健康医疗数据监管:拉开帷幕

2018年9月13日,国家卫生健康委员会发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》(“管理办法”),标志着健康医疗数据监管的靴子基本落地。

在范围上,该管理办法适用于中国公民在中国境内产生的健康医疗数据,该规范既遵循属地原则,也遵循属人原则。换言之,中国人在境外产生的医疗健康数据,或是外国人在中国境内产生的医疗健康数据,均不适用本管理办法。而健康医疗大数据,被定义为“人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”。这样的定义方式缺乏示例,大数据也并非严谨的法律概念,在实践中更是难以运用。根据这个定义,大量生理数据也会被纳入其中,比如智能手环、手机或App所收集的心率、每日步数、睡眠情况都可以被纳入健康医疗大数据的范畴,而收集这些数据的企业,自然也成为了责任单位。

在网络安全管理方面,与《网络安全法》的思路一脉相承,要求落实数据分类、重要数据备份、加密认证……。而在有些领域甚至更进一步,直接要求“一把手”责任制,而非《网络安全法》中的网络安全负责人负责(更严格的来说应该是所有人都有责任)。对于责任单位,要求落实等级制度,但对等级没有强制要求,而在9月12日发布的《互联网医院基本标准(试行)》中,直接要求互联网医院信息系统实行第三级信息安全等级保护。

第二十二条 责任单位应当按照《中华人民共和国网络安全法》的要求,严格规范不同等级用户的数据接入和使用权限,并确保数据在授权范围内使用。任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据,不得使用非法手段获取数据。

管理办法第二十二条要求责任单位遵守《网络安全法》,不得擅自利用和发布未经授权或超出授权范围的健康医疗数据,不得违法适用非法手段获取数据。这一条是管理办法中最重要的条款之一。绝大多数健康医疗数据都可以被认为是个人信息,根据《网络安全法》对个人信息获取的要求,收集、使用个人信息,均需要用户的同意,而且同意需要建立在公开收集、使用规则,明示收集、使用信息的目的、方式和范围的基础上,这对于互联网企业或许不新鲜事了,但医疗机构来说却是巨大的挑战,至少我不记得哪家医院让我同意过“隐私政策”。而缺少了“同意”的基础,大量医院的数据将不具有合法性的基础,而历史数据又难以补救“同意”,在合法合规的背景下或许只能删除。

第三十条 责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件,加强对健康医疗大数据的存储管理。健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。

而在数据本地化与跨境传输方面,健康医疗数据不仅需要在境内保存,而且需要存储在安全可信的服务器上。至于什么是安全可信的服务器,姑且以等级保护为标准判断吧。而向境外传输,需要按照相关法律法规及有关要求进行安全评估审核。但是,《网络安全法》仅要求关键信息基础设施运营者向境外传输个人信息与重要数据时才需要进行安全评估,而健康医疗数据的责任单位显然不可能都属于关键信息基础设施运营者,管理办法无疑是超越了《网络安全法》,貌似是下级部门规章超越上位法律创设法律义务……。同时,安全评估审核目前并没有细则与实施标准,换言之,目前实际上没有合法途径将健康医疗数据传输至境外。

管理办法还对供应链有所要求,要求医疗数据责任单位的医疗大数据服务提供商符合“符合国家和行业规定及要求,具备履行相关法规制度、落实相关标准、确保数据安全的能力,建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度”。实际上这是对医疗数据责任单位在选择医疗大数据服务提供商前要进行数据尽职调查(Data Due Diligence)。

总而言之,《国家健康医疗大数据标准、安全和服务管理办法(试行)》的颁布与生效意味着医疗领域数据监管拉开帷幕,医疗健康领域的责任单位不得不投入资源,进行数据合规工作。而《网络安全法》也会在越来越多的领域开始“生根发芽”,对所有行业带来巨大的影响。

发表评论

电子邮件地址不会被公开。 必填项已用*标注