健康医疗企业IPO数据合规重点问题与应对(下)
作者:
陈际红 蔡鹏 韩璐
薛泽涵 王雨婷
前言
我们通过上篇内容为健康医疗企业提供数据合规审查全景纵览,以及合规应对建议支持。可以看到,目前我国数据合规管理体系较为庞杂,并出现“九龙治水”的立法管理及监督执法的情形。“工欲善其事,必先利其器”,健康医疗企业在进行上市前的数据合规工作之前,应整体了解健康医疗行业应当遵守的数据合规要求,完备的法规梳理将有助于实际合规工作的开展。本篇将重点介绍国内健康医疗行业数据合规现行立法规制体系,对相关数据类型合规要求做重点解读,此外,结合健康医疗行业发展及监管态势,针对未来健康医疗行业发展及数据合规监管重点领域趋势进行展望,以期为健康医疗企业数据合规工作提供实际支持。
健康医疗行业数据合规要求,以《网络安全法》《个人信息保护法(草案)》等通用数据保护要求为基础,结合健康医疗行业特殊领域的合规管理要求。“通用+特殊”立法要求共同构筑健康医疗行业数据合规立法规制体系。
一
通用数据合规立法体系
健康医疗企业作为自身业务系统的网络运营者,以及健康医疗数据控制者,需遵守以《网络安全法》及其配套法规(例如《个人信息安全规范》)为核心的现行有效的网络安全及数据合规立法体系,这套体系经过四年左右的发展已日渐完善。同时,《个人信息保护法(草案)》、《数据安全法(草案)》等通用数据保护领域的顶层设计,在未来生效后,自然将适用于健康医疗企业日常数据合规管理工作。此外,围绕健康医疗业务开发管理,例如《电子商务法》等“互联网+”电商管理要求,以及《消费者权益保护法》《广告法》等涉及消费者保护、营销推广等规定,同样需要健康医疗企业予以遵守。
二
健康医疗专业领域数据合规立法体系
目前国内健康医疗专业领域数据合规立法体系相对庞杂,法律法规层级及规制重点多样,健康医疗企业在进行网络安全及数据合规建设时,通常容易陷入“需要遵守什么法”的困境。以下我们将协助健康医疗企业对目前立法体系进行梳理及解读,整体而言,现有体系可分为“行业发展政策及网络安全建设+宏观数据类别管理+微观数据类别管理”三个层次。
(一)健康医疗(含互联网医疗)行业发展政策及网络安全建设法规体系
健康医疗行业始终是国家立法重点关注的领域,在“互联网+”时代,针对互联网医疗及网络安全的立法建设步伐也在不断加快。目前,国家健康医疗行业的主管部门主要包括国家卫生健康委员会、国家中医药管理局、国家医疗保障局。除指明健康医疗企业日常管理工作原则的行业顶层立法设计、覆盖线上线下医疗机构管理的监管细则外,近年来健康医疗行业发展政策及网络安全建设立法体系突出呈现如下特征:
政策更强调大数据技术的运用及创新建设:以国务院《关于印发促进大数据发展行动纲要的通知》、《“健康中国2030”规划纲要》为例,其明确提出加快推进健康医疗行业信息化、数字化、智能化建设,在保障健康医疗数据安全的同时推进数据开发利用,并将互联网医疗运用延伸至医保、智能硬件、跨平台共享机制等新兴场景。
法规更注重健康医疗企业的信息化建设:信息化建设是保障网络安全及数据保护的必要基础。一方面,国家健康医疗主管部门制定明确的等保工作意见,指导健康医疗企业承担等保义务;另一方面,在疫情等因素的影响下,进一步要求健康医疗企业加强远程医疗网络能力建设。
趋势更关注互联网医疗的规范化管理:《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》、《远程医疗服务管理规范(试行)》、共同构成目前互联网医疗(尤其是互联网医院)管理体系的基础。在此基础上,结合近些年市场发展状态,立法趋势更加关注互联网医疗自身的合规管理,以及与电子商务、广告营销、商保医保等不同渗透场景的规范化管理。
伴随国家层面针对互联网医疗立法管理要求的不断强化,地方层面也逐步制定相应落地监管要求。在宁夏银川[1]、上海[2]等地率先制定本地互联网医疗监管政策后,北京同样出台本地监管细则。北京市卫健委、北京市中医管理局于2021年2月24日印发《关于北京市互联网医院许可管理有关工作的通知》,一方面明确作为实体医疗机构第二名称的互联网医院、依托实体医疗机构独立设置的互联网医院等不同情形的互联网医院准入要求,以及对应的变更登记、校验及注销要求;另一方面强调了针对互联网医疗的规范准入管理、严格依法执业、鼓励服务创新、加强监督管理的基本理念及要求,为相应开发、合作及监管行动提供政策指引。因此,各地互联网健康医疗企业,除关注国家层面的相关要求外,应同步关注本地针对互联网医疗管理的细化要求及监管态势,未雨绸缪做好应对准备。
(二)宏观数据类别管理法规体系
目前国内医疗相关法规,在宏观层面为“健康医疗数据”(尤其是与自然人相关的健康医疗数据)设定诸多定义,其中最主要的包括“个人健康医疗数据”、“健康医疗大数据”、“人口健康信息”及“科学数据”四类。整体而言,“科学数据”指向性较强,相对独立,另外三类数据具有较高的相似性及共通性。健康医疗企业如涉及一定规模的健康医疗数据(含与自然人相关的健康医疗数据)的收集处理行为,需重点关注“人口健康医疗数据”、“健康医疗大数据”及“人口健康信息”这三类宏观数据类别所对应的合规要求。
1. 个人健康医疗数据
“个人健康医疗数据”定义源自《健康医疗数据安全指南》,其定义与目前使用的“个人信息”定义逻辑保持一致,强调数据具备的识别特定自然人或者反映自然人身心健康的“识别性”。健康医疗数据范围相当广泛,包含个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据和公共卫生信息等类别,基本覆盖健康医疗企业日常处理的所有数据类型。可以说,健康医疗企业日常处理的数据基本构成健康医疗数据,企业需充分重视《健康医疗数据安全指南》的合规指引。
根据《健康医疗数据安全指南》的合规建议,需关注如下合规要点:
点击图片查看大图
2. 健康医疗大数据
“健康医疗大数据”定义源自2018年国务院办公厅发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》,强调数据产生的环境,即在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据即构成“健康医疗大数据”。考虑到定义存在的宽泛性,健康医疗企业在开展日常诊断服务及患者管理过程中产生的健康医疗数据,基本落入“健康医疗大数据”范畴。相较于“个人健康医疗数据”,“健康医疗大数据”更侧重于国家战略、群众生命及个人信息等涉及数据安全性管理方面的要求。
目前针对“健康医疗大数据”的相关合规要求包括:
点击图片查看大图
3. 人口健康信息
“人口健康信息”定义源自2014年国家卫计委发布的《人口健康信息管理办法(试行)》,同样强调数据产生的环境,即各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等数据。从定义角度看,“人口健康信息”更适用于传统线下医疗卫计服务机构,但因互联网医院及远程医疗服务的发展,“人口健康信息”也逐步覆盖线上情景。
目前针对“人口健康信息”的合规要求包括:
点击图片查看大图
4. 科学数据
“科学数据”定义主要源自2018年国务院办公厅发布的《科学数据管理办法》,强调通过研究及试验开发而产生的数据,以及通过检测等方式取得并用于科学研究活动的原始数据及其衍生数据。在健康医疗行业,“科学数据”主要体现为临床实验等医疗科研活动相关的原始数据及衍生成果,适用场景较为明确。目前相关法规对于“科学数据”管理主要侧重于安全保密方面。
(三)微观数据类别管理法规体系
具体到健康医疗行业微观数据类别,目前国内法规明确规制的健康医疗数据类型,包括病历数据、处方数据、医疗器械数据、个人遗传资源、药品数据等,不同类别数据具有不同的合规管理要求。健康医疗企业可对自身已有数据资产进行识别及类别切分,对应匹配各类数据的合规要求。
1. 病历数据(含电子病历)
病历数据作为医生诊疗或健康咨询活动的数据载体,系健康医疗数据中十分常见的数据类型,国家较早通过《医疗机构病历管理规定》等法规进行管理。随着健康医疗行业信息化建设发展,围绕电子病历的管理要求也在不断细化。整体而言,涉及病历数据(含电子病历)的合规特殊要求包括:
点击图片查看大图
2. 处方数据
目前国家互联网医疗相关规定对于医疗机构开具处方行为作了明确的限制要求。同时,针对处方数据本身,也提出了部分特殊要求,具体包括:
3. 医疗器械销售数据
目前越来越多健康医疗企业及网络交易服务第三方平台涉足医疗器械销售,国家对应主管机构对此保持高度关注并提出若干特殊合规要求,具体包括:
点击图片查看大图
4. 个人遗传资源
个人遗传资源属于较为特殊的一类健康医疗数据,主要指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。一直以来国家对个人遗传资源的采集、保藏、利用、对外提供等行为进行严格管控,在此基础上,《生物安全法》的出台进一步明确了国家在个人遗传资源从严管理的原则及态度。其相关合规管理要求概括如下:
点击图片查看大图
5. 药品数据
药品销售一直以来是行业主管机构的监管重点,互联网医疗的发展丰富了药品销售的渠道,也提升了药品数据(包括药品销售数据)的管理难度。对于药品信息服务平台而言,其需依法获取互联网药品信息服务相关资质并在公开渠道显著标识,并加强相关数据的记录及管理。围绕药品数据合规管理,目前主要合规要求包括:
点击图片查看大图
三
发展趋势提示
2016年10月,党中央、国务院发布《“健康中国2030”规划纲要》,提出“需要从国家战略层面统筹解决关系健康的重大和长远问题”,自此,“健康中国”被上升为国家战略。自2016年以来,国家先后出台一系列推动健康医疗信息化、“互联网+健康医疗”行业发展、智慧医院建设的利好政策,健康医疗行业逐渐步入发展的快车道。突如其来的疫情以及国家持续深化促进健康医疗行业发展的利好政策将带领健康医疗行业进入高速发展的黄金期。
结合2020年下半年中共中央、国家卫生健康委员会(以下简称“卫健委”)、国家医疗保障局(以下简称“医保局”)、工业和信息化部(以下简称“工信部”)等部委发布的行业发展政策,我们预计下述健康医疗业务场景将成为未来行业发展的重点。相应的,对应业务场景项下的数据合规要求也将成为企业融资、上市阶段,投资人与发审委审查的重点关注方向。
(一)互联网医疗与在线健康咨询
2020年,尤其是在疫情的冲击和推动下,大量复诊患者由线下转为线上,互联网医疗、在线健康咨询、远程医疗等领域得到了进一步的探索和发展。政策方面,医保局、卫健委发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》,提出对线上线下医疗服务实行统一管理,对符合规定的“互联网+”医疗服务、在线处方药费等实现在线结算[3]。技术方面,工信部、卫健委发布《关于进一步加强远程医疗网络能力建设的通知》,强调医疗机构加强远程医疗网络能力建设。
提供互联网医疗、远程医疗服务的机构应注意加强其自身网络安全能力建设,按照网信部门规定以及行业规定[4]落实等级保护要求。同时服务机构应注意落实“首诊禁止”的合规要求,针对医务人员资质进行审核,划清互联网诊疗与在线健康咨询服务的边界。
(二)“互联网+”医疗服务对接商保、医保支付
对于互联网医疗服务机构而言,对接医保支付可以极大地促进线上患者的支付意愿,进一步扩大用户群体。医保局于2020年10月24日发布《关于积极推进“互联网+”医疗服务医保支付工作的指导意见》,要求申请签署医疗服务医保补充协议的互联网医疗服务机构妥善留存参保人的电子病历、电子处方、购药记录等信息,实现诊疗全程可追溯[5]。基于此,互联网医疗机构必须加强其自身的数据管理能力,采取必要的组织措施与技术措施保障数据的安全性、准确性、保密性,不应让数据管理措施的缺失成为其对接医保支付的障碍。
针对商业保险而言,《“健康中国2030”规划纲要》提出积极发展商业健康保险,促进商业保险公司与医疗、体检、护理等机构合作,发展健康管理组织等新型组织形式[6]。互联网医疗机构对接商保支付时,可能涉及向商业保险机构及其他商业合作伙伴提供患者个人信息,此类个人信息多为敏感的健康医疗数据。互联网医疗机构向商业保险机构提供患者数据前,须采取必要措施,审查并确保后者能够提供充分的数据安全与隐私保护水平。
(三)医疗健康智能可穿戴设备
《“健康中国2030”规划纲要》提出国家将探索推进可穿戴设备、智能健康电子产品和健康医疗移动应用服务等发展。2020年11月12日,四川省经济和信息化厅发布《关于支持医疗健康装备产业高质量发展的若干政策措施(征求意见稿)》,助力省内医疗健康装备产业的发展。2020年12月04日,卫健委、医保局发布《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》,鼓励各地运用智能物联终端设备,开展慢性病患者和高危人群的特征指标数据的监测跟踪和管理。随着疫情防控的常态化以及人们对于健康管理需求的增加,未来医疗健康智能可穿戴设备可能成为健康医疗行业企业一个持续的业务增长点。
企业在提供可穿戴设备硬件与软件服务时,将涉及直接从终端用户采集其个人敏感信息。考虑到可穿戴设备的便携性以及其监测的数据的敏感性,企业应尤其注意数据采集阶段与存储阶段的安全,可考虑采取必要的认证手段,确保用户合法控制与使用智能设备,并建立远程控制措施,允许用户在设备被窃或丢失时可以远程删除设备中的数据[7]。此外,面对海量的用户敏感信息,企业应关注用户个人信息商业化使用的合规性,任何个人信息分析、加工与共享行为均不得超出用户授权同意或法律法规允许的范围。
(四)健康医疗信息化、健康医疗大数据与人工智能
根据2020年10月29日发布的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》,我国未来将发展战略性新兴产业,推动互联网、大数据、人工智能等同各产业深度融合。就大数据在健康医疗行业的应用,以及健康医疗信息化与健康医疗数据共享的规划,《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》指出,医疗机构应充分运用互联网、大数据等信息技术拓展服务空间和内容;在患者知情同意的前提下,推动医疗机构间健康医疗信息共享;在保障数据安全和个人隐私的基础上,推进电子健康档案在线查询和规范使用。而数据安全与数据合规方面,工信部与卫健委在《关于进一步加强远程医疗网络能力建设的通知》中指出,应完善医疗云计算和医疗大数据服务能力评估体系,保障医疗云计算资源、医疗大数据资产全生命周期内合规、可信。
目光转向资本市场,健康医疗信息化企业与健康医疗大数据解决方案企业在港股市场受到资本的追捧,京东健康、医渡科技先后在港股上市。随着健康医疗信息化进程的不断深入,以及健康医疗大数据的宏观利好政策,未来健康医疗大数据企业在资本市场的表现将更加活跃。
在健康医疗大数据的全生命周期中,企业应尤其注意数据来源的合规性,若涉及从合作伙伴间接收集个人信息,应确认数据提供方是否有权收集并共享相关个人信息,或是否已进行了充分的脱敏处理。企业利用患者个人信息进行人工智能算法训练时,同样应注意是否已获得充分的患者知情同意或已进行充分的脱敏处理。企业与合作伙伴进行数据共享时,应通过数据处理协议约定双方各自针对网络安全与数据保护应履行的义务,涉及联合开发的,应通过协议约定实验数据与研发成果的权益归属。
★结语★
疫情影响及时代发展环境下,健康医疗企业将在信息化建设道路上持续发展,健康医疗企业上市热潮势必也将持续一段时间。大数据技术的应用,既便利了企业数据开发及商业模式优化,也为企业数据合规带来挑战。在《个人信息保护法(草案)》、《数据安全法(草案)》等通用领域数据合规立法、健康医疗专业领域数据合规专项立法、数据合规执法行动等相继出台、出现的当下,健康医疗企业,尤其是具有上市考虑的健康医疗企业,应当未雨绸缪,主动、积极、及时做好数据合规应对。
[注]
[1] 参考《银川市人民政府关于印发互联网医院管理办法的通知》(2017年1月12日生效)、《银川市互联网医院管理办法实施细则(试行)》(2017年3月10日生效)、《银川市互联网医院数据安全保密管理制度》(2017年4月21日生效)等。
[2] 参考《上海市互联网医院管理办法》(2019年9月1日生效)等。
[3]《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》:三、完善经办服务。统筹地区医保经办机构与提供“互联网+”医疗服务的定点医疗机构签订补充协议时,应明确纳入医保支付的“互联网+”医疗服务范围、条件、收费和结算标准、支付方式、总额指标管理以及医疗行为监管、处方审核标准等,原则上对线上线下医疗服务实行统一管理。医保经办机构要与定点医药机构密切配合、做好对接,对符合规定的“互联网+”医疗服务、在线处方药费等实现在线医保结算。
[4] 例如《卫生行业信息安全等级保护工作的指导意见》、《互联网医院管理办法(试行)》等。
[5]《国家医疗保障局关于积极推进“互联网+”医疗服务医保支付工作的指导意见》:(二)申请“互联网+”医疗服务医保补充协议的医疗机构应具备以下基本条件。… …四是能够完整保留参保人诊疗过程中的电子病历、电子处方、购药记录等信息,实现诊疗、处方、配药等全程可追溯。
[6]《“健康中国2030”规划纲要》:第三节 积极发展商业健康保险… …促进商业保险公司与医疗、体检、护理等机构合作,发展健康管理组织等新型组织形式。到2030年,现代商业健康保险服务业进一步发展,商业健康保险赔付支出占卫生总费用比重显著提高。
[7]《健康医疗数据安全指南》11.5.2.2,11.5.2.4
点击阅读
健康医疗企业IPO数据合规重点问题与应对(上)
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护, 知识产权权利保护, 合规和反腐败
特色行业类别:通讯与技术, 健康与生命科学
韩璐 律师
北京办公室 知识产权部
薛泽涵
北京办公室 知识产权部
王雨婷 律师
北京办公室 知识产权部
作者往期文章推荐
《健康医疗企业IPO数据合规重点问题与应对(上)》
《解读<网络交易监督管理办法>》
《网络安全与数据保护2020年度观察》
《新型电商的数据合规路径》
《EDPB<GDPR下数据控制者及数据处理者概念的指南>解读兼谈<个人信息保护法(草案)>关于处理者的定义》
《2020年APP个人信息治理工作启动,你需要关注的APP自评估指南的主要变化》
《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》
《“抗疫”不忘数据合规:<个人金融信息保护技术规范>评析》
《疫情期间企业个人信息保护十问十答》
《App数据收集划定红线:<App违法违规收集使用个人信息行为认定方法>解析》
《网络平台法律责任的司法变化与应对——对最高人民法院涉网络和电商两个司法文件的解读》
《电子商务平台责任与消费者权益保护》
《电子商务领域的知识产权和数据保护》
《<电子商务法>实施后的执法、司法回顾及其趋势》
《<电子商务法>实施后的立法回顾及其趋势》
《新基建主题系列——移动互联网产品跨境出海的合规风险与对策》
《新基建主题系列——人工智能技术开发中的知识产权法律风险》
《不打无准备之仗——企业上市如何面对知识产权诉讼争议?(境外篇)》
《不打无准备之仗——企业上市如何应对知识产权诉讼争议?(境内篇)》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。