专家点评 | 卫健委明确：健康医疗大数据需境内存储——简评《国家健康医疗大数据标准、安全和服务管理办法（试行）》

2018年9月15日，国家卫生健康委员会（“卫健委”）在其官网发布了《国家健康医疗大数据标准、安全和服务管理办法（试行）》（“《管理办法》”）。《管理办法》已于2018年7月12日生效并施行。《管理办法》将对医疗卫生行业数据和网络安全实践产生深远的影响。本文对《管理办法》的立法背景和重要内容进行解读，并对医疗卫生单位和相关企事业单位可能面临的监管趋势进行预判。

2016年颁布的《中华人民共和国网络安全法》（“《网络安全法》”）第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”本条虽然只有寥寥数语，却涵盖了“关键信息基础设施”、“重要数据”、“境内存储”、“数据出境安全评估”几个重要概念，而由此而引起的数据本地化存储和数据出境问题已成为企业数据和网络安全合规中最为关注的风险点。

2017年4月11日，国家互联网信息办公室（网信办）公布《个人信息和重要数据出境安全评估办法（征求意见稿）》（“《评估办法》”），将数据出境安全评估的责任主体由关键信息基础设施运营者扩展至所有网络运营者，并规定了安全评估的适用范围、评估程序、监管机构、评估内容等基本规则。2017年5月27日，全国信息安全标准化技术委员会（信安标委）发布《信息安全技术 数据出境安全评估指南（草案）》（“《评估指南》”），并于同年8月又发布了《评估指南》第二稿。该《评估指南》对境内运营、数据出境、重要数据等概念进行了明确，对安全评估予以细化。

2018年7月，网信办公布《关键信息基础设施安全保护条例（征求意见稿）》（“CII条例”），其中规定：“下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位……”

尽管《评估办法》、《评估指南》和《CII条例》尚未正式颁布，有关中国关键信息基础设施及数据出境的法律框架未能得窥全貌，但根据上述几个征求意见稿以及《网络安全法》的原则性规定不难看出，医疗卫生单位将被纳入“关键信息基础设施运营者”的范畴进行管理，并将承担数据本地化、数据出境安全评估等法律义务。

 在上述背景下，卫健委根据《网络安全法》等法律法规和《国务院关于印发深化标准化工作改革方案的通知》、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》、《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件，结合福建、江苏、山东、安徽、贵州五省健康医疗大数据中心试点的经验，研究制定了《管理办法》，对健康医疗大数据从适用范围、标准管理、安全管理和服务管理等方面进行规范。

健康医疗大数据是国家重要的基础性战略资源，《管理办法》第四条规定“本办法所称健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。”从文义来看， “健康医疗大数据”的定义较为宽泛，既包括具体到人的微观数据，也包括统计、分析类型的宏观数据。此外，医疗卫生机构日常处理的患者诊疗和病历信息是应有之义，但该定义似乎也可涵盖药品、医疗器械企业掌握的和患者/试验对象有关的临床试验数据、不良反应数据、政府和相关机构掌握的人口健康数据、遗传资源数据等。但上述各类数据在实践中是否按《管理办法》由卫生健康行政部门监管，或是按其他监管部门（例如药监局）的有关规定进行监管，仍有待观察。

《管理办法》第五条规定“本办法适用于县级以上卫生健康行政部门（含中医药主管部门，下同）、各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的管理。”第六条规定：“各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。”由于《管理办法》将模糊的“相关企事业单位”也纳入“责任单位”的范围，我们认为，在实践中 “企事业单位”是否将受《管理办法》规范，将取决于此类企事业单位是否处理“健康医疗大数据”。

由于“健康医疗大数据”和“相关企事业单位”的定义较为宽泛，制药企业及医疗器械企业需特别关注是否其是否处理健康医疗大数据、是否有可能被认为是“责任单位”并承担《管理办法》下的诸多义务。

《管理办法》明确了开展健康医疗大数据标准管理工作的原则，以及各级卫生健康行政部门的工作职责。根据《管理办法》的要求，卫健委将发挥统筹领导作用，卫生健康行政部门应当对健康医疗大数据标准的实施加强引导和监督，卫健委鼓励医疗卫生机构、科研教育单位、相关企业或行业协会、社会团体等参与健康医疗大数据标准制定工作。公民、法人或者其他组织可提出制修订健康医疗大数据标准的立项建议，并提交相应标准项目建议书。同时，卫健委提倡多方参与协作机制，由各相关单位组成协作组参与标准起草工作。

针对健康医疗大数据的安全管理，卫健委明确了健康医疗大数据安全管理的范畴，要求责任单位建立健全相关安全管理制度、操作规程和技术规范、落实“一把手”负责制、加强安全保障体系建设，保障健康医疗大数据安全。涉及国家秘密的健康医疗大数据的安全、管理和使用等，按照国家有关保密规定执行。

《管理办法》规定责任单位需遵守的具体安全管理要求主要包括：

•【数据分类、备份和加密认证】采取数据分类、重要数据备份、加密认证等措施保障健康医疗大数据安全。

•【数据容灾备份】建立可靠的数据容灾备份工作机制，定期进行备份和恢复检测，确保数据能够及时、完整、准确恢复，实现长期保存和历史数据的归档管理。

•【等级保护和关键信息基础设施管理】按照国家网络安全等级保护制度要求，加强健康医疗大数据相关系统安全保障体系建设，提升关键信息基础设施和重要信息系统的安全防护能力，确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作。

• 【产品和服务提供者遵守网络安全审查制度】 健康医疗大数据相关系统的产品和服务提供者应当遵守国家有关网络安全审查制度，不得中断或者变相中断合理的技术支持与服务，并应当为健康医疗大数据在不同系统间的交互、共享和运营提供安全与便利条件。

•【依法使用健康医疗大数据、保护公民隐私】依法依规使用健康医疗大数据有关信息，提供安全的信息查询和复制渠道，确保公民隐私保护和数据安全。

•【在授权范围内使用健康医疗大数据】严格规范不同等级用户的数据接入和使用权限，并确保数据在授权范围内使用。任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据，不得使用非法手段获取数据。

•【电子实名认证和数据访问控制】建立严格的电子实名认证和数据访问控制，规范数据接入、使用和销毁过程的痕迹管理，确保健康医疗大数据访问行为可管、可控及服务管理全程留痕，可查询、可追溯，对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。

• 【人才培养和人员资质】建立健全健康医疗大数据安全管理人才培养机制，确保相关从业人员具备健康医疗大数据安全管理所要求的知识和技能。

•【安全检测和预警】建立健康医疗大数据安全监测和预警系统，建立网络安全通报和应急处置联动机制，开展数据安全规范和技术规范的研究工作，不断丰富网络安全相关的标准规范体系，重点防范数据资源的集聚性风险和新技术应用的潜在性风险。

•【安全事件报告和处置】发生网络安全重大事件，应当按照相关法律法规和有关要求进行报告并处置。

上述各项安全管理要求中值得特别注意的是，尽管《评估办法》、《评估指南》和《CII条例》尚未正式颁布，但《管理办法》已将“责任单位”（即“各类医疗卫生机构和相关企事业单位”）默认为《网络安全法》下的“关键信息基础设施”的运营者，应根据网络等级保护要求开展定级、备案、测评等工作，并确保健康医疗大数据关键信息基础设施和核心系统安全可控。

《管理办法》规定责任单位需遵守的服务管理要求主要包括：

•【服务管理原则】责任单位实施健康医疗大数据管理和服务，应当按照法律法规和相关文件规定，遵循医学伦理原则，保护个人隐私。

•【管理制度】责任单位应当根据本单位健康医疗大数据管理的需求，明确相应的管理部门和岗位，按照国家授权，实行“统一分级授权、分类应用管理、权责一致”的管理制度，并建设相应的健康医疗大数据信息系统作为技术和管理支撑。

•【标准和程序】责任单位采集健康医疗大数据，应当严格执行国家和行业相关标准和程序，符合业务应用技术标准和管理规范，做到标准统一、术语规范、内容准确，保证服务和管理对象在本单位信息系统中身份标识唯一、基本数据项一致，所采集的信息应当严格实行信息复核终审程序，做好数据质量管理。

•【数据本地化存储和出境安全评估】责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件，加强对健康医疗大数据的存储管理。健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。

•【服务提供商的选择】责任单位选择健康医疗大数据服务提供商时，应当确保其符合国家和行业规定及要求，具备履行相关法规制度、落实相关标准、确保数据安全的能力，建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度。

•【健康医疗大数据的委托处理】责任单位委托有关机构存储、运营健康医疗大数据，委托单位与受托单位共同承担健康医疗大数据的管理和安全责任。受托单位应当严格按照相关法律法规和委托协议做好健康医疗大数据的存储、管理与运营工作。

•【健康医疗大数据的公开】责任单位向社会公开健康医疗大数据时，应当遵循国家有关规定，不得泄露国家秘密、商业秘密和个人隐私，不得侵害国家利益、社会公共利益和公民、法人及其他组织的合法权益。

•【健康医疗大数据的共享】国家卫生健康委员会负责按照国家信息资源开放共享有关规定，建立健康医疗大数据开放共享的工作机制，加强健康医疗大数据的共享和交换，统筹建设健康医疗大数据上报系统平台、信息资源目录体系和共享交换体系。

上述各项服务管理要求中值得特别注意的是，《管理办法》要求健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。上述要求与卫健委将健康医疗大数据的“责任单位”视为关键信息基础设施运营者一脉相承，符合《网络安全法》的原则性规定。对于涉外医疗卫生机构及企事业单位（例如外资医院和健康管理机构）而言，如此前健康医疗大数据并未在境内存储，则需尽快考虑在境内租用可信数据中心或云服务提供商的服务，对于业务需要确需出境的，亦需尽快履行安全评估的义务。

在《网络安全法》规定的框架性原则基础上，各行业监管部门已逐步开始对本行业研究制定更为细致的规定和操作指引。《管理办法》必将对医疗卫生行业数据和网络安全实践产生深远影响。我们认为，医疗卫生行业将有可能开展关于执行《管理办法》、加强健康医疗大数据管理和保护的全国或地区性检查，相关医疗卫生机构和企事业单位需尽快对照《管理办法》的要求对其数据和网络安全实践进行差异分析和整改工作。对于《管理办法》中尚存疑问的内容，卫健委下一步将有可能通过推出相关国家标准或操作指引的方式予以明确。

文章仅代表作者个人观点，不视为LCOUNCIL及安杰律师事务所正式法律意见或建议。如需转载或引用请注明出处。

LCOUNCIL也将继续关注数据和网络安全领域的新进展，并及时进行解读。

11月14日，LCOUNCIL将联合安杰律师事务所举办“反垄断系列（五）医药和医疗器械行业数据合规及反垄断热点问题探讨”Workshop，点击阅读原文或如下链接进行活动报名：

最新互动福利丨反垄断系列（五）医药和医疗器械行业数据合规及反垄断热点问题探讨

如何预防商品归类引发的法律风险

进出口贸易合规管理实务要点解析

大数据何以“杀熟”？ ——关于差异化定价法律规制的思考

体育法律师告诉你 电竞如何与传统体育融合

LCOUNCIL干货专区

“

后台回复“电商经营者（非平台）合规要点”，便可领取《电子商务法》下的电商经营者（非平台）合规要点40条干货集锦。

”

1.扫描如下二维码，关注LCOUNCIL微信公众号。

2.在对话框中填入“电商经营者（非平台）合规要点”，发送。

3.便可领取到《电子商务法》下的电商经营者（非平台）合规要点40条干货集锦。

未经允许请勿转载到其他公众号

转载请联系我们：editor@lcouncil.com