互联网医院合规解读系列——医生调取患者诊疗数据用于教学研究的合规分析

2018年4月28日，国务院办公厅正式发布《国务院办公厅关于促进“互联网+医疗健康”发展的意见》，鼓励医疗机构应用互联网等信息技术拓展医疗服务空间和内容，构建覆盖诊前、诊中、诊后的线上线下一体化医疗服务模式，允许依托医疗机构发展互联网医院。

互联网医院的快速发展也为患者的隐私保护带来了巨大挑战，除了互联网医院本身的网络安全保护风险，实践中常见互联网医院平台医生要求调取、使用过往患者诊疗数据的需求，虽出于教学、研究目的，但也增加了患者个人信息泄露的风险。

隐私权是一项重要的民事权利，我国在民事、行政、刑事法律层面均建立了相应的保护机制。2017年《民法总则》第一百一十一条明确提出了对个人信息的法律保护，禁止非法买卖、提供或者公开他人个人信息。依据2018年5月1日正式实施的国家标准GB/T 35273《信息安全技术 个人信息安全规范》（以下简称《规范》），患者诊疗数据信息属于《规范》3.2所规定的个人敏感信息，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等。法律对于患者电子病历、诊疗数据等敏感信息的保护较一般个人信息更为严格。

基于此，互联网医院平台医生调取患者诊疗数据用于教学、研究需注意以下五方面的合规性问题。

一、设置合理的申请审批流程与痕迹管理制度

对于患者诊疗数据，如病历等隐私信息，我国卫生和计划生育委员会、国家中医药管理局于2013年印发的部门规章《医疗机构病历管理规定》第十五条指出，除为患者提供诊疗服务的医务人员，以及经卫生计生行政部门、中医药管理部门或者医疗机构授权的负责病案管理、医疗管理的部门或者人员外，其他任何机构和个人不得擅自查阅患者病历。第十六条则规定，其他医疗机构及医务人员因科研、教学需要查阅、借阅病历的，应当向患者就诊医疗机构提出申请，经同意并办理相应手续后方可查阅、借阅。此规章虽主要规定于传统的医生手写病历，但2017年国家卫生计生委发布的《关于印发电子病历应用管理规范（试行）的通知》中第7条明确，《医疗机构病历管理规定（2013年版）》适用于电子病历管理。

除病历以外，患者诊疗数据还会涉及其他人口基本信息、医疗卫生服务信息等人口健康信息。2014年国家卫生计生委印发的《人口健康信息管理办法（试行）》（以下简称《管理办法》）第六条规定，各级各类医疗卫生计生服务机构采集、利用、管理人口健康信息应当按照法律法规的规定，遵循医学伦理原则，保证信息安全，保护个人隐私。《管理办法》第十三条也规定，出于提高医学研究、科学决策和便民服务水平的目的，人口健康信息可以逐步实现互联共享，但其中涉及保密信息和个人隐私信息的，不得对外提供。《管理办法》第十六条同时规定，各级各类医疗卫生计生服务机构应当按照国家信息安全等级保护制度要求，加强建设人口健康信息相关系统安全保障体系，制定安全管理制度、操作规程和技术规范，保障人口健康信息安全。

据此，互联网医院应当将上述规定作为平台内医生调取患者诊疗数据的合规的重要参考。例如，互联网医院可以设置调取患者诊疗数据的申请审批流程，并设置专门人员对申请主体、内容范围、调取原因、使用目的等内容进行审查、批准或授权。另外，根据《管理办法》第十八条的规定，互联网医院也应当同时建立痕迹管理制度，任何访问、获取患者诊疗数据的用户，均应当通过严格的实名身份鉴别和授权控制，做到其行为可管理、可控制、可追溯。

二、对诊疗数据进行匿名化与去标识化处理

《网络安全法》第42条明确规定，未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。2019年4月10日网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布的《互联网个人信息安全保护指南》6.3a项但书对《网安法》第42条的规定进行了重申，即经过处理无法识别特定个人且不能复原的个人信息数据，可以超出与信息主体签署的相关使用协议和约定，但应提供适当的保护措施进行保护。根据《规范》3.13条，“通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程”指的是匿名化技术。

因此一般情况下，若只对个人信息进行去标识化（通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程）处理，仍需经过患者的明示同意之后方可提供。但由于医生调取患者诊疗数据的目的在于教学研究，符合《规范》第7.3条c款注释中的规定：对外提供学术研究或描述的结果时，应对结果中所包含的个人信息进行去标识化处理。

因此，医生调取患者诊疗数据进行教学研究的合法路径有二：一是获得患者的明示同意；二是对诊疗数据进行匿名化或去标识化处理后再进行利用。此外，需要注意的是，在具备条件的情况下建议使用经过匿名化处理的诊疗数据更有利于降低法律风险。

同时应当注意，2019年3月，国家卫健委信息化质控与智慧医院建设工作的新闻发布会上，医政医管局副局长焦雅辉强调，“即便是隐去了个人信息之后形成的海量大数据的使用，也是一种公共资源，医疗机构、医务人员没有随意处置这些数据的权力，只能根据有关部门的授权”。

三、进行个人信息安全影响评估并按照评估结果采取有效保护措施

《互联网个人信息安全保护指南》6.6“共享与转让”中b项规定：在对个人信息进行共享和转让时应进行个人信息安全影响评估，应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力，并按照评估结果采取有效的保护个人信息主体的措施。该《指南》虽是三部门联合发布的规范性文件，并未采取部门规章的发布样式，不具有强制执行力。但是应当注意，《指南》的制定是对《网安法》有关规定的细化落实，也可能成为有关部门监管检查企业是否落实个人信息安全保障合规的参考。所以，为了更好的保护用户个人信息，尤其是诊疗数据等敏感信息，互联网医院在对医生提供患者诊疗数据前应当对数据进行安全影响评估，并对受让方的数据安全保护能力进行评估，根据评估结果采取相应的有效保密措施，确保数据安全。

四、及时采取补救措施及履行报告告知义务

《网安法》第42条第2款规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。《互联网诊疗管理办法（试行）》第二十条与《互联网医院管理办法（试行）》第二十三条均规定，发生患者信息和医疗数据泄露后，医疗机构应当及时向主管的卫生健康行政部门报告，并立即采取有效应对措施。

因此，对于平台内医生调取的患者诊疗数据信息，互联网医院有义务监督其保管使用情况，当发现患者信息泄露时，互联网医院应立即采取补救措施，及时告知患者和向主管的卫生健康行政部门报告。

五、严格限制医生调取患者诊疗数据的使用目的

《信息安全技术 个人信息安全规范》是全国信息安全标准化技术委员会组织制定的相关领域必须遵守的国家标准。其中7.3 个人信息的使用限制中c项规定：使用个人信息时，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述，属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时，应对结果中所包含的个人信息进行去标识化处理。

据此，互联网医院应对平台内医生调取患者诊疗数据的使用目的做出规定，根据不同的目的对诊疗数据进行不同的处理。必要时进行合理监管，确保医生对诊疗数据的使用未超出双方签订的保密协议或声明、承诺的范围。

结语

医生调取互联网医院平台的患者诊疗数据用于教学、研究是现实所需，健康医疗大数据确权、开放、流通、交易和产权保护至今仍是行业关注并尚在努力健全的领域。互联网医院为患者提供服务产生的数据应当全程留痕，可查询、可追溯，满足行业监管需求，严格执行信息安全和健康医疗数据保密规定，建立完善个人隐私信息保护制度，严格管理保护患者信息、用户资料、基因数据等个人信息。平台医生为教学、研究目的而调取诊疗数据的，应尤其注意以上五方面的合规要点。

附录：

本文仅为我们对相关法律法规的一般解读，不能作为正式法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道，其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。 

吴丹君

合伙人                                    

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：wudj@guantao.com