【医学合规指南】实务问答：医疗设备（如影像设备）等所涉及的数据合规12问

本期干货，我们邀请到了北京金诚同达律师事务所高级合伙人赵晔律师，专门针对相关医疗企业提出的实际操作中遇到的问题作出解答，希望能为企业数据合规建设提供参考。

Q1：通过线上点击的方式如何证明获取了本人同意？是否系统日志中留存了某个用户在某年某日几点几分点击，这样记录就可以了？这种证明的力度是否足够？

A:

这里面涉及到的是关于电子信息的源数据问题，我们讲在设备当中很多时候会做行为的记录，还有相应的一些功能，以及操作对应的这个数据本身的日志记录。因为法律规定是必须要进行存证的，存证有两种方式，一个是电子签名，比如常见的银行处理也都是非常电子化，在银行相应的屏幕平板上留言签名，是会现场及时的录下来，这个签名以及对应的签名之前告知的所有内容都会形成文本作为电子存档记录，相当于是一部分的数据。另外一部分是对应的，比如说签名的时间、签名的方式，以及是哪个设备产生的和软硬件相关的数据本身，可以是一些电子记录，也是会在系统日志当中进行留存的。这两个部分结合起来，如果需要面对相应的法庭作证，或者需要拿出来作为依据来证明已经做过了告知同意的话，是可以通过这样的方式给到法律认可的依据，相应的格式形式，比如说电子证据的相应法条规定都是有的，这是完全可以做到的，也是法律认可的。

Q2：公立医疗机构和设备厂家在产品研发过程中，是否可以将患者信息脱敏后提供给设备厂家？流程上有何建议？

A:

首先如果是脱敏要看相应的是做了去标识化还是匿名化，如果是数据就去标识化，实际上它是可以恢复的，匿名化相当于就没有办法去恢复对应到个人的信息，这是简单的从技术上的区别，。如果是匿名化的数据本身不属于个人信息，就是可以比如说作为体检中心的数据资产，可以给到设备厂商，比如说用于训练AI的，这也是我们倡导的一种比较有效的，或者比较安全、风险比较低的一种合作模式。但是这里面又涉及到，比如说设备厂商是基于什么样的需求，比如说设备厂商是基于维护的需求，或者基于其他的委托处理方式的需求，可能有的时候是不一定需要匿名数据，源数据也是可以给到的。

Q3：请问当设备生产商与医院合作时，处理数据是否承担连带责任？

A:

在体检中心和设备商之间可能是会有不同的数据处理关系，至于是否要承担连带责任，这也是会基于不同的情况底下，才有可能会涉及或者不涉及，具体可参考根据上文讲到的三个模式。

Q4：请问生产商是否可以购买医院的相关数据？换句话说，医院是否有法律基础销售医疗数据？

A:

其实就是看这个数据是否属于个人信息，通过什么样的方式来买，这是一个比较复杂需要具体情况展开的问题。我个人对于目前的判断来讲，未来数据交易更多的可能会是类似于证券交易要求入场，我认为这是大趋势，需要在监管环境下，让平台做到更合法合规，就是加大交易过程审查和监管的过程。现在知道最简单的，比如说在医院里买卖统方数据本身是触犯刑法的，这样的刑事案件案例是很多的，就是买卖统方，统方还不涉及到个人信息，但都已经入刑了。另外，在这几年关于买卖个人信息这一块的案件也是增长非常高的，每年经侦去查跟个人信息买卖或者侵害个人信息相关的案件刑事入罪率是非常高的。所以这一块来讲，不要随便买卖，或者是通过非官方很随意的方式去获取到包含着大量个人信息的数据。尽可能的第一个通过委托处理的方式或者是共享的方式，通过知情同意合法的渠道来获取数据，第二个可以去采用匿名化的方式去获取数据。

Q5：数据匿名化是否有什么标准？

A:

数据匿名化和数据去标识化最简单的标准，我们看这个数据本身被处理过之后，是否还能与其他的数据结合去指向某个具体的个人，这个就说明它并没有进行真正的匿名化。简单举个例子，比如说一个班有男生有女生，有身高、体重、姓名、身份证号码和手机号，如果就这一个数据群里面，把他的姓名掩盖掉，把身份证号码掩盖掉，但是身高、体重没有去掉，保留相应的性别、身高、体重这样的数据，如果我有其他的比如说单个数据身高、血型、还有疾病等等，从单个的数据库当中来看的话，没有办法去对应的，因为已经把身份证号码、手机号、姓名去掉了，没有办法对应到相应的某一个个人，但是结合着另外一个数据集，比如说同时有身高、血型以及相应疾病的时候，我就可以去恢复或者通过另外的数据集可以倒推出来对应的姓名叫什么，这样的方式就不能叫做匿名化。匿名化更多的时候是一个类数据，或者说是一个处理过的统计数据，一个班级里面总共有比如说是个子高的人，血压相应的更高，这样的数据处理结果可以认为它是匿名化的。

Q6：请问如何区分是共享还是共同处理？

A:

实际上是看双方之间的约定，简单来说，共同处理实际上是两个信息处理主体各自面对用户，相互之间任何的决策是不影响任何一方要承担的权利义务。如果是共享的话，最简单举个例子，比如说淘宝获取了一个人交易的数据和交易的信息、行为轨迹，它可以在隐私政策当中去披露，比如说要共享给阿里巴巴，或者说要给共享给其他关联方，但是关联方本身和淘宝网是两个独立的法律主体，从法律上来讲它们是独立的，或者比如说淘宝要共享给腾讯，通过淘宝接入的入口去获取相应的信息，把它获取的信息转让或者转移给其他的第三方主体，这个叫做共享，是需要单独同意的。如果是共同处理的话，比如共同举办一个活动，既有设备厂商，又有体检中心，大家是非常明确的，在这个场景下各自处理的目的和方式可以有不同，不是单纯的一方把它获取的信息给到另一方，而是它们可能是同时去获取信息，同时去存储，并且要对存储和信息安全去承担责任，以及后续如果有一些自动化决策，这个也是要承担连带责任同时的。但是对于共享处理当中，它的受让方或者说接收信息的第三方须取得单独同意，对自己的处理行为负责，双方独立承担责任，这里面是有权利义务和责任范围方面的区别。

Q7：如果医疗器械自己采集的数据，比如血压，自动传输给设备厂商，是不是就算共同处理？

A:

设备厂商现在有很多时候直接通过云端传回到了自己的云，就是设备厂商这边去控制。反过来看，在采集数据或者设备厂商通过云端获取数据本身是否合法的问题，有可能未经过个人告知同意，比如体检中心或者医院不清楚情况下，这个数据就自动回到了设备厂商的控制，很有可能是处于违规或者说处于违法的状态，本身不能叫做共同处理。共同处理一定还是需要去明确的取得告知和同意，才能叫做而共同处理，这是一个合法性前提。当然这个情况现实当中是比较普遍的，只能说暂时国家在这个方面还没有完全的展开规制，但是后边这一块的管理，尤其是在后续医疗器械的拿证以及一些网安方面的检查上会越来越紧，这是一个趋势。

Q8：在第三种委托处理模式下，设备厂商和机构利用图片或者数据进行AI训练产生的知识产权、智力成果归属的约定，有什么样的建议？

A:

委托处理从专利的角度来讲，比如说我们讲专利有一种合作模式叫委托开发。专利法明确规定，委托开发是双方约定来归属知识产权的权属问题，如果没有约定，明确是归属于开发人的，但是委托方本身是可以免费使用，这个法条是明确规定的。从这个角度来讲，尤其是像现在很多创新的厂家考虑知识产权问题，一方面为了可以更好的去解决分配和获利的问题，另外一方面也是面临未来IPO上市的时候，需要对知识产权有一个明确的约定，以防核心的资产权属不明的风险的发生。所以这一块建议，第一个有约定的尽可能的约定明确。第二个，委托处理实际上委托方是对外要承担全部责任的，所以从设备厂商来说，可能本身承担的责任或者不直接面对最终用户，相应的风险是比较小的。但是对于医院或者体检中心或者疾控中心，就是去取得数据的这一方来讲，其实风险和负担是比较重的，因为一旦超过了委托的范围，或者说把委托的范围放得非常大、非常不明确的情况下，对于委托方来讲，有可能给他造成比较大的风险。这个就是在商业谈判的过程当中，或者在实际操作过程当中，有可能也会涉及到商业合作模式和商业合作谈判的问题。

Q9：请问是否属于匿名化后的数据，是从接收者一方来判断还是需要结合给予者来判断，比如设备商拿到的数据无法用来识别个人，但给予的医疗机构仍然保有可以识别到个人的数据，这样的数据属于匿名化吗？

A:

我们讲的匿名化的数据是不可逆的，一旦处理过之后是不能恢复可识别的，这样叫做匿名化。如果是脱敏处理之后，对于源数据处理者来说，是可以恢复原有数据的话，我们通常把它叫做去标识化，这不是一种真正的匿名化，所以还是有比较大区别的。

Q10：AI训练的结果肯定需要和标准去做对照的，临床医生的诊断或者是判断会作为其中一个标准，那从医疗机构中获得的图片、影像结合医生的诊断结论，会有可能会被认定为病历吗？该如何做脱敏处理？

A:

从我的角度来讲，因为现在医疗影像去做AI智能的诊断和识别病灶是比较常见的一种AI训练模式和市场需求。通常一般来说，都是通过一种合法、合规的方式获取相应的检查影像图片，然后由医生进行标注，或者是由医生给到一些已经标注的影像图片去标明，比如说一些明显的病情可能会体现出来的影像结果给到机器做深度学习。从我个人的理解，对于AI来说，主要是因为这个影像的结果来做的判断，对于这个病人是张三还是李四，这个并不是那么重要的，重要的是它是不是构成某一种疾病，或者比如说是否具有某种疾病所产生的指征、生理特征，或者符合相应的诊疗规范体现出来的一些生物特征。从这个角度来说，图片不论是医生提供的还是通过其他方式来取得，或者是给到医生去标注的，最好这些图片是去除掉本身病人一些个人信息的，可以更集中在图片本身是否能够看到或者能够明确去判断疾病的点上。当然这里可能会有一些复杂情况，比如像糖网，这个病人的糖尿病情况多少期，可能有一些个人指标，但是这些生理指标本身，比如性别或者年龄，这些指标本身不能直接或者对应到病人是张三还是李四，我认为基本上是可以去使用的，刑法上对于是否属于侵犯公民个人信息，主要判断还是在于这个数据是否能识别到个人以及具体数量，比如说两个人三个人的情况，更多是以这种方式来做实践判断的。

Q11：如果医疗数据及医疗机构去标识化后交给设备生产商，由于医院保留了可以用于再次识别到个人的数据，即使生产商无法依据被给予的数据识别到个人，该数据仍然被视为未匿名化数据即仍然是个人信息，生产商需要按照个人信息予以保护吗？

A:

如果是可以识别到个人信息，肯定还是要按照个人信息予以保护的，我认为还是必须要有的。因为数据安全这个事情也是比较重要的，在个保法当中，其实对于数据安全这一块也是有比较明确的约定，无论是属于哪一种处理模式的处理者，只要发生了个人信息的损害，因为法律规定的是严格责任，就是个人信息处理者首先要去证明自己没有过错才会免除承担损害赔偿的侵权责任。简单来说，只要有损害发生，就有可能去面临承担损害赔偿结果的可能性，除非能证明自己是没有过错的。所以我们必须要清楚的了解到，在个保法的规定下，国家对于个人信息安全这一块的责任，尤其是对于信息处理者的责任要求是非常严的，所以做好信息安全保护的前提是必须要有的。

Q12：体检中心将这个数据匿名化之后，是否可以给到相应的医疗设备机构？

A:

数据匿名化之后，就已经不属于个人信息了，这也是在个保法当中明确规定的，所以就可以视为是企业的资产，是可以去交易的。当然这个前提也是要看，有的时候像国资疾控中心这样的机构，可能相对更保守一点。如果是民营企业或者市场化的体检中心，如果把相应的数据做到更合规，我觉得交易本身目前来看，还没有出现必须要入场交易的规定，所以目前交易还是有保障的或者说是合法的，是法律允许的。

【免责声明】以上信息仅供分享交流，不构成任何形式的法律意见或建议，也不代表律师所在律所的任何意见。

律师简介

赵 晔

■ 北京金诚同达律师事务所

■ 高级合伙人