「 道可特法视界第1649篇原创文章 」
目 录
综合篇(一):医疗行业数据概况综合篇(二):医疗行业数据立法分析综合篇(三):医疗行业数据监管动态综合篇(四):医疗行业数据治理建议
医疗行业数据概况
近年来健康医疗行业的发展呈现数字化、网络化、信息化的特点,数字医疗DTx(Digital Therapeutics)的概念应运而生。医疗机构普遍需要TB级(万亿字节)的数据量来支持健康医疗数据应用和治理,我国医疗行业的数据总量在过去的2021年达到历史最高水平。一方面新的业态层出,“互联网+医疗健康”和智慧医疗蓬勃发展;另一方面行业监管加强,医疗行业数据治理逐渐有法可依。
根据2018年7月国家卫健委发布实施的《国家健康医疗大数据标准、安全和服务管理办法(试行)》(下称《管理办法》),以及2020年12月14日国家标准委及国家质量监督检验检疫总局发布并于2021年7月1日正式实施的《信息安全技术健康医疗数据安全指南(GB/T 39725-2020)》(下称《安全指南》)相关规定,“医疗数据”相关定义包括:“健康医疗大数据”“健康医疗数据”和“个人健康医疗数据”,分别定义如下:健康医疗大数据是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。健康医疗数据是指个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据(经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等),主要类别有:个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据。个人健康医疗数据是指单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据(个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等)。根据上述定义可知,个人健康医疗数据内涵最小,最为具体;健康医疗数据包含了对个人健康医疗数据的加工;而健康医疗大数据是对健康医疗数据的整理汇总,涵盖了疾病治疗和健康管理过程中所有相关数据,其外延最广。此外,我国法律法规和相关规范标准中,对医疗数据相关定义存在差异,不同术语的表述和内涵详见下表,此次国家标准委及国家质量监督检验检疫总局通过发布《安全指南》,已基本将下述数据纳入并统一整合。术语 | 定义内涵 | 法律法规 |
人口健康信息 | 依据国家法律法规和工作职责,各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。 | 《人口健康信息管理办法(试行)》 |
人类遗传资源信息 | 利用人类遗传资源材料产生的数据等信息资料。(人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。) | 《人类遗传资源管理条例》 |
个人健康生理信息 | 个人因生病医治等产生的相关记录,以及与个人身体健康状况相关的信息。 | 《个人信息安全规范》 |
电子病历 | 医务人员在医疗活动过程中,使用信息系统生成的文字、符号、图表、图形、数字、影像等数字化信息,并能实现存储、管理、传输和重现的医疗记录,是病历的一种记录形式,包括门(急)诊病历和住院病历。 | 《电子病历应用管理规范(试行)》 |
国家统计局《2021年国民经济和社会发展统计公报》数据显示,2021年全年总诊疗人次85.3亿人次。根据这一数据,可粗略估算诊疗人次所对应的就医环节及相应的医疗数据质量,并且除了医疗卫生机构传统临床和检验数据之外,物联网技术所带来的数据量同样在医疗行业占有浓墨重彩的份额,例如便携式医疗设备上二维码标签、各种健身、健康可穿戴设备所产生的数据,使得血压、心率、体重、血糖、心电图(EKG)等都可以被监测并数据化,且实时监测的功能又使得医疗数据早已达到TB级(万亿字节)存储规模,并能够以“秒”为单位不断更新叠加。在内容上,医疗数据不仅包含大量医学术语、药物名称、病症反应,还因人而异地产生海量非结构化数据,内容复杂艰深,使得数据读取的门槛较高;在形式上,医疗数据不仅包括文字记录(诊断医嘱、既往病史等),还包括多种数字(化验单等)、图表(心电图等)和医学影像(CT、核磁、胃镜影像等),形式复杂多样,使得数据分类的维度更多;在相互关系上,医疗管理系统正由信息孤岛向互联互通发展,临床诊疗数据与医学研究数据联动、患者个体数据与疾病类型数据联动、个别医疗机构与卫生健康管理部门联动,呈现产学研结合的相互关系,使得数据的归纳分析显得更加复杂和重要。医疗数据属于较为重要和敏感的数据,涉及公民隐私,大多属于PII(个人身份信息)或PHI(受保护的健康信息)。此外,医疗数据也包含医疗相关机构的运营、诊疗、方法、药物疗效等信息,某些信息还可能涉及商业秘密或商业利益,因此医疗数据在安全方面的要求较高,如果发生泄露或不当使用,可能产生较大的利益损害或社会影响,因此,如何在确保安全和有效利用之间找到平衡点,是医疗数据领域始终需要关注的问题。医疗数据相比于其他商业数据,更具有真实性的特点,这也是医疗行业具有社会公益的性质所决定的。医疗数据在微观上,包含个体生物信息(年龄、性别、身高、体重等)、患者健康指征(血压、心率、骨密度等)、既往病史和医疗就诊情况等数据;在宏观上,以本次新冠肺炎疫情为例,包含疾病传播规律、区域人口健康状况等数据,事关公民生命安全、个人信息安全和总体国家安全。因此,真实性是医疗数据最重要的特征。国家统计局《2021年国民经济和社会发展统计公报》数据显示,2021年年末全国共有医疗卫生机构103.1万个,其中医院3.7万个,基层医疗卫生机构97.7万个,专业公共卫生机构1.3万个。海量的医疗卫生机构及就医需求,随着“互联网+医疗健康”的发展,会逐渐转移传统的挂号、问诊与检查等医疗服务至互联网。常见的在线问诊移动应用程序、IOT(物联网)健康监测设备等已走入寻常百姓家。那么,这类“互联网+医疗健康”潮流下催生的常见设备,在发挥它的作用时,其背后的医疗机构会根据设备的不同作用进行相应数据的监测、收集、储存、处理等行为。如IOT(物联网)健康监测设备可以记录诊疗数据(血氧饱和度、血压、心跳等)和行为数据(位置/轨迹、跑步距离、步数等)。当前,我国加大推进政务信息化进程,各省市同步加快相关信息化建设,例如,之前通过线下政务机构才能够了解或办理的社会保险、公积金等业务,逐渐可以通过手机客户端或小程序进行实时查询和办理。政务信息化数据对接过程中,与医疗行业关系最为密切的,主要在医保领域。保险机构会与医疗机构建立联动,对就诊主体的治疗状况与诊疗费用情况等信息进行流通对接,从而实现保险自动结算与赔付。这个场景下的数据应用主体换成商业医保机构同样适用。医疗数据的收集、储存等环节需要耗费一定的成本,因此最大效用的安全使用医疗数据也是医疗行业数据治理所追求的目标之一。数据二次或多次利用可以提高数据利用率,同时也是公共卫生部门、科研机构或企业基于政府决策、科学研究统计等目的而进行的必要处理活动。但数据的二次或多次利用,需要以数据脱敏为前提,这个过程始终伴随着数据安全问题。医疗数据的应用场景往往根据医疗行业主体的不同而不同。医疗行业的科研主体可在临床科学研究活动中利用医疗数据。例如学术机构、医药企业等临床研究的发起方、管理方,或其他具有临床试验资质的临床研究医疗机构,针对不同的研究目的,可能对人口统计信息、健康状况数据、医疗应用与支付数据、医联体访问数据、医疗设备维保数据等数据加以利用。对于健康医疗企业而言,日常运营中涉及数据对外提供的情形主要包括两类:一是与合作方基于商业合作、科研合作目的共享获得或产生的健康医疗数据;二是与外部合作专家、机构、技术服务提供方等合作,委托后者提供数据标注、存储、处理、分析等专项服务。医疗行业是卫生健康相关行业的集合总体,包括医院、药品、器械、健康管理等。随着我国医疗信息化、智慧医疗相关政策的推动,信息技术、数字基建的逐步完善,以及当下社会人口老龄化、慢性病等医疗需求的催化,与此相关的产业也呈现出快速发展态势,已成一定规模:据易凯资本《2022中国健康产业白皮书》数据显示,估算2021年中国健康产业初步达到10万亿元左右。而在2021年健康产业总体10万亿元的规模中,互联网医疗市场达到2831亿元,医疗信息化市场规模突破650亿元,并呈现逐年增长态势。(数据来源:中国互联网协会《中国互联网发展报告(2021)》)在全球数字经济发展的大背景下,医疗大数据产业作为国家最早布局和推动数据要素市场的行业,正进入飞速发展时期。尤其在疫情时代,互联网医院、健康码的推广和使用,使得医疗数据呈现爆发式的增长。由于医疗行业的特殊性,医院等医疗机构所采集、存储和使用的个人信息数据相比于其他行业,有着更强烈的隐私属性。丰富的数据资源一方面为行业发展提供了坚实的数据基础,另一方面也加大了数据管理与治理的难度,且医疗数据种类各异,涉及用户个人隐私等敏感信息,尽管医疗数据相关政策、法规、标准体系在不断完善,但医疗数据的安全保护与合规监管仍然是行业发展的突出问题。数据全生命周期包含数据的产生、传输、存储、应用、销毁等阶段。在医疗数据的产生阶段,可能存在数据来源伪造、数据伪造、数据源终端安全风险的隐患;在数据的传输阶段,面临传输监听、数据篡改的风险;在数据的存储阶段,可能涉及敏感数据泄露、数据恶意操作、黑客入侵、勒索病毒等问题;在数据的应用阶段,存在敏感数据泄露、外部攻击入侵等可能性;在数据的销毁阶段,又面临销毁不彻底等风险。上述每个阶段风险的发生对于庞大的医疗数据来说都是行业的灾难风暴。例如,医疗数据涉及个人隐私信息众多,如不采取充分的隐私保护措施,可能会带来数据的非法流通、信息丢失、造成患者歧视等问题。由于医疗大数据应用场景繁多,关键问题也不尽相同,数据安全的挑战持续存在。如何在建立有效应用场景、开放数据使用的环境下保障数据安全,是立法层面针对医疗数据应用和治理的重要问题。数据的核心价值在于应用。在医疗数据来源多样、增长迅速的背景下,前沿技术的不断进步使得医疗数据的应用场景愈加丰富。包括健康医疗信息系统厂商、健康医疗数据分析公司、辅助诊疗解决方案公司、商业保险机构、药企等都在积极寻求与医疗机构的合作,实现医疗数据的商业化变现。医疗机构也希望能将多年积累的“沉睡”数据转换为价值,获得更多医学研究意义。但在优化资源配置的同时,也带来一些新问题新挑战。大部分医疗机构间的数据都是割裂的、未能很好挖掘利用,数据孤岛带来大量的重复劳动、缺乏科学管理。迫切需要对数字化发展进行治理,营造良好数字生态。目前,人工智能在医学影像、辅助诊断、药物研发、健康管理、疾病预测方面取得了一些成就,但人工智能在医疗领域的应用,仍然存在一系列伦理问题。人工智能如果造成了个人信息和医疗数据的泄露,导致了医疗事故,责任方是谁?人工智能医疗数据的普及和应用,引发医疗产业结构的转型,社会如何应对?当前医学伦理最为紧迫的任务便是解决这些问题,以便最大程度地发挥出人工智能的价值。科学技术飞速发展,伦理必须为技术的发展划定界限。医疗大数据在临床科研中的应用能力薄弱,一方面是由于缺乏有效的数据分析工具,另一方面是由于缺乏相关数据分析人才。传统的手工数据录入与统计软件结合的数据分析方法,对于数据的关联性研究、预测研究能力有限,严重制约了医疗大数据的价值体现。而在数据分析模型、工具的开发上,普通的医疗机构又存在复合型人才不足的问题。因此造成了大量医疗数据没有发挥其临床科研价值,应用能力问题尚需解决。医疗机构除了传统业务场景下缺乏自主可控以及科技赋能,在核心业务领域的信息化基本受制于国外。电子计算机断层扫描(CT)、核磁共振设备等大型医疗器械,几乎难以实现自主化。无论是从工业设备的制造领域还是工业控制的管理上,医疗卫生行业都存在着十分严重的数据安全风险。除信息展示是可控的,其他的数据收集与利用领域都面临着话语权的缺失。同样面临严峻问题的还有数据出境,无论是医疗机构、科研机构、医药企业,还是利用医疗大数据开展研发或服务的公司,如果涉及医疗数据的出境问题都高度敏感,哪些数据可以出境,医疗数据要经过怎样的处理才能出境,都是实务中的难点问题。
为了更好帮助医药企业初步定位自身数据合规状况,明确企业合规风险点,共同推进数据合规落地,我们针对性地设计如下调查问卷。请您在百忙之中抽出宝贵时间,填写此份问卷。感谢您的配合!
白小莉北京市道可特律师事务所高级合伙人
业务领域:知识产权、争议解决、竞争与反垄断、数据安全与数据合规邮箱:baixiaoli@dtlawyers.com.cn