医疗健康行业数据合规的现状及合规建议.docxVIP

医疗健康行业数据合规的现状及合规建议

医疗健康行业与每个人的生活息息相关，包括疾病诊断、体检在内的医疗事务，需要大量处理患者、药物等信息，从而涉及重要数据和敏感个人信息的储存和处理。同时，医疗信息化及互联网医疗在疫情的催化下快速发展，传统医疗行业的数据孤岛现状被打破，医疗数据通过互联网流通、共享的趋势愈发明显，健康医疗数据合规问题日益受到重视。

另一方面，《网络安全法》、《数据安全法》、《个人信息保护法》以及多部医疗健康行业的法律法规不断公布和生效，共同搭建了较为完善的医疗数据监管体系，为医疗数据的合规治理提出了更高的要求。

一、医疗健康行业数据安全合规相关概念

（1）健康医疗数据的概念

目前，我国针对医疗数据的监管规定分散在不同的法律法规中，缺少明确统一的规定，关于健康医疗数据的定义也存在多种说法。例如，《国家健康医疗大数据标准、安全和服务管理办法（试行）》将健康医疗大数据定义为“在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”；而《信息安全技术健康医疗数据安全指南》（GB/T39725，下文简称“指南”）则定义健康医疗数据为“包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据”。

结合定义的全面性，企业在进行具体数据合规工作时，可以参考指南中的定义。根据指南给出的定义，其认为健康医疗数据包含两方面，一方面为通常意义上的个人健康医疗数据，例如患者的门诊病例、体检结果等，另一方面为个人健康医疗数据经分析处理后得到的医疗大数据，如群体健康情况、发展趋势等。指南的定义指出了医疗健康数据合规的未来趋势，既要保证个人健康医疗数据的合规性、安全性，也要注重群体医疗大数据等个人健康医疗数据的“加工品”的管控。

（2）健康医疗数据的分类

医疗数据，依据不同的维度、角度进行分类，具体的分类也必然不同。例如，根据目前法律法规文件发布情况，可以分为医疗健康大数据（《国家健康医疗大数据标准、安全和服务管理办法（试行）等》）、病历资料（《电子病例应用管理规范》等）、人类遗传资源（《人类遗传资源管理条例》）、人口健康信息《人口健康信息管理办法（试行）》、临床试验数据（《医疗器械临床试验质量管理规范》等）。而根据《信息安全技术健康医疗数据安全指南》中对于健康医疗数据的分类，可以分为人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据。

二、医疗健康行业数据安全合规现状

（1）医疗健康管控的立法较为分散且趋于完善

一方面，医疗健康行业的法律法规陆续发布生效，不仅包括《网络安全法》《数据安全法》《个人信息保护法》三法，还会涉及《民法典》、《刑法》以及《信息安全技术健康医疗数据安全指南》等法律文件，共同构建了一个愈加完善的医疗数据合规体系。另一方面，针对医疗数据的监管性规定较为分散，涉及多个不同的法律法规，因此，相关主体在收集、处理医疗数据时，可能会同时受到多个法律法规的监管，医疗数据合规工作面临巨大挑战。

（2）主体类型复杂、业务场景多变、尤其是互联网医疗模式的兴起，为合规工作带来挑战

根据指南的定义，健康医疗数据涉及主体类型复杂，既包括患者、医生等个人，也包括医院、检测检验机构、医疗器械企业、药店、医疗信息化服务商、医保中心、卫生行政监管部门、保险公司等机构。

涉及到的业务场景也非常复杂且多变，既包括传统意义上的个人身份信息、疾病诊断、疾病治疗等相关数据，也包括医疗交易、医院数据运营、疾病监测数据等更广义的数据，而且基于市场需求的不断变化，新技术、新主体以及新的数据收集、处理方式也在快速迭代。

同时，互联网医疗模式的兴起，也在一定程度上冲击了传统医疗行业的数据壁垒，推动了医疗数据的流通及共享，为医疗数据治理带来了新的要求和挑战。

（3）跨国医疗机构数量多、涉及数据跨境传输问题

健康医疗行业存在较多中外合作医疗项目及跨国经营的大健康行业企业机构，其跨境业务将会涉及到非常多的重要数据以及敏感个人信息，因此医疗数据跨境传输的合规问题是其必须要考虑和面对的。

同时，由于目前医疗数据相关立法较为分散，跨国企业在数据出境时可能会受到多部法律法规的管控，例如《人类遗传资源管理条例》对于人类遗传资源的跨境行为进行监管。

三、医疗健康行业数据安全合规建议

（1）建立分类分级的数据管理体系

《数据安全法》要求国家要建立数据分类分级管理制度，而企业可以按此原则建立、完善数据分级分类的管理机制。具体可参考《信息安全技术健康医疗数据安全指南》，该文件不仅仅规定了医疗健康数据的分类情况，还按照数据的重要性和风险级别以及可能造成的危害程度，进一步将健康医疗数据划分为5级进行分级管理。具体为:

（1）第1级：可完全公开使用使用数据例如医院名、地址、电话等，可直接在互联网上面向公众公开。

（2）第2级：可在较大范围内