医疗大数据领域外资准入与合规问题研究

2022-12-14

“十四五”规划发布以来，中国逐步进入了全力推进医疗信息化建设的关键阶段，国务院及相关政府部门先后颁布了系列鼓励和支持数字化医疗发展的法律法规及政策文件，医疗大数据作为支撑医药行业、医疗卫生事业和健康服务行业转型的重要基础，站在国家推动医疗智慧化发展的风口上，已经成为了近年资本追逐的热门赛道。根据安永报告，2019年中国医疗信息化相关的投资总额为人民币1456亿元，预计到2024年将增长至人民币3567亿元。医疗大数据解决方案市场^[1]2019年规模已达人民币105亿，预计2024年将增长至人民币577亿元。

由于医疗大数据行业可能涉及与国民医疗、健康、遗传资源相关的数据信息采集、储存与运输等环节，外资在该领域的准入与合规问题一直是投资者关切的核心问题。由于医疗数据的敏感性与外商投资法律法规及政策的复杂性，目前外资鲜少直接参与医疗大数据领域的投资，而是通过多层股权架构或协议模式间接参与医疗大数据行业投资与运营。本文旨在梳理外资进入医疗大数据领域的相关准入措施以及涉外资的医疗大数据企业的合规要求，结合目前国内医疗大数据领域实际发展情况，为投资者和相关机构提示医疗大数据领域外资准入与合规关注要点。

一、医疗大数据行业外资准入限制

《国家健康医疗大数据标准、安全和服务管理办法（试行）》第四条将健康医疗大数据定义为人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据，包含个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。我国现行法律、法规以及政策对外商投资医疗大数据领域并无禁止性规定，医疗大数据不属于《外商投资准入特别管理措施（负面清单）（2021年版）》（“以下简称《负面清单》”）的禁止投资领域，且没有任何其他立法明确禁止外商投资医疗大数据分析产业。由于医疗数据的敏感性，特殊类型的医疗数据领域（如涉及人类遗传资源、涉及国家秘密的医疗数据等）仍有特殊的外资准入要求。国家质检局和国家标准化管理委员会于2020年发布的《信息安全技术-健康医疗数据安全指南》将健康医疗大数据作出了如下分类，外商投资医疗大数据企业应当明确目标企业的业务模式与所涉数据类型，并确认外资准入的相关要求。

（一）涉及人类遗传资源数据的外资准入要求

外商投资医疗大数据领域如涉及人类遗传资源相关数据，则需关注《生物安全法》、《人类遗传资源管理条例》、《人类遗传资源管理暂行办法》及其他与人类遗传资源相关的规定。根据《遗传资源管理条例》第二条的规定，人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料；人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。涉及人类遗传资源数据的医疗大数据企业存在如下的外资限制：

1. 外国组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源；

2. 外国组织及外国组织、个人设立或者实际控制的机构（以下称“外方单位”）需要利用我国人类遗传资源开展科学研究活动的，应当遵守我国法律、行政法规和国家有关规定，并采取与我国科研机构、高等学校、医疗机构、企业（以下称“中方单位”）合作的方式进行。

值得注意的是，科技部于2022年3月21日发布的《人类遗传资源管理条例实施细则（征求意见稿）》对“外方单位”作出了界定，“外方单位”是指境外组织及境外组织、个人设立或者实际控制的机构，包括通过协议控制或其他控制等形式实际控制的境内企业。这意味着对“外资实际控制”的审查将会实质化，采用VIE结构、股权控制等形式进行外商投资也将受到上述准入措施的限制。因此，外资进入涉及人类遗传资源相关数据的医疗数据行业时，需要注意外资是否达到了对被投企业的“实际控制”的水平，如要保留相关外资控制结构，则相关业务可能需要采取与中方单位合作的方式开展。

（二）涉及增值电信业务的外资准入要求

由于医疗大数据业务模式的特殊性，外商投资医疗大数据分析产业可能还会受到《负面清单》对信息传输、增值电信领域的外商投资比例限制。目前医疗大数据行业将为匹配和服务不同的应用场景，开发了种类多样的医疗大数据服务。健康医疗大数据相关企业主要包括信息化厂商、智能硬件厂商、物联网厂商、云服务提供商、数据处理服务提供商和数据安全服务提供商。医疗大数据行业目前主要服务于个人、药企、医疗机构和保险机构，在医学研究、临床能力提升、新药研发、公共决策、DRGS和保险服务六大应用场景中发挥重要作用^[2]。

不论是为医疗机构提供数据IT服务，或是对健康医疗数据进行二次开发以提供数据管理和数据分析服务，上述在网站或互联网应用程序运营的过程中，均可能涉及到云服务的问题，进而被归入工信部2019年修订的《电信业务分类目录》的增值电信服务领域。

如医疗大数据企业的业务被归类于B11 互联网数据中心业务或B25信息服务业务，外商投资则需特别关注《负面清单》对于信息传输、增值电信领域的外商投资比例的限制，即增值电信服务业务的外资比例不超过50%。

（三）涉及安全信息产品的外资准入要求

目前，我国的医疗大数据行业中数据安全管理业务尚处萌芽期，但系列有关数据安全、信息安全的法律法规的发布，也预示着未来医疗数据安全管理业务的广阔前景，因此涉及数据安全、信息安全的医疗大数据外资准入问题也值得关注。《信息安全等级保护管理办法》将信息系统的安全保护等级分为五个等级：

《信息安全等级保护管理办法》第二十一条要求，三级以上的信息系统选择的信息安全产品，其产品研制、生产单位必须由中国法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格。

二、外商投资医疗大数据的业务合规问题

（一）涉及人类遗传资源的数据采集、保藏应由符合资质的主体进行

根据《遗传资源管理条例》等相关法律的要求，外商投资控股的企业不得从事采集、保藏我国人类遗传资源，上述企业以我国人类遗传资源开展科学研究的，需要与“中方单位”以合作方式进行。负责采集、保藏涉人类遗传资源的材料和信息的主体，应当根据《市场准入负面清单（2022年版）》的要求，开展业务线应获得“中国人类遗传资源采集、保藏、国际合作科学研究、材料出境审批”等准入许可措施。此外，向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的，还向国务院科学技术行政部门备案并提交信息备份，可能影响公众健康、国家安全和社会公共利益的，还需通过安全审查。

（二）医疗大数据不得境外储存，跨境传输需安全审核

由于医疗大数据涉及全国性或区域性人口健康信息安全，外商投资该领域时应当按照国家信息安全等级保护制度要求，制定安全管理制度、操作规程和技术规范，并且建立痕迹管理制度，以及严格的实名身份鉴别和授权控制制度。此外，还需特别关注《国家健康医疗大数据标准、安全和服务管理办法（试行）》、《人口健康信息管理办法（试行）》等法律法规对于对医疗大数据储存以及对外提供的限制。如涉及医疗大数据跨境传输的，还需要依照《数据出境安全评估办法》对数据出境进行评估、审核与申报。

值得注意的是《人口健康信息管理办法（试行）》对于人口健康信息的本地境外提供并未规定任何的例外情景，仅规定了“不得将人口健康信息存储于境外服务器，不得托管、租赁在境外的服务器”，这也意味着医疗数据的属性如构成人口健康信息，则不得进行跨境传输。

三、结语

医疗大数据行业是极具发展前景和投资潜力的优质赛道，由于行业模式的特殊性以及医疗信息的敏感性，外商投资医疗大数据企业存在诸多的限制和要求，我们建议，外资方应当关注被投企业的业务模式以及数据类型，并根据相应的法律法规及政策的要求，制定投资方案以及投后管理方案，合规高效地完成对医疗大数据行业的投资。

参考文献：

[1]医疗大数据解决方案市场是指服务提供者提供大数据驱动并结合先进技术应用和医学见解的解决方案的市场，以满足医疗行业各个领域（包括医院、监管机构、及政策制定者、生命科学公司及个人）的信息化、数字化及及智能合成的需求。

[2]洞见研报：全球健康医疗大数据加之趋势报告（2022年Q1），https://www.djyanbao.com/preview/3228616。

本文作者：