医疗专家视角 医疗健康行业数据合规的现状及合规建议

  医疗健康行业与每个人的生活息息相关，包括疾病诊断、体检在内的医疗事务，需要大量处理患者、药物等信息，从而涉及重要数据和敏感个人隐私信息的储存和处理。同时，医疗信息化及互联网医疗在疫情的催化下加快速度进行发展，传统医疗行业的数据孤岛现状被打破，医疗数据利用互联网流通、共享的趋势愈发明显，健康医疗数据合规问题日渐受到重视。

  另一方面，《网络安全法》、《数据安全法》、《个人隐私信息保护法》以及多部医疗健康行业的法律和法规不断公布和生效，一同搭建了较为完善的医疗数据监督管理体系，为医疗数据的合规治理提出了更高的要求。

  目前，我国针对医疗数据的监管规定分散在不同的法律和法规中，缺少明确统一的规定，关于健康医疗数据的定义也存在多种说法。例如，《国家健康医疗大数据标准、安全和服务管理办法（试行）》将健康医疗大数据定义为“在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”；而《信息安全技术健康医疗数据安全指南》（GB/T 39725，下文简称“指南”）则定义健康医疗数据为“包括个人健康医疗数据及由个人健康医疗数据加工处理之后得到的健康医疗有关数据”。

  结合定义的全面性，企业在进行具体数据合规工作时，可以借鉴指南中的定义。根据指南给出的定义，其认为健康医疗数据包含两方面，一方面为通常意义上的个人健康医疗数据，例如患者的门诊病例、体检结果等，另一方面为个人健康医疗数据经分析处理后得到的医疗大数据，如群体健康情况、发展的新趋势等。指南的定义指出了医疗健康数据合规的未来趋势，既要保证个人健康医疗数据的合规性、安全性，也要注重群体医疗大数据等个人健康医疗数据的“加工品”的管控。

  医疗数据，依据不同的维度、角度进行分类，具体的分类也必然不同。例如，根据目前法律和法规文件发布情况，可大致分为医疗健康大数据（《国家健康医疗大数据标准、安全和服务管理办法（试行）等》）、病历资料（《电子病例应用管理规范》等）、人类遗传资源（《人类遗传资源管理条例》）、人口健康信息《人口健康信息管理办法（试行）》、临床试验数据（《医疗器械临床试验质量管理规范》等）。而根据《信息安全技术健康医疗数据安全指南》中对于健康医疗数据的分类，可以分为人属性数据、健康情况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据。

  一方面，医疗健康行业的法律和法规陆续发布生效，不仅包括《网络安全法》《数据安全法》《个人隐私信息保护法》三法，还会涉及《民法典》、《刑法》以及《信息安全技术健康医疗数据安全指南》等法律文件，共同构建了一个愈加完善的医疗数据合规体系。另一方面，针对医疗数据的监管性规定较为分散，涉及多个不同的法律和法规，因此，相关主体在收集、处理医疗数据时，可能会同时受到多个法律和法规的监管，医疗数据合规工作面临巨大挑战。

  （2）主体类型复杂、业务场景多变、尤其是互联网医疗模式的兴起，为合规工作带来挑战

  根据指南的定义，健康医疗数据涉及主体类型复杂，既包括患者、医生等个人，也包括医院、检测检验机构、医疗器械企业、药店、医疗信息化服务商、医保中心、卫生行政监管部门、保险公司等机构。

  涉及到的业务场景也很复杂且多变，既包括传统意义上的个人身份信息、疾病诊断、疾病治疗等有关数据，也包括医疗交易、医院数据运营、疾病监测数据等更广义的数据，而且基于市场需求的一直在变化，新技术、新主体以及新的数据收集、解决方法也在快速迭代。

  同时，互联网医疗模式的兴起，也在某些特定的程度上冲击了传统医疗行业的数据壁垒，推动了医疗数据的流通及共享，为医疗数据治理带来了新的要求和挑战。

  健康医疗行业存在较多中外合作医疗项目及跨国经营的大健康行业企业机构，其跨境业务将会涉及到非常多的重要数据及敏感个人隐私信息，因此医疗数据跨境传输的合规问题是其必须要考虑和面对的。

  同时，由于目前医疗数据相关立法较为分散，跨国企业在数据出境时可能会受到多部法律法规的管控，例如《人类遗传资源管理条例》对于人类遗传资源的跨境行为进行监管。

  《数据安全法》要求国家要建立数据分类分级管理制度，而公司能够按此原则建立、完善数据分级分类的管理机制。具体可参考《信息安全技术健康医疗数据安全指南》，该文件不仅仅规定了医疗健康数据的分类情况，还按照数据的重要性和风险级别以及会造成的危害程度，进一步将健康医疗数据划分为5级进行分级管理。具体为:

  （1）第1级：可完全公开使用使用数据例如医院名、地址、电话等，可直接在互联网上面向公众公开。

  （2）第2级：可在较大范围内供访问使用的数据例如不能标识个人身份的数据，各科室医生经过申请审批能够适用于研究分析。

  （3）第3级：可在中等范围内供访问使用的数据例如经过部分去标识化处理，但仍可能重标识的数据，仅限于获得授权的项目组范围内使用。

  （4）第4级：在较小范围内供访问使用的数据例如可以直接表示个人身份的数据，仅限于相关医护人员访问使用。

  （5）第5级：仅在极小范围内且在严格限制条件下供访问使用的数据例如特殊病种（艾滋病、性病）的详细资料，仅限于主治医护人员访问且有必要进行严格管控。

  在科学完善的分类分级管理体系下，医疗机构可以更好地依据数据所属分类和风险级别制定具有针对性的管理措施，一方面能够有限节约医疗机构数据治理的成本及难度，另一方面也能为医疗数据的监督管理质量提供保障。

  医疗机构等主体在收集医疗数据时，大致存在两种情形：一种是直接从患者、医生等个体获取数据，此类收集行为需要严格按照法律和法规要求，遵循“告知—同意”义务。另一种为医疗机构通过与第三方合作获取数据，医疗机构应当与第三方签订相关协议并按照有关规定法律法规和合同约定对数据进行使用和管理。同时，在第三方传输数据前，特别是在超出采集数据原有目的、范围、方式时，要求第三方重新告知数据接收方的使用目的、范围、方式，并取得数据主体的单独同意。

  结合现有法律和法规，推动数据共享活动的规范化、标准化，实现对共享数据全生命周期的管控机制。建立事前安全影响评估程序，针对风险规避等方面进行全面审查并签订符合共享目的且内容完备的医疗数据共享协议，以确保数据共享存在的风险能够有效评估和约定。事中应重点审查数据是否安全共享以及数据共享目的是否实现，以跟进共享计划的实现。事后应建立数据共享追溯机制，及时总结和梳理数据共享过程中存在的问题和不足，进一步优化数据共享管控机制。

  医疗机构宜尽可能采用替换、重排、截断或掩码等措施，将个人属性数据中可间接关联到个人的信息进行泛化、转换等处理，通过去标识化技术对医疗数据中涉及到的个人信息进行去标识化处理，以进一步保障数据主体的合法权利。

  随着市场需求的不断发展，医疗机构等主体收集、处理的数据来源渠道更加复杂，面临的业务场景也更加多变。

  在外部法律和法规数据治理要求不断严格的背景下，健康医疗行业的企业和机构急需构建科学的数据分类分级体系并积极履行相关义务，适时更新内部合规管理制度和完善数据合规保障机制，既保证企业机构数据管理的合规性，也能为患者、医生等个体提供可以信赖的数据安全环境，促进良性发展。

  以上文章转载自【 熊猫法律星球 】公众号，不代表本号观点。润识教育转发各行业资讯和观点，旨在与学员或行业内人士分享交流。对于这篇文章的观点，你有什么想法？欢迎评论区留言。

  润识教育是集国际性、专业性、实用性于一体的高端教育培训解决方案平台，致力于通过国际教育和培训产品，解决企业及企业家的教育和发展问题，协助中国企业精准高效地提升企业竞争力，助力企业家解决高品质的终身教育问题。

  IPAG巴黎高商-健康管理博士项目，依托法国巴黎五大（法国及欧洲公共卫生领域研究的领军院校）和上海交大医学院优势师资，结合国外的前沿管理理论，针对国内医疗机构的真实的情况和特定环境，让医疗机构管理人士能获得系统及专业的训练，从战略角度思考目前所面对的医疗机构管理问题和挑战，掌握医疗行业领导者所应具备的现代管理知识和领导技巧，引领企业成为新时期中国医疗健康领域的探索者和领航者。返回搜狐，查看更加多