健康医疗数据共享合规之道

来源:道可特法视界

文章摘要
场景一:电子病历共享 2018年年初,北京市共有30家试点医院实现了电子病历共享调阅,患者在这30家医院中的任意一家就诊后,再到其他29家医院就诊,医生可随时调取患者既往一段时间的检验检查结果、主要诊

场景一:电子病历共享
2018年年初,北京市共有30家试点医院实现了电子病历共享调阅,患者在这30家医院中的任意一家就诊后,再到其他29家医院就诊,医生可随时调取患者既往一段时间的检验检查结果、主要诊断、用药、手术情况等信息,无需患者再次提供。
场景二:居民健康档案共享
《上海市居民电子健康档案服务规范(2020版)》规定,市、区卫生健康行政部门应充分利用居民健康档案信息,对管辖范围内居民主要健康问题、主要健康需求与现有资源供给满足情况予以分析梳理,作为确定辖区卫生健康重点、制订区域卫生规划、统筹医疗资源配置、对医疗健康服务开展评价的依据。
场景三:医疗数据商保对接共享
商保结算平台打通医院和保险公司的数据信息库后,患者住院时填写相关申请,出院时医院会将治疗费用、门诊数据、急诊数据和住院数据等信息推送至后台,商业保险公司核赔人员再对患者医疗数据资料进行审核,审核成功后患者出院结算时实现“秒”赔。
上述三个场景分别代表健康医疗数据共享的医院间互联互通应用场景、政府管理应用场景、商业化应用场景。对于健康医疗数据的控制者(主要为医疗机构)来说,数据共享应用方案的设计、实施须在每一个环节中避免侵害到患者的个人信息权利,如何合规地使方案落地运行是一道难题。本文主要站在健康医疗数据控制者的角度,结合既有规定以及我们的项目服务经验,提炼通常的共享应用之道,主要为四个方面:
数据分级;
数据共享的合法性基础;
数据共享的方式;
数据共享的要求。
一、数据分级
基于数据的敏感程度、等级保护不同,数据共享的范围、方式、要求也相应不同。因此,首先有必要对数据控制者所掌握的数据按照类别进行划分,并按照重要程序、敏感程度对数据进行分级,或者说数据分类服务于数据分级。
基于《个人信息保护法》、《人类遗传资源管理条例》等对不同类别信息的规定,可将健康医疗数据划分成5级:
人类遗传资源数据
敏感个人信息
一般个人信息
匿名化数据
机构数据
第1级,人类遗传资源数据
涉及人类遗传资源数据(包括含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料以及利用人类遗传资源材料产生的数据),数据控制者应按照《人类遗传资源管理条例》的规定执行。
第2级,敏感个人信息
《个人信息保护法》第二十八条第一款规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”根据该定义,健康医疗数据中的个人属性数据(例如个人身份信息、生物识别信息)、健康状况数据(例如既往病史、人体微生物检测)、医疗应用数据(例如用药信息、病程记录)、医疗支付数据(例如医保支付信息、交易金额)大多数属于敏感个人信息。对于敏感个人信息的处理(包括共享),《个人信息保护法》设专节特殊规定。
第3级,一般个人信息
除敏感个人信息外,健康医疗数据中已识别或者可识别的自然人有关的各种信息属于一般个人信息。对其处理(包括共享),也应按照《个人信息保护法》的相关规定进行。
第4级,匿名化数据
《个人信息保护法》对个人信息的定义中不包括匿名化处理后的信息,对其进行共享无需考虑《个人信息保护法》的系列规定。所谓匿名化处理后的数据,是指个人信息经过处理无法识别特定自然人且不能复原的数据。通常而言,公共卫生数据(例如环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等)即属于匿名化数据。
第5级,机构运营数据
与患者、自然人无关的信息都属于该类数据,如医院运营数据、剩余床位信息、剩余可就诊号源信息。
当然,医疗机构等数据控制者宜根据其所管辖数据的类型、特性、规模以及机构特性等因素,综合考虑本机构数据安全管理的总体目标和安全策略要求,按照一定的颗粒度对数据进行合理的梳理、归类和细分,最终确定数据分级清单。
二、数据共享的合法性基础
在数据分级的基础上,我们分别分析各级数据共享的合法性基础。
第1级数据,其共享的合法性基础规定于《人类遗传资源管理条例》,该条例第三章分别就境内机构、外方单位利用人类遗传资源开展研究开发活动作了原则性规定,具体实施细则还有待行政规章、规范性文件进行细化。
第2级数据与第3级数据事关个人信息,梳理《个人信息保护法》,其共享合法性基础有以下三点:
1. 取得个人的同意。根据《个人信息保护法》第二十三条的规定,第2级数据与第3级数据如共享给其他数据处理者,都须取得个人的单独同意。所谓单独同意,区别于一揽子概括式同意,而是针对特定事项的同意。
2. 履行法定职责或者法定义务所必需。法定职责中的“法”是广义的法,既包括全国人大及其常委会颁布的法律,也包括行政法规、地方性法规、部门规章和地方政府规章等规范性法律文件。法定义务不同于法定职责,前者则限于普通的民事主体即自然人、法人和非法人组织,后者仅指公权力机关即国家机关以及法律法规授权的具有管理公共事务职能的组织。本文首部医院间的电子病历共享,如系相关主管部门以规范性文件规定,则医院共享电子病历系履行法定职责行为,无须取得个人同意。
3. 应对突发公共卫生事件或者紧急情况所必需。法益具有位阶,特殊情况下,个人权利应让位于公共利益。《国家突发公共卫生事件应急预案》即规定:未发生突发公共卫生事件的地区应根据其他地区发生事件的性质、特点、发生区域和发展趋势,须重点做好的工作之一为密切保持与事件发生地区的联系、及时获取相关信息。该种情形下,相关个人信息的共享也无须取得个人同意。
第4级数据,相关规定鼓励充分利用、为社会和公众服务,其共享的合法性基础主要是单位内部的审批,由数据控制机构根据具体情况判断是否可以公开。《全国卫生统计工作管理办法》第二十五条规定:“卫生行政部门、卫生事业单位内其他机构公布业务统计数字,必须经本部门、本单位统计机构或综合统计工作所在机构审核。”
第5级数据,在法律性质上主要为医疗卫生机构在提供社会公共服务过程中制作、获取的信息,其共享的合法性基础见之于主管部门的规定:《国家卫生计生委办公厅关于印发医院、计划生育技术服务机构等9类医疗卫生机构信息公开目录的通知》(国卫办政务发〔2015〕12号)。
三、数据共享的方式
实践中的数据共享方式主要有两种。在国家标准GB/T 39725-2020《健康医疗数据安全指南》中,数据共享的五种方式及说明、适用类型见下表:

开放形式

说明

适用公开共享类型

网站公开

统计概要类数据或经匿名处理后的数据,向大众开放,可自行下载分析。

完全公开共享

文件共享

由数据系统生成文件并推送至SFTP接口设备或应用系统,或采用移动介质进行共享。

受控公开共享

API接入

系统之间通过请求回应方式提供数据,由数据系统提供实时或准实时面向特定用户的数据服务应用接口,需求方系统发起请求数据系统返回所需数据,例如通过Webservice接口。

受控公开共享

在线查询

在数据系统提供的功能页面上查询相关数据。

完全公开共享(匿名查询)受 控公开共享(用户查询)

数据分析平台

提供数据分析平台、系统环境、挖掘工具以及不含敏感数据的样本数据或模拟数据。平台用户共享或者专用硬件和数据资源,可以部署自有数据和数据分析算法,可以查询权限内的数据和分析结果。平台所有原始数据不能导出;分析结果的输出、下载必须经审核通过后才能对外输出。

领地公开共享

注:完全公开共享,是指数据一旦发布,很难召回,一般通过互联网直接公开发布。受控公开共享,是指通过数据使用协议对数据的使用进行约束。领地公开共享,是指在物理或者虚拟的领地范围内共享,数据不能流出到领地范围外。以上表格来源于GB/T 39725-2020。

在地方标准方面T/SHIA 8—2020《四川省健康医疗大数据共享应用指南》中,三种数据共享方式、说明及要点整理如下:
共享方式说明要点

共享资源池

共享资源池是指数据资源可以随时的使用与共享,但是不随时的创建与产生的一种数据存储方式。

在共享资源池中数据采用不同的路径按相同的标准与格式进入数据资源池,数据的使用与共享方面则采用统一的流程和接口进行管控。共享资源池应充分考虑数据流转过程中前期、中期、后期的数据脱敏隐私保护机制,实时动态脱敏与常规静态脱敏相结合。

业务协同数据共享

平台开展业务协同数据共享的应完全基于平台展开合作。

数据应只通过平台进行流转共享,共享数据不得流出各协同平台的范围。

点对点数据合作

开展点对点数据合作的,应采取一事一议的合作原则。

需开展点对点数据合作的由合作双方统一向业务开展区域的卫健行政主管部门提出点对点数据合作申请,应包含合作双方描述、合作基础、合作的目的、合作模式、合作的成果及用途等。


四、数据共享的要求
商保对接、临床科研、患者查询、远程医疗等不同应用场景在共享数据的级别、用途、对象都有差别,因而涉及数据共享的具体要求也有诸多差异。一般而言,共性上的数据共享要求主要有以下几点:
· 1 · 合理确定数据处理的操作权限。信息共享系统中不同操作人员应具有不同的操作权限,从信息安全来说不应该随意进行系统的操作授权,确保在数据共享传递中不向非权限主体透露敏感信息。
· 2 · 采取相应的加密、去标识化等安全技术措施。在一些公共场所,发生过经由信息系统透露患者隐私的情况,信息系统在显示患者信息或语音播放信息时,应通过特殊符号、加工处理的语音来通知患者。医疗机构宜尽可能采用替换、重排、截断或掩码等去标识化技术对患者信息进行去标识化处理。详细要求可参考GBT 37964-2019《个人信息去标识化指南》。
· 3 · 数据共享影响评估。鉴于健康医疗数据涉及大量的个人敏感信息,因此须按照《个人信息保护法》规定进行个人信息保护影响评估,并对数据共享处理过程进行记录。包括以下内容:个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。
· 4 · 书面约束数据使用者。以商保对接数据共享场景为例,医疗机构应对数据对接的方案进行安全评估,通过协议约定与商业保险公司针对所披露的健康医疗数据各自承担的安全责任,明确向商业保险公司披露健康医疗的信息内容与范围,包括健康医疗数据的使用范围、健康医疗数据的种类、健康医疗数据的使用方式、健康医疗数据的使用期限等。

技术驱动法律,专业成就未来