观韬解读 | 健康医疗大数据“合规”刻不容缓 ——《中华人民共和国数据安全法》正式颁布-北京观韬律师事务所

观韬解读 | 健康医疗大数据“合规”刻不容缓 ——《中华人民共和国数据安全法》正式颁布

2021-06-11

首页 > 观韬视点 > 解读 > 观韬解读 | 健康医疗大数据“合规”刻不容缓 ——《中华人民共和国数据安全法》正式颁布

观韬解读 | 健康医疗大数据“合规”刻不容缓

——《中华人民共和国数据安全法》正式颁布

北京观韬中茂律师事务所李洪江孙静杨旭

编者案：2021年6月10日召开的第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，自2021年9月1日起实施。本文仅从个人健康医疗数据合规的问题出发，讨论医疗卫生领域面临的重大挑战。

《中华人民共和国数据安全法》（以下简称《数据安全法》）的正式颁布对于数据安全行业具有重大意义，是我国第一部在数据安全领域的立法，填补了众多该领域的立法空白点，对数据、数据活动、数据安全给出了明确的定义，从总体国家安全观的站位提出建立建全数据安全协同治理体系，提高数据安全保障能力，促进数据开发利用，保护公民、组织的合法权益，维护国家主权、安全和发展利益。作为数据领域的基础性法律，本次立法聚焦数据安全领域的突出问题，确立了数据分类分级管理、数据安全风险评估、监测预警、应急处置，数据安全审查等基本制度。通过建立健全各项制度措施，有助于提升国家数据安全保障能力，有效应对数据领域的国家安全风险，切实维护国家主权、安全和发展利益。

随着大数据技术在各行业的广泛应用，既便利了企业数据开发及商业模式优化，同时也为企业数据合规带来巨大挑战。在《网络安全法》《个人信息保护法（草案）》《数据安全法》等通用领域数据合规立法、健康医疗领域数据合规专项立法等相继出台的当下，鉴于健康医疗数据关乎患者生命安全、个人信息安全，健康医疗企业，应当未雨绸缪，主动、积极、及时做好数据合规应对。

一、“数据”、“健康医疗数据”的概念及特点

《数据安全法》第三条规定“数据,是指任何以电子或者非电子形式对信息的记录。”除对《网络安全法》所界定的“网络数据”外，还将“以非电子形式对信息的记录”纳入了数据范畴。按照这一规定，纸质的档案信息以及其他书面形式对信息所作的记录，也属于数据。

2017年生效的《中华人民共和国网络安全法》（以下简称网络安全法）采用了“网络数据”的概念，并未采用“数据”。按照《网络安全法》第七十六条的规定，“网络数据”是指通过网络收集、存储、传输、处理和产生的各种电子数据。

2021年1月1日开始实施的《中华人民共和国民法典》，在涉及“数据”时，则采用了如下表述：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。上述法律表述中将“数据”与“网络虚拟财产”并列。此外，《中华人民共和国民法典》中特别增加了个人信息保护的相关章节，并且明确地将健康信息归入个人信息的范畴之内。

什么是健康医疗数据？

从广义上来讲，健康医疗数据包括医疗服务过程中产生的和个人相关的与疾病防治和健康管理相关的信息等。

国家卫生健康委员会于2018年发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》规定：“健康医疗大数据”是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。目前国内医疗相关法规，在宏观层面为“健康医疗数据”（尤其是与自然人相关的健康医疗数据）设定诸多定义，其中最主要的包括“个人健康医疗数据”、“健康医疗大数据”、“人口健康信息”及“科学数据”四类。

从医疗实践中来看，主要的健康数据信息有：主诉、现病史、既往病史、体格检查（体征）、家族史、症状、健康体检数据、遗传咨询数据、可穿戴设备采集的健康相关信息、生活方式等。

“健康医疗数据”的特点：1.包括电子数据，也包括大量纸面数据。例如《医疗机构病历管理规定》规定病历为电子病历和纸质病历；2.包括个人信息，也包括大量非个人信息。例如《药品试验数据保护实施办法（暂行）》规定药品试验数据包括与药品有效性相关的非临床和临床试验数据；3.包括数据和信息，也包括身体物质，例如《人类遗传资源管理条例》规定人类遗传资源包括人类遗传资源材料（人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料）和人类遗传资源信息（利用人类遗传资源材料产生的数据等信息资料）。与个人信息相关的健康医疗数据主要集中于医疗服务过程中产生的数据，也涉及与药品、医疗器械和人类遗传资源相关的个人信息。[i]

二、健康医疗数据合规涉及的法律问题

（一） 数据收集、存储、使用的合规问题

《数据安全法》第三十二条规定：任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

健康医疗大数据的存储

要符合《网络安全法》规定，对其收集的用户信息严格保密，并建立健全用户信息保护制度；制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。承载健康医疗大数据的设施安全关涉国家安全、国计民生、公共利益，属于关键信息基础设施，因此要落实网络安全等级保护制度。

《国家健康医疗大数据标准、安全和服务管理办法（试行）》规定，责任单位应当建立健全相关安全管理制度、操作规程和技术规范，落实“一把手”责任制，加强安全保障体系建设，强化统筹管理和协调监督，保障健康医疗大数据安全。医疗机构及相关企事业单位应采取数据分类、重要数据备份、加密认证等措施，并同时施行电子实名认证和数据访问控制措施，严格规范不同等级用户的数据接入和使用权限，并确保相关数据在授权范围内使用。制定安全管理制度、操作规程和技术规范，保障信息安全。

《医疗机构病历管理规定》要求医疗机构及其医务人员应当严格保护患者隐私，禁止以非医疗、教学、研究目的泄露患者的病历资料。电子病历系统应当对操作人员的权限实行分级管理，用户根据权限访问相应保密等级的电子病历资料。授权用户访问电子病历时，自动隐藏保密等级高于用户权限的电子病历资料。

健康医疗大数据的使用

是指包括但不限于健康医疗数据的分析、发掘、应用、交易等行为。健康医疗大数据需经脱敏后使用，数据脱敏是指采用数据清洗等脱敏技术手段对采集的健康医疗数据进行技术处理以后形成的，不能单独或者通过与其他数据结合识别某一特定自然人的数据。

《电子病历应用管理规范（试行）》的通知【国卫办医发(2017)8号】则明确要求，电子病历数据所依赖的电子病历系统应对操作人员进行身份识别，并确保操作记录可查询、可追溯，同时应设置医务人员书写、查阅、修改的权限和时限。

（二）电子病历数据合规问题

国家卫生计生委办公厅、国家中医药管理局办公室关于印发《电子病历应用管理规范（试行）》的通知【国卫办医发(2017)8号】中，电子病历是指医务人员在医疗活动过程中,使用信息系统生成的文字、符号、图表、图形、数字、影像等数字化信息,并能实现存储、管理、传输和重现的医疗记录,是病历的一种记录形式，包括门（急）诊病历和住院病历。

关于电子病历数据的合规问题，主要涉及如下方面：

1.身份认证可以采用电子签名，“有条件的医疗机构电子病历系统可以使用电子签名进行身份认证，可靠的电子签名与手写签名或盖章具有同等的法律效力”（ 【国卫办医发(2017)8号】第十条）。

2.电子病历系统应当采用权威可靠时间源（【国卫办医发(2017)8号】第十一条）。

3.患者个人健康医疗数据的真实性、一致性、连续性和完整性：“医疗机构应当为患者电子病历赋予唯一患者身份标识，以确保患者基本信息及其医疗记录的真实性、一致性、连续性、完整性。”（【国卫办医发(2017)8号】第十三条）

4.数据留痕、可追溯：“电子病历系统应当对操作人员进行身份识别，并保存历次操作印痕，标记操作时间和操作人员信息，并保证历次操作印痕、标记操作时间和操作人员信息可查询、可追溯。”（【国卫办医发(2017)8号】第十四条）

（三）移动医疗数据合规管理

移动医疗平台应当首先完善客户隐私政策充分保障用户的知情权。用户安装、注册、第一次使用移动医疗设备前应采取增强式告知,提示关于个人信息收集的核心内容，并明确告知核心业务功能所必须收集的个人敏感信息。应当取得用户明示同意,根据用户主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件。对于个人敏感信息的收集,建议允许用户逐项选择是否提供或同意自动采集个人敏感信息。收集受试者个人信息的,应遵循受试者知情同意以及临床研究数据收集使用的有关规定。

（四）健康医疗APP数据合规问题

网信部门、工信部门、公安部门、全国信息安全标准化技术委员会（“信安标委”）等主要监管机构先后制定出台了若干针对APP个人信息保护的规范文件，例如《APP违法违规收集使用个人信息行为认定方法》、《APP违法违规收集使用个人信息自评估指南》等，从个人信息的基本内涵和范围、个人信息的使用和处理规则等角度为企业合规运营APP提供了参考依据。

《网络安全标准实践指南—移动互联网应用程序（APP）个人信息保护常见问题及处置指南》则明确了移动互联网应用程序（APP）在实践操作过程中的主要问题。

在2021年4月26日公布的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》第六、七条对合法合规处理用户个人信息作了详细的列举，比如，首次运行APP时须向用户告知的内容、不应强制要求用户一揽子同意打开多个系统权限、处理个人敏感信息应单独告知并取得用户的同意、不得利用频繁弹窗反复申请与当前服务场景无关的权限等等。之前的《APP违法违规收集使用个人信息行为认定方法》，对“未公开收集使用规则”、“未明示收集个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则，收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”等常见的APP违规行为主要包括哪些内容进行了明确。结合上述违规认定方法和合规操作指引，企业基本可以明晰如何合法合规处理个人信息。

（五）违反数据安全法所承担的法律责任

《数据安全法》第四十四、四十五、五十一、五十二条，对违反数据安全的行为规定了罚款、警告、停业整顿、吊销相关业务许可证或者吊销营业执照等相关处罚措施，明确构成犯罪的，依法追究刑事责任。

综上，互联网+医疗的发展和医疗信息化建设不断推动，医疗数据增长迅猛，安全问题也随之而来，对个体健康医疗数据进行深度挖掘，数据的融合与共享，不仅带来商业回报，也进一步促进社会群体的健康福祉。此次，《数据安全法》的出台，将成为继《网络安全法》实施后，网络安全行业的又一里程碑，势必驱动政府、机构和企业增加在数据安全领域的投资，用以完善安全防护体系，从而推动网络安全行业在数据安全领域的技术、产品加快创新和产业创新发展。

参考文献：

1.《发展不忘合规，健康医疗大数据合规注意事项》陈正刚 ( 北京金诚同达律师事务所 ) 2020-03-26

2. 《新技术下医疗服务模式合规管理及法律风险防范》王冬梅 ( 中伦律师事务所 )2020-09-30

3. 《中国法下健康医疗数据共享场景及合规要点》王源 2020-02-03

4. 健康医疗数据安全的实现新工具—《健康医疗数据安全指南》解读吴卫明刘昀东( 锦天城律师事务所 )2021—3-23

5. 《APP个人信息保护合规监管回顾及展望》薛熠陈德文 ( 中伦律师事务所 )2021-01-19

6. 《移动互联网应用程序（APP）个人信息合规建议》胡奕宜 ( 君泽君互联网与知识产权团队 )2021-06-02

7.《医疗大数据之合规管理与创新发展》威科先行法律数据库—行业智合规—医药行业专题 20201-06-05

8. 健康医疗企业IPO数据合规重点问题与应对（上、下）陈际红等威科先行法律数据库2021-03-26

9.相关法律法规及规范性文件

《中华人民共和国数据安全法》

《中华人民共和国民法典》