汇业评论 |《健康医疗数据安全指南》解读:合规实践及案例汇编
近日,国标委发布28号国家标准公告,正式发布了《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020,以下简称“安全指南”),自2021年7月1日期实施。《安全指南》由信安标委归口上报,此前于2018年1月立项草拟,草案几易其稿,于2018年12月26日发布公开征求意见稿《信息安全技术 健康医疗信息安全指南》(以下称“征求意见稿”)。
相较于《征求意见稿》,正式版《安全指南》在标准结构、合规控制项、合规尺度、典型场景等方面均有了较大幅度的调整。尤其是在合规尺度方面,《安全指南》在收集、使用、披露及出境等主要合规控制点,大量采取“宜”字推荐性要求,弱化了《征求意见稿》、《个人信息安全规范》、《人口健康信息管理办法(试行)》等的“应”字强制性要求,同时还扩大解释了《个人信息出境安全评估办法(征求意见稿)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》等相关内容。因此,《安全指南》作为企业开展健康医疗数据合规实践的遵从价值和监管机构开展监管执法的参考价值相对有限。
结合近期立法与标准制定实践、监管执法趋势及类似项目经验,汇业律师事务所黄春林律师团队简要评析《安全指南》如下,仅供参考。
一、关于健康医疗数据
《安全指南》以健康医疗数据为规制对象,其中包括个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据。
健康医疗数据中具有“识别”、“关联”个人的信息属于个人健康医疗数据,其中包括人口信息、识别信息、诊疗信息、生理信息、遗传信息、(如穿戴设备采集的)健康信息、支付或保险信息、疾控信息等。值得注意的是,根据《安全指南》,经过部分去标识化处理,但仍具有识别性的受限制数据集,可在未经个人授权的情形下用于科学研究(包括临床研究)、健康教育等,这与目前生效的相关法规及标准文件要求不一致。
不同法律文件中,关于健康医疗数据的法律术语及内涵各有差异。例如,《人口健康信息管理办法(试行)》叫人口健康信息,《个人信息安全规范》叫个人健康生理信息、《国家健康医疗大数据标准、安全和服务管理办法(试行)》叫健康医疗大数据,等等。
不同于一般消费、金融等普通场景产生的数据,健康医疗数据的行业特征鲜明,主要体现在包括但不限于数据敏感度极高、数据形态多样结构复杂、数据场景化合规要求差异较大、数据质量要求极高、数据互联互通流动频繁、行业数据治理能力偏低等。因此,相应的合规要求也与普通数据合规要求差异较大,企业宜通盘考虑不同法规、标准视角的合规遵从性,全面开展数据合规治理建设。
二、健康医疗数据分类分级
建立健全分类分级的数据合规治理体系,不仅是《网络安全法》、《数据安全法(草案)》、《个人信息保护法(草案)》、《网络数据处理安全规范(征求意见稿)》、《征求意见稿》等一再重申的内容,也是近期等保关保合规和数据合规监管执法的重点领域。
《安全指南》也重点强调了健康医疗数据的分类分级合规要求:
(1)关于分类:《安全指南》参考应用场景及数据特征等因素,将健康医疗数据分为如下类别:
(2)关于分级:《安全指南》参考重要程度、风险程度、开放形式等因素,将健康医疗数据分为如下5个等级:
值得注意的是,尽管《安全指南》的效力仅为推荐性标准,但健康医疗机构开展数据分类分级工作,不仅是满足遵从性的强制要求,也具有极强的现实意义。具体的,数据分类分级有利于健康医疗机构统筹了解、掌握数据资产状况,全面提升有效性、可用性以及数据质量;识别数据风险点,全面掌握风险暴露面;采取分层的开放形式(详见《安全指南》第8.3条)、安全措施(详见《安全指南》第8.1条)及管理要求,便于相关措施/制度的落地执行,优化合规成本。
三、健康医疗数据生命周期合规实践
相较于《征求意见稿》、《个人信息安全规范》、《人口健康信息管理办法(试行)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》及《个人信息出境安全评估办法(征求意见稿)》等规定,《安全指南》在健康医疗数据生命周期合规方面主要是倡导性规定,不宜作为健康医疗机构数据合规治理及监管机构执法的参考依据。相关主要内容包括:
四、健康医疗信息系统合规
健康医疗机构应当参考《安全指南》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《医疗技术临床应用管理办法》、《互联网诊疗管理办法(试行)》、《国家卫生健康委办公厅关于做好信息化支撑常态化疫情防控工作的通知》、《医疗器械软件注册技术审查指导原则》 、《医疗器械网络安全注册技术审查指导原则》 、《移动医疗器械注册技术审查指导原则》、《网络安全等级保护基本要求》、《网络安全法》、《密码法》、《档案法》、《出口管制法》等要求,确保健康医疗信息系统符合包括但不限于如下合规要求:
(1)依法开展网络安全等级保护定级、备案及测评;
(2)依法开展关键信息基础设施合规建设;
(3)依法开展公安联网备案、ICP备案等;
(4)依法开展医疗器械注册登记等;
(5)依法开展伦理审查、技术安全评估等;
(6)依法使用符合《密码法》要求的密码技术或应用;
(7)依法开展网络安全审查及数据安全审查;
(8)符合技术进出口管制相关规定;等等。
五、健康医疗数据管理合规
健康医疗机构应当参考《安全指南》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《个人信息安全规范》、《网络安全法》、《数据安全法(草案)》、《个人信息保护法(草案)》等规定,依法落实健康医疗数据包括但不限于下列管理合规要求:
(1)制定医疗健康数据安全管理制度、政策及指引;
(2)设立医疗健康数据安全管理机构及岗位,例如数据安全委员会、办公室、DPO等,并依法开展相关人员的背调、入职培训、离职审计等;
(3)建立健全医疗健康数据访问、使用、对外提供等的权限机制、内控体系等,保留相关记录;
(4)加强业务伙伴、供应商(例如HIS供应商、大数据分析供应商、AI技术供应商等)资质审查及管理,签署合规的数据处理/使用协议;
(5)建立并落实数据安全影响评估机制;
(6)定期开展数据安全及法律培训;
(7)定期开展数据合规专项审计;
(8)建立、定期演练并依法执行数据安全应急处置方案;等等。
六、健康医疗行业执法案例汇编(部分)
作者介绍
黄春林
汇业律师事务所高级合伙人
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
往期文章推荐: