强监管时代下的医疗大数据将何去何从？-分析-智慧医疗网

当前位置：首页 > 咨询 > 分析

强监管时代下的医疗大数据将何去何从？

发布时间：2023-04-18 来源：OMAHA联盟浏览量：字号：【加大】【减小】手机上观看

打开手机扫描二维码
即可在手机端查看

由国家卫生健康委、国家中医药局、国家疾控局联合印发的《医疗卫生机构网络安全管理办法》对重要数据的利用和个人信息安全做出了更为明晰的规定。患者乃至更为广泛意义上的个人健康数据的流转将越来越有“规矩”。

2021年，《数据安全法》《个人信息保护法》等重要法律的颁布实施，标志着中国在数字经济发展的大趋势下，开始从立法层面平衡个人数据保护、流传与产生价值之间的拿捏之道。

2022年9月举办的中国互联网法治大会上，中国社科院国际法研究所副研究员何晶晶就在演讲中表示，目前我国医疗健康行业面临的合规痛点之一，是医院内大量原有的业务操作流程及隐私协议等不符合法律强监管下的新数据安全要求，但同时又缺乏明确的整改方案。

那么，什么才是符合“规矩”的数据使用与流转呢？

◆ ◆ ◆

数据规范使用时代到来

当前，数据已被视作与土地、劳动力、资本、技术并列的五种生产要素之一。数据要素将因“充分发挥海量数据和丰富应用场景优势”，不仅构筑第四次工业革命的新型基础设施，更因其与实体经济的深度融合，构成经济发展新动力。

在此背景之下，在保护个人隐私前提下使数据有序流动和利用，是激活数据要素潜能、推动数字产业发展的重要一环，这其中的精妙平衡有赖于制度设计。在“医疗+数字化”等领域，体现的格外明显。

早在“十三五”期间，中国已经在探索建设健康医疗大数据“国家队”，在顶层设计方面，2016年6月，国务院办公厅印发了《关于促进和规范健康医疗大数据应用发展的指导意见》，将健康医疗大数据应用发展纳入国家大数据战略布局。

与此同时，中国近些年愈发重视医疗数据的相关立法。去年至今，相关部门已经陆续发布了十多条涉及健康医疗数据安全的法律法规和政策标准，为医疗数据保护与利用提供了更多的制度性工具。尤其是《数据安全法》《个人信息保护法》2021年先后颁布实施，与《网络安全法》共同形成我国数据安全与治理的“三驾马车”，构成了网络安全和隐私保护的完备法律体系，也对医疗行业产生着广泛并且深入的影响。

具体到医疗数据方面，因其具有层次化的特点，除了患者个人信息，还有医药数据、医疗器械类数据、实验和研发数据、医疗物资数据以及公共卫生数据等，需要进行分级分类加以区分和管理。《医疗卫生机构网络安全管理办法》就要求：各医疗卫生机构完成信息资产梳理，摸清本单位网络定级、备案等情况，形成资产清单。同时“各医疗卫生机构应每年对数据资产进行全面梳理”。

现在，在数据分级层面，国家于2021年9月发布《重要数据识别指南》（征求意见稿）对与人口健康相关的重要数据做了一些分类的列举，包括遗传基因的信息，一些诊疗相关的疫情管理相关数据，以及药品和医疗器械的一些实验数据，溯源信息等等，“门类都已经列出来了，企业应该参照这个重要数据的分类先有一个自我的判断，但也要认识到重要数据的识别是一个动态的过程，并非一蹴而就”，一位咨询机构合伙人提出，卫健委等行业主管机构也在不断发布一些本行业的落地细则，“之前也发布过的《健康医疗大数据安全指南》，对本行业的数据也有相应的分类分级。”

“法律已经明确提出对医疗数据进行分类分级保护制度，但病人信息在数据层应用的安全保护和诊疗活动的流动，需要在‘松严’之间做好平衡。太严会影响到平时的诊疗活动，太松会有一些非常严重的数据泄露。”上述信息中心主任表示，“政策首先要具备可执行性。”

“无论是《网络安全法》还是《个人信息保护法》抑或是《数据安全法》，其实最核心的义务之一都是要相关的企业去落实管理责任，责任落实才能去推动最终的安全性工作。”一位咨询公司医疗行业资深合伙人进一步表示。

在这方面，美国的《健康保险携带和责任法案》（HIPPA）、欧洲的《欧洲通用数据保护条例》（GDPR）的演变历史，对于如何实现数据安全和利用的平衡提供了镜鉴。

2018年通过的GDPR对于个人信息的保护及监管达到了新的高度，堪称“史上最严”的数据保护法案。但欧盟也在不断反思个人信息利用限制过严的弊端，认为这不利于形成统一的欧洲数据市场。因此在2020年2月发布《欧洲数据战略》，指出过于严苛而繁琐的个人信息收集约束，可能会导致产业或公共数据供给不足。当年年底欧盟《数据治理法》（草案）就一定程度上改变了既往对数据利用的严苛态度。

◆ ◆ ◆

多管齐下责有攸归

有效的医疗数据规范使用，会实现患者、医疗机构等数据控制者、末端数据使用者三者间的利益平衡，实现隐私保护、数据安全和数据价值挖掘兼备的目标。

这要求医疗数据链条上的所有责任主体“一个也不能少”。上述信息中心主任此前坦言，医院信息部门是重要的参与者和执行者，但无法单独完成这一任务，希望能够通过更多的配套规则细化，将数据安全落实到接触医疗数据的各方，这还包括系统建设方、设备方和临床医生等。”

“风险不应成为数据挖掘、因噎废食的理由。” 一位大型医疗器械公司CIO表示。保护医疗数据的隐私性和安全性是数据利用的前提和基础。这样的保护可从多个方面的组合实现。

通过数据处理、计算方法和管理技术等确保医疗数据隐私是路径之一。比如将原始医疗数据“去标识化”后再利用，即确保合作第三方不能通过数据反向逆推出数据主体，即不能识别出患者的“自然人”身份，但又尽可能保留数据中的“信息”价值，做到共享信息的“可算不可识”。将这样的数据“投喂”给医疗AI等需要大数据学习的新技术业态，安全性也将得到保障。

目前在医疗数据安全方面走在前列的一些医院的做法是，先把数据分等级，将运营数据、患者数据、设备的数据分类分级，根据需要整理好数据，放入虚拟服务器里，运算结果可以由合作方带走，但是原始数据只能销毁，“这符合国家对数据进行全生命周期的闭环管理。”这家医院的信息中心主任说。

参与数据产生、再利用的企业方也需要有更多的自我规范意识。作为医院信息化建设的重要一环，医院信息化服务商、设备厂商处于医院内网与外网用户之间，既是连通二者的桥梁，也是保护网络、信息安全的屏障，同样承担信息安全保障的责任。越来越多的医疗机构也把供应商的信息安全保障能力作为衡量服务商专业化能力的重要标准之一。

上述企业CIO也表示，“无论是产品研发，还是运营、压力测试，企业需要在数字化产品应用的全生命周期中都把数据安全考虑进去，而不是通过事后打补丁的方式。其目前在医院进行的设备远程连接都是在医院客户授权的基础上进行，仅用于客户端故障排除、服务优化和运行效率提升，不会涉及到病人的个人敏感信息。”

在海外严格监管环境下走出的大型跨国企业，对数据安全保护有更早的行业自觉。“据我们的观察，不同公司会有不同档位的策略考虑。第一档是将数据比较彻底的本地化，将数据主体迁移至中国境内。第二档是逐步的本地化，先将敏感信息本地化。数据本地化是个大趋势，布局过程要很久，需要提前筹备。”上述咨询公司医疗行业资深合伙人表示。据悉，GE医疗在宁夏的数据中心就耗时三年才建成。

除了将数据本地化之外，数字化产品的“分等级保护”也非常重要。这也是《医疗卫生机构网络安全管理办法》反复强调的一个政策理念。目前已经有越来越多的企业对产品开展国家级的安全认证。比如GE中国服务守护系统已申请并取得由中国公安部颁发的信息系统安全等级保护三级认证，GE医疗的APM资产云管家和技影随行影像质控平台也双双取得了公安部数据安全“三级等保”认证，且通过了信通院《医疗云计算可信选型评估方案5G医疗边缘云》的测试评估。

据悉，公安部的三级等保是国家对非银行机构的最高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求，包含信息保护、安全审计、通信保密等近300项要求，共涉及测评分类73类，要求十分严格。

前不久，国家发布的《关于印发医疗卫生机构网络安全管理办法的通知》也更加强调了网络安全等级保护的重要性：各级医疗机构应对运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等，并对已定级备案网络的安全性进行检测评估，第二级、第三级、第四级的网络都应委托等级保护测评机构定期开展网络安全等级测评。

由此可见，以公安部三级等保为代表的网络安全等级保护认证，正成为数字医疗的“入场券”。

◆ ◆ ◆

大监管大数据大利用

在医疗数据来源多样化且快速增长的背景下，前沿技术的不断进步使得医疗数据的应用场景越发丰富。医疗信息化厂商、AI公司、商业保险机构、药企等都在积极寻求与医疗机构的合作，实现医疗数据的多场景利用。医疗机构也希望能将多年积累的“沉睡”数据转换为价值，获得更多医学研究意义。

上述信息中心主任表示，基于信息化技术的“新基建”赋能了医院的诊疗和管理效率。他曾和同事使用大量标注的DR胸片影像作为训练样本，通过深度卷积神经网络训练人工智能阅片，让AI在20多万例影像数据中不断“学习影像、识别病灶、以及医生阅片流程和习惯等”。他们把数据脱敏处理后进行智能诊断系统应用模拟，阴性预测准确度为96.77%。使用深度学习为基础的人工智能诊断模型，显著提高基层医疗机构筛查良性胸片的效率、准确率，把医生从大量的、重复性高的工作中解脱，更加关注有问题的片子和患者，有广阔的应用前景。

在CT、磁共振等一些影像设备数据采集端技术研发中，也开始成熟使用基于深度学习技术的数据采集、数据重建等。比如在CT影像链开发过程中，基于AI神经网络技术进行研发，可以通过深度学习高剂量下的高清原始图像，结合基于深度神经网络学习技术的重建算法，让患者在低剂量下完成的扫描，能重建出趋近扫描部位原始图像的、更加精准的影像图，帮助医生更早期发现更加微小的病灶。

上述CIO认为，“新冠疫情爆发让我们愈加认识到了数字医疗能够发挥的巨大作用，疫情防控进入常态后，这一向上发展势头也不会改变。”他预测，后疫情时代的数字化医疗将进一步转向诊疗一体化、出现能真正辅助临床决策的人工智能。而这一切，都有赖于数据的有效利用。在他看来，把数据集中在一起，就可以更多是以患者和疾病为导向来解决问题，而不是以科室为导向来解决问题，再加上大数据赋能下的疾病预防，就可以将人类应对疾病的问题转到健康管理。

2021年11月，《个人信息保护法》推出后率先出台的地方数据法规《上海市数据条例》颁布，体现出了鲜明的激发数据生产要素活力，最大程度挖掘、释放数据价值的立法精神。它强调促进公共数据流通利用，制定公共数据开放清单，持续扩大公共数据开放范围。上海市从2006年开始启动的“医联工程”，就是推动信息共享，强化院间协作的一个优秀样本。

上一篇：日间手术在中国20年，发展情况究竟如何？｜深度解析下一篇：聚焦 | 手术机器人赛道如何选？好项目的筛选标准是什么？深度解析上市及法律关注要点

编辑推荐