百朗律师事务所
您当前的位置 : 首页  >  研究成果  >  理论文章
理论文章
法律时评

健康医疗大数据合规建议初探

引言


2015年3月6日,国务院办公厅印发《全国医疗卫生服务体系规划纲要(2015-2020年)》,该纲要指出“到2020年实现全员人口信息、电子健康档案和电子病历三大数据库基本覆盖全国人口并信息动态更新”。自此开始,健康医疗大数据逐步开始受到越来越多的关注。随后的2016年6月21日,《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》发布,健康医疗大数据首次被纳入国家大数据战略布局。

2018年7月12日,国家卫健委发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》,开始统筹标准管理、落实安全责任、规范数据服务管理,为健康医疗大数据的应用场景落地提供了直接性政策指导;2020年3月30日,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》正式公布,国务院第一次将数据列入生产要素;同年7月中央再次表态,要高度重视新一代信息技术在医药卫生领域的应用,重塑医药卫生管理和服务模式,优化资源配置、提升服务效率。

在一系列政策的推动下,各级诊疗机构也开始重视健康医疗大数据的治理挖掘和临床应用,为健康医疗大数据行业的发展提供了重要驱动力。


 一 、

何为健康医疗大数据

(一)健康医疗大数据的概念

健康医疗大数据是指在疾病防治、健康管理等过程中产生的与健康医疗相关的数据,包括自然人从出生到死亡的完整生命过程中产生的与健康活动有关的全部数据,涉及患者诊疗信息、病历记录或者心理健康状况等个人健康生理信息。这些数据被广泛应用于临床应用(如临床决策辅助、远程医疗、精准医疗)、保险理赔与价格精算、药物和医疗器械的研发以及公共卫生等。¹

(二)健康医疗大数据的分类

分类的前提是确定分类标准,标准不同,分类亦不同。鉴于本文旨在探讨健康医疗大数据的合规问题抑或说法律规制问题,而法律规制的重要功能在于平衡个人权利与他人权利之间的矛盾,即所谓“群己权界”。就健康医疗大数据而言,个人权利主要指的是隐私保护、利益维护,他人权利主要是指健康医疗大数据的占有者对大数据的合理使用。但就是否直接涉及到个人信息来说,可以分为病历类大数据和非病历类大数据。故,按隐私的远近和合理使用的风险,并结合现有法律规范,对健康医疗大数据,笔者试分类如下:

1、病历类健康医疗大数据

病历是指医务人员在医疗活动过程中形成的文字、符号、图表、影像、切片等资料的总和,包括门(急)诊病历和住院病历。²与其他类型的健康医疗大数据相比,病历类健康医疗大数据几乎包含了普通公民最常见、无需加工分析的个人信息,从隐蔽的身体信息、疾病(含既往病史,家族遗传病史等)信息,到住所、年龄、性别、身份证号码、电话号码、亲属关系、生活轨迹、医疗保险信息、财产信息等等。因为病历类健康医疗大数据的这一特征,导致国家对病历的书写、使用、管理也制定了较为完善的规范体系。

当然,并非所有病历类信息都是健康医疗大数据。一般情况下,传统的纸质门诊、急诊病历,都是由患者自行保存,住院病历由医院统一建档管理。所以,一般情况下不会形成健康医疗大数据。但是,当医院对这些庞大的门诊、急诊、住院病历数据转换为电子数据或者说用电子病历代替传统纸质病历时,经由数据库沉淀就会形成病历类健康医疗大数据。

并且,越来越多的互联网医疗平台通过移动端、电脑端接待病人的咨询,医生在网上展开会诊等而形成的记录或者在医生的建议下通过穿戴设备、化验设备等获取的检查、化验数据也因为记入“病历”而属于病历类数据。

综上,凡是能归入“病历类健康医疗大数据”,因为需要对患者隐私进行最大程度的保护,其制作、使用和管理应当严格遵循国家关于病历管理的法律规范,包括《民法典》《执业医师法》《医疗事故处理条例》《病历书写基本规范》《医疗机构病历管理规定》等等。

2、非病历健康医疗大数据

病历数据之外的健康医疗大数据可以笼统称之为“非病历类健康医疗大数据”。非病历类健康医疗大数据与病历类健康医疗大数据最本质的区别在于是否是经医生诊断针对特定患者在诊疗过程中形成的数据。这类大数据也因为数量庞大,含有的信息极其丰富而可能经由分析工具分析而产生新的价值。

因为非病历类健康医疗大数据的来源非常广泛,本文仅做简单列举。主要来源可包括:

1、医院在诊疗过程中形成的非病历健康医疗大数据。例如,在CT、MRI、血透、肾透、DSA等检查过程中形成的相关数据参数。这些数据虽然和身体健康息息相关,但是却不会被记入病历中,仅仅记录在医疗设备中,所以该类数据不是病历类数据。

2、药品和医疗器械等在研发、临床试验、临床应用等过程中形成的健康医疗大数据。

3、病人在单纯的网络购药、购买医疗器械过程中,所形成的购买数据亦是非病历类健康医疗大数据。

……

(三)健康医疗大数据的特征

医疗健康大数据从不同的角度看,可能会有不同的特征,但是总体来说是可识别性和价值性的冲突。

1、可识别性

“可识别性”是含个人信息类大数据最本质的特征,比如病历类健康医疗大数据,只要拿到原始病历,有关个人的“可识别性”特征如姓名、住所、年龄、婚姻、疾病等一览无余。即使是一些看起来不含“个人信息”的数据如经可穿戴设备而采集的大量人群的数据,即使所有病历都隐藏了姓名、年龄、住所等隐私信息,但在大数据条件下,经更加广度、深度的搜索,通过专业的分析软件,结合其他特征,完全有可能将一份病历中被隐藏了的个人信息还原出来。

2、价值性

健康医疗大数据的价值来源于对健康医疗大数据的分析。健康医疗大数据的性质决定了单条健康医疗数据价值有限,但通过对海量健康医疗数据的分类、挖掘、建模等,制作出大数据产品,可以从中发现创造新价值,具体如下:

(1)服务居民让群众享有便捷高效的优质服务

一是通过对居民就医行为、习惯的大数据分析优化诊疗服务流程,让百姓看病更方便。二是健康管理的发展促进了大数据应用,使对疾病的早期甚至可能发病因素进行干预、治疗成为了可能。三是借助大数据手段对居民健康危险因素进行分析,开展居民健康管理服务,实现了个性化健康保健指导。

(2)服务医生让医疗行为更精准更精细

大数据将极大提高医疗决策,特别是临床决策的科学性,主要包括用药分析、药品不良反应、疾病并发症、治疗疗效相关性分析和制定个性化治疗方案等。医生可将电子病历、电子处方、新兴的健康应用以及公共卫生报告整合成可供使用的数据,以精准查找致病病因,提出科学治疗方案,促进个性化精准化治疗。

(3)服务科研,为医学创新搭建平台

主要是用于疾病诊断与预测、临床实验数据的分析与处理、针对重大疾病识别疾病易感基因、为极端表型人群提供最佳治路径等。如应用大数据挖掘分析技术,化国际医药科技计划研究与应用成效提高危害人类健康的重大疾病的预防和诊疗水平。通过挖掘病人数据来评估和招募患者是否符合试验条件,并进一步找出最合适的临床实验基地,从而加快临床试验进程等摘录还可以通过支持研制、推广数字化健康医疗设备,促进健康医疗智能化装备产业升级,形成新业态和新经济增长点。

(4)服务管理,使服务效率和服务质量进一步提升

主要是规范用药评价、管理绩效分析,流行病、急病等预防干预及措价、公众健康监测、付费或定价、临床路径的优化等。³


  二、

健康医疗大数据的权利主体及内容

有观点认为“健康医疗大数据所产生的权利属于信息权,在民法权利分类上属于物权之一种。既然属于物权,自得具备物权的四项权能:占有权,使用权,收益权,处分权。具体来说,健康医疗大数据的所有者享有对大数据信息的排他的占有权;享有自行使用或许可他人使用的使用权;享有因自行使用或许可他人而产生的收益权;享有将数据转让给他人或抛弃的处分权”。但是,笔者对这一观点并不认同。数据具有不同于传统“物”的特征,数据可以复制,没有唯一的实体载体,所以“确定数据的权属就能一劳永逸解决数据使用问题”的观点并不正确。正是因为数据权属难以界定,从而在数据的开发、利用过程中才产生了重重问题。

虽然目前我们不能解决数据权属的问题,但并不意味着我们完全无法处理健康医疗大数据的相关权益问题。根据《民法典》《医疗事故处理条例》《医疗机构病历管理规定》《病历书写基本规范》等法律规范的规定,对于病历类健康医疗大数据,我们可以得出如下结论:

(1)病历档案的制作、保管主体为医疗机构;

(2)患者有权复印或者复制其门诊病历、体温单、医嘱单、化验单(检验报告、医学影像检查资料、特殊检查同意书、手术同意书、手术及麻醉记录单、病理资料、护理记录以及其他病历资料;

(3)医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。因此,基于医疗机构诊疗产生的健康医疗数据,医疗机构并无权单方使用,医疗机构及其医务人员对前述数据进行占有、使用、收益,应当经过患者的配合或同意。

对于非病历类健康医疗大数据,我国法律法规并未作出明确规定。本着在私法领域“法无禁止即自由的原则”,非病历类健康大数据的相关各方可以通过协议的方式来确认各自的权益。以互联网非病历类健康医疗大数据为例,患者通过互联网挂号、买药、线上问诊、网络搜寻等产生的医疗数据,数据的权利主体除涉及传统医疗机构诊疗过程中的医疗机构、患者两个主体外,还涉及互联网平台。参照前述结论,基于互联网平台产生的健康医疗数据,如互联网平台仅提供医疗机构与患者的通道,本身不提供数据存储服务,则医疗机构、患者为数据的共同权益人;如互联网平台不仅提供医疗通道,还具有数据存储、分析的功能,或参与提供医疗服务,则互联网平台、医疗机构、患者为数据的共同权益人;如不涉及医疗机构,仅为个人与互联网平台产生的搜索数据,则数据的权属应根据平台协议的规定来判定,可能为个人、互联网平台单独为权益人也可能为共同权益人。


  三、

健康医疗大数据的合规建议

医疗机构共享、使用收集到的健康医疗数据,应当进行分类、分级、脱敏,经过处理无法识别到特定个人且不能复原的数据才能对外共享和使用,具体分述如下:

1、健康医疗数据的采集

通过诊疗、咨询等形成及由此衍生的健康医疗数据,究竟是属于患者个人还是属于医疗机构或健康咨询机构,目前各界没有达成共识,在法律规范层面也没有规定。这就健康医疗 数据的采集存在灰色地带的存在。

2017年6月1日起施行的《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”第42条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”从以上两个条文,可知通过互联网平台收集健康医疗数据,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

综上,在健康医疗大数据的采集过程中,应从严把控采集信息的流程,并全方位取得健康医疗大数据相关单位和个人的有效授权,同时做好数据采集规范管理。

2、健康医疗大数据的储存和保护

对于健康医疗大数据的储存和保护,我国各级法律规范都对此极为重视。《网络安全法》第42条规定:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。” 2018年7月12日公布的《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》(以下称“服务办法”)明确要求“责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件,电子实名认证和数据访问控制,加强对健康医疗大数据的存储管理。”“责任单位应当按照国家网络安全等级保护制度要求,构建可信的网络安全环境,加强健康医疗大数据相关系统安全保障体系建设,提升关键信息基础设施和重要信息系统的安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作。”

其实,国家对医疗数据的存储和保护问题很早之前就出台了红头文件进行规范。2011年12月7日,卫生部印发的《卫生行业信息安全等级保护工作的指导意见》就要求“在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作”。并进一步指出 “国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级:以下重要卫生信息系统安全保护等级原则上不低于第三级:

(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;

(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;

(3)三级甲等医院的核心业务信息系统;

(4)卫生部网站系统;

(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。”

2017年6月1日生效的《网络安全法》正式在国家法律层面确立网络安全等级保护制度,并对“关键信息基础设施”实行重点保护。而在《国家网络安全检查操作指南》的关键信息基础设施业务判定表中,将“医疗行业”的“医院等卫生机构运营、疾病控制、急救中心运行”认定为关键业务。同时在2017年7月10日公布的《关键信息基础设施安全保护条例(征求意见稿)》中,也将卫生医疗领域的单位纳入关键信息基础设施保护范围。2021年9月1日即将实施的《数据安全法》第一次提出了“国家核心数据”的概念,该法第42条指出“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”。医疗健康大数据中的部分数据极有可能纳入“国家核心数据”中,将会实行更为严格的保护制度。考虑到健康医疗大数据的后期研发和应用着重围绕卫生医疗领域进行展开,故建议相关企事业单位从严落实健康医疗大数据的存储要求和安全等级保护制度,并加以重点保护。

3、健康医疗大数据的应用

对于健康医疗大数据的应用,《网络安全法》第四十二条的规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。对此,我们似乎可以推出经合法采集并经过脱敏化处理后,无需经过被收集者的同意,就可以合法对外应用的结论。无疑,这一规定有效减少了健康医疗大数据应用和开发的法律障碍,也为健康医疗大数据的深度挖掘和研发应用提供了有效的制度保障,但是也要求我们对其执行严格的脱敏化处理。

具体来说,作为数据提供方,在《个人信息保护法》正式颁布前,“告知-同意”仍应当作为数据应用的合法基础,即收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体或其监护人的同意;作为数据接收方,根据《个人信息安全规范》和相关司法实践,我们需要遵循三重授权原则,即:

(1)数据提供方已经取得数据主体合法有效授权;

(2)数据提供方对数据接收方进行适当授权;

(3)数据接收方超出数据主体对数据提供方的原始授权范围使用数据的,应当重新取得数据主体的授权。

但是,对于健康医疗大数据的实际研发和应用过程中,跨国公司,尤其是外资企业,仍然受到一定的政策限制。比如《外商投资产业指导目录》明确禁止外商投资机构对人体干细胞、基因诊断与治疗技术开发和应用,《涉及人的生物医学研究伦理审查办法(试行)》规定境外机构或个人在中国境内进行涉及人的生物医学研究应当向我国伦理委员会申请审核。

综上,虽然《网络安全法》已经为各市场主体挖掘和研发应用健康医疗大数据留下了一定的空间,但各市场主体在实践操作中仍应当恪守各项法规、政策、标准的规定,谨慎评估自身业务运营模式,时时更新调整,以免触发不必要的法律风险。

4、健康医疗大数据的境外传输

《网络安全法》第35条规定“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”《数据安全法》第31条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”这是国家在法律层面对数据出境问题作出的宏观规定。

2014年5月5日出台的《人口健康信息管理办法(试行)》中规定:“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。”随着实践的发展,《服务办法》参照《网络安全法》的规定对此相应拓宽。《服务办法》第30条规定“因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核”。与此相应的,全国信息安全标准化技术委员会于2017年8月30日发布的《信息安全技术数据出境安全评估指南》(征求意见稿),明确将“人口健康”、“食品药品”等领域纳入重要数据领域,并对个人信息和重要数据的出境详细描述了评估方法。此外,若国家对特定行业和数据的出境存在特殊规定的,仍应遵守该特殊规定。例如,根据2019年7月1日生效《中华人民共和国人类遗传资源管理条例》规定,涉及人类遗传信息资源向境外传输的,应当进行前置审批。

需要进一步说明的,虽然《信息安全技术数据出境安全评估指南》(征求意见稿)尚未正式出台,但其关于健康医疗大数据详细的出境评估方法亦可作为实践操作的参考和借鉴。各医疗机构或企业应尽早对照《信息安全技术数据出境安全评估指南》对本单位自身情况进行初步自查,早作安排,以顺利应对接下来可能的健康医疗大数据出境评估要求。