近年来,国家药品监督管理局(“国家药监局”)、国家卫生和健康委员会(“国家卫健委”)、国家医疗保障局(“国家医保局”)、国家市场监督管理总局(“国家市监局”)、国家发展和改革委员会(“国家发改委”)、中共中央网络安全和信息化委员会(“工信部”)等监管部门不断出台新政,进行单独及联合执法,从医疗/医药/医保、数据合规及网络安全、互联网反不正当竞争与反垄断等领域对大健康行业内的企业机构及其相关负责人进行全面规范,对大健康行业企业机构医疗数据合规管理提出了更加细致的要求。
本文将基于笔者以往在大健康领域医疗数据合规的相关法律服务经验,首先,对大健康行业企业机构的医疗数据来源及应用场景的现状进行简单概述;其次,对大健康行业医疗数据合规要求以及对应的难点与痛点进行相应分析;最后,提出大健康行业企业机构对应的医疗数据合规建议。
一、大健康行业企业机构医疗数据来源及应用场景现状概述
(一)大健康行业企业机构的类型及对应医疗数据来源
大健康行业内的企业机构类型较多,不同类型的企业机构及医疗数据来源有所不同,以线上和线下为界限作一个简单区分,包括但不限于:
1.线下机构企业及对应数据来源
线下机构企业的医疗数据来源一般是对应主体产生对应数据,除非:(1)各企业机构之间存在相应合作,如药械研发企业和临床试验机构就某项药品或医疗器械进行相应合作;(2)政府强制性相关医疗数据上报要求,如医疗事故、医疗器械相关不良事件、药品相关不良事件或反应等报告,否则企业机构之间较少互相传输或分享相应数据。
2.线上机构企业及对应数据来源
如上可知,线下企业机构之间数据产生和传输的环节存在一定物理隔断。线上企业机构和线下企业机构之间的差异是,由于互联网天然的交互性、虚拟性、跨地域性、隐匿性等特征【1】,医疗数据在线上各个企业机构之间能够实现快速的传输和分享;对应地,医疗数据合规工作亦需关注业务模式环节所涉的互联网特征和信息技术的应用情况。
(二)大健康行业企业机构医疗数据应用场景
经对大健康行业企业机构的实践观察,医疗数据从收集层、技术层以及使用层等不同层面,其应用场景内容及对应的代表性企业有所不同:
此外,从医疗数据不同的使用主体、目的角度,应用场景也有所不同:
从前述图示可以了解到,医疗数据在大健康行业企业机构主体中的应用场景并不单一或固定,存在交错和多个场景同时应用,该等现状也导致了在进行大健康行业企业机构数据合规时,需要多维度思考可能存在的数据使用的场景,以备在相应使用情形之前都获得了信息主体的授权和同意,以及对医疗数据采取了必要的技术保护措施。
二、大健康行业企业机构医疗数据合规难点与痛点
笔者在提供法律服务实务中了解到,大健康行业企业机构数据合规存在如下难点和痛点:
第一,外部环境变化,合规要求交错。在2016年国家发布《网络安全法》之后,国家陆续出台《民法典》《个人信息保护法》《数据安全法》以及相应部门规章、国家标准和行业规范,法律体系庞杂,且明确了自然人作为信息主体的各项权利和企业机构医疗数据合规要求,均需要全面吸收和了解。此外,国家科技部、网信部、工信办等部门不断加大数据合规执法力度,医疗数据合规面临更大挑战。
第二,重视力度不够、管控力度不足,且岗位权责不清、落实难度大。有效的合规离不开对合规风险的识别与评估分析,并需进一步采取相应的管控措施。如大健康行业企业机构的业务人员对数据合规重视程度不够,则可能导致其无法向数据合规部门准确传递业务的数据状况,数据合规部门也难以做出准确的、合规的分析以及采取有效的合规管控措施。特别是出现医疗数据合规问题后,企业机构各岗位权责不清、义务履行不全面,不排除数据合规问题追责存在僵局状态。
第三,业务场景繁多且变化较快,需要数据合规长效机制持续更新并完善数据合规管理措施。市场需求瞬息万变,部分大健康行业企业机构的业务(服务)顺应市场变化而快速迭代更新,包括但不限于新技术或新设备的运用、新主体的参与等业务(服务)模式的变更等,这些均会导致大健康行业企业需及时检视其现有数据合规管理措施是否需要更新。同样的,外部法律法规和执法着力点的变化,同样会导致相应的更新需求,需要不断完善其数据合规管理措施。
第四,合作第三方医疗数据的授权问题。随着互联信息技术迭代更新及其与医疗领域的融合发展,线上线下机构业务合作场景越发增多。以医疗机构为例,其日常运营的HIS系统或互联网诊疗平台一般和第三方合作运营或由第三方提供,如授权获取不足、管控不到位或系统/平台的信息技术保障不够,不排除存在未获得授权同意获取患者数据或信息数据泄露等情况,进而不排除面临本文下述第三部分第4点的对应法律责任。
三、大健康行业企业机构医疗数据合规要点分析
(一)大健康行业企业机构医疗数据规制法律文件概述
由于目前国内还未出台一部统一性的法律,来对各类医疗数据进行准确划分和明确定义,关于医疗数据的分类和定义散见在《数据安全法》《网络安全法》《国家健康医疗大数据标准、安全和服务管理办法(试行)》《医疗机构病历管理规定(2013年版)》《人类遗传资源管理条例》《信息安全技术 个人信息安全规范(2020年版)》《生物安全法》等法律法规文件中,主要包括医疗健康大数据、病历资料、健康医疗数据、人类遗传资源、人口健康信息、临床试验数据等;因此,需要大健康行业企业机构根据业务情况具体分析相关医疗数据是否属于前述数据的范围。前述文件对不同类型的医疗数据的监管要求和尺度有所不同,但从法律合规角度,其规制的基本原则为就高不就低(以下为重要法律文件的部分列举)。
文件性质 |
文件名称 |
发文机关 |
生效日期 |
法律 |
《民法典》 |
全国人大常委会 |
2021. 01.01 |
《刑法》 |
2021. 03.01 |
||
《网络安全法》 |
2017. 06.01 |
||
《生物安全法》 |
2021. 04.15 |
||
《基本医疗卫生和健康促进法》 |
2020. 06.01 |
||
《数据安全法》 |
2021. 09.01 |
||
《个人信息保护 法》 |
2021. 11.01 |
||
行政 法规 |
《人类遗传资源管理条例》 |
国务院 |
2019. 07.01 |
《关键信息基础设施安全保护条例》 |
2021. 09.01 |
||
部门规章(含规范性文件) |
《关于促进“互联网+医疗健康”发展的意见》 |
国务院办公厅 |
2018. 04.25 |
《关于促进和规范健康医疗大数据应用发展的指导意见》 |
2016. 06.21 |
||
《信息安全技术 网络安全等级保护基本要求》 |
国家市监局, 国家标准化管理委员会 |
2019. 12.01 |
|
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》 |
公安部 |
2020. 09.22 |
|
《网络安全审查办法》 |
国家网信办,发改委, 工信部 |
2002. 06.01 |
|
《医疗机构病历管理规定(2013年版)》 |
原国家卫计委 , 国家中药局 |
2014. 01.01 |
|
《信息安全技术 个人信息安全规范》 |
全国信息安全标准化技术委员会 |
2018. 12.26 |
|
《国家健康医疗大数据标准、安全和服务管理办法(试行)》 |
国家卫健委 |
2018. 07.12 |
|
《儿童个人信息网络保护规定》 |
国家网信办 |
2019. 10.01 |
|
《人口健康信息管理办法(试行)》 |
原国家卫计委 |
2014. 05.05 |
|
《电子病历应用管理规范(试行)》 |
原国家卫计委;国家中药局 |
2017. 04.01 |
|
《卫生行业信息安全等级保护工作的指导意见》 |
原卫生部 |
2011. 11.19 |
|
《个人信息和重要数据出境安全评估办法(征求意见稿)》 |
国家网信办 |
2017. 04.11 |
|
《远程医疗信息系统建设技术指南》 |
原国家卫计委 |
2014. 12.10 |
|
《电子病历系统功能规范(试行)》 |
原卫生部 |
2011. 01.01 |
|
《药物临床试验质量管理规范》 |
国家药监局; 国家卫健委 |
2020. 07.01 |
|
《医疗器械临床试验质量管理规范》 |
原国家食药监局;原国家卫计委 |
2016. 06.01 |
|
《医疗器械网络安全注册技术审查指导原则》 |
原国家食药监局 |
2018. 01.01 |
|
征求意见稿 |
《个人信息出境安全评估办法(征求意见稿)》 |
国家网信办 |
2019. 06.13 |
《个人信息和重要数据出境安全评估办法(征求意见稿)》 |
国家网信办 |
2017. 04.11 |
(二)大健康行业企业机构医疗数据分类
如上所述,目前我国对于医疗数据没有统一的立法,不同法律文件对于医疗数据也有比较类似的法律名称和定义,由此,对医疗数据合规增加了一定的难度。
值得注意的是,2021年7月1日实施的《信息安全技术 医疗健康数据安全指南》(GB/T 39725-2020)(“《医疗健康数据指南》”)对医疗健康数据进行6类分类,包括:个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据。但《医疗健康数据指南》为国家推荐性标准,不具有强制力,仅作为大健康行业企业机构的参考性文件,由此,实践中企业机构还是以上述现行法律文件作为数据类型的判断依据。
(三)大健康行业企业机构医疗数据合规要点
1.医疗数据合规环节及要点概述
医疗数据的全生命周期中包括收集、传输、使用、存储四大环节,且在实践中,大健康行业企业机构都存在于前述四个环节委托第三方主体数据处理活动的可能性。
值得注意的是,2020年10月1日施行的《信息安全技术 个人信息安全规范》(GB/T 35273 -2020)对于个人信息的收集、存储、使用以及委托处理、共享、转让、公开披露等环节的要求进行了明确,此外,《健康医疗数据指南》也对健康医疗数据从使用披露、安全措施、安全管理、安全技术等角度进行了要点梳理和/或系统指导,可供企业机构在实践中进一步参照执行。
2.医疗数据跨境传输合规关注点
实践中存在较多中外合作医疗项目及跨国经营的大健康行业企业机构,由此不免会产生有关医疗数据跨境传输的合规问题。从国家科技部于2018年公布的执法案例来看,较多大健康行业企业机构因违法进行医疗数据跨境传输而被予以行政处罚,包括华大基因、药明康德、复旦大学附属华山医院、昆皓睿诚、厦门艾德生物、阿斯利康等6家单位也位列其中。值得注意的是,某细胞治疗领先企业于2020年9月21日发布公告称,该企业董事长、非执行董事兼控股股东之一目前正处于“监视居住”状态,集团4名其他员工被拘留讯问,经相关专业人士透露很可能违反了国家关于人类遗传资源出境的相关规定【26】。由此可见医疗数据跨境传输合规的重要性。
简而言之,从法律角度,医疗数据跨境传输需要符合《网络安全法》《数据安全法》《个人信息保护法》以及相关法律法规的要求,此外,还要满足大健康行业相关法律法规的特殊监管规定。
2.1.出境医疗数据类型和情形判定
类型和情形 |
关键信息基础设施的运营者 |
其他数据处理者 |
重要数据 |
《网络安全法》:
《数据安全法》:
|
《数据安全法》:
|
个人信息 |
《网络安全法》:
《个人信息保护法》:
|
《个人信息保护法》:
|
特殊情形 |
《个人信息保护法》: 中国主管机关根据有关法律和中国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中国境内的个人信息(第41条) 《数据安全法》: 中国主管机关根据有关法律和中国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据(第36条) |
2.2. 医疗数据出境评估相关要求
评估要点 |
具体内容 |
主体 |
大健康行业企业机构应确定自身主体性质是否为“关键信息基础设施的运营者”,以及医疗数据是否明确涉及个人信息。 在目前正式法律法规中,《关键信息基础设施安全保护条例》针对关键信息基础设施认定作出了规定,其要点包括:
如医疗数据涉及个人信息的,还需考虑《网络安全法》《个人信息保护法》有关个人信息的规定: 《网络安全法》:涉及个人信息的,需要遵守 《个人信息保护法》:处理个人信息达到国家网信部门规定数量的个人信息处理者 |
评估要求 |
截至目前,尚无生效的数据出境评估实施细则、相关的规范性文件或国家标准。2017年《网络安全法》施行后,国家网信办曾发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,但《数据安全法》和《个人信息保护法》发布以来,尚无更新后的出境安全评估有关规定(征求意见稿等),笔者会持续关注,经汇总现行正式法律文件中的主要安全评估要求如下: 《网络安全法》:
《个人信息保护法》:
《数据安全法》:
注:《数据安全法》虽未具体提及其他数据处理者相关的评估要求,但从现行的法律框架体系不难看出,评估要求将会是国家网信部门会同国务院有关部门制定的出境安全管理办法中的重要规定之一。 |
评估对象 |
《网络安全法》: 关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据 《数据安全法》: 列入重要数据目录的数据 《个人信息保护法》: 在中国境内收集和产生的个人信息(以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息) 《国家健康医疗大数据标准、安全和服务管理办法(试行)》: 因业务需要确需向境外提供的健康医疗大数据 注:值得一提的,健康医疗大数据评估并无明文规定材料的内容和具体要求,但作为责任单位的医疗机构可和主管机关进行沟通,并参考前述个人信息评估开展相关准备工作。 |
(四)大健康行业企业机构医疗数据违规的法律责任
医疗数据大多载有个人属性的相关信息,在前述的任一收集(或采集)、存储(或保藏)、使用(或利用)、传输(对外提供)以及委托处理等环节,大健康行业企业机构如存在非法向他人出售或提供、抑或窃取或以其他方法非法获取、以及违法泄漏医疗数据等情形,则可能面临承担刑事、行政以及民事等法律责任。
此外,医疗数据还受制于大健康行业主管机构的监管,除前述法律责任外,《人类遗传资源管理条例》等其他法律文件也设定了对应的行政责任,如,外方单位违反规定在我国境内采集、保藏我国人类遗传资源,利用我国人类遗传资源开展科学研究,或向境外提供我国人类遗传资源,将可能面临科技行政部门“责令停止违法行为,没收违法采集、保藏的人类遗传资源和违法所得,处100-1000万元罚款,违法所得在100万元以上的,处违法所得5-10倍罚款”等更为严苛的行政处罚。
四、大健康行业企业机构医疗数据合规建议
大健康行业医疗数据合规如履薄冰,笔者结合法律服务实践经验,针对该行业内企业机构医疗数据合规建议包括以下几点,以抛砖引玉:
(一)识别医疗数据的性质和归类
对于不同的大健康行业企业机构而言,其所遵循的合规义务可能因其主体身份和业务而异,例如药品研发企业主要涉及临床试验数据和人类遗传资源合规,而线上线下医疗机构主要涉及病历资料和健康医疗大数据合规。此外,不同环节需要遵循不同的合规要求,而识别医疗数据的性质实现数据合规尤为重要。由此,建议大健康行业企业机构以业务(服务)现状为基础,通过全面、体系化地梳理实现业务(服务)模式所涉数据的全生命周期现状,形成医疗数据清单,按照法律法规,对清单上医疗数据的性质进行分析并加以分类,进而可以在后续形成医疗数据清单与合规要点的勾稽关系,最终实现有针对性地采取相应措施。
(二)确定医疗数据的合规责任主体
大健康行业企业机构既要识别对外的责任主体,还要识别对内责任主体,对照法律法规的要求,确定内外部主体的合规义务。对外部而言,首先明确企业机构本身在法律中的定位和责任,如,在医疗数据跨境传输环节,企业机构是否构成关键信息基础设施的运营者或健康医疗大数据的责任单位,且要将对应合规要求(嵌入)落实到合同文本以及内部制度规范中,以实现控制、缓释或转移因此可能形成的合规风险问题。对于内部而言,还要明确内部的职责分工与分配,完善相关的内部管控制度规范,责任到岗到人,通过一定的内部控制流程与措施,实现合规的经营管理目标。
(三)明确医疗数据的合规管理要求
以大健康行业企业机构的业务(服务)现状梳理为基础,确定大健康行业企业机构的医疗数据流向和在业务(服务)周期内可能共享和披露的主体,识别出所需遵循的合规要求,形成不同医疗数据的合规要点和对应具体的执行规则。特别在医疗数据采集的始端,就需要依法获得患者(受试者)的授权同意,该等知情同意的形式可以是纸质版授权同意书,也可是通过互联网技术以点击等方式确认的电子版《用户协议》《隐私政策》等,并建议在前述文件中写明企业机构后续业务(服务)过程中涉及披露医疗数据的第三方主体名称。
(四)建立落实医疗数据合规长效机制
笔者理解,合规长效机制主要包括以下要素:
笔者认为,具体可参考以下医疗数据合规提升路径:
1.建立健全医疗数据合规管理体系,完善医疗数据合规相关制度
对标法律法规、规范性文件和国家标准等规定,从治理架构、管理框架、制度流程等方面建立健全医疗数据合规管理体系,完善医疗数据合规相关制度,包括以企业机构性质和业务(服务)为抓手,通过深入梳理业务模式与业务环节,按照医疗数据有关规定,识别合规义务,将建立的医疗数据合规相关制度通过梳理业务模式与流程后进行对应印证和执行。
2.建立健全医疗数据合规组织架构,配置医疗数据合规专业人员
若管理层或职能部门对数据合规重视程度不够,其具体体现可能包括:一是经营管理中未考虑数据合规要求,二是没有在数据合规方面投入充足的人力和资源,三是数据合规管理措施不健全且脱离业务,如数据合规管理要求未能贯穿业务的事前、事中和事后环节,如业务上线前缺少数据合规方面的评审事项,业务运营过程中没有采取一定的管理、监督和检查措施来实现有效落实合规。由此,大健康行内企业机构应在运营之初即应建立管理层领导下的医疗数据合规组织架构,并对应配置医疗数据合规职能部门和专业人员。
3.持续培育医疗数据合规文化
在《民法典》项下,自然人为个人信息的权利主体。在医疗数据场景下,患者(受试者)等自然人为医疗数据的权利主体和最终所有权人。由此,大健康行业内的企业机构应尽力建立以患者(受试者)为中心的医疗数据合规文化,在具体执行层面,坚持就高不就低、恪守底线的医疗数据合规原则,并通过业务人员培训、定期合规测试、抽检和督查等方式来持续培育医疗数据合规文化。
4.落实医疗数据合规管理运行和保障机制
从设施保障角度,建议大健康行业企业机构按照国家法律法规、强制性标准建立医疗数据安全管理机制,如针对云平台、APP对应完善医疗数据信息系统和网络设施。从技术保障角度,采用加密技术保证数据在收集、提取、传输和存储过程中的完整性、保密性、可追溯性,使用介质传输的,应对介质实施管控。对不同介质的数据形式采用不同的保护措施,并建立相对应的访问控制机制,对访问记录进行审核、登记、归档和审计等。此外,从保障机制角度,建议企业机构建立数据泄漏应急处理、及时举报和报告等内部机制,如,在出现医疗数据泄漏、损毁、丢失、篡改等安全事件时,相关人员需及时向相应部门报告,并快速采取补救措施。
五、结语
伴随着互联网+医疗医药融合发展不断深入,企业机构医疗数据来源渠道更为广泛,实践应用场景和业务(服务)类型越发错综复杂,为医疗数据的合规带来了天然障碍。此外,近两年国内数据合规立法趋势不断加快,执法尺度不断加严,且数据合规技术要求不断提高,进一步增加了医疗数据合规的难点和痛点。在此背景下,大健康行业内的企业机构应紧跟国内法律法规和监管机关的要求,及时与专业人士沟通交流,梳理企业机构对应的医疗数据类型并对其全生命周期进行合规管控,此外,还需适时更新内部合规管理制度和完善数据合规保障机制,以真正实现长效运营的发展目标并对应减少医疗数据违规的法律风险。
转载请注明出处。