售前電話
135-3656-7657
售前電話 : 135-3656-7657
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
陳際紅 韓璐 薛澤涵 王雨婷
前言
“新冠疫情”的持續影響,一方面催生、加速健康醫療企業的數字化、智能化轉型,另一方面,提升各界對健康醫療企業的關注,健康醫療行業也成為資本競逐、技術突破的熱點領域。近些年來,健康醫療企業逐步成為國內主板、創業板、科創板等板塊“上市大軍”的主力。在此過程中,隨著《網絡安全法》及其配套法規的體系完善,《個人信息保護法》、《數據安全法》等數據保護領域頂層立法設計草案的發布,相關執法機構數據合規監管行動頻密化發展,國內數據合規立法、執法要求趨嚴,健康醫療數據合規及數據安全,正成為相關評審機構在企業上市評估及問詢過程中的重點關注話題。如何積極應對數據合規審查,成為待上市健康醫療企業的一大挑戰。
與此同時,伴隨互聯網醫療的快速發展及國家對應立法機制的完善,各地關于互聯網醫院準入、互聯網醫療管理、執業規范等要求正在不斷建立及完善,例如,北京市衛健委、北京市中醫管理局于2021年2月24日印發的《關于北京市互聯網醫院許可管理有關工作的通知》。如何應對趨嚴的互聯網醫療準入及管理要求,也成為互聯網健康醫療企業日常運營的重要合規事項。
為更好服務健康醫療企業,尤其是待上市企業的數據合規落地工作,本篇將具體介紹健康醫療企業IPO數據合規審查相關重點及應對建議。相關建議以《網絡安全法》及其配套法規為代表的現行有效的數據合規體系的明確要求為基礎,結合醫療專業領域數據合規特殊要求而提出。需特別注意的是,鑒于2020年部分問詢案例出現以《數據安全法(草案)》等未生效法律法規作為評審依據的情形 [1],相關建議將充分考慮《個人信息保護法》《數據安全法》等尚未正式生效但對數據合規工作產生顯著影響的草案版本的合規要求。
此外,近期發布并將于2021年7月1日生效的《健康醫療數據安全指南》,為健康醫療數據全生命周期管理提供詳細的合規指引,其將作為本篇建議的主要標準來源。
一
健康醫療企業上市數據合規審查重點
基于我們對公開材料的梳理,數十家企業在上市審核過程中受到數據合規相關問題的詢問。其中,健康醫療領域目前有一家科創板上市公司、四家創業板上市公司(含仍處于上市審核階段的公司),在問詢階段被直接要求回復與數據合規相關的問題。具體公司及相關情況如下表所示:
點擊圖片查看大圖
基于上述公司的招股說明書、審查反饋意見、問詢函、發審委會議審核公告等文件,同時結合筆者在之前、、一文中梳理的“企業上市須應對的數據合規重點問題”的分類方式,我們針對上述公司涉及的數據合規問題進行梳理,以期全面展現擬上市健康醫療企業將面臨的數據合規問詢。
點擊圖片查看大圖
整體而言,“數據源合規”及“數據安全”系上市評審機構所重點關注的數據合規問題。“數據源合規”包括數據源獲取渠道及其合規性評價,這要求待上市企業前期對公司底層所有數據資產進行完整梳理,實現數據字段的溯源盤點案例化解析醫療機構場景下的數據合規和個人信息保護要點,保證既有數據及新增數據獲取的合法合規性。“數據安全”主要關注數據合規制度管理建設及技術保障措施落實情況,這要求待上市企業搭建完善的數據合規管理制度體系,并搭配必要的技術保障措施。
二
健康醫療企業上市數據合規開展建議
健康醫療數據全生命周期管理,覆蓋數據收集、存儲、使用、內部管理、對外提供等環節。下文將根據上市數據合規審查重點問題分類方式,糅合數據全生命周期管理要求,為待上市企業提供直觀應對建議。
(一) 數據源合規
1.基本要求梳理
2.具體場景分析
在健康醫療企業實際業務場景中,數據源渠道呈現多樣化特征。數據源合法合規性保障需結合各具體場景進行分析及落實。
點擊圖片查看大圖
(二)數據權屬
1.基本要求梳理
針對現有部分案例涉及數據權屬的問詢情形,我們理解,評審機構主要關注點在于,數據權屬問題存在瑕疵,可能會影響后續數據處理一系列行為的合法性、有效性,包括衍生數據成果的歸屬等。
另一方面,鑒于數據可能隱含數據處理主體的商業秘密、商標、版權等信息,數據權屬可能覆蓋相關知識產權。目前國內相關知識產權法規明確,在不違反相關法律法規的前提下,尊重各相關方對特定知識成果的權屬約定。
2.具體場景分析
