陳永怡 孟彥辰

【摘要】 跨境遠(yuǎn)程醫(yī)療、藥品和疫苗臨床試驗(yàn)的國(guó)際合作、跨境學(xué)術(shù)研討與臨床研究等業(yè)務(wù)的發(fā)展使健康醫(yī)療數(shù)據(jù)跨境流動(dòng)已成為不可逆趨勢(shì)。健康數(shù)據(jù)跨境流動(dòng)規(guī)則需要在維護(hù)國(guó)家衛(wèi)生安全、保護(hù)公民隱私以及促進(jìn)健康產(chǎn)業(yè)發(fā)展等目標(biāo)和政策之間尋求平衡。本文運(yùn)用文獻(xiàn)研究、比較分析等方法，對(duì)澳大利亞健康醫(yī)療數(shù)據(jù)跨境的立法規(guī)制與監(jiān)管機(jī)制進(jìn)行研究。研究結(jié)果顯示，澳大利亞高度重視健康醫(yī)療數(shù)據(jù)的保護(hù)，通過(guò)設(shè)立專(zhuān)門(mén)機(jī)構(gòu)和系統(tǒng)的立法，對(duì)可識(shí)別個(gè)人的健康數(shù)據(jù)的跨境流動(dòng)進(jìn)行嚴(yán)格監(jiān)管。我國(guó)應(yīng)構(gòu)建科學(xué)、完整、嚴(yán)密的健康數(shù)據(jù)保護(hù)、跨境流動(dòng)的法律與政策體系，將法律法規(guī)與政策指南有機(jī)結(jié)合、配套實(shí)施；完善健康醫(yī)療數(shù)據(jù)出境標(biāo)準(zhǔn)合同條款，發(fā)揮標(biāo)準(zhǔn)合同監(jiān)管功能；積極利用現(xiàn)有健康數(shù)據(jù)的分級(jí)分類(lèi)，構(gòu)建靈活多樣的健康數(shù)據(jù)出境規(guī)制模式；加強(qiáng)與“一帶一路”沿線國(guó)家，尤其是東盟成員國(guó)在健康數(shù)據(jù)跨境流動(dòng)領(lǐng)域的交流和合作。

【關(guān)鍵詞】 數(shù)據(jù)管理；健康醫(yī)療數(shù)據(jù)；跨境流動(dòng)；分級(jí)分類(lèi)；數(shù)據(jù)安全；風(fēng)險(xiǎn)控制

【中圖分類(lèi)號(hào)】 R 197.3 【文獻(xiàn)標(biāo)識(shí)碼】 A DOI：10.12114/j.issn.1007-9572.2023.0314

Legal Regulation of Cross-border Flow of Health Data in Australia and Its Implications for China

CHEN Yongyi，MENG Yanchen*

School of Medical Humanities，Capital Medical University，Beijing 100069，China

*Corresponding author：MENG Yanchen，Associate professor；E-mail：myanchen@ccmu.edu.cn

【Abstract】 With the development of cross-border telemedicine，international cooperation in clinical trials of drugs and vaccines，cross-border academic discussions and clinical research，cross-border flow of health and medical data has become an irreversible trend. Rules for cross-border flow of health data require doing a balance among the objectives and policies of maintaining national health security，protecting citizens' privacy，and promoting the development of health industry. This paper uses literature research，comparative analysis and other methods to study the legislative regulation and regulatory mechanism of cross-border health data in Australia. The study's findings reveal that Australia prioritizes health data security，enforcing stringent oversight on the cross-border movement of personally identifiable health data through dedicated agencies and comprehensive legislation. China should build a scientific，complete and strict legal and policy system for health data protection and cross-border flow，and organically combine and implement laws and regulations with policy guidelines；improve the terms of standard contract for health data exit and play the function of the standard contract for regulation；actively use the existing hierarchical classification of health data to build a flexible and diverse health data exit regulation model；and strengthen exchanges and cooperation with countries along the "Belt and Road"，especially ASEAN member countries，in the field of cross-border health data flow.

【Key words】 Data management；Health data；Cross-border flow；Hierarchical classification；Data security；Risk control

健康醫(yī)療數(shù)據(jù)是一個(gè)廣義的概念，包括個(gè)人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)、公共衛(wèi)生信息等［1］，從臨床與健康管理、新藥與醫(yī)療裝備研發(fā)，到疾病預(yù)防與公共衛(wèi)生服務(wù)等領(lǐng)域，健康醫(yī)療數(shù)據(jù)的收集、使用、跨境流動(dòng)的種類(lèi)與規(guī)模比以往任何時(shí)候都更加廣泛［2］?？缇硵?shù)據(jù)流動(dòng)也被譯為“跨境數(shù)據(jù)轉(zhuǎn)移”“數(shù)據(jù)跨境傳輸”等，是指跨越國(guó)家或地區(qū)的個(gè)人數(shù)據(jù)或非個(gè)人數(shù)據(jù)的傳輸、存儲(chǔ)和應(yīng)用等。還有一種觀點(diǎn)認(rèn)為數(shù)據(jù)雖未跨越國(guó)境卻可以被第三國(guó)經(jīng)濟(jì)或非經(jīng)濟(jì)主體訪問(wèn)，屬于“跨境數(shù)據(jù)流動(dòng)”［3］。

新型冠狀病毒感染疫情發(fā)生以來(lái)，跨境遠(yuǎn)程醫(yī)療、藥品和疫苗臨床試驗(yàn)國(guó)際合作、跨境學(xué)術(shù)研討與臨床研究、進(jìn)口醫(yī)療器械設(shè)備維修使得包含患者個(gè)人信息、健康狀況數(shù)據(jù)、臨床影像數(shù)據(jù)、人類(lèi)遺傳資源健康醫(yī)療數(shù)據(jù)大量跨境流動(dòng)。2020年國(guó)內(nèi)基因數(shù)據(jù)通過(guò)網(wǎng)絡(luò)出境717萬(wàn)余次，流向境外170個(gè)國(guó)家和地區(qū)，其中流向美國(guó)273萬(wàn)余次；境內(nèi)醫(yī)學(xué)影像數(shù)據(jù)通過(guò)網(wǎng)絡(luò)出境497萬(wàn)余次，流向境外128個(gè)國(guó)家和地區(qū)，其中未脫敏醫(yī)學(xué)影像數(shù)據(jù)出境近40萬(wàn)次［4］。在此過(guò)程中，如果缺乏有效的法律約束機(jī)制，極易對(duì)個(gè)人的人格尊嚴(yán)和生命健康造成損害，甚至?xí)绊懙絿?guó)家對(duì)突發(fā)公共衛(wèi)生事件的處理，威脅國(guó)家的主權(quán)和衛(wèi)生安全，例如基因數(shù)據(jù)、遺傳資源信息、群體醫(yī)療疾病防治統(tǒng)計(jì)數(shù)據(jù)等涉及生物安全領(lǐng)域的高風(fēng)險(xiǎn)健康醫(yī)療數(shù)據(jù)一旦被泄露，有可能遭到他國(guó)惡意利用，進(jìn)行針對(duì)我國(guó)特定群體的生化武器研發(fā)。近年來(lái)我國(guó)愈發(fā)重視生物安全，2020年2月14日習(xí)近平總書(shū)記提出把生物安全納入國(guó)家安全體系，《中華人民共和國(guó)生物安全法》［5］也已經(jīng)于2021年4月15日正式施行。在此背景下，研究健康醫(yī)療數(shù)據(jù)跨境流動(dòng)的法律規(guī)制、更好地保障跨境數(shù)據(jù)安全具有十分重要的意義。

目前學(xué)界有關(guān)數(shù)據(jù)跨境流動(dòng)制度的研究大多集中于歐美模式的比較。澳大利亞在個(gè)人數(shù)據(jù)跨境流動(dòng)立法方面是較為中立的國(guó)家，既遵循經(jīng)濟(jì)合作與發(fā)展組織（Organisation for Economic Co-operation and Development，OECD）《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》（Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data）［6］和亞太經(jīng)合組織（Asia-Pacific Economic Cooperation，APEC）《隱私框架》（APEC Privacy Framework）［7］的原則，也較為符合歐盟認(rèn)可的數(shù)據(jù)跨境流動(dòng)標(biāo)準(zhǔn)［8］，有其獨(dú)到的經(jīng)驗(yàn)。澳大利亞高度重視健康醫(yī)療數(shù)據(jù)的發(fā)展和應(yīng)用，在聯(lián)邦和州兩級(jí)構(gòu)建了由《隱私法》（Privacy Act）［9］、《我的健康檔案法》（My Health Records Act）［10］等多部法律法規(guī)組成的健全的法律體系，對(duì)健康數(shù)據(jù)的跨境流動(dòng)規(guī)定了嚴(yán)格的適用條件。本文以澳大利亞健康醫(yī)療數(shù)據(jù)的法律規(guī)制為研究對(duì)象，全面系統(tǒng)地介紹了澳大利亞國(guó)內(nèi)對(duì)健康數(shù)據(jù)管理的監(jiān)管體系和法律制度，以期為我國(guó)構(gòu)建和完善健康醫(yī)療數(shù)據(jù)的跨境流動(dòng)制度提供理念的啟迪與具體制度的借鑒。

1 健康醫(yī)療數(shù)據(jù)跨境流動(dòng)法律規(guī)制的理論基礎(chǔ)

數(shù)據(jù)跨境流動(dòng)具有不同的法理基礎(chǔ)，當(dāng)前最重要的兩種觀點(diǎn)就是數(shù)據(jù)自由貿(mào)易理論和數(shù)據(jù)人權(quán)理論，其具有一定的合理性，同時(shí)也存在一些問(wèn)題［11］。

數(shù)據(jù)自由貿(mào)易理論將數(shù)據(jù)跨境自由流動(dòng)視為自由貿(mào)易的一部分，并將各國(guó)數(shù)據(jù)保護(hù)的不同標(biāo)準(zhǔn)視為對(duì)數(shù)據(jù)自由流動(dòng)的挑戰(zhàn)。美國(guó)是持這一觀點(diǎn)的主要代表國(guó)家，認(rèn)為數(shù)據(jù)跨境流動(dòng)應(yīng)建立在數(shù)據(jù)自由貿(mào)易的基礎(chǔ)之上。美國(guó)主導(dǎo)并推動(dòng)了APEC的跨境隱私規(guī)則（Cross-Border Privacy Rules，CBPR）和美墨加協(xié)定的出臺(tái)，這兩項(xiàng)規(guī)則都體現(xiàn)了鮮明的數(shù)據(jù)自由貿(mào)易立場(chǎng)。CBPR設(shè)立了一種認(rèn)證機(jī)制，企業(yè)只要獲得APEC的認(rèn)證，就可以在加入該規(guī)則的國(guó)家間自由地進(jìn)行數(shù)據(jù)傳輸。美墨加協(xié)定則在認(rèn)可企業(yè)認(rèn)證機(jī)制的基礎(chǔ)上，進(jìn)一步強(qiáng)調(diào)美墨加三國(guó)之間不能限制數(shù)據(jù)的跨境流動(dòng)，除了出于合法公共目的并采取非歧視性條款。數(shù)據(jù)自由貿(mào)易理論有力地推動(dòng)了數(shù)據(jù)的自由流動(dòng)，能夠最大限度地發(fā)揮數(shù)據(jù)價(jià)值，但是實(shí)踐中也可以看到，在全球主流的互聯(lián)網(wǎng)與科技企業(yè)由美國(guó)主導(dǎo)的背景下，美國(guó)的霸權(quán)主義與長(zhǎng)臂管轄導(dǎo)致數(shù)據(jù)自由貿(mào)易的同時(shí)也對(duì)其他主權(quán)國(guó)家規(guī)制數(shù)據(jù)的權(quán)利造成威脅。

數(shù)據(jù)人權(quán)理論以歐盟為典型代表，傾向于從人權(quán)保護(hù)的角度看待個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)跨境流動(dòng)。在歐盟，個(gè)人數(shù)據(jù)被保護(hù)權(quán)已經(jīng)被廣泛接受為一項(xiàng)基本人權(quán)［12］?！稓W盟基本權(quán)利憲章》（Charter of Fundamental Rights of the Eurorean Union）［13］第8條第1款規(guī)定：“每個(gè)人都有權(quán)保護(hù)與其有關(guān)的個(gè)人數(shù)據(jù)?！薄锻ㄓ脭?shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）［14］將歐盟的保護(hù)水平作為數(shù)據(jù)保護(hù)“充分性認(rèn)定”的標(biāo)準(zhǔn)［15］。

數(shù)據(jù)人權(quán)理論能夠提供對(duì)個(gè)人數(shù)據(jù)的充分保護(hù)，但是也存在導(dǎo)致單邊主義與長(zhǎng)臂管轄的可能。

與此同時(shí)，隱私權(quán)保護(hù)理論是健康數(shù)據(jù)跨境流動(dòng)機(jī)制的重要理論基礎(chǔ)之一。相較于其他數(shù)據(jù)，在健康數(shù)據(jù)的跨境流動(dòng)中，隱私權(quán)的保護(hù)尤為重要。在隱私權(quán)保護(hù)的視角下，對(duì)健康數(shù)據(jù)進(jìn)行跨境流動(dòng)機(jī)制是為了防止數(shù)據(jù)泄露和濫用，保護(hù)個(gè)人隱私不受侵犯。因此，相關(guān)法律法規(guī)應(yīng)明確規(guī)定健康數(shù)據(jù)跨境流動(dòng)的條件、范圍和程序，確保數(shù)據(jù)在跨境流動(dòng)過(guò)程中得到充分保護(hù)。澳大利亞較好地結(jié)合了數(shù)據(jù)自由貿(mào)易理論和數(shù)據(jù)人權(quán)理論，同時(shí)堅(jiān)持隱私權(quán)保護(hù)理論，對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行分類(lèi)管理：對(duì)于一般的個(gè)人數(shù)據(jù)，澳洲傾向于數(shù)據(jù)自由貿(mào)易理論，促進(jìn)國(guó)家間的數(shù)據(jù)自由流動(dòng)；對(duì)于個(gè)人健康數(shù)據(jù)這樣的敏感數(shù)據(jù)，澳洲嚴(yán)格限制出境的做法比較符合歐盟的數(shù)據(jù)人權(quán)立場(chǎng)。澳大利亞努力尋求在數(shù)據(jù)自由流動(dòng)與保護(hù)個(gè)人隱私安全之間取得平衡，這與我國(guó)健康數(shù)據(jù)治理的理念與目標(biāo)一致。2021年9月1日施行的《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全法》）［16］體現(xiàn)了我國(guó)“統(tǒng)籌發(fā)展和安全，堅(jiān)持保障數(shù)據(jù)安全與促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用并重”的原則。因此，澳大利亞的立法可以為我國(guó)制定和完善健康醫(yī)療數(shù)據(jù)跨境流動(dòng)提供經(jīng)驗(yàn)借鑒。

2 澳大利亞健康醫(yī)療數(shù)據(jù)跨境流動(dòng)的立法

作為聯(lián)邦制的國(guó)家，澳大利亞通過(guò)聯(lián)邦、州和地區(qū)的混合立法對(duì)健康醫(yī)療數(shù)據(jù)進(jìn)行監(jiān)管。澳大利亞的健康醫(yī)療數(shù)據(jù)保護(hù)立法由聯(lián)邦、六個(gè)州和兩個(gè)領(lǐng)地共同制定。聯(lián)邦層面主要立法有《隱私法》及其修正案、《我的健康檔案法》《醫(yī)療保健標(biāo)識(shí)法》和《信息自由法》等，其中前兩項(xiàng)法案是機(jī)制健康數(shù)據(jù)跨境流動(dòng)的重要法律，本文將著重介紹其相關(guān)規(guī)定。各州和地區(qū)也陸續(xù)出臺(tái)了健康數(shù)據(jù)跨境流動(dòng)的立法（表1）。這些立法不約而同地吸收了聯(lián)邦立法對(duì)于個(gè)人健康醫(yī)療數(shù)據(jù)跨境傳輸?shù)闹?jǐn)慎的立法態(tài)度，嚴(yán)格限制相關(guān)敏感的個(gè)人健康數(shù)據(jù)跨境轉(zhuǎn)移，同時(shí)又結(jié)合各地州立法實(shí)際情況，制定保障安全的跨境傳輸合同制度、個(gè)人敏感信息永久去識(shí)別化制度等；在跨境傳輸豁免條件上，有的州還加入了為公共秩序和公共利益等原因而進(jìn)行的跨境傳輸，為后續(xù)在包括新型冠狀病毒感染疫情等突發(fā)公共衛(wèi)生事件發(fā)生時(shí)而采取的政府收集、傳輸個(gè)人健康數(shù)據(jù)的做法留下了法律空間［17］。

2.1 《隱私法》中健康數(shù)據(jù)跨境流動(dòng)的相關(guān)規(guī)定

澳大利亞聯(lián)邦層面最主要的數(shù)據(jù)保護(hù)立法是《隱私法》，其中包含13條澳大利亞隱私原則（Australian Privacy Principles，APP），對(duì)個(gè)人隱私保護(hù)、個(gè)人信息的收集、處理、完整性、訪問(wèn)和修正等進(jìn)行了規(guī)定?！峨[私法》以列舉的方式明確了健康醫(yī)療數(shù)據(jù)的范圍，根據(jù)該法的規(guī)定，健康醫(yī)療數(shù)據(jù)包括：（1）關(guān)于個(gè)人健康狀況（包括疾病、殘疾或受傷）、當(dāng)前或未來(lái)可能接受的醫(yī)療服務(wù)數(shù)據(jù)；（2）為向個(gè)人提供健康服務(wù)而收集的其他個(gè)人屬性數(shù)據(jù)；（3）與個(gè)人捐贈(zèng)身體器官有關(guān)的數(shù)據(jù)；（4）能夠?qū)€(gè)人健康狀況起到預(yù)測(cè)作用或可證明與其他人親緣關(guān)系的個(gè)人基因數(shù)據(jù)等［9］。而對(duì)于什么是數(shù)據(jù)“跨境”，目前國(guó)際上也沒(méi)有統(tǒng)一定義?！峨[私法》對(duì)所謂的“數(shù)據(jù)海外接收者”有兩個(gè)條件，一是該接收者地理位置位于澳大利亞及其附屬領(lǐng)地外；二是此海外接收者不是數(shù)據(jù)披露主體。此外，根據(jù)澳大利亞法律改革委員會(huì)的解釋?zhuān)绻麄€(gè)人數(shù)據(jù)存儲(chǔ)于澳大利亞，但卻在澳大利亞境外被訪問(wèn)的話，也可以被視為跨境。

《隱私法》將個(gè)人健康醫(yī)療數(shù)據(jù)劃入“敏感信息”的范疇，明確了合法收集、使用及披露健康信息的相關(guān)規(guī)定，提供了更高級(jí)別的保護(hù)。該法第16節(jié)和隱私原則第8條對(duì)個(gè)人信息的跨境流動(dòng)進(jìn)行了規(guī)定，數(shù)據(jù)披露實(shí)體應(yīng)當(dāng)確保海外接收方按照隱私原則處理個(gè)人信息，并在海外接收方信息處理不當(dāng)時(shí)，由該實(shí)體承擔(dān)相應(yīng)責(zé)任。但是根據(jù)APP第8條第2款，存在以下例外情況：（1）數(shù)據(jù)披露實(shí)體有理由相信，信息接收方受到與APP具有實(shí)質(zhì)相似性的法律或方案的約束，且有相應(yīng)的數(shù)據(jù)保護(hù)機(jī)制；（2）該實(shí)體已獲得個(gè)人同意；（3）境外信息披露是澳大利亞法律要求或授權(quán)的；（4）適用于被允許的一般情況（例如減少或防止嚴(yán)重的健康和安全風(fēng)險(xiǎn)，或就可疑的嚴(yán)重不當(dāng)行為采取適當(dāng)行動(dòng)）；（5）根據(jù)澳大利亞參與的有關(guān)國(guó)際協(xié)議，政府機(jī)構(gòu)要求進(jìn)行這種披露；（6）該實(shí)體合理地相信，披露該信息對(duì)于執(zhí)法機(jī)構(gòu)進(jìn)行執(zhí)法相關(guān)活動(dòng)是合理必要的，且接收者的職能類(lèi)似于執(zhí)法機(jī)構(gòu)。由此可見(jiàn)《隱私法》的核心目標(biāo)是在保證個(gè)人隱私安全的前提下，促進(jìn)國(guó)家間的數(shù)據(jù)自由流動(dòng)，以更大程度上實(shí)現(xiàn)數(shù)據(jù)價(jià)值。

2.2 《我的健康檔案法》中健康數(shù)據(jù)跨境流動(dòng)的相關(guān)規(guī)定

2010年，澳大利亞聯(lián)邦政府批準(zhǔn)開(kāi)發(fā)個(gè)人控制的電子健康檔案（personally controlled electronic health record，PCEHR），這一系統(tǒng)上注冊(cè)了90%以上的藥店和全科醫(yī)生，并連入94%的公立醫(yī)院病床信息［18］，同時(shí)為每個(gè)澳大利亞公民都提供了數(shù)字化的“個(gè)人健康檔案”，讓患者能夠掌控自己的健康醫(yī)療信息，使患者有機(jī)會(huì)理解、參與醫(yī)療決策，在此基礎(chǔ)上不斷改善醫(yī)療質(zhì)量和安全，減少醫(yī)療資源的浪費(fèi)，提高使用效率。作為澳大利亞最全面的大數(shù)據(jù)資源之一，PCEHR還有巨大的潛在經(jīng)濟(jì)和社會(huì)價(jià)值。根據(jù)澳大利亞衛(wèi)生部發(fā)布的PCEHR的二次利用框架，PCEHR系統(tǒng)數(shù)據(jù)的利用范圍包括政策分析、醫(yī)療服務(wù)項(xiàng)目開(kāi)發(fā)、科研、醫(yī)療質(zhì)量和患者安全評(píng)估，以及公共衛(wèi)生、績(jī)效管理、醫(yī)療保健服務(wù)和治療效果的改善等［19］。2012年，PCEHR改名為“我的健康檔案”（my health record，MHR）。同年《我的健康檔案法》頒布實(shí)施，在MHR系統(tǒng)中嵌入核心隱私保護(hù)規(guī)則以及多種額外的保障措施，以提升MHR的安全性［20］。

《我的健康檔案法》對(duì)MHR中的健康醫(yī)療數(shù)據(jù)出境進(jìn)行了嚴(yán)格限制。該法案第77條第1款規(guī)定，為MHR系統(tǒng)的目的保存檔案或可查閱與這些檔案有關(guān)信息的系統(tǒng)運(yùn)營(yíng)機(jī)構(gòu)、注冊(cè)存儲(chǔ)庫(kù)運(yùn)營(yíng)商、注冊(cè)門(mén)戶(hù)運(yùn)營(yíng)商或注冊(cè)簽約服務(wù)提供商，不得自行或允許他人在澳大利亞以外的地區(qū)保存或獲取這些檔案，不得在澳大利亞以外處理與這些檔案相關(guān)的信息。但是77條第2款規(guī)定了少數(shù)例外情況，為了操作或管理MHR系統(tǒng)，系統(tǒng)運(yùn)營(yíng)機(jī)構(gòu)（即澳大利亞數(shù)字衛(wèi)生局）有權(quán)在澳大利亞以外的地區(qū)保存、獲取或處理此類(lèi)信息，只要這些信息中不包括與MHR系統(tǒng)中的醫(yī)療保健接收者或參與者相關(guān)的個(gè)人信息或可識(shí)別個(gè)人或?qū)嶓w的信息。同時(shí)規(guī)定，違反第1款的個(gè)人可能被處以監(jiān)禁5年和/或罰款300個(gè)處罰單位的刑事處罰及1 500個(gè)處罰單位的民事罰款（在澳大利亞，處罰單位的價(jià)值以及調(diào)整價(jià)值的方式和頻率因不同的司法管轄區(qū)而異，例如1個(gè)處罰單位，在聯(lián)邦是222美元，在維多利亞州是181.74美元，在新南威爾士州是110美元）。根據(jù)《隱私法》和《我的健康檔案法》的相關(guān)規(guī)定，在聯(lián)邦層面一般情況下禁止可識(shí)別個(gè)人的健康數(shù)據(jù)的跨境流動(dòng)。

3 澳大利亞健康醫(yī)療數(shù)據(jù)監(jiān)管機(jī)制

3.1 澳大利亞健康醫(yī)療數(shù)據(jù)監(jiān)管機(jī)構(gòu)及其職能

澳大利亞在聯(lián)邦層面建立了獨(dú)立的健康醫(yī)療數(shù)據(jù)管理機(jī)構(gòu)，負(fù)責(zé)對(duì)健康數(shù)據(jù)相關(guān)活動(dòng)進(jìn)行監(jiān)管。其中澳大利亞信息專(zhuān)員辦公室（Office of the Australian Information Commissioner，OAIC）和數(shù)字衛(wèi)生局（Australian Digital Health Agency）是聯(lián)邦層面最重要的管理機(jī)構(gòu)。如果發(fā)生了《我的健康檔案》法律規(guī)定的信息隱私泄露等問(wèn)題，公民個(gè)人可以直接向澳大利亞數(shù)字衛(wèi)生局或OAIC投訴［21］?！段业慕】禉n案法》109條（7A）還規(guī)定建立了數(shù)據(jù)治理委員會(huì)（Data Governance Board），負(fù)責(zé)監(jiān)督與研究或公共衛(wèi)生目的相關(guān)的健康數(shù)據(jù)處理活動(dòng)，但是在MHR系統(tǒng)的日常運(yùn)作方面，委員會(huì)不具有相關(guān)監(jiān)管職能。

澳大利亞信息專(zhuān)員辦公室于2010年11月正式成立，是一個(gè)整合性組織，分別位于首都直轄區(qū)、新南威爾士州、北部地區(qū)、昆士蘭、西澳大利亞州這5個(gè)行政轄區(qū)。盡管這5個(gè)州的信息專(zhuān)員辦公室有細(xì)微差別，但整體結(jié)構(gòu)包括信息專(zhuān)員、信息自由專(zhuān)員、隱私專(zhuān)員，其職能整合了數(shù)據(jù)保護(hù)、促進(jìn)數(shù)據(jù)流動(dòng)和開(kāi)放、協(xié)助政府實(shí)施信息管理政策等職能［22］。OAIC負(fù)責(zé)《隱私法》下的健康醫(yī)療數(shù)據(jù)保護(hù)，促進(jìn)法律合規(guī)和最佳隱私實(shí)踐，對(duì)各種數(shù)據(jù)處理活動(dòng)進(jìn)行隱私評(píng)估，以及在發(fā)生侵犯隱私的情況下進(jìn)行調(diào)查。同時(shí)《我的健康檔案法》要求定期發(fā)布報(bào)告，對(duì)OAIC如何監(jiān)督和實(shí)踐《我的健康檔案》規(guī)定的各項(xiàng)隱私保障措施予以詳細(xì)說(shuō)明。

澳大利亞數(shù)字衛(wèi)生局是根據(jù)《公共治理、績(jī)效和問(wèn)責(zé)制（建立澳大利亞數(shù)字衛(wèi)生局）2016年規(guī)則》［Public Governance，Performance and Accountability（Establishing the Australian Digital Health Agency）Rule 2016］［23］第8條設(shè)立的法定機(jī)構(gòu)，并于2016年成為MHR系統(tǒng)的運(yùn)營(yíng)機(jī)構(gòu)，負(fù)責(zé)“我的健康檔案”、澳大利亞的數(shù)字處方和健康轉(zhuǎn)診系統(tǒng)以及國(guó)家數(shù)字健康戰(zhàn)略下的其他“電子健康”計(jì)劃。該機(jī)構(gòu)通過(guò)前澳大利亞政府健康委員會(huì)直接向州和領(lǐng)地衛(wèi)生部部長(zhǎng)以及聯(lián)邦衛(wèi)生部部長(zhǎng)報(bào)告。該機(jī)構(gòu)由其首席執(zhí)行官和董事會(huì)領(lǐng)導(dǎo)，并受衛(wèi)生部部長(zhǎng)發(fā)布的指示以及所有州和領(lǐng)地衛(wèi)生部部長(zhǎng)的批準(zhǔn)［24］。

3.2 澳大利亞對(duì)健康數(shù)據(jù)跨境流動(dòng)的具體監(jiān)管措施

《隱私法》要求健康醫(yī)療數(shù)據(jù)披露實(shí)體采取合理措施確保海外接收方不違反澳大利亞隱私原則。為了達(dá)到這一要求，實(shí)踐中通常會(huì)要求該實(shí)體與海外接收方建立合同關(guān)系。合同內(nèi)容可能包括需要披露的個(gè)人健康信息的類(lèi)型和披露的目的、海外接收方遵守隱私原則對(duì)信息進(jìn)行處理的規(guī)定、隱私投訴的處理程序、海外接收方應(yīng)實(shí)施數(shù)據(jù)泄露響應(yīng)機(jī)制等。然而，是否需要簽訂合同、合同的具體條款以及數(shù)據(jù)披露實(shí)體是否需要對(duì)合同遵守情況進(jìn)行監(jiān)督將取決于信息的敏感程度、該實(shí)體與海外接收方的關(guān)系、信息處理不當(dāng)可能造成的不利后果、海外接收方現(xiàn)有的隱私保護(hù)技術(shù)和保障措施等諸多因素［25］。在健康數(shù)據(jù)跨境監(jiān)管活動(dòng)中，最終簽訂的合同可能成為接受隱私評(píng)估時(shí)向OAIC提供的材料。

根據(jù)《隱私監(jiān)管行動(dòng)政策》（Privacy regulatory action policy）［26］和《隱私監(jiān)管行動(dòng)指南》（Guide to privacy regulatory action）［27］的規(guī)定，OAIC可以就澳大利亞隱私原則等事宜對(duì)數(shù)據(jù)披露實(shí)體進(jìn)行評(píng)估以及指導(dǎo)有關(guān)機(jī)構(gòu)進(jìn)行隱私影響評(píng)估。隱私評(píng)估有基于風(fēng)險(xiǎn)的評(píng)估和合規(guī)性的評(píng)估兩種類(lèi)型：基于風(fēng)險(xiǎn)的評(píng)估側(cè)重于識(shí)別實(shí)體，根據(jù)相關(guān)立法（如隱私原則）向海外接收方披露健康信息的隱私風(fēng)險(xiǎn)，所確定的隱私風(fēng)險(xiǎn)應(yīng)直接與實(shí)體的一般合規(guī)義務(wù)相關(guān)，OAIC可根據(jù)隱私風(fēng)險(xiǎn)評(píng)估結(jié)果提出建議來(lái)協(xié)助實(shí)體改善隱私做法和程序；基于合規(guī)性的評(píng)估的重點(diǎn)是確定數(shù)據(jù)披露實(shí)體是否遵守了已確定的立法義務(wù)或來(lái)自O(shè)AIC的明確指示，主要結(jié)果將是評(píng)估該實(shí)體是否“符合”或“不符合”相關(guān)立法下具體確定的義務(wù)，或OAIC之前向該實(shí)體提出的明確要求。評(píng)估類(lèi)型將根據(jù)具體情況來(lái)確定。評(píng)估主要分為四個(gè)階段：確定評(píng)估目標(biāo)，隱私評(píng)估規(guī)劃，實(shí)地調(diào)查，報(bào)告評(píng)估結(jié)果。這個(gè)分階段的過(guò)程是靈活的，可能會(huì)有一些情況需要采取不同的方法。例如，基于合規(guī)性的評(píng)估不太可能需要像基于風(fēng)險(xiǎn)的評(píng)估一樣詳細(xì)的目標(biāo)過(guò)程，因?yàn)樵搶?shí)體和已確定的立法義務(wù)都已經(jīng)確定。信息專(zhuān)員有權(quán)進(jìn)入數(shù)據(jù)披露實(shí)體的辦公場(chǎng)所，檢查相關(guān)文件，或要求實(shí)體提供隱私評(píng)估所需的信息或文件。評(píng)估完成后，OAIC會(huì)在識(shí)別到中高級(jí)隱私風(fēng)險(xiǎn)時(shí)提出建議，甚至在某些情況下可能會(huì)根據(jù)評(píng)估結(jié)果采取進(jìn)一步的監(jiān)管行動(dòng)。例如，在基于風(fēng)險(xiǎn)的評(píng)估中，如果OAIC發(fā)現(xiàn)了重大問(wèn)題，而數(shù)據(jù)披露實(shí)體無(wú)不愿意或沒(méi)有能力采取措施解決這些問(wèn)題，則OAIC直接派信息專(zhuān)員開(kāi)展調(diào)查活動(dòng)。

4 澳大利亞健康醫(yī)療數(shù)據(jù)跨境流動(dòng)法律規(guī)制的特點(diǎn)

作為英聯(lián)邦成員國(guó)，澳大利亞在吸收英美兩國(guó)經(jīng)驗(yàn)的基礎(chǔ)上，發(fā)展了具有自己特色的聯(lián)邦法律制度。在健康數(shù)據(jù)跨境流動(dòng)領(lǐng)域，澳大利亞國(guó)內(nèi)立法既深受歐盟注重隱私保護(hù)的影響，其立法精神和諸多內(nèi)容又被后續(xù)歐盟數(shù)據(jù)保護(hù)的統(tǒng)一立法所吸收［28］。澳大利亞對(duì)于健康數(shù)據(jù)保護(hù)和跨境傳輸?shù)牧⒎ㄔ缭?0世紀(jì)90年代就已經(jīng)頒布，并根據(jù)國(guó)內(nèi)電子商務(wù)和電子信息系統(tǒng)的發(fā)展而不斷修改和完善，形成由法律法規(guī)、標(biāo)準(zhǔn)、指南相互補(bǔ)充的完整數(shù)據(jù)治理的法律體系。從總體來(lái)看，該法律體系具有以下幾個(gè)特點(diǎn)。

4.1 以“充分保護(hù)”作為個(gè)人健康醫(yī)療數(shù)據(jù)跨境流動(dòng)的標(biāo)準(zhǔn)

《隱私法》等聯(lián)邦和地方立法都規(guī)定數(shù)據(jù)披露實(shí)體要確保海外信息接收方受到與《隱私法》具有實(shí)質(zhì)相似性的法律或方案的約束，這實(shí)質(zhì)就是要求對(duì)域外國(guó)家或者地區(qū)的數(shù)據(jù)保護(hù)體系進(jìn)行評(píng)估，確保澳大利亞公民的健康醫(yī)療數(shù)據(jù)在流出澳大利亞后仍然能得到持續(xù)的保護(hù)，這種“充分保護(hù)”的原則被歐盟GDPR所吸收，成為歐盟數(shù)據(jù)保護(hù)法全球化的重要路徑之一。此外，健康醫(yī)療信息跨境流動(dòng)需要獲得信息主體的同意，并需要與域外數(shù)據(jù)接收者訂立合同來(lái)確保安全等規(guī)定，都是為了確保“充分保護(hù)”原則的落地實(shí)施，因?yàn)槿绻麛?shù)據(jù)被傳輸?shù)讲荒芴峁俺浞直Ｗo(hù)”的國(guó)家，那么澳大利亞國(guó)內(nèi)給予健康醫(yī)療數(shù)據(jù)較高水平的保護(hù)就是徒勞的。

4.2 對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行分類(lèi)管理

澳大利亞較早實(shí)現(xiàn)了對(duì)跨境數(shù)據(jù)流動(dòng)的分類(lèi)管理，對(duì)不同類(lèi)別的數(shù)據(jù)在跨境流動(dòng)方面實(shí)施不同的限制性措施與豁免規(guī)定。《隱私法》和《我的健康檔案法》將個(gè)人健康醫(yī)療數(shù)據(jù)作為最為私密和敏感的個(gè)人數(shù)據(jù)的范疇，對(duì)個(gè)人健康數(shù)據(jù)的采集、使用、披露方面采取更加嚴(yán)格的條件。原則上禁止MHR中的健康數(shù)據(jù)出境，只有澳大利亞數(shù)字衛(wèi)生局有權(quán)在特定情況下在澳大利亞以外的地區(qū)保存、獲取或處理該類(lèi)健康數(shù)據(jù)（不包括可識(shí)別個(gè)人的健康數(shù)據(jù)）。不屬于MHR中的健康數(shù)據(jù)出境則需要遵循《隱私法》關(guān)于數(shù)據(jù)披露與跨境流動(dòng)的相關(guān)規(guī)定。

澳大利亞對(duì)健康醫(yī)療數(shù)據(jù)跨境流動(dòng)的嚴(yán)格限制條件在一定程度上保護(hù)了該類(lèi)數(shù)據(jù)的安全，但是過(guò)于嚴(yán)苛的本地化措施同時(shí)也在一定程度上阻礙了健康數(shù)據(jù)跨境流動(dòng)帶來(lái)的效益，且健康數(shù)據(jù)流動(dòng)的風(fēng)險(xiǎn)并未完全消除。2011年，針對(duì)《隱私法》規(guī)定外國(guó)企業(yè)處理澳大利亞國(guó)內(nèi)健康醫(yī)療數(shù)據(jù)時(shí)，必須在澳大利亞境內(nèi)設(shè)立數(shù)據(jù)中心，或者將相關(guān)業(yè)務(wù)轉(zhuǎn)包到澳大利亞本國(guó)服務(wù)商這一規(guī)定，微軟公司就表達(dá)了強(qiáng)烈的質(zhì)疑和擔(dān)憂［29］，認(rèn)為此舉會(huì)損害消費(fèi)者的自由選擇權(quán)，而且并不有利于維護(hù)澳大利亞本國(guó)公民的健康醫(yī)療數(shù)據(jù)安全。澳大利亞國(guó)內(nèi)也認(rèn)識(shí)到了過(guò)于嚴(yán)苛的個(gè)人數(shù)據(jù)保護(hù)所引發(fā)的問(wèn)題，并在最近幾年的司法判決中有所變化。由于包括健康醫(yī)療數(shù)據(jù)在內(nèi)的個(gè)人敏感數(shù)據(jù)在《隱私法》是以數(shù)據(jù)“可識(shí)別性”作為判斷的標(biāo)準(zhǔn)，所以如何判斷數(shù)據(jù)的“可識(shí)別性”，在法律上就成為爭(zhēng)議的焦點(diǎn)。2017年的澳大利亞聯(lián)邦法院審理的“隱私專(zhuān)員訴澳大利亞電信公司”（Privacy Commissioner v Telstra Corporation Limited）一案中法院拒絕承認(rèn)能通過(guò)合理方式確定個(gè)人身份的數(shù)據(jù)是個(gè)人數(shù)據(jù)，指出這種解釋會(huì)使確認(rèn)“關(guān)于個(gè)人的要求變得寬泛不明晰”，并認(rèn)為《隱私法》中個(gè)人數(shù)據(jù)的概念過(guò)于寬泛，同時(shí)又強(qiáng)調(diào)，在其他情形下最終的結(jié)論可能是不同的，因而每個(gè)案件的結(jié)論將取決于不同案件的具體情況［30］。澳大利亞聯(lián)邦法院的這一判決在很大程度上限制了個(gè)人數(shù)據(jù)的范圍，提出對(duì)于個(gè)人數(shù)據(jù)的認(rèn)定必須結(jié)合具體的場(chǎng)景，從而否定了長(zhǎng)久以來(lái)的所有可以合理地確定個(gè)人身份的信息都是個(gè)人數(shù)據(jù)的觀點(diǎn)，這一判決不僅可能影響其他司法管轄區(qū)對(duì)個(gè)人數(shù)據(jù)定義的解釋?zhuān)椅磥?lái)也會(huì)對(duì)包括《隱私法》在內(nèi)的澳大利亞國(guó)內(nèi)成文立法產(chǎn)生深遠(yuǎn)的影響。可以說(shuō)是對(duì)數(shù)字時(shí)代“個(gè)人數(shù)據(jù)”法律定義的再回應(yīng)。如何在數(shù)字時(shí)代實(shí)現(xiàn)個(gè)人隱私保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展之間的平衡，“隱私專(zhuān)員訴澳大利亞電信公司”案邁出了立法完善的第一步。

4.3 強(qiáng)制性規(guī)定與推薦性指南相結(jié)合

澳大利亞立法將強(qiáng)制性規(guī)定與推薦性指南相結(jié)合，并吸收社會(huì)組織制定行業(yè)標(biāo)準(zhǔn)規(guī)范，體現(xiàn)出法律的原則性和靈活性的有機(jī)結(jié)合。澳大利亞通過(guò)《隱私法》和《我的健康檔案法》規(guī)定了健康數(shù)據(jù)跨境流動(dòng)的基本原則和主要制度，同時(shí)又通過(guò)大量推薦性行業(yè)指南，將抽象的原則具體化、場(chǎng)景化。例如，《個(gè)人信息保護(hù)指南》（Guide to securing personal information）［31］的頒布為保護(hù)用戶(hù)隱私信息和信息安全指明方向，《數(shù)據(jù)泄露的準(zhǔn)備和應(yīng)對(duì)指南》（Data breach preparation and response）［32］則為政府?dāng)?shù)據(jù)泄露提供對(duì)策和建議。澳大利亞保護(hù)性安全政策框架（the protective security policy framework，PSPF）8附件A至D“敏感和機(jī)密信息”中規(guī)定了在澳大利亞以外轉(zhuǎn)移敏感和安全機(jī)密信息的最低保護(hù)措施，為數(shù)據(jù)傳輸實(shí)體提供了詳細(xì)的操作指引［33］。由于數(shù)據(jù)跨境流動(dòng)場(chǎng)景的復(fù)雜性，澳大利亞議會(huì)咨詢(xún)辦公室發(fā)布了相關(guān)指南和標(biāo)準(zhǔn)，采用情境分析的方法，對(duì)于數(shù)據(jù)傳輸?shù)讲煌瑖?guó)家、地區(qū)的具體情況進(jìn)行個(gè)案裁判。

澳大利亞政府機(jī)構(gòu)也積極與各類(lèi)社會(huì)組織密切合作，制定出一系列的保障健康數(shù)據(jù)行業(yè)安全和數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)規(guī)范。安全消息傳遞（secure messaging）是包括數(shù)字衛(wèi)生局與非營(yíng)利性組織“澳大利亞標(biāo)準(zhǔn)”（Standards Australia）合作開(kāi)發(fā)的一套規(guī)范指南，有利于提高健康醫(yī)療數(shù)據(jù)在所有醫(yī)療服務(wù)提供商和消費(fèi)者之間的共享、安全、無(wú)縫、可靠和保密所需的核心基礎(chǔ)能力。這套指南開(kāi)發(fā)了一種標(biāo)準(zhǔn)化的實(shí)現(xiàn)數(shù)字健康通信的方法，有力地保障了健康醫(yī)療數(shù)據(jù)在跨境傳輸中的安全［34］。

不過(guò)需要指出的是，澳大利亞對(duì)健康醫(yī)療數(shù)據(jù)的監(jiān)管存在國(guó)家一致性問(wèn)題。由于澳大利亞是聯(lián)邦制國(guó)家，中央和地方在隱私保護(hù)的立法方面存在多層次性、分散性，因而在一定程度上也存在法律沖突。例如，參議院委員會(huì)隱私調(diào)查發(fā)現(xiàn)，存在隱私監(jiān)管的顯著碎片化和不一致性問(wèn)題。這種不一致發(fā)生在聯(lián)邦立法之間，聯(lián)邦和州、地區(qū)立法之間，是阻礙《隱私法》目標(biāo)實(shí)現(xiàn)的眾多因素之一，對(duì)政府、企業(yè)以及個(gè)人隱私的保護(hù)產(chǎn)生不利影響。隱私監(jiān)管中的不一致和分散引起了各種問(wèn)題，比如難以確定隱私義務(wù)的來(lái)源，或者在確定隱私義務(wù)來(lái)源和遵守不同司法管轄區(qū)內(nèi)的不同法律、隱私標(biāo)準(zhǔn)上花費(fèi)大量時(shí)間和金錢(qián)。還有一個(gè)突出的問(wèn)題是隱私保護(hù)的有效性。調(diào)查顯示，這一制度設(shè)計(jì)在很大程度上影響了法律的實(shí)施效果［35］。

5 澳大利亞經(jīng)驗(yàn)對(duì)我國(guó)的啟示

5.1 構(gòu)建科學(xué)、完整、嚴(yán)密的健康數(shù)據(jù)保護(hù)、跨境流動(dòng)的法律與政策體系

2017年之前，我國(guó)對(duì)包括金融、人口健康等特定領(lǐng)域的數(shù)據(jù)跨境流動(dòng)，通過(guò)行政法規(guī)、部門(mén)規(guī)章、規(guī)范性文件進(jìn)行了規(guī)范。2014年5月《人口健康信息管理辦法（試行）》［36］規(guī)定不得將人口健康信息在境外的服務(wù)器中存儲(chǔ)，不得托管、租賃在境外的服務(wù)器；2018年7月《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》［37］規(guī)定健康醫(yī)療大數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在境內(nèi)安全可信的服務(wù)器上，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)按照相關(guān)法律法規(guī)及有關(guān)要求進(jìn)行安全評(píng)估審核。2017年后，我國(guó)通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》［38］（以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》）、《數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》［39］（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》）等建立起全面的數(shù)據(jù)出境管理制度。《網(wǎng)絡(luò)安全法》第三十七條奠定了數(shù)據(jù)出境安全評(píng)估制度的基礎(chǔ)。《數(shù)據(jù)安全法》在具體制度層面通過(guò)重要數(shù)據(jù)出境安全評(píng)估、數(shù)據(jù)安全國(guó)家審查、數(shù)據(jù)出口管制、跨境執(zhí)法調(diào)取數(shù)據(jù)的阻斷立法等方面，實(shí)現(xiàn)對(duì)數(shù)據(jù)跨境流動(dòng)的全面控制。2021-11-01實(shí)施的《個(gè)人信息保護(hù)法》將涉及醫(yī)療健康的個(gè)人信息歸入敏感個(gè)人信息，實(shí)施嚴(yán)格的保護(hù)，并在第三章專(zhuān)章規(guī)定了個(gè)人信息跨境提供的規(guī)則，確定了個(gè)人信息出境的三條合規(guī)路徑：申報(bào)安全評(píng)估、進(jìn)行個(gè)人信息保護(hù)認(rèn)證、簽署標(biāo)準(zhǔn)合同。針對(duì)以上三條路徑又相繼出臺(tái)了《數(shù)據(jù)出境安全評(píng)估辦法》［40］、《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》［41］、《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》［42］、《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》［43］等文件。我國(guó)堅(jiān)持“安全流動(dòng)”的理念，構(gòu)建了“重要數(shù)據(jù)”和“個(gè)人信息”的出境規(guī)制“雙軌并行”分層次的制度框架［44］。不過(guò)具體到健康醫(yī)療領(lǐng)域，現(xiàn)行立法對(duì)健康數(shù)據(jù)出境的規(guī)制存在一定的滯后性，有關(guān)健康數(shù)據(jù)保護(hù)的規(guī)定散見(jiàn)于各類(lèi)法律、行政法規(guī)、部門(mén)規(guī)章和規(guī)范性文件當(dāng)中［45］。健康醫(yī)療數(shù)據(jù)跨境流動(dòng)規(guī)則與行業(yè)發(fā)展趨勢(shì)不相適應(yīng)，目前多作本地化存儲(chǔ)的要求，沒(méi)有充分考慮到跨境醫(yī)療、國(guó)際合作等業(yè)務(wù)需求，缺乏不同類(lèi)型健康數(shù)據(jù)及其具體跨境場(chǎng)景的制度設(shè)計(jì)與細(xì)化規(guī)定［46］。

對(duì)此，考慮到健康醫(yī)療數(shù)據(jù)的多態(tài)性、高敏感性、追蹤性、公眾性等特征［47］，建議我國(guó)在完善數(shù)據(jù)共享、數(shù)據(jù)安全等方面的法律法規(guī)時(shí)，出臺(tái)針對(duì)健康醫(yī)療數(shù)據(jù)的專(zhuān)門(mén)立法，根據(jù)健康醫(yī)療數(shù)據(jù)的特點(diǎn)對(duì)健康醫(yī)療數(shù)據(jù)的定義與范圍、分級(jí)分類(lèi)、健康醫(yī)療數(shù)據(jù)處理規(guī)則、健康醫(yī)療數(shù)據(jù)保護(hù)義務(wù)、健康醫(yī)療數(shù)據(jù)主體享有的權(quán)利、數(shù)據(jù)出境安全管理等基本問(wèn)題做出原則性規(guī)定，并將法律法規(guī)與政策指南有機(jī)結(jié)合、配套實(shí)施，提高法律的執(zhí)行度和可操作性，保證醫(yī)療健康數(shù)據(jù)各項(xiàng)規(guī)定“因時(shí)制宜、因地制宜”。

健康醫(yī)療數(shù)據(jù)的出境安全管理的法律規(guī)制，必須與健康醫(yī)療數(shù)據(jù)出境安全評(píng)估共同實(shí)施，將立法與行業(yè)標(biāo)準(zhǔn)和指南有機(jī)結(jié)合，使得抽象的原則具體化、場(chǎng)景化。我國(guó)《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》（以下簡(jiǎn)稱(chēng)《健康數(shù)據(jù)安全指南》）［1］將健康醫(yī)療數(shù)據(jù)出境場(chǎng)景劃分為跨境醫(yī)療、藥品研發(fā)合作、跨境遠(yuǎn)程會(huì)診、跨境轉(zhuǎn)診、跨境學(xué)術(shù)研討與臨床研究、跨境遠(yuǎn)程維護(hù)醫(yī)療器械、讀取數(shù)據(jù)、境外商業(yè)保險(xiǎn)公司調(diào)取境內(nèi)投保人的醫(yī)療數(shù)據(jù)、數(shù)據(jù)存儲(chǔ)服務(wù)器、健康觸感器等采集數(shù)據(jù)存儲(chǔ)服務(wù)器位于境外等不同場(chǎng)景，實(shí)踐中這些不同場(chǎng)景下數(shù)據(jù)安全保護(hù)措施以及個(gè)人健康醫(yī)療數(shù)據(jù)主體、健康醫(yī)療數(shù)據(jù)控制者、健康醫(yī)療數(shù)據(jù)處理者、健康醫(yī)療數(shù)據(jù)使用者之間的權(quán)利和義務(wù)也不相同［48］，網(wǎng)信部門(mén)與衛(wèi)生健康主管部門(mén)在制定規(guī)則時(shí)應(yīng)充分衡量不同場(chǎng)景下健康醫(yī)療數(shù)據(jù)出境的風(fēng)險(xiǎn)與收益，給予類(lèi)型化的規(guī)制。

5.2 完善健康醫(yī)療數(shù)據(jù)出境標(biāo)準(zhǔn)合同條款，發(fā)揮標(biāo)準(zhǔn)合同監(jiān)管功能

澳大利亞在實(shí)踐中通常會(huì)要求數(shù)據(jù)披露方與境外接收者簽訂合同來(lái)保障數(shù)據(jù)安全，但是否簽訂合同及合同的具體內(nèi)容都不是強(qiáng)制性的。我國(guó)也有類(lèi)似的規(guī)定，《數(shù)據(jù)出境安全評(píng)估辦法》規(guī)定在開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估和安全評(píng)估時(shí)將數(shù)據(jù)處理者與境外接收方擬訂立的數(shù)據(jù)出境合同（法律文件）“是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)”作為重點(diǎn)評(píng)估事項(xiàng)。而《個(gè)人信息保護(hù)法》第38條進(jìn)一步將標(biāo)準(zhǔn)合同條款確定為個(gè)人信息出境的三條合規(guī)路徑之一。結(jié)合兩者來(lái)看，實(shí)踐中安全評(píng)估時(shí)很可能會(huì)參考國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同條款。因此，對(duì)于健康醫(yī)療數(shù)據(jù)這樣的敏感數(shù)據(jù)，不妨考慮“安全評(píng)估”+“標(biāo)準(zhǔn)合同”的雙重保險(xiǎn)路徑，在健康醫(yī)療數(shù)據(jù)出境時(shí)，充分發(fā)揮標(biāo)準(zhǔn)合同條款的監(jiān)管功能。

在制定與完善健康醫(yī)療數(shù)據(jù)出境標(biāo)準(zhǔn)合同條款時(shí)，數(shù)據(jù)處理者與境外接收方的數(shù)據(jù)安全義務(wù)是核心內(nèi)容。雙方都應(yīng)確保健康醫(yī)療數(shù)據(jù)安全，根據(jù)出境的目的、范圍、方式及數(shù)據(jù)的數(shù)量、敏感程度等級(jí)等因素，采取適當(dāng)?shù)募夹g(shù)和管理措施，防止泄露、損毀、篡改、濫用等風(fēng)險(xiǎn)。此外，標(biāo)準(zhǔn)合同條款本質(zhì)是國(guó)家公權(quán)力對(duì)數(shù)據(jù)進(jìn)出口方合同自由的限制，因此在制定完成后應(yīng)對(duì)其進(jìn)行合比例性審查，通過(guò)對(duì)條款逐一進(jìn)行適當(dāng)性、必要性和均衡性檢驗(yàn)，防止公權(quán)力對(duì)私權(quán)利的干預(yù)超過(guò)了必要限度。國(guó)家創(chuàng)制標(biāo)準(zhǔn)合同條款，應(yīng)限于授權(quán)范圍，合理確定條款的強(qiáng)制使用規(guī)制和內(nèi)容強(qiáng)制程度，以適當(dāng)平衡自治與管制［49］。

5.3 積極利用現(xiàn)有健康數(shù)據(jù)的分級(jí)分類(lèi)，構(gòu)建多樣的、靈活的健康數(shù)據(jù)出境規(guī)制模式

針對(duì)不同健康醫(yī)療數(shù)據(jù)分級(jí)分類(lèi)是澳大利亞立法的重要特點(diǎn)之一。我國(guó)《健康數(shù)據(jù)安全指南》根據(jù)數(shù)據(jù)重要程度、風(fēng)險(xiǎn)級(jí)別及對(duì)健康醫(yī)療數(shù)據(jù)主體可能造成的損害和影響將健康醫(yī)療數(shù)據(jù)劃分成“可完全公開(kāi)使用”“可在較大范圍內(nèi)供訪問(wèn)使用”“可在中等范圍內(nèi)供訪問(wèn)使用”“在較小范圍內(nèi)供訪問(wèn)使用”和“僅在極小范圍內(nèi)且在嚴(yán)格限制條件下供訪問(wèn)使用”五個(gè)等級(jí)，在不同的數(shù)據(jù)流通場(chǎng)景中有不同的安全措施要點(diǎn)。我國(guó)不同于澳大利亞過(guò)于嚴(yán)苛的本地化措施，可以通過(guò)健康數(shù)據(jù)的分類(lèi)分級(jí)對(duì)出境的健康數(shù)據(jù)采取差異化的規(guī)制路徑。例如第1級(jí)和第2級(jí)數(shù)據(jù)，對(duì)這兩級(jí)的健康數(shù)據(jù)可以放寬限制條件，原則上經(jīng)數(shù)據(jù)主體同意和數(shù)據(jù)傳輸方內(nèi)部評(píng)估后即可實(shí)現(xiàn)自由出境；第3級(jí)數(shù)據(jù)，可基于業(yè)務(wù)需要，在得到數(shù)據(jù)主體明示同意、對(duì)數(shù)據(jù)進(jìn)行匿名化處理、訂立數(shù)據(jù)保護(hù)合同條款以及通過(guò)主管部門(mén)安全評(píng)估后方可出境；第4級(jí)和第5級(jí)數(shù)據(jù)敏感程度較高，如果未經(jīng)授權(quán)披露，可能會(huì)對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)主體造成嚴(yán)重程度的損害，應(yīng)當(dāng)嚴(yán)格限制出境。

對(duì)于風(fēng)險(xiǎn)評(píng)級(jí)較高的健康醫(yī)療數(shù)據(jù)，要根據(jù)《數(shù)據(jù)安全法》第24條的相關(guān)規(guī)定“對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查”。2022年2月15日起施行的《網(wǎng)絡(luò)安全審查辦法》［50］對(duì)數(shù)據(jù)安全審查的具體制度要求進(jìn)行了細(xì)化，由設(shè)在國(guó)家互聯(lián)網(wǎng)信息辦公室的網(wǎng)絡(luò)安全審查辦公室負(fù)責(zé)組織網(wǎng)絡(luò)安全審查。因此在健康數(shù)據(jù)出境的場(chǎng)景中，除了進(jìn)行安全評(píng)估，還可以增加網(wǎng)絡(luò)安全審查機(jī)制。安全審查應(yīng)重點(diǎn)評(píng)估健康數(shù)據(jù)跨境傳輸、國(guó)外上市行為可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)。其中尤其要關(guān)注當(dāng)前國(guó)內(nèi)的各類(lèi)移動(dòng)健康管理應(yīng)用程序收集的大量敏感的個(gè)人健康信息，如果這些公司要在境外上市，那么他們掌握的健康數(shù)據(jù)將存在較大風(fēng)險(xiǎn)，可能被竊取、泄露、毀損或被國(guó)外政府影響、控制、惡意利用。因此移動(dòng)健康手機(jī)程序在國(guó)外上市前應(yīng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)安全審查，嚴(yán)格把關(guān)，控制風(fēng)險(xiǎn)。

5.4 加強(qiáng)與“一帶一路”沿線國(guó)家，尤其是東盟成員國(guó)在健康醫(yī)療數(shù)據(jù)跨境流動(dòng)領(lǐng)域的交流和合作

澳大利亞加入了跨境數(shù)據(jù)流動(dòng)聯(lián)盟，有著自己的數(shù)據(jù)朋友圈。澳大利亞是亞太經(jīng)合組織的跨境隱私規(guī)則體系的成員方；同時(shí)澳大利亞也與歐盟、美國(guó)簽署CLOUD法案協(xié)議，促進(jìn)彼此之間的數(shù)字信息交流。我國(guó)作為“一帶一路”倡議的發(fā)起國(guó)家，也要積極探索并與相關(guān)國(guó)家取得共識(shí)，構(gòu)建跨境數(shù)據(jù)流動(dòng)協(xié)議，推動(dòng)跨境數(shù)據(jù)的流動(dòng)和監(jiān)管。歐盟對(duì)于成員國(guó)和第三國(guó)，對(duì)數(shù)據(jù)跨境流動(dòng)的規(guī)制采取了雙重標(biāo)準(zhǔn)［3］。未來(lái)我國(guó)也可以根據(jù)“一帶一路”沿線國(guó)家的實(shí)際情況，在風(fēng)險(xiǎn)可控的前提下，兼顧我國(guó)的國(guó)家利益、經(jīng)濟(jì)發(fā)展和個(gè)人隱私保護(hù)之間的合理平衡［51］，在健康數(shù)據(jù)跨境流動(dòng)領(lǐng)域，對(duì)東南亞、東盟、俄羅斯、歐洲國(guó)家采取差異化的跨境流動(dòng)政策。

2020年是中國(guó)－東盟數(shù)字經(jīng)濟(jì)合作年，習(xí)近平總書(shū)記在第十七屆中國(guó)－東盟博覽會(huì)和中國(guó)－東盟商務(wù)與投資峰會(huì)開(kāi)幕式的致辭中講到，中方愿同東盟各國(guó)“在智慧城市、5G、人工智能、電子商務(wù)、大數(shù)據(jù)、區(qū)塊鏈、遠(yuǎn)程醫(yī)療等領(lǐng)域打造更多新的合作亮點(diǎn)，加強(qiáng)數(shù)據(jù)安全保護(hù)和政策溝通協(xié)調(diào)”［52］。在實(shí)施差異化的數(shù)據(jù)領(lǐng)域國(guó)家合作戰(zhàn)略中，建議以東盟國(guó)家為突破口，與相關(guān)國(guó)家建立健康醫(yī)療數(shù)據(jù)跨境流動(dòng)的“白名單”制度，加強(qiáng)與東盟成員國(guó)在公共衛(wèi)生領(lǐng)域、遠(yuǎn)程醫(yī)療方面之間的數(shù)據(jù)合作，在東盟國(guó)家之間通過(guò)簽訂個(gè)人數(shù)據(jù)、重要敏感數(shù)據(jù)的《數(shù)據(jù)跨境傳輸合作協(xié)議》，在個(gè)人隱私保護(hù)、國(guó)家安全、網(wǎng)絡(luò)安全、關(guān)鍵信息基礎(chǔ)設(shè)施等方面實(shí)現(xiàn)兼容，并通過(guò)數(shù)據(jù)流動(dòng)認(rèn)定協(xié)定推動(dòng)中國(guó)與東盟國(guó)家建立共同適用的標(biāo)準(zhǔn)。

作者貢獻(xiàn)：陳永怡負(fù)責(zé)文獻(xiàn)/資料收集與整理，并撰寫(xiě)論文；孟彥辰負(fù)責(zé)論文構(gòu)思、設(shè)計(jì)與修訂，對(duì)文章整體負(fù)責(zé)。

本文無(wú)利益沖突。

陳永怡：https：//orcid.org/0009-0003-4928-4163

參考文獻(xiàn)

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì). 《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》［EB/OL］.（2020-12-14）［2022-06-12］.?http：//www.phic.org.cn/zcyjybzpj/bzypj/bzgf/gjbz/202103/P020210331605989883649.pdf？hmpvqezfbjjzwskb.

VICTORIA H. Data Protection Compliance in the Age of Digital Health［J］. European Journal of Health Law，2016，23（3）：248-264.

王金照. 跨境數(shù)據(jù)流動(dòng)：戰(zhàn)略與政策［M］. 北京：中國(guó)發(fā)展出版社，2020：26-27.

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2020年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告［EB/OL］.（2021-07-21）［2022-12-30］. https：//www.cert.org.cn/publish/main/upload/File/2020%20Annual%20Report.pdf.

中華人民共和國(guó)中央人民政府. 中華人民共和國(guó)生物安全法［A/OL］.（2020-10-18）［2023-12-30］. https：//www.gov.cn/xinwen/2020-10/18/content_5552108.htm.

OECD. Guidelines governing the protection of privacy and transborder flows of personal data［EB/OL］. ［2024-01-02］.?https：//legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0188.

APEC. APEC Privacy Framework［EB/OL］. ［2024-01-02］. https：//www.apec.org/publications/2005/12/apec-privacy-framework.

黃鸝. 澳大利亞個(gè)人數(shù)據(jù)跨境流動(dòng)監(jiān)管經(jīng)驗(yàn)及啟示［J］. 征信，2019，37（11）：72-76.

Federal Register of Legislation. Privacy Act 1988［EB/OL］.（2023-10-18）［2024-01-02］. https：//www.legislation.gov.au/C2004A03712/latest/text.

Federal Register of Legislation. My Health Records Act 2012［EB/OL］.（2023-10-18）［2024-01-02］. https：//www.legislation.gov.au/C2012A00063/latest/text.

丁曉東. 數(shù)據(jù)跨境流動(dòng)的法理反思與制度重構(gòu)——兼評(píng)《數(shù)據(jù)出境安全評(píng)估辦法》［J］. 行政法學(xué)研究，2023，29（1）：62-77.

時(shí)業(yè)偉. 跨境數(shù)據(jù)流動(dòng)中的國(guó)際貿(mào)易規(guī)則：規(guī)制、兼容與發(fā)展［J］. 比較法研究，2020，33（4）：173-184.

European Union Agency for Fundamental Rights. EU charter of fundamental rights［EB/OL］. ［2024-01-02］. http：//fra.europa.eu/en/eu-charter.

EUR-Lex. General data protection regulation［EB/OL］.（2016-05-04）［2024-01-02］. https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX%3A32016R0679&qid=1704208791421.

金晶. 個(gè)人數(shù)據(jù)跨境傳輸?shù)臍W盟標(biāo)準(zhǔn)——規(guī)則建構(gòu)、司法推動(dòng)與范式擴(kuò)張［J］. 歐洲研究，2021，39（4）：89-109+7.

中華人民共和國(guó)中央人民政府. 中華人民共和國(guó)數(shù)據(jù)安全法［A/OL］.（2021-06-11）［2023-12-30］. https：//www.gov.cn/xinwen/2021-06/11/content_5616919.htm.

李國(guó)煒. 澳大利亞新南威爾士州《健康記錄和信息隱私權(quán)法》之解讀及借鑒［J］. 科技與法律，2012，22（4）：75-78.

中國(guó)醫(yī)療. 從健康檔案到基因檢測(cè)，澳大利亞數(shù)字醫(yī)療怎樣布局？［EB/OL］.（2020-08-10）［2022-06-30］. http：//med.china.com.cn/content/pid/196462/tid/1017.

國(guó)家信息中心，澳大利亞“個(gè)人健康檔案系統(tǒng)”數(shù)據(jù)二次開(kāi)發(fā)框架指南［EB/OL］.（2019-06-17）［2022-06-26］. https：//www.secrss.com/articles/11440.

HOLLO Z，MARTIN D E. An equitable approach to enhancing the privacy of consumer information on My Health Record in Australia［J］. Health Information Management Journal，2021：18333583211019764.

鐘其炎. 澳大利亞電子健康檔案全生命周期隱私保護(hù)體系及借鑒［J］. 北京檔案，2019，34（2）：16-21.

陳萌. 澳大利亞政府?dāng)?shù)據(jù)開(kāi)放的政策法規(guī)保障及對(duì)我國(guó)的啟示［J］. 圖書(shū)與情報(bào)，2017，36（1）：18-26.

Federal Register of Legislation. Public Governance，Performance and Accountability（Establishing the Australian Digital Health Agency）Rule 2016［EB/OL］.（2016-01-29）［2024-01-02］. https：//www. legislation.gov.au/F2016L00070/asmade/text.

劉芮，譚必勇. 數(shù)據(jù)驅(qū)動(dòng)智慧服務(wù)：澳大利亞政府?dāng)?shù)據(jù)治理體系及其對(duì)我國(guó)的啟示［J］. 電子政務(wù)，2019，14（10）：68-80.

OAIC. Australian Privacy Principles guidelines. ［EB/OL］.（2019-07-22）［2022-05-31］. https：//www.oaic.gov.au/privacy/australian-privacy-principles-guidelines/chapter-8-app-8-cross-border-disclosure-of-personal-information.

OAIC. Privacy regulatory action policy. ［EB/OL］. ［2022-06-26］. https：//www.oaic.gov.au/about-us/our-regulatory-approach/privacy-regulatory-action-policy#ftn1.

OAIC. Guide to privacy regulatory action ［EB/OL］. ［2022-06-01］. https：//www.oaic.gov.au/about-us/our-regulatory-approach/guide-to-privacy-regulatory-action.

何勤華. 澳大利亞法律發(fā)達(dá)史［M］. 北京：法律出版社，2004.

倫一. 澳大利亞跨境數(shù)據(jù)流動(dòng)實(shí)踐及啟示［J］. 信息安全與通信保密，2017，37（5）：25-32.

OAIC. Privacy Commissioner v Telstra Corporation Limited Federal Court Decision［EB/OL］. ［2022-06-30］. https：//www.oaic.gov.au/updates/news-and-media/privacy-commissioner-v-telstra-corporation-limited-federal-court-decision.

OAIC. Guide to securing personal information ［EB/OL］. ［2024-01-02］. https：//www.oaic.gov.au/privacy/privacy-guidance-for-organisations-and-government-agencies/handling-personal-information/guide-to-securing-personal-information.

OAIC. Data breach preparation and response ［EB/OL］. ［2024-01-02］. https：//www.oaic.gov.au/privacy/privacy-guidance-for-organisations-and-government-agencies/preventing-preparing-for-and-responding-to-data-breaches/data-breach-preparation-and-response.

Australian Protective Security Policy Framework. Policy 8：Sensitive and classified information［EB/OL］.（2018-09-28）［2022-06-08］. https：//www.protective security.gov.au/publications-library/policy-8-sensitive-and-classified-information.

Standards Australia. Standardisation guides［EB/OL］. ［2022-06-30］. https：//www.standards.org.au/standardisation-guides.

Australian Law Reform Commission. Review of privacy（IP 31）［EB/OL］.（2006-10-09）［2022-06-08］. https：//www.alrc.gov.au/wp-content/uploads/2019/08/IP31.pdf.

國(guó)家衛(wèi)健委規(guī)劃發(fā)展與信息化司. 國(guó)家衛(wèi)生計(jì)生委關(guān)于印發(fā)《人口健康信息管理辦法（試行）》的通知［A/OL］.（2014-05-13）［2024-01-02］. http：//www.nhc.gov.cn/guihuaxxs/s10741/201405/783ec8adebc6422bbebdf79db3868d0b.shtml.

國(guó)家衛(wèi)健委統(tǒng)計(jì)信息中心. 關(guān)于印發(fā)國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）的通知［A/OL］.（2018-09-14）［2024-01-02］. http：//www.nhc.gov.cn/mohwsbwstjxxzx/s8553/201809/f346909ef17e41499ab766890a34bff7.shtml.

中華人民共和國(guó)中央人民政府. 中華人民共和國(guó)網(wǎng)絡(luò)安全法［A/OL］.（2016-11-07）［2023-12-30］. https：//www.gov.cn/xinwen/2016-11/07/content_5129723.htm.

中華人民共和國(guó)中央人民政府. 中華人民共和國(guó)個(gè)人信息保護(hù)法［A/OL］.（2021-08-20）［2023-12-30］. https：//www.gov.cn/xinwen/2021-08/20/content_5632486.htm.

國(guó)家互聯(lián)網(wǎng)信息辦公室. 數(shù)據(jù)出境安全評(píng)估辦法［A/OL］.（2022-07-07）［2024-01-02］. http：//www.cac.gov.cn/2022-07/07/c_1658811536396503.htm.

國(guó)家互聯(lián)網(wǎng)信息辦公室. 個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則［A/OL］.（2022-11-18）［2024-01-02］. http：//www.cac.gov.cn/2022-11/18/c_1670399936983876.htm.

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì). 個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范［EB/OL］.（2022-06-24）［2024-01-02］. https：//www.tc260.org.cn/front/postDetail.html？id=20220624175016.

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì). 個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0［EB/OL］.（2022-12-16）［2024-01-02］. https：//www.tc260.org.cn/front/postDetail.html？id=20221216161852.

劉金瑞. 邁向數(shù)據(jù)跨境流動(dòng)的全球規(guī)制：基本關(guān)切與中國(guó)方案［J］. 行政法學(xué)研究，2022，28（4）：73-88.

粟丹. 論健康醫(yī)療大數(shù)據(jù)中的隱私信息立法保護(hù)［J］. 首都師范大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2019，45（6）：63-73.

何晶晶，張心宇. 中國(guó)健康醫(yī)療數(shù)據(jù)跨境流動(dòng)規(guī)制探析［J］. 國(guó)際法研究，2022，8（6）：62-74.

許培海，黃匡時(shí). 我國(guó)健康醫(yī)療大數(shù)據(jù)的現(xiàn)狀、問(wèn)題及對(duì)策［J］. 中國(guó)數(shù)字醫(yī)學(xué)，2017，12（5）：24-26.

郝娜. 個(gè)人健康醫(yī)療數(shù)據(jù)匿名化的法律規(guī)則重塑——從場(chǎng)景理論的視角來(lái)探析［J］. 醫(yī)學(xué)與法學(xué)，2020，12（3）：93-98.

金晶. 作為個(gè)人信息跨境傳輸監(jiān)管工具的標(biāo)準(zhǔn)合同條款［J］. 法學(xué)研究，2022，44（5）：19-36.

中華人民共和國(guó)中央人民政府. 網(wǎng)絡(luò)安全審查辦法［A/OL］.（2021-12-28）［2023-12-30］. https：//www.gov.cn/gongbao/content/2022/content_5682426.htm.

胡煒. 跨境數(shù)據(jù)流動(dòng)立法的價(jià)值取向與我國(guó)選擇［J］. 社會(huì)科學(xué)，2018，38（4）：95-102.

國(guó)家國(guó)際發(fā)展合作署. 習(xí)近平在第十七屆中國(guó)－東盟博覽會(huì)和中國(guó)－東盟商務(wù)與投資峰會(huì)開(kāi)幕式上致辭［EB/OL］.（2020-11-30）［2022-06-30］. http：//www.cidca.gov.cn/2020-11/30/c_1210909442.htm.

（本文編輯：王世越）

*通信作者：孟彥辰，副教授；E-mail：myanchen@ccmu.edu.cn

基金項(xiàng)目：國(guó)家社會(huì)科學(xué)基金一般項(xiàng)目（21BFX105）

引用本文：陳永怡，孟彥辰. 澳大利亞健康醫(yī)療數(shù)據(jù)跨境流動(dòng)法律規(guī)制研究及其對(duì)中國(guó)的啟示［J］. 中國(guó)全科醫(yī)學(xué)，2024，27（25）：3091-3099. DOI：10.12114/j.issn.1007-9572.2023.0314. ［www.chinagp.net］

CHEN Y Y，MENG Y C. Legal regulation of cross-border flow of health data in Australia and its implications for China［J］. Chinese General Practice，2024，27（25）：3091-3099.

? Editorial Office of Chinese General Practice. This is an open access article under the CC BY-NC-ND 4.0 license.