医疗大数据的网络安全与隐私保护简析
引言:
医疗大数据对于传统的医疗行业,意味着高效整合医疗信息资源、分享诊疗技术、加快药品研发、协助医生精准判断、预测治疗方案及疗效、降低医疗成本、消除城乡医疗信息壁垒等。我国先后发布的《关于积极推进“互联网+”行动的指导意见》、《促进大数据发展行动纲要》、《关于促进和规范健康医疗大数据应用发展的指导意见》和《“健康中国”规划纲要》等政策,表明了政府对医疗大数据的期望和大力支持。
而在如火如荼的医疗大数据发展背景下,医疗数据安全、个人隐私保护甚至国家安全的问题也日益凸出。我们基于对医疗大数据行业的观察,从数据合规的角度,结合相关法律法规及政策的要求,对医疗大数据行业日益凸显的个人隐私保护问题、信息安全问题甚至国家安全问题进行简要分析,供读者参考讨论。
1.医疗数据保护面临的现实问题
1.1医疗数据的特殊性
不同于一般行业的数据,医疗数据具有其特殊的敏感性和重要性。医疗数据的来源和范围具有多样化的特征,包括病历信息、医疗保险信息、健康日志、基因遗传、医学实验、科研数据等。个人的医疗数据关系到个人的隐私保护,医疗实验数据、科研数据不仅关系到数据主体的隐私、行业发展,甚至关系到国家安全。
基于医疗数据的特殊性,法律对于医疗数据主体的隐私权设置了极为严格的保护机制。例如,我国《艾滋病防治条例》第三十九条规定,未经本人或者监护人同意,任何单位或者个人不得公开艾滋病病毒感染者、艾滋病病人及其家属的姓名、住址、工作单位、肖像、病史资料以及其他可能推断出其具体身份的信息。
因此,在医疗大数据开发和应用的过程中,相关医疗机构和企业应针对医疗数据的来源和类型,进行针对性的合规安排。
1.2医疗数据的归属不明
医疗数据保护的难点之一在于医疗数据的归属不明。一种观点认为,医疗数据反映了患者的健康状况等个人信息,应属患者所有。而另一种观点则认为,医疗数据是医疗机构的诊疗结果,应当归属于医疗机构。
以金医院医疗服务合同纠纷一案[1]为例,本案中,原医院返还其住院期间产生的15项检查报告原件。一审法院依照《侵权责任法》第六十一条,认为病历资料作为医疗信息的主要载体,法律仅赋予患者病历资料的查阅、复制权。同时,基于病历资料在公共卫生安全、医学研究和教学方面具有重大的社会价值,病历资料的所有权归于医疗机构,因此驳回原告的诉讼请求。二审法院认为,根据《医疗机构病历管理规定》和《侵权责任法》的规定,医疗机构具有保管病历资料的法定义务。本案中,江苏省人民法院不存在返还上诉人15项检验报告单的情形。因此,二审法院裁定驳回上诉,维持原判。
显然,该判决对病历所载之医疗信息的归属权未予以明确回应。二审法院明确了医疗机构对病历的保管义务,但没有明确医疗机构是否有保管的权利,特别是在患者明确要求返还的情况下。由于现行法律法规对医疗数据的归属并无明确规定,这种归属上的不确定性可能成为后续的大数据开发和应用过程中的法律隐患。
2.《网络安全法》出台前的医疗数据保护
基于医疗行业数据的特殊性,在《中华人民共和国网络安全法》(“《网络安全法》”)出台前,医疗行业对医疗数据的保护已设置较为细致的法律规范。
2.1医疗数据的收集
在数据收集阶段,《人口健康信息管理办法(试行)》[2]规定,医疗卫生计生服务机构在收集人口健康信息时,应当遵守“一数一源,最少够用”原则,严格实行信息复核程序,避免重复采集,多头采集。《人类遗传资源管理暂行办法》[3]规定,人类遗传资源是指“含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA)构建体等遗传材料及相关的信息资料”。我国对人类遗传资源实行分级管理,统一审批制度,即人类遗传资源采集、收集、买卖、出口、出境须获得主管部门的行政许可。重要遗传家系和特定地区遗传资源实行申报登记制度,未经科技部许可,任何单位和个人不得擅自采集、收集、买卖、出口、出境或以其他形式向外提供该等数据。
值得注意的是,随着科技的发展,诸如健康APP运营者、专业从事医疗大数据分析的第三方行业研究机构等主体均涉及到医疗数据的收集。这类主体可能无法被纳入上述有关人口健康信息和遗传资源的法律规范的范畴。而《网络安全法》基于当前的数据收集水平及行业现状,适度扩大了承担医疗数据保护义务的主体范围。将网络运营者(在《网络安全法》项下,是指网络所有者、管理者及网络服务提供者)统一纳入到数据保护的监管范畴。换言之,利用互联网进行医疗数据收集的企业需要严格遵守《网络安全法》的数据保护合规要求。
2.2医疗数据的使用
以医疗行业对于人口健康信息和病历的严格规制为例,人口健康信息应当分类管理,涉及保密信息和个人隐私的,医疗机构不得对外提供。人口健康信息实行利用特别授权制度,即人口健康信息的责任单位建立人口健康信息综合利用工作制度,授权利用单位或个人利用有关信息。利用单位和个人应当在授权范围内利用和发布该等信息。医疗机构及其医务人员应当严格保密患者隐私,除医疗、教学、研究目的外,不得泄漏患者的病历资料。
2.3医疗数据的存储
人口健康信息应当分级存储,建立容灾备份机制,该等信息必须在我国境内存储,不得托管、租赁在境外的服务器。且人口健康信息的责任单位应当履行国家信息安全等级保护制度的要求,建立相关信息的安全保障制度;电子病历系统必需具备病历备份和恢复功能,具有保障电子病历安全的制度和措施;卫生行业应当履行国家安全等级保护义务,重要卫生信息系统安全保护等级原则上不低于第三级。
2.4医疗数据的传输
以人类遗传资源的跨境传输为例,《人类遗传资源管理暂行办法》及其配套规范明确,重要人类遗传资源严格把控出口、出境和对外提供。人类遗传资源采集、收集、买卖、出口、出境审批属于行政许可,由科技部主管。根据科技部公布的相关许可指南,以临床诊疗、采供血(浆)服务、司法鉴定、侦查犯罪、兴奋剂检测和殡葬等为目的的人类遗传资源采集、收集、出口、出境活动,不再适用许可管理,而其他涉及人类遗传资源采集、收集、出口、出境活动,如利用人类遗传资源进行注册用药物或医疗器械临床试验,则应当通过相关审批。因此,我们理解,如果企业拟利用人类遗传资源进行药物开发等活动的,在目前的法律法规体系下必须完成相应的审批程序,方可进行跨境传输。
3.《网络安全法》提出的新要求
《网络安全法》下的个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。《网络安全法》下的重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据。年12月20日,全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》(征求意见稿)附录B中,明确将药物食物过敏信息、以往病史、诊治情况等个人的健康信息和指纹、DNA等生物特征信息纳入个人敏感信息。年8月30日,全国信息安全标准化技术委员会发布的《信息技术安全数据出境安全评估指南(草案)》中,将个人电子病历、健康档案等人口信息认定为重要数据。可见,医疗信息很可能会被明确认定为《网络安全法》下的个人信息或重要数据,从而受到《网络安全法》的规制。我们特此对《网络安全法》下的数据合规要求进行了整合梳理。
3.1对网络运营者的一般要求
网络运营者收集个人信息应当遵循合法、正当、必要的原则,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,事先征得被收集者同意。换言之,网络运营者在收集个人信息时,不仅需告知被收集者其信息将被收集,更须就该等信息收集获得被收集者的同意,使其知晓该数据的用途,例如用做科研,企业将数据传输给第三方等。
网络运营者不得泄露、篡改、毁损、出售或者非法向他人提供个人信息,除非该等信息经过处理无法识别特定个人且不能复原(即脱敏技术)。此外,网络运营者应该采取技术措施和其他必要措施确保其收集的个人信息的安全性。若发生安全问题应立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
3.2对关键信息基础设施运营者的特别要求
(1)医疗行业领域的企事业单位很可能会被认定为关键信息基础设施运营者
《网络安全法》下的关键信息基础设施,是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。国家网信办在年发布的《国家网络安全空间战略》和年7月10日发布的《关键信息基础设施安全保护条例(征求意见稿)》,均将卫生医疗行业领域的单位认定为关键信息基础设施运营者,表明了监管机关对医疗卫生行业信息系统的监管态度。即,医疗卫生行业属于公共服务行业,因其重要性,极有可能被认定为关键信息基础设施。相关企业单位应当对后续出台的关键信息基础设施识别指南予以北京白癜风可以治好吗德国强力白蚀消
转载请注明:http://www.xibuniuzaiku.com/yljsh/1389.html
