□全文 | 6294字 阅读时间约22分钟
□作者 | 许立昕、吴欣悦
□编辑 | 郑烨
在医疗大数据产业飞速发展,《个人信息保护法》《数据安全法》等相关法律法规不断出台的背景下,医疗行业面临着日益严苛的数据合规要求。近年来,医疗数据资源运营又成为众多医疗服务机构、医药研发商、医疗设备制造商、医疗系统技术方等数据处理者关切的发展方向,更使得数据合规深入贯彻在数据处理的始终。
目前,国内已经有部分法律法规提出了医疗领域数据与信息的部分定义及分类,如病历资料、临床数据、人类遗传资源等,但尚未出台专门的法律法规对医疗数据的类型进行较为全面的划分与定义。针对目前各项法律法规所梳理的医疗数据概念,基本可梳理如下:
表1:医疗数据定义
病历资料 | ||
人口健康信息 | 依据国家法律法规和工作职责各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。 | |
处方数据 | ||
(二)国家标准
在国家标准范围内,《数据安全技术 数据分类分级规则》系针对所有数据提出的分类分级方法理论,可以运用于医疗领域;此外,针对健康医疗数据的梳理,可以参考《信息安全技术 健康医疗数据安全指南》(以下简称“健康医疗安全指南”)。
根据《健康医疗安全指南》,健康医疗数据是指个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据,如经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。
从类别上而言,健康医疗数据包括个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据。
健康状况数据:指能够反映个人健康情况或同个人健康情况有着密切关系的数据。
医疗应用数据:指能反映医疗保健门诊,住院出院和其他医疗服务情况的数据。
医疗支付数据:指医疗或保险等服务中所涉及的与费用相关的数据。
卫生资源数据:指可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。
公共卫生数据:指关系到国家或地区大众健康的公共事业相关数据。
表2:健康医疗数据类别与范围(来源《健康医疗安全指南》)
整体而言,开展数据处理活动遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。处理个人信息的还应当遵守合法、正当、必要和诚信原则,目的明确和最小化处理原则,公开透明原则、质量原则、责任原则和安全保障原则。
针对医疗数据,《国家健康医疗大数据标准、安全和服务管理办法(试行)》第2条特规定:“国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用。”
(一)直接收集数据
医疗数据处理者直接向个人采集医疗数据的,需要注意保障个人知情权的问题。采集个人健康医疗数据,应当充分公开处理数据的规则,告知其处理数据的目的、方式和范围等,并取得个人的同意或满足其他法律法规规定的条件。同时,医疗数据与敏感个人信息的重合度较高,在收集涉敏感个人信息的医疗数据时,还应当具有特定目的和充分必要性,采取严格保护措施,充分告知并取得个人单独同意。
(二)间接获取数据
通过授权、共享及委托等间接方式取得医疗数据的数据处理者所面临的数据合规风险更加复合,至少应当对以下内容进行重点关注:
其一,数据处理协议。为了避免数据提供方与数据接收方可能存在的法律纠纷,在签署数据处理协议时就应当对数据本身(数据类型、内容、质量、数量等)、双方涉数权利义务、法律责任等内容进行明确的约定。作为数据接收方,尤其应当确保数据授权使用范围满足实际处理的需要。同时,在签署数据处理协议后,双方均须严格按照协议约定处理数据。
其二,数据来源。数据来源合法是数据处理的基础。数据接收方有必要确保数据提供方的医疗数据来源合法,包括取得数据提供方对自行生产、公开收集、间接获取等数据来源的说明及对数据权属的合法性承诺函等。
(三)特殊规定
此外,部分医疗数据可能涉及到重要数据或受行政特别监管等,需要遵循有关特别规定。
以人类遗传资源为例,《人类遗传资源管理条例》还强调了采集个人遗传资源的准入审批与特殊告知同意义务。采集人类遗传资源的,需满足具有法人资格;采集目的明确、合法;采集方案合理;通过伦理审查;具有负责人类遗传资源管理的部门和管理制度;具有与采集活动相适应的场所、设施、设备和人员等的条件,经国务院科学技术行政部门批准,在采集人类遗传资源前,无论该种采集是否需要行政许可,均应全面、完整、真实、准确地告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利,征得人类遗传资源提供者书面同意。
(一)网络与数据安全保护义务
网络安全与数据安全是数据合规长期关注的重点。《国家健康医疗大数据标准、安全和服务管理办法(试行)》指出医疗数据管理与使用制度,数据备份、加密认证、访问控制等技术措施,医疗数据安全监测和预警系统等安全管理事项的必要性。
根据《网络安全法》的规定,存储医疗数据要履行网络安全保护义务,制定网络安全管理制度,确定网络安全负责人,采取保障网络与数据安全、监测网络风险的技术措施。同时,针对数据处理活动,还应当履行数据安全保护义务,建立健全全流程数据安全管理制度,落实数据分类分级保护,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
(二)存储地点限制
医疗数据原则上一般存储在境内。《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十二条规定,健康医疗数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。
目前,《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息出境标准合同办法》等规定奠定了我国数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行格局。但医疗领域数据的敏感性和重要性较高,有关数据出境活动在遵循一般的数据出境法律合规要求的基础上,还将面临一些专门针对医疗健康领域的数据出境设定的特殊限制。
一方面,部分医疗数据严禁出境。以人口健康信息为例,《人口健康信息管理办法(试行)》规定,责任单位严禁在境外服务器中存储或托管此类人口健康信息。根据该规定,医疗数据处理者掌握的人口基本信息、医疗卫生服务信息等人口健康信息只能存储于中国境内,无法传输出境。
另一方面,部分医疗数据出境存在其他前置条件。以人类遗传资源信息为例,《人类遗传资源管理条例》规定,将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,不得危害我国公众健康、国家安全和社会公共利益;可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院卫生健康主管部门组织的安全审查。将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院卫生健康主管部门备案并提交信息备份。根据该规定,人类遗传资源信息提供出境的,应当向国务院卫生健康主管部门审查备案。
(三)存储时间限制
对于数据处理者而言,数据存储期限是一个不能忽视的问题。《个人信息保护法》规定,个人信息的保存期限应当为实现处理目的所必要的最短时间。而医疗数据存储期限也存在着各种各样的限制:
《互联网诊疗监管细则(试行)》规定,互联网诊疗病历记录按照门诊电子病历的有关规定进行管理,保存时间不得少于15年。诊疗中的图文对话、音视频资料等过程记录保存时间不得少于3年。
《处方管理办法》规定,普通处方、急诊处方、儿科处方保存期限为1年,医疗用毒性药品、第二类精神药品处方保存期限为2年,麻醉药品和第一类精神药品处方保存期限为3年。处方保存期满后,经医疗机构主要负责人批准、登记备案,方可销毁。
《药品网络销售监督管理办法》规定,药品网络销售企业应当完整保存供货企业资质文件、电子交易等记录。销售处方药的药品网络零售企业还应当保存处方、在线药学服务等记录。相关记录保存期限不少于5年,且不少于药品有效期满后1年。
《医疗器械网络销售监督管理办法》第12条规定,从事医疗器械网络销售的企业应当记录医疗器械销售信息,记录应当保存至医疗器械有效期后2年;无有效期的,保存时间不得少于5年;植入类医疗器械的销售信息应当永久保存。相关记录应当真实、完整、可追溯。
《医疗机构病历管理规定》规定,门(急)诊病历由医疗机构保管的,保存时间自患者最后一次就诊之日起不少于15年;住院病历保存时间自患者最后一次住院出院之日起不少于30年。
表3:医疗数据存储期限规定
(一)敏感数据的安全保障
众所周知,在使用数据前进行匿名化、去标识化、脱敏化等操作是降低数据安全风险的重要步骤。《个保法》明确规定,个人信息处理者应采取相应的加密、去标识化等安全技术措施,《信息安全技术 个人信息去标识化指南》等文件也为个人信息处理者提供了具体的指导。
然而,区别于一般数据,医疗数据多与人身健康密切关联,一旦脱敏、去标识化等就会使数据处理者难以实现其收集医疗数据的目的,无法提供相应服务。因此在实务中,医疗数据处理者正面临着不得不使用敏感数据的问题。以电子病历为例,《电子病历应用管理规范(试行)》规定,电子病历系统应当设置病历查阅权限,并保证医务人员查阅病历的需要,能够及时提供并完整呈现该患者的电子病历资料。呈现的电子病历应当显示患者个人信息、诊疗记录、记录时间及记录人员、上级审核人员的姓名等。
针对必须使用敏感数据的情况,数据处理者应当在一般数据安全措施的基础上进一步加强数据加密、访问认证、权限控制等措施手段,规范数据接入、使用和销毁过程的痕迹管理,确保医疗数据访问、处理行为可管、可控及服务管理全程留痕,可查询、可追溯。如《互联网诊疗监管细则(试行)》规定,医疗机构应当保证互联网诊疗活动全程留痕、可追溯,并向省级监管平台开放数据接口。
省级卫生健康主管部门应当按照“最少可用原则”采集医疗机构的相关数据,重点包括医疗机构资质、医务人员资质、诊疗科目、诊疗病种、电子病历、电子处方、用药情况、满意度评价、患者投诉、医疗质量(安全)不良事件等信息,对互联网诊疗整体情况进行分析,定期向各医疗机构及其登记机关反馈问题,并明确整改期限,医疗机构在收到省级卫生健康主管部门问题反馈后应当及时整改,并将整改情况上传至省级监管平台,同时报其登记机关。
(二)数据接收方审查
当医疗数据需对外提供时,数据处理者应当对数据接收方的数据安全能力进行审查。除签署数据处理协议外,核实数据接收方的数据安全保障水平及技术措施也是值得数据处理者关注的重点事项,包括但不限于数据安全评估、个人信息保护影响评估等。
同时,部分医疗数据的提供存在行政限制。如《医疗机构病历管理规定》规定,其他医疗机构及医务人员因科研、教学需要查阅、借阅病历的,应当向患者就诊机构提出申请,经同意并办理相应手续后可查阅、借阅。公安、司法、人社、保险以及负责医疗事故技术鉴定的部门,因办理案件、依法实施专业技术鉴定、医疗保险审核或仲裁、商业保险审核等需要的,可在提供相关证明材料后获取相关数据。
(三)数据处理者变更
数据处理者发生更名、收购、破产、注销等变更的情形属于数据提供的特殊情形。《信息安全技术 个人信息安全规范》指出,变更后的个人信息控制者应继续履行元个人信息控制者的责任和义务,如破产且无承接方的,对数据做删除处理。除个人信息以外,医疗数据处理者掌握的其他医疗数据还可能受到相关领域的法律法规规定限制。如《互联网诊疗监管细则(试行)》规定,互联网医院变更名称时,所保管的病历等数据信息应当由变更后的互联网医院继续保管。
互联网医院注销后,所保管的病历等数据信息由依托的实体医疗机构继续保管。所依托的实体医疗机构注销后,可以由省级卫生健康主管部门或者省级卫生健康主管部门指定的机构按照规定妥善保管。
医疗数据合规作为一把双刃剑,既对医疗数据处理者解读法律法规规定带来了挑战,却又为医疗数据处理者的长远、稳健发展指引了安全的道路。在现有的法律法规、国家标准等文件不断升级医疗数据合规要求的当下,我们愿与诸位医疗数据处理者共同应对风险挑战,为医疗数据合规之路保驾护航,助力医疗事业的健康发展。
声明:转载仅做分享,本文著作权归原创者所有,如有侵权请联系小编进行删除。
