专业解读

目录

（一）医疗行业数据概况
（二）医疗行业数据立法分析
（三）医疗行业数据监管动态
（四）医疗行业数据治理建议

医疗行业数据治理建议

数据是继土地、劳动力、资本、技术后第五大市场生产要素，数据的独特地位和价值驱动着行业重新审视数据治理问题。但是，数据治理并非一日之功，需要整个社会的长久关注与实践。结合当前医疗数据治理情况，对医疗行业数据治理建议如下：

一. 加强数据全流程管理，保障医疗数据安全

1. 增强安全意识，加强源头把控

数据安全要靠先进的技术设备维护，更需要合适的策略加以管理。管理过程中，内部人员的数据安全意识决定了组织的数据安全能够达到什么样的水平。医疗机构内部可以通过建立工作流多级审批机制、敏感数据泄露监测与管理机制和数据安全应急处置机制，将数据泄露风险降至最低。

2. 建立顶层标准，推动安全建设

行业发展，标准先行。对于行业属性很重的医疗行业，顶层标准的建立会推动数据安全建设的标准化，从实质去解决数据安全行业化的问题。医疗数据的合规应用需要医院、医生、病患、管理者等相关人员均做好相应管理动作，并且要求软件厂家、硬件供应方、医疗器械供应商、药品供应商等逐步打破边界，建立统一标准，共同致力于数据价值的释放。

3. 分类分级管理，夯实安全前提

针对医疗数据的重要程度设置分类分级的标准，实现数据产生即可标签化管理，以及对于敏感数据的重要标记，才能为后续的数据分级分类脱敏提供技术基础。传统的分级分类模式过于依赖人力，在技术侧也需要解决自动化分级分类等问题，如利用大数据技术做好数据的管控、脱敏、泄密溯源等工作，利用区块链等技术提升数据自身的安全性等。

4. 加快创新发展，依托技术革新

数据安全可靠、数据发挥价值离不开技术领域的创新。想要实现在医疗、院外健康管理、药物研发、医保支付等各环节中数据的有效共享或自由流通，借助数据脱敏、数据水印和隐私计算等安全技术是当前较好的几个技术选择。

5. 坚守以人为本，防护覆盖全程

国家标准化管理委员会2019年发布的《个人信息安全工程指南（征求意见稿）》中指出了医疗健康行业信息安全风险的考虑要点：医疗健康行业是一个特殊的行业，其特殊性在于它以“人”为研究对象，所有医疗行为及其结果都以获取个人信息为基础，因此其信息安全风险非常高。目前的患者个人信息安全防护大多只是注重脱敏，进行匿名化、去标识化及加密等处理。由于医疗机构收集患者个人信息的特殊性，常规的“去标识化”无法完全保证个人信息不被复原，还需要在专业医学人士、信息安全人员共同努力下对个人信息进行“去标识化”处理。在无法准确判断时，对于已进行“去标识化”处理的患者个人信息应采取严格的技术保护措施。

构建“以患者为中心”的个人信息风险评估和防护体系，覆盖个人信息收集、存储、使用、加工、传输、提供、公开等多个环节，有助于医疗机构促进和规范当前数据合规工作的推进和管理。

二. 加强行业数据安全人才队伍建设，完善组织保障体系

《数据安全法》规定：“重要数据的处理者还应当明确数据安全负责人和管理机构，落实数据安全保护责任”，《个人信息保护法》也设定了“个人信息保护负责人”的岗位，负责对个人信息处理活动及采取的保护措施等进行监督。可见数据安全相应岗位人才的重要性，实务中，医疗行业内部对于数据合规人员的设置界定不清晰，缺乏数据合规的专门岗位或人员，岗位设置和管理制度不够合理，难以实现技术与法务的有效联动，在医疗数据监管日趋严峻的背景下，难以支撑医疗机构日益复杂的数据合规治理需求。

1. 成立数据安全部门，构建数据合规体系

为充分保障医疗数据的安全，更好地进行数据合规体系建设，建议医院机构成立数据安全专门部门，在组织架构中至少还应该包括医疗大数据安全委员会和医疗大数据安全工作办公室，以确保做好医疗数据安全管理工作。其中医疗大数据安全委员会对医疗数据安全工作全面负责，讨论决定医疗数据安全重大事项；医疗大数据安全办公室指定专人，设立数据保护官岗位，负责制定医疗数据安全和个人信息保护策略、风险评估方案、合规评估方案、风险处置方案和应急处置方案；负责建立数据安全和个人信息保护相关规章制度；负责人员的数据安全和个人信息保护方面的教育和培训；审计医疗数据使用和应用情况等。

2. 引入第三方服务，提高数据合规能力建设

大多数医疗机构并不具有互联网基因，在数据合规方面的基础较为薄弱，无论是在制度建设还是具体场景合规方面，可能都会有所欠缺，存在一定的合规风险和隐患。因此建议高度重视数据合规建设，适时引入第三方服务，如律师、技术专家、咨询顾问等，是提高医疗机构数据合规能力建设的有效方式。这些人员应在数据安全和个人信息保护领域有一定的工作经验，具备相关知识，熟悉法律、行政法规、规章及政策规则。医疗机构可以在第三方的支持下，构建科学的医疗数据安全防护体系，切实保障医疗数据安全，保障患者的个人信息安全。

三. 打破医疗数据共享壁垒，完善数据共享制度

医疗数据共享具有重要意义，从临床操作角度，共享医疗数据的运用可以提高医学科学研究的有效性和针对性，创造出更加符合临床需要、成本效益更高的技术和产品。从医院管理角度，共享医疗数据能科学分析并对比医院管理的优势和短板，帮助提升医院管理水平和服务效率。从公共卫生建设角度，分析疾病模式和追踪疾病暴发及传播方式途径，可提高公共卫生监测和反应速度，及时准确制定和实施防控措施。从医疗科技创新看，共享医疗数据的应用有利于建立更精简、更快速、更有针对性的研发和转化落地体系。从医疗保险角度，共享大数据的价值在于制定精准的保险服务业务，提高医疗行业和患者的抗风险能力。从患者角度看，能更加便捷全面地了解和参与疾病的诊治过程，获得更多诊疗信息，并进行科学的自我健康管理。

当前，我国医疗行业数字化水平得到较大提升，医院管理、医保结算、流行病监控体系已实现网络化管理。但医疗健康数据共享尚处于初级阶段，数据泄漏隐患增加、数据共享标准有待进一步完善、数据存在多元异构形态、数据难以确权和授权，成为阻碍医疗机构进行数据共享的四个因素。具体而言，仍存在的两个短板：

一是大部分医院之间的数据信息不能共享，包括患者生命体征信息、疾病信息、影像检验报告、互联网诊疗记录、药品使用等基础数据在医院系统中好比一个个“数据孤岛”，难以形成互联互通的合力；
二是不同监管部门之间的共享渠道不畅通，联动机制有待完善。

通过建立医疗行业共享数据平台来打破这种“数据孤岛”现象，主要包含如下环节：首先，建立全国统一的医疗行业数据信息共享平台，将全国医疗及相关行为产生的数据信息进行标准化，覆盖医疗行业全链条，在统一的平台上进行汇集、管理和使用。另外，应加强安全制度建设，如建立健全医疗机构内部安全管理制度、设备安全管理制度、环境安全管理制度、网络安全管理制度的建设，保障医疗信息系统安全可靠、稳定持续地运行，保障医疗信息系统所处的环境安全，保障内部和外部网络的安全。此外，建立规范的管理和使用制度，并进行分层管理。能公开的数据及时予以公开，对于不能公开的数据，制定包括使用范围、使用权限、使用者身份认证等在内的严格管理制度。与此同时，建立完备的数据安全保障体系，通过制度和信息技术手段，做到数据管理和使用可追踪、可溯源，防止数据泄露。

四. 厘清医疗数据权属，减少权利纠纷

目前国内法律法规尚未对数据的“所有权”（包括个人信息的所有权）问题作出明确规定。而数据权属问题存在瑕疵，可能会影响后续数据处理一系列行为的合法性、有效性、包括衍生数据成果的归属等。

《GB/T 35273-2020信息安全技术个人信息安全规范》所使用的“个人信息控制者”定义，以及《健康医疗数据安全指南》所使用的“健康医疗数据控制者”概念，均引入了“数据控制权”的理念，此与欧盟GDPR等域外立法所采用的处理方式基本一致。从数据“控制权”角度考虑，控制者享有数据“控制权”并对应承担对用户权益保护及数据安全的责任，或许可以成为数据权属的拥有者。此外，由于数据可能隐含数据处理主体的商业秘密、商标、版权等信息，数据权属可能覆盖相关知识产权。目前国内相关知识产权法规明确，在不违反相关法律法规的前提下，尊重各方对特定知识成果的权属约定。

五. 医疗数据跨境传输，事前需经充分审查

依照《网络安全法》及《个人信息出境安全评估办法（征求意见稿）》规定，涉及个人信息及重要数据的，需在完成安全评估并报相关机构备案后，方可跨境传输。依照《健康医疗数据安全指南》要求，因学术研讨等目的，需要向境外提供非涉密非重要数据的信息的，经主体授权同意及机构数据安全委员会审批同意，健康医疗数据控制者可向境外目的地提供个人健康医疗数据，累积数据量宜控制在250条以内，否则需提请相关部门审批。

《健康医疗数据安全指南》对于数据对外提供场景进行了不同的分类及规定，但无论是何种场景，建议健康医疗企业应在数据传输前，充分审查合作方的数据安全管理能力，并与合作方通过补充协议方式，要求合作方作为数据接收方应在约定目的范围使用数据、应承担保密义务、信息安全保障义务等。

另外，如果涉及人类遗传资源信息的，还需要得到中国人类遗传资源管理办公室的审核批准。人类遗传资源信息的跨境传输需要适用2019年7月生效的《人类遗传资源管理条例》。该条例要求，如果人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用，应向国务院科学技术行政部门备案或者提交信息备份。此外，根据2021年3月生效的《刑法修正案（十一）》，非法采集国家人类遗传资源，或未经审查将人类遗传资源信息向境外组织、个人及其设立或实际控制的机构提供或者开放使用的行为，将被定为犯罪，面临刑事处罚。

为了更好帮助医药企业初步定位自身数据合规状况，明确企业合规风险点，共同推进数据合规落地，我们针对性地设计如下调查问卷。请您在百忙之中抽出宝贵时间，填写此份问卷。感谢您的配合！

作者简介

白小莉
北京市道可特律师事务所高级合伙人

业务领域：知识产权、争议解决、竞争与反垄断、数据安全与数据合规

手机：18612296630
邮箱：baixiaoli@dtlawyers.com.cn