相关法律问题的思考

2017年6月1日，网络安全法正式生效。该法首次在法律层面确定了数据出境评估制度。根据该法第37条的规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

鉴于本案发生于网络安全法生效之前，自不存在适用网络安全法的可能。但网络安全法实施之后，鉴于卫生医疗行业领域的单位有可能被认定为关键信息基础设施运营者，意味着今后类似案件可能还需要受到网络安全法的规制。需要注意的是，网络安全法第37条还规定了“法律、行政法规另有规定的，依照其规定”。目前，作为行政法规的《人类遗传资源管理条例》已经被纳入了2018年的国务院立法规划，正在紧张的制定中。一旦该条例通过且对人类遗传资源的出境作了特殊规定，则应当优先适用该条例的规定。此外，网络安全法第37条相关的配套制度，例如，《关键信息基础设施安全保护条例》《个人信息和重要数据出境安全评估办法》《信息安全技术　数据出境安全评估指南》等也均未出台。未来，与本案类似案件具体如何处理，仍需要密切关注这些相关规定的动向。