澳大利亚健康医疗数据跨境流动法律规制研究及其对中国的启示

陈永怡 孟彦辰

【摘要】 跨境远程医疗、药品和疫苗临床试验的国际合作、跨境学术研讨与临床研究等业务的发展使健康医疗数据跨境流动已成为不可逆趋势。健康数据跨境流动规则需要在维护国家卫生安全、保护公民隐私以及促进健康产业发展等目标和政策之间寻求平衡。本文运用文献研究、比较分析等方法，对澳大利亚健康医疗数据跨境的立法规制与监管机制进行研究。研究结果显示，澳大利亚高度重视健康医疗数据的保护，通过设立专门机构和系统的立法，对可识别个人的健康数据的跨境流动进行严格监管。我国应构建科学、完整、严密的健康数据保护、跨境流动的法律与政策体系，将法律法规与政策指南有机结合、配套实施；完善健康医疗数据出境标准合同条款，发挥标准合同监管功能；积极利用现有健康数据的分级分类，构建灵活多样的健康数据出境规制模式；加强与“一带一路”沿线国家，尤其是东盟成员国在健康数据跨境流动领域的交流和合作。

【关键词】 数据管理；健康医疗数据；跨境流动；分级分类；数据安全；风险控制

【中图分类号】 R 197.3 【文献标识码】 A DOI：10.12114/j.issn.1007-9572.2023.0314

Legal Regulation of Cross-border Flow of Health Data in Australia and Its Implications for China

CHEN Yongyi，MENG Yanchen*

School of Medical Humanities，Capital Medical University，Beijing 100069，China

*Corresponding author：MENG Yanchen，Associate professor；E-mail：myanchen@ccmu.edu.cn

【Abstract】 With the development of cross-border telemedicine，international cooperation in clinical trials of drugs and vaccines，cross-border academic discussions and clinical research，cross-border flow of health and medical data has become an irreversible trend. Rules for cross-border flow of health data require doing a balance among the objectives and policies of maintaining national health security，protecting citizens' privacy，and promoting the development of health industry. This paper uses literature research，comparative analysis and other methods to study the legislative regulation and regulatory mechanism of cross-border health data in Australia. The study's findings reveal that Australia prioritizes health data security，enforcing stringent oversight on the cross-border movement of personally identifiable health data through dedicated agencies and comprehensive legislation. China should build a scientific，complete and strict legal and policy system for health data protection and cross-border flow，and organically combine and implement laws and regulations with policy guidelines；improve the terms of standard contract for health data exit and play the function of the standard contract for regulation；actively use the existing hierarchical classification of health data to build a flexible and diverse health data exit regulation model；and strengthen exchanges and cooperation with countries along the "Belt and Road"，especially ASEAN member countries，in the field of cross-border health data flow.

【Key words】 Data management；Health data；Cross-border flow；Hierarchical classification；Data security；Risk control

健康医疗数据是一个广义的概念，包括个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生信息等［1］，从临床与健康管理、新药与医疗装备研发，到疾病预防与公共卫生服务等领域，健康医疗数据的收集、使用、跨境流动的种类与规模比以往任何时候都更加广泛［2］。跨境数据流动也被译为“跨境数据转移”“数据跨境传输”等，是指跨越国家或地区的个人数据或非个人数据的传输、存储和应用等。还有一种观点认为数据虽未跨越国境却可以被第三国经济或非经济主体访问，属于“跨境数据流动”［3］。

新型冠状病毒感染疫情发生以来，跨境远程医疗、药品和疫苗临床试验国际合作、跨境学术研讨与临床研究、进口医疗器械设备维修使得包含患者个人信息、健康状况数据、临床影像数据、人类遗传资源健康医疗数据大量跨境流动。2020年国内基因数据通过网络出境717万余次，流向境外170个国家和地区，其中流向美国273万余次；境内医学影像数据通过网络出境497万余次，流向境外128个国家和地区，其中未脱敏医学影像数据出境近40万次［4］。在此过程中，如果缺乏有效的法律约束机制，极易对个人的人格尊严和生命健康造成损害，甚至会影响到国家对突发公共卫生事件的处理，威胁国家的主权和卫生安全，例如基因数据、遗传资源信息、群体医疗疾病防治统计数据等涉及生物安全领域的高风险健康医疗数据一旦被泄露，有可能遭到他国恶意利用，进行针对我国特定群体的生化武器研发。近年来我国愈发重视生物安全，2020年2月14日习近平总书记提出把生物安全纳入国家安全体系，《中华人民共和国生物安全法》［5］也已经于2021年4月15日正式施行。在此背景下，研究健康医疗数据跨境流动的法律规制、更好地保障跨境数据安全具有十分重要的意义。

目前学界有关数据跨境流动制度的研究大多集中于欧美模式的比较。澳大利亚在个人数据跨境流动立法方面是较为中立的国家，既遵循经济合作与发展组织（Organisation for Economic Co-operation and Development，OECD）《隐私保护和个人数据跨境流动指南》（Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data）［6］和亚太经合组织（Asia-Pacific Economic Cooperation，APEC）《隐私框架》（APEC Privacy Framework）［7］的原则，也较为符合欧盟认可的数据跨境流动标准［8］，有其独到的经验。澳大利亚高度重视健康医疗数据的发展和应用，在联邦和州两级构建了由《隐私法》（Privacy Act）［9］、《我的健康档案法》（My Health Records Act）［10］等多部法律法规组成的健全的法律体系，对健康数据的跨境流动规定了严格的适用条件。本文以澳大利亚健康医疗数据的法律规制为研究对象，全面系统地介绍了澳大利亚国内对健康数据管理的监管体系和法律制度，以期为我国构建和完善健康医疗数据的跨境流动制度提供理念的启迪与具体制度的借鉴。

1 健康医疗数据跨境流动法律规制的理论基础

数据跨境流动具有不同的法理基础，当前最重要的两种观点就是数据自由贸易理论和数据人权理论，其具有一定的合理性，同时也存在一些问题［11］。

数据自由贸易理论将数据跨境自由流动视为自由贸易的一部分，并将各国数据保护的不同标准视为对数据自由流动的挑战。美国是持这一观点的主要代表国家，认为数据跨境流动应建立在数据自由贸易的基础之上。美国主导并推动了APEC的跨境隐私规则（Cross-Border Privacy Rules，CBPR）和美墨加协定的出台，这两项规则都体现了鲜明的数据自由贸易立场。CBPR设立了一种认证机制，企业只要获得APEC的认证，就可以在加入该规则的国家间自由地进行数据传输。美墨加协定则在认可企业认证机制的基础上，进一步强调美墨加三国之间不能限制数据的跨境流动，除了出于合法公共目的并采取非歧视性条款。数据自由贸易理论有力地推动了数据的自由流动，能够最大限度地发挥数据价值，但是实践中也可以看到，在全球主流的互联网与科技企业由美国主导的背景下，美国的霸权主义与长臂管辖导致数据自由贸易的同时也对其他主权国家规制数据的权利造成威胁。

数据人权理论以欧盟为典型代表，倾向于从人权保护的角度看待个人数据保护与数据跨境流动。在欧盟，个人数据被保护权已经被广泛接受为一项基本人权［12］。《欧盟基本权利宪章》（Charter of Fundamental Rights of the Eurorean Union）［13］第8条第1款规定：“每个人都有权保护与其有关的个人数据。”《通用数据保护条例》（General Data Protection Regulation，GDPR）［14］将欧盟的保护水平作为数据保护“充分性认定”的标准［15］。

数据人权理论能够提供对个人数据的充分保护，但是也存在导致单边主义与长臂管辖的可能。

与此同时，隐私权保护理论是健康数据跨境流动机制的重要理论基础之一。相较于其他数据，在健康数据的跨境流动中，隐私权的保护尤为重要。在隐私权保护的视角下，对健康数据进行跨境流动机制是为了防止数据泄露和滥用，保护个人隐私不受侵犯。因此，相关法律法规应明确规定健康数据跨境流动的条件、范围和程序，确保数据在跨境流动过程中得到充分保护。澳大利亚较好地结合了数据自由贸易理论和数据人权理论，同时坚持隐私权保护理论，对跨境数据流动进行分类管理：对于一般的个人数据，澳洲倾向于数据自由贸易理论，促进国家间的数据自由流动；对于个人健康数据这样的敏感数据，澳洲严格限制出境的做法比较符合欧盟的数据人权立场。澳大利亚努力寻求在数据自由流动与保护个人隐私安全之间取得平衡，这与我国健康数据治理的理念与目标一致。2021年9月1日施行的《中华人民共和国数据安全法》（以下简称《数据安全法》）［16］体现了我国“统筹发展和安全，坚持保障数据安全与促进数据开发利用并重”的原则。因此，澳大利亚的立法可以为我国制定和完善健康医疗数据跨境流动提供经验借鉴。

2 澳大利亚健康医疗数据跨境流动的立法

作为联邦制的国家，澳大利亚通过联邦、州和地区的混合立法对健康医疗数据进行监管。澳大利亚的健康医疗数据保护立法由联邦、六个州和两个领地共同制定。联邦层面主要立法有《隐私法》及其修正案、《我的健康档案法》《医疗保健标识法》和《信息自由法》等，其中前两项法案是机制健康数据跨境流动的重要法律，本文将着重介绍其相关规定。各州和地区也陆续出台了健康数据跨境流动的立法（表1）。这些立法不约而同地吸收了联邦立法对于个人健康医疗数据跨境传输的谨慎的立法态度，严格限制相关敏感的个人健康数据跨境转移，同时又结合各地州立法实际情况，制定保障安全的跨境传输合同制度、个人敏感信息永久去识别化制度等；在跨境传输豁免条件上，有的州还加入了为公共秩序和公共利益等原因而进行的跨境传输，为后续在包括新型冠状病毒感染疫情等突发公共卫生事件发生时而采取的政府收集、传输个人健康数据的做法留下了法律空间［17］。

2.1 《隐私法》中健康数据跨境流动的相关规定

澳大利亚联邦层面最主要的数据保护立法是《隐私法》，其中包含13条澳大利亚隐私原则（Australian Privacy Principles，APP），对个人隐私保护、个人信息的收集、处理、完整性、访问和修正等进行了规定。《隐私法》以列举的方式明确了健康医疗数据的范围，根据该法的规定，健康医疗数据包括：（1）关于个人健康状况（包括疾病、残疾或受伤）、当前或未来可能接受的医疗服务数据；（2）为向个人提供健康服务而收集的其他个人属性数据；（3）与个人捐赠身体器官有关的数据；（4）能够对个人健康状况起到预测作用或可证明与其他人亲缘关系的个人基因数据等［9］。而对于什么是数据“跨境”，目前国际上也没有统一定义。《隐私法》对所谓的“数据海外接收者”有两个条件，一是该接收者地理位置位于澳大利亚及其附属领地外；二是此海外接收者不是数据披露主体。此外，根据澳大利亚法律改革委员会的解释，如果个人数据存储于澳大利亚，但却在澳大利亚境外被访问的话，也可以被视为跨境。

《隐私法》将个人健康医疗数据划入“敏感信息”的范畴，明确了合法收集、使用及披露健康信息的相关规定，提供了更高级别的保护。该法第16节和隐私原则第8条对个人信息的跨境流动进行了规定，数据披露实体应当确保海外接收方按照隐私原则处理个人信息，并在海外接收方信息处理不当时，由该实体承担相应责任。但是根据APP第8条第2款，存在以下例外情况：（1）数据披露实体有理由相信，信息接收方受到与APP具有实质相似性的法律或方案的约束，且有相应的数据保护机制；（2）该实体已获得个人同意；（3）境外信息披露是澳大利亚法律要求或授权的；（4）适用于被允许的一般情况（例如减少或防止严重的健康和安全风险，或就可疑的严重不当行为采取适当行动）；（5）根据澳大利亚参与的有关国际协议，政府机构要求进行这种披露；（6）该实体合理地相信，披露该信息对于执法机构进行执法相关活动是合理必要的，且接收者的职能类似于执法机构。由此可见《隐私法》的核心目标是在保证个人隐私安全的前提下，促进国家间的数据自由流动，以更大程度上实现数据价值。

2.2 《我的健康档案法》中健康数据跨境流动的相关规定

2010年，澳大利亚联邦政府批准开发个人控制的电子健康档案（personally controlled electronic health record，PCEHR），这一系统上注册了90%以上的药店和全科医生，并连入94%的公立医院病床信息［18］，同时为每个澳大利亚公民都提供了数字化的“个人健康档案”，让患者能够掌控自己的健康医疗信息，使患者有机会理解、参与医疗决策，在此基础上不断改善医疗质量和安全，减少医疗资源的浪费，提高使用效率。作为澳大利亚最全面的大数据资源之一，PCEHR还有巨大的潜在经济和社会价值。根据澳大利亚卫生部发布的PCEHR的二次利用框架，PCEHR系统数据的利用范围包括政策分析、医疗服务项目开发、科研、医疗质量和患者安全评估，以及公共卫生、绩效管理、医疗保健服务和治疗效果的改善等［19］。2012年，PCEHR改名为“我的健康档案”（my health record，MHR）。同年《我的健康档案法》颁布实施，在MHR系统中嵌入核心隐私保护规则以及多种额外的保障措施，以提升MHR的安全性［20］。

《我的健康档案法》对MHR中的健康医疗数据出境进行了严格限制。该法案第77条第1款规定，为MHR系统的目的保存档案或可查阅与这些档案有关信息的系统运营机构、注册存储库运营商、注册门户运营商或注册签约服务提供商，不得自行或允许他人在澳大利亚以外的地区保存或获取这些档案，不得在澳大利亚以外处理与这些档案相关的信息。但是77条第2款规定了少数例外情况，为了操作或管理MHR系统，系统运营机构（即澳大利亚数字卫生局）有权在澳大利亚以外的地区保存、获取或处理此类信息，只要这些信息中不包括与MHR系统中的医疗保健接收者或参与者相关的个人信息或可识别个人或实体的信息。同时规定，违反第1款的个人可能被处以监禁5年和/或罚款300个处罚单位的刑事处罚及1 500个处罚单位的民事罚款（在澳大利亚，处罚单位的价值以及调整价值的方式和频率因不同的司法管辖区而异，例如1个处罚单位，在联邦是222美元，在维多利亚州是181.74美元，在新南威尔士州是110美元）。根据《隐私法》和《我的健康档案法》的相关规定，在联邦层面一般情况下禁止可识别个人的健康数据的跨境流动。

3 澳大利亚健康医疗数据监管机制

3.1 澳大利亚健康医疗数据监管机构及其职能

澳大利亚在联邦层面建立了独立的健康医疗数据管理机构，负责对健康数据相关活动进行监管。其中澳大利亚信息专员办公室（Office of the Australian Information Commissioner，OAIC）和数字卫生局（Australian Digital Health Agency）是联邦层面最重要的管理机构。如果发生了《我的健康档案》法律规定的信息隐私泄露等问题，公民个人可以直接向澳大利亚数字卫生局或OAIC投诉［21］。《我的健康档案法》109条（7A）还规定建立了数据治理委员会（Data Governance Board），负责监督与研究或公共卫生目的相关的健康数据处理活动，但是在MHR系统的日常运作方面，委员会不具有相关监管职能。

澳大利亚信息专员办公室于2010年11月正式成立，是一个整合性组织，分别位于首都直辖区、新南威尔士州、北部地区、昆士兰、西澳大利亚州这5个行政辖区。尽管这5个州的信息专员办公室有细微差别，但整体结构包括信息专员、信息自由专员、隐私专员，其职能整合了数据保护、促进数据流动和开放、协助政府实施信息管理政策等职能［22］。OAIC负责《隐私法》下的健康医疗数据保护，促进法律合规和最佳隐私实践，对各种数据处理活动进行隐私评估，以及在发生侵犯隐私的情况下进行调查。同时《我的健康档案法》要求定期发布报告，对OAIC如何监督和实践《我的健康档案》规定的各项隐私保障措施予以详细说明。

澳大利亚数字卫生局是根据《公共治理、绩效和问责制（建立澳大利亚数字卫生局）2016年规则》［Public Governance，Performance and Accountability（Establishing the Australian Digital Health Agency）Rule 2016］［23］第8条设立的法定机构，并于2016年成为MHR系统的运营机构，负责“我的健康档案”、澳大利亚的数字处方和健康转诊系统以及国家数字健康战略下的其他“电子健康”计划。该机构通过前澳大利亚政府健康委员会直接向州和领地卫生部部长以及联邦卫生部部长报告。该机构由其首席执行官和董事会领导，并受卫生部部长发布的指示以及所有州和领地卫生部部长的批准［24］。

3.2 澳大利亚对健康数据跨境流动的具体监管措施

《隐私法》要求健康医疗数据披露实体采取合理措施确保海外接收方不违反澳大利亚隐私原则。为了达到这一要求，实践中通常会要求该实体与海外接收方建立合同关系。合同内容可能包括需要披露的个人健康信息的类型和披露的目的、海外接收方遵守隐私原则对信息进行处理的规定、隐私投诉的处理程序、海外接收方应实施数据泄露响应机制等。然而，是否需要签订合同、合同的具体条款以及数据披露实体是否需要对合同遵守情况进行监督将取决于信息的敏感程度、该实体与海外接收方的关系、信息处理不当可能造成的不利后果、海外接收方现有的隐私保护技术和保障措施等诸多因素［25］。在健康数据跨境监管活动中，最终签订的合同可能成为接受隐私评估时向OAIC提供的材料。

根据《隐私监管行动政策》（Privacy regulatory action policy）［26］和《隐私监管行动指南》（Guide to privacy regulatory action）［27］的规定，OAIC可以就澳大利亚隐私原则等事宜对数据披露实体进行评估以及指导有关机构进行隐私影响评估。隐私评估有基于风险的评估和合规性的评估两种类型：基于风险的评估侧重于识别实体，根据相关立法（如隐私原则）向海外接收方披露健康信息的隐私风险，所确定的隐私风险应直接与实体的一般合规义务相关，OAIC可根据隐私风险评估结果提出建议来协助实体改善隐私做法和程序；基于合规性的评估的重点是确定数据披露实体是否遵守了已确定的立法义务或来自OAIC的明确指示，主要结果将是评估该实体是否“符合”或“不符合”相关立法下具体确定的义务，或OAIC之前向该实体提出的明确要求。评估类型将根据具体情况来确定。评估主要分为四个阶段：确定评估目标，隐私评估规划，实地调查，报告评估结果。这个分阶段的过程是灵活的，可能会有一些情况需要采取不同的方法。例如，基于合规性的评估不太可能需要像基于风险的评估一样详细的目标过程，因为该实体和已确定的立法义务都已经确定。信息专员有权进入数据披露实体的办公场所，检查相关文件，或要求实体提供隐私评估所需的信息或文件。评估完成后，OAIC会在识别到中高级隐私风险时提出建议，甚至在某些情况下可能会根据评估结果采取进一步的监管行动。例如，在基于风险的评估中，如果OAIC发现了重大问题，而数据披露实体无不愿意或没有能力采取措施解决这些问题，则OAIC直接派信息专员开展调查活动。

4 澳大利亚健康医疗数据跨境流动法律规制的特点

作为英联邦成员国，澳大利亚在吸收英美两国经验的基础上，发展了具有自己特色的联邦法律制度。在健康数据跨境流动领域，澳大利亚国内立法既深受欧盟注重隐私保护的影响，其立法精神和诸多内容又被后续欧盟数据保护的统一立法所吸收［28］。澳大利亚对于健康数据保护和跨境传输的立法早在20世纪90年代就已经颁布，并根据国内电子商务和电子信息系统的发展而不断修改和完善，形成由法律法规、标准、指南相互补充的完整数据治理的法律体系。从总体来看，该法律体系具有以下几个特点。

4.1 以“充分保护”作为个人健康医疗数据跨境流动的标准

《隐私法》等联邦和地方立法都规定数据披露实体要确保海外信息接收方受到与《隐私法》具有实质相似性的法律或方案的约束，这实质就是要求对域外国家或者地区的数据保护体系进行评估，确保澳大利亚公民的健康医疗数据在流出澳大利亚后仍然能得到持续的保护，这种“充分保护”的原则被欧盟GDPR所吸收，成为欧盟数据保护法全球化的重要路径之一。此外，健康医疗信息跨境流动需要获得信息主体的同意，并需要与域外数据接收者订立合同来确保安全等规定，都是为了确保“充分保护”原则的落地实施，因为如果数据被传输到不能提供“充分保护”的国家，那么澳大利亚国内给予健康医疗数据较高水平的保护就是徒劳的。

4.2 对跨境数据流动进行分类管理

澳大利亚较早实现了对跨境数据流动的分类管理，对不同类别的数据在跨境流动方面实施不同的限制性措施与豁免规定。《隐私法》和《我的健康档案法》将个人健康医疗数据作为最为私密和敏感的个人数据的范畴，对个人健康数据的采集、使用、披露方面采取更加严格的条件。原则上禁止MHR中的健康数据出境，只有澳大利亚数字卫生局有权在特定情况下在澳大利亚以外的地区保存、获取或处理该类健康数据（不包括可识别个人的健康数据）。不属于MHR中的健康数据出境则需要遵循《隐私法》关于数据披露与跨境流动的相关规定。

澳大利亚对健康医疗数据跨境流动的严格限制条件在一定程度上保护了该类数据的安全，但是过于严苛的本地化措施同时也在一定程度上阻碍了健康数据跨境流动带来的效益，且健康数据流动的风险并未完全消除。2011年，针对《隐私法》规定外国企业处理澳大利亚国内健康医疗数据时，必须在澳大利亚境内设立数据中心，或者将相关业务转包到澳大利亚本国服务商这一规定，微软公司就表达了强烈的质疑和担忧［29］，认为此举会损害消费者的自由选择权，而且并不有利于维护澳大利亚本国公民的健康医疗数据安全。澳大利亚国内也认识到了过于严苛的个人数据保护所引发的问题，并在最近几年的司法判决中有所变化。由于包括健康医疗数据在内的个人敏感数据在《隐私法》是以数据“可识别性”作为判断的标准，所以如何判断数据的“可识别性”，在法律上就成为争议的焦点。2017年的澳大利亚联邦法院审理的“隐私专员诉澳大利亚电信公司”（Privacy Commissioner v Telstra Corporation Limited）一案中法院拒绝承认能通过合理方式确定个人身份的数据是个人数据，指出这种解释会使确认“关于个人的要求变得宽泛不明晰”，并认为《隐私法》中个人数据的概念过于宽泛，同时又强调，在其他情形下最终的结论可能是不同的，因而每个案件的结论将取决于不同案件的具体情况［30］。澳大利亚联邦法院的这一判决在很大程度上限制了个人数据的范围，提出对于个人数据的认定必须结合具体的场景，从而否定了长久以来的所有可以合理地确定个人身份的信息都是个人数据的观点，这一判决不仅可能影响其他司法管辖区对个人数据定义的解释，而且未来也会对包括《隐私法》在内的澳大利亚国内成文立法产生深远的影响。可以说是对数字时代“个人数据”法律定义的再回应。如何在数字时代实现个人隐私保护和数字经济发展之间的平衡，“隐私专员诉澳大利亚电信公司”案迈出了立法完善的第一步。

4.3 强制性规定与推荐性指南相结合

澳大利亚立法将强制性规定与推荐性指南相结合，并吸收社会组织制定行业标准规范，体现出法律的原则性和灵活性的有机结合。澳大利亚通过《隐私法》和《我的健康档案法》规定了健康数据跨境流动的基本原则和主要制度，同时又通过大量推荐性行业指南，将抽象的原则具体化、场景化。例如，《个人信息保护指南》（Guide to securing personal information）［31］的颁布为保护用户隐私信息和信息安全指明方向，《数据泄露的准备和应对指南》（Data breach preparation and response）［32］则为政府数据泄露提供对策和建议。澳大利亚保护性安全政策框架（the protective security policy framework，PSPF）8附件A至D“敏感和机密信息”中规定了在澳大利亚以外转移敏感和安全机密信息的最低保护措施，为数据传输实体提供了详细的操作指引［33］。由于数据跨境流动场景的复杂性，澳大利亚议会咨询办公室发布了相关指南和标准，采用情境分析的方法，对于数据传输到不同国家、地区的具体情况进行个案裁判。

澳大利亚政府机构也积极与各类社会组织密切合作，制定出一系列的保障健康数据行业安全和数据传输的标准规范。安全消息传递（secure messaging）是包括数字卫生局与非营利性组织“澳大利亚标准”（Standards Australia）合作开发的一套规范指南，有利于提高健康医疗数据在所有医疗服务提供商和消费者之间的共享、安全、无缝、可靠和保密所需的核心基础能力。这套指南开发了一种标准化的实现数字健康通信的方法，有力地保障了健康医疗数据在跨境传输中的安全［34］。

不过需要指出的是，澳大利亚对健康医疗数据的监管存在国家一致性问题。由于澳大利亚是联邦制国家，中央和地方在隐私保护的立法方面存在多层次性、分散性，因而在一定程度上也存在法律冲突。例如，参议院委员会隐私调查发现，存在隐私监管的显著碎片化和不一致性问题。这种不一致发生在联邦立法之间，联邦和州、地区立法之间，是阻碍《隐私法》目标实现的众多因素之一，对政府、企业以及个人隐私的保护产生不利影响。隐私监管中的不一致和分散引起了各种问题，比如难以确定隐私义务的来源，或者在确定隐私义务来源和遵守不同司法管辖区内的不同法律、隐私标准上花费大量时间和金钱。还有一个突出的问题是隐私保护的有效性。调查显示，这一制度设计在很大程度上影响了法律的实施效果［35］。

5 澳大利亚经验对我国的启示

5.1 构建科学、完整、严密的健康数据保护、跨境流动的法律与政策体系

2017年之前，我国对包括金融、人口健康等特定领域的数据跨境流动，通过行政法规、部门规章、规范性文件进行了规范。2014年5月《人口健康信息管理办法（试行）》［36］规定不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器；2018年7月《国家健康医疗大数据标准、安全和服务管理办法（试行）》［37］规定健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。2017年后，我国通过《中华人民共和国网络安全法》［38］（以下简称《网络安全法》）、《数据安全法》《中华人民共和国个人信息保护法》［39］（以下简称《个人信息保护法》）等建立起全面的数据出境管理制度。《网络安全法》第三十七条奠定了数据出境安全评估制度的基础。《数据安全法》在具体制度层面通过重要数据出境安全评估、数据安全国家审查、数据出口管制、跨境执法调取数据的阻断立法等方面，实现对数据跨境流动的全面控制。2021-11-01实施的《个人信息保护法》将涉及医疗健康的个人信息归入敏感个人信息，实施严格的保护，并在第三章专章规定了个人信息跨境提供的规则，确定了个人信息出境的三条合规路径：申报安全评估、进行个人信息保护认证、签署标准合同。针对以上三条路径又相继出台了《数据出境安全评估办法》［40］、《个人信息保护认证实施规则》［41］、《个人信息跨境处理活动安全认证规范》［42］、《个人信息跨境处理活动安全认证规范V2.0》［43］等文件。我国坚持“安全流动”的理念，构建了“重要数据”和“个人信息”的出境规制“双轨并行”分层次的制度框架［44］。不过具体到健康医疗领域，现行立法对健康数据出境的规制存在一定的滞后性，有关健康数据保护的规定散见于各类法律、行政法规、部门规章和规范性文件当中［45］。健康医疗数据跨境流动规则与行业发展趋势不相适应，目前多作本地化存储的要求，没有充分考虑到跨境医疗、国际合作等业务需求，缺乏不同类型健康数据及其具体跨境场景的制度设计与细化规定［46］。

对此，考虑到健康医疗数据的多态性、高敏感性、追踪性、公众性等特征［47］，建议我国在完善数据共享、数据安全等方面的法律法规时，出台针对健康医疗数据的专门立法，根据健康医疗数据的特点对健康医疗数据的定义与范围、分级分类、健康医疗数据处理规则、健康医疗数据保护义务、健康医疗数据主体享有的权利、数据出境安全管理等基本问题做出原则性规定，并将法律法规与政策指南有机结合、配套实施，提高法律的执行度和可操作性，保证医疗健康数据各项规定“因时制宜、因地制宜”。

健康医疗数据的出境安全管理的法律规制，必须与健康医疗数据出境安全评估共同实施，将立法与行业标准和指南有机结合，使得抽象的原则具体化、场景化。我国《信息安全技术 健康医疗数据安全指南》（以下简称《健康数据安全指南》）［1］将健康医疗数据出境场景划分为跨境医疗、药品研发合作、跨境远程会诊、跨境转诊、跨境学术研讨与临床研究、跨境远程维护医疗器械、读取数据、境外商业保险公司调取境内投保人的医疗数据、数据存储服务器、健康触感器等采集数据存储服务器位于境外等不同场景，实践中这些不同场景下数据安全保护措施以及个人健康医疗数据主体、健康医疗数据控制者、健康医疗数据处理者、健康医疗数据使用者之间的权利和义务也不相同［48］，网信部门与卫生健康主管部门在制定规则时应充分衡量不同场景下健康医疗数据出境的风险与收益，给予类型化的规制。

5.2 完善健康医疗数据出境标准合同条款，发挥标准合同监管功能

澳大利亚在实践中通常会要求数据披露方与境外接收者签订合同来保障数据安全，但是否签订合同及合同的具体内容都不是强制性的。我国也有类似的规定，《数据出境安全评估办法》规定在开展数据出境风险自评估和安全评估时将数据处理者与境外接收方拟订立的数据出境合同（法律文件）“是否充分约定了数据安全保护责任义务”作为重点评估事项。而《个人信息保护法》第38条进一步将标准合同条款确定为个人信息出境的三条合规路径之一。结合两者来看，实践中安全评估时很可能会参考国家网信部门制定的标准合同条款。因此，对于健康医疗数据这样的敏感数据，不妨考虑“安全评估”+“标准合同”的双重保险路径，在健康医疗数据出境时，充分发挥标准合同条款的监管功能。

在制定与完善健康医疗数据出境标准合同条款时，数据处理者与境外接收方的数据安全义务是核心内容。双方都应确保健康医疗数据安全，根据出境的目的、范围、方式及数据的数量、敏感程度等级等因素，采取适当的技术和管理措施，防止泄露、损毁、篡改、滥用等风险。此外，标准合同条款本质是国家公权力对数据进出口方合同自由的限制，因此在制定完成后应对其进行合比例性审查，通过对条款逐一进行适当性、必要性和均衡性检验，防止公权力对私权利的干预超过了必要限度。国家创制标准合同条款，应限于授权范围，合理确定条款的强制使用规制和内容强制程度，以适当平衡自治与管制［49］。

5.3 积极利用现有健康数据的分级分类，构建多样的、灵活的健康数据出境规制模式

针对不同健康医疗数据分级分类是澳大利亚立法的重要特点之一。我国《健康数据安全指南》根据数据重要程度、风险级别及对健康医疗数据主体可能造成的损害和影响将健康医疗数据划分成“可完全公开使用”“可在较大范围内供访问使用”“可在中等范围内供访问使用”“在较小范围内供访问使用”和“仅在极小范围内且在严格限制条件下供访问使用”五个等级，在不同的数据流通场景中有不同的安全措施要点。我国不同于澳大利亚过于严苛的本地化措施，可以通过健康数据的分类分级对出境的健康数据采取差异化的规制路径。例如第1级和第2级数据，对这两级的健康数据可以放宽限制条件，原则上经数据主体同意和数据传输方内部评估后即可实现自由出境；第3级数据，可基于业务需要，在得到数据主体明示同意、对数据进行匿名化处理、订立数据保护合同条款以及通过主管部门安全评估后方可出境；第4级和第5级数据敏感程度较高，如果未经授权披露，可能会对个人健康医疗数据主体造成严重程度的损害，应当严格限制出境。

对于风险评级较高的健康医疗数据，要根据《数据安全法》第24条的相关规定“对影响或者可能影响国家安全的数据处理活动进行国家安全审查”。2022年2月15日起施行的《网络安全审查办法》［50］对数据安全审查的具体制度要求进行了细化，由设在国家互联网信息办公室的网络安全审查办公室负责组织网络安全审查。因此在健康数据出境的场景中，除了进行安全评估，还可以增加网络安全审查机制。安全审查应重点评估健康数据跨境传输、国外上市行为可能带来的国家安全风险。其中尤其要关注当前国内的各类移动健康管理应用程序收集的大量敏感的个人健康信息，如果这些公司要在境外上市，那么他们掌握的健康数据将存在较大风险，可能被窃取、泄露、毁损或被国外政府影响、控制、恶意利用。因此移动健康手机程序在国外上市前应向网络安全审查办公室申报安全审查，严格把关，控制风险。

5.4 加强与“一带一路”沿线国家，尤其是东盟成员国在健康医疗数据跨境流动领域的交流和合作

澳大利亚加入了跨境数据流动联盟，有着自己的数据朋友圈。澳大利亚是亚太经合组织的跨境隐私规则体系的成员方；同时澳大利亚也与欧盟、美国签署CLOUD法案协议，促进彼此之间的数字信息交流。我国作为“一带一路”倡议的发起国家，也要积极探索并与相关国家取得共识，构建跨境数据流动协议，推动跨境数据的流动和监管。欧盟对于成员国和第三国，对数据跨境流动的规制采取了双重标准［3］。未来我国也可以根据“一带一路”沿线国家的实际情况，在风险可控的前提下，兼顾我国的国家利益、经济发展和个人隐私保护之间的合理平衡［51］，在健康数据跨境流动领域，对东南亚、东盟、俄罗斯、欧洲国家采取差异化的跨境流动政策。

2020年是中国－东盟数字经济合作年，习近平总书记在第十七届中国－东盟博览会和中国－东盟商务与投资峰会开幕式的致辞中讲到，中方愿同东盟各国“在智慧城市、5G、人工智能、电子商务、大数据、区块链、远程医疗等领域打造更多新的合作亮点，加强数据安全保护和政策沟通协调”［52］。在实施差异化的数据领域国家合作战略中，建议以东盟国家为突破口，与相关国家建立健康医疗数据跨境流动的“白名单”制度，加强与东盟成员国在公共卫生领域、远程医疗方面之间的数据合作，在东盟国家之间通过签订个人数据、重要敏感数据的《数据跨境传输合作协议》，在个人隐私保护、国家安全、网络安全、关键信息基础设施等方面实现兼容，并通过数据流动认定协定推动中国与东盟国家建立共同适用的标准。

作者贡献：陈永怡负责文献/资料收集与整理，并撰写论文；孟彦辰负责论文构思、设计与修订，对文章整体负责。

本文无利益冲突。

陈永怡：https：//orcid.org/0009-0003-4928-4163

参考文献

全国信息安全标准化技术委员会. 《信息安全技术 健康医疗数据安全指南》［EB/OL］.（2020-12-14）［2022-06-12］. http：//www.phic.org.cn/zcyjybzpj/bzypj/bzgf/gjbz/202103/P020210331605989883649.pdf？hmpvqezfbjjzwskb.

VICTORIA H. Data Protection Compliance in the Age of Digital Health［J］. European Journal of Health Law，2016，23（3）：248-264.

王金照. 跨境数据流动：战略与政策［M］. 北京：中国发展出版社，2020：26-27.

国家计算机网络应急技术处理协调中心. 2020年中国互联网网络安全报告［EB/OL］.（2021-07-21）［2022-12-30］. https：//www.cert.org.cn/publish/main/upload/File/2020%20Annual%20Report.pdf.

中华人民共和国中央人民政府. 中华人民共和国生物安全法［A/OL］.（2020-10-18）［2023-12-30］. https：//www.gov.cn/xinwen/2020-10/18/content_5552108.htm.

OECD. Guidelines governing the protection of privacy and transborder flows of personal data［EB/OL］. ［2024-01-02］. https：//legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0188.

APEC. APEC Privacy Framework［EB/OL］. ［2024-01-02］. https：//www.apec.org/publications/2005/12/apec-privacy-framework.

黄鹂. 澳大利亚个人数据跨境流动监管经验及启示［J］. 征信，2019，37（11）：72-76.

Federal Register of Legislation. Privacy Act 1988［EB/OL］.（2023-10-18）［2024-01-02］. https：//www.legislation.gov.au/C2004A03712/latest/text.

Federal Register of Legislation. My Health Records Act 2012［EB/OL］.（2023-10-18）［2024-01-02］. https：//www.legislation.gov.au/C2012A00063/latest/text.

丁晓东. 数据跨境流动的法理反思与制度重构——兼评《数据出境安全评估办法》［J］. 行政法学研究，2023，29（1）：62-77.

时业伟. 跨境数据流动中的国际贸易规则：规制、兼容与发展［J］. 比较法研究，2020，33（4）：173-184.

European Union Agency for Fundamental Rights. EU charter of fundamental rights［EB/OL］. ［2024-01-02］. http：//fra.europa.eu/en/eu-charter.

EUR-Lex. General data protection regulation［EB/OL］.（2016-05-04）［2024-01-02］. https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A32016R0679&qid=1704208791421.

金晶. 个人数据跨境传输的欧盟标准——规则建构、司法推动与范式扩张［J］. 欧洲研究，2021，39（4）：89-109+7.

中华人民共和国中央人民政府. 中华人民共和国数据安全法［A/OL］.（2021-06-11）［2023-12-30］. https：//www.gov.cn/xinwen/2021-06/11/content_5616919.htm.

李国炜. 澳大利亚新南威尔士州《健康记录和信息隐私权法》之解读及借鉴［J］. 科技与法律，2012，22（4）：75-78.

中国医疗. 从健康档案到基因检测，澳大利亚数字医疗怎样布局？［EB/OL］.（2020-08-10）［2022-06-30］. http：//med.china.com.cn/content/pid/196462/tid/1017.

国家信息中心，澳大利亚“个人健康档案系统”数据二次开发框架指南［EB/OL］.（2019-06-17）［2022-06-26］. https：//www.secrss.com/articles/11440.

HOLLO Z，MARTIN D E. An equitable approach to enhancing the privacy of consumer information on My Health Record in Australia［J］. Health Information Management Journal，2021：18333583211019764.

钟其炎. 澳大利亚电子健康档案全生命周期隐私保护体系及借鉴［J］. 北京档案，2019，34（2）：16-21.

陈萌. 澳大利亚政府数据开放的政策法规保障及对我国的启示［J］. 图书与情报，2017，36（1）：18-26.

Federal Register of Legislation. Public Governance，Performance and Accountability（Establishing the Australian Digital Health Agency）Rule 2016［EB/OL］.（2016-01-29）［2024-01-02］. https：//www. legislation.gov.au/F2016L00070/asmade/text.

刘芮，谭必勇. 数据驱动智慧服务：澳大利亚政府数据治理体系及其对我国的启示［J］. 电子政务，2019，14（10）：68-80.

OAIC. Australian Privacy Principles guidelines. ［EB/OL］.（2019-07-22）［2022-05-31］. https：//www.oaic.gov.au/privacy/australian-privacy-principles-guidelines/chapter-8-app-8-cross-border-disclosure-of-personal-information.

OAIC. Privacy regulatory action policy. ［EB/OL］. ［2022-06-26］. https：//www.oaic.gov.au/about-us/our-regulatory-approach/privacy-regulatory-action-policy#ftn1.

OAIC. Guide to privacy regulatory action ［EB/OL］. ［2022-06-01］. https：//www.oaic.gov.au/about-us/our-regulatory-approach/guide-to-privacy-regulatory-action.

何勤华. 澳大利亚法律发达史［M］. 北京：法律出版社，2004.

伦一. 澳大利亚跨境数据流动实践及启示［J］. 信息安全与通信保密，2017，37（5）：25-32.

OAIC. Privacy Commissioner v Telstra Corporation Limited Federal Court Decision［EB/OL］. ［2022-06-30］. https：//www.oaic.gov.au/updates/news-and-media/privacy-commissioner-v-telstra-corporation-limited-federal-court-decision.

OAIC. Guide to securing personal information ［EB/OL］. ［2024-01-02］. https：//www.oaic.gov.au/privacy/privacy-guidance-for-organisations-and-government-agencies/handling-personal-information/guide-to-securing-personal-information.

OAIC. Data breach preparation and response ［EB/OL］. ［2024-01-02］. https：//www.oaic.gov.au/privacy/privacy-guidance-for-organisations-and-government-agencies/preventing-preparing-for-and-responding-to-data-breaches/data-breach-preparation-and-response.

Australian Protective Security Policy Framework. Policy 8：Sensitive and classified information［EB/OL］.（2018-09-28）［2022-06-08］. https：//www.protective security.gov.au/publications-library/policy-8-sensitive-and-classified-information.

Standards Australia. Standardisation guides［EB/OL］. ［2022-06-30］. https：//www.standards.org.au/standardisation-guides.

Australian Law Reform Commission. Review of privacy（IP 31）［EB/OL］.（2006-10-09）［2022-06-08］. https：//www.alrc.gov.au/wp-content/uploads/2019/08/IP31.pdf.

国家卫健委规划发展与信息化司. 国家卫生计生委关于印发《人口健康信息管理办法（试行）》的通知［A/OL］.（2014-05-13）［2024-01-02］. http：//www.nhc.gov.cn/guihuaxxs/s10741/201405/783ec8adebc6422bbebdf79db3868d0b.shtml.

国家卫健委统计信息中心. 关于印发国家健康医疗大数据标准、安全和服务管理办法（试行）的通知［A/OL］.（2018-09-14）［2024-01-02］. http：//www.nhc.gov.cn/mohwsbwstjxxzx/s8553/201809/f346909ef17e41499ab766890a34bff7.shtml.

中华人民共和国中央人民政府. 中华人民共和国网络安全法［A/OL］.（2016-11-07）［2023-12-30］. https：//www.gov.cn/xinwen/2016-11/07/content_5129723.htm.

中华人民共和国中央人民政府. 中华人民共和国个人信息保护法［A/OL］.（2021-08-20）［2023-12-30］. https：//www.gov.cn/xinwen/2021-08/20/content_5632486.htm.

国家互联网信息办公室. 数据出境安全评估办法［A/OL］.（2022-07-07）［2024-01-02］. http：//www.cac.gov.cn/2022-07/07/c_1658811536396503.htm.

国家互联网信息办公室. 个人信息保护认证实施规则［A/OL］.（2022-11-18）［2024-01-02］. http：//www.cac.gov.cn/2022-11/18/c_1670399936983876.htm.

全国信息安全标准化技术委员会. 个人信息跨境处理活动安全认证规范［EB/OL］.（2022-06-24）［2024-01-02］. https：//www.tc260.org.cn/front/postDetail.html？id=20220624175016.

全国信息安全标准化技术委员会. 个人信息跨境处理活动安全认证规范V2.0［EB/OL］.（2022-12-16）［2024-01-02］. https：//www.tc260.org.cn/front/postDetail.html？id=20221216161852.

刘金瑞. 迈向数据跨境流动的全球规制：基本关切与中国方案［J］. 行政法学研究，2022，28（4）：73-88.

粟丹. 论健康医疗大数据中的隐私信息立法保护［J］. 首都师范大学学报（社会科学版），2019，45（6）：63-73.

何晶晶，张心宇. 中国健康医疗数据跨境流动规制探析［J］. 国际法研究，2022，8（6）：62-74.

许培海，黄匡时. 我国健康医疗大数据的现状、问题及对策［J］. 中国数字医学，2017，12（5）：24-26.

郝娜. 个人健康医疗数据匿名化的法律规则重塑——从场景理论的视角来探析［J］. 医学与法学，2020，12（3）：93-98.

金晶. 作为个人信息跨境传输监管工具的标准合同条款［J］. 法学研究，2022，44（5）：19-36.

中华人民共和国中央人民政府. 网络安全审查办法［A/OL］.（2021-12-28）［2023-12-30］. https：//www.gov.cn/gongbao/content/2022/content_5682426.htm.

胡炜. 跨境数据流动立法的价值取向与我国选择［J］. 社会科学，2018，38（4）：95-102.

国家国际发展合作署. 习近平在第十七届中国－东盟博览会和中国－东盟商务与投资峰会开幕式上致辞［EB/OL］.（2020-11-30）［2022-06-30］. http：//www.cidca.gov.cn/2020-11/30/c_1210909442.htm.

（本文编辑：王世越）

*通信作者：孟彦辰，副教授；E-mail：myanchen@ccmu.edu.cn

基金项目：国家社会科学基金一般项目（21BFX105）

引用本文：陈永怡，孟彦辰. 澳大利亚健康医疗数据跨境流动法律规制研究及其对中国的启示［J］. 中国全科医学，2024，27（25）：3091-3099. DOI：10.12114/j.issn.1007-9572.2023.0314. ［www.chinagp.net］

CHEN Y Y，MENG Y C. Legal regulation of cross-border flow of health data in Australia and its implications for China［J］. Chinese General Practice，2024，27（25）：3091-3099.

? Editorial Office of Chinese General Practice. This is an open access article under the CC BY-NC-ND 4.0 license.