2025年互联网医疗健康政策法规解读手册.docxVIP

2025年互联网医疗健康政策法规解读手册

第1章个人健康数据权益保护与流通治理

1.1个人信息保护新法在医疗场景的适用要点

依据《个人信息保护法》（PIPL）第28条，医疗场景下处理患者数据属于“敏感个人信息”，必须通过单独同意或取得授权方可处理，且不得强制捆绑销售。例如，医院在实施电子健康档案（EHR）系统时，若将患者姓名、身份证号与检验报告自动关联推送至第三方互联网平台，则必须单独征得患者明确同意，并显著提示“未经同意不得用于商业营销”，否则即构成违法。针对医疗场景的特殊性，新法第29条规定了对重分类和重新识别的严格限制。医疗机构在处理患者数据时，若需进行重分类导致患者身份可被重新识别，必须再次取得单独同意。例如，某医院将电子病历中的“住院号”与“出生年月”、“性别”、“血型”等静态字段关联，使得患者可通过姓名和血型反推其出生信息，此时医院必须重新获得患者同意，否则属于违规。

医疗数据流通遵循“最小必要”原则，即仅处理实现特定目的所必需的最小数据集。依据第28条，若某健康数据平台仅用于提供基础问诊服务，则只需收集患者的基本信息（姓名、身份证号、紧急联系人）；若平台同时提供影像诊断，则需额外收集影像数据。示例中，某平台若仅将脱敏后的“疾病名称”与“治疗建议”推送至保险公司，而未包含患者的具体基因检测结果，则符合最小必要原则。法律明确禁止以“健康数据”名