2019.05.14 赵敏 徐念祖
一、前言
人类遗传资源指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA)构建体等遗传材料及相关的信息资料。作为现代医学领域的重要资源,近年来人类遗传资源已逐步应用于科研、临床试验和诊疗活动中,同时其应用也面临着合规监管的要求。
本文从“合规应用”及“数据保护”的角度初步分析中国现行法律制度下人类遗传资源在采集、收集、保藏、使用和转移过程中的合规要求。
二、 人类遗传资源主要法规体系
目前国内尚未有统一规范人类遗传资源的法律,法律制度处于探索和实践阶段,目前主要以行政规定和部门规章(包括地方政府的行政规章)为主。
序号
法规名称
发文单位
生效时间
主要内容
1
中国人类遗传资源管理暂行办法
国务院
1998年6月
我国首部全面管理人类遗传资源的规范性文件。明确规定凡涉及中国人类遗传资源的采集、收集、研发,尤其是国际合作、出境转移等活动,应当取得行政审批。
2
人类遗传资源管理条例(送审稿)
国务院
2016年2月发布(暂未生效)
沿袭《中国人类遗传资源管理暂行办法》的基本原则和主要框架,并在此基础上完善了管理体制和法律责任。
3
人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南
科技部
2015年7月
对我国人类遗传资源采集、收集、出口出境等行为取得行政审批的具体要求、申请流程做出了明确规范和完善。
4
人类遗传资源采集、收集、买卖、出口、出境审批常见问答
科技部
2016年2月
科技部在官网分批次更新涉及人类遗传资源采集、收集、买卖、出口、出境行政审批的常见问题及解答。
5
关于优化人类遗传资源行政审批流程的通知
科技部
2017年12月
为获得相关药品和医疗器械在我国上市许可,而利用我国人类遗传资源开展国际合作临床试验的,在相关申请材料和流程上适用简化的审批程序。
6
关于开展高通量基因测序技术临床应用试点单位申报工作的通知
国家卫计委
2014年3月
开展高通量基因测序项目,应向省级卫计委申请试点,且明确申请试点的项目仅包括:(1)遗传病诊断;(2)产前筛查和产前诊断;(3)植入前胚胎遗传学诊断;(4)肿瘤诊断与治疗。
三、人类遗传资源应用的合规要求
人类遗传资源是研究生命规律,控制重大疾病,推动新药创新,提升人民健康水平的国家战略资源,因此在应用方面国家有特殊的要求,主要包括:
(一) 科技部行政审批
根据《人类遗传资源管理暂行办法》(下称“《暂行办法》”)规定,凡涉及利用我国人类遗传资源开展国际合作和出境的活动均应当获得科技部的行政审批。据此,科技部于1999年开始开展“涉及人类遗传资源的国际合作项目”的行政审批工作。2015年3月,根据工作发展的需要,国务院批准将该项审批的行政许可名称和审批任务变更为“人类遗传资源采集、收集、买卖、出口、出境审批”。并且,科技部在《人类遗传资源采集、收集、买卖、出口、出境审批常见问题》(下称“《常见问题》”)中亦明确,本许可适用于对在中国境内从事的中国人类遗传资源采集、收集、买卖、出口、出境等事项的管理。因此,凡涉及我国人类遗传资源的采集、收集、研究、开发、买卖、出口、出境等活动,均应当取得科技部的行政审批。
实践中,除了出于临床诊疗、采供血(浆)服务、司法鉴定、侦查犯罪、兴奋剂检测和殡葬目的以外,从事涉及中国境内人类资源的上述任何活动都应当取得审批,而不仅限于国际合作项目,也无论相关资源是否出境。但是,根据我们的经验,对于完全属于中资背景的企业或项目,若仅仅以保藏为目的而收集中国人类遗传资源的,无需申请上述行政审批。
为进一步规范和完善审批工作,科技部于2015年7月颁布了《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》(下称“《服务指南》”)。根据该指南,行政审批的程序主要包括申请、受理、技术评审、行政许可办公会会审、决定和签发审批书等环节。
2018年10月,科技部官网集中公布了6件人类遗传资源的行政处罚案件信息,这些案件无一例外都是涉及违规采集、收集、买卖、出口、出境人类遗传资源。其中包括了知名基因公司、医疗机构等未经许可与境外机构开展中国人类遗传资源国际合作研究,并未经许可将部分人类遗传资源信息从网上传递出境,引起社会广泛关注。根据该6个案件的处罚决定书,受到行政处罚的结果包括:(1)警告;(2)没收并销毁违规利用的人类遗传资源材料;(3)暂停涉案单位目前和后续进行的人类遗传资源项目;(4)暂停受理涉案单位有关我国人类遗传资源的项目许可申请;(5)撤销涉案单位有关我国人类遗传资源的行政许可等。
(二) 资源信息及知识产权的归属
1、人类遗传资源信息的“专属持有权”
“专属持有权”是指对人类遗传资源信息专属的组织、协调、控制的相关权利。根据《暂行办法》第17条规定,我国境内的人类遗传资源信息,包括重要遗传家系和特定地区遗传资源及其数据、资料、样本等,我国研究开发机构享有专属持有权,未经许可,不得向其他单位转让。获得上述信息的外方合作单位和个人未经许可不得公开、发表、申请专利或以其他形式向他人披露。
前述规定的目的在于避免中国人类遗传资源的原始信息由外方合作单位控制。因此,凡涉及中外合作项目,监管部门要求人类遗传资源信息原则上须由中方专属控制、使用。实务中,如果中外双方在《合作开发合同》中约定由外方控制、使用人类遗传资源信息,则遗传办对合作项目可能不予批准。但是作为例外,如果另获遗传办的行政审批同意,双方可以约定由中方向外方转让,并由外方控制、使用我国人类遗传资源信息。
2、人类遗传资源知识产权的归属
根据《暂行办法》第19条规定,“中外机构就我国人类遗传资源进行合作研究开发,其知识产权按下列原则处理:(一)合作研究开发成果属于专利保护范围的,应由双方共同申请专利,专利权归双方共有;(二)合作研究开发产生的其他科技成果,其使用权、转让权和利益分享办法由双方通过合作协议约定”。因此,从法律规定角度来说,如果双方在《合作开发合同》中约定合作研究成果由外方专属享有(尤其是专利成果),则可能与法规要求不符,遗传办可能因此对相关合作项目不予批准。但是实践中,通常只要合作各方对研究成果的共享约定是合理且互惠的,各方能够享有合理预期的利益,那么即视为满足前述法律下的知识产权共有要求。
另外,需要说明的是,《暂行办法》第19条规定的“就我国人类遗传资源进行合作研究开发”指围绕人类遗传资源展开合作研究开发而得到成果。如果双方只是利用人类遗传资源进行其他科研合作研究开发,其成果归属很可能不适用《暂行办法》第19条规定,例如药物研发的临床试验过程中使用人类遗传资源而得出的关于药物疗效的研究结果。
四、人类遗传资源的数据保护
随着《网络安全法》和《信息安全技术个人信息安全规范》(“下称《安全规范》”)的实施,人类遗传资源作为重要的个人信息得到更全面的保护和更严格的监管。在某些特殊情形下,相关资源甚至可能被认定为国家秘密,并受国家严格保密管理。医药研发、生产和经营企业应当强化人类遗传资源信息在采集、收集、保藏、使用和转移等应用环节的数据安全保护。
(一) 作为国家秘密的人类遗传资源数据保护
根据《暂行办法》第5条,人类遗传资源及有关信息、资料,属于国家科学技术秘密的,必须遵守《科学技术保密规定》。同时,根据《保守国家秘密法》第9条,科学技术中的秘密事项如涉及国家安全和利益的,可能被确认为“国家秘密”。虽然,我国现行法律法规并未明确规定何种类型的人类遗传资源涉及国家安全和利益。但根据我们的经验,如果相关企业在项目过程中采集、收集或保藏了数量较大、或者特定人群的人类遗传资源,则相关数据被认定为国家秘密的可能性较大。实践中,某一事项是否属于国家秘密一般是由国家保密工作部门或省一级保密工作部门负责鉴定。
如果相关资源数据被认定为“科学技术秘密”或“国家秘密”,则有关企业或单位应当严格遵守保密管理措施,不得向第三方泄露或转移,如数据出境还应履行审批程序。机关、单位违反相关规定,发生重大泄密案件的,由有关机关、单位依法对直接负责的主管人员和其他直接责任人员给予处分;不适用处分的人员,由保密行政管理部门督促其主管部门予以处理。如果情节严重的,甚至可能构成“非法获取国家秘密罪”、“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”等严重刑事责任。
(二) 个人的遗传资源信息的保护
个人的人类遗传资源信息(下称“个人信息”)应属于《安全规范》所定义的“个人敏感信息”中的“个人生物识别信息”。根据相关法规对个人敏感信息收集、保存、使用的规定,对个人遗传资源信息的保护有如下要求:
(1)信息收集。在收集个人信息前,应向个人信息主体明确告知收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、使用范围、收集方式、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的明示同意。
(2)信息保存。网络运营者在中国境内运营中收集和产生的个人信息需要在境内存储。并且,在收集个人信息后,个人信息控制者宜立即进行去标识化处理,并将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续信息处理中不重新识别个人。
(3)信息使用。使用个人信息时,不得超出与收集个人信息时所声称的目的范围;若因业务需要确需超出上述范围进行使用,则应再次征得个人信息主体的明示同意。
(4)信息转让。在收集个人信息后,未经被收集者同意,不得向他人提供个人信息。非因收购、兼并、重组原因转让个人信息时,个人信息控制者应告知转让的目的、转让信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意,且继受相关业务的企业应继续履行相同的信息安全责任。
(5)信息委托处理。对于个人信息控制者(委托者)将个人信息委托他人进行数据分析、数据加工等活动时,委托者作出的委托不得超越已征得个人信息主体授权同意的范围,并且应当对委托行为进行个人信息安全影响评估。同时,受托者应严格按照委托者的要求处理个人信息,不得擅自转委托,并且应协助委托者响应个人信息主体有关个人信息访问、更正、删除等请求。
(6)信息披露限制。根据《安全规范》第8.4条和《互联网个人信息安全保护指南》第6.7条规定,有关企业或单位不得公开披露个人生物识别信息和基因、疾病等个人生理信息,否则应承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任。
(7)信息跨境。根据《个人信息和重要数据出境安全评估办法(征求意见稿)》规定,网络运营者、其他个人和组织在我国境内运营中收集和产生的个人信息向境外提供的,应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。同时,如涉及人口健康数据出境的,网络运营者应报请行业主管或监管部门组织安全评估,否则不得向境外转移。
(8)信息删除。在保存个人信息时,个人信息保存期限应为实现目的所必需的最短时间。超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。同时,个人信息主体注销账户的,应删除其个人信息或做匿名化处理。
五、未来展望
近年来,伴随第二代基因测序技术(NGS)的普及,人类遗传资源在医学领域的应用不断深化,遗传资源应用行为大幅增多,亦带来了遗传资源经济的崛起。在此背景下,我国人类遗传资源领域的法律和监管体系正在逐步完善,企业将面临法规及伦理的多方位监管要求。为此,从事医药研发、生产和经营的相关企业,尤其是在中国开展临床药物研发的跨国企业,应当严格遵守人类遗传资源应用的合规要求,同时密切注意法律法规的变化。