作者: 宁宣凤  吴涵  淡雪紫  黎辉辉  金杜律师事务所

前言:在大数据经济“热火朝天”的景象中,医疗行业经营者应当“莫听穿林打叶声”,不被纷扰的经济利益所诱惑,把守合规的“红线”。同时,尽管相比于国外较为成熟的商业化模式和监管体系,国内医疗大数据如何开放和共享尚不明确,但我们更应当在医疗大数据开发的“底线”之上,发挥“竹杖芒鞋轻胜马”的优势,积极创新和发展。

伴随着技术的迅速发展,大数据分析在数据密集型与数据驱动型的医疗领域扮演着日益重要的角色。通过各方资源的整合和数据的交互,医疗行业经营者正不断地加强对疾病的理解,加快医学科技的创新,从而推动新型医药产品与医疗器械的研发,寻求更优的治疗方案,提升医疗服务及其相关衍生产业的整体水平与质量。

在医疗行业经营者尝试打破数据孤岛、消除数据壁垒的过程中,数据安全与隐私保护的合规问题也逐渐凸显。在现有的法律法规框架下,医疗数据在性质上可能构成多种受保护的数据类型,而不同的法律法规又对不同的法律责任主体及其具体义务进行规范,无疑为医疗行业经营者的合规工作增加了复杂度。如何在合规的前提下充分挖掘、发挥医疗数据对行业经营者、对产业生态与技术迭代的积极作用,是医疗行业经营者当前亟需解决的难题。

一面是“互联网+医疗健康”政策的鼓励与推动下商业发展和技术创新的强烈需求,一面是与医疗数据处理活动紧密相关而又错综复杂的合规监管要求,如何梳理合规的差距并在此基础之上创新发展医疗大数据产业?基于我们的以往的经验和国内外的立法背景,我们理解要分四步走:(1)识别医疗数据性质与类型;(2)确定医疗数据责任主体;(3)整合医疗数据合规要求;和(4)梳理数据权益。

识别医疗数据性质与类型

合规工作从来都始于事实发现,在医疗数据合规领域亦不例外。如前所述,为了最终整合并形成适用于自身的医疗数据合规方案,医疗行业经营者首先应当关注、识别现行法律法规中主要规则下的医疗数据性质,对照梳理内部医疗数据的类型,并以此作为合规切入点之一。在下表中,我们列举了在医疗数据合规领域受保护的典型数据类型,以及其对应的监管规则(不完全摘录)。


值得医疗行业经营者关注的是,一方面,不同法律法规中对医疗行业相关数据的界定差异显著,部分采取囊括式的界定方式,较大范围地涵盖医疗行业经营过程中可能涉及的相关数据,如“健康医疗大数据”与“人口健康信息”。这种界定方式主要体现国家对医疗行业数据整体的监管态势,从战略高度与原则层面对经营者的数据处理活动提出纲领性的要求——从《人口健康信息管理办法(试行)》到《国家健康医疗大数据标准、安全和服务管理办法(试行)》的演进也在一定程度上印证了这一观点。而部分数据类型的界定则伴有“场景化”的倾向,其中以“(电子)病历”、“人类遗传资源”与“(医疗器械中的)健康数据”三者尤为明显,对这类数据的合规考察则需要更多地结合其定义中所设定的场景与条件进行,而不能主观臆断。

另一方面,上表中强调的医疗数据类型仅仅是从医疗行业的监管角度出发所整理的情况,但医疗行业数据同样在《网络安全法》的数据监管体系中也有特殊要求。例如,《个人信息安全规范》中则将“个人健康生理信息”[1]明确列为“个人(敏感)信息”;《数据出境安全评估指南(征求意见稿)》的附录A“重要数据识别指南”中也将部分医疗行业相关的数据包括在内,例如“A.18 人口健康”与“A.21 食品药品”等两个类别。而针对《网络安全法》体系下的合规要求,则需要同步参照《网络安全法》《个人信息安全规范》《个人信息出境安全评估办法(征求意见稿)》《数据安全管理办法(征求意见稿)》等规范,并以其为起点梳理具体的合规义务。换言之,在开展医疗数据合规工作的过程中,医疗行业经营者既要关注医疗行业规范的具体要求,也不能忽视《网络安全法》体系下对“个人(敏感)信息”与“重要数据”的合规监管——两大维度缺一不可。

确定医疗数据责任主体

法律权利义务关系的落实,始终需要依靠法律主体进行。相应地,在识别医疗数据性质与类型的同时,医疗行业经营者数据合规的下一步骤则是确认具体规范下的法律责任主体,即明确自身是否直接受制于特定的法律法规及其他规范性文件。在数据性质与类型准确识别的基础之上,责任主体身份的确定将能在很大程度上决定了特定企业所需遵循的医疗数据合规要求。

  1. 相关企事业单位

《国家健康医疗大数据标准、安全和服务管理办法(试行)》下的责任单位范围不仅仅包括传统的医疗机构,还包括相关的企事业单位。因此,相关企事业单位(如在疾病健康管理、临床决策支持、医疗研发等领域开展业务的医疗大数据企业)也应符合健康医疗大数据有关的合规要求。

同时,我们也注意到,《国家健康医疗大数据标准、安全和服务管理办法(试行)》的第三十一条似乎有意区分了健康医疗大数据的“责任单位”与其“服务提供商”,从表述方式上看两个术语应该有所区别而不应混同,但从概念界定上看“服务提供商”也很有可能构成“责任单位”。因此,如何处理和协调二者在实际监管执法中的定位与关系,将有待主管部门提供进一步的澄清与实践。

  1. 医疗机构

各级各类医疗机构由于拥有大量各类的第一手医疗数据,是最为重要的行业主体之一,在挖掘医疗数据价值的同时,应尤其注意数据安全和隐私保护相关的合规义务。各级各类医疗机构在《国家健康医疗大数据标准、安全和服务管理办法(试行)》《医疗机构病历管理规定》《人口健康信息管理办法(试行)》等规定下均为直接的责任主体。

  1. 人类遗传资源利用单位

根据《人类遗传资源管理条例》,相关科研机构、高等学校、医疗机构、企业可以根据自身条件和相关研究开发活动需求,利用人类遗传资源开展研究开发活动。

需要注意的是,在阐述适用范围时,《人类遗传资源管理条例》不仅仅限定了主体与对象,也明确指出本条例主要规制人类遗传资源的“采集、保藏、利用、对外提供”,而“为临床诊疗、采供血服务、查处违法犯罪、兴奋剂检测和殡葬等活动需要,采集、保藏器官、组织、细胞等人体物质及开展相关活动,依照相关法律、行政法规规定执行”,二者并不是“或”而是“并”的关系,更多是针对现实中同一事物在法律上存在的差异性规定,企业在推进合规的过程中应当按需适用。 

  1. 医疗器械产品注册人

随着网络技术发展,越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制。具备相关的功能的医疗器械产品生产商/注册人,则应当根据《医疗器械网络安全注册技术审查指导原则》的要求落实履行相应的网络安全义务。

与上文同理,如特定的医疗行业经营者被认定构成《网络安全法》下的关键信息基础设施运营者(尤其是“医疗卫生”被明确列举在《关键信息基础设施安全保护条例(征求意见稿)》的重要行业和领域范围中)或网络运营者,那么将进一步构成《网络安全法》及其配套性措施下的义务主体,进而需要在医疗数据合规工作中一并适用网络安全领域的合规要求。

此外,企业在开展具体的合规时,确定医疗数据责任主体的工作不应仅仅停留在法律层面,还应在合理的程度内考虑现实中可能发生的协议安排,即不能只着眼于法律法规直接、明确适用的主体类型,而需要进一步结合数据合作项目的实际情况,考察合作方是否将其直接受制的法律法规要求转化、传导为合作协议中的安排,从而在一定程度上“转嫁”或“分摊”合规负担。

整合医疗数据合规要求

在识别医疗数据性质与类型、确定医疗数据责任主体的基础之上,医疗行业经营者则需要综合不同法律法规中的合规要求,整合适用于自身的医疗数据合规方案。由于现实中的一种医疗数据可能具有的多重法律属性,从而受制于不同的监管要求,我们将在下文尝试梳理典型法律法规中医疗数据生命周期各环节的主要合规义务。

  1. 医疗数据的收集

人口健康信息的采集原则上应当遵循“一数一源、最少够用”的采集原则,即所采集信息应符合业务应用和管理要求,严格实行信息复核程序,避免重复采集、多头采集。

相较而言,采集我国人类遗传资源,应当事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利,征得人类遗传资源提供者书面同意。采集重要遗传家系、特定地区人类遗传资源等还应取得国务院科学技术行政部门批准。

对构成个人信息的医疗数据采集,根据《个人信息安全规范》的要求,直接收集时应获取被收集者的同意(构成个人敏感信息的,还应当获得明示同意);间接收集时,应要求个人信息提供方说明个人信息来源,并对其合法性进行确认,同时应了解已获取的个人信息处理的授权同意范围。如以经营为目的收集个人敏感信息或重要数据,按照《数据安全管理办法(征求意见稿)》,应当向所在地网信部门备案,此外企业内部应当明确数据安全责任人。

  1. 医疗数据的使用

《医疗机构病历管理规定》对病历的使用具有严格限制。具体而言包括:(1)目的限制——医疗机构及其义务人员应严格保护患者隐私,禁止以非医疗、教学、研究目的泄露患者病历资料;以及(2)主体限制——除特定主体(患者、医务人员、经授权负责病案管理/医疗管理的部门或者人员等)外,其他任何机构和个人不得擅自查阅患者病历。

对于人口健康信息,责任单位应当建立综合利用工作制度,授权利用有关信息,并且其利用目的应限制于提高医学研究、科学决策和便民服务水平。然而,《人口健康信息管理办法(试行)》本身并未就该等工作制度的制定有更进一步的明确要求。

对于人类遗传资源的利用,如涉及外方单位,应当与中方单位以合作的方式开展,同时经国务院科学技术行政部门批准。关于人类遗传资源的合作利用及其具体要求,详见《花径不曾缘客扫,蓬门今始为君开》的进一步分析。

对医疗器械领域的健康数据而言,《医疗器械网络安全注册技术审查指导原则》要求在与非注册申请人预期的设备或系统相连接时,应保证自身网络安全,并明确与其预期相连设备或系统的接口要求。

  1. 医疗数据的存储

就病历数据而言,门(急)诊病历原则上由患者负责保管,经患者或者其法定代理人同意,也可以由医疗机构负责保管,保存时间自患者最后一次就诊之日起不少于15年。住院病历由医疗机构负责保管,保存时间自患者最后一次住院出院之日起不少于30年。而《电子病历应用管理规范(试行)》则明确要求,电子病历数据所依赖的电子病历系统应对操作人员进行身份识别,并确保操作记录可查询、可追溯,同时应设置医务人员书写、查阅、修改的权限和时限。

对人口健康信息而言,应具备符合有关规定要求的数据存储、容灾备份和管理条件。同时,责任单位应任何实施痕迹管理制度,建立、修改和访问人口健康信息的用户,均应通过严格实名身份鉴别和授权控制,做到行为可管理、可控制、可追溯。

而根据具有迭代意义的《国家健康医疗大数据标准、安全和服务管理办法(试行)》的相关规定,针对健康医疗大数据的存储,医疗机构及相关企事业单位应采取数据分类、重要数据备份、加密认证等措施,并同时施行电子实名认证和数据访问控制措施,严格规范不同等级用户的数据接入和使用权限,并确保相关数据在授权范围内使用。

  1. 医疗数据的跨境传输

健康医疗大数据原则上应当存储于境内服务器,因业务需要确需向境外提供的,应按照相关法律法规及有关要求进行安全评估审核;相较而言,人口健康信息则存在严格的本地化处理义务。值得注意的是,《人口健康信息管理办法(试行)》对于人口健康信息的本地存储义务并未规定任何的例外情景,其明确要求“不得将人口健康信息存储于境外服务器,不得托管、租赁在境外的服务器”。换言之,一旦医疗数据属性上构成人口健康信息,其跨境传输活动将被严格禁止。

与人口健康信息不同的是,人类遗传资源在特定条件下可以跨境传输。根据《人类遗传资源管理条例》,利用我国人类遗传资源开展国际合作科学研究,或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的,应符合特定条件,并取得人类遗传资源材料出境证明。考虑到人类遗传资源在一定程度上也可能构成人口健康信息(从而承担着本地化的义务),而人类遗传资源的中外合作项目在实践中似乎并未有遭遇显著的合规障碍,这一看似“矛盾”的规则要求应如何解读和协调,仍有待主管部门的进一步澄清。

此外,关键信息基础设施运营者对于其境内运营中所收集产生的个人信息和重要数据具有本地存储义务。如因业务需要,确需向境外提供的,应当进行安全评估。

值得医疗行业经营者高度关注的是,在整合医疗数据合规方案的时候,我们应该采用“就高不就低”的基本原则。如前所述,同一主体、同一数据在特定场景下可能具备不同的法律属性,因而针对该主体与数据对象,合规工作应该综合选用最严格的要求,以整合为应对交叉监管的合规方案。

例如,医院档案室中存放的患者X光片影像资料,其在法律意义上将存在多种定性,包括病历(《医疗机构病历管理条例》)、人类遗传资源(《人类遗传资源管理条例》)、人口健康信息(《人口健康信息管理办法(试行)》)、健康医疗大数据(《国家健康医疗大数据标准、安全和服务管理办法(试行)》)、个人(敏感)信息与重要数据(《网络安全法》)等。相应地在存在跨境传输需求的场景下,原则上医院需要综合考虑多个法律法规及规范性文件中的要求,选择更为严格的选项,即《人口健康信息管理办法(试行)》中设定的数据本地化义务作为合规方案,已达到“全面合规”的根本目的。

梳理医疗数据权益

在通过数据类型、确认主体、合规要求三大步骤之后,医疗行业经营者应该能较为清晰的了解自身的合规责任和义务。但在合规责任和义务之上,医疗行业经营者实践中可能更为关心如何进一步利用医疗大数据,达成商业化目的。遗憾的是,目前对于医疗数据商业化仍未有比较明确的指南或者被认可的商业模式,医疗行业经营者仍处于“摸着石头过河”的阶段。

“他山之石可以攻玉”。很多的医疗行业经营者在国内法律法规对医疗数据开放尚不明确的态度下,选择参考比如美国的HIPAA法案(Health Insurance Portability and Accountability Act)等境外的规定,试图在保证数据安全的前提条件下,开发医疗数据的商业潜力。在坚持促进医疗大数据发展和合规管理并重的原则下,我们理解医疗行业经营者对于医疗数据的商业化开发还需要重视医疗数据权益的梳理,把准医疗数据商业化的“底线”。比如,从个人信息的角度,从“个人信息控制者”和“个人信息处理者”的角色定位来区分不同经营者对于医疗数据的处理目的和范围的边界;根据医疗机构、医疗研究机构、技术服务提供商等自身的经营和服务范围,以及提供服务中衍生数据的来源和相关投入,在法律法规允许的范围内通过协议等方式划分对于不同颗粒度的医疗数据的权益范围。

企业合规建议

正如弗吉尼亚大学法学院健康法领域的Margaret Riley教授所评论:“隐私至关重要。但如果我们仅仅关注于加强个体的管控,将会损害研究。”[2]对于医疗数据予以充分的信息安全和隐私保护并不意味着医疗数据禁止被利用以实现特定的商业价值。尽管如此,医疗行业作为严监管行业,医疗行业经营者在运营中应时刻把握本文中所阐述的医疗数据合规基本思路,即识别医疗数据性质与类型,确定医疗数据责任主体,整合医疗数据合规要求,并密切关注自身合规义务的履行情况。

同时,与开展常规数据合作合规项目相类似,在开展医疗数据的商业合作中,医疗行业经营者均应该着重关注合同条款的订立与尽职调查的适用。一方面,合同条款作为合作各方法律权利义务关系的基础,应当完备地阐述各方在具体法律角色定位下所承担的义务,既应该纳入法律法规、监管规定、重要国家标准的具体合规要求,确保绝不触及底线规范,也需要结合具体的合作项目安排,对可能存在的数据合规风险节点以及要求合作方承诺与保障的内容进行定制化设计,并适时根据法律法规与监管规定,在必要的情况下对合同进行补充约定,以保证合同条款的完整性。另一方面,作为在开展具体商业合作前对合作方必要资质与能力的考察活动,尽职调查在医疗数据合规方面显得尤为重要。鉴于医疗数据合规工作既包含安全技术层面(如数据安全防护能力)的内容,也包含法律裁量层面(如数据处理行为的必要性)的内容,通过自身或聘请的专业机构针对合作方在数据合规方面的资质与能力进行背景审查,既能核实合作方在谈判阶段所述合规情况的真实性,也能尽早发现合作方在数据处理方面可能存在的纰漏,以推动合作项目的后续顺利开展。

除了上文整理的若干典型规范中的医疗数据合规义务外,在医疗数据开发和应用的过程中,医疗行业经营者还应当注意的一般性合规要求包括:

  • 收集环节:直接从患者处收集时,应就相应的数据处理活动取得有效授权;对涉及从第三方处获取医疗数据的企业而言,应当对数据提供方、涉及的数据种类与类型等进行合法性确认;
  • 使用环节:使用适当的技术措施保障数据安全,在能够实现相关使用目的的范围内,尽量对医疗数据进行匿名化或去标识化处理,尤其是针对姓名、身份证号码以及能够唯一标识特定患者的信息;
  • 存储环节:落实有关数据分类、重要数据备份、加密认证等措施保障数据存储安全;
  • 跨境传输环节:医疗行业经营者首先应判断其是否基于特定的主体身份或数据类型具有数据本地存储义务(如主体为关键信息基础设施运营者的,或数据类型为人口健康信息的),同时注意满足相关跨境传输要求,并尽可能仅传输匿名化后、无法识别特定个人的数据;
  • 其他合规义务
    • 成立专门的数据管理部门并制定专门的责任人;
    • 及时落实网络安全等级保护:根据2011年发布的《卫生行业信息安全等级保护工作的指导意见》,三级甲等医院的核心业务信息系统等原则上应不低于第三级,并且对第二级以上信息系统,应当报属地公安机关及卫生行政部门备案;
    • 建立网络安全事件应急响应机制并定期检测;
    • 服务提供商管控:选择医疗数据服务提供商时,应确保其符合国家和行业规定及要求,具备履行相关法规制度、落实相关标准、确保数据安全的能力,建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度。

[1] 具体包括个人因生病医治等产生的相关记录, 如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况产生的相关信息,及体重、身高、肺活量等。具体参见《个人信息安全规范》附录A“个人信息示例”和附录B“个人敏感信息示例”。

[2] “WHY IT’S TIME TO RETHINK THE LAWS THAT KEEP OUR HEALTH DATA PRIVATE”,https://www.theverge.com/2019/1/29/18197541/health-data-privacy-hipaa-policy-business-science