作者: 董瀟 郭靜荷 董俊傑, 君合律師事務所
2020年12月14日,國家市場監督管理總局和國家標準化管理委員會聯合發布了《信息安全技術 健康醫療數據安全指南》(GB/T 39725—2020,以下簡稱“《指南》”)。《指南》將於2021年7月1日生效實施。
在“互聯網+醫療健康”和智慧醫療發展的大趨勢下,《指南》意圖綜合實現多重目標,既確保健康醫療數據的保密性、完整性和可用性,保護個人信息、公眾利益和國家安全,又能促進健康醫療數據和業務發展的需求。《指南》的主要內容總結如下。
一、健康數據分類體系
《指南》對健康數據類別範圍、數據等級、相關角色、流通使用場景和數據開放形式進行了分類,以便於針對不同場景、不同數據提出區別化、精細化的安全措施要求。
1、健康醫療數據
健康醫療數據是指,個人健康醫療數據以及由個人健康醫療數據加工處理之後得到的健康醫療相關數據,包括群體總體分析結果、趨勢預測、疾病防治統計數據等。(第3.2條)《指南》將健康醫療數據分為如下幾個類別,並進行了舉例:
個人屬性數據:是指單獨或者與其他信息結合能夠識別特定自然人的數據,如姓名、身份證、電話。
健康狀況數據:是指能反映個人健康情況或同個人健康情況有着密切關係的數據,如主訴、現病史、檢驗檢測數據、遺傳諮詢數據。
醫療應用數據:是指能反映醫療保健、門診、住院、出院和其他醫療服務情況的數據,如門診病歷、住院醫囑檢查檢驗報告、入院記錄。
醫療支付數據:是指醫療或保險等服務中所涉及的與費用相關的數據,如醫保支付信息、交易金額、保險狀態。
衛生資源數據:是指那些可以反映衛生服務人員、衛生計劃和衛生體系的能力與特徵的數據,如醫院基本數據、醫院運營數據。
公共衛生數據:是指關係到國家或地區大眾健康的公其事業相關數據,如環境衛生數據、傳染病疫情數據、出生死亡數據。(第6.1條)
2、健康醫療數據的分級
根據數據重要程度、風險級別以及對個人健康醫療數據主體可能造成的損害和影響,健康數據從低到高分為五級。
第1級:可完全公開使用的數據。包括可以通過公開途徑獲取的數據。
第2級:可在較大範圍內供訪問使用的數據。例如不能標識個人身份的數據,各科室醫生經過申請審批可以用於研究分析。
第3級:可在中等範圍內供訪問使用的數據,如果未經授權披露,可能對個人健康醫療數據主體造成中等程度的損害。例如經過部分去標識化處理,但仍可能重標識的數據,僅限於獲得授權的項目組範圍內使用。
第4級:在較小範圍內供訪問使用的數據,如果未經授權披露,可能會對個人健康醫療數據主體造成較高程度的損害。例如可以直接標識個人身份的數據,僅限於參與診療活動的醫護人員訪問使用。
第5級:僅在極小範圍內且在嚴格限制條件下供訪問使用的數據,如果未經授權披露,可能會對個人健康醫療數據主體造成嚴重程度的損害。例如特殊病種(例如艾滋病、性病)的詳細資料,僅限於主治醫護人員訪問且需要進行嚴格管控。(第6.2條)
3、相關組織或個人的角色
針對特定數據特定場景,相關組織或個人可劃分為以下四種不同情形:
個人健康醫療數據主體(以下簡稱“主體”或“數據主體”);
控制者:即能夠決定健康醫療數據處理目的、方式及範圍等的組織或個人;
處理者:即代表控制者採集、傳輸、存儲、使用、處理或披露其掌握的健康醫療數據,或為控制者提供涉及健康醫療數據的使用、處理或者披露服務的相關組織或個人;
使用者:即針對特定數據的特定場景,不屬於主體,也不屬於控制着和處理者,但對健康醫療數據進行利用的相關組織或個人。(第6.3條)
上述定義的邏輯與《民法典》和《個人信息保護法(草案)》對於個人信息處理者的定義有一定差異,在一定程度上考慮了歐盟的分類標準,但又增加了使用者的定義,在《個人信息保護法》出台後是否會相應調整還待觀察。
二、使用披露原則
《指南》第7條規定了17項具體的使用披露規則。對於個人健康醫療數據的收集和使用,《指南》遵循了個人信息收集、使用的告知同意原則,但同時規定了相關例外場景、回溯查詢權、數據出境等創新性規定。健康醫療領域的倫理性和專業性極強,患者難以了解數據的具體安全狀況,因此專業機構和專業人員需要承擔更多的責任。儘管這些規定在一定程度上反映了醫療機構等在實踐中需要更靈活、廣泛的處理個人健康數據權限的要求,但相關授權在實踐中是否能得到政府部門的認可需進一步觀察。這些規定總結如下:
1、無需個人授權使用及披露個人健康醫療數據
控制者在沒有獲得主體的授權,在以下情況可以使用或披露相應個人健康醫療數據:(1)向本人提供時;(2)治療、支付或保健護理時;(3)涉及公共利益或法律法規要求時;(4)受限制數據集用於科學研究、醫學/健康教育、公共衛生目的時。受限制數據集是指經過部分去標誌化處理,但認可識別相應個人並因此需要保護的個人健康醫療數據集。在上述情況下,控制者可依靠法律法規要求、職業道德、倫理和專業判斷來確定哪些個人健康醫療數據允許被使用或披露。(第7.b)條)該等規定是否與最終出台的《個人信息保護法》相一致還值得觀察。
控制者可以使用治療筆記用於治療,在進行必要的去標識化處理後,可以在未經個人授權的情況下使用或披露治療筆記進行內部培訓和學術研討。(第7.i)條)。去標識化處理的具體要求和方法建議在第10.2條進行了規定。
上述規定似乎賦予控制者在診斷、治療、支付、健康服務等過程中獨立決定個人健康數據使用及披露的權利,其與《民法典》及未來的《個人信息保護法》項下個人信息授權同意原則是否相衝突待進一步解釋。
2、數據主體權利行使
《指南》第7條規定了主體行使其相應數據主體權利的原則,包括訪問和查詢權、獲得副本的權利、更正和補充權、回溯查詢權(即數據主體有權對控制者或其處理者使用或披露數據的情況進行歷史回溯查詢,最短回溯期為六年)。
3、控制者自主決定個人健康數據的使用及披露
主體有權要求控制者在診斷、治療、支付、健康服務等過程中限制使用或披露其個人健康醫療數據,以及限制向相關人員披露信息;控制者沒有義務同意上述限制請求,但一旦同意,除非法律法規要求以及醫療緊急情況下,控制者宜遵守約定的限制。(第7.h)條)
4、數據利用
第7條將數據利用涉及的情形分別進行規定(除數據出境外):
第一,受控制數據集的使用。控制者在確認數據使用的合法性、正當性和必要性,並確認使用者具備相應數據安全能力,且使用者簽訂了數據使用協議並承諾保護受限制數據集中的個人健康醫療數據後,可將受限制數據集用於科學研究、醫療保健業務、公共衛生等目的;使用者只能在協議約定的範圍內使用數據並承擔數據安全責任,在使用數據完成後,宜按照控制者要求歸還、徹底銷毀或者進行其他處理。未經控制者許可,使用者不能將數據披露給第三方。(第7.m)條)
第二,匿名化的數據。如果控制者針對個人健康醫療數據匯聚分析處理後得到了不能識別個人的健康醫療相關數據,該數據不再屬於個人信息,但其使用和披露宜遵守國家其他相關法規要求。(第7.n)條)
第三,數據平台的適用。建議控制者在對外進行數據開發合作利用時,採用“數據分析平台”開放形式,對於使用披露進行嚴格管控。
5、數據出境
控制者不宜將健康醫療數據在境外的服務器中存儲,不託管、租賃在境外的服務器。控制者因為學術研討需要,需要向境外提供相應數據的,在進行必要的去標識化處理後,經過數據安全委員會討論審批同意,數量在250條以內的非涉密非重要數據可以提供,否則宜提請相關部門審批。不涉及國家秘密、重要數據或者其他禁止或限制向境外提供的數據,經主體授權同意,並經數據安全委員會討論審批同意,控制者可向境外目的地提供個人健康醫療數據,累計數據量宜控制在250條以內,否則宜提請相關部門審批。(第7.o)-q)條)
現行法律、法規對健康數據的出境規定了嚴格限制,例如《國家健康醫療大數據標準、安全和服務管理辦法(試行)》規定,健康醫療大數據應當存儲在境內安全可信的服務器上,因業務需要確需向境外提供的,應當按照相關法律法規及有關要求進行安全評估審核。《個人信息保護法(草案)》也對於信息出境作出了一系列的規定。對於《指南》提出的無需政府部門審批即可出境的規定是否能構成相關豁免有待實踐中進一步觀察。
三、安全措施
《指南》第8條、第9條和第10條分別從安全措施要點、安全管理和安全技術三個方面為健康醫療數據保護提供了指南。
1、安全措施要點
《指南》要求可以根據數據保護的需要進行數據分級,對不同級別的數據實施不同的安全保護措施,重點在於授權管理、身份鑒別、訪問控制管理。第8條針對不同數據分級及數據流通使用場景具體規定了重點關注的安全措施,例如主體-控制者間數據流通、控制者-主體間數據流通、控制者內部數據使用、控制者-處理者間數據流通、控制者間數據流通和控制者-使用者間數據流通。
2、安全管理
第9條從組織、過程(包括規劃、實施、檢查、改進)和應急處置三個方面規定了控制者宜有針對性地採取安全措施,並對實施措施後的效果進行檢查,持續改進。控制者可參照附錄C建立數據使用管理辦法,參照附錄D對數據申請進行審批,參照附錄E與處理者(使用者)簽署數據處理(使用)協議,參照附錄F進行自查。
根據該條要求,相關組織應形成持續有效的機構、制度、流程、培訓等一體化的合規體系搭建和管理,這與《個人信息保護法(草案)》的原則相一致,同時,由於健康醫療數據的敏感性,《指南》對於機構設置、會議頻率、流程方案等方面提出了更加細節的要求,值得企業關注和對標。
3、安全技術
第10條對通用安全技術和去標識化進行了指導。例如,對於去標識化,《指南》列示了對姓名、聯繫方式、日期、出生日期、年齡、號碼和醫療機構內部所用號碼去標識化的方法建議,去標識化策略、流程和結果宜由數據安全委員會審批。
四、典型場景數據安全
最後,《指南》則根據數據的使用主體和用途,將數據使用場景分為:醫生調閱數據、患者查詢數據、臨床研究數據、二次利用數據、健康傳感數據、移動應用數據、商業保險對接和醫療器械數據,並依附於每個場景對上述各條提出了具體化建議。下述以醫生調閱數據和臨床研究數據安全為例說明。
醫生調閱數據。首先,對於數據分級,醫生調閱場景下數據可分為默認級、告知級和授權級,分別對應數據分級中的第2級、第3級和第4級;其次,《指南》具體化了醫生的角色定義和權限分配、如何將數據按分級和顆粒度標註、身份鑒別方式和數據調閱方式。(第11.1條)
臨床研究數據安全。《指南》考慮了不同臨床研究類型,如回顧性臨床研究、前贍性臨床研究、臨床基礎研究、臨床應用研究、臨床路徑研究、產品上市前研究和產品上市後研究、基於真實世界數據的臨床研究、涉及人工智能的研究等,並對涉及的相關方的角色進行了分類。例如,對回顧性臨床研究而言,申辦者根據需要從臨床研究機構獲得既往數據從事醫藥/醫療產品和診療方案研究。臨床研究機構、申辦者共同承擔控制者的角色,受試者是主體。《指南》從倫理審查及知情同意、數據分級、數據採集、數據傳輸數據存儲、數據使用、數據發布和共享、審計管理等角度對臨床研究數據的使用規定了安全保護要求。(第11.3條)
五、我們的觀察
《指南》既借鑒了國外立法和標準,如美國HIPPA法案和ISO 27799、NIST800-66等標準,又結合了國內實踐及標準,為健康醫療數據的應用提出本土化建議。《指南》深入日常使用場景,對於醫療健康這一專業領域個人信息及健康數據利用及合規保護的價值平衡進行了有益嘗試。一方面,《指南》為健康醫療數據控制者保護相關數據採取安全措施提供了實操性參考依據;另一方面,《指南》並不具有強制性法律效力,其相關規定,特別是與現有法律法規的規定或相關徵求意見稿的規定有一定差異的條款,未來在實踐之中如何實施,還有待進一步觀察。
