亦道春风为我来 | 健康医疗大数据的合规发展

程芳中伦视界 2024-07-01

前言

伴随着计算机和互联网技术的蓬勃发展，大数据产业应运而生并已应用在社会生活的各个方面。以数据处理分析为核心，通过对大量零散、无序的数据进行科学分析和加工，从而形成具有商业价值的信息资讯是大数据产业的核心价值。在健康医疗领域，产业界已经充分认识到健康医疗大数据的商业价值，政府也开始将健康医疗大数据列入国家的重要基础性战略资源。

在此背景下，国家卫生健康委员会结合《网络安全法》、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》、《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等法规和文件的精神，出台了《国家健康医疗大数据标准、安全和服务管理办法（试行）》（下称“《管理办法》”），首次对健康医疗大数据的适用范围、标准管理、安全管理和服务管理等方面进行了规制。

一、健康医疗大数据行业和市场主体

《管理办法》第四条规定“本办法所称健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。”从行业角度来看，这类数据不仅包括在疾病诊断、预防、治疗、健康管理过程中直接产生的涉及个体的健康医疗数据，也包括对大量无序和分散的个体健康医疗数据进行统计、加工和分析后获得的宏观数据。

《管理办法》对责任主体采取了较为宽泛的定义，各级各类医疗卫生机构和相关企事业单位均属于健康医疗大数据安全和应用管理的责任主体。[1]鉴于“相关企事业单位”一词的范围较为宽泛，结合《管理办法》在安全和应用管理章节的相关规定，“相关企事业单位”应当包括从事健康医疗数据采集、存储、加工、应用、运营和传输的各个企事业单位。

与存在大数据应用的其他产业相似，健康医疗大数据产业也存在上游、中游和下游的区分。上游是指数据资源产业，主要由提供健康医疗数据采集、存储和计算服务的企事业单位组成，其中医疗机构采集和获取的数据资源是最为重要的数据来源。中游是指数据处理产业，包括大量通过提供数据处理、分析、可视化等增值服务，将“海量数据”转化为具有商业价值的“大数据”的技术型企业。下游则是数据应用产业，经过上游收集和中游处理的健康医疗大数据在此阶段反馈并应用于整个产业，对包括研发型企业、投资机构、医疗机构、制药企业、行业监管机构、自然人个体在内的数据产业应用产生参照指导意义。

由于健康医疗大数据产业的市场规模庞大，涉及健康医疗大数据采集、存储、管理和使用的任一环节的主体均可能被纳入《管理办法》的责任单位范围内，因此，相关主体需要根据其从事的业务领域关注相应的合规义务。

二、健康医疗大数据的采集和存储

健康医疗大数据的采集

涉及个体健康的原始数据采集目前主要集中在医院、诊所、防疫站等医疗卫生机构，同时，智能设备的开发和运用使线下收集普通用户的健康数据成为数据的补充来源。由于原始数据的质量和样本量将决定大数据的最终价值，《管理办法》要求责任单位在采集健康医疗大数据时，需要严格执行国家和行业相关标准和程序，做到标准统一、术语规范、内容准确，并对所采集的信息严格实行信息复核终审程序，确保数据质量。[2]

此外，对于原始个体健康医疗数据的初次采集，根据《网络安全法》的规定，网络运营者收集个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和授权使用的范围使用个人信息。[3]

除直接向公民个人采集个体信息以外，企业也可以通过与医疗机构或者健康医疗数据供应商合作的方式，获得批量的原始数据或者经过预处理的健康数据。对于这些数据交易活动，仍需遵守《网络安全法》的规定，除非原始数据经过特殊处理后无法指向特定个人且不能复原，未经信息主体的同意，不得擅自向他人提供公民的个人医疗信息。[4]因此，就健康医疗数据进行交易或传输的前提是获得信息主体的同意，或者对数据进行充分彻底的脱敏处理。

综上，在通过交易获取健康医疗数据的过程中，为控制风险，企业应当在合作前对数据供应商进行数据合规方面的尽职调查，并在合作协议中明确供应商对数据质量、数据来源合法性、数据采集合规性、个人信息授权和脱敏化处理的保证责任或者合同义务。

健康医疗大数据的存储

不同于一般行业的数据，健康医疗数据更加敏感，除公民的个人隐私信息之外，也可能包括涉及干细胞、特定物种或人种的遗传资源等信息。因此，对于健康医疗大数据的存储，需要从多个角度设置严格的保护机制，从而确保数据安全。

在健康医疗大数据的存储安全方面，《管理办法》的要求主要包括采取数据分类、重要数据备份、加密认证等安全保障措施，建立可靠的数据容灾备份工作机制，定期对相关信息系统开展定级、备案和测评工作，严格落实网络安全等级保护制度，建立健全实名认证访问控制机制、网络安全通报和应急处置联动机制等。

需要特别注意的是，《管理办法》明确要求健康医疗大数据应当存储在境内服务器上，如需向境外传输，应当按照相关法律法规和要求进行安全评估审核。[5]这里的“相关法律法规和要求”应该主要是指《个人信息和重要数据出境安全评估办法（征求意见稿）》、《关键信息基础设施安全保护条例（征求意见稿）》和《信息安全技术数据出境安全评估指南（征求意见稿）》等数据出境安全评估规定。但由于上述配套法律法规均尚未生效，网络运营者需要定期跟进立法动态，秉持审慎从严的原则，防范数据出境合规风险。

三、健康医疗大数据的分析处理和应用

健康医疗大数据的分析和处理

健康医疗大数据的高附加值源自于对海量、分散的原始个体健康数据进行统计学分析，在数据处理和技术分析层面，企业主要应按照行业标准和合同约定进行，出于数据安全的考虑，在处理医疗健康大数据时，仍需符合《管理办法》中关于数据分类和备份、数据接入和使用权限、痕迹管理等的安全管理要求。

就数据开发和合作而言，《管理办法》对于数据加工的委托方和受托方分别提出了要求。对于受托方，《管理办法》要求其严格按照相关法律法规和合同约定进行健康医疗大数据的存储、管理与运营。[6]对于委托方，《管理办法》要求在选择服务提供商前审查其是否合规合法，是否具备确保数据安全的能力，是否已建立数据安全管理、个人隐私保护、应急响应管理等方面的管理制度。[7]此外，委托方和受托方对健康医疗大数据的管理和安全责任应承担连带责任。[8]

健康医疗大数据的应用

《管理办法》要求责任单位结合服务和管理公司的需要，及时更新、甄别、优化和维护医疗大数据，确保信息处于最新、连续、有效、优质和安全状态，并且，在公开健康医疗大数据时，不得泄露国家秘密、商业秘密和个人隐私，不得侵害国家利益、公共利益和他人的合法权益。[9]

因此，对于健康医疗大数据的应用，《管理办法》虽然提出了数据准确性、安全性和进行脱敏处理的原则性要求，在具体应用形式和操作层面并未做出过多限制，因此，探索并开发健康医疗大数据的应用仍然具有巨大空间。

随着人工智能和信息化技术的发展，医疗资源数字化以及医疗信息大数据化成为趋势，海量的非结构化数据经过标准化和规范化处理后，将成为具有现实参照意义的实用工具，为科学研究和临床决策提供支持。可以预期，健康医疗大数据在疾病预测模型、疾病诊断分析、临床辅助决策、远程医疗、医疗质量监管、个性化治疗等方面都将发挥巨大作用，并将推动传统医疗模式的创新性变革。

注：

[1] 《管理办法》第六条第二款：各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。

[2] 《管理办法》第二十九条：责任单位采集健康医疗大数据，应当严格执行国家和行业相关标准和程序，符合业务应用技术标准和管理规范，做到标准统一、术语规范、内容准确，保证服务和管理对象在本单位信息系统中身份标识唯一、基本数据项一致，所采集的信息应当严格实行信息复核终审程序，做好数据质量管理。

[3] 《网络安全法》第四十一条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

[4] 《网络安全法》第四十二条第一款：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

[5] 《管理办法》第三十条：责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件，加强对健康医疗大数据的存储管理。健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。

[6] 《管理办法》第三十二条：责任单位委托有关机构存储、运营健康医疗大数据，委托单位与受托单位共同承担健康医疗大数据的管理和安全责任。

[7] 《管理办法》第三十一条：责任单位选择健康医疗大数据服务提供商时，应当确保其符合国家和行业规定及要求，具备履行相关法规制度、落实相关标准、确保数据安全的能力，建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度。

[8] 《管理办法》第三十二条：受托单位应当严格按照相关法律法规和委托协议做好健康医疗大数据的存储、管理与运营工作。

[9] 《管理办法》第三十三条：责任单位应当结合服务和管理工作需要，及时更新、甄别、优化和维护健康医疗大数据，确保信息处于最新、连续、有效、优质和安全状态。

《管理办法》第三十五条：责任单位向社会公开健康医疗大数据时，应当遵循国家有关规定，不得泄露国家秘密、商业秘密和个人隐私，不得侵害国家利益、社会公共利益和公民、法人及其他组织的合法权益。