「 道可特法视界第 1657 篇原创文章 」
目 录
(一)医疗行业数据概况 (二)医疗行业数据立法分析
(三)医疗行业数据监管动态
(四)医疗行业数据治理建议 医疗行业数据立法分析 医疗行业数据治理规范框架大致可以划分为五级分类:法律、司法解释、行政法规、部门规章和相关规范标准。 01. 相关法律规定分析 2021年1月1日起实施的《民法典》第一百二十七条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”《民法典》明确将“健康信息”归入个人信息的保护范畴内,第一千二百二十五条规定了医院妥善保管病历及向患者提供查询的义务。但鉴于数据和网络虚拟运营的复杂性,《民法典》并没有具体界定医疗数据的权利属性和内容,而是做出准用性规范和委任性规范。 此外,数据往往涉及安全问题,医疗行业数据亦不例外。2017年6月1日实施的《网络安全法》是关于网络空间安全的基本法律,也是目前涉及数据安全的主要执法依据。与医疗行业数据治理较为相关的,主要是首次系统地规定了对个人信息(包含医疗数据)的保护。 2021年9月1日开始实施的《数据安全法》单独针对重要数据提出了的具体保护要求,但未给出重要数据的界定方法。参照国家网信办2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中规定,重要数据是指“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”2017年8月30日,全国信息技术标准化技术委员会《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称《评估指南》)将重要数据定义为:“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)”。《评估指南》还以附录的形式,列出了非常详细的重要数据识别指南,其中指出卫生计生委(现称“卫生健康委”)主管的人口健康领域,重要数据包括但不限于: ① 在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息;
② 突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私和相关疾病、流行病学信息等; ③ 医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息; ④ 人体器官移植医疗服务中人体器官捐献者、接受者和人体器官移植手术申请人的个人信息; ⑤ 人类辅助生殖技术服务中精子、卵子捐献者和使用者以及人类辅助生殖技术服务申请人的个人信息; ⑥ 计划生育服务过程中涉及的个人隐私; ⑦ 个人和家族的遗传信息; ⑧ 生命登记信息。 《数据安全法》对“国家核心数据”做出了原则性规定,即关系到国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,对其实行重要数据之上的更加严格的管理。如何确定重要数据和核心数据的标准和差别,还有待进一步的规定和落实。但基于医疗数据中所包含的基因分析、遗传疾病分析等涉及国家安全战略性质的数据,可以判断医疗数据中包含国家核心数据。 2021年11月1日实施的《个人信息保护法》规定,“医疗健康”与“个人生物特征”属于敏感个人信息。据此,医疗机构在提供健康诊疗服务过程中产生并采集的个人生病医治相关记录,个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,显然属于个人敏感信息,即医疗数据中包含敏感个人信息。 《个人信息保护法》第28条明确了敏感个人信息的组成范畴为:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。” 基于此,医疗行业经营者在处理医疗数据时应当遵守《个人信息保护法》中关于敏感个人信息的相关规定及处理原则。对于互联网医院而言,必须基于必要性原则收集个人信息,即,只能收集对患者诊断而言必要的信息,而不能超出这个范围。 例如,不能收集患者的人脸识别信息、指纹信息等,如果这些信息与诊断无关。个人信息处理者处理敏感个人信息的,一般应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。另外,在医疗诊断或互联网医院运营中,若需处理不满十四周岁的未成年人信息时,不仅要遵从上述敏感信息的处理原则,还需要征得未成年人的监护人的同意,为此,信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。 实践中,医疗机构推出的App通常以勾选“隐私协议”来获取用户一揽子授权,用户经常面临着“不同意即不可用”的困境。《个人信息保护法》确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。 在处理医疗机构所涉及的个人敏感信息时,更应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的,应当重新向个人告知并取得同意。并且这些同意需要向用户明确告知收集这些个人医疗健康数据的目的、使用方式、使用范围等,并获得用户的“单独同意”和“书面同意”。 对于收集方式不合法不合规的情况,可能导致被责令整改、通报批评,甚至下架相关产品等行政处罚。因此,企业应重点关注个人信息收集环节的合规,在收集个人信息时应当以明确直接的方式向用户告知使用的目的、范围和方式。 在医疗机构数字化进程中,应当在服务所需的最小范围内,采集与产品或服务直接相关且实现相关业务功能所必需的个人数据,不应过度延伸;且在采集过程中,应以实现产品或服务功能必需的最低频率采集,并将所采集的用户数据数量限定为实现产品或功能的最少数量。此外,在法律规定的保存期限届满、处理目的已实现或个人撤回同意的特定情况下,应及时删除个人信息。例如,对于复诊用户而言,仅保存复诊所需的数据,保存的期限应局限于诊疗过程,一旦用户已经痊愈,则应当及时删除用户的数据。 02. 相关司法解释分析 1.《关于深入开展创建“平安医院”活动依法维护医疗秩序的意见》(2015.08) 该意见旨在依法维护医疗秩序、构建和谐医患关系,在更高起点上深化“平安医院”创建活动,实现医疗秩序根本性好转。其中在改善医疗服务,提高医疗质量方面,提出“要注重利用先进管理理念和信息化等手段”来创新服务模式,提高服务效率和透明度。 2.《关于做好新型冠状病毒肺炎疫情防控期间保障医务人员安全维护良好医疗秩序的通知》(2020.02) 该通知在疫情防控期间保障医务人员安全、维护良好医疗秩序方面,强调了各级卫生健康行政部门、医疗卫生机构要主动加强同公安机关的工作沟通,制定完善疫情防控期间应急工作预案,“建立健全信息通报、共享、处置和反馈机制”,对于疫情防控工作中存在的风险隐患,应当立即通报并及时采取防范措施。这一解释强调了医疗数据在特殊情况下及时共享的重要性,但对于具体如何实施未有明确规范要求。 03. 相关行政法规分析 医疗器械名称、关键性技术参数等信息属于医疗数据的范围,该条例规定了医疗器械使用单位应当妥善保存购入第三类医疗器械的原始资料,并确保信息具有可追溯性。使用大型医疗器械以及植入和介入类医疗器械的,应当将医疗器械的名称、关键性技术参数等信息以及与使用质量安全密切相关的必要信息记载到病历等相关记录中。 2.《医疗保障基金使用监督管理条例》(2021.05) 该管理条例规定了定点医药机构对于财务账目、会计凭证、处方、病历、治疗检查记录、费用明细、药品和医用耗材出入库记录等资料数据的保管和传送义务,并对履行相关义务的定点医疗机构规定了责令改正、约谈或罚款等行政处罚规定,以确保医疗保障基金能够正常使用有关数据。此外,对医疗保障行政部门提出了加强与有关部门的信息交换和共享、数据监控和数据管理、建立全国统一、高效、兼容、便捷、安全的医疗保障信息系统的要求,同时赋予医疗保障行政部门根据医疗保障数据监控等因素,组织开展专项检查的职能,确保共享数据安全。 04. 相关部门规章(及规范性文件)内容分析 电子病历是健康医疗大数据的最主要来源。《医疗机构病历管理规定》第六条规定“医疗机构及其医务人员应当严格保护患者隐私,禁止以非医疗、教学、研究目的泄露患者的病历资料。”对病历涉及的个人信息保护做出了严格的要求,除为患者提供诊疗服务的医务人员,以及经卫生计生行政部门、中医药管理部门或者医疗机构授权的负责病案管理、医疗管理的部门或者人员外,其他任何机构和个人不得擅自查阅患者病历。 2.《人口健康信息管理办法(试行)》(2014.05) 本办法涉及医疗机构及相关人员对患者个人信息保护的职责,重点监管的信息是人口健康信息,与健康医疗大数据的定义存在差别。相关具体含义已在上述列举,在此不做赘述。 该纲要文件指导我国大数据发展的国家顶层设计和总体部署。在推广大数据应用、形成公共数据资源合理适度开放共享的法规制度和政策体系、推动公共数据资源开放、形成国家政府数据统一开放平台、鼓励和规范有关企事业单位开展医疗健康大数据创新应用研究等方面均明确了对医疗行业的建设。 4.《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(2016.06) 健康医疗大数据是国家重要的基础性战略资源。 结合《促进大数据发展行动纲要》,该指导意见提出大力推动政府健康医疗信息系统和公众健康医疗数据互联融合、开放共享,消除信息孤岛。具体而言,意见将健康医疗大数据应用发展纳入国家大数据战略布局,明确建立健全健康医疗大数据开放、保护等法规制度。提出“到2017年底,实现国家和省级人口健康信息平台以及全国药品招标采购业务应用平台互联互通,基本形成跨部门健康医疗数据资源共享共用格局”“到2020年,建成国家医疗卫生信息分级开放应用平台,实现与人口、法人、空间地理等基础数据资源跨部门、跨区域共享”等发展目标。该指导意见要求建设统一权威、互联互通的人口健康信息平台,鼓励各类医疗卫生机构打通数据资源共享通道,推进健康医疗行业治理、健康医疗临床和科研、公共卫生、健康医疗、推广数字化健康医疗智能设备等大数据应用。 在健康医疗大数据保障体系建设方面,意见要求通过加强法规和标准体系建设,来完善数据开放共享支撑服务体系,建立“分级授权、分类应用、权责一致”的管理制度。规范健康医疗大数据应用领域的准入标准、诚信机制和退出机制,严格规范大数据开发、挖掘、应用行为。并对健康医疗数字身份管理、健康医疗数据安全保障、健康医疗信息化复合型人才队伍建设方面做出了细化要求。 5.《国务院办公厅关于推进医疗联合体建设和发展的指导意见》(2017.04) 该意见提出开展医疗联合体建设是深化医改的重要步骤和制度创新,有利于调整优化医疗资源结构布局。鼓励医联体内部发展预约诊疗、双向转诊、健康管理、远程医疗等服务,方便患者看病就医,提高医学科研技术水平。 6.《国务院办公厅关于促进“互联网+医疗健康”发展的意见》(2018.04) 该意见主要有三个方面的内容,在健全“互联网+医疗健康”服务体系方面: ① 明确由国家卫生健康委员会负责推动居民电子健康档案在线查询和规范使用,加强对高血压、糖尿病等老年慢性病在线管理,对严重精神障碍患者的信息管理、随访评估和分类干预,优化儿童接种服务; 鼓励利用可穿戴设备获取生命体征数据,为孕 产妇提供健康监测与管理; 鼓励医疗卫生机构与互联网企业合作,提高重大疾病防控和突发公共卫生事件应对能力。
② 明确由国家医疗保障局、人力资源和社会保障部、国家卫生健康委员会等负责加快医疗保障信息系统对接整合,实现医疗保障数据与相关部门数据联通共享。 ③ 明确由国家发展改革委、工业和信息化部、科技部、国家卫生健康委员会等按职责分工负责加强临床、科研数据整合共享和应用,支持研发医疗健康相关的人工智能技术、医用机器人、大型医疗设备、应急救援医疗设备、生物三维打印技术和可穿戴设备等。 顺应工业互联网创新发展趋势,提升医疗健康设备的数字化、智能化制造水平,促进产业升级。
在完善“互联网+医疗健康”支撑体系方面, 明确由国家发展改革委、工业和信息化部、公安部、人力资源和社会保障部、国家卫生健康委员会、国家市场监督管理总局、国家医疗保障局、各省级人民政府负责协调推进统一权威、互联互通的全民健康信息平台建设。由国家卫生健康委员会负责加快建设基础资源信息数据库,完善全员人口、电子健康档案、电子病历等数据库。由国家卫生健康委员会、国家发展改革委、财政部负责推动各级各类医院逐步实现电子健康档案、电子病历、检验检查结果的共享,以及在不同层级医疗卫生机构间的授权使用。支持老少边穷地区基层医疗卫生机构信息化软硬件建设。由国家卫生健康委员会、国家市场监督管理总局负责健全统一规范的全国医疗健康数据资源目录与标准体系。加快应用全国医院信息化建设标准和规范。由工业和信息化部、国家卫生健康委员会按职责分工负责推进远程医疗专网建设,保障医疗相关数据传输服务质量。 在加强行业监管和安全保障方面, 明确由国家卫生健康委员会、国家网信办、工业和信息化部、公安部负责推进网络可信体系建设;由国家卫生健康委员会、国家网信办、工业和信息化部、公安部、国家市场监督管理总局负责确保互联网医疗健康服务平台等第三方机构提供服务人员的资质符合规范,并要求“互联网+医疗健康”服务产生的数据全程留痕,可查询、可追溯;由国家卫生健康委员会、国家网信办、工业和信息化部、公安部负责研究制定健康医疗大数据确权、开放、流通、交易和产权保护的法规。严格执行信息安全和健康医疗数据保密规定,对非法买卖、泄露信息行为依法依规予以惩处;由国家卫生健康委员会、国家网信办、工业和信息化部负责加强医疗卫生机构、互联网医疗健康服务平台、智能医疗设备以及关键信息基础设施、数据应用服务的信息防护,定期开展信息安全隐患排查、监测和预警。并要求患者信息等敏感数据原则上存储在境内,确需向境外提供的,需依照有关规定进行安全评估。 7.《国家健康医疗大数据标准、安全和服务管理办法(试行)》(2018.07) 该管理办法是目前主要监管部门发布的最有针对性的法律文件,从标准管理、安全管理和服务管理三大方面促进健康医疗大数据的规范化应用。 8.《关于落实卫生健康行业网络信息与数据安全责任的通知》(2019) 本通知要求进一步明确网络信息与数据安全责任,按照谁主管谁负责,属地管理原则,县级以上卫生健康行政部门对本行政区域内卫生健康行业的网络信息与数据安全负指导监管责任,建立行业监测预警、巡查抽查制度和网络安全事件处置机制。 9.《深化医药卫生体制改革2020年下半年重点工作任务》(2020.07) 该工作任务明确了由国家医保局负责加强医保基金管理,健全监管机制。通过开展基于大数据的医保智能监控,推广视频监控、人脸识别等技术应用,探索实行省级集中监控,推进“互联网+医疗保障”,加快建设全国统一的医疗保障信息平台,并做好与全国一体化政务服务平台的对接。 10.《“十四五”全民医疗保障规划》(2021.09) 该规划要求实施精准参保扩面,对于医疗保障部门与教育、公安、民政、人力资源社会保障、卫生健康、税务、市场监管、乡村振兴、残联等部门和单位的数据共享机制加强建设和数据比对,完善覆盖全民的参保数据库,实现参保信息实时动态查询。积极探索新模式,以期全面建立智能监控制度,实现医疗基金监管从人工抽单审核向大数据全方位、全流程、全环节智能监控转变,并对医保数据的安全和综合治理能力提出了要求。 11.《“十四五”中医药发展规划》(2022.03) 《“十四五”中医药发展规划》明确要求建设高水平中医药传承保护与科技创新体系,建立中医药传统知识数据库、保护名录和保护制度,建设高层次科技平台、促进科技成果转发,支持中医医院与企业加强协作、共享资源。推进中医医院及中医馆健康信息平台规范接入全民健康信息平台。加强关键信息基础设施、数据应用服务的安全防护,增强自主可控技术应用。开展电子病历系统应用水平分级评价和医院信息互联互通标准化成熟度测评。鼓励中医辨证论治智能辅助诊疗系统等具有中医药特色的信息系统研发应用。 05. 相关医疗数据重要标准分析 实施指南类标准中,GB/T 27973-2019《信息安全技术 大数据安全管理指南》提出了大数据安全管理基本概念,重点阐述了大数据安全管理的目标、主要内容、角色与责任;《信息安全技术 健康医疗数据安全指南》提出了健康医疗领域的信息安全框架,并给出健康医疗信息控制者在保护健康医疗信息时可采取的管理和技术措施;《信息安全技术 电信领域大数据安全防护实现指南》提出了电信领域大数据安全实现参考框架,针对电信领域大数据平台建设运维,数据全生命周期运营过程中面临的通用安全风险,给出了平台建设运维,数据安全运营相关指南。 检测评估类标准中,GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》提出了数据安全能力成熟度框架,明确了成熟度各等级的数据安全要求及相关评估方法;《信息安全技术 数据出境安全评估指南》给出了个人信息和重要数据出境安全评估的流程、要点和方法;《信息安全技术 数据安全管理认证规范》对网络运营者为保障数据安全所应采取的管理活动提出了要求。 为了更好帮助医药企业初步定位自身数据合规状况,明确企业合规风险点,共同推进数据合规落地,我们针对性地设计如下调查问卷。请您在百忙之中抽出宝贵时间,填写此份问卷。感谢您的配合!
白小莉 北京市道可特律师事务所高级合伙人
业务领域: 知识产权、争议解决、竞争与反垄断、数据安全与数据合规 手机:18612296630
邮箱:baixiaoli@dtlawyers.com.cn
道可特研究 | 医疗行业数据治理观察(一):医疗行业数据概况