一、认识医疗数据
1、数据广泛定义
医疗数据与一般数据相比,第一个特点在于其内容上的广泛性。《数据安全法》第3条将数据定义为任何以电子或者其他方式对信息的记录。对于医疗数据,不只原始的、初次采集的数据是医疗数据,其衍生物也是数据。《医疗卫生机构网络安全管理办法》(以下简称“《医疗机构网安办法》”)第3条不但将临床、科研、管理等业务数据、医疗设备产生的数据、个人信息等均归入医疗数据,甚至其数据衍生物也被归入医疗数据。
《信息安全技术-健康医疗数据安全指南》(以下简称“《指南》”)也把个人健康医疗数据加工处理之后得到的健康医疗相关电子数据纳入健康医疗数据的范畴。《人类遗传资源管理条例》(以下简称“《人遗条例》”)第2条则将人类遗传资源信息定义为利用人类遗传资源材料产生的数据等信息资料。
2、数据类别及遵循法律法规复杂
1. 数据种类多
健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别,具体内容如表 1 所示。在卫生信息领域使用的数据元、数据集、值域代码
a) 个人属性数据是指能够单独或者与其他信息结合识别特定自然人的数据。
b) 健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。
c) 医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。
d) 医疗支付数据是指医疗或保险等服务中所涉及的与费用相关的数据。
e) 卫生资源数据是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。
f) 公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。
其中个人属性数据、健康状况数据、医疗应用数据、医疗支付数据均属于个人信息;收入、社保卡、个人生物识别信息、健康状况数据、医疗应用数据、医疗支付数据均属于敏感个人信息;基因、遗传咨询数据、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测均属于遗传资源信息;环境卫生数据、传染病疫情数据、疾病监测数据均可能构成重要数据。
2. 适用法律法规
医疗数据依据其数据种类的复杂性,受到不同领域法律法规的重叠约束。
涉及人类遗传资源的,应遵守:《人遗条例》、《人遗条例实施细则(征求意见稿)》、《中国人类遗传资源保藏审批行政许可事项服务指南》等;
涉及临床试验的,应遵守:《生物安全法》、《药品管理法》、《药品管理法实施条例》、《药物临床试验质量管理规范》(以下简称“《GCP》”)《临床试验的电子数据采集技术指导原则》、《临床试验数据管理工作技术指南》、《药物临床试验数据现场核查要点》等;
涉及医疗卫生的,应遵守:《基本医疗卫生与健康促进法》、《医疗机构管理条例》《医疗纠纷预防和处理条例》、《医疗机构网安办法》、《互联网医院管理办法(试行)》、《医疗机构病历管理规定》、《电子病历应用管理规范(试行)》等;
此外,医疗数据还应遵守数据合规的一般管理规定,包括:《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络数据安全管理条例(征求意见稿)》、《数据出境安全评估办法》、《个人信息出境标准合同规定(征求意见稿)》等。
3、数据使用角色以及流通场景说明
针对特定数据特定场景,相关组织或个人可划分为以下四类角色。对任何特定组织或个人,围绕特定数据,在特定场景或特定的数据使用处理行为上,其只能归为其中一个角色。
a) 个人健康医疗数据主体(以下简称“主体”):个人健康医疗数据所标识的自然人。
b) 健康医疗数据控制者(以下简称“控制者”):能够决定健康医疗数据处理目的、方式及范围等的组织或个人。包括提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等,其以电子形式传输或处理健康医疗数据。判断组织或个人能否决定健康医疗数据的处理目的、方式及范围,可以考虑:
1) 该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规规定所必需;
2) 该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需;
3) 该项健康医疗数据处理行为是否由该组织或个人自行决定;
4) 是否由相关个人或者政府授权。
共同决定一项数据使用处理行为的目的、方式及范围等的组织或个人,为共同控制者。
c) 健康医疗数据处理者(以下简称“处理者”):代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据,或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。常见的处理者有:健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。
d) 健康医疗数据使用者(以下简称“使用者”):针对特定数据的特定场景,不属于主体,也不属于控制者和处理者,但对健康医疗数据进行利用的相关组织或个人。
基于不同角色之间的数据流动,数据流通使用场景可分为以下6类,如下图所示。
1) 主体-控制者间数据流通使用;
2) 控制者-主体间数据流通使用;
3) 控制者内部数据流通使用;
4) 控制者-处理者间数据流通使用;
5) 控制者间数据流通使用;
6) 控制者-使用者间数据流通使用。
二、医疗行业(综合医院)为什么要开展数据分类分级工作
综上所述,医疗行业数据种类多且复杂,业务应用场景也丰富,同时也面临各方面法律制约,满足相应的合规要求.
另外医疗行业的健康医疗数据一方面为智慧医院建设提供重要支撑,蕴含着巨大价值,另一方面也包含了大量的个人隐私,隐藏着巨大的数据安全风险。如何在充分释放健康医疗数据价值的同时,开展数据安全治理工作,防范健康医疗数据泄露、保护患者个人隐私,是健康医疗大数据时代的重中之重。
数据安全场景也很多,根据《信息安全技术-健康医疗数据安全指南》总结出6大类场景.
(一) 医生调阅数据安全
适用于医生在提供健康医疗服务过程中调阅相应患者数据的场景。医生所在的组织承担控制者角色,患者承担主体角色。
(二) 患者查询数据安全
适用于患者通过在线方式查询其本人健康医疗数据的场景。患者承担主体角色。
(三) 临床研究数据安全
临床研究指以患者或健康人为研究对象,由医疗机构、学术研究机构和/或医疗健康相关企业发起的,以探索疾病原因、预防、诊断、治疗和预后为目的的科学研究活动。临床研究可以是医疗机构临床医生发起的科研项目,政府资助的科研项目,科研机构发起的以社会公共利益为目的的医学科学研究,或者涉及公共卫生安全的临床科学研究,也可以是医疗健康相关企业发起的以科学或商业为目的的临床研究。临床研究一般是在学术性的医学中心、研究机构或者医疗科研机构进行,其过程主要包括临床试验的方案设计、组织实施、监查、核查、检查,以及数据的采集、记录、统计、分析总结和报告等。
临床研究主要包括以下类型:
a) 按临床数据获取方法区分:回顾性临床研究和前瞻性临床研究;
b) 按研究目的区分:临床基础研究、临床应用研究和临床路径研究;
c) 按产品获准上市与否区分:产品上市前研究和产品上市后研究。
以产品上市获批为目的的临床试验的数据安全,请参照相关主管部门规定,不属于本标准范畴。
基于真实世界数据的临床研究是根据在日常医疗实践中收集的病人医疗数据及产品使用效果进行临床研究。
将人工智能(包括深度学习)技术应用于医疗健康领域,提供辅助决策、健康咨询、辅助提高健康医疗服务及健康保险理赔效率、质量及专业水平,在产品研发和验证阶段,如果需要涉及到患者及相应群体的数据,本质上属于临床研究的范畴。
(四) 二次利用数据安全
适用于第三方(政府部门、科研人员、企业等)出于数据二次利用(使用目的与数据被收集时的使用目的不同)的非营利性目的申请健康医疗数据,涉及数据量大,包含可识别身份的信息,无法联系主体或联系主体成本过高的情况。用于医疗、医疗费用支付等为患者本人服务或其他法律法规规定的数据使用情况和临床研究数据使用情况不在此范围。
涉及的相关方包括数据汇聚中心和第三方,其中数据汇聚中心(医疗机构、区域卫生信息平台、医联体、学术平台等)为控制者,第三方为使用者。
(五) 健康传感数据安全
健康传感数据是指通过健康传感器采集的,在软件支持下感知、记录、分析,与被采集者健康状况相关的,应用于医疗服务和健康生活的一切数据。例如:监测诊疗数据(血氧饱和度、血压、血糖心率、睡眠);行为情绪数据(跑步距离、行走轨迹、步数、消耗能量、锻炼时长);环境数据(紫外线指数、污染指数、温度、湿度、噪声)。
涉及的相关方包括个人、医疗机构、医保机构、商业保险公司、健康服务企业、信息系统服务商等。
a) 主体:佩戴健康传感设备的人员。
b) 控制者:使用健康传感设备采集健康医疗数据的机构包括但不限于医疗机构、医保机构、健康服务企业。
c) 处理者:为控制者提供服务的机构,包括但不限于信息系统服务商。
(五) 移动应用数据安全
移动应用是指通过网络技术为个人提供的在线健康医疗服务(例如在线问诊、在线处方)或健康医疗数据服务的移动应用程序(例如个人电子健康档案)。符合医疗器械定义的应用,由医疗机构使用的用于现场健康医疗服务的应用(例如协助医生采集、使用患者在院内(门、急诊,住院)诊疗信息应用),不在本节范畴之内。
所涉及的相关方主要是应用发布者。应用发布者是指与个人签订应用软件使用许可协议的主体,可以是政府机构、医疗机构、医保机构、商业保险公司、科研机构、医药企业、医疗器械厂商、健康服务企业、数据服务企业或其他独立民事主体。
在移动应用的前端主要涉及主体和控制者,在移动应用的后端,主要可能涉及控制者、处理者和使用者。
(五) 商保对接数据安全
购买商业保险的主体,在定点医疗机构就医时,除医保费用报销范围外,涉及其他的医疗费用,且在商业险责任范围内的,经其授权同意,商业保险公司通过与医疗机构建立连接的医疗信息系统,及时掌握主体的就诊治疗情况及发生的费用相关信息,从而根据商业保险公司的核赔规则自动进行支付结算等理赔业务。在医疗机构与商业保险公司建立连接时,宜在医疗信息系统对接前、对接中与对接后的三个阶段实施有效的安全措施确保健康医疗数据的安全。
(六) 商保对接数据安全医疗器械数据安全
具有联网或存储功能的医疗器械数据安全主要涉及器械生产、使用和维护三个环节。
人工智能(包括深度学习)辅助决策医疗器械软件属于医疗器械的范畴。
三、医疗行业(综合医院)怎么开展数据分类分级工作
总体原则:循序渐进,有序推进
分部门+分业务线或者信息系统进行
下面分享电子病历分类分级
第一步:预置规则
HIPPA《健康保险可携性和责任法案》、《中华人民共和国个人信息保护法》、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)都提出了个人信息保护要求,特别是保护个人可识别信息。因此在庞杂的医疗数据中,同样需将“个人可识别信息”作为敏感数据类别之一,并对患者和医护的个人信息加以分别。其中“患者个人信息”根据标识性强弱分为以下四类:
01 个人身份标识性信息(A4数据) 属于个人信息的强标识数据,能够唯一关联到个人,包括:证件号码、电话号码、健康卡号、城乡居民健康档案编号、地址 ( 详细到门牌号 )、电子邮件地址等。 02 个人间接标识性信息(A3数据) 属于个人信息的标识数据,能够间接关联到个人,包括:姓名、生物标识(如基因)、(个人手机 / 设备)设备标识符和序列号、IP 地址(个人设备地址)、全脸摄影图像和任何类似的图像等。 03 个人弱标识性信息(A2数据) 能够确定较小范围的个人弱标识数据,包括:出生日期、所属行政区域、邮政编码、单位电话号码、单位名称等。 04 个人特征性(统计)信息(A1数据) 包括:年龄、血型、性别、学历、籍贯等,以及相应的代码。
“医护个人信息”同样根据个人信息的标识性强弱分为:B4数据、B3数据、B2数据、B1数据四类。
“电子病历诊疗数据”是体现患者就医过程的完整数据,可以结合诊疗过程对收集、产生、处理的数据进行分类,包括:挂号、处方、用药、健康状况(病史、过敏史等)、医嘱信息、检查检验信息、手术麻醉信息、助产信息、护理信息、出入院记录信息等,覆盖完整的电子病历诊疗过程,并根据患者电子病历诊疗数据的隐私程度进行分级。
第二步:资产梳理
基于网络嗅探技术,自动发现指定网段范围下活跃或静默的数据库资产;支持国内外主流数据库、大数据生态系统的数据扫描,梳理医疗数据资产清单,为分类分级、精细化管控奠定数据基础。
第三步:分类分级
通过分类分级工具预置医疗数据自动分类分级规则进行自动分类分级,标识“患者个人信息”、“医护个人信息”、“电子病历诊疗数据”等类别和级别。
第四步:场景化数据集合分级
对电子病历中“个人信息”和“诊疗数据”的字段进行分类分级是数据安全治理的第一步。在实际业务场景中,所有对数据的存储和数据的访问都将以数据集合的形式存在,单一字段的数据通常不会泄露患者的隐私数据。因此,对数据集合的定级是促进数据的开放利用和数据安全之间平衡的重要措施。
L4级数据集合 L4级属于高敏感数据集合,会直接泄露患者的个人隐私数据(A3 及以上数据)和个人诊疗敏感数据(C3 数据);例如:电话号码+姓名、电话号码+现病史等。 L3级数据集合 L3级属于敏感数据集合,会对个人隐私数据(A3 及以上)和个人诊疗敏感数据(C3 数据)提供较为直接的引导;例如:IP+生物标识、姓名+门诊号等。 L2级数据集合 L2级属于弱敏感数据集合,直接或间接地泄露患者的就诊过程数据(C2 数据)或者个人一般数据 (A2 及以下 ),会引起对患者某方面病症的猜测;或者会对发现个人高度隐私数据(A3 及以上)和个人诊疗敏感数据(C3 数据)提供较为间接的引导;例如:姓名+出生日期、姓名+护理记录。 L1级数据集合 L1级属于非敏感数据集合,不会泄露个人隐私和患者隐私;例如:出生日期+性别、年龄+病症。
基于业务场景所需的字段进行场景化数据集合分级,不仅能够将医疗数据的分类分级结果切实地应用到实际业务场景当中;同时也是对每一个业务场景的数据集合交易,明确标识其敏感级别,为数据、数据集合的应用提供安全管控依据;是“让安全‘懂’业务、让业务‘知’安全”的关键。
