隨著《關(guān)于印發(fā)醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全和個(gè)人信息保護(hù)管理辦法(試行)的通知》正式發(fā)布,我國(guó)醫(yī)療健康數(shù)據(jù)治理邁入以“分類分級(jí)”為核心�����、兼顧安全與應(yīng)用的新階段。面對(duì)人工智能驅(qū)動(dòng)下的多中心臨床研究���、醫(yī)聯(lián)體協(xié)作與數(shù)據(jù)要素化流通趨勢(shì)�����,醫(yī)療機(jī)構(gòu)如何將頂層設(shè)計(jì)轉(zhuǎn)化為可落地的合規(guī)實(shí)踐����,成為行業(yè)發(fā)展的關(guān)鍵命題��。本文結(jié)合國(guó)內(nèi)外法規(guī)與典型案例��,梳理醫(yī)療健康數(shù)據(jù)應(yīng)用的合規(guī)路徑���。
引言:從“管理”到“治理”的范式轉(zhuǎn)變
醫(yī)療健康數(shù)據(jù)是醫(yī)學(xué)進(jìn)步����、公共衛(wèi)生管理和健康產(chǎn)業(yè)創(chuàng)新的核心資源��。隨著《“健康中國(guó)2030”規(guī)劃綱要》的推進(jìn)與數(shù)字技術(shù)的深度融合��,醫(yī)療數(shù)據(jù)的產(chǎn)生�、收集、處理與跨境流動(dòng)呈指數(shù)級(jí)增長(zhǎng)�。然而,數(shù)據(jù)的巨大價(jià)值伴生著嚴(yán)峻的安全與隱私挑戰(zhàn)��?����;颊邆€(gè)人信息泄露��、人類遺傳資源信息違規(guī)出境��、醫(yī)院信息系統(tǒng)遭受勒索攻擊等事件頻發(fā)����,凸顯了傳統(tǒng)分散化、被動(dòng)響應(yīng)式的“管理”模式已難以為繼�,醫(yī)療機(jī)構(gòu)需要主動(dòng)在發(fā)展中積極響應(yīng)監(jiān)管要求、走出傳統(tǒng)的“單一專業(yè)”發(fā)展的話語(yǔ)體系�,在數(shù)智化浪潮中,正視已經(jīng)發(fā)生以及必然發(fā)生的數(shù)據(jù)流通應(yīng)用�����,建立起可用、可控的治理機(jī)制��。
2021年以來(lái)“三駕馬車”所構(gòu)建的數(shù)據(jù)治理的頂層法律框架不斷通過(guò)各環(huán)節(jié)應(yīng)用細(xì)則落地�����,針對(duì)醫(yī)療健康領(lǐng)域長(zhǎng)久以來(lái)的“怕流通”或“盲目流通”兩種極端情況�,《關(guān)于印發(fā)醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全和個(gè)人信息保護(hù)管理辦法(試行)的通知》(以下簡(jiǎn)稱《醫(yī)療數(shù)據(jù)管理辦法》),進(jìn)一步落實(shí) “分類分級(jí)” 要求��,通過(guò)場(chǎng)景化合規(guī)明確指引整個(gè)醫(yī)療健康行業(yè)要從盡快從單一的�、靜態(tài)的“保密”要求,轉(zhuǎn)向系統(tǒng)的���、動(dòng)態(tài)的�����、基于數(shù)據(jù)價(jià)值和風(fēng)險(xiǎn)的“治理”體系���,盡快從“守住數(shù)據(jù)金礦”加入到“開(kāi)發(fā)”數(shù)據(jù)金礦”的隊(duì)伍中來(lái)。
系統(tǒng)梳理中國(guó)現(xiàn)行醫(yī)療健康數(shù)據(jù)治理的法律規(guī)范體系�����,把《醫(yī)療數(shù)據(jù)管理辦法》“放歸”法律體系與應(yīng)用場(chǎng)景����,它提出的分類分級(jí)并非空洞的形式化建制要求,通過(guò)結(jié)合國(guó)內(nèi)外實(shí)踐案例�����,可以看到�,應(yīng)用流通的合規(guī)要點(diǎn)均立足于分類分級(jí)。
通過(guò)解讀這份文件��,我們嘗試再次回應(yīng)醫(yī)療流通應(yīng)用實(shí)踐中反復(fù)遇到的核心問(wèn)題:在鼓勵(lì)數(shù)據(jù)流通應(yīng)用與強(qiáng)化安全保護(hù)的雙重政策目標(biāo)下�,醫(yī)療機(jī)構(gòu)應(yīng)如何構(gòu)建一套權(quán)責(zé)清晰、動(dòng)態(tài)適配�����、可操作的數(shù)據(jù)分類分級(jí)管理體系���?如何將抽象的法律原則轉(zhuǎn)化為門診��、科研����、合作、創(chuàng)新等具體場(chǎng)景中的合規(guī)實(shí)踐��?
一�、 醫(yī)療健康數(shù)據(jù)分類分級(jí):權(quán)屬識(shí)別、責(zé)任厘清與應(yīng)用前置
分類分級(jí)是數(shù)據(jù)治理的基石�,其本質(zhì)是對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行“身份”識(shí)別與“風(fēng)險(xiǎn)”定級(jí),從而為后續(xù)全生命周期的安全管理與合規(guī)利用提供依據(jù)�。《醫(yī)療數(shù)據(jù)管理辦法》明確要求醫(yī)療衛(wèi)生機(jī)構(gòu)建立數(shù)據(jù)分類分級(jí)制度����,這并非一項(xiàng)孤立的行政要求,而是對(duì)《數(shù)據(jù)安全法》國(guó)家數(shù)據(jù)分類分級(jí)保護(hù)制度在行業(yè)內(nèi)的具體落實(shí)��。
1.1 分類:基于權(quán)屬與來(lái)源的多維管理邏輯
醫(yī)療健康數(shù)據(jù)的“分類”��,首先應(yīng)依據(jù)其權(quán)屬來(lái)源和管理屬性���,確定其適用的核心管理邏輯����。當(dāng)前實(shí)踐中��,主要存在三類交織但性質(zhì)不同的數(shù)據(jù)范疇:
(1)公共數(shù)據(jù):指醫(yī)療衛(wèi)生機(jī)構(gòu)在履行公共管理職責(zé)或提供公共服務(wù)過(guò)程中收集�、產(chǎn)生的數(shù)據(jù)�。例如��,區(qū)域全民健康信息平臺(tái)匯聚的居民健康檔案摘要��、疾病預(yù)防控制中心收集的法定傳染病數(shù)據(jù)����、醫(yī)保局持有的醫(yī)保結(jié)算數(shù)據(jù)等���。這類數(shù)據(jù)的管理��,應(yīng)優(yōu)先適用國(guó)家及地方關(guān)于公共數(shù)據(jù)授權(quán)運(yùn)營(yíng)的規(guī)定���。例如,《中共中央 國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》(“數(shù)據(jù)二十條”)提出“推進(jìn)公共數(shù)據(jù)確權(quán)授權(quán)機(jī)制”����,各地如北京、上海�、浙江等地已出臺(tái)公共數(shù)據(jù)管理辦法,明確了“政府授權(quán)�、市場(chǎng)化運(yùn)營(yíng)”的模式。其合規(guī)焦點(diǎn)在于授權(quán)程序的合法性�����、運(yùn)營(yíng)過(guò)程的公益性保障與安全監(jiān)管。
(2)行業(yè)數(shù)據(jù)/重要數(shù)據(jù):指在醫(yī)療業(yè)務(wù)活動(dòng)中產(chǎn)生��,一旦遭篡改����、破壞、泄露或非法獲取�、非法利用,可能危害國(guó)家安全����、公共利益或公眾健康的數(shù)據(jù)。這是《數(shù)據(jù)安全法》和《醫(yī)療數(shù)據(jù)管理辦法》規(guī)制的核心���?����!稊?shù)據(jù)安全法》要求各地區(qū)���、各部門制定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄���。國(guó)家衛(wèi)生健康委員會(huì)正在制定的《衛(wèi)生健康行業(yè)數(shù)據(jù)分類分級(jí)指南》(尚未正式公開(kāi)發(fā)布����,但在監(jiān)管實(shí)踐中已有參照)即是此類���。根據(jù)相關(guān)征求意見(jiàn)稿及實(shí)踐����,重要數(shù)據(jù)可能包括:反映特定區(qū)域���、特定人群健康狀況的群體性數(shù)據(jù)(如涉及10萬(wàn)人以上的診療數(shù)據(jù))、重大疾病流行趨勢(shì)數(shù)據(jù)����、達(dá)到一定規(guī)模(如500例以上)的人類遺傳資源信息、重要病原微生物數(shù)據(jù)等���。其管理核心是強(qiáng)制性的安全保護(hù)義務(wù)����、出境安全評(píng)估以及向主管部門的報(bào)告。
(3)機(jī)構(gòu)/企業(yè)數(shù)據(jù):指醫(yī)療機(jī)構(gòu)作為獨(dú)立法人(無(wú)論是事業(yè)單位還是企業(yè))在自主經(jīng)營(yíng)和臨床服務(wù)中產(chǎn)生的���、不直接歸屬于上述兩類范疇的業(yè)務(wù)數(shù)據(jù)���。例如,醫(yī)院內(nèi)部運(yùn)營(yíng)管理數(shù)據(jù)���、非群體性的臨床診療詳細(xì)記錄���、由醫(yī)院自主研發(fā)的專病數(shù)據(jù)庫(kù)等。這類數(shù)據(jù)的權(quán)屬和管理邏輯更接近于 “企業(yè)數(shù)據(jù)資產(chǎn)” �。其流通與應(yīng)用,主要受《民法典》(知識(shí)產(chǎn)權(quán)與商業(yè)秘密保護(hù))�����、《反不正當(dāng)競(jìng)爭(zhēng)法》以及醫(yī)療機(jī)構(gòu)內(nèi)部章程和合同的約束���。在符合個(gè)人信息保護(hù)要求的前提下����,醫(yī)療機(jī)構(gòu)對(duì)其享有較大的自主開(kāi)發(fā)利用空間����。
一個(gè)必須警惕的實(shí)踐誤區(qū)是“排他性定性”���。部分地方或行業(yè)主管部門,為強(qiáng)化自身監(jiān)管權(quán)限���,機(jī)械地將“公共數(shù)據(jù)”與“行業(yè)數(shù)據(jù)/重要數(shù)據(jù)”進(jìn)行非此即彼的劃分��。例如����,將本應(yīng)納入公共數(shù)據(jù)統(tǒng)一授權(quán)運(yùn)營(yíng)體系的區(qū)域健康數(shù)據(jù)��,僅因其具有行業(yè)屬性就完全劃歸行業(yè)內(nèi)部封閉管理���,拒絕開(kāi)放授權(quán)。這種邏輯在法理上難以成立�����,因?yàn)閿?shù)據(jù)的屬性可以是多重且場(chǎng)景依賴的�����。在實(shí)踐中,這極易導(dǎo)致 “數(shù)據(jù)割據(jù)” :不同部門基于自身管轄權(quán)���,將數(shù)據(jù)禁錮在各自的“領(lǐng)地”內(nèi)����,變相規(guī)避更高層級(jí)的公共數(shù)據(jù)共享與流通要求����,與《“數(shù)據(jù)二十條”》提出的“建立數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)��、數(shù)據(jù)產(chǎn)品經(jīng)營(yíng)權(quán)等分置的產(chǎn)權(quán)運(yùn)行機(jī)制”的改革方向背道而馳���,最終損害數(shù)據(jù)要素全國(guó)統(tǒng)一大市場(chǎng)的建設(shè)�。
1.2 分級(jí):基于危害后果的安全責(zé)任落實(shí)
“分級(jí)”是在分類基礎(chǔ)上���,根據(jù)數(shù)據(jù)一旦遭到安全事件影響可能造成的危害程度���,確定不同的安全保護(hù)等級(jí)?���!稊?shù)據(jù)安全法》將數(shù)據(jù)分為一般數(shù)據(jù)���、重要數(shù)據(jù)、核心數(shù)據(jù)三級(jí)����。《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725-2020)等行業(yè)標(biāo)準(zhǔn)也提供了更細(xì)致的分級(jí)參考(如1-4級(jí))�。分級(jí)管理的核心目的是實(shí)現(xiàn)安全資源的精準(zhǔn)配置。
當(dāng)前��,許多醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全管理仍停留在初級(jí)階段��,存在兩大突出問(wèn)題:
因此�����,真正的分級(jí)管理要求醫(yī)療機(jī)構(gòu):
建立數(shù)據(jù)資產(chǎn)目錄
全面盤點(diǎn)數(shù)據(jù)資源���,明確各類數(shù)據(jù)的業(yè)務(wù)來(lái)源����、內(nèi)容����、規(guī)模���、存儲(chǔ)位置和責(zé)任人���。開(kāi)展風(fēng)險(xiǎn)影響評(píng)估
針對(duì)每類數(shù)據(jù),評(píng)估其泄露����、篡改、毀損可能對(duì)個(gè)人����、機(jī)構(gòu)、社會(huì)乃至國(guó)家安全造成的影響����。制定差異化保護(hù)策略
為核心數(shù)據(jù)、重要數(shù)據(jù)設(shè)定比一般數(shù)據(jù)更嚴(yán)格的訪問(wèn)控制�����、加密存儲(chǔ)、審計(jì)日志和出境管制措施����。
1.3 目標(biāo):以合規(guī)基石促流通應(yīng)用,破除“數(shù)據(jù)堡壘”
必須明確指出��,推行分類分級(jí)管理����,絕非鼓勵(lì)醫(yī)療機(jī)構(gòu)構(gòu)筑封閉的“數(shù)據(jù)堡壘”。其根本目的恰恰相反:通過(guò)明確數(shù)據(jù)權(quán)屬(是公共數(shù)據(jù)�����、重要數(shù)據(jù)還是機(jī)構(gòu)數(shù)據(jù))���、厘清各方責(zé)任(誰(shuí)持有��、誰(shuí)處理�����、誰(shuí)負(fù)責(zé)安全)�����,為數(shù)據(jù)在安全可控的前提下進(jìn)行有序�、高效的流通與應(yīng)用奠定堅(jiān)實(shí)的制度基礎(chǔ)�����。
國(guó)家層面的政策導(dǎo)向清晰無(wú)誤地指向數(shù)據(jù)的流通與應(yīng)用:
科研合作
《“十四五”國(guó)民健康規(guī)劃》明確鼓勵(lì)開(kāi)展多中心臨床研究����,這必然要求患者數(shù)據(jù)在合規(guī)框架下跨機(jī)構(gòu)共享。產(chǎn)業(yè)創(chuàng)新
允許公立醫(yī)院按規(guī)定投資設(shè)立科技創(chuàng)新公司��,支持其將科技成果轉(zhuǎn)化�����,這其中就包含了基于醫(yī)療數(shù)據(jù)的產(chǎn)品和服務(wù)開(kāi)發(fā)��。服務(wù)體系整合
全面推進(jìn)醫(yī)聯(lián)體���、醫(yī)共體建設(shè)�,構(gòu)建“大健康”服務(wù)體系��,其高效運(yùn)轉(zhuǎn)離不開(kāi)成員單位間患者信息的互聯(lián)互通。要素市場(chǎng)培育
“數(shù)據(jù)二十條”明確要求激活數(shù)據(jù)要素潛能���,健康醫(yī)療數(shù)據(jù)是極具價(jià)值的數(shù)據(jù)要素��。
分類分級(jí)管理���,正是為了響應(yīng)這些國(guó)家戰(zhàn)略。它為數(shù)據(jù)流通提供了“通行證”和“說(shuō)明書(shū)”:一份被明確分類(例如����,屬于“去標(biāo)識(shí)化的臨床研究數(shù)據(jù)”)和分級(jí)(例如,被定為“一般數(shù)據(jù)/2級(jí)”)的數(shù)據(jù)集�,其流通的合規(guī)路徑、所需的安全保障措施����、各方的權(quán)利義務(wù)就變得清晰可循。這極大地降低了流通的合規(guī)不確定性和法律風(fēng)險(xiǎn)����,從而從制度上鼓勵(lì)而非抑制數(shù)據(jù)的合規(guī)共享與價(jià)值挖掘。因此����,醫(yī)療機(jī)構(gòu)建立動(dòng)態(tài)�����、精準(zhǔn)的分類分級(jí)體系���,是其在數(shù)據(jù)驅(qū)動(dòng)時(shí)代贏得發(fā)展主動(dòng)權(quán)的必然選擇。
二����、 典型場(chǎng)景下的合規(guī)實(shí)踐與數(shù)智化前景
法律的生命在于實(shí)施���。分類分級(jí)的抽象原則必須融入具體的業(yè)務(wù)場(chǎng)景才能產(chǎn)生實(shí)效�����。從我們業(yè)務(wù)實(shí)踐中常見(jiàn)的四個(gè)場(chǎng)景�,可以看到目前合規(guī)實(shí)踐中�����,仍有較多值得優(yōu)化之處�����,。
2.1 場(chǎng)景一:門診與臨床治療——最小必要與精細(xì)化權(quán)限管理
這是醫(yī)療數(shù)據(jù)處理的起點(diǎn)和核心場(chǎng)景�����,直接關(guān)系到患者最根本的知情權(quán)與隱私權(quán)����。合規(guī)的核心是貫徹 “最小必要”原則 和實(shí)現(xiàn) “精細(xì)化權(quán)限控制”。
常見(jiàn)誤區(qū)與執(zhí)法鏡鑒:
最大的誤區(qū)莫過(guò)于使用 “一攬子”格式化知情同意書(shū)���。無(wú)論是紙質(zhì)入院告知書(shū)還是互聯(lián)網(wǎng)醫(yī)院的用戶協(xié)議����,若籠統(tǒng)地要求患者授權(quán)醫(yī)院“為診療�、科研、醫(yī)院管理之目的使用其個(gè)人信息”����,這種授權(quán)因不符合《個(gè)人信息保護(hù)法》要求的“明確、具體”而存在法律瑕疵�����。GDPR執(zhí)法對(duì)此類行為處罰嚴(yán)厲��。例如,2023年�,西班牙數(shù)據(jù)保護(hù)局(AEPD)對(duì)一家醫(yī)院處以30萬(wàn)歐元罰款,原因之一就是其同意聲明過(guò)于寬泛����,未將數(shù)據(jù)處理的不同目的(如診療、營(yíng)銷����、研究)清晰區(qū)分并獲取單獨(dú)同意。
另一個(gè)高發(fā)風(fēng)險(xiǎn)點(diǎn)是內(nèi)部權(quán)限管理的混亂����。歐盟的案例極具警示意義:2022年��,法國(guó)國(guó)家信息與自由委員會(huì)(CNIL)對(duì)巴黎一家大型醫(yī)院集團(tuán)處以40萬(wàn)歐元罰款���。調(diào)查發(fā)現(xiàn)����,該醫(yī)院的醫(yī)療信息系統(tǒng)權(quán)限設(shè)置存在嚴(yán)重缺陷�����,數(shù)以千計(jì)的非直接負(fù)責(zé)該患者治療的醫(yī)護(hù)人員(包括行政、后勤�、其他科室人員)可以隨意訪問(wèn)患者的完整醫(yī)療記錄,且訪問(wèn)行為缺乏正當(dāng)業(yè)務(wù)理由和有效日志監(jiān)控����。這直接違反了數(shù)據(jù)最小化訪問(wèn)原則。
對(duì)中國(guó)醫(yī)療機(jī)構(gòu)的啟示與要點(diǎn)提示:
場(chǎng)景隔離�����,禁止隨意遷移
:為特定診療目的收集的個(gè)人信息����,其使用范圍應(yīng)嚴(yán)格限定于該目的。若想將門診數(shù)據(jù)用于后續(xù)的科研分析����,必須重新獲取患者基于科研目的的單獨(dú)同意,不能想當(dāng)然地沿用診療同意����。權(quán)限隔離,實(shí)現(xiàn)動(dòng)態(tài)管控
必須基于“角色”和“最小必要”原則��,建立與數(shù)據(jù)分類分級(jí)結(jié)果掛鉤的精細(xì)化訪問(wèn)控制矩陣(RBAC/ABAC)�。例如��,急診科醫(yī)生在搶救時(shí)可能需要緊急權(quán)限����,但日常狀態(tài)下不應(yīng)訪問(wèn)整形外科的患者記錄���;財(cái)務(wù)人員只能訪問(wèn)與結(jié)算相關(guān)的費(fèi)用信息���,而非完整病歷。尤其要加強(qiáng)對(duì)規(guī)培生�����、實(shí)習(xí)生��、進(jìn)修人員�、第三方合作公司駐場(chǎng)人員等流動(dòng)性大群體的權(quán)限管理����,實(shí)行“即時(shí)申請(qǐng)、限時(shí)授權(quán)����、任務(wù)結(jié)束即回收”的動(dòng)態(tài)策略��。同意分類���,告知清晰
知情同意書(shū)應(yīng)按照《個(gè)人信息保護(hù)法》的要求,將處理目的�����、方式�、種類、保存期限�、權(quán)利行使途徑等分項(xiàng)列明。特別是對(duì)于可能涉及數(shù)據(jù)共享(如醫(yī)聯(lián)體內(nèi))���、科研利用等情形,應(yīng)提供勾選項(xiàng)����,尊重患者的自主選擇權(quán)����。健全內(nèi)控����,超越倫理審查
院內(nèi)跨部門、院際間的數(shù)據(jù)協(xié)作����,必須設(shè)立嚴(yán)格的內(nèi)部審批流程�����。傳統(tǒng)的倫理委員會(huì)審查側(cè)重于科學(xué)性與倫理風(fēng)險(xiǎn)�,但往往缺乏數(shù)據(jù)安全與個(gè)人信息保護(hù)的法律專長(zhǎng)��。因此����,審批流程中應(yīng)強(qiáng)制納入數(shù)據(jù)合規(guī)官或法律顧問(wèn)的評(píng)審環(huán)節(jié),對(duì)數(shù)據(jù)共享的范圍、法律依據(jù)、安全措施進(jìn)行專業(yè)評(píng)估�����。
2.2 場(chǎng)景二:科研與臨床研究——跨境流通的合規(guī)路徑辨析
跨國(guó)多中心臨床試驗(yàn)是新藥研發(fā)的常態(tài),數(shù)據(jù)出境不可避免���。此場(chǎng)景的復(fù)雜性在于�����,它同時(shí)受到《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《人類遺傳資源管理?xiàng)l例》以及科技部、藥監(jiān)局等多部門規(guī)章的重疊監(jiān)管���。實(shí)踐中路徑混亂的根源��,在于對(duì)“受試者個(gè)人信息”法律性質(zhì)的認(rèn)定不一�。
核心法律爭(zhēng)議:是“一般個(gè)人信息”還是“敏感個(gè)人信息”?
根據(jù)《個(gè)人信息保護(hù)法》第二十八條�,敏感個(gè)人信息包括“醫(yī)療健康”信息�����。那么�,臨床試驗(yàn)中去除直接標(biāo)識(shí)符(姓名、身份證號(hào))����,僅以“受試者鑒認(rèn)碼”關(guān)聯(lián)的出生日期�、病史、檢驗(yàn)結(jié)果等信息���,是否仍屬于“敏感個(gè)人信息”?
當(dāng)然���,為避免過(guò)度限制���,匿名化作為一個(gè)相對(duì)性的標(biāo)準(zhǔn)�,參考?xì)W盟EDPB的標(biāo)準(zhǔn)���,應(yīng)當(dāng)考慮主體還原性在應(yīng)用場(chǎng)景中的難度和可能性�����,且兼顧特定類別數(shù)據(jù)的完整質(zhì)量管理要求。所以����,在臨床試驗(yàn)中�����,受試者鑒認(rèn)碼及關(guān)聯(lián)數(shù)據(jù)一方面作為執(zhí)行“可溯源”管理要求進(jìn)行保留��,不能進(jìn)行簡(jiǎn)單刪除��;另一方面����,在合規(guī)進(jìn)行字段控制的傳輸模式下����,僅以此單一鑒認(rèn)碼出現(xiàn)�,合理地認(rèn)知是很難獲得主體身份指向���,應(yīng)被認(rèn)定為“去標(biāo)識(shí)化的一般個(gè)人信息”���。其邏輯在于:敏感個(gè)人信息的界定核心是“一旦泄露或非法使用��,容易導(dǎo)致特定自然人的人格尊嚴(yán)或人身財(cái)產(chǎn)安全受到危害”�����。由于申辦方�����、CRO等研究方不持有且無(wú)法獲取能將鑒認(rèn)碼對(duì)應(yīng)到真實(shí)身份的“代碼表”(該表由臨床試驗(yàn)機(jī)構(gòu)獨(dú)立密封保存)���,對(duì)于研究方而言���,這些數(shù)據(jù)無(wú)法關(guān)聯(lián)到特定自然人,因此其泄露難以直接危害到“特定”個(gè)體����,不符合敏感個(gè)人信息的核心要件����。這一觀點(diǎn)也與國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化效果分級(jí)評(píng)估規(guī)范》的精神相符����。然而正如上面的分析所述�����,單一鑒認(rèn)碼毋需升級(jí)����,但傳輸中出現(xiàn)代碼表傳輸,或相關(guān)鑒認(rèn)碼項(xiàng)下數(shù)據(jù)集傳輸字段過(guò)分完整����、顆粒度極細(xì)增大還原指向性風(fēng)險(xiǎn),則另當(dāng)別論——這則引出醫(yī)療數(shù)據(jù)流通實(shí)踐中的另一個(gè)問(wèn)題:大部分?jǐn)?shù)據(jù)本身并不在單一數(shù)據(jù)層面上凸顯風(fēng)險(xiǎn)����,而數(shù)據(jù)集則可能造成較大風(fēng)險(xiǎn)��。
基于此的跨境合規(guī)路徑分析矩陣:
基于上述定性�����,并結(jié)合《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》(以下簡(jiǎn)稱《跨境規(guī)定》)及上海、福建等自貿(mào)區(qū)負(fù)面清單��,可以構(gòu)建如下決策邏輯:
必須澄清的關(guān)鍵認(rèn)知:
科研合規(guī)不能替代數(shù)據(jù)合規(guī)
:獲得科技部的人類遺傳資源行政許可或醫(yī)院倫理委員會(huì)的批準(zhǔn)��,是開(kāi)展科研的前提��,但絕不能免除《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》項(xiàng)下的數(shù)據(jù)出境安全評(píng)估���、個(gè)人信息保護(hù)影響評(píng)估等法定義務(wù)��。這是兩條獨(dú)立的監(jiān)管線�����。“豁免”的是行政程序�����,而非實(shí)體義務(wù)
:符合條件免于備案或安全評(píng)估,是行政監(jiān)管上的便利化措施。但數(shù)據(jù)安全保障、個(gè)人信息權(quán)益保護(hù)、進(jìn)行PIA��、獲取同意����、簽訂合同等實(shí)體性法律義務(wù)絲毫沒(méi)有減少���?����;砻獾那疤崾菣C(jī)構(gòu)自身已建立了健全的內(nèi)控體系并能證明其持續(xù)有效運(yùn)行����。
2.3 場(chǎng)景三:第三方供應(yīng)商管理——風(fēng)險(xiǎn)傳導(dǎo)的關(guān)鍵節(jié)點(diǎn)
現(xiàn)代醫(yī)療服務(wù)的提供離不開(kāi)復(fù)雜的供應(yīng)鏈:HIS/LIS/PACS系統(tǒng)供應(yīng)商、互聯(lián)網(wǎng)醫(yī)院平臺(tái)運(yùn)營(yíng)商�、云服務(wù)商�����、檢驗(yàn)檢測(cè)外包機(jī)構(gòu)�����、智能醫(yī)療設(shè)備制造商����、藥品配送方等��。IBM《年度數(shù)據(jù)泄露成本報(bào)告》連續(xù)多年指出�,供應(yīng)鏈攻擊和第三方風(fēng)險(xiǎn)是導(dǎo)致數(shù)據(jù)泄露的主要原因之一,且修復(fù)成本最高���。
當(dāng)前突出的風(fēng)險(xiǎn)點(diǎn):
強(qiáng)化供應(yīng)商管理的合規(guī)要求:
嚴(yán)格的準(zhǔn)入評(píng)估
在采購(gòu)前,應(yīng)對(duì)供應(yīng)商的數(shù)據(jù)安全能力進(jìn)行盡職調(diào)查���,審查其安全認(rèn)證(如等保三級(jí))����、歷史安全事件���、隱私政策和技術(shù)架構(gòu)�����。權(quán)責(zé)清晰的合同條款
合同中必須明確數(shù)據(jù)處理的法律基礎(chǔ)�����、雙方角色(是單獨(dú)處理者���、共同處理者還是受托處理者)���、數(shù)據(jù)處理的范圍與目的限制、安全保護(hù)的具體技術(shù)要求���、數(shù)據(jù)泄露后的通知與響應(yīng)機(jī)制����、審計(jì)權(quán)����、合同終止后的數(shù)據(jù)返還與銷毀等。持續(xù)的全周期監(jiān)督
不應(yīng)“一簽了之”���。應(yīng)定期要求供應(yīng)商提供安全審計(jì)報(bào)告��,進(jìn)行滲透測(cè)試��,并對(duì)重大系統(tǒng)變更進(jìn)行安全評(píng)審�����。建立供應(yīng)商風(fēng)險(xiǎn)評(píng)級(jí)����,實(shí)行動(dòng)態(tài)管理。
2.4 場(chǎng)景四:賦能人工智能開(kāi)發(fā)——數(shù)據(jù)供給的機(jī)制化建設(shè)
高質(zhì)量��、大規(guī)模的標(biāo)注數(shù)據(jù)是醫(yī)療AI模型訓(xùn)練的“燃料”��。醫(yī)院作為數(shù)據(jù)富礦�,正成為AI公司爭(zhēng)相合作的對(duì)象���。然而��,無(wú)序的數(shù)據(jù)供給會(huì)帶來(lái)巨大法律與倫理風(fēng)險(xiǎn)�。
核心風(fēng)險(xiǎn):職務(wù)成果的非法處置與數(shù)據(jù)主權(quán)喪失
個(gè)別科室主任或?qū)<覉F(tuán)隊(duì)����,可能將其在履職過(guò)程中收集和整理的�����、屬于醫(yī)院資產(chǎn)的專病數(shù)據(jù)集�����,未經(jīng)機(jī)構(gòu)批準(zhǔn)���,擅自與外部公司合作,用于產(chǎn)品開(kāi)發(fā)或變現(xiàn)���。這不僅侵犯了醫(yī)院的數(shù)據(jù)資產(chǎn)權(quán)益�����,也可能因未履行個(gè)人信息保護(hù)義務(wù)而將醫(yī)院置于違法境地����。
構(gòu)建合規(guī)的數(shù)據(jù)賦能機(jī)制:
機(jī)構(gòu)主導(dǎo)��,統(tǒng)一出口
醫(yī)院應(yīng)建立機(jī)構(gòu)層面的數(shù)據(jù)資源管理委員會(huì)或類似機(jī)構(gòu)�,統(tǒng)一負(fù)責(zé)對(duì)外數(shù)據(jù)合作事宜���。所有數(shù)據(jù)需求必須經(jīng)該委員會(huì)審批,禁止科室或個(gè)人私自對(duì)外提供數(shù)據(jù)���。權(quán)屬清晰����,利益共享
在合作合同中�����,必須明確數(shù)據(jù)資源的權(quán)屬(仍歸醫(yī)院)��、使用范圍(僅限于特定項(xiàng)目)���、后續(xù)衍生數(shù)據(jù)或知識(shí)產(chǎn)權(quán)的歸屬與利益分配機(jī)制�。探索建立符合“數(shù)據(jù)二十條”精神的數(shù)據(jù)要素收益分享模式�����。技術(shù)保障�����,合規(guī)處理
對(duì)外提供的數(shù)據(jù)必須經(jīng)過(guò)嚴(yán)格的去標(biāo)識(shí)化處理���,并最好在可信執(zhí)行環(huán)境(TEE)或聯(lián)邦學(xué)習(xí)(Federated Learning) 等隱私計(jì)算技術(shù)框架下進(jìn)行���,實(shí)現(xiàn)“數(shù)據(jù)可用不可見(jiàn),價(jià)值流通不流通原始數(shù)據(jù)”���,從根本上降低泄露風(fēng)險(xiǎn)��。完善內(nèi)部人事制度
在鼓勵(lì)創(chuàng)新的同時(shí)�,必須同步修訂勞動(dòng)合同和員工手冊(cè)���,明確職務(wù)數(shù)據(jù)成果的歸屬�����、保密義務(wù)以及競(jìng)業(yè)限制條款����,防范人才流動(dòng)導(dǎo)致的數(shù)據(jù)資產(chǎn)流失����。
三�、 個(gè)人信息保護(hù):不可逾越的制度紅線與動(dòng)態(tài)化實(shí)施
在所有醫(yī)療數(shù)據(jù)處理活動(dòng)中�,保護(hù)個(gè)人信息權(quán)益是貫穿始終、不可動(dòng)搖的紅線���。即使數(shù)據(jù)已被分類分級(jí)�,即使目的是崇高的科研或公益���,只要處理的對(duì)象是個(gè)人信息�,就必須嚴(yán)格遵守《個(gè)人信息保護(hù)法》確立的規(guī)則�����。
3.1 澄清根本性誤區(qū)
誤區(qū)一:“去掉姓名就是匿名化”:這是最普遍也最危險(xiǎn)的誤解��?����!秱€(gè)人信息保護(hù)法》嚴(yán)格區(qū)分了 “匿名化” 和 “去標(biāo)識(shí)化” �����。
匿名化
是指經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程���。匿名化后的信息不再屬于個(gè)人信息��,可以自由使用�。但技術(shù)上實(shí)現(xiàn)真正的�����、不可逆的匿名化極其困難����,尤其是在醫(yī)療領(lǐng)域,多種去標(biāo)識(shí)化數(shù)據(jù)的交叉比對(duì)仍可能重新識(shí)別個(gè)人����。去標(biāo)識(shí)化
是指經(jīng)過(guò)處理,在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過(guò)程����。去標(biāo)識(shí)化后的信息仍然是個(gè)人信息。臨床試驗(yàn)中的“受試者鑒認(rèn)碼”就是典型的去標(biāo)識(shí)化手段����,其法律性質(zhì)前文已詳述。將去標(biāo)識(shí)化誤認(rèn)為匿名化,會(huì)導(dǎo)致整個(gè)數(shù)據(jù)處理活動(dòng)脫離《個(gè)人信息保護(hù)法》的規(guī)制�,構(gòu)成系統(tǒng)性違法。
誤區(qū)二:“有償提供就是買賣���,一律犯罪”:非法買賣公民個(gè)人信息確屬刑法打擊范圍�����。但需要區(qū)分“違法違規(guī)提供”與“合法的數(shù)據(jù)產(chǎn)品或服務(wù)交易”�����。關(guān)鍵在于是否有合法的處理依據(jù)(如同意�、為訂立合同所必需等) 和是否超出必要范圍��。如果醫(yī)院在未獲同意的情況下���,將患者名單出售給藥企����,無(wú)疑涉嫌犯罪����。但如果醫(yī)院在獲得患者明確授權(quán)后��,將其去標(biāo)識(shí)化的診療數(shù)據(jù)(作為數(shù)據(jù)產(chǎn)品)在合規(guī)的數(shù)據(jù)交易所進(jìn)行交易�,并給予患者收益分成����,這則是在探索合法的數(shù)據(jù)要素市場(chǎng)化路徑���。當(dāng)然�,后者對(duì)合規(guī)性的要求極高��,目前仍處于謹(jǐn)慎探索階段���。值得注意的是�����,最高人民法院��、最高人民檢察院的司法解釋明確�,非法獲取�����、出售或提供健康生理信息等敏感信息,其入罪的數(shù)量標(biāo)準(zhǔn)遠(yuǎn)低于一般個(gè)人信息�,體現(xiàn)了法律對(duì)醫(yī)療數(shù)據(jù)的特殊保護(hù)。
3.2 落實(shí)動(dòng)態(tài)化��、全流程的管理機(jī)制
個(gè)人信息保護(hù)不能是靜態(tài)的�、一次性的。它必須是一個(gè)嵌入業(yè)務(wù)流程的��、動(dòng)態(tài)的持續(xù)過(guò)程����。醫(yī)療機(jī)構(gòu)需要建立一套機(jī)制,確保在數(shù)據(jù)生命周期的每一個(gè)環(huán)節(jié)(收集���、傳輸��、分析��、共享���、銷毀),都能實(shí)時(shí)地:
識(shí)別
正在處理的是否為個(gè)人信息����?屬于一般個(gè)人信息還是敏感個(gè)人信息���?評(píng)估
處理活動(dòng)是否符合最初告知的目的?是否超出了同意范圍�?是否存在新的風(fēng)險(xiǎn)?控制
根據(jù)評(píng)估結(jié)果����,實(shí)施相應(yīng)的訪問(wèn)控制�、加密、審計(jì)等安全措施����。記錄
完整記錄處理活動(dòng)、同意狀態(tài)�����、風(fēng)險(xiǎn)評(píng)估和決策依據(jù)���,以滿足合規(guī)審計(jì)和舉證要求��。
3.3 監(jiān)管機(jī)構(gòu)的權(quán)力邊界與公共責(zé)任
醫(yī)保局���、衛(wèi)健委�、疾控中心等機(jī)構(gòu)���,基于法定職責(zé)收集和掌管著海量醫(yī)療健康個(gè)人信息���。它們既是監(jiān)管者,也是重要的數(shù)據(jù)處理者��。這些機(jī)構(gòu)必須清醒認(rèn)識(shí)到:其處理個(gè)人信息的權(quán)力�,完全來(lái)源于公共管理職能的法律授權(quán),而非對(duì)數(shù)據(jù)的“所有權(quán)”�����。 “持有”數(shù)據(jù)不等于可以“隨意使用”數(shù)據(jù)�����。
例如��,醫(yī)保局為基金監(jiān)管之目的分析診療數(shù)據(jù)是合法的����,但若將這些數(shù)據(jù)用于與監(jiān)管職能無(wú)關(guān)的商業(yè)分析或提供給第三方,則必須重新尋找法律依據(jù)——在數(shù)據(jù)法實(shí)踐中���,確實(shí)普遍出現(xiàn)了一種誤區(qū):只看數(shù)據(jù)法��,忘記行政法�����。
涉及依托公權(quán)力或法律法規(guī)授權(quán)�����、行政機(jī)關(guān)委托行使職能的機(jī)構(gòu)和其他單位在探索公共數(shù)據(jù)運(yùn)營(yíng)時(shí)��,必須嚴(yán)格遵循“依法授權(quán)����、程序正當(dāng)��、公益優(yōu)先����、安全可控”的原則,其操作同樣需要接受數(shù)據(jù)分類分級(jí)和個(gè)人信息保護(hù)規(guī)則的約束�����。它們的行為應(yīng)當(dāng)成為全社會(huì)合規(guī)的典范,而非例外�����。
結(jié)論:以系統(tǒng)化合規(guī)駕馭數(shù)據(jù)洪流�,行穩(wěn)致遠(yuǎn)
醫(yī)療健康數(shù)據(jù)的應(yīng)用已進(jìn)入一個(gè)波瀾壯闊又暗流洶涌的時(shí)代。人工智能��、精準(zhǔn)醫(yī)療���、跨域研究帶來(lái)的機(jī)遇前所未有��,而數(shù)據(jù)安全與個(gè)人隱私面臨的挑戰(zhàn)也空前復(fù)雜���,應(yīng)對(duì)這一復(fù)雜局面的鑰匙,正是《醫(yī)療數(shù)據(jù)管理辦法》所倡導(dǎo)的��、并與上位法精神一脈相承的 “分類分級(jí)�����、場(chǎng)景適配����、動(dòng)態(tài)治理” 體系�。
分類分級(jí)不是給數(shù)據(jù)貼上僵化的標(biāo)簽���,而是為其進(jìn)行精準(zhǔn)的“數(shù)字身份”登記�,從而明確其在法律坐標(biāo)系中的位置和流動(dòng)規(guī)則�。它從源頭上厘清了公共數(shù)據(jù)、行業(yè)重要數(shù)據(jù)與機(jī)構(gòu)數(shù)據(jù)的權(quán)責(zé)邊界����,旨在打破“數(shù)據(jù)割據(jù)”,而非加固孤島����。場(chǎng)景化分析揭示了,從最前端的門診知情同意����,到最復(fù)雜的跨境科研合作���,再到最關(guān)鍵的第三方管理與最前沿的AI賦能�,每一個(gè)環(huán)節(jié)都有其獨(dú)特的合規(guī)邏輯和風(fēng)險(xiǎn)要點(diǎn)����,無(wú)法用“一刀切”的方式應(yīng)對(duì)����。
貫穿始終的�����,是對(duì)個(gè)人信息保護(hù)這一基本人權(quán)的堅(jiān)守�����。澄清“匿名化”與“去標(biāo)識(shí)化”的謬誤��,理解敏感信息與重要數(shù)據(jù)的交叉與區(qū)別�,是避免系統(tǒng)性法律風(fēng)險(xiǎn)的前提。無(wú)論是醫(yī)療機(jī)構(gòu)還是監(jiān)管機(jī)構(gòu)自身��,都必須在法律的授權(quán)范圍內(nèi)行事���,尊重?cái)?shù)據(jù)背后自然人的權(quán)利��。
歸根結(jié)底���,安全是發(fā)展的前提,合規(guī)是創(chuàng)新的保障。一套嚴(yán)謹(jǐn)��、系統(tǒng)����、可操作的分類分級(jí)與個(gè)人信息保護(hù)體系,不是為了阻遏流通應(yīng)用���,而是為了引導(dǎo)其合規(guī)流通���、合規(guī)應(yīng)用、行穩(wěn)致遠(yuǎn)���。
特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容���,出于傳遞更多信息而非盈利之目的,同時(shí)并不代表贊成其觀點(diǎn)或證實(shí)其描述�,內(nèi)容僅供參考。版權(quán)歸原作者所有�����,若有侵權(quán)�����,請(qǐng)聯(lián)系我們刪除����。
凡來(lái)源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng),轉(zhuǎn)載需獲授權(quán)����。
