VIE架构下的企业,则不得在我国境内采集、保藏我国人类遗传资源,也不得向境外提供,需要利用我国人类遗传资源开展科学研究活动的,应当与我国相关医疗科研机构、高校、企业等合作开展。
12、网络安全审查
虽赴香港上市不属于赴国外上市,不必然需要向网络安全审查办公室申报网络安全审查,但医疗健康企业作为数据处理者,若被网络安全审查工作机制成员单位认为赴香港上市影响或者可能影响国家的,仍可能会被要求申报网络安全审查,且该程序应当在向证监会申请境外上市备案前完成。
13、算法备案与安全评估
医疗健康行业使用AI、深度合成等新技术应用于临床研究、健康管理、线上诊疗等场景已十分普遍,相关企业除了注意AI医疗器械领域的资质要求外,还应注意进行相关数据模型算法的备案,并按照要求进行安全评估。
14、医学科技伦理
医疗健康相关企业特别是医疗机构,应遵循有益、不伤害、公正的医学伦理原则以及相关医学研究、医疗AI应用科技伦理,保障患者知情权、个人隐私、数据安全以及避免歧视等基本人权。
15、证监会上市备案
今年初证监会发布境外上市备案管理相关制度规则,根据新规,赴香港IPO上市的境内企业,应当在港交所提交发行上市申请文件后3个工作日内向中国证监会(国际部)备案,报送备案报告、法律意见书等有关材料,并说明股东信息等情况。截至2023年8月11日,中国证监会已收到超过115家申请人的备案申请,其中21家通过备案申请。
