作者:四川恒和信律师事务所 黄楠律师
摘要:近年来,信息技术高速发展,我国迎来了新的科技革命和产业革命,数据作为国家发展和行业发展的战略资源已经是不争的事实。党的十九届四中全会明确提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”,正式将数据作为生产要素参与分配。而不同行业有着其本身的模式和特点,不同行业对应的数据有其本身的数据特征,在大的数据合规框架下还需采取细化的行业数据合规方案,方能在安全可控的前提下,真正的发挥数据的价值并创造新的价值。本文就医疗数据合规路径和方法进行了梳理,并探讨提出了医疗数据合规的可落地实施的方法架构。
关键词:医疗数据、数据合规、行业数据、数据特征
一、医疗数据的概念和分类
根据国家市场监督管理总局以及国家标准化管理委员会发布的健康医疗数据安全指南 GB/T 39725-2020 《信息安全技术 健康医疗数据安全指南》(以下简称“安全指南”),医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的医疗健康的相关数据。其定义包含两个层面,第1个层面是个人的健康数据即单独或者其他信息结合后,能够识别特定自然人或反映特定自然人生理或心理健康的相关电子数据。第2个层面是个人医疗健康数据以及由个人医疗医疗数据加工处理之后得到的医疗健康的相关电子数据。
健康医疗数据可以分为以下类别:1.个人属性数据。包含单独或其他信息能够结合识别特定自然人的数据。2.健康状况数据。能够反映个人健康情况或同个人健康情况有着密切关系的数据。3.医疗应用数据。能反映医疗保健门诊,住院出院和其他医疗服务情况的数据。4.医疗支付数据。医疗或保险等服务中所涉及的与费用相关的数据。5.卫生资源数据。可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。6.公共卫生数据。关系到国家或地区大众健康的公共事业相关数据。(详见下图↓)
(图表来源:GB/T 39725-2020 《信息安全技术 健康医疗数据安全指南》)
二、医疗数据合规的路径
当前涉及医疗数据的法律法规和相关技术规范相对繁杂,主要有三大维度,一是基于《个人信息保护法》的合规,二是基于《网络安全法》合规,三是基于《数据安全法》的合规。这三部法律是医疗数据合规的三驾马车,总领了医疗数据合规的基本原则以及基本路径。此外还有涉及到健康医疗大数据的《国家健康医疗大数据标准、安全和服务管理办法(试行)》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》;涉及病历管理的《医疗机构病历管理规定》《电子病历应用管理规范(试行)》《电子病历系统功能规范(试行)》;涉及行业标准规范,由国家市场监督管理总局以及国家标准化管理委员会发布的健康医疗数据安全指南 GB/T 39725-2020 《信息安全技术健康医疗数据安全指南》。此外,欧盟的《通用数据保护条例》(简称“GDPR”)对我们做医疗数据合规也有一定的参考和参照的价值。
这些法律、规范性文件和技术标准贯穿了医疗数据的收集、医疗数据的使用、医疗数据的管理存储、医疗数据的跨境传输等各个环节,也勾勒出了医疗数据合规的四大路径,即医疗数据的收集、管理、使用、传输。
2.1医疗数据收集层面的合规路径,根据不同场景有不同的主体、不同的类别、不同的方式,有着不同的合规要求。
一是针对不同的医疗数据,有不同的收集主体。各主体应遵循最少收集信息的原则,进行收集,并对信息和数据加密和脱敏。医疗卫生计生服务机构在其服务和管理的过程中收集的人口信息、健康信息,医务人员在治疗过程中收集患者的数据信息,健康管理机构通过仪器、设备、app收集被服务者血压,血糖、血氧饱和度、心率、步数等数据,在特殊时期,疾控中心、公安、电信部门或第三方科技公司为进行流行病学统计,进行密切接触者排查而收集的相关的数据。对于医疗数据收集主体应当基于其不同的性质进行区分,判断相应的数据收集权限和收集数据流程,确保在符合《个人信息保护法》信息收集原则的前提下,正常的完成各项工作。
二是针对不同的用途,有不同的收集类别 。有基于人口统计或公共卫生用途收集基本信息的,有基于治疗目的收集患者既往病史的。有基于防疫目的收集人群体温及接触史信息的。
三是针对不同的场景,有不同的收集方式。有经许可同意收集的,也有未经许可收集的,有明示后收集的,也有以隐秘方式收集的,有直接向患者询问进行收集的,也有通过设备采集患者的生理信息数据收集的。有通过app收集采集的,也有通过api数据接口获取间接收集的。
2.2医疗数据管理层面的合规路径,有分级分类、设置角色权限、确保数据安全等基本要求。
一是数据分级分类科学。GB/T 39725-2020 《信息安全技术健康医疗数据安全指南》将医疗数据的类别与范围分为6类:1.个人属性数据; 2.健康状况数据;3.医疗应用数据;4.医疗支付数据;5.卫生资源数据;6.公共卫生数据。将医疗数据划分为5级:第一级即可以完全公开使用的数据,包括可以通过公开途径获取的数据。第二级即可在较大范围内供访问的数据。比如不能标识个人身份的病案,经审核或发表后用于科学研究。第三级即可在中等范围内供访问使用的数据,该类数据需要进行适当的鉴权,限制使用范围。第四级即在较小范围内供访问使用的数据。比如能识别个人信息的病历信息。第五级即在极小范围内且在严格限制条件下供访问使用的数据。这类数据一旦泄露或未经授权披露,可能对个人健康医疗数据的主体造成严重的损害或影响。
二是角色权限合理清晰。应该按照针对特定的数据特定场景,将相关组织或个人划分为以下四类角色:1.个人健康医疗数据主体。即个人健康医疗数据所标识的自然人;2.医疗数据控制者。数据控制者获取数据是基于法律法规所必需、行使其职能所必需或经过合法的授权及许可;3.医疗数据的处理者。代表控制者采集、传输、储存、处理或披露其掌握的医疗健康数据。诸如医院信息化系统的供应商,医疗数据分析公司,诊疗解决方案供应商等。4.健康数据的使用者。针对特定数据的特定场景,不属于主体也不属于控制者和处理者,但对健康医疗数据进行利用的相关组织和个人。比如社区利用防疫数据进行疫情防控。
三是应制定安全应急应制度及预案。总的来说,数据管理的基本要求是在数据收集、管理、使用、传输的过程中应确保数据安全。在采集前应取得知情同意,数据要分级分类,去标识化,加密传输并储存在境内,并考虑数据的容灾机制和销毁机制。
2.3医疗数据使用层面的合规路径,有去标识化、信息披露协议控制、数据安全检查等基本要求。
一是医疗数据的去标识化。对于相关的医疗数据使用控制者应按照GB/T37964-2019标准,建立去标识化的策略和流程,应根据使用目的尽量去标识化。去除个人属性数据中可唯一识别到个人的信息或后会给个人造成重大影响的信息。对于个人属性数据中可间接关联到个人的信息,应进行泛化转化的处理。同时需要注意的是,去标识化还需要满足最小的计数原则,例如去标识化后满足相同描述的人数不少于5,如果某医院本年度诊断为宫颈癌的患者仅4名,计数小于5,则该“宫颈癌”需泛化,以避免被准确识别或推断识别。
二是医疗数据的使用、披露。当数据控制者需要引入处理者或者代为处理数据或者将数据披露给使用者使用时,应通过协议明确各方的责任及相应要求,就数据的使用目的、使用方式及使用范围进行明确的约定,设置相应的数据保密以及数据保护的义务条款。
三是使用数据安全检查。包括逐条核查非医疗目的的使用数据是否获得主体同意?是否明确用途、使用的方式、到期日期、法定权利以及控制者采取的保护措施?是否支持实施主体最少回溯6年查询及数据使用披露情况?是否进行了必要的去标识化处理等?
2.4 医疗数据传输层面的合规路径,有传输协议、传输方式、确保传输数据安全等基本要求。
一是数据传输应通过协议控制,约定双方权利。传输前控制者与申请者须签署数据使用协议,约定双方权责、申请者对数据的保护措施和策略、数据泄漏的应急方案、数据使用的期限。
二是据不同的数据类型,采用不同的传输方式。根据信息的类型、安全级别采取不同的传输方式。通过加密传输、储存的介质载体(USB、移动硬盘)、虚拟桌面远程访问、数据沙箱或局域网(内网)传输等对应方式。
三是确保传输的数据安全。应通过校验技术或密码技术保证个人健康医疗数据在传输过程中的保密性、完整性。同时加密方法的选择应考虑应用场景、传输方式、数据规模、效率要求等。医疗数据加密传输是基本原则而不加密是例外。
三、医疗数据合规的落地方法
医疗数据合规涉及到医疗、法律、信息技术、管理四大领域,需要结合医疗行业的规律,结合医疗机构、公司的本身战略特点选用合适的合规方案和信息化系统,进行流程再造,并在实践中不断检查、改进。此外,还要在突发事件中接受检验。
医疗数据合规落地主要有4个环节:尽调检查、沟通实施、反馈改进、应急处置,而这4个环节是否落地也有明确的指征:一是医疗数据合规体系是否符合机构本身的战略愿景和目标?二是是否建立与医疗数据合规相匹配人事体系?三是是否建立了医疗数据合规的对应的制度规范?四是是否完善了与医疗数据合规对应的工作流程并内化为日常工作习惯? 五是是否使用了能够助力医疗数据合规的信息化工具和系统?六是是否建立了监测和改进的管理机制?七是能否在实践中高效运行并在突发紧急情况下经受住考验?八是能否真正发挥出医疗数据促进本机构发展的核心价值?这是医疗数据合规的八问,也是检查是否落地的重要标准。
一是尽调检查环节。本环节是进场进行系统的尽调检查,包含但并不限于当前医疗健康数据相关的业务及涉及的系统和数据。涉及网络和系统安全的按照GB/T 22-81-2016、GB/T 22239-2019进行处置,涉及基础安全和数据服务安全的按照GB/T 35274-2017进行处置,涉及云计算安全的,按照GB/T 31168进行处置。本环节的工具主要是使用尽调检查清单以及使用对应的安全检查软件。排查当前数据合规的风险,评估影响后果。
二是沟通实施环节。在第一环节的工作基础上,项目律师和机构进行沟通,了解医疗机构、企业的战略愿景和目标,了解医疗机构和企业当前的业务痛点和难点,制作架构图、流程图,制定各个环节应当执行的数据安全相关规章制度、合规策略和合规流程,确定初步的医疗数据合规方案。
三是反馈改进环节。在实践当中持续获得反馈,持续改进。针对监控和检查的结果,采取预防措施和调整措施。持续的优化与机构企业本身特点、日常习惯相符的、相适应的清单及流程。通过培训、监督、整改、督办等方式,确保落地。
四是应急处置环节。分析当前可能存在的危机,回朔历史应急事件,建立应急预案,包括启动应急预案的条件,应急处理流程,系统恢复流程,事件报告流程,事后教育和培训以及心理疏导和人文关怀等内容。此外,还要不定期进行风险测试,在必要的情况下重新开展风险识别并更新策略。
四、医疗数据合规法律服务产品
针对医疗数据合规,我们研发了医疗数据合规法律服务产品。结合医疗机构、相关企业的发展战略及具体情况,检查分析数据合规现状,并针对差异化的特殊要求提供医疗数据合规的完整方案。主要适用于涉及到医疗数据收集、管理、使用、传输的医院、医疗科技类企业、医疗信息系统和设备供应商。主要流程有:
1.了解客户的发展战略,确定具体的医疗数据治理方向。
2.检查客户的医疗数据分类分级现状、安全审查及管理现状、技术防护现状、监测预警现状。
3.实测客户在医疗数据收集、存储、使用、加工、传输、提供、公开等环节的具体流程,进行数据合规分析,并结合具体业务场景提供改进意见。
4.针对客户的特定情况,特殊要求,定制医疗数据合规方案。
5.协助客户同行业主管部门、监管部门沟通。
6.协助客户制定医疗数据合规相关制度和具体的操作指引,定期检查,建立内控制度及合规运营机制。
7.协助客户处理医疗数据安全事件,提供相关的技术支持、咨询和指导。
该产品的价值在于建立医疗数据合规体系一方面是积极响应落实《数据安全法》《个人信息保护法》《网络安全法》等相关法律法规的刚性要求,避免承担相关刑事责任和民事责任的不利法律后果,另一方面是确保医疗数据合规,通过数据的使用及交易为客户产生效益、创造价值,为实现医疗机构和医疗数据相关企业的战略愿景保驾护航。
五、医疗数据合规目前还尚待解决完善的问题
尽管近年来我国的医疗数据相关法律法规不断完善,具体实务当中的医疗数据合规有很大的改进,但目前医疗数据合规仍存在很多尚待解决的问题。
一是医疗数据权属问题。在政府相关部门进行采集数据,患者就诊提供数据,科技公司医疗器械公司通过自己的产品收集到的相关健康医疗数据,以及由此分析而衍生的二次数据的相关权属问题,当前尚没有明确清晰的界定。
二是医疗数据合规主管部门的职能之间存在着交叉和不清晰之处,可能存在监管缺位或运动式执法。医疗行业主管部门国家卫生健康委员会、 网络信息主管部门国家互联网信息办公室、网络安全主管部门公安国安等都拥有对应的监管执法权限。在不同维度,侧重不同领域进行监管和执法。
三是医疗数据的商业化使用模式仍在探索阶段。医疗数据合规是数据合规与医药行业合规的交集,涉及医疗、法律、管理和信息技等多个领域,医疗数据关系着患者的生命安全、个人信息安全和社会和国家公共利益。医疗数据的合规最终目的是要实现医疗数据的保密性,完整性和可用性,确保医疗数据使用和披露过程的合法性和合规性,保护个人信息安全,公众利益和国家安全,同时满足业务发展的需求,为医疗行业发展,为疫情防控等社会卫生措施提供更有效的支持和助力。当前医疗数据的商业化使用及商业模式的形成仍处于探索和完善的阶段,有赖于理论研究者和广大实务工作者不断探索和完善。
本文作者简介:黄楠律师担任成都市律协网络与高新技术专业委员会委员、高新数字经济法律服务创新中心委员,主要业务领域为:网络与高新技术、房地产与建设工程、投融资、民商事纠纷,电子邮箱:huangnan@henghexin.com。
评论留言