医疗健康数据的法律监管及合规建议

来源:金诚同达

文章摘要
一、引言 近年来,在政策指引与技术发展的双重作用下,云计算、大数据、物联网和人工智能等新型技术在医疗健康领域应用的深度和广度不断增强。
一、引言
近年来,在政策指引与技术发展的双重作用下,云计算、大数据、物联网和人工智能等新型技术在医疗健康领域应用的深度和广度不断增强。一方面,这种“互联网+医疗健康”的概念与实践极大地整合了现有的医疗资源,推动了医疗服务流程的优化和效率的提高。医药企业与科技公司的深化合作、医疗健康大数据的使用、各种网络问诊、网上购药以及互联网医院的发展切实提高了患者就医的满意度、医疗卫生工作的品质以及医疗服务本身的质量。另一方面,“互联网+医疗健康”的发展极大地推动了各类医疗数据的产生,促进了信息纸质化向电子化的转变。相关医疗机构、医药企业、公共卫生相关单位和组织在数据保护与合规方面正面临着更加艰巨的挑战。
医疗数据作为数据的一种分类,一方面受到《网络安全法》等针对一般数据和个人信息的法律法规的保护和监管;另一方面,由于医疗数据的特殊性和重要性,我国还出台了各项针对不同类型医疗数据的法规。因此,厘清责任主体在相关法规下针对不同类型数据和数据不同处理阶段所具备的数据保护义务,对于相关机构和企业把守数据合规之“红线”、发挥数据的优势、推动企业自身和整个医疗行业的发展有着至关重要的作用。
本文将通过梳理和整合法律法规中对于不同类型数据在收集、使用、存储和跨境传输方面各个环节监管要求,重点关注实务中医疗数据热点问题,并结合相关案例,为相关企业和机构提供医疗数据管理的合规建议。
二、医疗数据的内涵
医疗健康行业涉及的主体种类和其收集的数据类别通常较为多样和复杂,我国立法领域对于医疗数据的定义较为宽泛。比如,《国家健康医疗大数据标准、安全和服务管理办法(试行)》中规定,健康医疗大数据是指 “在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。”
从法律规制的角度来看,此类数据既可能包含相关医疗健康行业主体在经营和日常活动中收集到的一般性数据和个人信息(如姓名、性别、出生日期等),还可能包含一些受到更高法律监管要求的特别类型数据(比如人口健康信息、人类遗传信息等)。前者通常会受到包括《网络安全法》以及其他个人信息保护相关法律法规和技术标准的监管。尤其值得注意的是,2020年5月通过的《民法典》中特别增加了个人信息保护的相关章节,并且明确地将健康信息归入到个人信息的范畴之内,为个人医疗、健康信息的保护增添了重要的立法保障。而后者由于其信息内容的重要性(比如,其中部分信息甚至会导致信息控制者对国家整体或部分地区群体性生理特征的了解和掌握),因此国家对可能收集、接触、使用此等信息的相关责任主体提出了更高的信息保护要求。从法律规定和实务的角度来看,医疗健康数据可以分为以下几种类别:

除此以外,立法上还试图根据数据特征对医疗数据进行更加全面和明确的类别划分。比如,《信息安全技术-健康医疗信息安全指南(征求意见稿)》(“《健康医疗信息安全指南》”)中对医疗数据的内涵和分类进行了进一步的规定。根据《健康医疗信息安全指南》的规定,医疗数据可以分为个人属性数据、健康状况数据(包括可穿戴设备采集的健康相关信息、生活方式等)、医疗应用数据(包括各类病历信息等)、医疗资金和支付数据、卫生资源数据(包括医院基本数据、医院运营数据、医院公卫数据等)以及公共卫生信息等(包括传染病疫情信息、疾病监测和预防信息等)。
目前对于医疗数据定义的法律规定仍然较为宽泛,且大多分散在各个独立的法律法规中。《健康医疗信息安全指南》对医疗信息的内涵和分类进行了整合,但该指南目前仍在征求意见阶段,其规定是否能够生效和适用还有待于进一步的考察。我们期待此类规定的尽早出台,从而为责任主体明确特定信息的含义以及相应的保护义务。
三、医疗数据的法律规制
《民法典》、《网络安全法》以及相应的法律法规针对不同类别医疗数据类型在信息收集、使用、存储以及跨境传输等方面均提出了相应的要求。各医疗机构、医药企业等相关责任主体应当根据自身收集处理数据的情况制定符合法律要求和自身发展的内部合规制度。目前针对医疗数据的监管性规定往往分散在不同的法律法规中,且同一责任主体收集的医疗数据可能涉及到多种法规的监管,因此给相关主体的合规建设提出了更大的挑战。本文试图梳理不同类型医疗数据在数据处理各个环节中的不同监管要求,帮助企业厘清处理医疗数据问题时所要遵循的法律红线。

1. 医疗数据的收集
1)人口健康信息
人口健康信息在数据的收集上要求做到“一数一源、最少够用”。一数一源是指相关责任单位在采集的人口信息时,应当保证其服务和管理对象在本单位信息系统中身份标识的唯一性,基本数据项的一致性。最少够用是指,采集的数据不应当超范围采集,应当根据业务和管理要求所需要的最少且够用的标准进行,且严格实行信息复核程序,避免重复采集、多头采集。
2)人类遗传资源信息
对于人类遗传资源信息的采集,如果涉及到中国境内的重要遗传资源、特定地区人类遗传资源和国务院科学技术行政部门规定种类、数量的人类遗传资源的采集,应当按照《人类遗传资源管理条例》、《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》规定的流程和要求经有关部门批准后实施。具体采集或收集人类遗传资源要求目的明确,要有合理的采集或收集计划方案;要求采集或收集人类遗传资源必须具备要求的人员、场所、设施、设备等,且收集场所应满足较高的要求和标准。
3)病历信息
关于病历信息的采集,根据《电子病历应用管理规范(试行)》的规定,采集电子病历信息需要医疗机构具备专门的技术支持部门和人员,负责电子病历相关信息系统建设、运行和维护;具有专门的管理部门和人员,负责电子病历的业务监管。同时,需要具备对电子病历创建、修改、归档等操作的追溯能力,电子病历系统的操作人员必须具备专有的身份标识和识别手段,并设置相应权限。操作人员对本人身份标识的使用负责。医疗机构及其医务人员应当严格保护患者隐私,禁止以非医疗、教学、研究目的泄露患者的病历资料。
4)健康医疗大数据
健康医疗大数据的采集一般是实时抽取PACS(影像归档与传输系统)、LIS(检验科信息管理系统)、CIS(临床信息管理系统)、EMR(电子病历系统)、PIMS(个人信息管理体系)等系统中的医疗数据,经异构数据融合、初步清洗转换后上传至医疗数据存储中心,从而实现各平台间的数据采集与交换及医疗部门之间的数据共享与业务协同的过程,该过程需要有实时的数据监管。同时大数据的采集要符合业务应用和管理要求。
2. 医疗数据的存储
1)人口健康信息
人口健康信息要求实行分级存储。同时,责任单位应实施痕迹管理制度,建立、修改和访问人口健康信息的用户,均应通过严格实名身份鉴别和授权控制,做到行为可管理、可控制、可追溯。
2)人类遗传资源信息
《人类遗传资源管理条例》、《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南》对人类遗传资源信息保藏单位资质提出严格的要求,并明确要求保藏活动需要通过相关部门的批准。要求包括:具有法人资格;保藏目的明确、合法;通过伦理审查;具有负责人类遗传资源管理的部门和保藏管理制度;具有符合国家人类遗传资源保藏技术规范和要求的场所、设施、设备和人员等。同时应当采取安全措施,制定应急预案;保藏单位应当就本单位保藏人类遗传资源情况向国务院科学技术行政部门提交年度报告。
3)病历信息
就病历数据来说,门诊病历原则上由患者保管,经患者或者其法定代理人同意,也可以由医疗机构负责保管。住院病历由医疗机构保管。对于电子病历的存储,根据《电子病历应用管理规范(试行)》的要求,电子病历数据存储在电子病历系统内,由专门的操作人员确保操作记录可查询、可追溯。
4)健康医疗大数据
针对健康医疗大数据的存储,根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》的相关规定,医疗机构及相关单位应采取数据分类、重要数据备份、加密认证等措施,并进行电子实名认证和数据访问控制,严格规范不同等级用户的数据接入和使用权限。
3. 医疗数据的使用
1)人口健康信息
《人口健康信息管理办法(试行)》目前仅对人口健康信息的利用提出了指导性的要求,即要求相关单位应当建立综合利用工作制度,并基于提高医学研究、科学决策和便民服务水平之目的授权利用有关信息,该等工作制度的具体内容还有待进一步规定。
2)人类遗传资源信息
《人类遗传资源管理条例》规定“禁止买卖”人类遗传资源信息,使用信息应当遵守国务院科学技术行政部门制定的技术规范。此外,外国组织及外国机构(包括由外国组织、个人实际控制的机构)需要利用我国人类遗传资源开展科学研究活动的,应当采取与我国科研机构等中方单位合作的方式进行。
3)病历信息
《医疗机构病历管理规定》对病历的使用具有严格规定。病历资料的使用目的方面:要求医疗机构及医务人员不得以非医疗、教学、研究目的泄露患者病历资料;在查阅医疗病历的主体权限上:除为患者提供诊疗服务的医务人员,以及有关行政和管理部门的相关负责人员等与病历有关的人员外,其他任何机构和个人不得擅自查阅患者病历。
4)健康医疗大数据
根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定,责任单位应当建立严格的电子实名认证和数据访问控制,规范数据接入、使用和销毁过程的痕迹管理,确保健康医疗大数据访问行为可管、可控及服务管理全程留痕,可查询、可追溯,对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。
4. 医疗数据的跨境传输
1)人口健康信息
人口健康信息存在严格的本地化处理义务。《人口健康信息管理办法(试行)》对于人口健康信息的本地存储义务未规定任何的例外情景,明确要求“不得将人口健康信息存储于境外服务器,不得托管、租赁在境外的服务器”,换言之,一旦医疗数据属性上构成人口健康信息,其跨境传输活动将被严格禁止。
2)人类遗传资源信息
人类遗传资源原则上不可以跨境传输,在国际合作科学研究这种特定情形下可以出境传输。根据《人类遗传资源管理条例》,利用我国人类遗传资源开展国际合作科学研究,或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的,应符合特定条件,并取得人类遗传资源材料出境证明。
3)病历信息
关于病历信息是否可以跨境传输,目前的法律法规还未有清晰的答复。根据《电子病历应用管理规范(试行)》的规定,在保障信息安全的前提下,促进电子病历信息有效共享。至于是否可以境内外共享,还未可知。我们认为在无特别禁止的情况下,一般应按《网络安全法》《网络安全审查办法》进行数据出境评估和管理。
4)健康医疗大数据
健康医疗大数据原则上应当存储于境内安全可信的服务器,因业务需要确需向境外提供的,应进行数据出境安全评估审核。
5. 《网络安全法》和《民法典》的一般性规定
上述信息同时还属于《网络安全法》、《民法典》等所保护的一般性数据,部分可能还会构成法律所规定的个人信息和个人敏感信息,因此,在信息收集、存储、使用和跨境传输等过程中,还应当遵守此类一般性规定。比如,相关法规要求收集个人信息时应当明示信息收集的目的、方式和范围等信息,并获得信息所有者的授权同意(属于个人敏感信息的,应当获得明示同意)。对于个人信息的使用,相关责任主体还应当注意不应泄露、篡改、毁损或未经信息所有者同意向他人提供,同时应当保护个人信息的删除权和更改权。针对特定的医疗健康信息还可采用去识别化处理的方式来降低数据泄漏等对数据主体可能带来的潜在风险。对于关键信息基础设施的运营者在境内收集到的个人信息和重要数据,应当满足本地存储和出境安全评估的要求。上述要求和规定在一系列相关的管理办法和技术标准等文件中得到了进一步的细化,比如《信息安全技术个人信息安全规范》、《数据安全管理办法(征求意见稿)》等,医疗机构和医药企业等责任主体在处理数据时还要注意对上述一般性规定的遵守。
四、重点关注问题
我国正通过立法不断强化和完善对医疗数据的保护和对相关责任主体的监管。除监管要求方面,实务中一些关于医疗数据的重点问题也受到广泛的关注,且与医疗机构和医药企业等责任主体使用、处理医疗数据息息相关。比如目前备受关注的互联网医院的发展,以及一些亟待厘清和解决的医疗数据问题,包括数据权属、数据分享障碍等。只有通过法律法规的不断规制和相关主体的自我完善,才能够推动医疗数据在“互联网+医疗”的大背景下得以合理有效地发挥出其巨大的数据价值。
1. 医疗数据权属纠纷
目前的法律法规不能很好地解释医疗数据的所有权等权属问题,导致实务中医疗数据的所有权属于患者个人还是医院有一定的争议。对于医疗数据来说,医院有保存义务和应用权限,患者有知情权和具体的使用权,更重要的是有隐私权。从实务的角度来看,医疗数据的权属问题应当分类讨论、针对性管理,而目前的立法中尚未形成相关的权属分类管理文件。关于具体的数据权属分类目前在学术界有两种声音可供参考:一种观点认为,医院和患者均参与到医疗数据的形成过程中,因此理论上两者对于健康医疗数据都具有所有权;另一种观点认为,医疗数据的所有权在于患者个人、但控制权在于医院、管理权在于政府,第三方机构需借助政府支持和医院配合才能对其进行商业化开发和利用。
2. 医疗数据共享壁垒
“互联网+”与医疗行业结合的最重要意义之一在于推动信息的流动和共享,从而实现各主体对信息更加全面和深入的掌握,推动医疗健康行业的进一步发展。然而,在目前的医疗体制下,医疗卫生机构很难去共享其采集和收集的医疗健康数据(如电子病历信息),医疗卫生机构和医疗卫生机构之间、医疗卫生机构和社会公众领域之间,均存在不同程度的数据壁垒。数据孤岛效应一方面造成了患者数据重复采集和医疗资源浪费,另一方面也阻碍了健康医疗大数据的系统性开发和建设。
国务院办公厅于2016年6月发布的《关于促进和规范健康医疗大数据应用发展的指导意见》(“《指导意见》”)提出将夯实健康医疗大数据应用基础作为重点任务和工程,要求建立跨部门密切配合、统一归口的医疗数据共享机制。此外,《“健康中国2030”规划纲要》也提到,要消除数据壁垒,建立跨部门跨领域密切配合、统一归口的医疗数据共享机制,实现公共卫生、计划生育、医疗服务、医疗保障、药品供应、综合管理等应用信息系统数据采集、集成共享和业务协同。
可见,未来在政府牵头和多部门协调配合下,医疗大数据的应用会进行系统性开发和建设,数据壁垒等问题有望进一步改善。比如,在国家卫生健康部门的协调下,中国移动和太平洋人寿等8家股东在2019年11月共同发起设立了联仁健康医疗大数据科技股份有限公司(笔者也有幸曾代表客户参与过早期的设立筹备工作),注册资本20亿人民币,就是这方面的一个重要进展。同时,通过企查查,笔者也注意到名称中直接包括医疗数据或健康数据的企业搜索结果有上百家,而且大多在近三年内设立。这些都说明市场已经充分认识到了医疗健康数据的广阔前景,大家都在抢占市场先机,但这也可能在某种程度加大数据壁垒并阻碍数据合法流通,因此可以预见未来相关医疗数据企业可能出现深度整合和集中活动。
3. “互联网” 医院的发展与问题
2020年2月,包括上海市儿童医院、上海市中心医院等多家实体医疗机构获批取得互联网医院牌照,意味着“互联网+”战略在医疗领域的进一步推进。互联网医院作为传统医疗实体与新兴技术结合的产物,往往面临着更多的数据合规问题。目前针对互联网医院数据合规的监管行规定主要有:《互联网医院管理办法(试行)》《关于促进“互联网+医疗健康”发展的意见》,以及相应的地方性法规,如《上海市互联网医院管理办法》《上海市医疗机构管理办法》等。
《互联网医院管理办法(试行)》要求互联网医院做到数据合规:应当严格执行信息安全和医疗数据保密,妥善保管患者信息,不得非法买卖、泄露患者信息。发生患者信息和医疗数据泄露时,医疗机构应当及时向主管的卫生健康行政部门报告,并立即采取有效应对措施。同时鼓励数据共享:城市三级医院通过互联网医院与偏远地区医疗机构、基层医疗卫生机构、全科医生与专科医生的数据资源共享和业务协同,促进优质医疗资源下沉。
目前,互联网医院数据合规具体在实务中仍然存在以下问题:一是收集数据过程中,未提供符合规定的隐私政策:未描述互联网医院主体情况与持牌主体不一致、业务功能与所收集个人信息类型不一致等问题;二是存储处理数据过程中,未对患者个人信息去标识化、进行加密;三是信息展示过程中,未对患者姓名、手机号等敏感信息进行去标识化;四是内部管理过程中,未采取严格的个人信息访问控制系统,未建立数据审批制度;五是对外提供过程中,未取得患者授权,未事先对数据接收方进行信息安全影响评估等。医疗领域数据合规,将是今年监管执法的重点。建议互联网医院应尽快根据上述法规的要求开展个人信息数据合规的专项整改工作。
五、典型案例分析
尽管立法上对于医疗数据的监管和保护提出了大量的要求,在实务中,医疗数据泄漏等问题依然难以杜绝。据公开媒体报道,近年来境内外发生了多起医疗数据泄漏案件,其成因主要是黑客攻击或内部人员非法出售相关数据。医疗数据泄漏,不仅使得数据所有者的数据权益受到侵害,相关机构和企业也会在自身权益和形象上受到一定的损害,如果存在过错的可能还会被追究相应的责任。
1. PACS数据泄露案
2019年9月,德国漏洞分析和管理公司 Greenbone Networks 的专家发现中国有 14 个未受保护的 PACS 服务器系统暴露在互联网上,泄露了近28万条数据记录。
PACS即医学影像归档和通信系统,应用于医院影像科室,主要功能是把日常产生的各种医学影像(包括核磁、CT、各种 X 光机等设备产生的图像)通过各种接口(模拟、DICOM、网络)以数字化的方式海量保存起来。当需要时,在一定授权下,可以快速调回,同时增加一些辅助诊断管理功能。
泄露的患者数据记录非常详细,包括:姓名、出生日期、检查日期、调查范围、成像程序的类型、主治医师、研究所或诊所和生成的图像数量等。医疗健康记录数据的平均价值为 250 美元,最多也有可能接近 1000 美元(数字来源美国卫生与人类服务部)。根据Greenbone Networks研究人员预估,此次PACS泄露的数据价格可能超过10亿美金。
泄露数据价值之大、数量之多为医疗数据合规、个人信息保护敲响了警钟。医疗数据可能会被用于各种目的,有着隐形的产业链:例如发布个人姓名和图像来损害个人的声誉;将数据与暗网其他数据连接起来,让网络钓鱼和社交工程更加有效;阅读并自动处理数据来搜索有价值的身份信息:比如社保号码用来盗用身份等。因此存储大量医疗数据的医疗机构需建设好存储患者数据的内控系统来抵御相关黑客的攻击。
2. 妇产信息泄漏案件
在中国,患者个人信息和相关医疗数据的泄漏也多次发生。《南方都市报》曾在2016年对深圳市妇产信息泄漏案件进行了报道。一份包含数万条产妇和新生儿个人信息的名单被曝遭到泄漏,大量孕妇收到来自母婴用品公司、婴儿纪念品公司的骚扰短信和电话。被泄漏的信息中除包含姓名、电话、出生日期、住址等相关个人信息外,还存在部分孕妇就医时所产生的相关健康信息以及“婴儿出生医院”等,且名单中涉及的出生医院高达50余家。
相关孕产妇表示,此次信息泄漏可能与其入院建卡时填写的母子保健手册相关。此等强制要求填写的手册中包含了包括产妇个人信息在内的大量孕产信息,并且会通过电脑录入的方式与全市孕产信息数据库共享,并提供给相应的计生部门作为工作参考。由于产妇信息的接触和控制主体包括医院、妇幼保健院以及计生部门等多家单位,因此数据泄漏的责任主体一时难以判断。但事故发生后包括医院和计生部门等相关单位均在第一时间组织了调查和自我纠察,并针对相关情况进行了报警处理。深圳市妇幼保健院此前就被曝光其离职的保安工作人员通过私下拍摄医院电脑记录的方式,将数千条孕妇电话信息等内容出售给家政服务类公司。产妇信息的再度泄漏也引发相关部门对于医疗机构所掌握的患者个人信息保护的重视。
无独有偶,2017年《法制日报》刊文《超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖》,再度披露了一起孕检信息披露和买卖的案件。涉案人员通过黑客技术,在某部委下属某妇幼保健医院的网站上获取大量孕检信息并通过qq号出售,数量达到8000万余条,浙江省松阳县人民法院一审判决被告7人构成侵犯公民个人信息罪,判处有期徒刑3年至5年不等。
即使对于在华经营的跨国企业巨头,也发生过非法获取孕产妇个人数据的事件。据公开报道,2011年至2013年期间,某世界著名婴幼儿奶粉公司的多个业务经理,为了抢占市场份额,推销本企业奶粉,通过拉关系、支付好处费等手段,多次从兰州多家医院医务人员手中非法获取孕产妇的个人信息。该案经过一审和二审,法院均认定相关业务人员构成侵犯公民个人信息罪。
不难发现,医疗数据的泄漏主要来源于黑客对数据控制者(如妇幼保健医院)的系统攻击和信息持有企业或单位内部人员非法提供两种方式。健康医疗数据本身具有较高的信息价值。数据本身对信息所有者具有重要意义,并与各行各业存在重要关联,比如孕产信息可能是母婴保健行业所需要的重要基础数据。此外,对于原始健康数据的统计、加工和分析后产生的宏观数据甚至对于相关地区和国家的发展都有着重大影响。随着“互联网+医疗”的发展,越来越多的患者信息、病历信息逐步从纸质模式转化为电子形式,这对于包括医疗机构、医药企业等相关责任主体提出了更高的数据保护要求。
六、总结和建议
医疗数据关乎个人生命健康和隐私信息,甚至可能会关联到某地区或某国家的群体性生物特征,以致上升到国家安全问题。从医疗数据的立法保护层面来看,进一步加强对其保护和监管的重要性不言而喻,国家也正努力通过统一性的立法和针对不同数据类型的特别立法来加强对这一领域的管理。比如《健康医疗信息安全指南》的发布,尽管该法规目前还在征求意见阶段,但它的正式出台势必会为相关责任主体的数据合规保护提供有益的指导。
虽然立法上对于医疗数据的保护正在不断完善,但数据的使用仍然存在一些问题。比如数据的权属问题、以及如何在数据合规的基础上促进数据控制者之间的交流和共享,如何在保证数据安全的基础上更好的发挥包括互联网医院等新兴医疗主体的作用。这些问题仍然需要通过立法和实务的探索不断找寻答案。立法上的规制有利于防止数据泄漏、滥用等对数据主体所产生的损害,保障医疗相关主体合理合规使用自身所收集的医疗数据,但是过于严格的限制可能会造成数据分享的壁垒,影响数据的交流和研究,从而无法实现健康医疗大数据概念下的数据高附加价值。因此,我们期待立法者能够更好的平衡数据保护与数据利用,通过立法解决实务中亟待解决的问题,从而为相关医疗主体的数据合规提供指引。
对于可能接触和控制医疗数据的相关责任主体来讲(包括各医疗机构、医药企业、相关管理组织和部门以及互联网医院等),当前立法对不同类型的重要医疗数据提出了较强的保护和监管要求,相应责任主体应当根据自身所掌握的数据类型,在收集、存储、使用和跨境传输等医疗数据生命周期各个阶段遵守相应的法律法规所提出的要求。从近年来屡次发生的医疗数据泄漏案件中可以看出,企业或机构应当一方面做好内控,防止自身员工或已经离职的员工为谋取利益而泄漏其可能接触到的医疗数据,比如加强员工合规培训、与相关员工签订数据相关保密协议等。另一方面,责任主体还应当做好外防,加大对自身数据系统的建设和投入,通过与专门机构合作,建立起安全、有效的数据保护措施,避免因黑客攻击导致大量的数据泄漏。由于信息贩卖和泄漏往往属于上游犯罪,非法获取的信息往往会被用于其他的违法违规行为中,一般只有当此类行为导致的危害结果发生时,信息和数据泄漏问题才会被发现,此时往往对于信息和数据所有者的损害以及对于相关责任主体的影响已经较为严重。基于此特征,相关责任主体应当防微杜渐,在医疗数据可能发生泄漏之前,就做好自身的合规建设,避免重大不利结果的产生。
* 感谢实习生瞿楚彤对本文的贡献。
技术驱动法律,专业成就未来