文|天元律师事务所 楼奇 朱腾飞 吴晓洪
健康医疗大数据涵盖人的整个生命过程,既包括个人健康,又涉及医药服务、疾病防控、健康保障和食品安全、养生保健等多方面数据的集合。医院利用健康医疗大数据,不仅可以促进健康医疗服务模式的改进,而且对整个社会的经济发展都有着重要的作用,是国家重要的基础性战略资源。
目前健康医疗大数据的开发和利用仍处在进一步探索阶段,与之匹配的相关法律制度尚未完全建立起来。随着健康医疗大数据的进一步推进,法律风险随之而来。本文侧重讨论医疗行业大数据合规的内涵和要点,以期能对医疗健康大数据的合规有更全面的认识。
一、 健康医疗大数据相关概念
国家卫生健康委员会于2018年9月在其官网发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》(“《服务管理办法》”)第四条首次明确:“健康医疗大数据,是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。”这个概念几乎已全面涵盖人们进行健康活动所涉及到的数据。医疗健康大数据可以更详细地分为个人属性数据、健康状况数据、医疗应用数据和卫生资源数据等。
个人属性数据包括人口统计信息,姓名、年龄、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、 联系人信息、收入等;个人身份信息,姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;个人通讯信息,个人电话号码、邮箱、账号及关联信息等;个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;个人健康监测传感设备ID等。
健康状况数据包括主诉、现病史、既往病史、体格检查(体征)、家族史、症状、健康体检数据、遗传咨询数据、可穿戴设备采集的健康相关信息、生活方式等。
医疗应用数据包括门(急)诊病历、门(急)诊处方、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测。
卫生资源数据包括医院基本数据、医院运营数据、医院公卫数据等。
二、健康医疗大数据合规要点
1. 数据的采集
健康医疗数据的采集,是指以直接或间接方式获取、存储健康医疗数据的行为。
依据《网络安全法》第四十一条规定,网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;使用网站、应用程序收集时需要制定隐私政策;间接收集时,应要求个人信息提供方说明个人信息来源,并对其合法性进行确认,同时应了解已获取的个人信息处理的授权同意范围。
国家卫计委2014年5月5日发布的《人口健康信息管理办法(试行)》第六条、第八条规定,采集、利用、管理人口健康信息应当按照法律法规的规定,遵循医学伦理原则,保证信息安全,保护个人隐私。故此,采集信息时应当按照“一数一源、最少够用”的原则,避免重复采集、多头采集。
依据前述规定,采集医疗健康相关数据时,医院必须遵循“个人同意”和“一数一源、最少够用”。
因此,医院在获取数据时必须全方位取得相关单位和个人的有效授权,同时做好数据采集的规范管理。
2. 数据的存储
医疗健康单位应当采取必要的安全保护措施妥善保管自己掌握的健康医疗数据,避免健康医疗数据泄露、毁损、丢失或者被篡改,也不得非法向他人提供健康医疗数据。
(1)分等级存储
互联网医院在对医生提供患者诊疗数据前应当对数据进行安全影响评估,并对受让方的数据安全保护能力进行评估,根据评估结果采取相应的有效保密措施,确保数据安全。
卫生部2011年11月29日发布的《卫生行业信息安全等级保护工作的指导意见》第四条“工作任务”规定,国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。重要卫生信息系统安全保护等级原则上不低于第三级,如卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;三级甲等医院的核心业务信息系统;卫生部网站系统;其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
《人口健康信息管理办法(试行)》第十一条规定,委托其他机构存储、运维人口健康信息的,委托单位承担人口健康信息的管理和安全责任。受委托的存储、运维机构应当严格按照委托协议做好人口健康信息管理的技术支持,禁止超权限采集、开发和利用人口健康信息。
因此,医院存储数据时首先需要依据数据隐私和重要程度进行等级划分,分别设置相应的保密措施。
(2)设定访问权限
《服务管理办法》第二十二条规定,责任单位应当按照《中华人民共和国网络安全法》的要求,严格规范不同等级用户的数据接入和使用权限,并确保数据在授权范围内使用。第二十三条规定,责任单位应当要建立严格的电子实名认证和数据访问控制,规范数据接入、使用和销毁过程的痕迹管理。
国家卫计委、国家中医药管理局2013年11月20日发布的《医疗机构病历管理规定》第六条,要求医疗机构及其医务人员应当严格保护患者隐私,禁止以非医疗、教学、研究目的泄露患者的病历资料。电子病历系统应当对操作人员的权限实行分级管理,用户根据权限访问相应保密等级的电子病历资料。授权用户访问电子病历时,自动隐藏保密等级高于用户权限的电子病历资料。
因此,医院采集整理的分类数据信息存储时必须设置控制系统,如访问权限的设置,以保证医院存储数据的安全。
(3)补救及报告义务
《网络安全法》第四十二条第二款规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。国家卫生健康委员会、国家中医药管理局2018年7月17日发布的《互联网诊疗管理办法(试行)》第二十条与《互联网医院管理办法(试行)》第二十三条均规定,发生患者信息和医疗数据泄露后,医疗机构应当及时向主管的卫生健康行政部门报告,并立即采取有效应对措施。
因此,对于平台内医生调取的患者诊疗数据信息,医院有义务监督其保管使用情况,当发现患者信息泄露时,医院应采取补救措施,及时告知患者和向主管的卫生健康行政部门报告。
3. 数据的利用
健康医疗大数据的利用,是指对健康医疗数据的使用、分析、共享,交易等行为。利用的行为非穷尽列举,下面主要讨论法律风险最大的两个方面,使用和共享。
(1)使用
医院或者其他单位使用采集的相关数据时,首先要对数据进行脱敏或匿名化。数据脱敏是指采用数据清洗等脱敏技术手段对采集的健康医疗数据进行技术处理以后形成的,不能单独或者通过与其他数据结合识别某一特定自然人的数据。
对数据进行脱敏处理后,仍需要采取措施对医疗数据访问设置权限。
《人口健康信息管理办法(试行)》第十八条明确规定,责任单位应当建立痕迹管理制度,任何建立、修改和访问人口健康信息的用户,都应当通过严格的实名身份鉴别和授权控制,做到其行为可管理、可控制、可追溯。原国家卫计委、国家中医药管理局2017年2月15日发布的《电子病历应用管理规范(试行)》则明确要求,电子病历数据所依赖的电子病历系统应对操作人员进行身份识别,并确保操作记录可查询、可追溯,同时应设置医务人员书写、查阅、修改的权限和时限。
(2)共享
医院等医疗机构为实现跨机构、跨地域的健康诊疗信息交互、共享和医疗服务协同,需要在各医疗机构、医联体信息平台之间实现数据(电子病历、电子健康档案等)的互联互通与信息共享。
在此场景下,医院的医护人员、卫生机构管理人员、医院间联合体及医疗第三方服务机构人员在对相关系统文件、数据库资料等敏感数据进行访问浏览,以及通过内部信息共享交换系统进行文件数据传输、存储等操作时,均可能导致医患隐私等重要信息面临泄露风险。
因此,在共享时,若只对个人信息进行去标识化(通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程)处理,仍需经过患者的明示同意之后方可提供。
同时,对健康医疗数据使用的具体操作人员实行权限管理,对健康医疗数据进行分级;根据健康医疗数据的保密级别授予操作人员相关权限,对登录用户进行身份鉴别,并对登录用户的操作行为进行审计。防止通过网页爬虫、非法登录等恶意行为盗取远程诊疗过程中的患者数据;妥善保管记录健康医疗数据的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;对健康医疗数据进行操作的人员、时间、地点、事项等信息,应当留下完整的电子日志加以记录。
4. 数据的出境
国家卫计委于2014年5月5日出台的《人口健康信息管理办法(试行)》中规定“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。”
随着实践中跨国公司对于健康医疗大数据领域的行业布局和实际发展需要,《服务管理办法》参照《 网络安全法》的规定对此相应拓宽,明确健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。与此相应的,全国信息安全标准化技术委员会于2017年8月30日发布 《信息安全技术数据出境安全评估指南》(征求意见稿),明确将“人口健康”、“食品药品”等领域纳入重要数据领域,并对个人信息和重要数据的出境详细描述了评估方法。
这里要强调人类遗传基因数据的问题。人类基因数据是人类遗传资源的一部分。人类遗传资源指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、DNA构建体等遗传材料及相关的信息资料。以下有关人类基因数据的活动应当根据《人类遗传资源管理暂行办法(1998)》以及《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南(2015)》的规定,必须由科技部批准之后方能实施:将人类遗传资源传输至境外;与外方或外商投资企业合作采集人类遗传资源;采集特定区域或重要遗传家系的遗传资源(无论是否涉及外方参与)。
三、健康医疗大数据合规的法律风险
若医院或者其他单位未能对健康医疗大数据做好合规工作,或将承担刑事、民事、行政等方面的责任。
1. 刑事责任
(1)侵犯公民个人信息罪
健康医疗大数据包含个人信息,不当泄漏或者将个人信息提供给他人牟利的,可能涉及侵犯公民个人信息罪。
《中华人民共和国刑法》(以下简称“《刑法》”)第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
以张聪侵犯公民个人信息罪一案为例 。该案中,张聪在担任珠海市香洲区香湾街道水拥社区卫生服务站公卫医生期间,利用其负责公卫资料录入及掌握珠海市卫计局社区卫生服务信息系统的账户、密码的职务之便,在水拥社区卫生服务站内,通过QQ联系,向孙某(另案处理)贩卖了约98009条珠海市患者的个人信息,并将珠海市卫计局社区卫生服务信息系统的账户、密码交给孙某自行登录、下载患者的相关信息。2016年9月19日,被告人张聪被抓获归案。法院认为,被告人张聪违反国家规定,将履行职责中获得的公民个人信息,出售给他人,情节严重,其行为已触犯我国刑律,构成侵犯公民个人信息罪。
(2)故意泄露国家秘密罪/过失泄露国家秘密罪
健康医疗大数据中的部分信息可能构成国家秘密,若不当泄漏还可能构成《刑法》中的故意泄露国家秘密罪与过失泄露国家秘密罪,情节严重的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。非国家机关工作人员亦能构成该罪。
3. 民事责任
在健康医疗数据采集或者存储以及利用的过程中,未经患者授权而泄露或者将信息提供给其他方,可能侵犯其个人隐私。
个人隐私权被侵害时可以进行维权,侵害公民隐私权的责任承担方式主要有停止侵害、赔礼道歉、赔偿损失。其中隐私权的赔偿范围主要包括两个方面:一是对受害人受到的精神损害进行赔偿;二是对受害人因隐私权受到侵害而产生的其他损失进行赔偿(财产损失)。
除此以外,若侵犯了公民对个人信息权利的知情、修改、保护等权利,也需要承担侵权责任。如《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
3. 行政责任
健康医疗大数据在采集、存储、应用过程中会受到卫生行政管理机构、卫生监督机构、食品药品监督管理机构、国家网信部门、公安部门和其他有关机关的监管。一旦违反监管规定,或将面临警告、没收违法所得、对直接负责的主管人员和其他直接责任人员罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚。
《服务管理办法》第四十条规定,卫生健康行政部门会同相关部门建立健康医疗大数据安全管理工作责任追究制度。对于违反本办法规定的单位和个人,由主管部门视情节轻重予以约谈、督导整改、诫勉、通报批评、处分或提出给予处分的建议;构成违法的,移送司法部门依法追究法律责任。
以华山医院被处罚一案为例,该案中华山医院与深圳华大基因科技服务有限公司未经国家相关部门的许可,擅自与英国牛津大学开展中国人类遗传资源国际合作研究,华山医院未经许可将部分人类遗传资源信息从网上传递出境。最终中国科技部决定处罚如下:
(1)接到本决定书之日起立即停止该研究工作的执行;(2)销毁该研究工作中所有未出境的遗传资源材料及相关研究数据;(3)自本决定书送达之日起停止华山医院涉及我国人类遗传资源的国际合作,整改验收合格后,再行开展。
此案中,华山医院收集中国女性单相抑郁症的大样本病例,未经许可与英国牛津大学合作研究,且未经许可将部分人类遗传资源信息从网上传递出境。
依据国务院办公厅《人类遗传资源管理暂行办法》第四条:“国家对重要遗传家系和特定地区遗传资源实行申报登记制度,发现和持有重要遗传家系和特定地区遗传资源的单位或个人,应及时向有关部门报告。未经许可,任何单位和个人不得擅自采集、收集、买卖、出口、出境或以其他形式对外提供。”
因此,中国科技部根据《人类遗传资源管理暂行办法》第二十一条:“我国单位和个人违反本办法的规定,未经批准,私自携带、邮寄、运输人类遗传资源材料出口、出境的,由海关没收其携带、邮寄、运输的人类遗传资源材料,视情节轻重,给予行政处罚直至移送司法机关处理;未经批准擅自向外方机构或者个人提供人类遗传资源材料的,没收所提供的人类遗传资源材料并处以罚款;情节严重的,给予行政处罚直至追究法律责任。”
责令涉案医疗机构停止研究工作,销毁所有未出境的遗传资源材料及相关研究数据,停止国际合作,进行整改。
作者相关文章推荐:
企业数据合规——从认识数据开始
企业数据合规之数据法律属性辨析
企业数据合规之数据采集那些事儿
数据利用的法律责任
企业数据合规之数据出境也要“通关”
人力资源管理中的数据合规
企业数据合规之拟上市企业可能面临的数据合规问题简析
注释:
[1] 《信息安全技术 健康医疗数据安全指南(征求意见稿)》(2019年4月)[2] 参见《人类遗传资源管理暂行办法(1998)》、《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南(2015)》[3]https://www.itslaw.com/detail?initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%227216a000-c82c-48ff-a042-09dd89127a05%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E6%82%A3%E8%80%85%E4%BF%A1%E6%81%AF%22%2C%22%E4%BE%B5%E7%8A%AF%E5%85%AC%E6%B0%91%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E7%BD%AA%22%5D%7D#content_null 案号:(2017)粤0402刑初159号
声明
-本文仅为交流目的,不代表天元律师事务所的法律意见或对法律的解读,如您需要具体的法律意见,请向相关专业人士寻求法律帮助;
-本文系天元律师事务所原创,如需转载,请注明来源。
