观韬视点 | 简评我国人类遗传资源的法律规制现状——以《人类遗传资源管理条例》发布为契机

作者 | 观韬中茂上海办公室  王渝伟 李思筱

责编 | 观韬中茂上海办公室  周知明 邹红黎

2019年6月10日，国务院正式对外公布了我国人类遗传资源管理领域首部行政法规——《中华人民共和国人类遗传资源管理条例》（“条例”）。本篇文章试图在梳理我国人类遗传资源管理法律规制情况的基础上，讨论《条例》带来的变化和突破，并进一步提出我国人类遗传资源法律规制仍然存在的问题和挑战，希望为下一步配套实施细则的制定及企业治理提供更为明确的参考。这里也要特别感谢多位来自基因领域一线的专家从实践角度给予的宝贵意见。

1998年发布的部门规章《人类遗传资源管理暂行办法》，是我国在人类遗传资源管理上迈出的第一步，对我国的人类遗传资源治理具有重要意义。近几年，针对人类遗传资源监管，相关部门虽又陆续发布了一些规定，但是这些规定皆为效力层级较低的规范性文件，针对特定行政审批事项作出，如《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》（“服务指南”），针对人类遗传资源采集、收集、出口出境等行为规定了行政审批要求与流程；又如《关于优化人类遗传资源行政审批流程的通知》，针对为获得相关药品和医疗器械在我国上市许可，规定了持该目的利用我国人类遗传资源开展国际合作临床试验时的审批程序。

整体来看，《条例》出台之前，我国人类遗传资源相关立法效力层级低、分布零散，规制的事项范围也较窄，存在着一些立法空白，导致无法应对复杂、动态的现实情况，也无法为相关主体规范自身行为、行政机关监督管理人类遗传资源相关活动提供具体、统一的标准，具体而言：

• 在防范人类遗传资源外流方面，相关立法以人类遗传资源材料的出口、出境为重点，无对外提供人类遗传资源信息的规制，未关注到采集环节的资源外流风险，国际合作项目相关要求与审批标准严格程度不足以防范境外主体以科研名义盗采我国人类遗传资源；

• 缺乏人类遗传资源采集、保藏、利用方面的标准，相关主体采集、保藏、利用人类遗传资源应遵守的行为规范缺失；

• 相关行政审批的要求与流程零散分布于各规范性文件中，且存在前后不统一的的问题，不利于实现合理保护与充分利用人类遗传资源的平衡；

• 人类遗传资源提供者权益保护缺失，缺乏针对人类遗传资源提供者隐私权、知情权与自我决定权的具体保护措施，不利于建立大众对采集方的信任感，不利于我国人类遗传资源的合理利用与可持续发展；

• 法律责任不完善，仅覆盖到少量违法行为，违法代价小，无法充分遏制人类遗传资源相关违法违规行为。

2019年6月11日颁布的《条例》是我国第一部针对人类遗传资源管理发布的行政法规，也是目前效力层级最高的人类遗传资源相关立法，其出台可以说是我国对人类遗传资源领域立法空白与相关新形势、新问题的积极应对，也是20年来我国人类遗传资源法律制度实践与探索的一个值得肯定的成果。我们关注到，《条例》与先前以《暂行办法》为核心的法律体系相比较，在制度架构、监管力度、立法语言等方面都有很多值得关注的变化，这些变化一定程度上可以解决上文讨论到的立法空白问题，也更适合现今的社会形势与科研实践发展。

从《人类遗传资源管理暂行办法》（“暂行办法”）到《人类遗传资源管理条例》（“条例”），控制人类遗传资源外流仍然是我国关于人类遗传资源相关活动的监管重点，但《条例》对控制人类遗传资源的外流作出了更为具体的规定，包括：

• 明确外方单位需利用我国人类遗传资源开展科学研究活动的，必须采取与中方单位合作的方式；

• 吸纳并优化《服务指南》中关于禁止人类遗传资源买卖的规定、人类遗传资源相关活动行政审批的具体要求；

• 针对国际合作项目提出了更加具体、严格的要求，如要求合作双方必须具有法人资格，中方单位应全过程、实质性的参与研究；

• 关于人类遗传资源对外提供，区分人类遗传资源材料的出境和人类遗传资源信息的对外提供两种情形做出了类型化的规定。

《条例》对人类遗传资源相关活动采取了与数据安全监管模式类似的全流程监管模式，其规定全面覆盖到了人类遗传资源的采集、保藏、利用和对外提供，强化了对人类遗传资源的保护。具体而言：

• 具体化了对外提供人类遗传资源的相关规定（第二十条到第二十八条）；

• 整合并细化了《服务指南》中关于采集特定种类、数量的人类遗传资源的条件及审批要求（第十一条）；

• 新增了保藏我国人类遗传资源的条件与安全要求（第十四条、第十五条）；

• 特别规定采集、保藏、利用、对外提供人类遗传资源应获得人类遗传资源提供者“知情同意”（第九条）。

这样一种全流程的监管模式无疑进一步保证了相关主体在进行人类遗传资源相关活动时有法可依。

《条例》新增了许多关于人类遗传资源利用的政策性原则，明确表达了除加强保护之外，国家支持合理利用人类遗传资源进行研究开发活动的态度。

依据《条例》第六条、第十三条、第十六条到十九条的规定，我国：

• 支持合理利用人类遗传资源进行科学研究、发展生物医药产业、提高诊疗技术、提高我国生物安全保障能力；

• 支持建设人类遗传资源保藏基础平台和大数据；

• 支持相关研究开发活动及成果的产业化；

• 支持开展国际合作科学研究以提升相关研究开发能力与水平。

在《条例》出台之前，针对人类遗传资源的采集，《暂行办法》未规定采集人类遗传资源时须取得人类遗传资源提供者的“知情同意”，《服务指南》在开展人类遗传资源采集或收集活动的条件中提及“知情同意书”这一概念，但未具体就“知情同意”的具体实施方式作出规定。《条例》则针对采集人类遗传资源时取得人类遗传资源提供者“知情同意”的具体实施方式做出了规定，体现了近年来尊重个人的自主决定权、个人信息保护相关监管趋严的大环境。《条例》第十二条具体规定了：

• 采集我国人类遗传资源应事先告知人类遗传资源提供者：

-    采集目的、采集用途；

-    对健康可能产生的影响；

-    个人隐私保护措施；

-    及其享有的自愿参与和随时无条件退出的权利；

• 征得人类遗传资源提供者书面同意；

• 告知人类遗传资源提供者相关信息时，必须：

-    全面、完整、真实、准确；

-    不得隐瞒、误导、欺骗。

我们还关注到，上述《条例》中关于“知情同意”的规定，与《涉及人的生物医学研究伦理审查办法》（“审查办法”）关于开展涉及人的生物医学研究时，受试者“知情同意”的相关规定非常相似，尤其是《条例》规定的人类遗传资源提供者有权“知情”的事项，与《审查办法》规定的知情同意书及项目研究者应向受试者说明的事项基本一致。

另外，在目前国家关于数据与信息的监管趋严的背景下，《条例》关于“知情同意”给出形式的规定相较《审查办法》的更为严格——《审查办法》第三十三条允许在受试者不能以书面形式表示同意时，以口头知情同意代替书面知情同意[1]，第三十九条规定例外情形下可以免除签署知情同意书[2]，《条例》则严格规定人类遗传资源提供者的知情同意必须以书面形式给出，未规定可以口头形式给出知情同意或免除知情同意的例外情形。

综合上述讨论，《条例》应该是参考了《审查办法》的相关规定，并结合人类遗传资源相关活动的特点，对人类遗传资源采集时的“知情同意”进行了有针对性的调整。在一定的场景下，《条例》和《审查办法》可能同时适用，相关主体应同时参考《条例》和《审查办法》开展相关活动以保证其开展的活动合法合规。

与《暂行办法》相比，《条例》罚则相关的规定涵盖了更多违法行为，法律责任也更为具体明晰。《暂行办法》规定的罚则与其监管重点相一致，以防控人类遗传资源外流为核心。《条例》的规定则更广泛的覆盖到了采集、保藏人类遗传资源、利用人类遗传资源开展国际科学研究、向外方单位提供或开放使用人类遗传资源信息、买卖人类遗传资源等场景，与《条例》采取的“全流程”监管模式相一致。另外，《条例》对部分违法行为设定的罚金较高，基本上为50万以上，违法所得超过100万的，罚金最高可达违法所得的10倍。[3]也就是说上不封顶。

《条例》虽已突破性的就人类遗传资源相关活动采取了全流程监管的模式、进行了较为全面的规制，但仍存在一些需要进一步澄清与解决的问题。另外，面对《条例》这一崭新的行政法规，企业也必须结合其他相关领域的规定，再次审视自身业务模式，制定可落地的解决方案。下文具体就我们关注到的实践难点——法律规制方面的遗留问题及企业面临的多重监管挑战，进行讨论。

“无条件退出”权利如何落实

依据《条例》第十二条规定，人类遗传资源提供者享有“随时无条件退出”的权利[4]，然而《条例》上下文及其他相关行政规定未曾提及人类遗传资源提供者行使本条所述“随时无条件退出”的权利时，采集和保藏人类遗传资源的相关主体应对其掌握的相应人类遗传资源作何处理，及是否需要销毁或删除相应的人类遗传资源。为避免“无条件退出”的权利名存实亡，立法机关需对相关主体应采取的反应措施做进一步规定。

“外方单位”概念模糊

《条例》对“外方单位”所下定义为“外国组织及外国组织、个人设立或者实际控制的机构”。这一定义引入了“实际控制”这一判断标准，然而关于如何界定“实际控制”本就无明确规定且容易发生争议，“实际控制”标准使“外方单位”这一概念内涵与外延的不确定性增加。另外，VIE架构在我国被广泛使用，考虑到境外SPV实际上为境内主体所控制，关于WOFE及WOFE控制的内资企业是否属于外国组织、个人设立或实际控制的机构也可能存在争议。

知情同意例外情形缺失

《条例》第12条规定，采集人类遗传资源必须获得人类遗传资源提供者的书面同意，但是《条例》及其他相关规定未设置资源采集环节可以口头同意代替书面，或无需获得知情同意的例外情形。例外情形的缺失可能使本条在实践中显得略微死板，无法合理应对特殊情形。

《条例》规定人类遗传资源信息是指“利用人类遗传资源材料产生的数据等信息资料”。上述“人类遗传资源信息”可能同时构成国家秘密、个人信息、重要数据、健康医疗大数据等其他类型信息和数据中的一种或多种，人类遗传资源信息相关活动因此面临着医疗领域相关法律法规与数据领域相关法律法规的多重监管，具体而言：

人类遗传资源信息可能构成国家秘密

《条例》第四十六条规定：“人类遗传资源相关信息属于国家秘密的，应当依照《中华人民共和国保守国家秘密法》和国家其他有关保密规定实施保密管理”

人类遗传资源信息可能构成个人信息中的“个人敏感信息”

以基因检测报告为例，基因检测报告与医院或其他检测机构留存的其他记录相结合可以识别到个人时，属于个人信息。另外，根据《个人信息安全规范》附录B《个人敏感信息判定》，检验报告属于个人健康生理信息，人健康生理信息属于个人敏感信息。[5]依据上述规定，基因检测报告属于个人健康生理信息，构成个人信息中的“个人敏感信息”。

人类遗传资源信息构成个人信息的，相关活动应注意遵守《网络安全法》的相关规定，并参考推荐性国标《信息安全技术个人信息安全规范》。

人类遗传资源信息可能构成“重要数据”

推荐性国标《数据安全出境评估指南（征求意见稿）》附录A《重要数据识别指南》A.18特别将家族的遗传信息列为人口健康领域的重要数据。[6]若构成“重要数据”，人类遗传资源信息出境前，应依法进行安全评估。[7]

人类遗传资源信息可能构成《人口健康信息管理办法（试行）》中的“人口健康信息“，受该管理办法监管

根据《人口健康信息管理办法（试行）》第三条的规定，人口健康信息指：“各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。”

若构成“人口健康信息”，应注意《人口健康信息管理办法（试行）》第十三条规定：“涉及保密信息和个人隐私信息的，不得对外提供”。

人类遗传资源可能构成健康医疗大数据，受到《健康医疗大数据管理办法国家健康医疗大数据标准、安全和服务管理办法（试行）》的监管

根据《健康医疗大数据管理办法国家健康医疗大数据标准、安全和服务管理办法（试行）》第四条的规定，健康医疗大数据指：“人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”。

基于上述人类遗传资源信息面临多重监管的现实情况，相关主体在进行人类遗传资源信息采集、保藏、利用及对外提供时应注意准确判断收集的信息是否具有多重属性，并遵守相应法律法规的不同规定。

长久以来，我国人类遗传资源法律规制存在着立法层级低，法律规定分散，未能覆盖资源采集、保藏、利用环节，资源提供者权益保护缺失等问题。《条例》的颁布在一定程度上回应并解决了上述问题，标志着我国人类遗传资源监管又往前迈出了一大步。然而，为落实新法规，立法机关还需要澄清新规定中的模糊之处，处理好新旧规定的衔接，尽快完善配套实施细则，相关主体也需要重新审视其业务模式，尽快针对新的合规要求作出相应的调整与准备，以在符合法律规定的前提下合理、高效利用人类遗传资源。

[1]《涉及人的生物医学研究伦理审查办法》第三十三条，项目研究者开展研究，应当获得受试者自愿签署的知情同意书；受试者不能以书面方式表示同意时，项目研究者应当获得其口头知情同意，并提交过程记录和证明材料。

[2]《涉及人的生物医学研究伦理审查办法》第三十九条，以下情形经伦理委员会审查批准后，可以免除签署知情同意书：（一）利用可识别身份信息的人体材料或者数据进行研究，已无法找到该受试者，且研究项目不涉及个人隐私和商业利益的；（二）生物样本捐献者已经签署了知情同意书，同意所捐献样本及相关信息可用于所有医学研究的。

[3]详见《人类遗传资源管理条例》第三十六条至第四十三条。

[4]《人类遗传资源管理条例》第十二条，采集我国人类遗传资源，应当事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利，征得人类遗传资源提供者书面同意。

[5]《个人信息安全规范》附录B《个人敏感信息判定》规定，“个人健康生理信息”包括“个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况产生的相关信息等”；“个人生物识别信息”包括“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等”。

[6]数据安全出境评估指南（征求意见稿）》附录A《重要数据识别指南》A.18，重要数据包括但不限于：

a)在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息；

b)突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私和相关疾病、流行病学信息等；

c)医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息；

d)人体器官移植医疗服务中人体器官捐献者、接受者和人体器官移植手术申请人的个人信息；

e)人类辅助生殖技术服务中精子、卵子捐献者和使用者以及人类辅助生殖技术服务申请人的个人信息；

f)计划生育服务过程中涉及的个人隐私；

g)个人和家族的遗传信息；

h)生命登记信息。

[7]《网络安全法》第三十七条，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。