在本文上篇中,笔者重点介绍了医保数据的价值所在、合规的重要性、医保数据的类型和安全级别、医保数据安全措施建议。在下篇中,笔者将针对个人医保数据保护、医保机构组织架构管理措施提出建议。
05、个人医保数据保护建议
根据《个人信息保护法》的规定,医保机构收集、存储和使用的数据包含个人信息,因此医保机构是个人信息处理者,有保护个人信息的职责,有鉴于此,在此我们亦针对医保机构的个人信息保护责任给出一些建议:
第一,作为个人信息处理者在处理个人信息时需要制定个人信息处理规则(也常在APP内被称为“隐私政策”)并送达给信息主体,当个人信息处理规则逐一送达个人信息主体成本过高或有显著困难时,可以公告的形式发布;且在内容发生变化时,应及时更新个人信息保护政策并重新告知个人信息主体。
第二,医保机构在收集个人信息时,因公共利益或履行法律法规规定的义务收集的个人信息的类型应与医保机构的法定职责有直接关联;由于公共利益或履行法律法规规定的义务之外的原因收集个人信息的,应考虑是否获得个人信息主体的授权。根据《个人信息保护法》的要求,收集一般个人信息应征得个人信息主体同意;收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;收集个人生物识别信息(如人脸、指纹)前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;间接获取个人信息时,应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
第三,个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行授权同意的除外;超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。传输和存储个人敏感信息时,应采用加密等安全措施;个人生物识别信息宜与个人身份信息分开存储;原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:
1)仅存储个人生物识别信息的摘要信息;
2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;
3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
第四,医保机构在使用和披露个人信息时应制定、实施合理的策略与流程,将使用和披露限制在最低限度,并需要注意如下问题:
1、个人信息的访问控制
(1)对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;
(2)对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;
(3)对安全管理人员、数据操作人员、审计人员的角色进行分离设置;
(4)确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;
(5)对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。
2、个人信息使用限制
除向个人信息主体提供其本人的数据或在其支付医疗费用时使用个人信息或者在履行法律规定的其他职责时使用或披露个人数据时,不需要获得主体授权,否则不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围使用或披露个人信息。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意;如所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息,对其处理应遵循收集个人信息时获得的授权同意范围。
3、信息系统自动决策机制的使用
个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的(例如,系统自动决定医保相关申请是否通过等),应:
a)在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b)在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;
c)向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。
4、医保机构作为委托方,委托第三方处理数据时,应确认处理者的安全能力满足安全要求,并签署数据处理协议后,才能让处理者为其进行数据处理,处理者应当按照控制者的要求处理数据,未经控制者许可,处理者不能引入第三方协助处理数据。
5、医保机构依据法律规定向政府授权的第三方控制者传送数据前,应取得加盖政府公章的相关文件,数据传送后,数据安全责任以及传输通道的安全责任由第三方控制者承担。非因履行法定职责向第三方传输数据应当符合《个人信息保护法》关于个人信息共享、转让的规定,履行个人信息安全影响评估、履行告知、合同签订、记录、监督的个人信息保护责任。
6、控制者在确认数据使用的合法性、正当性和必要性,并确认使用者具备相应数据安全能力,且使用者签订了数据使用协议并承诺保护受限制数据集内的个人健康医疗数据后,可将受限制数据集用于科学研究、医疗保健业务、公共卫生等目的;使用者只能在协议约定的范围内使用数据并承担数据安全责任,在使用数据完成后,应按照控制者要求归还、彻底销毁或者进行其他处理。未经控制者许可,使用者不能将数据披露给第三方。
7、如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数据,该数据不再属于个人信息,但其使用和披露应遵守国家其他相关法规要求。
第五,医保机构应保障个人信息主体的权利。主体(或其授权代表)有权访问其个人健康医疗数据或要求披露其数据,医保机构应按其要求披露相应个人健康医疗数据,例如通过API接入方式访问后披露;主体有权复查并获得其个人健康医疗数据的副本,医保机构应提供,例如通过文件共享或者在线查询方式提供;主体发现医保机构所持有的该主体的个人健康医疗数据不准确或不完整时,医保机构应为其提供请求更正或补充信息的方法;主体有权对医保机构或其处理者使用或披露数据的情况进行历史回溯查询,最短回溯期为六年;主体有权要求医保机构在支付或提供其他服务过程中限制使用或披露个人健康医疗数据,以及限制向相关人员披露信息;医保机构没有义务同意上述限制请求,但一旦同意,除非法律法规要求以及医疗紧急情况下,控制者应遵守约定的限制。
第六,医保机构开发具有处理个人信息功能的产品或服务时,宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。
第七,医保机构宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括:所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得);根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;与个人信息处理活动各环节相关的信息系统、组织或人员。
第八,医保机构应按照法律的规定开展个人信息安全影响评估和个人信息审计工作,并留存合规报告和审计记录。
06、医保机构组织架构管理措施建议
若仅有安全和个人信息保护措施而没有组织架构对措施的落实进行保障,各项措施容易形同虚设,最终数据安全和个人信息保护还是得不到落实。有鉴于此,我们针对医保机构的组织管理给出一些建议:
1、组织架构
医疗保障部门宜建立完善的组织保障体系,至少包括健康医疗数据安全委员会和健康医疗数据安全工作办公室,指定个人信息保护负责人,以确保做好健康医疗数据安全管理工作和个人信息保护工作,并形成相应的文档记录。
(1)医疗保障部门应建立健康医疗数据安全委员会(简称委员会),对健康医疗数据安全工作全面负责,讨论决定健康医疗数据安全重大事项,委员会的职责包括:负责审核健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方案和应急处置方案;负责审核数据安全相关规章制度(例如数据使用的审批流程);负责审核去标识化策略和流程;定期召开工作会议,建议每月至少召开一次。委员会成员应当包含医保机构高层管理人员和各业务口负责人,且应当由医保机构的最高负责人担任主任委员。
(2)建立健康医疗数据安全工作办公室,指定专人(数据安全官)负责健康医疗数据安全日常工作。办公室的职责包括:负责落实执行健康医疗数据安全委员会的各项决定,并向委员会报告工作;负责制定健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方案和应急处置方案;负责建立数据安全相关规章制度;负责制定数据使用审批流程,以及去标识化策略和流程;梳理业务流程及涉及的健康医疗信息系统和数据,并进行安全风险分析和合规分析,提出健康医疗数据安全工作建议;形成并管理好元数据结构,形成符合业务流程的数据和系统供应链结构;负责人员的数据安全教育与培训,确保相关人员具备相应数据安全能力;至少每年对健康医疗数据安全工作进行全面自查,并作出整改建议;审计健康医疗数据使用情况,并适时调整改进安全措施;监测预警健康医疗数据安全状态,并适时调整改进安全措施。
(3)指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。医保机构应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。个人信息保护负责人的职责包括:定期检查个人信息处理规则是否及时更新,监督在收集个人信息时是否合法合规、定期检查存储个人信息是否超出必要的最短时间、定期检查是否在必要情况下对个人信息进行匿名化处理,检查监督个人信息的最小访问控制策略是否建立或落实、个人信息的使用是否得到有效限制、是否保障了信息主体的访问、复查、更正、补充等权利,是否对个人信息的处理和使用进行了记录,是否按照法律规定进行个人信息保护评估和个人信息审计。个人信息保护负责人还需要负责与监管部门保持沟通,报告个人信息保护和事件处理的情况。
3、工作流程方面
医保机构的数据管理工作应分为规划、实施、检查、改进、应急处置五个板块,各项工作皆宜形成相应文档记录。
其中,规划阶段对于数据安全的工作主要有:界定健康医疗数据安全工作范围、建立健康医疗数据安全策略并通告全组织、建立数据安全相关规章制度并通告全组织、建立健康医疗数据安全风险评估方案和合规评估方案、梳理健康医疗数据相关业务及涉及的系统和数据、识别健康医疗数据安全风险并评估影响、识别健康医疗数据安全合规风险点并评估影响、针对风险建立风险处置方案、评审并通过风险处置方案、建立数据安全应急处置方案。对于个人信息保护的工作主要有:制定个人信息保护规则、个人信息访问控制策略、个人信息匿名化处理方案、分级分类规则、信息主体权利保护策略、个人信息保护评估和个人信息审计方案等。
规划工作建立完毕之后,则需关注各项规划的落地实施,在实施阶段需要关注以下方面:
健康医疗数据使用和披露过程中,各个环节宜严格执行既定数据安全相关规章制度、安全策略和流程、个人信息保护策略;实施风险处置方案,包括实施选定的安全措施;配备适当的资源,包括人力、物力、资金,支撑安全工作开展;开展必要的信息安全教育和培训;对开展的信息安全工作和投入信息安全工作的各项资源实施有效的管控;针对信息安全事件采取有效应对措施。
数据安全风险的防控是一个常态化的防控过程,因此在实施过程中需要通过不断的检查来检验实施效果,检查阶段工作主要有:监控健康医疗数据安全相关工作过程,例如安全措施实施过程;定期评审风险处置方案的实施有效性,包括评估相应措施在实施后剩余风险的可接受程度等;定期检查健康医疗数据使用披露是否符合使用披露要求;定期检查是否进行了安全技术工作和去标识化工作;检查过程纳入监管;根据情况实施自查,或是请第三方机构进行检查。
在检查中发现的问题应当有针对性的改进安全措施,包括采取预防性措施,或是调整可能影响健康医疗数据安全和个人信息保护的业务活动内容。
医保部门建立数据应急预案的主要目的是为了妥善应对医保信息系统可能出现的故障和各类网络安全和数据泄露事件,如大规模拒绝服务攻击、高级可持续性威胁攻击、大规模公民个人信息泄露等。预案中包括了在出现问题时的及时通知机制、问题分析和处理流程,以及如何合理安排医保患者的计费、出入院等事项。例如,如果是因为医保经办机构或医院信息系统原因所致的整体故障,且在短时间内不能排除时,需向参保人员做好解释工作;如果是单一终端软、硬件故障或单一病人信息问题,则需尽快处理。
数据的活力与价值固然在流动与使用中得到体现,但唯有遵守相应的法律法规,采取安全管理措施,充分履行合规义务,医保数据才能在安全保障的“高速公路”上飞驰,稳定发挥最大的价值。
医保数据合规管理——以发挥数据要素价值为导向(下)
作者:余斐蓉 王勤琢来源:凌科安时律师事务所

在本文上篇中,笔者重点介绍了医保数据的价值所在、合规的重要性、医保数据的类型和安全级别、医保数据安全措施建议。在下篇中,笔者将针对个人医保数据保护、医保机构组织架构管理措施提出建议。