《人類遺傳資源管理條例實施細則（徵求意見稿）》要點解讀_風聞

走出去智庫觀察

3月22日，科技部發布《人類遺傳資源管理條例實施細則（徵求意見稿）》（下稱“《徵求意見稿》”），徵求意見截止時間2022年4月21日。《徵求意見稿》在管理體制、資源採集及保藏、安全審查等方面都提出了相關規定，並明確規定了人類遺傳資源包括人類遺傳資源材料和人類遺傳資源信息。

走出去智庫（CGGT）特約法律專家、金杜律師事務所顧問李佳指出，2021年4月15日起我國正式實施的《生物安全法》，對人類遺傳資源的監管正式提高到了法律層面，此次科技部發布的《徵求意見稿》中，對外方單位的判斷、人類遺傳資源信息的處理以及人類遺傳資源信息出境的安全審查等規則進行了進一步細化。其中，特別是對外提供人類遺傳資源信息，還需遵守《網絡安全法》、《數據安全法》以及《個人信息保護法》等法律法規下個人信息和重要數據出境的法律要求。

《徵求意見稿》有哪些重點？對於企業合規工作來説有什麼啓示？今天，走出去智庫(CGGT)刊發金杜律師事務所李佳、王薇、唐瑞修的分析文章，供關注人類遺傳資源管理的讀者參閲。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

**1、**進一步明確外方單位的認定標準。《生物安全法》和《人類遺傳資源管理條例》均規定，境外組織、個人及其設立或者實際控制的機構（也即“外方單位”）不得在我國境內採集、保藏我國人類遺傳資源，不得向境外提供我國人類遺傳資源。《徵求意見稿》針對外方單位定義中的“實際控制”一詞，通過情形列舉加兜底的方式做出了規定，進而明確了外方單位的認定標準。

2、突出強調向境外傳輸人類遺傳資源相關數據需履行多部法律項下要求。不僅需要按《生物安全法》等規定向科技部進行備案，並且，由於人類遺傳資源信息與《網絡安全法》、《數據安全法》以及《個人信息保護法》項下的“重要數據”和“個人信息”等概念存在部分重疊，因此對外提供人類遺傳資源信息，還需遵守該等法律法規下個人信息和重要數據出境的相關要求。

**3、**進一步細化了人類遺傳資源信息相關的安全審查制度。根據《人類遺傳資源管理條例》，將人類遺傳資源信息向外國組織、個人及其設立或者實際控制的機構提供或者開放使用，可能影響我國公眾健康、國家安全和社會公共利益的，應當通過國務院科學技術行政部門組織的安全審查。《徵求意見稿》在此基礎上採取列舉加兜底的方式，對“可能影響我國公眾健康、國家安全和社會公共利益”的需要接受安全審查的情形作出了進一步具體解釋，並且在安全審查評估程序中引入了專家評估的流程。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/李佳、王薇、唐瑞修

金杜律師事務所

我國對於人類遺傳資源的管理，始於中國人類遺傳資源管理辦公室1998年頒佈的《人類遺傳資源管理暫行辦法》。之後，《人類遺傳資源採集、收集、買賣、出口、出境審批行政許可事項服務指南》和《中華人民共和國人類遺傳資源管理條例》（下稱“《管理條例》”）於2015年和2019年陸續頒佈，對人類遺傳資源的採集、保藏、利用和對外提供作出了更明確的要求，相關行為的審批流程也得到了進一步規範和完善。而2021年4月15日起正式實施的《生物安全法》，在強調人類遺傳資源安全重要性的同時，將對人類遺傳資源的監管正式提高到了法律層面。

從上述規定的制定與發佈不難看出，我國正不斷強化對人類遺傳資源的管理力度。而在**2022年3月22日由科技部發布的《人類遺傳資源管理條例實施細則（徵求意見稿）》（下稱“《徵求意見稿》”）中，外方單位的判斷、人類遺傳資源信息的處理以及人類遺傳資源信息出境的安全審查等規則得到了進一步細化。**本文將結合《徵求意見稿》的最新規定，對實務中廣受關注的要點和疑難問題進行解讀，供廣大企業參考。

01、外方單位如何認定？

**《生物安全法》和《管理條例》均規定，境外組織、個人及其設立或者實際控制的機構（也即“外方單位”）不得在我國境內採集、保藏我國人類遺傳資源，不得向境外提供我國人類遺傳資源。**據此，如果企業被認定為外方單位，其在我國可開展相關業務範圍將會受到嚴格限制。

但是，上述兩個法規中並沒有規定“實際控制”的具體判斷標準，導致實務中企業對“外方單位”進行自主判斷相對困難。據我們非正式瞭解，此前實踐中監管部門對於外方單位的執法尺度傾向於較為嚴格，除了外商投資企業以外，境外組織或個人間接持股（例如，外商投資企業境內再投資的企業），或者境外組織或個人通過VIE架構協議控制的企業，也可能會被認定為屬於外方單位。

而本次《徵求意見稿》在重申外方單位在人類遺傳資源處理方面的禁止行為的同時，對“實際控制”的判斷標準問題通過情形列舉加兜底的方式作出了回應。《徵求意見稿》第12條規定：

“外方單位是指境外組織及境外組織、個人設立或者實際控制的機構。

上述所稱實際控制包括下列情形：

·境外組織、個人持有或者間接持有機構百分之五十以上的股份、股權、表決權、財產份額或者其他類似權益；

·境外組織、個人持有或者間接持有機構的股份、股權、表決權、財產份額或者其他類似權益雖然未達到百分之五十，但其所享有的決策機構表決權或其他權益足以對該機構的決議或對該機構的決策、內部管理產生重大影響；

·境外組織、個人通過協議或者其他安排，足以對機構的決策、經營管理等重大事項施加重大影響；

·科技部認定的其他情形。

據此可以瞭解，在人類遺傳資源監管領域，“實際控制”參考了《公司法》對“控股股東”和“實際控制人”[1]的定義，其判斷採取的是“多數股權+實際決策控制能力”的標準。由此可見，通過VIE架構協議控制的企業被明確列入了監管範圍。

相比《外商投資法》對“外商投資”採取的“外國投資者直接或者間接在中國境內進行的投資活動”[2]的判斷標準，《徵求意見稿》實際上對“外方單位”的範圍進行了限縮，並非所有的外商投資企業都將被禁止從事人類遺傳資源的處理。按照《徵求意見稿》的規定，對於無法對企業的決策、內部管理產生重大影響的，且持股未達50%的境外組織、個人而言，其很有可能不會被認定為外方單位。

值得注意的是，“實際控制”的判斷標準與《經營者集中審查暫行規定》第4條所列舉的“控制權”[3]的判斷因素存在近似。我們理解，這體現了不同部門之間以及不同監管領域之間執法協同化的趨勢。今後《徵求意見稿》是否還會進行進一步調整，以及其將會如何落地實施，值得關注。

02、向境外傳輸人類遺傳資源相關數據需要履行什麼手續？

1.人類遺傳資源信息的出境需要向科技部進行備案

《徵求意見稿》第30條規定，“將人類遺傳資源信息向境外組織、個人及其設立或者實際控制的機構提供或者開放使用的，應當向科技部指定的信息備份機構提交信息備份並向科技部備案”，對《生物安全法》第57條和《管理條例》第28條第2款的相關內容進行了重申。因此，在對外提供人類遺傳資源信息前需要履行相應的數據備份手續。

而關於“人類遺傳資源信息”的界定，《徵求意見稿》第2條規定：“人類遺傳資源信息是指利用人類遺傳資源材料產生的人類基因、基因組數據等信息資料”。相較《生物安全法》第85條第（八）項、《管理條例》第2條中“利用人類遺傳資源材料產生的數據等信息資料”的定義，《徵求意見稿》對人類遺傳資源信息的範圍進行了限縮，僅限於涉及人類基因、基因組的數據等信息材料。這也與此前科技部於2022年3月4日更新的《人類遺傳資源管理常見問題解答》中“僅收集不含人類遺傳資源信息的數據，不在人類遺傳資源管理範圍”的見解一致。對此，企業應當密切關注《人類遺傳資源管理條例實施細則》的立法進程，及時確認哪些數據構成“人類遺傳資源信息”，並在對外提供相關數據時履行相應備份手續。

另外，需要注意的是，《徵求意見稿》新增了關於人類遺傳資源信息備案變更的要求，即第67條規定：“已備案的對外提供或開放使用人類遺傳資源信息用途變化等重大事項變更，合作方應及時終止備案記錄、上傳總結報告，並根據重大事項變更情況進行備案變更”，但沒有對“重大事項變更”作出進一步解釋。因此，何種情形下需要進行信息備案變更，仍待相關規定進一步予以明確。

2.人類遺傳資源信息出境還需遵守個人信息或重要數據出境的法律要求

我們注意到，《徵求意見稿》第1條中將《數據安全法》列為其制定依據之一。並且，《管理條例》第9條和《徵求意見稿》第9條均規定了尊重人類遺傳資源提供者的隱私權並就人類遺傳資源的處理應取得事先知情同意的要求。該等規定實際上體現了人類遺傳資源信息與《網絡安全法》《數據安全法》以及《個人信息保護法》項下的“重要數據”和“個人信息”等概念存在部分重疊，因此對外提供人類遺傳資源信息還需遵守該等法律法規下個人信息和重要數據出境的法律要求。

首先，人類遺傳資源信息如能識別到特定個人，則屬於“個人信息”。《個人信息保護法》第28條針對敏感個人信息所列舉的幾種示例中，包括了生物識別、醫療健康等信息；而參考國家推薦性標準《信息安全技術 個人信息安全規範》附錄A，“個人基因”被列入“個人生物識別信息”，也就是説，個人基因或基因組數據將會落入個人敏感信息的範疇。因此，在向境外提供人類遺傳資源信息時，除了符合人類遺傳資源相關的監管要求，還需符合《個人信息保護法》關於敏感個人信息處理以及個人信息出境的相關規定。具體包括：應“具有特定的目的和充分的必要性，並採取嚴格保護措施”的要求，應事先徵得個人的單獨同意，應滿足法定出境要件之一（例如，通過國家網信部門組織的出境安全評估），等等。就對外提供個人信息的出境安全評估的具體要求，《個人信息出境安全評估辦法》也在制定過程中，值得持續關注。可以預見，未來向境外提供人類遺傳資源信息時，不僅需要向科技部進行備案，可能還需履行個人信息出境安全評估手續。

**其次，人類遺傳資源信息還可能構成《數據安全法》第21條規定的重要數據，甚至是“關係國家安全、國民經濟命脈、重要民生、重大公共利益等”的國家核心數據。**參考正在制訂中的國家標準《信息安全技術 重要數據識別指南》的徵求意見稿，“反映羣體健康生理狀況、族羣特徵、遺傳信息等的基礎數據，如人口普查資料、人類遺傳資源信息、基因測序原始數據屬於重要數據”。因此，向境外提供人類遺傳資源信息的主體，還應遵守《數據安全法》第31條並參照《數據出境安全評估辦法（徵求意見稿）》第4條等相關法規的規定，應當依法向國家網信部門申報並通過數據出境的安全評估。

此外，涉及人類遺傳資源信息處理的企業大多處於醫療、食品藥品或生物科學等行業，可能會根據《關鍵信息基礎設施安全保護條例》而被認定為“關鍵信息基礎設施運營者”[4]。而對於關鍵信息基礎設施運營者，無論是《個人信息保護法》《網絡安全法》還是《數據安全法》，都規定了非常嚴格的監管要求。例如，均要求關鍵信息基礎設施運營者將個人信息和重要數據存儲在中國境內，確因業務需要而向境外提供時，需事先通過主管部門組織的安全評估，等等。

03、《徵求意見稿》對安全審查制度進行了哪些規定和調整？

《生物安全法》在第20條中將生物安全審查制度作為生物安全風險防控體制的一項重要制度，規定國家“對影響或者可能影響國家安全的生物領域重大事項和活動，由國務院有關部門進行生物安全審查，有效防範和化解生物安全風險”，但其規定較為概括。而具體的人類遺傳資源信息的安全審查制度初見於《管理條例》第28條。根據該條，將人類遺傳資源信息向外國組織、個人及其設立或者實際控制的機構提供或者開放使用，可能影響我國公眾健康、國家安全和社會公共利益的，應當通過國務院科學技術行政部門組織的安全審查。

《徵求意見稿》第48條再次強調了該制度。同時，《徵求意見稿》第49條採取列舉加兜底的方式，對“可能影響我國公眾健康、國家安全和社會公共利益”的情形作出了進一步解釋，其規定：“安全審查的情形包括對外提供或者開放使用以下信息：（一）重要遺傳家系的人類遺傳資源信息；（二）特定地區的人類遺傳資源信息；（三）500人以上人羣的外顯子組測序、基因組測序信息資源；（四）可能影響我國公眾健康、國家安全和社會公共利益的其他信息。”

此外，《徵求意見稿》第50條規定：“科技部會同相關部門制定安全審查原則，組織相關領域專家進行安全審查評估，並根據專家安全審查評估意見做出決定”，將專家引入安全審查評估中，使得評估的科學性和合理性有了進一步提升。

《徵求意見稿》目前只對需要接受安全審查的情形作出了具體規定。就安全審查的具體程序，今後科技部是否會參照外商投資領域的安全審查辦法等，作出進一步細化規定，值得關注和期待。

04、開展哪些人類遺傳資源的國際合作科學研究需要備案？

《管理條例》第22條第2款規定：“為獲得相關藥品和醫療器械在我國上市許可，在臨牀機構利用我國人類遺傳資源開展國際合作臨牀試驗、不涉及人類遺傳資源材料出境的，不需要審批。但是，合作雙方在開展臨牀試驗前應當將擬使用的人類遺傳資源種類、數量及其用途向國務院科學技術行政部門備案”。

對此，《徵求意見稿》第41條將需要備案的內容明確規定為：“合作各方、擬使用的人類遺傳資源種類、數量及其用途等”，並將需要備案的情況細化至：“（一）所涉及的人類遺傳資源採集、檢測、分析和剩餘樣本處理等在臨牀機構內進行的；（二）所涉及的人類遺傳資源在臨牀機構內採集，並由相關藥品和醫療器械上市許可臨牀試驗的臨牀試驗方案指定的境內單位進行檢測、分析和剩餘樣本處理的”。

此外，《徵求意見稿》第41條還將探索性研究與普通的臨牀研究進行了區分，規定前者應申請國際合作科學研究行政許可。

05、國際合作科學研究變更審批手續應如何辦理？

《管理條例》第23條規定：“在利用我國人類遺傳資源開展國際合作科學研究過程中，合作方、研究目的、研究內容、合作期限等重大事項發生變更的，應當辦理變更審批手續”。

在《徵求意見稿》中， “重大事項發生變更”的相關情形得到了明確。其第61條規定：“在利用我國人類遺傳資源開展國際合作科學研究活動中，應當向科技部申請變更許可的情形包括：（一）申辦方、組長單位、合同研究組織、第三方實驗室發生變更的；（二）研究目的發生變更的；（三）研究內容發生變更的；（四）合作期限等重大事項發生變更的”，同時要求“重大變更申請應在變更實施前1個月進行申報”，對變更審批手續進行了完善。

另外，《徵求意見稿》第62條規定了屬於國際合作許可的非重大變更的幾種情形[5]，並且規定非重大變更無需申請變更許可，“但應向科技部提交相應材料作出説明和進行報備”。就此，系本次《徵求意見稿》新增的制度，故需要特別注意。

06、需經批准的人類遺傳資源採集對象有哪些？

關於需經批准的人類遺傳資源採集對象，《管理條例》第11條規定“重要遺傳家系、特定地區人類遺傳資源或者採集國務院科學技術行政部門規定種類、數量的人類遺傳資源”。

就此，《徵求意見稿》進行了細化。根據《徵求意見稿》第31條，“重要遺傳家系”是指 “患有遺傳性疾病或具有遺傳性特殊體質或生理特徵的有血緣關係的羣體，患病家系或具有遺傳性特殊體質或生理特徵成員涉及三代以上（含三代）”，且“高血壓、糖尿病等常見多基因疾病的人類遺傳資源採集不在此列”；“特定地區人類遺傳資源”則是指“在隔離或特殊環境下長期生活，並具有特殊體質特徵或在生理特徵方面有適應性性狀發生的人羣遺傳資源”，且“特定地區不以是否為少數民族聚居區為劃分依據”。此兩點規定與科技部之前發佈的《中國人類遺傳資源採集審批行政許可事項服務指南》（下稱“《指南》”）基本一致。

另外，對於“國務院科學技術行政部門規定種類、數量”，《徵求意見稿》第31條規定“用於大規模人羣研究3000例以上的採集活動”作為需要審批的對象。我們注意到，《指南》中，“規定數量”為“累計500人以上”。可見，《徵求意見稿》實際上提高了需要提交審批的人類遺傳資源採集對象的門檻。

結語

本次《徵求意見稿》的公佈，使得人類遺傳資源監管體系更加具體，相關制度可執行性變得更強。對於企業而言，應當參考《徵求意見稿》的內容並關注今後《人類遺傳資源管理條例實施細則》的立法和執法動態，及時調整自身的相關應對措施，加強以人類遺傳資源為代表的生物安全領域的合規建設，未雨綢繆。

來源：金杜研究院

腳註：

[1] 《公司法》第216條：……（二）控股股東，是指其出資額佔有限責任公司資本總額百分之五十以上或者其持有的股份佔股份有限公司股本總額百分之五十以上的股東；出資額或者持有股份的比例雖然不足百分之五十，但依其出資額或者持有的股份所享有的表決權已足以對股東會、股東大會的決議產生重大影響的股東。（三）實際控制人，是指雖不是公司的股東，但通過投資關係、協議或者其他安排，能夠實際支配公司行為的人。……

[2] 《外商投資法》第2條第2款、第3款：本法所稱外商投資，是指外國的自然人、企業或者其他組織（以下稱外國投資者）直接或者間接在中國境內進行的投資活動，包括下列情形：