【法國(guó)IPAG高等商學(xué)院--醫(yī)療健康管理博士DBA--行業(yè)資訊分享】

來(lái)源：高云數(shù)據(jù)合規(guī)

作者：張冉冉

醫(yī)療健康行業(yè)與每個(gè)人的生活息息相關(guān)，包括疾病診斷、體檢在內(nèi)的醫(yī)療事務(wù)，需要大量處理患者、藥物等信息，從而涉及重要數(shù)據(jù)和敏感個(gè)人信息的儲(chǔ)存和處理。同時(shí)，醫(yī)療信息化及互聯(lián)網(wǎng)醫(yī)療在疫情的催化下快速發(fā)展，傳統(tǒng)醫(yī)療行業(yè)的數(shù)據(jù)孤島現(xiàn)狀被打破，醫(yī)療數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)流通、共享的趨勢(shì)愈發(fā)明顯，健康醫(yī)療數(shù)據(jù)合規(guī)問(wèn)題日益受到重視。

另一方面，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》以及多部醫(yī)療健康行業(yè)的法律法規(guī)不斷公布和生效，共同搭建了較為完善的醫(yī)療數(shù)據(jù)監(jiān)管體系，為醫(yī)療數(shù)據(jù)的合規(guī)治理提出了更高的要求。

-01-

醫(yī)療健康行業(yè)數(shù)據(jù)安全合規(guī)相關(guān)概念

（1）健康醫(yī)療數(shù)據(jù)的概念

目前，我國(guó)針對(duì)醫(yī)療數(shù)據(jù)的監(jiān)管規(guī)定分散在不同的法律法規(guī)中，缺少明確統(tǒng)一的規(guī)定，關(guān)于健康醫(yī)療數(shù)據(jù)的定義也存在多種說(shuō)法。例如，《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》將健康醫(yī)療大數(shù)據(jù)定義為“在人們疾病防治、健康管理等過(guò)程中產(chǎn)生的與健康醫(yī)療相關(guān)的數(shù)據(jù)”；而《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》（GB/T 39725，下文簡(jiǎn)稱(chēng)“指南”）則定義健康醫(yī)療數(shù)據(jù)為“包括個(gè)人健康醫(yī)療數(shù)據(jù)以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)數(shù)據(jù)”。

結(jié)合定義的全面性，企業(yè)在進(jìn)行具體數(shù)據(jù)合規(guī)工作時(shí)，可以參考指南中的定義。根據(jù)指南給出的定義，其認(rèn)為健康醫(yī)療數(shù)據(jù)包含兩方面，一方面為通常意義上的個(gè)人健康醫(yī)療數(shù)據(jù)，例如患者的門(mén)診病例、體檢結(jié)果等，另一方面為個(gè)人健康醫(yī)療數(shù)據(jù)經(jīng)分析處理后得到的醫(yī)療大數(shù)據(jù)，如群體健康情況、發(fā)展趨勢(shì)等。指南的定義指出了醫(yī)療健康數(shù)據(jù)合規(guī)的未來(lái)趨勢(shì)，既要保證個(gè)人健康醫(yī)療數(shù)據(jù)的合規(guī)性、安全性，也要注重群體醫(yī)療大數(shù)據(jù)等個(gè)人健康醫(yī)療數(shù)據(jù)的“加工品”的管控。

（2）健康醫(yī)療數(shù)據(jù)的分類(lèi)

醫(yī)療數(shù)據(jù)，依據(jù)不同的維度、角度進(jìn)行分類(lèi)，具體的分類(lèi)也必然不同。例如，根據(jù)目前法律法規(guī)文件發(fā)布情況，可以分為醫(yī)療健康大數(shù)據(jù)（《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）等》）、病歷資料（《電子病例應(yīng)用管理規(guī)范》等）、人類(lèi)遺傳資源（《人類(lèi)遺傳資源管理?xiàng)l例》）、人口健康信息《人口健康信息管理辦法（試行）》、臨床試驗(yàn)數(shù)據(jù)（《醫(yī)療器械臨床試驗(yàn)質(zhì)量管理規(guī)范》等）。而根據(jù)《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》中對(duì)于健康醫(yī)療數(shù)據(jù)的分類(lèi)，可以分為人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)、公共衛(wèi)生數(shù)據(jù)。

-02-

醫(yī)療健康行業(yè)數(shù)據(jù)安全合規(guī)現(xiàn)狀

（1）醫(yī)療健康管控的立法較為分散且趨于完善

一方面，醫(yī)療健康行業(yè)的法律法規(guī)陸續(xù)發(fā)布生效，不僅包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》三法，還會(huì)涉及《民法典》、《刑法》以及《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》等法律文件，共同構(gòu)建了一個(gè)愈加完善的醫(yī)療數(shù)據(jù)合規(guī)體系。另一方面，針對(duì)醫(yī)療數(shù)據(jù)的監(jiān)管性規(guī)定較為分散，涉及多個(gè)不同的法律法規(guī)，因此，相關(guān)主體在收集、處理醫(yī)療數(shù)據(jù)時(shí)，可能會(huì)同時(shí)受到多個(gè)法律法規(guī)的監(jiān)管，醫(yī)療數(shù)據(jù)合規(guī)工作面臨巨大挑戰(zhàn)。

（2）主體類(lèi)型復(fù)雜、業(yè)務(wù)場(chǎng)景多變、尤其是互聯(lián)網(wǎng)醫(yī)療模式的興起，為合規(guī)工作帶來(lái)挑戰(zhàn)

根據(jù)指南的定義，健康醫(yī)療數(shù)據(jù)涉及主體類(lèi)型復(fù)雜，既包括患者、醫(yī)生等個(gè)人，也包括醫(yī)院、檢測(cè)檢驗(yàn)機(jī)構(gòu)、醫(yī)療器械企業(yè)、藥店、醫(yī)療信息化服務(wù)商、醫(yī)保中心、衛(wèi)生行政監(jiān)管部門(mén)、保險(xiǎn)公司等機(jī)構(gòu)。

涉及到的業(yè)務(wù)場(chǎng)景也非常復(fù)雜且多變，既包括傳統(tǒng)意義上的個(gè)人身份信息、疾病診斷、疾病治療等相關(guān)數(shù)據(jù)，也包括醫(yī)療交易、醫(yī)院數(shù)據(jù)運(yùn)營(yíng)、疾病監(jiān)測(cè)數(shù)據(jù)等更廣義的數(shù)據(jù)，而且基于市場(chǎng)需求的不斷變化，新技術(shù)、新主體以及新的數(shù)據(jù)收集、處理方式也在快速迭代。

同時(shí)，互聯(lián)網(wǎng)醫(yī)療模式的興起，也在一定程度上沖擊了傳統(tǒng)醫(yī)療行業(yè)的數(shù)據(jù)壁壘，推動(dòng)了醫(yī)療數(shù)據(jù)的流通及共享，為醫(yī)療數(shù)據(jù)治理帶來(lái)了新的要求和挑戰(zhàn)。

（3）跨國(guó)醫(yī)療機(jī)構(gòu)數(shù)量多、涉及數(shù)據(jù)跨境傳輸問(wèn)題

健康醫(yī)療行業(yè)存在較多中外合作醫(yī)療項(xiàng)目及跨國(guó)經(jīng)營(yíng)的大健康行業(yè)企業(yè)機(jī)構(gòu)，其跨境業(yè)務(wù)將會(huì)涉及到非常多的重要數(shù)據(jù)以及敏感個(gè)人信息，因此醫(yī)療數(shù)據(jù)跨境傳輸?shù)暮弦?guī)問(wèn)題是其必須要考慮和面對(duì)的。

同時(shí)，由于目前醫(yī)療數(shù)據(jù)相關(guān)立法較為分散，跨國(guó)企業(yè)在數(shù)據(jù)出境時(shí)可能會(huì)受到多部法律法規(guī)的管控，例如《人類(lèi)遺傳資源管理?xiàng)l例》對(duì)于人類(lèi)遺傳資源的跨境行為進(jìn)行監(jiān)管。

-03-

醫(yī)療健康行業(yè)數(shù)據(jù)安全合規(guī)建議

（1）建立分類(lèi)分級(jí)的數(shù)據(jù)管理體系

《數(shù)據(jù)安全法》要求國(guó)家要建立數(shù)據(jù)分類(lèi)分級(jí)管理制度，而企業(yè)可以按此原則建立、完善數(shù)據(jù)分級(jí)分類(lèi)的管理機(jī)制。具體可參考《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》，該文件不僅僅規(guī)定了醫(yī)療健康數(shù)據(jù)的分類(lèi)情況，還按照數(shù)據(jù)的重要性和風(fēng)險(xiǎn)級(jí)別以及可能造成的危害程度，進(jìn)一步將健康醫(yī)療數(shù)據(jù)劃分為5級(jí)進(jìn)行分級(jí)管理。具體為:

（1）第1級(jí)：可完全公開(kāi)使用使用數(shù)據(jù)例如醫(yī)院名、地址、電話等，可直接在互聯(lián)網(wǎng)上面向公眾公開(kāi)。

（2）第2級(jí)：可在較大范圍內(nèi)供訪問(wèn)使用的數(shù)據(jù)例如不能標(biāo)識(shí)個(gè)人身份的數(shù)據(jù)，各科室醫(yī)生經(jīng)過(guò)申請(qǐng)審批可以用于研究分析。

（3）第3級(jí)：可在中等范圍內(nèi)供訪問(wèn)使用的數(shù)據(jù)例如經(jīng)過(guò)部分去標(biāo)識(shí)化處理，但仍可能重標(biāo)識(shí)的數(shù)據(jù)，僅限于獲得授權(quán)的項(xiàng)目組范圍內(nèi)使用。

（4）第4級(jí)：在較小范圍內(nèi)供訪問(wèn)使用的數(shù)據(jù)例如可以直接表示個(gè)人身份的數(shù)據(jù)，僅限于相關(guān)醫(yī)護(hù)人員訪問(wèn)使用。

（5）第5級(jí)：僅在極小范圍內(nèi)且在嚴(yán)格限制條件下供訪問(wèn)使用的數(shù)據(jù)例如特殊病種（艾滋病、性?。┑脑敿?xì)資料，僅限于主治醫(yī)護(hù)人員訪問(wèn)且需要進(jìn)行嚴(yán)格管控。

在科學(xué)完善的分類(lèi)分級(jí)管理體系下，醫(yī)療機(jī)構(gòu)可以更好地根據(jù)數(shù)據(jù)所屬分類(lèi)和風(fēng)險(xiǎn)級(jí)別制定具有針對(duì)性的管理措施，一方面可以有限節(jié)約醫(yī)療機(jī)構(gòu)數(shù)據(jù)治理的成本及難度，另一方面也能為醫(yī)療數(shù)據(jù)的監(jiān)管質(zhì)量提供保障。

（2）加強(qiáng)履行數(shù)據(jù)收集的“告知—同意”義務(wù)

醫(yī)療機(jī)構(gòu)等主體在收集醫(yī)療數(shù)據(jù)時(shí)，大致存在兩種情形：一種是直接從患者、醫(yī)生等個(gè)體獲取數(shù)據(jù)，此類(lèi)收集行為需要嚴(yán)格按照法律法規(guī)要求，遵循“告知—同意”義務(wù)。另一種為醫(yī)療機(jī)構(gòu)通過(guò)與第三方合作獲取數(shù)據(jù)，醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)與第三方簽訂相關(guān)協(xié)議并按照相關(guān)法律法規(guī)和合同約定對(duì)數(shù)據(jù)進(jìn)行使用和管理。同時(shí)，在第三方傳輸數(shù)據(jù)前，特別是在超出采集數(shù)據(jù)原有目的、范圍、方式時(shí)，要求第三方重新告知數(shù)據(jù)接收方的使用目的、范圍、方式，并取得數(shù)據(jù)主體的單獨(dú)同意。

（3）建立和完善醫(yī)療數(shù)據(jù)共享的保障機(jī)制及追溯機(jī)制

結(jié)合現(xiàn)有法律法規(guī)，推動(dòng)數(shù)據(jù)共享活動(dòng)的規(guī)范化、標(biāo)準(zhǔn)化，實(shí)現(xiàn)對(duì)共享數(shù)據(jù)全生命周期的管控機(jī)制。建立事前安全影響評(píng)估程序，針對(duì)風(fēng)險(xiǎn)規(guī)避等方面進(jìn)行全面審查并簽訂符合共享目的且內(nèi)容完備的醫(yī)療數(shù)據(jù)共享協(xié)議，以確保數(shù)據(jù)共享存在的風(fēng)險(xiǎn)能夠有效評(píng)估和約定。事中應(yīng)重點(diǎn)審查數(shù)據(jù)是否安全共享以及數(shù)據(jù)共享目的是否實(shí)現(xiàn)，以跟進(jìn)共享計(jì)劃的實(shí)現(xiàn)。事后應(yīng)建立數(shù)據(jù)共享追溯機(jī)制，及時(shí)總結(jié)和梳理數(shù)據(jù)共享過(guò)程中存在的問(wèn)題和不足，進(jìn)一步優(yōu)化數(shù)據(jù)共享管控機(jī)制。

（4）采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施

醫(yī)療機(jī)構(gòu)宜盡可能采用替換、重排、截?cái)嗷蜓诖a等措施，將個(gè)人屬性數(shù)據(jù)中可間接關(guān)聯(lián)到個(gè)人的信息進(jìn)行泛化、轉(zhuǎn)換等處理，通過(guò)去標(biāo)識(shí)化技術(shù)對(duì)醫(yī)療數(shù)據(jù)中涉及到的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理，以進(jìn)一步保障數(shù)據(jù)主體的合法權(quán)利。

-04-

結(jié)語(yǔ)

隨著市場(chǎng)需求的不斷發(fā)展，醫(yī)療機(jī)構(gòu)等主體收集、處理的數(shù)據(jù)來(lái)源渠道更加復(fù)雜，面臨的業(yè)務(wù)場(chǎng)景也更加多變。

在外部法律法規(guī)數(shù)據(jù)治理要求不斷嚴(yán)格的背景下，健康醫(yī)療行業(yè)的企業(yè)和機(jī)構(gòu)急需構(gòu)建科學(xué)的數(shù)據(jù)分類(lèi)分級(jí)體系并積極履行相關(guān)義務(wù)，適時(shí)更新內(nèi)部合規(guī)管理制度和完善數(shù)據(jù)合規(guī)保障機(jī)制，既保證企業(yè)機(jī)構(gòu)數(shù)據(jù)管理的合規(guī)性，也能為患者、醫(yī)生等個(gè)體提供可以信賴(lài)的數(shù)據(jù)安全環(huán)境，促進(jìn)良性發(fā)展。

以上文章轉(zhuǎn)載自【 熊貓法律星球 】公眾號(hào)，不代表本號(hào)觀點(diǎn)。潤(rùn)識(shí)教育轉(zhuǎn)發(fā)各行業(yè)資訊和觀點(diǎn)，旨在與學(xué)員或行業(yè)內(nèi)人士分享交流。對(duì)于這篇文章的觀點(diǎn)，你有什么想法？歡迎評(píng)論區(qū)留言。

潤(rùn)識(shí)教育是集國(guó)際性、專(zhuān)業(yè)性、實(shí)用性于一體的高端教育培訓(xùn)解決方案平臺(tái)，致力于通過(guò)國(guó)際教育和培訓(xùn)產(chǎn)品，解決企業(yè)及企業(yè)家的教育和發(fā)展問(wèn)題，協(xié)助中國(guó)企業(yè)精準(zhǔn)高效地提升企業(yè)競(jìng)爭(zhēng)力，助力企業(yè)家解決高品質(zhì)的終身教育問(wèn)題。

IPAG巴黎高商-健康管理博士項(xiàng)目，依托法國(guó)巴黎五大（法國(guó)及歐洲公共衛(wèi)生領(lǐng)域研究的領(lǐng)軍院校）和上海交大醫(yī)學(xué)院優(yōu)勢(shì)師資，結(jié)合國(guó)外的前沿管理理論，針對(duì)國(guó)內(nèi)醫(yī)療機(jī)構(gòu)的實(shí)際情況和特定環(huán)境，讓醫(yī)療機(jī)構(gòu)管理人士能夠得到系統(tǒng)及專(zhuān)業(yè)的訓(xùn)練，從戰(zhàn)略角度思考目前所面對(duì)的醫(yī)療機(jī)構(gòu)管理問(wèn)題和挑戰(zhàn)，掌握醫(yī)療行業(yè)領(lǐng)導(dǎo)者所應(yīng)具備的現(xiàn)代管理知識(shí)和領(lǐng)導(dǎo)技巧，引領(lǐng)企業(yè)成為新時(shí)期中國(guó)醫(yī)療健康領(lǐng)域的探索者和領(lǐng)航者。返回搜狐，查看更多

責(zé)任編輯：