目录
(一)医疗行业数据概况
(二)医疗行业数据立法分析
(三)医疗行业数据监管动态
(四)医疗行业数据治理建议
医疗行业数据立法分析
医疗行业数据治理规范框架大致可以划分为五级分类:法律、司法解释、行政法规、部门规章和相关规范标准。
01.相关法律规定分析
年1月1日起实施的《民法典》第一百二十七条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”《民法典》明确将“健康信息”归入个人信息的保护范畴内,第一千二医院妥善保管病历及向患者提供查询的义务。但鉴于数据和网络虚拟运营的复杂性,《民法典》并没有具体界定医疗数据的权利属性和内容,而是做出准用性规范和委任性规范。此外,数据往往涉及安全问题,医疗行业数据亦不例外。年6月1日实施的《网络安全法》是关于网络空间安全的基本法律,也是目前涉及数据安全的主要执法依据。与医疗行业数据治理较为相关的,主要是首次系统地规定了对个人信息(包含医疗数据)的保护。
1.医疗数据中包含重要数据
年9月1日开始实施的《数据安全法》单独针对重要数据提出了的具体保护要求,但未给出重要数据的界定方法。参照国家网信办年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中规定,重要数据是指“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”年8月30日,全国信息技术标准化技术委员会《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称《评估指南》)将重要数据定义为:“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)”。《评估指南》还以附录的形式,列出了非常详细的重要数据识别指南,其中指出卫生计生委(现称“卫生健康委”)主管的人口健康领域,重要数据包括但不限于:
①在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息;
②突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私和相关疾病、流行病学信息等;
③医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息;
④人体器官移植医疗服务中人体器官捐献者、接受者和人体器官移植手术申请人的个人信息;
⑤人类辅助生殖技术服务中精子、卵子捐献者和使用者以及人类辅助生殖技术服务申请人的个人信息;
⑥计划生育服务过程中涉及的个人隐私;
⑦个人和家族的遗传信息;
⑧生命登记信息。根据以上分析,医疗数据在立法上包含重要数据。
2.医疗数据中包含国家核心数据
《数据安全法》对“国家核心数据”做出了原则性规定,即关系到国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,对其实行重要数据之上的更加严格的管理。如何确定重要数据和核心数据的标准和差别,还有待进一步的规定和落实。但基于医疗数据中所包含的基因分析、遗传疾病分析等涉及国家安全战略性质的数据,可以判断医疗数据中包含国家核心数据。
3.医疗数据中包含敏感个人信息
年11月1日实施的《个人信息保护法》规定,“医疗健康”与“个人生物特征”属于敏感个人信息。据此,医疗机构在提供健康诊疗服务过程中产生并采集的个人生病医治相关记录,个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,显然属于个人敏感信息,即医疗数据中包含敏感个人信息。
(1)敏感个人信息的组成及处理规则
《个人信息保护法》第28条明确了敏感个人信息的组成范畴为:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”基于此,医疗行业经营者在处理医疗数据时应当遵守《个人信息保护法》中关于敏感个人信息的相关规定及处理原则。医院而言,必须基于必要性原则收集个人信息,即,只能收集对患者诊断而言必要的信息,而不能超出这个范围。例如,不能收集患者的人脸识别信息、指纹信息等,如果这些信息与诊断无关。个人信息处理者处理敏感个人信息的,一般应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。另外,在医院运营中,若需处理不满十四周岁的未成年人信息时,不仅要遵从上述敏感信息的处理原则,还需要征得未成年人的监护人的同意,为此,信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
(2)“告知-同意”的信息收集原则
实践中,医疗机构推出的App通常以勾选“隐私协议”来获取用户一揽子授权,用户经常面临着“不同意即不可用”的困境。《个人信息保护法》确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。在处理医疗机构所涉及的个人敏感信息时,更应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的,应当重新向个人告知并取得同意。并且这些同意需要向用户明确告知收集这些个人医疗健康数据的目的、使用方式、使用范围等,并获得用户的“单独同意”和“书面同意”。对于收集方式不合法不合规的情况,可能导致被责令整改、通报批评,甚至下架相关产品等行政处罚。因此,企业应重点