文 | 天元律师事务所       黄伟 周雯2020年7月3日，《中华人民共和国刑法修正案（十一）草案》（“《草案》”）公开征求意见，其中新增了严重危害国家人类遗传资源安全的犯罪。根据《草案》，非法采集人类遗传资源、非法出境人类遗传资源材料、以及未经安全审查非法对外提供/开放使用人类遗传资源信息的行为可能面临最高七年有期徒刑的刑事责任。
参照此前历次刑法修正案的时间表，从草案公布到正式生效版本的时间跨度一般为六个月左右。因此，如何利用好这六个月左右的时间窗口来全面排查可能的刑事法律风险、做好人类遗传资源活动的合规工作，是在中国从事人类遗传活动的企业所亟需解决的问题。
本文中，我们首先介绍了《草案》中的相关法条，接下来我们就如何预防中国人类遗传资源活动中的刑事法律风险，提出了简要建议，最后我们就企业如何做好中国人类遗传资源活动的全面合规工作，提出了简要建议。
一、《草案》关于严重危害国家人类遗传资源安全犯罪的相关规定
《草案》第二十二条规定，“在刑法第三百三十四条后增加一条，作为第三百三十四条之一：“违反国家有关规定，有下列情形之一，危害公众健康或者社会公共利益，情节严重的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金：
非法采集国家人类遗传资源；
非法运送、邮寄、携带国家人类遗传资源材料出境的；
未经安全审查，将国家人类遗传资源信息向境外组织、个人及其设立或实际控制的机构提供或者开放使用的。
从上述规定来看，直接从事相关非法人类资源资源活动的人员，以及授意\指示该等活动的相关主管人员等，视其犯罪行为情节轻重，可能面临三年以下有期徒刑、拘役或者管制，甚至可能面临三年至七年不等的有期徒刑，并可能被并处罚金。相关单位也可能因为员工的上述行为而违反《中华人民共和国人类遗传资源管理条例》（“《条例》”），面临巨额罚款、1至5年甚至永久的人类遗传资源活动的从业禁令等行政责任。
二、企业应尽快排查在中国人类遗传资源活动中可能的刑事法律风险，做好相应的合规工作
针对《草案》所列的可能刑事法律风险，我们认为相关企业可以重点排查以下环节，做好合规工作：
（一）针对非法采集人类遗传资源的风险
根据《条例》的规定，外国企业、个人及其实际控制的机构被严格禁止从事中国人类遗传资源的采集工作。因此，我们建议相关外国企业及其实际控制的企业重点排查：
是否采集了中国人类遗传资源材料，例如全血、血清、血浆、组织切片等包括含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料；
是否采集了利用中国人类遗传资源材料产生的数据等信息资料，例如临床数据、影像数据、生物标志物数据、基因数据、蛋白质数据、代谢数据等。
对于中国企业而言，除排除是否从事中国人类遗传资源采集工作外，我们建议进一步排查：
是否按要求进行了人类遗传资源的采集工作，包括这些人类资源资源是否获得了被采集主体的明示同意、同意的形式内容是否符合规定等；
是否获得了所需的行政审批，包括采集的人类遗传资源是否涉及重要遗传家系、特定地区，是否涉及121种罕见病，或者采集的总数是否超过500例，如有任一情况，则进一步排查是否按要求获得了采集的行政许可等。
（二）针对非法出境人类遗传资源材料的风险
针对这一风险，我们建议企业重点排查以下项目，以防止人类遗传资源材料被不当转移、使用甚至运送出境：
相关科学研究项目或者临床试验项目中的人类遗传资源材料是否存储、隔离得当，是否采取了保护措施；
企业对人类遗传资源材料是否有合适的接触控制、操作记录等内部控制程序；
企业对剩余人类遗传资源的处置是否得当等等。   
（三）针对未经安全审查，对外提供或开放使用人类遗传资源信息的风险
针对这方面风险，我们建议企业要从内部审批控制制度、可能的电子化传输路径等多方面进行全面排查，具体而言：
企业是否有合适的人类遗传资源信息存储保护措施、传输保护制度、接触控制程序等内部制度/程序；
企业是否有涉人类遗传资源信息公开发表（例如研究文章/演讲/会议论文）的前置审批程序；
企业的项目小组交流规则、集团内部的科学研究交流平台、以及集团内部的科学研究报告制度是否合规；
企业用于或者可能用于传输人类遗传资源信息的邮箱服务器、云端服务商是否位于境外；
企业用于扫描、分析、检测人类遗传资源材料的相关实验/检测设备是否与境外联网；
相关利用人类遗传资源的科研项目或临床试验项目是否使用了外资的第三方数据服务商等，是否会引发人类遗传资源信息的对外提供风险；
是否存在其他可能造成人类遗传资源信息对外提供风险的实践。
三、企业应尽快做好中国人类遗传资源活动的全面合规工作
除《草案》规定的刑事责任外，《条例》对违法从事人类遗传资源活动的行为也同步规定了非常严重的行政责任。因此，我们建议企业同时按照《条例》及其配套指南的要求，全面排查中国人类遗传资源活动的相关法律风险。例如，企业可排查：（1）是否存在应报未报利用人类遗传资源的项目；（2）项目开展形式是否符合规定；（3）是否存在对外提供人类遗传资源材料和信息的行为；（4）是否妥善处理了剩余人类遗传资源；（5）是否存在超审批范围利用人类遗传资源的情况等等。
参照我们目前协助相关医药企业进行人类遗传资源活动合规的相关经验，我们建议企业在发现风险后，及时与专业律师团队讨论、确定合适的应对方案。例如：（1）与专业律师团队或者合规人员讨论采取合适的措施、及时停止相关违法行为；（2）适当、合规地保存相关信息以及证据；（3）进一步自查其他可能的关联风险；（4）拟定好积极的、合适的整改应对方案；（5）有节奏地采取合适的补救措施；（6）讨论是否以及如何向主管机关报告或者沟通；（7）恰当地处理与相关合作方关系等等。
此外，我们还建议公司也要从制度、流程、文化、设备等方面建立全面的人类遗传资源管理的合规体系。这包括但不限于：（1）完善操作手册，明确每一环节下员工的合规操作；（2）制定规范人类遗传资源接收、存储、接触、使用、处理的内部规则以及措施；（3）明确相应员工的授权规定以及相应的权限；（4）更新数据安全管理规定，以符合人类遗传资源信息的相关监管要求；（5）制定合规手册，明确可为与不可为；（6）进行必要的合规培训等等。
声明
-本文仅为交流目的，不代表天元律师事务所的法律意见或对法律的解读，如您需要具体的法律意见，请向相关专业人士寻求法律帮助；
-本文系天元律师事务所原创，如需转载，请注明来源。