陈际红 韩璐 薛泽涵 王雨婷

前言

“新冠疫情”的持续影响，一方面催生、加速健康医疗企业的数字化、智能化转型，另一方面，提升各界对健康医疗企业的关注，健康医疗行业也成为资本竞逐、技术突破的热点领域。近些年来，健康医疗企业逐步成为国内主板、创业板、科创板等板块“上市大军”的主力。在此过程中，随着《网络安全法》及其配套法规的体系完善，《个人信息保护法》、《数据安全法》等数据保护领域顶层立法设计草案的发布，相关执法机构数据合规监管行动频密化发展，国内数据合规立法、执法要求趋严，健康医疗数据合规及数据安全，正成为相关评审机构在企业上市评估及问询过程中的重点关注话题。如何积极应对数据合规审查，成为待上市健康医疗企业的一大挑战。

与此同时，伴随互联网医疗的快速发展及国家对应立法机制的完善，各地关于互联网医院准入、互联网医疗管理、执业规范等要求正在不断建立及完善，例如，北京市卫健委、北京市中医管理局于2021年2月24日印发的《关于北京市互联网医院许可管理有关工作的通知》。如何应对趋严的互联网医疗准入及管理要求，也成为互联网健康医疗企业日常运营的重要合规事项。

为更好服务健康医疗企业，尤其是待上市企业的数据合规落地工作，本篇将具体介绍健康医疗企业IPO数据合规审查相关重点及应对建议。相关建议以《网络安全法》及其配套法规为代表的现行有效的数据合规体系的明确要求为基础，结合医疗专业领域数据合规特殊要求而提出。需特别注意的是，鉴于2020年部分问询案例出现以《数据安全法（草案）》等未生效法律法规作为评审依据的情形 [1]，相关建议将充分考虑《个人信息保护法》《数据安全法》等尚未正式生效但对数据合规工作产生显著影响的草案版本的合规要求。

此外，近期发布并将于2021年7月1日生效的《健康医疗数据安全指南》，为健康医疗数据全生命周期管理提供详细的合规指引，其将作为本篇建议的主要标准来源。

一

健康医疗企业上市数据合规审查重点

基于我们对公开材料的梳理，数十家企业在上市审核过程中受到数据合规相关问题的询问。其中，健康医疗领域目前有一家科创板上市公司、四家创业板上市公司（含仍处于上市审核阶段的公司），在问询阶段被直接要求回复与数据合规相关的问题。具体公司及相关情况如下表所示：

点击图片查看大图

基于上述公司的招股说明书、审查反馈意见、问询函、发审委会议审核公告等文件，同时结合笔者在之前、、一文中梳理的“企业上市须应对的数据合规重点问题”的分类方式，我们针对上述公司涉及的数据合规问题进行梳理，以期全面展现拟上市健康医疗企业将面临的数据合规问询。

点击图片查看大图

整体而言，“数据源合规”及“数据安全”系上市评审机构所重点关注的数据合规问题。“数据源合规”包括数据源获取渠道及其合规性评价，这要求待上市企业前期对公司底层所有数据资产进行完整梳理，实现数据字段的溯源盘点案例化解析医疗机构场景下的数据合规和个人信息保护要点，保证既有数据及新增数据获取的合法合规性。“数据安全”主要关注数据合规制度管理建设及技术保障措施落实情况，这要求待上市企业搭建完善的数据合规管理制度体系，并搭配必要的技术保障措施。

二

健康医疗企业上市数据合规开展建议

健康医疗数据全生命周期管理，覆盖数据收集、存储、使用、内部管理、对外提供等环节。下文将根据上市数据合规审查重点问题分类方式，糅合数据全生命周期管理要求，为待上市企业提供直观应对建议。

（一） 数据源合规

1．基本要求梳理

2．具体场景分析

在健康医疗企业实际业务场景中，数据源渠道呈现多样化特征。数据源合法合规性保障需结合各具体场景进行分析及落实。

点击图片查看大图

（二）数据权属

1．基本要求梳理

针对现有部分案例涉及数据权属的问询情形，我们理解，评审机构主要关注点在于，数据权属问题存在瑕疵，可能会影响后续数据处理一系列行为的合法性、有效性，包括衍生数据成果的归属等。

另一方面，鉴于数据可能隐含数据处理主体的商业秘密、商标、版权等信息，数据权属可能覆盖相关知识产权。目前国内相关知识产权法规明确，在不违反相关法律法规的前提下，尊重各相关方对特定知识成果的权属约定。

2．具体场景分析