要闻资讯

GDPR构建了一套相对完善的跨境传输机制。其第45条规定的充分性决定（Adequacy Decision）指出，如果欧洲委员会认定某个国家的数据保护水平与欧盟基本等效，则将其列入“充分性国家”，可自由跨境传输个人数据。被认定国家包括日本、韩国等。关于美国，欧盟与美国之间新的《欧盟-美国数据隐私框架》(EU-US Data Privacy Framework) 已于2023年7月被欧盟委员会采纳为充分性决定，尽管如此，其实际应用和潜在法律挑战仍需持续关注。因此，欧盟医疗机构要把患者数据传给中国等其他非充分性地区，或在对美传输中寻求更稳健保障时，需要采用下述替代方案。

适当保障措施是GDPR跨境传输的常见方式，其中最常见的是签署标准合同条款（SCCs）。这是欧盟官方制定的模板合同，由数据出口方和进口方签订，通过合同保证进口方提供相当于欧盟水平的隐私保护。若缺乏此类措施，DPA（各国数据保护机构）可禁止数据出口。医疗AI公司经常使用SCCs与境外研发中心对接，同时还要确保对健康数据采取加密、假名化等附加安全手段。

GDPR第49条也列举了少数可无“充分性决定”或“SCCs”时进行跨境传输的情形，如数据主体明确同意、为保护重大公共利益或生命健康紧急需要。但这些例外往往要求“单次”或特殊场景，不得作为常规跨境方式长期依赖。医疗机构若频繁与国外合作，通常须走SCCs或约束性公司规则（BCR）之路。

中国个保法同样对个人信息跨境传输制定了详细规则。根据个保法第三十八条，个人信息出境必须具备其中之一：通过网信部门组织的安全评估；经专业机构进行个人信息保护认证；与接收方签署国家网信办制定的标准合同并备案；法律法规或网信办规定的其他条件。

若是大型医疗机构或被列为关键信息基础设施运营者，还需在境内存储本地数据，确需出境必须经严格安全评估。对于大量涉及基因、病历等敏感健康数据的出境，监管态度更为审慎。

与GDPR不同的是，个保法还要求向境外提供个人敏感信息时，除满足上述评估/合同等要求外，还应取得个人的单独同意，并在告知时明确说明接收方名称、处理方式、退出机制等。对医疗数据而言，若患者拒绝跨境传输，平台则不得强制。

此外，个保法第四十条规定，处理超出网信部门规定规模的个人信息或关键信息基础设施运营者所收集的国内个人信息应当在中国境内存储，如确需向境外提供，必须通过安全评估。对于医院、基因检测公司这类处理敏感健康数据的主体，往往都落入这条适用范围。这意味着跨国合作要先向网信办提交材料进行安全评估，流程复杂且耗时。

GDPR与个保法在医疗数据跨境传输规则上存在诸多差异，这也给数据处理者带来了挑战。中国更强调政府审批，GDPR侧重企业自主通过SCCs或BCR等方式实现“保护水平等同”，监管不必事前审批；而中国除了签署标准合同，还需在多数情形下向网信办或指定部门做安全评估备案，审慎程度更高。

GDPR并不强制跨境数据每次都需数据主体明示同意（除非走Art.49例外）；个保法则从立法层面把“单独同意”写入核心要求，提高了操作难度。

欧盟并未普遍强制医疗数据本地存储，只有个别成员国在特殊领域可能有此要求；中国则在法条中明确了部分主体本地化的义务，凸显对国家数据安全与个人隐私并重的监管理念。

面对这些差异与挑战，数据处理者可以采取多种应对策略。

a. 多管齐下

医疗科研机构如要与欧盟伙伴共享中国患者样本数据，需先遵守个保法：做安全评估或签署中国标准合同、取得患者单独同意；再符合GDPR对跨境的要求。否则欧盟方也可能被当地DPA阻止。

b. 减少跨境：数据“在地化”

一些国际企业采用分布式或联邦学习技术，将算法“移动”到数据所在国进行训练，而不直接传输原始敏感数据。这样既符合“数据不出境”，又能完成跨境协作。

c. 提早规划审批与备案

出境前需要数月甚至更长时间进行申请、评估和合同审查。若项目涉及紧迫科研，如传染病应急研究，可与监管部门沟通特殊绿色通道，但依然不能绕过最基本的安全管控。