陳際紅 韓璐 薛澤涵 王雨婷
前言
“新冠疫情”的持續(xù)影響,一方面催生、加速健康醫(yī)療企業(yè)的數(shù)字化�、智能化轉(zhuǎn)型�,另一方面,提升各界對健康醫(yī)療企業(yè)的關注��,健康醫(yī)療行業(yè)也成為資本競逐�、技術突破的熱點領域。近些年來����,健康醫(yī)療企業(yè)逐步成為國內(nèi)主板、創(chuàng)業(yè)板����、科創(chuàng)板等板塊“上市大軍”的主力��。在此過程中��,隨著《網(wǎng)絡安全法》及其配套法規(guī)的體系完善,《個人信息保護法》�、《數(shù)據(jù)安全法》等數(shù)據(jù)保護領域頂層立法設計草案的發(fā)布,相關執(zhí)法機構(gòu)數(shù)據(jù)合規(guī)監(jiān)管行動頻密化發(fā)展�,國內(nèi)數(shù)據(jù)合規(guī)立法、執(zhí)法要求趨嚴�,健康醫(yī)療數(shù)據(jù)合規(guī)及數(shù)據(jù)安全,正成為相關評審機構(gòu)在企業(yè)上市評估及問詢過程中的重點關注話題��。如何積極應對數(shù)據(jù)合規(guī)審查��,成為待上市健康醫(yī)療企業(yè)的一大挑戰(zhàn)����。
與此同時,伴隨互聯(lián)網(wǎng)醫(yī)療的快速發(fā)展及國家對應立法機制的完善�,各地關于互聯(lián)網(wǎng)醫(yī)院準入、互聯(lián)網(wǎng)醫(yī)療管理�、執(zhí)業(yè)規(guī)范等要求正在不斷建立及完善,例如�,北京市衛(wèi)健委、北京市中醫(yī)管理局于2021年2月24日印發(fā)的《關于北京市互聯(lián)網(wǎng)醫(yī)院許可管理有關工作的通知》��。如何應對趨嚴的互聯(lián)網(wǎng)醫(yī)療準入及管理要求����,也成為互聯(lián)網(wǎng)健康醫(yī)療企業(yè)日常運營的重要合規(guī)事項�。
為更好服務健康醫(yī)療企業(yè)����,尤其是待上市企業(yè)的數(shù)據(jù)合規(guī)落地工作,本篇將具體介紹健康醫(yī)療企業(yè)IPO數(shù)據(jù)合規(guī)審查相關重點及應對建議�。相關建議以《網(wǎng)絡安全法》及其配套法規(guī)為代表的現(xiàn)行有效的數(shù)據(jù)合規(guī)體系的明確要求為基礎,結(jié)合醫(yī)療專業(yè)領域數(shù)據(jù)合規(guī)特殊要求而提出����。需特別注意的是,鑒于2020年部分問詢案例出現(xiàn)以《數(shù)據(jù)安全法(草案)》等未生效法律法規(guī)作為評審依據(jù)的情形 [1]�,相關建議將充分考慮《個人信息保護法》《數(shù)據(jù)安全法》等尚未正式生效但對數(shù)據(jù)合規(guī)工作產(chǎn)生顯著影響的草案版本的合規(guī)要求。
此外����,近期發(fā)布并將于2021年7月1日生效的《健康醫(yī)療數(shù)據(jù)安全指南》,為健康醫(yī)療數(shù)據(jù)全生命周期管理提供詳細的合規(guī)指引�,其將作為本篇建議的主要標準來源。
一
健康醫(yī)療企業(yè)上市數(shù)據(jù)合規(guī)審查重點
基于我們對公開材料的梳理����,數(shù)十家企業(yè)在上市審核過程中受到數(shù)據(jù)合規(guī)相關問題的詢問。其中�,健康醫(yī)療領域目前有一家科創(chuàng)板上市公司、四家創(chuàng)業(yè)板上市公司(含仍處于上市審核階段的公司)�,在問詢階段被直接要求回復與數(shù)據(jù)合規(guī)相關的問題。具體公司及相關情況如下表所示:
點擊圖片查看大圖
基于上述公司的招股說明書����、審查反饋意見、問詢函����、發(fā)審委會議審核公告等文件,同時結(jié)合筆者在之前��、��、一文中梳理的“企業(yè)上市須應對的數(shù)據(jù)合規(guī)重點問題”的分類方式�,我們針對上述公司涉及的數(shù)據(jù)合規(guī)問題進行梳理,以期全面展現(xiàn)擬上市健康醫(yī)療企業(yè)將面臨的數(shù)據(jù)合規(guī)問詢����。
點擊圖片查看大圖
整體而言,“數(shù)據(jù)源合規(guī)”及“數(shù)據(jù)安全”系上市評審機構(gòu)所重點關注的數(shù)據(jù)合規(guī)問題��?�!皵?shù)據(jù)源合規(guī)”包括數(shù)據(jù)源獲取渠道及其合規(guī)性評價�,這要求待上市企業(yè)前期對公司底層所有數(shù)據(jù)資產(chǎn)進行完整梳理,實現(xiàn)數(shù)據(jù)字段的溯源盤點案例化解析醫(yī)療機構(gòu)場景下的數(shù)據(jù)合規(guī)和個人信息保護要點��,保證既有數(shù)據(jù)及新增數(shù)據(jù)獲取的合法合規(guī)性?�!皵?shù)據(jù)安全”主要關注數(shù)據(jù)合規(guī)制度管理建設及技術保障措施落實情況�,這要求待上市企業(yè)搭建完善的數(shù)據(jù)合規(guī)管理制度體系,并搭配必要的技術保障措施�。
二
健康醫(yī)療企業(yè)上市數(shù)據(jù)合規(guī)開展建議
健康醫(yī)療數(shù)據(jù)全生命周期管理,覆蓋數(shù)據(jù)收集��、存儲�、使用、內(nèi)部管理�、對外提供等環(huán)節(jié)。下文將根據(jù)上市數(shù)據(jù)合規(guī)審查重點問題分類方式��,糅合數(shù)據(jù)全生命周期管理要求��,為待上市企業(yè)提供直觀應對建議��。
(一) 數(shù)據(jù)源合規(guī)
1.基本要求梳理
2.具體場景分析
在健康醫(yī)療企業(yè)實際業(yè)務場景中����,數(shù)據(jù)源渠道呈現(xiàn)多樣化特征。數(shù)據(jù)源合法合規(guī)性保障需結(jié)合各具體場景進行分析及落實�。
點擊圖片查看大圖
(二)數(shù)據(jù)權屬
1.基本要求梳理
針對現(xiàn)有部分案例涉及數(shù)據(jù)權屬的問詢情形,我們理解��,評審機構(gòu)主要關注點在于,數(shù)據(jù)權屬問題存在瑕疵����,可能會影響后續(xù)數(shù)據(jù)處理一系列行為的合法性�、有效性,包括衍生數(shù)據(jù)成果的歸屬等�。
另一方面,鑒于數(shù)據(jù)可能隱含數(shù)據(jù)處理主體的商業(yè)秘密�、商標、版權等信息��,數(shù)據(jù)權屬可能覆蓋相關知識產(chǎn)權��。目前國內(nèi)相關知識產(chǎn)權法規(guī)明確��,在不違反相關法律法規(guī)的前提下��,尊重各相關方對特定知識成果的權屬約定��。
2.具體場景分析
