返回列表
健康医疗行业强监管之下数据合规要点
2022-05-13

一、前言

健康医疗行业涉及众多敏感个人信息与重要数据,该行业的数据合规监管一直是全球各地区的重中之重。美国早在90年代就发布了《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act/1996,HIPAA),就个人健康医疗数据进行专门的规制,《欧盟通用数据保护条例》(General Data Protection Regulation,GDPR)也将基因、生物和健康相关的数据定义为敏感个人数据,并要求组织采取更加严格保护措施进行保护。

国内在健康医疗行业也呈现出数据合规立法逐渐完善与监管逐渐趋严的态势。早在2014年,国家卫生计生委(国家卫健委前身)就发布了《人口健康信息管理办法(试行)》,规范人口健康信息的采集、管理、利用、安全和隐私保护工作。此后,国家卫健委于2018年发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》,对健康医疗数据安全与个人隐私保护提出要求。信标委也于2021年发布了《信息安全技术—健康医疗数据安全指南》(GB/T 39725-2020)对健康医疗数据的安全保护提供指引。此外,《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《“十三五”全国人口健康信息化发展规划》《关于进一步推进以电子病历为核心的医疗机构信息化建设工作的通知》《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》等文件的相继颁布,促进健康医疗行业数据共享与应用的发展,但同时存在的健康医疗数据安全与个人隐私保护风险也不容忽视。(健康医疗行业详细数据合规法律汇编与案例请参见北源有数发布的《行业汇编系列② | <医疗行业数据合规法规与案例选编>发布》

近日,根据北源服务的健康医疗行业客户反馈,有关行业监管部门将开展个人信息安全保护专项行动,相关企业/机构应当提前做好必要的数据合规应对措施。借此契机,本文将对健康医疗行业的数据合规风险与合规要点进行简要解析,以期为该行业相关企业/机构提供合规指引。

二、健康医疗数据的类型与典型处理场景

(一)健康医疗数据的类型

随着国家“互联网+医疗健康”与医疗机构信息化的不断开展与进行,近年来国内医疗机构电子信息化水平显著提升,因此产生大量健康医疗数据,其类型主要如下:

数据类别

范围

个人属性数据

1. 人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等;

2. 个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;

3. 个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等;

4. 个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;

5. 个人健康监测传感设备ID等。

健康状况数据

主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。

医疗应用数据

门(急)诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等。

医疗支付数据

1. 医疗交易信息,包括医保支付信息、交易金额、交易记录等;

2. 保险信息,包括保险状态、保险金额等。

卫生资源数据

医院基本数据、医院运营数据等。

公共卫生数据

环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。

上述医疗健康数据中,对照相关法律法规,可以归类为两类需要引以注意的数据:一类是属于个人信息的个人健康医疗数据,一类是属于重要数据的健康医疗数据。

关于前类数据,根据《个人信息保护法》(以下简称“《个保法》”)第四条(个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息),上表中“个人属性数据”、“健康状况数据”、“医疗应用数据”和“医疗支付数据”,在结合身份证号码、社保卡号等唯一ID的场景下,属于典型的个人信息。此外,《个保法》第二十八条规定,泄露或者非法使用容易导致自然人的人格尊严受到侵害或者人身安全受到危害的个人信息属于敏感个人信息,并对敏感个人信息的处理设定了更为严格的要求。绝大部分个人健康医疗数据属于敏感个人信息,因此处理个人健康医疗数据时需要注意符合《个保法》关于敏感个人信息处理的有关规定。

关于后类数据,《数据安全法》等法律法规均对重要数据的处理与保护提出了更为严格的要求。根据国家网信办发布的《数据安全管理办法》(征求意见稿),重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据。《信息安全技术 重要数据识别指南》(征求意见稿)附录部分明确将人口数据(人口普查、基因数据和遗传资源等)与健康医疗数据(诊疗与健康管理信息、疫情管理相关信息)定义为重要数据。简言之,上文提到的健康医疗个人信息,以及非个人信息的“卫生资源数据”与“公共卫生数据”均可能被监管部门认定为重要数据。因此有关企业/机构在处理健康医疗数据的过程中,应当严格遵守《数据安全法》等相关规定,做好数据安全与数据本地化存储等措施。

(二)健康医疗数据的典型处理场景

1. 临床科学研究

在临床科学研究活动中,可能涉及的健康医疗数据主要有人口统计信息、健康状况数据、医疗应用数据与医疗支付数据等。该活动中可能存在临床研究的申办者与临床研究机构两类主体:申办者是指临床研究的发起方与管理方,如学术机构与医药企业等;临床研究机构即为具有临床试验资质的医疗机构。在临床研究活动的过程中,根据研究目的的不同,申办者与临床研究机构可能被认定为《个保法》下的共同个人信息处理者或委托处理的关系,企业/机构应当根据实际情况,区分不同的合规场景,开展相应的个人信息合规措施。譬如,属于共同个人信息处理者的,在收集环节,注意告知患者存在共同处理的情形、所涉处理个人信息的目的、类型和方式等。

2. 商业保险对接

商业保险机构通常会与医疗机构建立连接,对就诊主体的治疗状况与诊疗费用情况等信息进行流通对接,从而实现系统自动进行商业保险自动结算与赔付。在这一场景下,商业保险机构与医疗机构为不同的个人信息处理者,医疗机构主要涉及数据共享,商业保险机构主要涉及个人健康医疗数据的间接收集,涉及的健康医疗数据类型主要有个人属性数据、健康状况数据、医疗应用数据与医疗支付数据。在这一场景下,健康医疗数据面临数据泄露的安全风险,双方首先应当做好数据安全保障措施,对数据传输与数据字段采取必要恰当的加密措施。其次,双方应当签订数据共享协议,对双方的权利义务与责任进行必要的约束,并履行告知同意等法律义务。在完成赔付后,除了相关法律要求留存的个人健康医疗数据,其他数据应当进行删除或者匿名化处理。

3. 移动端收集健康医疗数据

随着“互联网+医疗健康”的发展,传统的挂号、问诊与检查等医疗服务逐渐向互联网转移。移动端主要包括在线问诊移动应用程序与IoT健康监测设备两类常见场景。在在线问诊的场景下,企业/机构应当注意移动应用程序的监管合规风险,不违反必要原则收集(收集数量、收集频率与权限索取等维度)个人健康医疗数据。在IoT健康监测设备的场景下,IoT设备可以记录诊疗数据(血氧饱和度、血压、心跳等)和行为数据(位置/轨迹、跑步距离、步数等),诊疗数据与行为数据中的精确轨迹属于敏感个人信息,企业/机构应当做好告知义务,并通过关联移动应用程序获取个人的有效授权同意。

4. 脱敏数据二次利用

公共卫生部门、科研机构与企业可能基于政府决策、科学研究统计等目的对健康医疗数据进行脱敏后开展分析、挖掘等处理活动。这类处理活动往往涉及大量健康医疗数据的汇聚融合与脱敏处理活动。这一场景下的健康医疗数据处理需要合理采用数据脱敏技术,条件允许的情况下,建议采取联邦学习、多方计算等前沿隐私计算技术,确保二次利用过程中不再存在可识别个人的个人医疗健康数据,保证个人隐私安全。

三、健康医疗数据合规要点简析

(一)个人健康医疗数据采集

健康医疗数据中可识别特定自然人的个人健康医疗数据属于《个保法》中“个人信息”,因此个人健康医疗数据采集应当确保符合《个保法》的相关规定。《个保法》规定,个人信息处理应当遵循合法、正当、必要和诚信的原则,应当对第十七条要求的相关事项进行告知,并取得个人授权同意或者其他合法性基础后,方可对个人信息进行收集。此外,对于敏感个人信息,第二十九条规定还应当获得个人的单独授权同意。

健康医疗行业数据收集主要有直接收集与间接收集两大场景:1)直接收集:主要有医疗机构问诊等环节的直接收集与医疗器械机构基于IoT设备收集;2)间接收集:商业保险、医药企业与科研机构基于保险结算或科学研究从第三方间接收集。在直接收集场景下,合规风险主要在移动终端线上挂号与问诊环节,以及医疗器械企业从IoT设备收集个人生物数据,企业/机构应当严格做好告知义务,并获取个人信息主体的(单独)同意;在间接收集场景下,应当对第三方的数据来源合法性进行必要的形式审查与实质审查,并通过相应的数据转让协议约束双方的权利义务与责任。但对于已经匿名化或者无法识别个人的医疗统计数据的收集,无须遵循上述要求。

(二)个人健康医疗数据与第三方合作

健康医疗数据往往基于公共卫生管理、临床研究实验与医疗服务等目的进行共享、转让与委托处理,其中可能涉及公共卫生部门、医疗机构、保险机构与科研机构等不同的组织。个人健康医疗数据属于《个保法》下的个人信息,其共享、转让与委托处理等处理活动均应确保符合《个保法》的有关规定。

首先,企业/机构首先应当对共享、转让与委托处理等处理活动严格按照要求进行告知,确保个人信息主体的知情权;其次,企业/机构宜对个人健康医疗数据进行去标识化处理,仅对去标识化后的个人信息进行共享、转让或委托处理。同时,企业/机构还应当获取个人信息主体的授权同意,其中对于共享与转让行为,还应当获取个人信息主体的单独授权同意;最后,根据《个保法》第五十五条要求,委托处理个人信息、向其他个人信息处理者提供个人信息的,还应当开展个人信息安全影响评估工作,具体评估流程可参照《信息安全技术 个人信息安全影响评估指南》(GB∕T 39335-2020),评估报告和处理情况记录应当至少保存三年以上。

健康医疗数据一旦传输至第三方合作机构,就不再受到自身的控制,因此安全风险极大。除了通过协议对双方的权利义务与责任进行约定外,企业/机构还应当采取必要的技术措施减少健康医疗数据泄露或非法使用带来的风险,如定期对第三方进行合规审查、尽可能对流转的数据进行脱敏处理等。

(三)健康医疗数据安全

健康医疗数据安全是监管关注的重点,因不仅涵盖敏感个人信息,还可能涉及国家秘密,一旦遭受未经授权的访问/泄露,可能对个人信息主体与国家造成重大损害。据网上查询得知,安必普、普瑞眼科与达嘉维康等多家健康医疗领域企业上市均被证监会问询关于个人健康医疗数据的安全合规措施状况。此外,近年多家医疗机构遭受网络安全攻击,造成数据泄露,如2018年湖北某医院因遭受勒索病毒致使重要医疗数据凭空消失,2021年美国医疗机构Broward Health因遭受攻击导致130万人数据泄露。

数据安全建设是一项体系性的工作,本文建议企业首先应当做好基本的网络安全技术与管理措施(关于个人信息安全相关的详细内容,可以参考北源有数此前发布的文章《专题研究:<个人信息保护法>中的网络安全义务》),并在此基础上针对健康医疗行业的特有安全风险开展安全建设工作,具体可以分为安全技术措施与安全管理措施两大板块。

1. 安全技术措施

措施

措施解析

健康医疗数据分类分级

企业/机构首先宜基于数据来源、用途与监管内容等不同维度,开展健康医疗数据分类工作。在开展数据分类的基础上,按照数据的重要程度、毁损可能对国家、社会与个人造成的影响不同进行数据分级,并建立与维护数据资产清单,从而根据数据类型与等级采取不同的授权管理、身份鉴别与访问控制等保护措施。

传输、存储安全

1. 在传输层面,建议采用HTTPS加密数据传输通道,并采用符合相关法律法规要求的密码技术对数据报文进行字段级加密,保障数据传输过程的完整性、保密性与可追溯性。

2. 在存储层面,建议对存储服务器/数据库设置有效身份鉴别与访问控制措施,并制定与实施完善的数据备份方案。对于个人信息健康医疗数据,宜进行去标识化后进行存储,在条件允许的情况下,应当仅存储个人健康医疗数据的摘要信息。

防病毒、防入侵

1. 企业/机构宜做好基本的防病毒与防入侵措施,如安装防病毒软件,并定期进行病毒库/恶意代码库更新。

2. 安装IDS与IPS等防入侵系统,定期跟踪安全漏洞并及时进行更新,确保保障健康医疗相关系统处于安全状态。

安全审计

企业/机构宜安装审计系统与制定必要的审计策略,确保能够事后对系统、网络、操作和日志开展审计。

2. 安全管理措施

措施

措施解析

数据安全制度

企业/机构宜制定必要的数据安全管理制度体系,如漏洞管理制度、数据安全事件应急制度与数据安全策略等。

组织架构

企业/机构宜设立健康医疗数据安全委员会,对内部的健康医疗数据安全工作全面负责,并建立健康医疗数据安全办公室,指定专人负责健康医疗数据安全日常工作。

培训/教育

企业/机构宜制定健康医疗数据安全培训与考核制度,定期对员工与管理层开展培训教育与考核,提升内部数据安全风险意识。

(四)健康医疗数据出境

健康医疗数据可能同时属于《个保法》下的个人信息与《数据安全法》下的重要数据。因此,基于健康医疗数据的特殊性,部分数据出境可能同时受到个人信息保护、重要数据保护与行业内相关规定的约束。

1. 重要数据出境

根据《信息安全技术 重要数据识别指南》(征求意见稿),“人口普查、基因数据、遗传资源”等人口数据与“电子病历、检测结果、健康档案”等各类诊疗、健康数据信息均属于重要数据。这类数据出境应当符合重要数据出境相应规定。

《网络数据安全管理条例》(征求意见稿)第三十七条规定,出境数据中包含重要数据的,应当通过国家网信部门组织的数据出境安全评估,但目前具体的“数据出境安全评估”相关规定暂未出台,北源将持续关注最新立法进展,以便为客户提供专业的健康医疗出境合规法律服务。

2. 个人信息出境

如果健康医疗数据属于能够识别个人的个人健康医疗数据,在进行“数据出境安全评估”的基础上,还应当满足个人信息出境的相关要求。根据《个保法》第三十九条规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意;此外,根据第五十五条,企业/机构还应当针对个人健康医疗数据出境开展个人信息安全影响评估。

北源建议企业/机构应当在数据采集环节(如告知书与隐私政策中)对个人健康医疗数据的境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项进行详细告知,并通过手写签字、单独弹窗等方式获取个人的授权同意,并开展个人信息出境安全影响评估工作,评估报告和处理情况记录应当至少保存三年。

3. 行业相关特殊规定

健康医疗数据除了涉及个人信息与重要数据相关法律法规,还应当考虑到行业相关法规的约束。华大基因就于2015因与国外某大学开展中国人类遗传资源国际合作研究,未经许可将部分人类遗传资源信息从网上传递出境,遭科技部基于《人类遗传资源管理暂行办法》做出相应行政处罚,类似的案例还有苏州药明康德曾因未经许可违规出境5165份人类遗传资源(血清)被科技部处以行政处罚。

根据《人类遗传资源管理条例》《人类遗传资源管理条例实施细则》(征求意见稿),遗传资源的出境要求取得国务院科学技术行政部门出具的人类遗传资源材料出境证明,可以单独提出申请,也可以在开展国际合作科学研究申请中列明出境计划一并提出申请,由科技部合并审批。此外,除了向科技部提出申请,企业/机构还应当向科技部提交备案,备案材料应当包含以下内容:

(一)对外提供或者开放使用我国人类遗传资源基因、基因组信息的目的、用途;

(二)向外方单位提供或者开放使用的人类遗传资源基因、基因组信息;

(三)信息接收单位信息;

(四)对我国人类遗传资源保护可能造成潜在风险的评估。

此外,如果数据出境可能影响我国公众健康、国家安全和社会公共利益的,还应当通过科技部组织相关领域专家进行的安全审查评估,其主要包括如下三类情形:

(一)重要遗传家系的人类遗传资源信息;

(二)特定地区的人类遗传资源信息;

(三)500人以上人群的外显子组测序、基因组测序信息资源。

附表

作者:植吕梅 李黎

 (文中观点不代表北源律师事务所的观点或法律意见)

返回列表
健康医疗行业强监管之下数据合规要点
2022-05-13

一、前言

健康医疗行业涉及众多敏感个人信息与重要数据,该行业的数据合规监管一直是全球各地区的重中之重。美国早在90年代就发布了《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act/1996,HIPAA),就个人健康医疗数据进行专门的规制,《欧盟通用数据保护条例》(General Data Protection Regulation,GDPR)也将基因、生物和健康相关的数据定义为敏感个人数据,并要求组织采取更加严格保护措施进行保护。

国内在健康医疗行业也呈现出数据合规立法逐渐完善与监管逐渐趋严的态势。早在2014年,国家卫生计生委(国家卫健委前身)就发布了《人口健康信息管理办法(试行)》,规范人口健康信息的采集、管理、利用、安全和隐私保护工作。此后,国家卫健委于2018年发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》,对健康医疗数据安全与个人隐私保护提出要求。信标委也于2021年发布了《信息安全技术—健康医疗数据安全指南》(GB/T 39725-2020)对健康医疗数据的安全保护提供指引。此外,《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《“十三五”全国人口健康信息化发展规划》《关于进一步推进以电子病历为核心的医疗机构信息化建设工作的通知》《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》等文件的相继颁布,促进健康医疗行业数据共享与应用的发展,但同时存在的健康医疗数据安全与个人隐私保护风险也不容忽视。(健康医疗行业详细数据合规法律汇编与案例请参见北源有数发布的《行业汇编系列② | <医疗行业数据合规法规与案例选编>发布》

近日,根据北源服务的健康医疗行业客户反馈,有关行业监管部门将开展个人信息安全保护专项行动,相关企业/机构应当提前做好必要的数据合规应对措施。借此契机,本文将对健康医疗行业的数据合规风险与合规要点进行简要解析,以期为该行业相关企业/机构提供合规指引。

二、健康医疗数据的类型与典型处理场景

(一)健康医疗数据的类型

随着国家“互联网+医疗健康”与医疗机构信息化的不断开展与进行,近年来国内医疗机构电子信息化水平显著提升,因此产生大量健康医疗数据,其类型主要如下:

数据类别

范围

个人属性数据

1. 人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等;

2. 个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;

3. 个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等;

4. 个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;

5. 个人健康监测传感设备ID等。

健康状况数据

主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。

医疗应用数据

门(急)诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等。

医疗支付数据

1. 医疗交易信息,包括医保支付信息、交易金额、交易记录等;

2. 保险信息,包括保险状态、保险金额等。

卫生资源数据

医院基本数据、医院运营数据等。

公共卫生数据

环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。

上述医疗健康数据中,对照相关法律法规,可以归类为两类需要引以注意的数据:一类是属于个人信息的个人健康医疗数据,一类是属于重要数据的健康医疗数据。

关于前类数据,根据《个人信息保护法》(以下简称“《个保法》”)第四条(个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息),上表中“个人属性数据”、“健康状况数据”、“医疗应用数据”和“医疗支付数据”,在结合身份证号码、社保卡号等唯一ID的场景下,属于典型的个人信息。此外,《个保法》第二十八条规定,泄露或者非法使用容易导致自然人的人格尊严受到侵害或者人身安全受到危害的个人信息属于敏感个人信息,并对敏感个人信息的处理设定了更为严格的要求。绝大部分个人健康医疗数据属于敏感个人信息,因此处理个人健康医疗数据时需要注意符合《个保法》关于敏感个人信息处理的有关规定。

关于后类数据,《数据安全法》等法律法规均对重要数据的处理与保护提出了更为严格的要求。根据国家网信办发布的《数据安全管理办法》(征求意见稿),重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据。《信息安全技术 重要数据识别指南》(征求意见稿)附录部分明确将人口数据(人口普查、基因数据和遗传资源等)与健康医疗数据(诊疗与健康管理信息、疫情管理相关信息)定义为重要数据。简言之,上文提到的健康医疗个人信息,以及非个人信息的“卫生资源数据”与“公共卫生数据”均可能被监管部门认定为重要数据。因此有关企业/机构在处理健康医疗数据的过程中,应当严格遵守《数据安全法》等相关规定,做好数据安全与数据本地化存储等措施。

(二)健康医疗数据的典型处理场景

1. 临床科学研究

在临床科学研究活动中,可能涉及的健康医疗数据主要有人口统计信息、健康状况数据、医疗应用数据与医疗支付数据等。该活动中可能存在临床研究的申办者与临床研究机构两类主体:申办者是指临床研究的发起方与管理方,如学术机构与医药企业等;临床研究机构即为具有临床试验资质的医疗机构。在临床研究活动的过程中,根据研究目的的不同,申办者与临床研究机构可能被认定为《个保法》下的共同个人信息处理者或委托处理的关系,企业/机构应当根据实际情况,区分不同的合规场景,开展相应的个人信息合规措施。譬如,属于共同个人信息处理者的,在收集环节,注意告知患者存在共同处理的情形、所涉处理个人信息的目的、类型和方式等。

2. 商业保险对接

商业保险机构通常会与医疗机构建立连接,对就诊主体的治疗状况与诊疗费用情况等信息进行流通对接,从而实现系统自动进行商业保险自动结算与赔付。在这一场景下,商业保险机构与医疗机构为不同的个人信息处理者,医疗机构主要涉及数据共享,商业保险机构主要涉及个人健康医疗数据的间接收集,涉及的健康医疗数据类型主要有个人属性数据、健康状况数据、医疗应用数据与医疗支付数据。在这一场景下,健康医疗数据面临数据泄露的安全风险,双方首先应当做好数据安全保障措施,对数据传输与数据字段采取必要恰当的加密措施。其次,双方应当签订数据共享协议,对双方的权利义务与责任进行必要的约束,并履行告知同意等法律义务。在完成赔付后,除了相关法律要求留存的个人健康医疗数据,其他数据应当进行删除或者匿名化处理。

3. 移动端收集健康医疗数据

随着“互联网+医疗健康”的发展,传统的挂号、问诊与检查等医疗服务逐渐向互联网转移。移动端主要包括在线问诊移动应用程序与IoT健康监测设备两类常见场景。在在线问诊的场景下,企业/机构应当注意移动应用程序的监管合规风险,不违反必要原则收集(收集数量、收集频率与权限索取等维度)个人健康医疗数据。在IoT健康监测设备的场景下,IoT设备可以记录诊疗数据(血氧饱和度、血压、心跳等)和行为数据(位置/轨迹、跑步距离、步数等),诊疗数据与行为数据中的精确轨迹属于敏感个人信息,企业/机构应当做好告知义务,并通过关联移动应用程序获取个人的有效授权同意。

4. 脱敏数据二次利用

公共卫生部门、科研机构与企业可能基于政府决策、科学研究统计等目的对健康医疗数据进行脱敏后开展分析、挖掘等处理活动。这类处理活动往往涉及大量健康医疗数据的汇聚融合与脱敏处理活动。这一场景下的健康医疗数据处理需要合理采用数据脱敏技术,条件允许的情况下,建议采取联邦学习、多方计算等前沿隐私计算技术,确保二次利用过程中不再存在可识别个人的个人医疗健康数据,保证个人隐私安全。

三、健康医疗数据合规要点简析

(一)个人健康医疗数据采集

健康医疗数据中可识别特定自然人的个人健康医疗数据属于《个保法》中“个人信息”,因此个人健康医疗数据采集应当确保符合《个保法》的相关规定。《个保法》规定,个人信息处理应当遵循合法、正当、必要和诚信的原则,应当对第十七条要求的相关事项进行告知,并取得个人授权同意或者其他合法性基础后,方可对个人信息进行收集。此外,对于敏感个人信息,第二十九条规定还应当获得个人的单独授权同意。

健康医疗行业数据收集主要有直接收集与间接收集两大场景:1)直接收集:主要有医疗机构问诊等环节的直接收集与医疗器械机构基于IoT设备收集;2)间接收集:商业保险、医药企业与科研机构基于保险结算或科学研究从第三方间接收集。在直接收集场景下,合规风险主要在移动终端线上挂号与问诊环节,以及医疗器械企业从IoT设备收集个人生物数据,企业/机构应当严格做好告知义务,并获取个人信息主体的(单独)同意;在间接收集场景下,应当对第三方的数据来源合法性进行必要的形式审查与实质审查,并通过相应的数据转让协议约束双方的权利义务与责任。但对于已经匿名化或者无法识别个人的医疗统计数据的收集,无须遵循上述要求。

(二)个人健康医疗数据与第三方合作

健康医疗数据往往基于公共卫生管理、临床研究实验与医疗服务等目的进行共享、转让与委托处理,其中可能涉及公共卫生部门、医疗机构、保险机构与科研机构等不同的组织。个人健康医疗数据属于《个保法》下的个人信息,其共享、转让与委托处理等处理活动均应确保符合《个保法》的有关规定。

首先,企业/机构首先应当对共享、转让与委托处理等处理活动严格按照要求进行告知,确保个人信息主体的知情权;其次,企业/机构宜对个人健康医疗数据进行去标识化处理,仅对去标识化后的个人信息进行共享、转让或委托处理。同时,企业/机构还应当获取个人信息主体的授权同意,其中对于共享与转让行为,还应当获取个人信息主体的单独授权同意;最后,根据《个保法》第五十五条要求,委托处理个人信息、向其他个人信息处理者提供个人信息的,还应当开展个人信息安全影响评估工作,具体评估流程可参照《信息安全技术 个人信息安全影响评估指南》(GB∕T 39335-2020),评估报告和处理情况记录应当至少保存三年以上。

健康医疗数据一旦传输至第三方合作机构,就不再受到自身的控制,因此安全风险极大。除了通过协议对双方的权利义务与责任进行约定外,企业/机构还应当采取必要的技术措施减少健康医疗数据泄露或非法使用带来的风险,如定期对第三方进行合规审查、尽可能对流转的数据进行脱敏处理等。

(三)健康医疗数据安全

健康医疗数据安全是监管关注的重点,因不仅涵盖敏感个人信息,还可能涉及国家秘密,一旦遭受未经授权的访问/泄露,可能对个人信息主体与国家造成重大损害。据网上查询得知,安必普、普瑞眼科与达嘉维康等多家健康医疗领域企业上市均被证监会问询关于个人健康医疗数据的安全合规措施状况。此外,近年多家医疗机构遭受网络安全攻击,造成数据泄露,如2018年湖北某医院因遭受勒索病毒致使重要医疗数据凭空消失,2021年美国医疗机构Broward Health因遭受攻击导致130万人数据泄露。

数据安全建设是一项体系性的工作,本文建议企业首先应当做好基本的网络安全技术与管理措施(关于个人信息安全相关的详细内容,可以参考北源有数此前发布的文章《专题研究:<个人信息保护法>中的网络安全义务》),并在此基础上针对健康医疗行业的特有安全风险开展安全建设工作,具体可以分为安全技术措施与安全管理措施两大板块。

1. 安全技术措施

措施

措施解析

健康医疗数据分类分级

企业/机构首先宜基于数据来源、用途与监管内容等不同维度,开展健康医疗数据分类工作。在开展数据分类的基础上,按照数据的重要程度、毁损可能对国家、社会与个人造成的影响不同进行数据分级,并建立与维护数据资产清单,从而根据数据类型与等级采取不同的授权管理、身份鉴别与访问控制等保护措施。

传输、存储安全

1. 在传输层面,建议采用HTTPS加密数据传输通道,并采用符合相关法律法规要求的密码技术对数据报文进行字段级加密,保障数据传输过程的完整性、保密性与可追溯性。

2. 在存储层面,建议对存储服务器/数据库设置有效身份鉴别与访问控制措施,并制定与实施完善的数据备份方案。对于个人信息健康医疗数据,宜进行去标识化后进行存储,在条件允许的情况下,应当仅存储个人健康医疗数据的摘要信息。

防病毒、防入侵

1. 企业/机构宜做好基本的防病毒与防入侵措施,如安装防病毒软件,并定期进行病毒库/恶意代码库更新。

2. 安装IDS与IPS等防入侵系统,定期跟踪安全漏洞并及时进行更新,确保保障健康医疗相关系统处于安全状态。

安全审计

企业/机构宜安装审计系统与制定必要的审计策略,确保能够事后对系统、网络、操作和日志开展审计。

2. 安全管理措施

措施

措施解析

数据安全制度

企业/机构宜制定必要的数据安全管理制度体系,如漏洞管理制度、数据安全事件应急制度与数据安全策略等。

组织架构

企业/机构宜设立健康医疗数据安全委员会,对内部的健康医疗数据安全工作全面负责,并建立健康医疗数据安全办公室,指定专人负责健康医疗数据安全日常工作。

培训/教育

企业/机构宜制定健康医疗数据安全培训与考核制度,定期对员工与管理层开展培训教育与考核,提升内部数据安全风险意识。

(四)健康医疗数据出境

健康医疗数据可能同时属于《个保法》下的个人信息与《数据安全法》下的重要数据。因此,基于健康医疗数据的特殊性,部分数据出境可能同时受到个人信息保护、重要数据保护与行业内相关规定的约束。

1. 重要数据出境

根据《信息安全技术 重要数据识别指南》(征求意见稿),“人口普查、基因数据、遗传资源”等人口数据与“电子病历、检测结果、健康档案”等各类诊疗、健康数据信息均属于重要数据。这类数据出境应当符合重要数据出境相应规定。

《网络数据安全管理条例》(征求意见稿)第三十七条规定,出境数据中包含重要数据的,应当通过国家网信部门组织的数据出境安全评估,但目前具体的“数据出境安全评估”相关规定暂未出台,北源将持续关注最新立法进展,以便为客户提供专业的健康医疗出境合规法律服务。

2. 个人信息出境

如果健康医疗数据属于能够识别个人的个人健康医疗数据,在进行“数据出境安全评估”的基础上,还应当满足个人信息出境的相关要求。根据《个保法》第三十九条规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意;此外,根据第五十五条,企业/机构还应当针对个人健康医疗数据出境开展个人信息安全影响评估。

北源建议企业/机构应当在数据采集环节(如告知书与隐私政策中)对个人健康医疗数据的境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项进行详细告知,并通过手写签字、单独弹窗等方式获取个人的授权同意,并开展个人信息出境安全影响评估工作,评估报告和处理情况记录应当至少保存三年。

3. 行业相关特殊规定

健康医疗数据除了涉及个人信息与重要数据相关法律法规,还应当考虑到行业相关法规的约束。华大基因就于2015因与国外某大学开展中国人类遗传资源国际合作研究,未经许可将部分人类遗传资源信息从网上传递出境,遭科技部基于《人类遗传资源管理暂行办法》做出相应行政处罚,类似的案例还有苏州药明康德曾因未经许可违规出境5165份人类遗传资源(血清)被科技部处以行政处罚。

根据《人类遗传资源管理条例》《人类遗传资源管理条例实施细则》(征求意见稿),遗传资源的出境要求取得国务院科学技术行政部门出具的人类遗传资源材料出境证明,可以单独提出申请,也可以在开展国际合作科学研究申请中列明出境计划一并提出申请,由科技部合并审批。此外,除了向科技部提出申请,企业/机构还应当向科技部提交备案,备案材料应当包含以下内容:

(一)对外提供或者开放使用我国人类遗传资源基因、基因组信息的目的、用途;

(二)向外方单位提供或者开放使用的人类遗传资源基因、基因组信息;

(三)信息接收单位信息;

(四)对我国人类遗传资源保护可能造成潜在风险的评估。

此外,如果数据出境可能影响我国公众健康、国家安全和社会公共利益的,还应当通过科技部组织相关领域专家进行的安全审查评估,其主要包括如下三类情形:

(一)重要遗传家系的人类遗传资源信息;

(二)特定地区的人类遗传资源信息;

(三)500人以上人群的外显子组测序、基因组测序信息资源。

附表

作者:植吕梅 李黎

 (文中观点不代表北源律师事务所的观点或法律意见)