贵阳先行医疗大数据规范与共享 解析《贵阳市健康医疗大数据应用发展条例》
信息化时代,共享融合是主旋律。2018年10月9日,贵阳市人民代表大会常务委员会公布《贵阳市健康医疗大数据应用发展条例》(以下简称《条例》),自2019年1月1日起施行。
《条例》的制定,对推进“中国数谷”建设和“互联网健康医疗”行动,建立健全贵阳市医疗卫生服务体系,利用大数据拓展服务渠道,满足人民群众多层次、多样化的健康医疗需求,具有重要意义。
一、立法背景
2016年6月21日,国务院办公厅发布《办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(以下称《指导意见》),旨在提升健康医疗服务效率和质量,扩大资源供给,顺应新兴信息技术发展趋势,规范和推动健康医疗大数据融合共享、开放应用。
2016年10月,国家卫计委启动首批健康医疗大数据中心与产业园建设国家试点工程,确定福建省、江苏省为第一批试点省市。健康医疗大数据中心第二批国家试点确立了贵州、山东和安徽作为试点省市,形成东南西北中五个健康医疗大数据区域中心建设及互联互通试点省。
2017年7月4日,贵州省人民政府办公厅下发《关于促进和规范健康医疗大数据应用发展的实施意见》,响应国务院《指导意见》的工作要求。
2017年8月,贵阳市人大常委会启动贵阳市健康医疗大数据立法工作,并于2018年5月对《条例(草案)》进行一审。在这样的背景下,贵阳市以健康医疗大数据为切入点,在全国成为健康医疗大数据的先行者。作为首个国家大数据综合试验区的核心区,《条例》的出台,意味着我国拥有了首个健康大数据应用发展的地方性法规。
贵阳市人大法制委副主任委员、常委会法工委副主任韦北阳答记者问说道:“为践行以人民为中心的发展理念,并且通过地方立法将贵阳市贯彻执行健康中国战略的经验、措施和办法进行总结、固化,健全完善医疗卫生服务体系,利用大数据优化拓展服务渠道,延伸、丰富服务内容,以满足人民群众多层次、多样化的健康医疗需求,促进和规范健康医疗大数据的应用发展,尤显迫切和必要。”在这样的背景下,《条例》顺势而出。
二、主要内容
《条例》共6章31条,主要对健康医疗大数据应用发展工作原则、采集与汇聚、应用与发展、促进与保障、法律责任等进行规范。贵阳市行政区域内信息系统接入市级全民健康信息平台的医疗卫生机构、健康医疗服务企业等,从事健康医疗大数据应用发展活动,适用《条例》。《条例》的特色和亮点主要在于建立诚信机制、推进实名就诊、实现一卡通和诊间结算、实现便捷就医流程、检查检验结果互认和利用大数据进行精准扶贫等方面。
(一)规范主体
在《条例》中,除了宣誓性条款以外,主要涉及对三种主体的规范。一是公办医疗卫生机构、国有健康医疗服务企业及其从业人员;二是其他医疗卫生机构和健康医疗服务机构及其从业人员;三是医疗卫生行政主管部门及其工作人员。
根据《条例》的规定,市级及市级以下公办医疗卫生机构、国有健康医疗服务企业建设、改造、管理和维护自身信息系统,并与市级平台互联互通,除此以外的医疗卫生机构和健康医疗服务企业等并未强制要求建设、改造自身信息系统并接入市级平台。但这并不意味着其他医疗卫生机构和健康医疗服务机构不属于数据采集主体。《条例》第十条和第十一条,明确规定了医疗卫生机构和健康医疗服务企业等的身份采集义务和业务数据汇聚、存储义务,这意味着目前风靡的互联网医院、互联网医疗平台等互联网医疗服务企业都需要遵循《条例》的其他规定。
(二)法律义务
1.诚信经营
根据《条例》第五条的规定,医疗卫生行政主管部门建立诚信档案,贵阳市医疗卫生机构、健康医疗服务企业及其相关从业人员的违法失信行为将得到有效遏制。医疗服务相关的生产、销售、使用等每一个环节都会在诚信机制监督下运行。诚信机制纳入的主体十分广泛,贵阳市内的医院、社区诊所、药房等机构和企业及其从业人员都要受到诚信机制的约束。诚信机制同样适用于从事互联网医疗的机构和企业,互联网医院属于医疗卫生机构的范畴,在互联网上提供医疗健康服务的医疗平台同样受到规制。例如,互联网医疗平台在获取用户个人信息时如果存在非法获取个人信息行为,或者在网络上发布低质量甚至误导性的信息,构成违法行为的,将被纳入统一的信用信息共享平台,这对医疗服务机构(企业)尤其是非公有的医疗服务机构(企业)来说是致命的负面因素,一旦存在信用污点,医疗服务企业在竞争激烈的网络环境下将减少或丧失竞争力。
2. 数据采集和汇聚
《条例》第十条规定医疗卫生机构和健康医疗服务企业须采集服务对象本人或者其监护人居民身份证号,作为电子病历、电子处方等健康医疗数据的标识。目前,我国尚未建立实名就诊制度,此前曾出现许多化名(匿名)就诊的案例,不乏出现医疗事故后患者与医院产生主体资格纠纷的案件。在南阳市宛城区人民法院2014年审理的【(2012)宛民初字第1551号】案件中,患者化名到医院就诊死亡,医院以双方不存在医患关系为由抗辩,认为患者家属没有诉讼主体资格。在此案件中,正是由于未实名就诊,原告方需提供更多的证据证明存在事实医患关系才能得到赔偿。出于互联网的隐蔽性,在互联网上化名(匿名)就诊、化名(匿名)咨询的人非常之多。患者以真实身份就诊或进行健康咨询,有利于建立患者健康档案,便于患者健康追踪。除此之外,实名就诊制度还可以避免发生医患纠纷时患者得不到合法保障问题。实名就诊制度不仅适用于公办医疗卫生机构、国有健康医疗服务企业及其从业人员,还适用于其他医疗卫生机构和健康医疗服务企业。
除了身份信息以外,只要是业务活动产生的健康医疗数据,所有的医疗卫生机构和健康医疗服务机构都需要汇聚、存储到平台上。而公办医疗卫生机构、国有健康医疗服务企业除了业务活动产生的健康医疗数据以外,还需要汇集公共卫生、计划生育、健康服务、医疗服务、医疗保障、药品供应、医疗器械、应急指挥、健康管理和综合管理等健康医疗数据,并与市级平台相连。
3.数据管理
《条例》规范了数据汇聚存储的平台载体,明确了数据安全责任单位,遵循谁主管谁负责、谁提供谁负责、谁运营谁负责的原则,对健康医疗数据进行更新,实行动态管理。
市医疗卫生行政主管部门负责统筹建设、管理、运行和维护市级全民健康信息平台,用于全市健康医疗数据的汇聚、存储和应用,并与省级全民健康信息平台互联互通。虽然《条例》规定了数据安全责任单位,但并未明确如何维护更新、按照什么标准对数据进行管理。根据《网络安全法》的要求,全民健康信息平台运营者属于网络运营者,需要承担网络安全保护义务。除此之外, 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。全民健康信息平台拥有全省市的人口信息、健康档案和电子病历信息,健康医疗大数据中的特定个人的姓名、住址、 出生日期、身份证号、医疗记录、照片、影像资料等个人信息和隐私数据如果保护不当,都可能存在主动或被动的泄露,对患者的个人信息安全和隐私保护构成严峻挑战。全民健康信息平台有极大可能被纳入关键信息基础设施范畴。因此,建议市卫生行政主管部门对全民健康信息平台按照关键信息基础设施进行保护。
医疗卫生机构和健康医疗服务企业对健康医疗数据应当定期进行更新和动态维护,也需要对健康医疗数据按照《网络安全法》的要求进行保护。在个人信息的收集和使用上履行告知义务并取得用户的同意,并对健康医疗数据进行加密保护。健康医疗大数据作为社会和个人数据的重要组成部分,具有高度敏感性,个人的隐私性。除了汇聚存储数据到全民健康信息平台上以外,对第三方机构提供或者使用获得的健康医疗数据,必须要设置数据安全防护墙,通过严格的信息脱敏过程,使得无法识别特定个人且不能复原。
三、法律责任
对于违反《条例》行为的法律责任特殊之处在于“责令改正前置”。根据《条例》二十七条和二十八条的规定,对公办医疗卫生机构、国有健康医疗服务企业及其从业人员违反《条例》规定的,由医疗卫生行政主管部门责令限期整改;有关部门及其工作人员违反《条例》规定的,由其上级主管部门或者有关机关责令改正;拒不改正的,再依法处理。
除了“责令改正前置”外并未对违反法律义务的处罚措施有特殊的规定。对于违反《条例》的行为,应当按照《中华人民共和国网络安全法》《贵阳市大数据安全管理条例》(以下称《大数据条例》)的相关规定进行处罚。根据《网络安全法》和《大数据条例》,县级以上人民政府应当将大数据安全管理工作纳入年度目标绩效考核,建立健全大数据安全工作监督检查机制。公安机关应当监督、检查、指导安全责任单位建立、落实大数据安全管理的各项制度和技术措施,依法查处大数据安全违法案件。公安、大数据主管部门应当建立大数据安全管理诚信档案,记录违法信息,纳入统一的信用共享平台管理。安全责任单位不履行本条例规定的数据安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害大数据安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。值得注意的是,《大数据条例》明确,安全责任单位的法定代表人或者主要负责人是本单位大数据安全的第一责任人。
结语:
十九大以来,“互联网+医疗健康”发展如火如荼。健康医疗数据由于极具敏感性和隐私性,需要极其严厉的保护;又极具使用性和价值性,亟待有效的利用。《条例》的出台,不仅可以促进贵阳市医疗卫生机构和健康服务企业在健康医疗数据方面的规范采集、汇集和存储,为市民就医提供更加便捷、方便、有效的服务,在全国健康医疗数据的管理和发展上都提供了有益的借鉴。
附表:各法律主体的法律义务和法律责任
法律主体 | 法律义务 | |
公办医疗卫生机构、国有健康医疗服务企业及其从业人员 | 第九条 第1款 | 市级及市级以下公办医疗卫生机构、国有健康医疗服务企业应当按照国家和地方相关目录、标准,采集公共卫生、计划生育、健康服务、医疗服务、医疗保障、药品供应、医疗器械、应急指挥、健康管理和综合管理等健康医疗数据,建设、改造、管理和维护自身信息系统,并与市级平台互联互通。 |
第十条 | 医疗卫生机构和健康医疗服务企业等应当采集服务对象本人或者其监护人居民身份证号,作为电子病历、电子处方等健康医疗数据的标识。没有居民身份证的应当提供其他有效身份证明。服务对象本人或者其监护人应当提供真实有效的身份信息。 | |
第十一条 | 医疗卫生等有关主管部门、医疗卫生机构和健康医疗服务企业应当按照有关数据标准、规范,将其依法履行职责、提供服务等业务活动产生的健康医疗数据汇聚、存储到市级平台。 鼓励医疗卫生机构、健康医疗服务企业等按照有关数据标准、规范,利用可穿戴设备、智能健康电子产品、健康医疗移动应用等采集相关健康医疗数据,汇聚、存储到市级平台。 鼓励医疗卫生机构、健康医疗服务企业按照国家和地方标准整理健康医疗存量数据,汇聚、存储到市级平台。 | |
法律责任 | ||
第二十七条 | 公办医疗卫生机构、国有健康医疗服务企业及其从业人员违反本条例规定,有下列情形之一的,由医疗卫生行政主管部门责令限期整改;拒不改正的,由其主管部门或者有关机关对直接负责的主管人员和其他直接责任人员依法予以处理: (一)未履行信息系统建设、改造、管理和维护义务,或者未将信息系统与市级平台互联互通的; (二)未按照国家和地方相关标准采集数据的; (三)未按照规定采集居民身份证号或者其他有效身份证明作为电子病历、电子处方等健康医疗数据标识的; (四)未将业务活动产生的健康医疗数据汇聚、存储到市级平台的; (五)未对健康医疗数据进行更新,实行动态管理的。 其他医疗卫生机构、健康医疗服务企业及其从业人员违反前款第三项、第四项、第五项规定的,由医疗卫生行政主管部门责令限期改正。 本条规定的行为,本市无管理权限的,报请有管理权限的省级有关部门依法处理 | |
第二十八条 | 有关部门及其工作人员违反本条例规定,有下列情形之一的,由其上级主管部门或者有关机关责令改正;拒不改正的,对直接负责的主管人员和其他直接责任人员依法予以处理: (一)未公布投诉举报方式等信息,或者未登记、处理和回复投诉举报的; (二)未履行市级平台管理、运行和维护义务的; (三)未对健康医疗数据进行更新,实行动态管理的; (四)未组织建立覆盖全人口的居民电子健康档案的; (五)未按照规定组织实施精准健康扶贫的; (六)未履行实时监测或者全过程监督职责的; (七)其他未履行健康医疗大数据管理、服务职责的。 | |
第二十九条 | 违反本条例规定,法律、法规有处罚规定的,从其规定。 | |
其他医疗卫生机构和健康医疗服务机构及其从业人员 | 法律义务 | |
第九条 第2款 | 鼓励前款以外的医疗卫生机构和健康医疗服务企业等按照国家和地方标准采集健康医疗数据,建设、改造自身信息系统,接入市级平台。 | |
第十条 | 医疗卫生机构和健康医疗服务企业等应当采集服务对象本人或者其监护人居民身份证号,作为电子病历、电子处方等健康医疗数据的标识。没有居民身份证的应当提供其他有效身份证明。服务对象本人或者其监护人应当提供真实有效的身份信息。 | |
第十一条 | 医疗卫生等有关主管部门、医疗卫生机构和健康医疗服务企业应当按照有关数据标准、规范,将其依法履行职责、提供服务等业务活动产生的健康医疗数据汇聚、存储到市级平台。 鼓励医疗卫生机构、健康医疗服务企业等按照有关数据标准、规范,利用可穿戴设备、智能健康电子产品、健康医疗移动应用等采集相关健康医疗数据,汇聚、存储到市级平台。 鼓励医疗卫生机构、健康医疗服务企业按照国家和地方标准整理健康医疗存量数据,汇聚、存储到市级平台。 | |
法律责任 | ||
第二十八条 | 有关部门及其工作人员违反本条例规定,有下列情形之一的,由其上级主管部门或者有关机关责令改正;拒不改正的,对直接负责的主管人员和其他直接责任人员依法予以处理: (一)未公布投诉举报方式等信息,或者未登记、处理和回复投诉举报的; (二)未履行市级平台管理、运行和维护义务的; (三)未对健康医疗数据进行更新,实行动态管理的; (四)未组织建立覆盖全人口的居民电子健康档案的; (五)未按照规定组织实施精准健康扶贫的; (六)未履行实时监测或者全过程监督职责的; (七)其他未履行健康医疗大数据管理、服务职责的。 | |
第二十九条 | 违反本条例规定,法律、法规有处罚规定的,从其规定。 | |
医疗卫生行政主管部门及其工作人员 | 法律义务 | |
第八条 | 市医疗卫生行政主管部门负责统筹建设、管理、运行和维护市级全民健康信息平台,用于全市健康医疗数据的汇聚、存储和应用,并与省级全民健康信息平台互联互通。 区(市、县)医疗卫生行政主管部门按照职责做好市级平台的管理、运行和维护。 医疗卫生行政主管部门根据需要,可以通过依法委托、购买服务、协议合作等方式建设、管理、运行和维护市级平台。 | |
第十一条 第1款 | 医疗卫生等有关主管部门、医疗卫生机构和健康医疗服务企业应当按照有关数据标准、规范,将其依法履行职责、提供服务等业务活动产生的健康医疗数据汇聚、存储到市级平台。 | |
第十二条 | 医疗卫生等有关主管部门、医疗卫生机构和健康医疗服务企业应当按照谁主管谁负责、谁提供谁负责、谁运营谁负责的原则,对健康医疗数据进行更新,实行动态管理。 | |
第二十五条 | 各级人民政府、医疗卫生行政主管部门、社区服务管理机构应当加强人才队伍建设,通过招录、招聘等方式配备健康医疗大数据应用发展专业人员。 | |
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
