——— 本文作者 ———

宁宣凤

合伙人

合规业务部

susan.ning@cn.kwm.com

宁宣凤律师是合规业务部负责人，宁律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一，宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。

吴涵

合伙人

合规业务部

wuhan@cn.kwm.com

吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系，为客户提供网络安全和数据合规培训等。 项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。

黎辉辉

律师

合规业务部

黄若

律师

合规业务部

20世纪50年代，DNA双螺旋结构被阐明，正式揭开了生命科学的新篇章，开创了科学技术的新时代；随着人类遗传密码全部被破解，基因在DNA分子水平上得到新的概念。此后2000年6月，中美英法德日六国科学家也共同宣布，人类基因组工程项目的基因组草图绘制正式完成，后续计划ENCODE项目则进一步解析了人类基因组中的功能性元件。时至今日，人类遗传资源已广泛地应用于刑事侦查、司法鉴定、生物医药、疾病诊断与治疗等多个领域，与人类的生活息息相关。

随着基因工程技术的迅猛发展，人类遗传资源的重要意义早已不仅仅局限于其对生命科学研究的重大推动作用，更成为了影响国家公众健康和战略利益的重要资源。正是因为意识到人类遗传资源的重要性，我国著名遗传学家谈家桢先生在1997年呼吁要保护我国的基因资源，成功推动了中国基因组研究的发展，推动了1998年类基因组北方中心和南方中心正式成立，推动了《人类遗传资源管理暂行办法》（以下简称“《暂行办法》”）的颁布实施。[1]

在之后的十几年间，随着国际形势与实践的发展，在人类遗传资源管理上出现了不少新情况与新问题，如2018年的“基因编辑婴儿”事件等等，引发了行业和社会的广泛探讨。如何有效地保护我国人类遗传资源并促进其合理利用，如何在法律规范与监管落实上作进一步完善，成为了人类遗传资源领域亟待解决的重要任务——这也正是《人类遗传资源管理条例》（以下简称“《管理条例》”）出台的现实背景。

1

《管理条例》的四大亮点

2019年的《管理条例》沿袭了1998年《暂行办法》的整体精神，并在《暂行办法》的基础上，整合了部分此前规定在科技部2015年7月2日公布的《人类遗传资源采集、收集、买卖、出口、出境审批行政许可服务指南》（以下简称“《服务指南》”）中的内容。二者相比较，《管理条例》的变化主要体现在，国家对人类遗传资源合理利用的态度更加明确、体例上更加全面、内容上更加具体、罚则更加细化。

（一）条款体例优化 

《管理条例》的一大显著特征即是，在《暂行办法》的基础上，对整部法规的体例进行了完善，从之前的“总则-管理机构-申报与审批-知识产权-奖励与处罚-附则”的结构调整为目前的“总则-采集和保藏-利用和对外提供-服务和监督-法律责任-附则”，就处理人类遗传资源的全流程进行了规定，包括采集、保藏、利用、对外提供等环节，并且明确了监管机构的权力与职能，细化了违反规定处理人类遗传资源的法律责任，相较之前的版本更加全面、清晰，便于企业依照规定采取合适的措施。

（二）核心内容具化 

《管理条例》对《暂行办法》中提到的多项规定进行了进一步细化，监管的态度更加明确，具体要求相较《暂行办法》而言也更为实际可操。事实上，我们注意到，除了沿用或更新《暂行办法》的相关规定，《管理条例》对若干细节问题的规定来自于科技部的《服务指南》和《<人类遗传资源采集、收集、买卖、出口、出境审批行政许可服务指南>的常见问题》（以下简称“《问题解答》”）[2]。

首先，《管理条例》在《暂行办法》的基础上进行了一些细化、明确化的规定。例如，《管理条例》第七条对外国组织与个人及其设立或者实际控制的机构采集、保藏、向境外提供我国人类遗传资源予以明确禁止。又如，第三十一条明确专家的意见将作为审批决定的参考依据。 

其次，《管理条例》也对《暂行办法》有一定的澄清和细化。例如，第二十条对利用我国人类遗传资源开展生物技术研究开发活动或者开展临床试验进行了规定；不仅如此，《管理条例》第四章针对行政部门的职责，增加了诸多此前未在《暂行办法》中明确列出的规定，包括科学技术行政部门对电子政务的建设、对人类遗传资源活动各环节的监督检查的义务、对审批备案事项的指导、投诉举报的具体方法等。

此外，《管理条例》的部分规定也直接来源于《服务指南》和《问题解答》的相关内容。例如，《管理条例》第三条，其中对为临床诊疗、采供血服务、查处违法犯罪、兴奋剂检测和殡葬等活动需要，采集、保藏器官、组织、细胞等人体物质及开展的相关活动的规定，则来自于《服务指南》中的规定；《管理条例》第十条关于禁止买卖遗传资源的规定，同样来源于《服务指南》。 

在下表中，我们对《管理条例》中对企业与个人在人类遗传资源的采集、保藏、利用、对外提供等环节中提出的主要要求进行了梳理，以供参考：

（三）政策风向利好 

《管理条例》相较《暂行办法》的另一显著区别是，其中含有较多的国家政策性表述，体现出国家对于人类遗传资源采集、保藏、利用、对外提供等方面既积极促进开发、又谨慎保护、保护和开发利用并重的态度。根据《管理条例》第六条、第十三条、第十六条至第十九条、第二十九条可以看出，国家支持合理利用人类遗传资源开展科研活动，促进生物科技和产业创新、协调发展。

与此同时，根据《管理条例》第一条、第八条、第二十七条、第二十八条也可以看出，目前国家对于遗传资源利用坚持的原则更倾向于维护公众健康、国家安全和社会公共利益，而不仅仅是1998年的“加强人类基因的研究与开发，促进平等互利的国际合作和交流”。这也与前文提到的保护人类遗传资源的举措相呼应，例如重要遗传家系和特定地区人类遗传资源实行申报登记制度、外方需与中方合作利用遗传资源、将人类遗传资源信息对外提供或开放使用的备案与安全审查要求等。

（四）法律责任完善 

与《暂行办法》中的政策风向一脉相承的是其中规定的罚则，侧重于对境外机构以及境内的外方机构获得遗传资源的监管，仅对三种情形规定了罚则，即（1）我国单位和个人未经批准私自出口、出境人类遗传资源材料或者向外方机构或者个人提供人类遗传资源材料的；（2）国（境）外单位和个人未经批准私自采集、收集、买卖人类遗传资源材料或私自出口、出境人类遗传资源材料的；以及（3）管理部门工作人员因玩忽职守、徇私舞弊造成技术秘密泄漏或人类遗传资源流失的。

而《管理条例》则以较大篇幅增加了罚则方面的规定，具体而言，增加了需承担法律责任的情形、具化了各项法律责任的形态。目前《管理条例》规定的法律责任覆盖了境内外单位与个人未经批准采集、保藏、利用、对外提供人类遗传资源或未经备案的情形，采取欺骗手段获得行政许可的情形，采集、保藏、利用、对外提供遗传资源不符合要求的情形，买卖遗传资源的情形等均规定了单位与个人的责任，为执法部门提供了有力的依据。例如，未经批准采集、保藏、利用、对外提供人类遗传资源的，可能导致国务院科学技术行政部门责令停止违法行为，没收违法采集、保藏的人类遗传资源和违法所得，处50万元以上500万元以下罚款，违法所得在100万元以上的，处违法所得5倍以上10倍以下罚款。 

2

《管理条例》的实践关注

（一）处理规则如何落实 

作为行政法规，《管理条例》的法律位阶较高，在一定程度上将有利于推动人类遗传资源的安全保护与合规利用，且针对人类遗传资源的采集、保藏、利用和对外提供活动设定了较为明确的要求，但是考虑到此前由《暂行办法》、《服务指南》以及科技部提供的指引所构成的实践工具已具备较为成熟的操作基础，《管理条例》中具体条文中的部分要求如何落实，以及如何与此前的实务操作要求相衔接，可能仍有待立法与执法部门的进一步澄清与明确。

例如，在《问题解答》中，国际合作中的中方单位系指“大陆境内的内资科研机构、高等学校、医疗机构、企业”，而外方单位系指“外国组织及外国组织、个人设立的境内外机构（含港澳台地区组织、企业或个人及设立的机构）”。相较而言，在《管理条例》中，中方单位则指“我国科研机构、高等学校、医疗机构、企业”，而外方单位则指“外国组织及外国组织、个人设立或者实际控制的机构”。一方面，《管理条例》可能需要澄清，其中方单位的概念中是否对相关实体的股本结构存在限制或要求，即是否与《问题解答》所指的范围相一致。另一方面，《管理条例》则拓展了外方单位的范围，以囊括由外国组织、个人实际控制的机构；然而，在实践中，如何界定“实际控制”的标准，主要考察股权比例、议事机构表决权，或是其他因素，将有待进一步澄清。 

又如，《管理条例》的第十一条针对需要科技部批准的人类遗传资源采集行为进行了规定。我们注意到，《服务指南》对“重要遗传家系”和“特定地区人类遗传资源”均提供了必要的界定，但是针对“采集国务院科学技术行政部门规定种类、数量的人类遗传资源”的情况，目前并未形成明确的量化标准，以致于难以为企业提供必要的实践指引。又如，《管理条例》第十六条针对保藏基础平台和数据库的开放，以及国家对人类遗传资源的依法使用作出了概括性的规定；然而，“开放”所依据的“国家有关规定”，以及国家使用中所依据的“法”，在实践中具体可能涉及哪些法律法规和规范性文件，亦有待主管部门与行业实践的进一步阐明。

此外，我们还注意到，《管理条例》虽针对中外单位“利用我国人类遗传资源开展国际合作科学研究”的行为拟制了较为具体的规则要求，针对境内单位“采集、保藏、利用、对外提供人类遗传资源”的行为则仅提供原则性的指引，如“不得危害我国公众健康、国家安全和社会公共利益”（第八条），“尊重人类遗传资源提供者的隐私权，取得其事先知情同意，并保护其合法权益”，“遵守国务院科学技术行政部门制定的技术规范”（第九条），以及“禁止买卖人类遗传资源”（第十条）。因此，如“中方单位”需要单独开展人类遗传资源的利用活动，可能需要遵守或参照哪些规定等类似的问题，将是相关企业在实践操作中不可回避，无法绕开的难题。 

（二）交叉监管如何应对 

作为医疗行业数据的重要组成部分，人类遗传资源（信息）始终面临着医疗行业与网络安全领域（即个人信息与重要数据保护）的交叉监管。此处所述的“交叉监管”，系指由于受监管主体的重叠，使得不同领域的多重规则对同一数据均施加监管要求；通常，相关规则的切入角度与关注点存在差异，以致该等数据应对监管的合规难度较大。实践中，交叉监管在医疗、金融和交通等敏感行业体现得较为显著，行业规范与网络安全领域规则的双重规制使得一种数据将会在境内面临多重监管要求。

例如，从主体属性来看，境内公立医院X既构成“医疗机构”，也构成“网络运营者”，还构成“健康医疗大数据安全和应用管理的责任单位”，因而X在为病患提供医疗服务过程中所采集的医学影像资料将可能在法律上构成多种性质的数据，比如：

• 《网络安全法》下的“个人信息”（和《个人信息安全规范》下的“个人（敏感）信息”）；

• 《数据出境安全评估指南（征求意见稿）》下“A.18人口健康”领域的“重要数据”；

• 《医疗机构病历管理条例》下的“病历（资料）”；

• 《人口健康信息管理办法（试行）》下的“人口健康信息”；

• 《国家健康医疗大数据标准、安全和服务管理办法（试行）》下的《健康医疗大数据》。

相应地，上述法律法规中的监管要求，均将适用于境内公立医院X处理该等医学影像资料的活动；如企业Y拟与医院X开展医学影像资料的合作，将可能在事实上也面临相关的交叉监管要求。

相类似地，作为“利用人类遗传资源材料产生的数据”，人类遗传资源信息也很有可能进一步构成“个人（敏感）信息”、“人口健康信息”、“健康医疗大数据”，以致同样面临医疗行业与网络安全领域的交叉监管。例如：

• 《网络安全法》针对个人信息的收集和使用设定了基本的原则与规则；[4]

• 《人口健康信息管理办法（试行）》和《健康医疗大数据管理办法》则针对医疗机构向第三方提供相关数据拟制了授权利用的制度设置（主要限于提高医学研究、科学决策和便民服务水平的目的），但并未提供进一步的规则指引；[5]

•  如上所述，《管理条例》针对中方单位“采集、保藏、利用、对外提供人类遗传资源”的行为则主要提供原则性的指引。

在这种情况下，如企业拟与一医疗机构开展人类遗传资源信息的合作项目，则可能需要考虑应对医疗机构在事实层面“传递”至合作伙伴的合规要求，例如授权机制的设置，与安全技术和管理措施的落实。

又如，在跨境传输方面，根据《网络安全法》（及其配套措施）、《健康医疗大数据管理办法》的相关规定，网络运营者与责任单位可以在按照相关法律法规及有关要求进行安全评估（和审批/备案义务）后向境外传输，但是《人口健康信息管理办法（试行）》中的相关规定则实质性地限制了相关数据的跨境传输。具体而言，《人口健康信息管理办法（试行）》第十条明确规定，“不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器”；因此，如企业拟将人类遗传资源信息跨境传输至境外服务器，则很有可能违反此处的禁止性规定。

3

企业合规启示

考虑到我国是多民族的人口大国，具有独特的人类遗传资源优势，因而为发展人类遗传资源开发、生命科学和相关产业提供了得天独厚的条件。纵使如此，合规才能创造价值，面对人类遗传资源监管领域崭新的行政法规，如何有效应对新规对商业模式的潜在影响，并在规则中寻找可落地的商业解决方案，将是企业不可回避的核心问题。

• 关注既存商业模式，避免产生直接冲突
  

  如前所述，除了增加若干合规控制项外，《管理条例》更多是在《暂行办法》的基础上，进一步细化“采集、保藏、利用、对外提供人类遗传资源”等相关活动的规范，为企业提供更多的合规实践指引。相应地，企业应当首先关注既存的商业模式，根据《管理条例》的具体要求，确定当前的经营方式是否与相关要求存在直接、明确的冲突，并识别可能存在的合规差距，为后续的合规工作奠定必要的事实基础。
  

• 梳理交叉监管要求，建立全面合规体系 

  考虑到交叉监管的存在，企业应识别其在不同监管领域的法律身份，关注经营行为中所涉及的“人类遗传资源（材料和信息）”在可适用法律法规中的法律属性，并谨慎梳理相关规范中的监管要求。尤其在大数据分析、交互提供、跨境传输构成日渐常见的数据商业化环节的时代，企业更应重视判别交叉监管规则的兼容性，筛选符合监管要求和商业目的的方案，并视具体情况采取数据脱敏、省略非必要字段、处理统计级数据等方式，缓解交叉监管带来的合规压力。

• 密切关注实践指引，积极应对备案报批

  虽然《管理条例》已正式出台并将于2019年7月正式生效，若干条款在实践中如何落实可能仍依赖于《服务指南》以及主管部门的进一步澄清。因此，如企业在经营活动中涉及“采集、保藏、利用、对外提供人类遗传资源”的活动，应当密切关注立法与执法部门的具体操作，在实践中识别和总结有关部门的工作思路，并结合自身实际，筹备根据《管理条例》实施后需要进行的备案、报批或报告等工作，以积极的姿态应对相关的合规要求。

[1] “条例出台，我国重要人类遗传资源将‘大有可为’”，参见http://www.moj.gov.cn/news/content/2019-06/10/zcjd_236558.html （访问日期：2019年6月12日）。

[2] 参见https://www.most.gov.cn/bszn/new/rlyc/cjwt/ （访问日期：2019年6月12日）。

[3] 《科技部办公厅关于优化人类遗传资源行政审批流程的通知》，参见https://www.most.gov.cn/mostinfo/xinxifenlei/fgzc/gfxwj/gfxwj2017/201710/t20171027_135781.htm （访问日期：2019年6月12日）。

[4] 主要参见《网络安全法》第四十条至第四十四条。

[5] 参见《人口健康信息管理办法（试行）》第十四条，以及《健康医疗大数据管理办法》第二十二条。

感谢关注金杜研究院