引 言
万物互联,数字引领。问答系数字经济专题季下固定栏目,每一期将聚焦不同话题内容,最终将形成数字经济百问百答,旨在展示泰和泰律师在数字经济的专业成果。本期话题为:健康医疗领域数据合规要点。
Q1:我国对健康医疗数据安全有哪些特殊监管规定?
我国在《网络安全法》《数据安全法》《个人信息保护法》等一般性数据保护法律法规的基础上,针对健康医疗领域中数据的特殊性和敏感性,制定了更为严格和具体的监管规定,以加强该领域的数据安全和个人隐私保护。相关立法主要如下:
《国家健康医疗大数据标准、安全和服务管理办法(试行)》强调了健康医疗大数据的安全管理,规定了数据分类、备份、加密等措施,确保数据在各个环节的安全。该立法的目的在于为健康医疗大数据的安全、合法利用提供了法律保障。
《医疗卫生机构网络安全管理办法》明确了医疗卫生机构在网络安全方面的主体责任,要求落实等级保护制度,加强安全自查与整改。该立法旨在提升医疗卫生机构应对网络安全事件的能力,保护患者和医疗机构的数据安全。
《人口健康信息管理办法(试行)》规范了人口健康信息的采集、管理、利用和安全保护,强调了该类信息安全与隐私保护的重要性。其主要内容包括建立安全管理制度、操作规程和技术规范,确保人口健康信息的安全等。
《人类遗传资源管理条例》及《人类遗传资源管理条例实施细则》则对人类遗传资源的采集、保藏、利用和出境进行了严格管控,旨在保护我国人类遗传资源,防止资源泄露和滥用,从而能更好地维护国家生物安全和社会公共利益。
《中华人民共和国生物安全法》从法律层面规定了生物安全的相关制度和措施,对于涉及生物安全的健康医疗数据也提出了保护要求。该立法将生物安全融入了国家安全概念重要一环,为生物安全领域的监管提供了法律依据。
《信息安全技术 健康医疗数据安全指南(GB/T 39725-2020)》为国家推荐数据保护标准,尽管不具备法律强制力,但作为众多监管部门、学者以及行业攸关方的共识,为医疗机构和企业完善内部健康医疗数据的安全管理提供了具体的技术指导,其内容包括数据分类、等级划分、安全措施等,旨在促进健康医疗数据的安全利用。
Q2:我国法律对健康医疗数据是如何定义的?
关于“健康医疗数据”,我国法律尚未给出明确的定义。相关定义主要规定于《信息安全技术 健康医疗数据安全指南(GB/T 39725-2020)》和《国家健康医疗大数据标准、安全和服务管理办法(试行)》当中,其中分别对“个人健康医疗数据”、“健康医疗数据”以及“健康医疗大数据”进行了定义,为我们提供了较好的参考。
1.个人健康医疗数据:指单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。
2.健康医疗数据:包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据,包括群体总体分析结果、趋势预测、疾病防治统计数据等。
3.健康医疗大数据:指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。
Q3:我国法律对医疗数据的是如何分类的?
随着医疗信息化的不断推进,医疗机构积累了海量数据。这些数据如果运用得当,将对医疗机构、科研院所、医药企业等主体提升服务质量、优化资源配置及推动科研产生重大积极影响。然而,医疗数据的多样性和复杂性也给数据安全保护带来了挑战。为满足隐私保护与数据安全需要,如何对健康医疗数据进行分类成为关键。参照《信息安全技术 健康医疗数据安全指南》的规定,健康医疗数据可按如下标准进行分类:
1.个人属性数据:指单独或者与其他信息结合能够识别特定自然人的数据。
(1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等;
(2)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;
(3)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等;
(4)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;
(5)个人健康监测传感设备ID等。
2.健康状况数据:指能反映个人健康情况或同个人健康情况有着密切关系的数据。主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。
3.医疗应用数据:指医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。门(急)诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等。
4.医疗支付数据:指医疗或保险等服务中所涉及的与费用相关的数据。
(1)医疗交易信息,包括医保支付信息、交易金额、交易记录等;
(2)保险信息,包括保险状态、保险金额等。
5.卫生资源数据:指可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。医院基本数据、医院运营数据等。
6.公共卫生数据:公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。
Q4:什么是人类遗传资源?
我国《人类遗传资源管理条例》和《人类遗传资源管理条例实施细则》分别对“人类遗传资源”进行了明确定义,人类遗传资源包括“人类遗传资源材料”和“人类遗传资源信息”。其中,“人类遗传资源材料”是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。“人类遗传资源信息”则是指利用人类遗传资源材料产生的数据等信息资料。需注意的是,临床数据、影像数据、蛋白质数据和代谢数据不属于人类遗传资源信息的范畴。
Q5:针对健康医疗数据出境有哪些特殊监管要求?
在我国数据出境的合规框架中,健康医疗领域的数据因其敏感性和重要性,受到了更为严格和细致的监管。相关健康医疗数据出境活动在遵循一般的数据出境法律合规要求的基础上,还需遵守特别立法中针对健康医疗领域的数据出境设定的一系列特殊要求,以更好地保障国家安全、公众健康和社会公共利益。
一方面,某些医疗健康数据的出境属于法律绝对禁止。例如针对人口健康信息,我国《人口健康信息管理办法(试行)》明确规定,责任单位严禁在境外服务器中存储或托管此类人口健康信息。根据该规定,人口健康信息,是指依据国家法律法规和工作职责,各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。同时,该规定适用于各级各类医疗卫生计生服务机构所涉及的人口健康信息的采集、管理、利用、安全和隐私保护工作。因此,如相关健康医疗数据产生于《人口健康信息管理办法(试行)》覆盖的医疗机构、科研院所等,将极有可能落入该范畴,进而只能在中国境内的服务器内储存,无法被传输出境。这一要求凸显了人口健康信息的特殊地位,强调了其时效性和安全性的重要性。
而在人类遗传资源方面,我国《人类遗传资源管理条例》分别针对“人类遗传资源材料”和“人类遗传资源信息”规定了严苛的出境限制,其中与数据出境直接相的出境限制相关的是“人类遗传资源信息”的出境。
首先,外国组织、个人及其设立或实际控制的机构被明确禁止在我国境内采集、保藏或向境外提供我国人类遗传资源。确需利用我国人类遗传资源开展科学研究活动的,须采取与我国科研机构、高等学校、医疗机构、企业合作的方式进行,该等合作研究需在满足包括伦理审查在内的一系列条件下,由合作双方共同申请,经国务院卫生健康主管部门批准后方可实施。
针对“人类遗传资源信息”出境方面,条例规定将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,应当向国务院卫生健康主管部门备案并提交信息备份;可能影响我国公众健康、国家安全和社会公共利益的,还应当通过国务院卫生健康主管部门组织的安全审查。
Q6:哪些企业可能涉及对健康医疗数据的采集?
目前,许多医药企业、医疗机构、科研院所在日常的业务开展、科学研究等场景中往往涉及大量使用和传输健康医疗数据。这些机构的健康医疗数据来源也较为广泛。因此,如将数据采集的渠道总体上划分为线上采集和线下获取两种途径,相关企业将很可能在以下列举的场景中进行健康医疗数据采集:
(一)健康医疗企业通过线上途径进行的数据采集
1.互联网保险企业,数据来源于线上保险用户从参保到理赔全过程所输入的数据。此种采集下可能涉及的数据为个人医疗信息(如疾病诊断、治疗记录、药物使用情况等)、金融信息(如支付记录、保费信息等)。
2.医药相关电商,数据来源于药品医疗器械等交易流通产生的数据。此种采集下可能涉及的数据为药品名称、规格、数量、购买者信息(如姓名、联系方式、地址等)、交易时间、支付金额、药品配送信息等。
3.互联网线上医疗平台,数据来源于通过自身线上医疗平台用户线上就医及通过其他平台端口接入诊疗的用户医疗信息等。此种采集下可能涉及的数据为用户基本信息(如姓名、性别、年龄等)、症状描述、诊断结果、治疗方案、处方信息、就医记录、健康咨询记录等。
4.政府监管下的医疗数据收集平台,数据来源于政府统一管理授权平台收集到的医疗数据。此种采集下可能涉及的数据为医疗机构信息、医生执业信息、患者就诊记录、药品使用记录、医疗器械使用记录、公共卫生事件报告等。
(二)健康医疗企业通过线下途径进行的数据采集
1.诊所、医院等线下医疗机构,数据来源于患者线下就医提交的信息数据。此种采集下可能涉及的数据为基本信息(如姓名、性别、年龄、联系方式等)、就诊科室、主诉症状、诊断结果、治疗方案、处方信息、检查报告(如X光、CT、MRI等)、住院记录、手术记录等。
2.医疗器械、医药企业及研究机构,数据来源于为医疗器械与医药等研发、交易、使用的所产生或涉及到的数据。此种采集下可能涉及的数据为产品研发数据(如临床试验结果、药物配方等)、生产数据(如生产批次、生产日期等)、销售数据(如销售渠道、销售量等)、使用反馈数据(如用户满意度、不良反应报告等)。
3.体检机构等健康服务企业。数据来源于个人因健康管理而选择提交的个人信息、诊断情况等信息。此种采集下可能涉及的数据为个人基本信息(如姓名、性别、年龄等)、健康检查结果(如血压、血糖、体脂率等)、运动数据(如步数、运动量等)、饮食习惯记录、睡眠质量记录等。
4.保险行业,数据来源于投保到理赔过程所填写的个人信息、医疗数据等。此种采集下可能涉及的数据为投保人基本信息(如姓名、性别、年龄、职业等)、投保产品信息(如保险种类、保额等)、理赔申请信息(如出险时间、地点、原因等)、医疗证明文件(如诊断证明、治疗记录等)。
5.药监局等行政机关,主要是通过行政行为收集的医疗数据。此种采集下可能涉及的数据为药品注册信息、药品生产许可信息、药品质量检验报告、医疗器械注册信息、医疗器械生产许可信息、医疗器械质量监督检查结果等。
可以预见的是,涉及健康医疗数据使用的单位,例如保险行业、医药与医疗器械行业、健康服务行业、医疗机构、行政机关等,可能通过线上与线下两种途径对于健康医疗信息进行收集。其中,被收集的健康医疗数据可能涉及大量的个人信息,甚至是个人敏感信息。因此,相关企业在进行医疗健康数据的收集以及嗣后的使用上应更加注重合法合规。值得提出的是,由于互联网存在着交互性、虚拟性、跨地域性、隐匿性等特征,因此相关企业所进行的线上数据收集在法律合规层面将更加紧迫。