在生命科学领域，从事药品和医疗器械生产、研发、销售相关企业的业务开展与运营过程中通常涉及大量的个人敏感信息和重要数据，例如：人口健康信息、患者临床试验数据、人类遗传信息等。此类信息一旦泄露，不仅会影响企业声誉，致使企业遭受罚款，也会对个人合法利益、社会公共利益乃至国家产生影响。

近年来，国内外生命科学领域网络安全和信息泄露安全事件频发，对个人的隐私保护造成了极大的危害。监管机构相继出台了多项关于网络安全和数据保护的法律法规，如于2017年6月1日生效的《中华人民共和国网络安全法》（“网安法”），于2019年7月1日生效的《中华人民共和国人类遗传资源管理条例》，正在公开征求意见的《数据安全管理办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》、《儿童个人信息网络保护规定（征求意见稿）》等。如何有效保障信息安全，实现数据保护方面的合规，已经成为了从事药品和医疗器械生产、研发、销售相关企业亟需解决的重要问题。

然而，与网络安全和数据保护相关的工作通常涉及企业运营的方方面面，如何抓住重点、有序推进，对于企业提升自身网络安全和数据保护能力而言尤为关键。基于对监管要求的梳理和解读，结合行业特性与经验，我们总结出生命科学企业现阶段应关注的网络安全和数据保护工作要点如下，与各位分享和探讨：

网络安全：境内建设、运营、维护、使用的网络和信息系统应分等级实行安全保护，开展等级保护建设、评估与备案工作。

生命科学企业应根据等级保护相关要求，按业务重要程度、系统对外服务可用性、数据的类型和规模等要素，梳理信息系统、网络及其安全边界，明确信息安全责任主体和定级对象，对系统进行定级并适时开展自查、测评与备案工作。

值得注意的是，对于从事药品和医疗器械生产、研发、销售相关企业而言，其工厂电子监管码系统、数据监控及采集系统、实验室系统、环境监测系统、库房控制系统等系统的建设和日常维护，除满足等级保护要求外，还应进一步考虑工控系统建设相关安全合规要求和国家标准。

此外，医疗器械类企业若采用物联网设备或技术开展工作，如提供设备运维和售后服务等， 还应进一步考虑物联网系统建设相关安全合规要求和国家标准。

数据保护：以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案；涉及个人信息和重要数据出境的，应当评估可能带来的安全风险，并报经相关部门同意和批准。

对于从事药品和医疗器械生产、研发、销售相关企业而言，业务运营和开展过程中涉及的外部供应商、经销商等业务合作伙伴，医生、医学研究人员等专业人员，内部员工和候选人的个人信息，均应依法进行保护。此外，研发过程中可能涉及的个人健康生理信息、个人生物识别信息等，均为个人敏感信息，其收集、保存、使用、委托处理、共享、转让、公开披露等环节，应遵循更为严格的保护和控制要求。如若涉及人类遗传资源信息，还应按要求通过相关安全审查并进行备份备案等。

医疗器械类企业在提供设备运维和售后服务的过程中，可能“被动”接触患者的个人健康生理信息、个人生物识别信息等，除遵循个人敏感信息保护的相关要求外，还应依据医疗器械使用者（数据控制者）的特定要求，开展数据保护工作。

需要注意到是，药品安全重大（紧急）信息、药品溯源标识信息、涉及国家战略安全的药品在药品审批过程中提交的药品实验数据、第二类、第三类医疗器械临床试验数据或报告等， 均为行业重要数据，若该类数据存在跨境传输的情况，应遵循相关要求开展数据出境安全评估，出境安全风险为高或极高的，可能被限制出境。考虑到药品和医疗器械经营质量管理的相关要求，建议与经营全过程管理及质量控制相关的信息系统也应实现本地化管理，以有效满足行业监管要求。

此外，企业如若涉及跨境业务和服务，还应进一步考虑相关国家和地区的特定监管要求和行业标准，如欧盟地区的通用数据保护条例（“GDPR”），美国加利福尼亚州的《2018加州消费者隐私法案》（“CCPA”），以及国际标准化组织与信息安全和隐私保护相关的系列标准如 ISO/IEC 29151:2017，ISO/IEC 27001:2013，ISO/IEC 27002:2013，ISO14971:2007等，在不同国家和地区开展业务的企业，应该考虑不同属地的管理要求，妥善协调全球统管和本地差异化管理之间的关系，进行相应的合规操作。同时，企业也应建立和不同属地的监管部门的沟通汇报机制，在开展业务的国家和地区配备相应的资源和管理人员，以配合业务的开展以及与监管部门的沟通。

数字化合规：数字化转型中涉及的对外网站、移动应用、小程序、社交媒体账号，应遵循相关的注册、备案和内容管理要求。

从事药品和医疗器械生产、研发、销售相关企业如通过互联网向用户提供药品或医疗器械信息的，在向国务院信息产业主管部门或者省级电信管理机构申请办理经营许可证或者办理备案手续之前，应向行业主管部门提出申请，获发互联网药品信息服务资格后，方可开办相关网站和服务。

第三方安全与隐私风险亦不容忽视：企业除了注重自身的修炼和提升，在业务和技术外包过程中涉及的第三方安全和隐私风险也应引起关注。

企业业务开展和技术运营过程涉及的特定产品、设备或服务，如重要系统相关的核心网络安全产品或设备、CDN服务、云服务和VPN服务提供商等，应采用具备相关资质或许可的产品、设备或服务提供。

此外，涉及个人信息和重要数据运营或信息安全运维相关的业务流程外包或信息技术外包， 还应妥善做好外包风险管理工作，如应当自行或聘请专业人员对该第三方的信息安全管理和安全保障机制进行尽职调查。

毕马威拥有专业的网络安全团队，在隐私安全和数据保护方面，毕马威能够提供个人信息保护、数据跨境传输、信息系统等级保护评估等多角度，全面化的网络安全咨询服务，协助企业进行全面的数据识别与风险评估，建立有效的管理流程与监管制度，针对生命科学领域的特殊性，实行有针对性的客制化方案。