政策趋严成本抬升,医疗数据跨境合规路在何方?
跨境会诊、跨境医学研究、国际临床试验、医疗器械出海……跨境医疗近年来发展迅速,这其中存在大量敏感个人信息的医疗数据跨境对于相关机构和企业而言,意味着更高的合规要求。我国目前医疗数据的跨境流动机制尚未明确,亟需在《数据安全法》《个人信息保护法》的框架下,结合医药行业的特性设计有针对性的行业规则,既做好个人权益及数据安全的保护,又兼顾药品、医疗器械创新研发的效率。此外,需要通过隐私计算等技术方案的创新应用,确保医疗数据跨境满足“形式合规”与“实质合规”,提高数据流转效率,助力我国与境外医药企业、高校和医院开展更加深度的合作。
2020年以来,全球新冠肺炎疫情一定程度上阻断了跨境寻医之路,持续刺激着跨境远程医疗的需求。
互联网络将患者与身处异国的医生连接起来,可以通过视频或电话交流,得出诊疗结论。在此过程中,往往涉及到医生对于患者医疗影像等信息和数据的跨境调取。
事实上,随着全球医学交流日益频繁,医疗数据所面临的跨境需求也愈加迫切。
“一是患者出境就诊或跨境会诊;二是跨境医学研究,通过国内外高水平的多个医学中心合作研究和跨境数据对比分析,研究某种新技术或者新疗法的疗效,推动医学的进步并造福于患者;三是国产医疗药品、医疗器械企业到国外上市售卖,通过国内外数据比对以获得国外地区和国家认证和上市售卖(如美国FDA,欧洲CE)的先决条件。”首都医科大学附属北京友谊医院普外中心胃肠外科主任姚宏伟教授表示。
国家计算机网络应急技术处理协调中心发布的《2020年中国互联网网络安全报告》显示,2020年,共发现境内医学影像数据通过网络出境497万余次,其中,我国未脱敏医学影像数据出境近40万次,占出境总次数的7.9%,而医学影像文件在未脱敏的情况下包含大量患者个人信息。
除患者个人信息、健康状况数据外,医疗数据还囊括了医疗应用数据及人类遗传资源等,这些数据的大量向外流失可能对我国医疗卫生安全带来隐患。
数据跨境流动一直以来是数据合规的难点和风险所在。《网络安全法》《数据安全法》《个人信息保护法》等法律法规对数据的跨境传输提出了一系列合规要求。在这些数据中,医疗健康领域的个人信息因其特殊性而更受关注。
北京世辉律师事务所合伙人卢璟介绍,《个人信息保护法》将“医疗健康”信息视为敏感信息,医疗行业中的大量患者相关信息均会因其“医疗健康”属性落入敏感个人信息的范畴。例如:诊疗过程中的病历信息、不良反应报告信息、临床试验数据等。
以国际临床试验为例。在国际临床试验合作中,会涉及构成敏感个人信息的医疗数据,数据处理者在收集处理敏感个人信息时,应当遵循《个人信息保护法》中关于处理敏感个人信息的合规要求,并按规定事前进行个人信息保护影响评估。同时,涉及跨境提供的,境内数据提供者还需要确保符合《个人信息保护法》中针对个人信息跨境提供的规则。
除了上述监管要求,如果国际合作临床试验所涉数据被认定为“健康医疗大数据”、“人口健康信息”或是涉及到基因、基因组等遗传物质或遗传材料,则需按照《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《人口健康信息管理办法(试行)》、《中华人民共和国人类遗传资源管理条例》、《人类遗传资源管理条例实施细则(征求意见稿)》等法规的具体要求进行合规处理。
对于医疗健康企业而言,实现医疗数据跨境合规有何难点?
从医药企业的角度来看,医药企业需要付出额外的时间成本履行合规义务,药品、医疗器械的研发时间也会相应增加。而部分合规要求(例如:在向境外提供个人信息前,要向自然人告知每一境外接收方的名称和联系方式),在临床试验国际合作的场景下可能难以落地执行。
锘崴科技创始人、董事长王爽教授认为,目前医疗数据跨境的难点主要在于,满足跨境合规性前提下同时满足不同业务场景的需求。在合规性方面,我国针对医疗数据跨境的监管要求分散在不同部门和多个法律法规中,并没有明确统一的规定,同一数据处理主体的医疗数据跨境可能涉及到多种法规的监管,为医疗数据的跨境应用增加难度。此外,对于医疗数据跨境,国家很多法律法规都提到需要进行安全评估,但是具体针对医疗场景的跨境数据安全评估的量化标准有待明确。
在数据使用场景和业务方面,国家标准GB/T 39725-2020《信息安全技术健康医疗数据安全指南》所列举的8个医疗数据应用典型场景,均涉及到跨境数据交互的情况。上述不同跨境场景下,涉及到的需要交互的数据种类、数量及其数据主体和数据使用方式、使用范围、使用时长、使用主体、使用目的等都各不相同。因此,如何确保在满足数据跨境合规性的前提下,满足不同数据使用场景和业务对于数据的需求,面临着挑战。
目前,国际上对于个人健康医疗数据跨境流动的专门标准并不多,国际标准化组织(ISO)2004年颁布的《健康信息学 推动个人健康信息跨国流动的数据保护指南》提及,除保护数据主体切身利益所必要的传输之外,个人健康数据不应传输,除非得到数据主体明确的同意。
对中国而言,一方面,可通过完善医疗数据合规跨境的制度体系本身推动面向国际的数据流动;另一方面,还可多番探索数据跨境试点。此外,我国可参考欧盟及其他国家经验,设立符合我国国情需要的多样化合法流动机制,以及指引性的数据跨境流动协议范本。
王爽教授建议,在进行医疗数据跨境过程中,需要确保数据使用全流程实现“形式合规”与“实质合规”。在“形式合规”方面,医疗数据安全合规体系的建立必须围绕医疗数据全周期的运行开展。相关企业和机构应首先确保根据本国法律法规要求,进行数据分类分级。然后,在数据出境时寻找各国要求的共同点,以符合规定。
同时需要建立医疗数据跨境的合规保障机制,包括但不限于重要数据处理活动风险自评机制、网络安全等级保护机制、关键信息基础设施(CII)安全保护机制、非CII运营者网络安全审查应对机制。
此外,建设完备的医疗数据跨境人员保障制度同样必不可少,应形成由决策层、管理层、执行层、监督层及协同层构成的组织结构,同时加强人员培训,通过配置检查和旁站式验证确保相关制度落实。在“实质合规”方面,相关方必须通过采取必要的技术措施,如隐私计算技术,确保“形式合规”的充分落实和执行,以实现跨境医疗数据在“可用不可见”模式下,实现可管、可控、可计量的共享。隐私计算能够在不泄露数据隐私的前提下,对数据进行分析、加工处理及验证,可覆盖数据生产、存储、传输、计算、应用等全流程的隐私保护,是应对不同场景下医疗数据跨境过程中数据隐私保护的核心支撑技术。
同时,通过结合区块链技术,实现数据使用全流程可溯源、可追踪,确保医疗数据跨境过程中的有效保护和合法利用,并使其处于持续安全的状态,避免数据出境及再转移后被泄露、毁损、篡改、滥用等风险。