《人类遗传资源管理条例实施细则(征求意见稿)》要点解读
走出去智库官方账号
走出去智库观察
3月22日,科技部发布《人类遗传资源管理条例实施细则(征求意见稿)》(下称“《征求意见稿》”),征求意见截止时间2022年4月21日。《征求意见稿》在管理体制、资源采集及保藏、安全审查等方面都提出了相关规定,并明确规定了人类遗传资源包括人类遗传资源材料和人类遗传资源信息。
走出去智库(CGGT)特约法律专家、金杜律师事务所顾问李佳指出,2021年4月15日起我国正式实施的《生物安全法》,对人类遗传资源的监管正式提高到了法律层面,此次科技部发布的《征求意见稿》中,对外方单位的判断、人类遗传资源信息的处理以及人类遗传资源信息出境的安全审查等规则进行了进一步细化。其中,特别是对外提供人类遗传资源信息,还需遵守《网络安全法》、《数据安全法》以及《个人信息保护法》等法律法规下个人信息和重要数据出境的法律要求。
《征求意见稿》有哪些重点?对于企业合规工作来说有什么启示?今天,走出去智库(CGGT)刊发金杜律师事务所李佳、王薇、唐瑞修的分析文章,供关注人类遗传资源管理的读者参阅。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、进一步明确外方单位的认定标准。《生物安全法》和《人类遗传资源管理条例》均规定,境外组织、个人及其设立或者实际控制的机构(也即“外方单位”)不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。《征求意见稿》针对外方单位定义中的“实际控制”一词,通过情形列举加兜底的方式做出了规定,进而明确了外方单位的认定标准。
2、突出强调向境外传输人类遗传资源相关数据需履行多部法律项下要求。不仅需要按《生物安全法》等规定向科技部进行备案,并且,由于人类遗传资源信息与《网络安全法》、《数据安全法》以及《个人信息保护法》项下的“重要数据”和“个人信息”等概念存在部分重叠,因此对外提供人类遗传资源信息,还需遵守该等法律法规下个人信息和重要数据出境的相关要求。
3、进一步细化了人类遗传资源信息相关的安全审查制度。根据《人类遗传资源管理条例》,将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。《征求意见稿》在此基础上采取列举加兜底的方式,对“可能影响我国公众健康、国家安全和社会公共利益”的需要接受安全审查的情形作出了进一步具体解释,并且在安全审查评估程序中引入了专家评估的流程。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/李佳、王薇、唐瑞修
金杜律师事务所
我国对于人类遗传资源的管理,始于中国人类遗传资源管理办公室1998年颁布的《人类遗传资源管理暂行办法》。之后,《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》和《中华人民共和国人类遗传资源管理条例》(下称“《管理条例》”)于2015年和2019年陆续颁布,对人类遗传资源的采集、保藏、利用和对外提供作出了更明确的要求,相关行为的审批流程也得到了进一步规范和完善。而2021年4月15日起正式实施的《生物安全法》,在强调人类遗传资源安全重要性的同时,将对人类遗传资源的监管正式提高到了法律层面。
从上述规定的制定与发布不难看出,我国正不断强化对人类遗传资源的管理力度。而在2022年3月22日由科技部发布的《人类遗传资源管理条例实施细则(征求意见稿)》(下称“《征求意见稿》”)中,外方单位的判断、人类遗传资源信息的处理以及人类遗传资源信息出境的安全审查等规则得到了进一步细化。本文将结合《征求意见稿》的最新规定,对实务中广受关注的要点和疑难问题进行解读,供广大企业参考。
01、外方单位如何认定?
《生物安全法》和《管理条例》均规定,境外组织、个人及其设立或者实际控制的机构(也即“外方单位”)不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。据此,如果企业被认定为外方单位,其在我国可开展相关业务范围将会受到严格限制。
但是,上述两个法规中并没有规定“实际控制”的具体判断标准,导致实务中企业对“外方单位”进行自主判断相对困难。据我们非正式了解,此前实践中监管部门对于外方单位的执法尺度倾向于较为严格,除了外商投资企业以外,境外组织或个人间接持股(例如,外商投资企业境内再投资的企业),或者境外组织或个人通过VIE架构协议控制的企业,也可能会被认定为属于外方单位。
而本次《征求意见稿》在重申外方单位在人类遗传资源处理方面的禁止行为的同时,对“实际控制”的判断标准问题通过情形列举加兜底的方式作出了回应。《征求意见稿》第12条规定:
“外方单位是指境外组织及境外组织、个人设立或者实际控制的机构。
上述所称实际控制包括下列情形:
·境外组织、个人持有或者间接持有机构百分之五十以上的股份、股权、表决权、财产份额或者其他类似权益;
·境外组织、个人持有或者间接持有机构的股份、股权、表决权、财产份额或者其他类似权益虽然未达到百分之五十,但其所享有的决策机构表决权或其他权益足以对该机构的决议或对该机构的决策、内部管理产生重大影响;
·境外组织、个人通过协议或者其他安排,足以对机构的决策、经营管理等重大事项施加重大影响;
·科技部认定的其他情形。
据此可以了解,在人类遗传资源监管领域,“实际控制”参考了《公司法》对“控股股东”和“实际控制人”[1]的定义,其判断采取的是“多数股权+实际决策控制能力”的标准。由此可见,通过VIE架构协议控制的企业被明确列入了监管范围。
相比《外商投资法》对“外商投资”采取的“外国投资者直接或者间接在中国境内进行的投资活动”[2]的判断标准,《征求意见稿》实际上对“外方单位”的范围进行了限缩,并非所有的外商投资企业都将被禁止从事人类遗传资源的处理。按照《征求意见稿》的规定,对于无法对企业的决策、内部管理产生重大影响的,且持股未达50%的境外组织、个人而言,其很有可能不会被认定为外方单位。
值得注意的是,“实际控制”的判断标准与《经营者集中审查暂行规定》第4条所列举的“控制权”[3]的判断因素存在近似。我们理解,这体现了不同部门之间以及不同监管领域之间执法协同化的趋势。今后《征求意见稿》是否还会进行进一步调整,以及其将会如何落地实施,值得关注。
02、向境外传输人类遗传资源相关数据需要履行什么手续?
1.人类遗传资源信息的出境需要向科技部进行备案
《征求意见稿》第30条规定,“将人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向科技部指定的信息备份机构提交信息备份并向科技部备案”,对《生物安全法》第57条和《管理条例》第28条第2款的相关内容进行了重申。因此,在对外提供人类遗传资源信息前需要履行相应的数据备份手续。
而关于“人类遗传资源信息”的界定,《征求意见稿》第2条规定:“人类遗传资源信息是指利用人类遗传资源材料产生的人类基因、基因组数据等信息资料”。相较《生物安全法》第85条第(八)项、《管理条例》第2条中“利用人类遗传资源材料产生的数据等信息资料”的定义,《征求意见稿》对人类遗传资源信息的范围进行了限缩,仅限于涉及人类基因、基因组的数据等信息材料。这也与此前科技部于2022年3月4日更新的《人类遗传资源管理常见问题解答》中“仅收集不含人类遗传资源信息的数据,不在人类遗传资源管理范围”的见解一致。对此,企业应当密切关注《人类遗传资源管理条例实施细则》的立法进程,及时确认哪些数据构成“人类遗传资源信息”,并在对外提供相关数据时履行相应备份手续。
另外,需要注意的是,《征求意见稿》新增了关于人类遗传资源信息备案变更的要求,即第67条规定:“已备案的对外提供或开放使用人类遗传资源信息用途变化等重大事项变更,合作方应及时终止备案记录、上传总结报告,并根据重大事项变更情况进行备案变更”,但没有对“重大事项变更”作出进一步解释。因此,何种情形下需要进行信息备案变更,仍待相关规定进一步予以明确。
2.人类遗传资源信息出境还需遵守个人信息或重要数据出境的法律要求
我们注意到,《征求意见稿》第1条中将《数据安全法》列为其制定依据之一。并且,《管理条例》第9条和《征求意见稿》第9条均规定了尊重人类遗传资源提供者的隐私权并就人类遗传资源的处理应取得事先知情同意的要求。该等规定实际上体现了人类遗传资源信息与《网络安全法》《数据安全法》以及《个人信息保护法》项下的“重要数据”和“个人信息”等概念存在部分重叠,因此对外提供人类遗传资源信息还需遵守该等法律法规下个人信息和重要数据出境的法律要求。
首先,人类遗传资源信息如能识别到特定个人,则属于“个人信息”。《个人信息保护法》第28条针对敏感个人信息所列举的几种示例中,包括了生物识别、医疗健康等信息;而参考国家推荐性标准《信息安全技术 个人信息安全规范》附录A,“个人基因”被列入“个人生物识别信息”,也就是说,个人基因或基因组数据将会落入个人敏感信息的范畴。因此,在向境外提供人类遗传资源信息时,除了符合人类遗传资源相关的监管要求,还需符合《个人信息保护法》关于敏感个人信息处理以及个人信息出境的相关规定。具体包括:应“具有特定的目的和充分的必要性,并采取严格保护措施”的要求,应事先征得个人的单独同意,应满足法定出境要件之一(例如,通过国家网信部门组织的出境安全评估),等等。就对外提供个人信息的出境安全评估的具体要求,《个人信息出境安全评估办法》也在制定过程中,值得持续关注。可以预见,未来向境外提供人类遗传资源信息时,不仅需要向科技部进行备案,可能还需履行个人信息出境安全评估手续。
其次,人类遗传资源信息还可能构成《数据安全法》第21条规定的重要数据,甚至是“关系国家安全、国民经济命脉、重要民生、重大公共利益等”的国家核心数据。参考正在制订中的国家标准《信息安全技术 重要数据识别指南》的征求意见稿,“反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据”。因此,向境外提供人类遗传资源信息的主体,还应遵守《数据安全法》第31条并参照《数据出境安全评估办法(征求意见稿)》第4条等相关法规的规定,应当依法向国家网信部门申报并通过数据出境的安全评估。
此外,涉及人类遗传资源信息处理的企业大多处于医疗、食品药品或生物科学等行业,可能会根据《关键信息基础设施安全保护条例》而被认定为“关键信息基础设施运营者”[4]。而对于关键信息基础设施运营者,无论是《个人信息保护法》《网络安全法》还是《数据安全法》,都规定了非常严格的监管要求。例如,均要求关键信息基础设施运营者将个人信息和重要数据存储在中国境内,确因业务需要而向境外提供时,需事先通过主管部门组织的安全评估,等等。
03、《征求意见稿》对安全审查制度进行了哪些规定和调整?
《生物安全法》在第20条中将生物安全审查制度作为生物安全风险防控体制的一项重要制度,规定国家“对影响或者可能影响国家安全的生物领域重大事项和活动,由国务院有关部门进行生物安全审查,有效防范和化解生物安全风险”,但其规定较为概括。而具体的人类遗传资源信息的安全审查制度初见于《管理条例》第28条。根据该条,将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。
《征求意见稿》第48条再次强调了该制度。同时,《征求意见稿》第49条采取列举加兜底的方式,对“可能影响我国公众健康、国家安全和社会公共利益”的情形作出了进一步解释,其规定:“安全审查的情形包括对外提供或者开放使用以下信息:(一)重要遗传家系的人类遗传资源信息;(二)特定地区的人类遗传资源信息;(三)500人以上人群的外显子组测序、基因组测序信息资源;(四)可能影响我国公众健康、国家安全和社会公共利益的其他信息。”
此外,《征求意见稿》第50条规定:“科技部会同相关部门制定安全审查原则,组织相关领域专家进行安全审查评估,并根据专家安全审查评估意见做出决定”,将专家引入安全审查评估中,使得评估的科学性和合理性有了进一步提升。
《征求意见稿》目前只对需要接受安全审查的情形作出了具体规定。就安全审查的具体程序,今后科技部是否会参照外商投资领域的安全审查办法等,作出进一步细化规定,值得关注和期待。
04、开展哪些人类遗传资源的国际合作科学研究需要备案?
《管理条例》第22条第2款规定:“为获得相关药品和医疗器械在我国上市许可,在临床机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源材料出境的,不需要审批。但是,合作双方在开展临床试验前应当将拟使用的人类遗传资源种类、数量及其用途向国务院科学技术行政部门备案”。
对此,《征求意见稿》第41条将需要备案的内容明确规定为:“合作各方、拟使用的人类遗传资源种类、数量及其用途等”,并将需要备案的情况细化至:“(一)所涉及的人类遗传资源采集、检测、分析和剩余样本处理等在临床机构内进行的;(二)所涉及的人类遗传资源在临床机构内采集,并由相关药品和医疗器械上市许可临床试验的临床试验方案指定的境内单位进行检测、分析和剩余样本处理的”。
此外,《征求意见稿》第41条还将探索性研究与普通的临床研究进行了区分,规定前者应申请国际合作科学研究行政许可。
05、国际合作科学研究变更审批手续应如何办理?
《管理条例》第23条规定:“在利用我国人类遗传资源开展国际合作科学研究过程中,合作方、研究目的、研究内容、合作期限等重大事项发生变更的,应当办理变更审批手续”。
在《征求意见稿》中, “重大事项发生变更”的相关情形得到了明确。其第61条规定:“在利用我国人类遗传资源开展国际合作科学研究活动中,应当向科技部申请变更许可的情形包括:(一)申办方、组长单位、合同研究组织、第三方实验室发生变更的;(二)研究目的发生变更的;(三)研究内容发生变更的;(四)合作期限等重大事项发生变更的”,同时要求“重大变更申请应在变更实施前1个月进行申报”,对变更审批手续进行了完善。
另外,《征求意见稿》第62条规定了属于国际合作许可的非重大变更的几种情形[5],并且规定非重大变更无需申请变更许可,“但应向科技部提交相应材料作出说明和进行报备”。就此,系本次《征求意见稿》新增的制度,故需要特别注意。
06、需经批准的人类遗传资源采集对象有哪些?
关于需经批准的人类遗传资源采集对象,《管理条例》第11条规定“重要遗传家系、特定地区人类遗传资源或者采集国务院科学技术行政部门规定种类、数量的人类遗传资源”。
就此,《征求意见稿》进行了细化。根据《征求意见稿》第31条,“重要遗传家系”是指 “患有遗传性疾病或具有遗传性特殊体质或生理特征的有血缘关系的群体,患病家系或具有遗传性特殊体质或生理特征成员涉及三代以上(含三代)”,且“高血压、糖尿病等常见多基因疾病的人类遗传资源采集不在此列”;“特定地区人类遗传资源”则是指“在隔离或特殊环境下长期生活,并具有特殊体质特征或在生理特征方面有适应性性状发生的人群遗传资源”,且“特定地区不以是否为少数民族聚居区为划分依据”。此两点规定与科技部之前发布的《中国人类遗传资源采集审批行政许可事项服务指南》(下称“《指南》”)基本一致。
另外,对于“国务院科学技术行政部门规定种类、数量”,《征求意见稿》第31条规定“用于大规模人群研究3000例以上的采集活动”作为需要审批的对象。我们注意到,《指南》中,“规定数量”为“累计500人以上”。可见,《征求意见稿》实际上提高了需要提交审批的人类遗传资源采集对象的门槛。
结语
本次《征求意见稿》的公布,使得人类遗传资源监管体系更加具体,相关制度可执行性变得更强。对于企业而言,应当参考《征求意见稿》的内容并关注今后《人类遗传资源管理条例实施细则》的立法和执法动态,及时调整自身的相关应对措施,加强以人类遗传资源为代表的生物安全领域的合规建设,未雨绸缪。
来源:金杜研究院
脚注:
[1] 《公司法》第216条:……(二)控股股东,是指其出资额占有限责任公司资本总额百分之五十以上或者其持有的股份占股份有限公司股本总额百分之五十以上的股东;出资额或者持有股份的比例虽然不足百分之五十,但依其出资额或者持有的股份所享有的表决权已足以对股东会、股东大会的决议产生重大影响的股东。(三)实际控制人,是指虽不是公司的股东,但通过投资关系、协议或者其他安排,能够实际支配公司行为的人。……
[2] 《外商投资法》第2条第2款、第3款:本法所称外商投资,是指外国的自然人、企业或者其他组织(以下称外国投资者)直接或者间接在中国境内进行的投资活动,包括下列情形:
