一、健康医疗数据的定义及分类分级
1.1 健康医疗数据的定义
健康医疗数据在法律上的概念并不明晰。理论界与实务界对健康医疗数据的认识差异首先是在称谓上,如“健康数据”、“健康医疗数据”、“医疗数据”等。立法概念不明晰和称谓争议背后的实质,反映的是健康医疗数据产业作为新兴领域,发展时间相对较短,存在立法经验不足和基础理论不成熟等客观限制。但本质上,相关法律文件的发布都是为了最大程度厘清范围,促进健康医疗数据的流通利用,在保障数据安全的前提下最大化增值数据价值。
在正式发布的文件中,由国家卫健委印发的《国家健康医疗大数据标准、安全和服务管理办法(试行)》中对医疗大数据的定义为:“健康医疗大数据,是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”。而《信息安全技术健康医疗数据安全指南》(GB/T39725—2020)对个人健康医疗数据和健康医疗数据则分别作出界定,“个人健康医疗数据指单独或者与其他信息结合后能识别或反映特定自然人生理或心理健康的数据”,“健康医疗数据指包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据”。
由上可见,关于健康医疗数据的定义可以从不同视角进行理解,从而形成不同的概念表达。而实操中,更有意义的可能是聚焦于健康医疗数据的外延,即具体包含何种数据,应进行怎样的分类和分级。
1.2 健康医疗数据的分类
仍以《信息安全技术健康医疗数据安全指南》(GB/T39725—2020)为例,该指南对健康医疗数据的类别进行了详细的划分。指南中对健康医疗数据的类别分为:个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据和公共卫生数据。(见下图表1)
除了以上列举出的数据,实践中根据健康医疗数据的实际应用流通场景不同,还可以进行以下分类:
1、临床诊断数据:该数据来自电子病历、医学影像、检测报告等,一般用于诊断医疗、临床医学研究等。
2、患者行为数据:该数据来自患者自身的就医记录、就医偏好、健康档案等,一般用于解析患者就医行为、提供精准医疗服务等。
3、生物基因数据:该数据来自人体基因、遗传物质的器官、组织、细胞等遗传材料,一般用于开展科学研究、发展生物医药产业、提高诊疗技术等。
4、公共卫生数据:该数据来自大范围的传染病监测、特定群体的长期追踪等,一般用于开展流行病学研究、公共卫生政策研究等。
1.3 健康医疗数据的分级
健康医疗数据与患者个人关系密切,同时涉及公共利益等安全问题,因此在数据分级上很可能构成敏感个人信息、重要数据或核心数据。如果构成重要数据或核心数据,就需要符合重要数据或核心数据的相关规定来进行合规。
根据国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》规定,重要数据指特定领域等一旦泄露可能直接危害国家安全、公共健康等的数据。通过将重要数据与其他一般数据区分,来达到数据分级保护。而核心数据指特定领域内一旦非法使用或共享可能直接影响政治安全的重要数据。
具体到卫生健康领域,参考国家卫健委同国家中医药局、国家疾控局2024年联合发布的《卫生健康行业数据分类分级指南(试行)》第十二条和第十三条,分别对该领域的重要数据和核心数据进行规定:
原则上应纳入重要数据的建议范围:(一)涉及100万人及以上个人信息或10万人及以上敏感个人信息;(二)全国性的业务数据,如涉及10万人的群体健康生理状况数据;涉及1万人的族群生物特征数据、医疗资源数据;涉及10万人的诊疗数据、医疗救援保障数据、特定药品实验数据等;(三)经评估的其他数据。
原则上应纳入核心数据的建议范围:(一)1000万人以上个人信息或100万人以上敏感个人信息;(二)覆盖某一重要群体全部个体的数据,特定时期特定区域的群体数据;(三)涉及1000万人及以上,经过计算加工生成的,对数据描述对象有较深刻画程度,且影响国家安全的衍生数据;(四)经评估的其他数据。
从上述对重要数据和核心数据的界定来看,健康医疗数据构成重要数据或核心数据的门槛相对较低,从而可能需要履行更为严苛的合规义务,并且数据不能轻易进行流通。但需要指出的是,以上标准原则上针对的是未经处理的原始数据,而在原始数据基础上进行脱敏、标签、统计、汇集融合等数据加工行为之后得到的衍生数据,则需对规模、精度等方面进行重新评估,对风险较低的数据就不再评价为重要数据或核心数据,从而可以进行流通交易。
二、健康医疗数据的法律监管框架
我国现有的医疗监管体系相当庞杂,有核心法律规定,也有各个部委颁布的规章,以及地方立法和国家标准、地方标准。以下对一些具有代表意义的核心法律法规、规章、标准及其中重要条文等进行简要说明。
2.1 核心法律
《个人信息保护法》第二十八条规定,医疗健康数据属于敏感个人信息,第二章第二节规定了针对敏感个人信息的处理规则(29条至32条),如敏感个人信息的定义和敏感个人信息的告知同意规则等等。
《数据安全法》第三十条规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度第要求,履行下列安全保护义务,如采取数据分类、重要数据备份和加密等措施。
《基本医疗卫生与健康促进法》第九十二条规定,国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。
2.2 行政法规、部门规章
《网络数据安全管理条例》第四章规定了重要数据的安全保护,实施分类分级保护制度,同时规定重要数据处理者等处理义务,如明确网络数据安全负责人和网络数据安全管理机构、进行风险评估等。
《人类遗传资源管理条例》第十二条规定了采集我国人类遗传资源,应当事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的权利,征得人类遗传资源提供者书面同意。
《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三章规定了安全责任,如第二十二条任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据,不得使用非法手段获取数据。
《电子病历应用管理规范(试行)》第十六条规定,电子病历系统应当进行身份识别、保存历次操作痕迹、标记准确的操作时间和操作人信息。
2.3 地方立法与规章
贵阳市人民代表大会常务委员会于2021年5月27日实施《贵阳市健康医疗大数据应用发展条例》,旨在加强和规范健康医疗大数据应用发展,整合、扩大健康医疗资源供给,提升健康医疗服务质量和效率,培育健康医疗大数据应用发展新业态。
2020年6月30日《四川省健康医疗大数据应用管理办法(试行)》发布,旨在推进“互联网+医疗健康”示范省建设,加强省健康医疗大数据服务与管理,充分发挥健康医疗大数据应用价值。
2.4 各类标准
《信息安全技术 个人信息安全规范》(GB/T 35273—2020)中规定了处理敏感个人信息的要求,以及规定了敏感个人信息的存储和传输。
《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。
深圳市于2024年10月1日实施《全民健康信息平台医疗服务数据采集规范》(DB4403/T 497—2024),旨在解决深圳市本地各医疗机构数据标准不统一,部分数据无法互通共享、信息孤岛的问题,以便于医疗管理机构更好地进行医疗信息资源的统筹规划和监管,为大数据分析挖掘和数据共享奠定基础。
广东省计算机信息网络安全协会发布于2023年4月发布团体标准《健康医疗数据合规流通标准》(T/GDNS 002—2023),规定了健康医疗数据合规流通标准的总体原则、管理体系、流通框架、流通过程及流通监管的要求。
三、健康医疗数据处理者的核心义务整理
在促进健康医疗数据流通的背景下,我们按照数据生命周期来进行划分,即根据健康医疗数据的收集、存储、使用和提供、跨境、删除这几个环节,对数据处理者的核心义务进行总结。
3.1 健康医疗数据的收集
1)取得患者知情同意,《知情同意书》应当内容充分全面,语言通俗易懂,签署方式合规。
2)特定场景应当按照规定通过科学伦理审查。
3)数据来源于公开收集的,应当提供公开获取方式本身的技术性描述。
4)数据来源于合法间接获取的,应当提供完整的购买协议、合作协议或许可使用协议等证明。
5)数据涉及个人信息采集的,应当提供涉个人信息的数据采集字段、采集方式和已经获得个人同意的证明,和提供时已经获得单独同意的证明。
(参考依据:《人类遗传资源管理条例实施细则》第9条、《个人信息保护法》第28、29条等、《网络数据安全管理条例》第21条、《信息安全技术 健康医疗数据安全指南》第11.3条等)
3.2 健康医疗数据的存储
1)按照法定要求实施存储期限管理,如电子病历保存时间应不少于15年(门诊病历)与30年(住院病历)。
2)存储个人生物特征识别信息,应落实对生物特征识别信息的采集、存储、使用、共享和销毁等方面的规定,以及对个人隐私的保护措施等。
3)存储健康医疗数据,应通过密码技术等方式实施完整性控制,确保数据的准确性和完整性,并为其提供针对入侵、注入、非法修改的保护机制。
4)健康医疗数据库访问控制管理,应采取必要的验证和加密处理,以保证数据访问的安全性。
(参考依据:《国家健康医疗大数据标准、安全和服务管理办法(试行)》第23条、《中华人民共和国精神卫生法》第47条、《网络安全法》第21条、《电子病历应用管理规范(试行)》第19条等)
3.3 健康医疗数据的使用和提供
1)处理者在处理健康医疗数据时,不能超出收集时取得个人同意的授权范围。若因业务需要,确需超出范围使用,则需再次征得主体同意。
2)对外提供个人信息时,应确保根据法律规定取得个人单独同意。
3)对外提供经过匿名化处理后无法识别个人的衍生数据,应通过技术手段确保无法复原。
4)开展数据流通活动时,应通过合同来规范,双方需制定数据流通协议,明确数据获取流程、权利、义务及服务质量要求。
(参考依据:《人口健康信息管理办法(试行)》第14条、《个人信息保护法》第23条、《国家健康医疗大数据标准、安全和服务管理办法(试行)》第36、37条等)
3.4 健康医疗数据的跨境
1)通过国家网信部门组织的安全评估/按照国家网信部门的规定经专业机构进行个人信息保护认证/按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。
2)向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
3)涉及人类遗传资源相关的数据需严格遵守相关规定,从采集主体资格到出境流程严格按照《人遗条例》进行合规。
(参考依据:《人类遗传资源管理条例实施细则》第11条、《人口健康信息管理办法(试行)》第10条、《网络数据安全管理条例》第五章等)
3.5 健康医疗数据的删除
1)数据超出双方约定的存储期限或个人信息主体撤回同意的,应予删除。
2)应确保所销毁数据被完全清除且不被恢复,同时还应对销毁活动进行记录和留存。
3)存储健康医疗数据的介质进行报废处理时,应采用物理损毁等方式销毁介质,以确保重要数据和个人信息不能被恢复。
(参考依据:《信息安全技术 健康医疗数据安全指南》第11.4条、《个人信息保护法》第47条等)
以上是根据健康医疗数据的生命周期来进行梳理的内容,具体落实上述义务则还需通过内部管理制度来进行落地。因此,应当建立完整的数据合规管理体系,包括对数据来源、访问授权、分类分级控制、数据访问监控等方面进行管理;应当按照国家标准、协议规定和业务运营需要对所流通的数据进行分类分级管理;应当制定数据管理的利益相关者清单,围绕利益相关者的需求,对其数据访问和控制权限进行授权和管理等。
健康医疗数据作为融合个人隐私、公共安全与产业发展的关键数据要素,其合理利用与安全保障已成为当下的重要议题。本部分首先通过梳理健康医疗数据的定义、分类分级及法律监管框架,明确了其内涵的复杂性与外延的广泛性,之后再从健康医疗数据全生命周期出发,分析了收集、存储、流通、跨境及删除等各个环节的核心义务。健康医疗数据的合规流通在实践中始终存在来自制度、技术与模式等多方面的障碍,我们将在后续系列文章中做进一步分析。
(*刘泽宇:华东政法大学中国战略法治研究院硕士研究生)
