医保数据合规管理——以发挥数据要素价值为导向(上)

来源:凌科安时律师事务所

文章摘要
在全球数字经济的大背景下,数据已经成为最具价值的生产要素之一。在医疗保障体系内,数据更是医疗保障信息化的核心。

在全球数字经济的大背景下,数据已经成为最具价值的生产要素之一。在医疗保障体系内,数据更是医疗保障信息化的核心。而医疗保障的信息化是医保事业高质量发展的基础,同时也是医保治理体系和治理能力现代化的重要支撑。因此,医保数据的质量是进行行业调控的重要基础,充分发挥医保数据要素价值具有必要性与紧迫性。
01、医保数据的价值所在
2022年12月19日中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)中明确,要以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线,以数据产权、流通交易、收益分配、安全治理为重点,构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度,充分实现数据要素价值。
数据是一种新型生产要素,具有许多其它传统生产要素不具备的属性。例如,数据的总量是由于现代人类活动的进行而快速增长的,已趋向于普通人认知中的天文数字;数据具有流动性,使用或复制边际成本很低,且使用过程中非但不会被消耗,反而不断有新的数据从中产生;作为基础性资源,数据还能大幅提升其他要素的生产效率,快速释放红利,为现代经济培育新的增长点。当下,数据所引发的生产要素变革,重塑着全社会的认知,也更新着我们的生产、需求、供应、消费乃至社会的组织运行方式。拿就业来说,新出现的职业如区块链技术人员、在线教学教师、直播带货销售员、医疗大数据分析师等,都是由数据的飞速增长、不断流动催生而来的。正因如此,为了让数据要素能够产生最大的价值,就是要让它能充分流动,最终流向可以产生最大价值的地方。深埋于地下的石油无法充分发挥它的价值,但当作为信息时代的“石油”——数据充分流动起来时,整个社会网络信息体系的庞大机器都会被激活带动。
我国正在努力探索建立数据产权制度,推动数据产权结构性分置和有序流通。不过在中国的数据产权制度尚未完善的当前,医保数据的价值仍主要体现在医疗保障体系内,包括对医保数据进行深度分析和预测,从而更准确地确定医保总额预算和资金分配计划;有效识别出医保基金的滥用和浪费情况,例如过度医疗、虚假报销等,进而采取相应的措施进行整改。此外,医保数据分析还可以帮助识别出医疗服务的供需状况,以便在需求较高的地区增加医保资金投入,而在需求较低的地区适当减少投入;医保数据可以用于规避医疗风险,为打击欺诈骗保、药品和耗材招采、待遇政策制定和调整等提供数据支撑。
同时,提高社会医疗保险的数据质量有利于业内人士更清晰地认识该行业的发展情况,从而调整行业发展政策,优化医疗资源配置,推动医疗保险更好地服务居民医疗,从而提高保险的社会信任度,并提高人们的医疗保障水平;其次,医保年度数据可以作为各级医保行政部门开展医保运行绩效分析的数据基础。例如利用这些数据分析医保参保率、医保基金的收入和支出情况等,从而了解医保制度的运行效果,为政策制定提供依据;这些数据也可以成为各级卫生健康部门、财政部门、税务部门、审计部门结合自身职能对医疗保障相关工作进行绩效分析的依据;此外,各类社会智库、企业公司也可以利用这些数据开展行业趋势研究和制定企划战略基础。但是这些都仍未真正发挥出医保数据的全部价值。
02、合规是数据流动与充分价值化的前提
在数字化转型发展过程中,很多单位、企业多为业务导向思维,只关注经营业绩成长,并不重视合规管理,有的甚至认为合规管理是自缚手脚,不但增加成本,还会减少业绩并降低效率,所以主动开展合规的动力不足。
但应充分认识到,数据中的信息,尤其是医保数据中携带的信息,是有很大可能涉及机密信息、个人隐私和国家安全的。医保平台掌握了海量个人数据,或在医疗领域内掌握具有垄断性的用户信息,一旦发生滥用、泄漏和误用,将严重危害公民个人安全甚至是社会、国家安全,相关监管机构必然会对此重点领域加强管理,所以对医保数据要素的利用必须以安全为前提。
近年来,医保数据的应用重点围绕四个方面推进:汇聚和完善医保大数据、加快大数据平台建设、持续助力医保业务发展以及构建数据安全体系。各级医保部门也结合当地实际情况,不断推进信息平台在本地医保工作各个场景的应用,并探索由此产生的海量医保数据的治理和应用。自《医保数据“两结合三赋能”工作方案》(以下简称《工作方案》)提出了“两结合三赋能”的新概念以来,如何对医保数据规范治理的讨论也开始越来越多地出现在各级医保部门的工作动态中。无论是医保体系内部的数据结合,还是医保数据与其他数据的结合;亦或是医保数据对于医保改革、管理和服务的赋能,数据的完整性、可用性、保密性、可控性、不可否认性和可靠性都是基础和前提,只有具备上述属性的数据才具备流动的可能和使用的价值。因此医疗保障机构在现在这个医保数据已经展现巨大价值的时代,必须进行合规的数据管理。
如何发挥出医保数据的全部价值?只有在解决了数据的合规问题后,才能实现数据的共享和交易,医保数据才能流动到其他行业和领域,完全发挥出市场价值。比如:商业保险公司可以利用真实的医保数据进行深度分析和预测,如在产品设计阶段预测投保人群的风险特征和未来赔付情况,从而降低“赔穿”风险,并深度挖掘不同城市和人群的保障需求;医保数据还可以为医药和器械公司市场调研、银行普惠金融贷款、保险产品设计定价、投保核保、个人健康管理等多个大健康场景提供有效支撑。
03、医保数据的类型和安全级别
要对数据进行合规管理,我们必须首先了解医疗保障涉及哪些类型的数据。首先,应当认识到所有的医保数据其实都是健康医疗数据。虽然有些数据表面看起来与自然人生理或心理健康没有直接关系,但根据GB/T39725-2020《信息安全技术健康医疗数据安全指南》(以下简称《指南》),健康医疗数据是涵盖了个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据的,例如经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。
而个人健康医疗数据是指单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据,涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等。因此,只要是因为处理个人生理和心理健康问题产生的相关数据都属于健康医疗数据。而且根据《指南》的规定,医保机构属于健康医疗数据控制者,因此医保机构应当对其控制的健康医疗数据承担法律规定的控制者的相应责任。
详细举例来说,健康医疗数据可以分为:
1、个人属性数据,即单独或者与其他信息结合能够识别特定自然人的数据。如:
(1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等;
(2)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;
(3)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等;
(4)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;
(5)个人健康监测传感设备ID等。
2、健康状况数据,指能反映个人健康情况或与个人健康情况有着密切关系的数据。如主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体生物检测等。
3、 医疗应用数据,指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据,如门(急)诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等。
4、医疗支付数据,指医疗或保险等服务中所涉及的与费用相关的数据,这是医保体系的主要业务数据,包括:
(1)医保账户基本信息,如参保人员姓名、参保时间、人员类别、人员参保状态、单位编号、单位名称、账户余额等信息。
(2)医保个人账户进账明细,如参保人员个人账户金额、缴费基数、缴费标志、到期日期、单位编号等信息。
(3)医保账户欠费情况明细信息,如参保人员欠缴的月份、应缴合计金额、应缴基本医疗保险费、应缴大额医疗保险费、应缴其他费用、银行账户当期余额、缴费状态信息等。
(4)个人账户消费明细查询,如参保人员医疗的结算时间、医疗类别、医疗机构名称、医疗费总额、统筹基金支付、个人账户支付等信息。
5、卫生资源数据,指可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据,如医保定点医院基本数据、医院运营数据等。
6、公共卫生数据,指关系到国家或地区大众健康的公共事业相关数据,如环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。
故根据《指南》的划分,医保数据中主要存在的健康医疗数据有个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据和公共卫生数据六大类别。《指南》还根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响,将健康数据从低到高分为以下五级:

04、医保数据安全措施建议
《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》要求到“十四五”期末,即2025年,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。鉴于医疗保障相关部门均有进行网络安全和数据安全体系建设的职责,我们在此特别针对数据安全的管理给出一些建议:
1、数据分级保护
在数据进行分级分类的基础上,对不同级别的数据实施不同的安全保护措施,重点在于授权管理、身份鉴别、访问控制管理。例如,从个人信息安全的角度出发,对于不同等级的数据采取的安全措施就应当有所区分。
第一级的健康医疗信息是可以公开发布的信息,比如统计数据、需要公众了解的医保局行政性事业收费项目及其依据、标准。这些数据属于公共数据,应当以公告的形式及时公开,其安全等级最低,数据安全的保护责任最小。但是要判定某种具体数据是否属于可以公开的数据则需要数据安全委员会进行评审。
第二级的健康医疗信息是不能进行自然人识别的信息,比如某个区域参加职工医疗保险的企业数量、缴纳医疗保险的参保人员数量、医疗保险金缴纳数额、医保药品使用数据以及匿名化以后的个人缴费及支付数据。这些数据如果完全公开可能会对公共卫生利益造成影响,因此适宜在内部共享,并确保数据的完整性和真实性;如果因为管理、科研、教育、统计分析等原因需要对外共享的,数据共享双方应该签订个人信息保护协议。
第三级的健康医疗信息是服务对象自己可识别,周边的人可以看到数据但不能识别数据主体的信息,这些数据中含有部分个人可识别信息或代码,应与其他信息内容分离,例如服务大厅排队序号(如张**,**号)、医疗保险费用报销单显示数据。这些数据容易被第三人收集,可能会对主体的工作和生活造成影响,应当对个人信息部分进行遮蔽,并对交付对象进行身份核实和数量限制,提供环节中需要考虑个人信息的泄漏问题。
第四级的健康医疗个人信息是需要准确识别出个人的数据,包括完整的个人健康医疗数据,比如医疗保险就诊收费明细数据,这是医院与医保机构进行结算过程中必须要共享的数据,但由于涉及个人信息,宜对数据共享环境与接受者进行严格管控,并实行高标准以保证数据完整性和可用性。
第五级是敏感个人健康医疗信息,比如某一类特殊药物的使用人姓名、医保号码,由于该类信息极其敏感,应当只有极小范围人员可以接触或使用,且使用者和接受者应当履行严格的保密义务,因此这一类信息应当进行特别处理,设置严格的身份鉴别和访问控制权限,否则可能对个人造成严重的影响,也易对公共卫生利益造成严重损害。
2、场景安全措施要点
若要分析数据的使用和处理场景,更加合理的做法是先讨论数据的处理和使用主体,再来按照主体身份设定不同的场景。总体上来讲,使用医保数据的组织和个人可以分为个人健康医疗数据主体、健康医疗数据控制者、健康医疗数据处理者、健康医疗数据使用者四类角色。对于任意特定的组织或个人,围绕特定数据,在特定场景或特定的数据使用处理行为上,都可以归纳为其中一个角色。其中,个人健康医疗数据主体的概念比较好理解,即通过个人健康数据可以识别出来的自然人。健康医疗数据控制者、健康医疗数据处理者则比较容易混淆,其主要区别在于主体是否能够决定数据的处理和使用。如果可以自行决定数据的处理目的、方式和范围则是数据的控制者,如医保机构就是健康医疗数据控制者;如果是接受控制者的授权委托代为使用、处理数据的则是数据处理者,比如第三方信息系统供应商、第三方数据分析公司、数据安全服务提供方。医保数据使用者则是针对特定数据的特定场景,不属于主体,也不属于控制者和处理者,但对健康医疗数据进行利用的相关组织或个人。
由于医保数据是在不同的组织和个人之间流动的,数据流通使用场景的不同,各角色在健康医疗数据应用过程中所涉及的安全环节与肩负的责任便不同,由此决定了各角色需要满足的安全控制要求不同。医保机构宜根据数据使用的应用场景安排不同的安全措施,具体安全措施的设置可以参考下表一。

表一 数据使用安全责任与安全措施要点

场景分类

安全环节

安全责任与安全措施要点

场景举例

主体-医保机构间数据流通

采集安全

控制者:采集数据知情同意

医保账户建立、移动应用

传输安全

控制者:加密、存储介质管控

存储安全

控制者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控

医保机构-主体间数据流通

传输安全

控制者:加密、存储介质管控

主体查询

使用安全

控制者:身份鉴别、访问控制、敏感数据控制

医保机构内部数据使用

收集安全

控制者:数据来源确定、知情同意、审批

内部数据使用

处理安全

处理者:去标识化、权限管理、质量管理、元数据管理

使用安全

控制者:审批授权、身份鉴别、访问控制、审计

存储安全

控制者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控

医保机构-处理者间数据流通

传输安全

控制者:传输前的审查、评估、授权;加密、审计、流量控制、存储介质管控处理者:数据传输加密、传输方式控制

第三方结算

处理安全

处理者:去标识化、权限管理、质量管理、元数据管理、审计

存储安全

控制者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、管理处理者数据存储过程处理者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制

医保机构间数据流通

传输安全

控制者A:对接安全、加密、审计、流量控制、存储介质管控控制者B:对接安全、加密、审计、流量控制、存储介质管控

互联互通

使用安全

控制者A:审批授权、身份鉴别、访问控制、审计控制者B:审批授权、身份鉴别、访问控制、审计

存储安全

控制者A:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制控制者B:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制

医保机构者-使用者间数据流通

传输安全

控制者:传输前的审查、评估、授权;加密、审计、流量控制、存储介质管控

场景举例:商保对接、二次利用

使用安全

使用者:审批授权、身份鉴别、访问控制、审计

存储安全

控制者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、管理使用者数据存储过程使用者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制


3、开放安全措施要点
根据《国家医疗保障局政府信息公开暂行办法》,为提高国家医保局工作的透明度,保障公民、法人和其他组织依法获取信息的权利,建设法治政府,充分发挥国家医保局政府信息对人民群众生产、生活和经济社会活动的服务作用,医保数据应当根据其类型和场景需求不同程度、不同形式地公开。但是,不同数据开放形式均宜:
a) 遵循“最少必要原则”;
b) 数据开放的合法性、正当性、必要性、目的、内容、使用方等经过数据安全委员会审批;
c) 根据使用目的尽可能的去标识化;
d) 明确数据使用目的、使用方需要承担的安全责任、应采取的安全措施等,签署相应的协议;涉及出境的应依规进行安全评估,涉及重要数据的应依规进行评估审批。
此外,不同数据开放形式还需要满足的安全措施要点详见表二所示。
表二 不同数据开放形式安全措施要点

数据开放形式

安全措施要点

场景举例

网站公开

1) 公开数据宜经过数据安全委员会审批。

统计数据公开

文件共享

1) 宜采用密码技术保障数据完整性和可追溯性;2) 宜对文件的大小、内容、生成时间等进行审计;3) 通过移动介质传输的宜采用具有加密或访问控制的移动介质方案。

向个人信息主体提供、向无专线的医院、其他政府部门共享

API接入

1) 宜采用口令、密码技术、生物技术等鉴别技术对接入用户进行身份鉴别;2) 宜采用校验技术或密码技术保证通信过程中的数据完整性,并通过加密等方式保证数据在传输过程中的保密性,加密技术的选择宜考虑应用场景、数据规模、效率要求等方面;3) 宜对API的调用情况进行日志审计,包括但不限于调用方、调用时间、调用接口名称、调用结果等;4) 宜采取WEB安全措施防止SQL注入、XSS、爆破密码等攻击措施。

医保机构和医院的数据共享、医保体现内的数据共享、医保机构与其他政府部门的数据共享

在线查询

1) 匿名可查询的数据经过数据安全委员会审批,确保不涉及个人信息、重要数据等;2) 宜采用口令、密码技术、生物技术等鉴别技术对查询用户进行身份鉴别;3) 宜采用校验技术或密码技术保证通信过程中的数据完整性,并通过加密等方式保证数据在传输过程中的保密性,加密技术的选择宜考虑应用场景、数据规模、效率要求等方面;4) 对查询的数据量、查询次数和查询时间进行审计,形成异常报告;5) 宜对批量查询操作进行监控,发现高频查询及时告警;6) 宜采取WEB安全措施防止SQL注入、XSS、爆破密码等攻击措施。

用户数据查询

数据分析平台

1) 任何分析结果的导出宜经过数据安全委员会审批;2) 宜对平台的访问进行权限管理,包括访问权限和数据使用权限;3) 数据分析平台的数据操作宜具备留痕和溯源功能;4) 导出数据或者结果留存备案待审计。

内部分析


4、安全技术方面
作为健康医疗数据控制者,医保机构还应当参照相应的国家标准,如GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T35274-2017《信息安全技术大数据服务安全能力要求》、GB/T37964-2019《信息安全技术个人信息去标识化指南》等,做好数据安全管理工作,包括:
(1)宜对承载健康医疗数据的信息系统和网络设施以及云平台等进行必要的安全保护;
(2)宜针对数据生命周期内的各项活动,包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等实施数据安全措施,以降低安全风险,保障数据安全;
(3)宜围绕规划、开发、部署、运维等系统生命周期各阶段特点,对数据平台与应用采取必要的安全措施,建立安全的数据管理基础设施,降低数据平台与应用运行安全风险,保障业务连续性。
(4)宜对健康医疗数据进行分类分级管理,制定、实施合理的策略与流程,将使用和披露限制在最低限度。
(5)宜实施身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、介质使用管理等安全措施。
(6)宜确保数据质量满足业务需求,实施备份恢复、剩余信息保护等安全措施。
(7)宜采用密码技术保证数据在采集、传输和存储过程中的完整性、保密性、可追溯性;使用介质传输的,宜对介质实施管控。
(8)存储个人生物识别信息时,宜采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
(9)宜通过数据使用协议约定数据使用目的、方式、期限、安全保障措施等。
(10)去标识化策略、流程和结果宜由数据安全委员会审批。

技术驱动法律,专业成就未来