医疗数据保护面临的现实问题
医疗数据的特殊性
不同于一般行业的数据,医疗数据具有其特殊的敏感性和重要性。医疗数据的来源和范围具有多样化的特征,包括病历信息、医疗保险信息、健康日志、基因遗传、医学实验、科研数据等。个人的医疗数据关系到个人的隐私保护,医疗实验数据、科研数据不仅关系到数据主体的隐私、行业发展,甚至关系到国家安全。
基于医疗数据的特殊性,法律对于医疗数据主体的隐私权设置了极为严格的保护机制。例如,我国《艾滋病防治条例》第三十九条规定,未经本人或者监护人同意,任何单位或者个人不得公开艾滋病病毒感染者、艾滋病病人及其家属的姓名、住址、工作单位、肖像、病史资料以及其他可能推断出其具体身份的信息。
因此,在医疗大数据开发和应用的过程中,相关医疗机构和企业应针对医疗数据的来源和类型,进行针对性的合规安排。
医疗数据的归属不明
医疗数据保护的难点之一在于医疗数据的归属不明。一种观点认为,医疗数据反映了患者的健康状况等个人信息,应属患者所有。而另一种观点则认为,医疗数据是医疗机构的诊疗结果,应当归属于医疗机构。
以金至宝与江苏省人民医院医疗服务合同纠纷一案1 为例,本案中,原告要求江苏省人民医院返还其住院期间产生的15 项检查报告原件。一审法院依照《侵权责任法》第六十一条,认为病历资料作为医疗信息的主要载体,法律仅赋予患者病历资料的查阅、复制权。同时,基于病历资料在公共卫生安全、医学研究和教学方面具有重大的社会价值,病历资料的所有权归于医疗机构,因此驳回原告的诉讼请求。二审法院认为,根据《医疗机构病历管理规定》和《侵权责任法》的规定,医疗机构具有保管病历资料的法定义务。本案中,江苏省人民法院不存在返还上诉人15 项检验报告单的情形。
因此,二审法院裁定驳回上诉,维持原判。显然,该判决对病历所载之医疗信息的归属权未予以明确回应。二审法院明确了医疗机构对病历的保管义务,但没有明确医疗机构是否有保管的权利,特别是在患者明确要求返还的情况下。由于现行法律法规对医疗数据的归属并无明确规定,这种归属上的不确定性可能成为后续的大数据开发和应用过程中的法律隐患。
《网络安全法》出台前的医疗数据保护
基于医疗行业数据的特殊性,在《中华人民共和国网络安全法》(“《网络安全法》”)出台前,医疗行业对医疗数据的保护已设置较为细致的法律规范。
医疗数据的收集
在数据收集阶段,《人口健康信息管理办法(试行)》规定,医疗卫生计生服务机构在收集人口健康信息时,应当遵守“一数一源,最少够用”原则,严格实行信息复核程序,避免重复采集,多头采集。《人类遗传资源管理暂行办法》规定,人类遗传资源是指“含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA) 构建体等遗传材料及相关的信息资料”。我国对人类遗传资源实行分级管理,统一审批制度,即人类遗传资源采集、收集、买卖、出口、出境须获得主管部门的行政许可。重要遗传家系和特定地区遗传资源实行申报登记制度,未经科技部许可,任何单位和个人不得擅自采集、收集、买卖、出口、出境或以其他形式向外提供该等数据。
值得注意的是,随着科技的发展,诸如健康APP 运营者、专业从事医疗大数据分析的第三方行业研究机构等主体均涉及到医疗数据的收集。这类主体可能无法被纳入上述有关人口健康信息和遗传资源的法律规范的范畴。而《网络安全法》基于当前的数据收集水平及行业现状,适度扩大了承担医疗数据保护义务的主体范围。将网络运营者(在《网络安全法》项下,是指网络所有者、管理者及网络服务提供者)统一纳入到数据保护的监管范畴。换言之,利用互联网进行医疗数据收集的企业需要严格遵守《网络安全法》的数据保护合规要求。
医疗数据的使用
以医疗行业对于人口健康信息和病历的严格规制为例,人口健康信息应当分类管理,涉及保密信息和个人隐私的,医疗机构不得对外提供。人口健康信息实行利用特别授权制度,即人口健康信息的责任单位建立人口健康信息综合利用工作制度,授权利用单位或个人利用有关信息。利用单位和个人应当在授权范围内利用和发布该等信息。医疗机构及其医务人员应当严格保密患者隐私,除医疗、教学、研究目的外,不得泄漏患者的病历资料。
医疗数据的存储
人口健康信息应当分级存储,建立容灾备份机制,该等信息必须在我国境内存储,不得托管、租赁在境外的服务器。且人口健康信息的责任单位应当履行国家信息安全等级保护制度的要求,建立相关信息的安全保障制度;电子病历系统必需具备病历备份和恢复功能,具有保障电子病历安全的制度和措施;卫生行业应当履行国家安全等级保护义务,重要卫生信息系统安全保护等级原则上不低于第三级。
医疗数据的传输
以人类遗传资源的跨境传输为例,《人类遗传资源管理暂行办法》及其配套规范明确,重要人类遗传资源严格把控出口、出境和对外提供。人类遗传资源采集、收集、买卖、出口、出境审批属于行政许可,由科技部主管。根据科技部公布的相关许可指南,以临床诊疗、采供血(浆)服务、司法鉴定、侦查犯罪、兴奋剂检测和殡葬等为目的的人类遗传资源采集、收集、出口、出境活动,不再适用许可管理,而其他涉及人类遗传资源采集、收集、出口、出境活动,如利用人类遗传资源进行注册用药物或医疗器械临床试验,则应当通过相关审批。因此,我们理解,如果企业拟利用人类遗传资源进行药物开发等活动的,在目前的法律法规体系下必须完成相应的审批程序,方可进行跨境传输。
《网络安全法》提出的新要求
《网络安全法》下的个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。《网络安全法》下的重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据。2016 年12 月20 日,全国信息安全标准化技术委员会发布的《信息安全技术 个人信息安全规范》(征求意见稿)附录B 中,明确将药物食物过敏信息、以往病史、诊治情况等个人的健康信息和指纹、DNA 等生物特征信息纳入个人敏感信息。2017 年8 月30 日,全国信息安全标准化技术委员会发布的《信息技术安全 数据出境安全评估指南(草案)》中,将个人电子病历、健康档案等人口信息认定为重要数据。可见,医疗信息很可能会被明确认定为《网络安全法》下的个人信息或重要数据,从而受到《网络安全法》的规制。我们特此对《网络安全法》下的数据合规要求进行了整合梳理。
对网络运营者的一般要求
网络运营者收集个人信息应当遵循合法、正当、必要的原则,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,事先征得被收集者同意。换言之,网络运营者在收集个人信息时,不仅需告知被收集者其信息将被收集,更须就该等信息收集获得被收集者的同意,使其知晓该数据的用途,例如用做科研,企业将数据传输给第三方等。
网络运营者不得泄露、篡改、毁损、出售或者非法向他人提供个人信息,除非该等信息经过处理无法识别特定个人且不能复原(即脱敏技术)。此外,网络运营者应该采取技术措施和其他必要措施确保其收集的个人信息的安全性。若发生安全问题应立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
对关键信息基础设施运营者的特别要求
(1) 医疗行业领域的企事业单位很可能会被认定为关键信息基础设施运营者
《网络安全法》下的关键信息基础设施,是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。国家网信办在2016 年发布的《国家网络安全空间战略》和2017 年7 月10 日发布的《关键信息基础设施安全保护条例(征求意见稿)》,均将卫生医疗行业领域的单位认定为关键信息基础设施运营者,表明了监管机关对医疗卫生行业信息系统的监管态度。即,医疗卫生行业属于公共服务行业,因其重要性,极有可能被认定为关键信息基础设施。相关企业单位应当对后续出台的关键信息基础设施识别指南予以关注并提前作出相应的合规安排。
(2) 关键信息基础设施运营中的相关义务
如前述,若医疗行业领域的企事业单位被认定为关键信息基础设施运营者,则其在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要确需向境外提供的,应当经过安全评估。
针对个人信息的范畴,人口基本信息、医疗卫生服务信息等人口健康信息,以及含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA) 构建体等遗传材料及相关的信息资料等医疗信息,大多能够单独或者与其他信息结合定位到特定自然人,因而可能会被认定为属于个人信息。针对重要数据,在新颁布的国家标准《信息安全技术 数据出境安全评估指南》征求意见稿中,与医疗行业相关的重要数据主要包括以下两类。
第一类是人口健康信息,其主管部门为卫生计生委,主要包括:
(a) 在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息;
(b) 突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私和相关疾病、流行病学信息等;
(c) 医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息;
(d) 人体器官移植医疗服务中人体器官捐献者、接受者和人体器官移植手术申请人的个人信息;
(e) 人类辅助生殖技术服务中精子、卵子捐献者和使用者以及人类辅助生殖技术服务申请人的个人信息;
(f) 计划生育服务过程中涉及的个人隐私;
(g) 个人和家族的遗传信息;
(h) 生命登记信息。
第二类是药品信息,其主管部门为食品药品监管总局,主要包括:
(a) 涉及国家战略安全的药品在药品审批过程中提交的药品实验数据,例如在动物模型上进行的药理、毒理、稳定性、药代动力学等试验数据,在人体中进行的临床试验数据,以及与药品的生产流程、生产设施有关的试验数据;
(b) 第二类、第三类医疗器械临床试验数据/报告;
(c) 药品安全重大(紧急)信息。包括事件发生时间、地点、当前状况、危害程度、先期处置、发展趋势、事件进展、后续应对措施、调查详情、原因分析。
这意味着,即便该等医疗信息经过脱敏处理难以识别特定个人身份,该等信息的集合亦很有可能被认定为与国家安全、经济发展,以及社会公共利益密切相关的重要数据。
因此,被认定为关键信息基础设施运营者的医疗企事业单位,应当将其收集和产生的上述个人信息或重要数据存储于中国境内。此外,《网络安全法》并未要求该等本地化存储必须由网络运营者本身实现。因此,该等医疗企事业单位若不具备本地化存储的条件、技术或需求,可以委托第三方数据存储机构对相关数据进行本地化存储。
需要注意的是,在决定与第三方数据存储机构合作之前,应当自行或聘请专业人员对该等第三方的信息系统、数据存储技术、安全保障机制、人员配置等等进行必要的尽职调查,以确保相关数据在存储、使用、分享过程中处于安全的状态。若因业务需要,确需向境外提供有关数据的,有关单位应当按照相关法律法规的要求进行安全评估。通过安全评估后,相关数据方可向境外提供。医疗数据的跨境传输除了要完成《网络安全法》项下的安全评估要求外,若涉及例如人类遗传资源等特殊数据的,还应依照相关单行法规完成相应审批手续。
本文选自《信息安全与通信保密》2017年第九期