健康医疗数据安全与隐私保护.pdfVIP

健康医疗数据安全与隐私保护 导语 在⼤数据时代，每个⼈都不可避免地留下“数据 印”，⽽对⼀定批量的医疗数据进⾏⼆次分析利⽤的数据和⽤于临床研究的数据涉及的患者个⼈属性、健康状况 和医疗应⽤的数据较多，⼀旦被泄漏、滥⽤或不正当披露，就会对个⼈信息安全造成侵害，甚⾄可能影响个⼈正常⽣活。所以医疗服务⾏业、医药企业、科研 机构等医疗企业的医疗数据安全的管理就变得尤为重要。 国家标准 《信息安全技术-健康医疗数据安全指南》验证项⽬于2019年1⽉19 ⽇启动，2019年4⽉4 ⽇完成草案并由中国国家标准化管理委员会发布。主要介绍 健康医疗数据分类分级、如何使⽤和披露以及如何安全管理健康医疗数据等。 ⼀：数据隐私管理 主要围绕数据的重要程度进⾏分级、在各⾓⾊中的如何进⾏使⽤和披露等。主要使患者的基本信息得到适当保护的同时，允许提供和促进⾼质量保健所需的健 康信息流动。 1. 根据数据重要程度和风险级别，可划分为以下5级： 2. 根据特定数据在特定的场景，相关组织或个⼈可划分为以下四类⾓⾊： a) 个⼈健康医疗数据主体 （简称 主体）：所标识的个⼈。 b) 健康医疗数据控制者 （简称 控制者）：能决定处理⽬的、⽅式及范围等的组织或个⼈。 c) 健康医疗数据处理者 （简称 处理者）：代表控制者采集、使⽤、处理或披露数据，或为控制者提供涉及数据的使⽤、处理或者披露服务的相关组织或个⼈。 d) 健康医疗数据使⽤者 （简称 使⽤者）：针对特定数据的特定场景，不属于主体，也不属于控制者和处理者，但对健康医疗数据进⾏利⽤的相关组织或个⼈。 3. 基于⾓⾊以及⾓⾊之间的数据流动，数据流通使⽤场景可分为以下6类： 4.如何使⽤和披露 健康医疗数据属于敏感信息，在使⽤和共享等⽅⾯需有严格的隐私安全要求。控制者在使⽤或披露个⼈健康医疗数据中，遵循以下⼏点规则： a). 使⽤主体数据时需要授权。因业务需要，确需超出上述范围使⽤的，应再次征得主体同意。 b). 主体没授权时尽量避免使⽤或披露。除⾮某些特殊原因：如⽤于科学研究、医学/健康教育、公共卫⽣或医疗保健操作⽬的的受限制数据集可判断那些数据允 许被使⽤或披露。 c). 对医疗数据进⾏市场营销活动，需要获得主体授权。但主体有权随时撤销该授权。 d). 主体 （或其授权代表）有权访问个⼈数据，获得副本或修改补充，以及有权对使⽤的数据进⾏历史回溯查询，最短回溯期为六年。 e). 控制者在进⾏去标识化处理后，可以在未经个⼈授权的情况下使⽤或披露治疗笔记进⾏内部培训和学术研讨。 f). 控制者需明确处理者的安全能⼒是否满⾜安全要求，并与其签署数据处理协议，处理者不能⾃⾏决定数据处理的⽬的、⽅式等。 g).控制者会先确认数据使⽤的合法性、正当性和必要性后，并确认数据使⽤者具备相应数据安全能⼒，使⽤者签订数据使⽤协议并承诺保护受限制数据集中的 个⼈医疗数据后，才会将处理后的受限制数据⽤于临床研究等。使⽤者只能在协议约定的范围内使⽤数据并承担数据安全责任，在使⽤数据完成后，会进⾏彻 底销毁。 h). 控制者因为学术研讨需要，需要向境外提供相应数据时，需对数据去标识化后经过审批同意，数量在250条以内的⾮涉密⾮重要数据才会提供，否则会提请 相关部门审批同意。对于经主体授权的同意，对不涉及秘密、重要的数据，控制者可向境外⽬的地传送个⼈医疗数据，但是数量会控制在250条以内，否则会 提请相关部门审批。不能将医疗数据存储在境外的服务器中。 5.去标识化 控制者参照 《信息安全技术—健康医疗数据安全指南》，健康医疗数据对应⽤于临床研究和医药/医疗研发时，进⾏去标识化处理，具体规则如下： a) 可唯⼀识别到个⼈或披露后会给患者造成重⼤影响的信息应去除标识化。 b) 模糊化后仍有医学意义的数据可以保留模糊后的结果，例如：1) 单位、地址、邮政编码等信息，如果地址信息其他信组合识别的⼈群在2万⼈以上，可保 留，否则逐层去除达到标准为⽌；如果邮编信息和其他信息组合识别的⼈群在2万以上，可以保留，否则应将邮编位设置为‘0’，保证可以识别的⼈群在2万以 上。 c) 对具体的年龄进⾏泛化处理，确保同区域内满⾜相同年龄条件的⼈数在2万⼈以上。 d) ⽣⽇及其他所有⽇期信息进⾏处理，或具体到年或进⾏时间漂移。 e) 删除如医护姓名以及其他⾝份标识的信息； f) 数据集中所有属性值相同的⼈数最低应在5⼈以上； g) 控制者内部建⽴识别的代码进⾏索引⽤于追溯患者数据； h) 去标识化过程中使⽤的各种参数配置，仅限于控制者内部专⼈管理； i) 进⾏重标识确定患者本⼈时，只由控制者内部专⼈处理，并且处理过程严格保密；