健康医疗数据合规系列(一):厘清概念

来源:天达共和法律观察

文章摘要
编者按:本系列文章聚焦健康医疗数据合规管理,文中如无特别说明,合规主体应指健康医疗数据处理过程中所涉相关责任或义务主体。

编者按:本系列文章聚焦健康医疗数据合规管理,文中如无特别说明,合规主体应指健康医疗数据处理过程中所涉相关责任或义务主体。
随着数字化时代到来,数据渗透到人类社会的各个方面,其已被认为是创造价值的核心资产,是重要的一种战略资源。数据在带来价值的同时也带来了大量的安全风险与挑战。“滴滴”事件[1]以来,数据安全管理被监管部门提到前所未有的高度。医疗健康行业为国家强监管行业,健康医疗数据事关患者生命安全、个人信息安全、社会公共利益和国家安全。在当前我国网络安全与个人信息保护等领域法制体系已初步建立、数据合规执法日趋严格的大环境下,医疗健康行业的数据安全及数据合规管理已成为相关主体面临的重要挑战。
作为深耕大健康领域的法律服务团队,笔者拟通过专题定期更新,与大家共同交流、探讨健康医疗数据合规相关话题。本文作为健康医疗数据合规系列文章的第一篇,先从数据合规相关概念入手。
一、明确合规主体
“医疗健康行业”并没有明确的定义以及划分,参考《“健康中国2030”规划纲要》及《健康产业统计分类(2019)》(国家统计局令第27号)的规定,健康产业是指以医疗卫生和生物技术、生命科学为基础,以维护、改善和促进人民群众健康为目的,为社会公众提供与健康直接或密切相关的产品(货物和服务)的生产活动集合[2]。
结合所涉产业的商业模式,笔者对健康医疗数据所涉行业及主体做如下梳理和分类(此分类系笔者从法律实操角度进行的梳理,行业类别间可能存在交叉重叠):

行业分类

所涉主体 (即合规主体)

健康医疗服务

各类医疗服务机构;

各类保险服务机构;

各类医疗护理、康复保健、疗养及养老等健康服务机构;

医学研究

医学实验、研究机构(含临床试验机构);

高等院校;

医药及医疗器械

各类药品、医疗器械研发企业;

各类药品、医疗器械生产、加工或制造等企业;

各类药品、医疗器械销售企业;

智慧健康技术

各类互联网+医疗企业(如远程医疗、大数据等);

各类健康医疗系统、辅助诊断解决方案的供应商等;

人工智能技术

各类AI+医疗企业(如辅助医疗机器人等);

公共健康事务

各级政府、卫生、食品、药品、环境等监督管理部门;专业性卫生团体、基金会、红十字会等社会组织。


笔者认为,上表所列主体在日常经营活动中,均可能在不同程度涉及健康医疗数据合规问题,但不同主体面临的数据及合规义务存在一定差别。具体而言:
(1)不同合规主体获取及处理的数据存在不同,比如:医疗服务机构掌握的数据主要为患者就诊数据,病历资料等;保险服务机构则以客户数据及理赔数据为主;健康服务机构拥有客户健康咨询和健康管理数据;医学研究机构掌握研究数据、临床试验数据;医药及医疗器械企业留有交易数据、使用数据;而政府机构掌握着监管数据及统计数据等。
(2)不同合规主体面临的业务场景及合规重点环节存在差异,比如:医疗服务机构直接获得患者信息,数据采集、存储等环节为其合规重点环节;医学研究机构更多注意数据发布和共享环节的合规;某些医疗器械收集的健康传感数据则重点在于个人隐私、数据采集等场景或环节的数据保护。而保险服务机构可能需要注意与医疗服务机构间进行数据传输时的合规要求。
(3)不同合规主体处理的数据类别或等级的不同,由此产生的数据合规义务也存在差异。全国信息安全标准化技术委员会秘书处于2021年12月31日发布了《网络安全标准实践指南-网络数据分类分级指引》(TC260-PG-20212A),将数据分为一般数据[3]、重要数据[4]以及核心数据[5]三个级别,不同级别数据对应不同的保护要求,对于越是重要的数据,合规主体所承担的合规义务越是繁重。
二、厘清“数据”概念
如上所述,合规主体因其业务不同、处理的数据不同,由此产生的数据合规义务亦有不同。因此,识别“数据”是义务主体履行数据合规义务的第一步。
1.健康医疗数据的定义及分类
(1)健康医疗数据的定义
我国现行法规尚无关于健康医疗数据的明确定义。2020年12月14日国家标准委及国家质量监督检验检疫总局发布《信息安全技术健康医疗数据安全指南(GB/T39725-2020)》(下称“《指南》”)并于2021年7月1日正式实施。《指南》由健康医疗数据生命周期内可能涉及的各主体参与起草,其中包括北京协和医院、上海市儿童医院等各城市三甲医院,东软集团、零氪科技等第三方数据服务商,各保险公司、大学以及与网络安全保护相关的中国信息安全测评中心等。《指南》虽不具有强制性法律效力,但其为健康医疗数据控制者[6]保护相关数据采取安全措施提供了实操性参考依据。
根据《指南》以及《国家健康医疗大数据标准、安全和服务管理办法(试行)》(下称“《管理办法》”)相关规定,个人健康医疗数据、健康医疗数据以及健康医疗大数据的定义如下:

概念

定义

来源

生效

时间

个人健康医疗数据

指单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据

《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020)

2021年7月1日

健康医疗数据

包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据,包括群体总体分析结果、趋势预测、疾病防治统计数据等

健康医疗大数据

对健康医疗数据的整理、汇总,其分类和范围应与健康医疗数据相同

指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据

《国家健康医疗大数据标准、安全和服务管理办法(试行)》

2018年7月12日


由上可见,健康医疗数据包含并来源于对个人健康医疗数据的加工,其外延大于个人健康医疗数据,而健康医疗大数据则通过对健康医疗数据进行整理、汇总,成为拥有大数据特征的健康医疗数据集。依据《管理办法》,健康医疗大数据的外延最为广阔,涵纳了疾病防治、健康管理等过程中产生的与健康医疗相关的全部数据。其内涵关系如下:

(2)健康医疗数据的类别与范围
依据《指南》,健康医疗数据分为如下类别:

数据

类别

范围

个人属性数据

1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等;2)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;3)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等;4)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;5)个人健康监测传感设备ID等。

健康状况数据

主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。

医疗应用数据

门(急) 诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等。

医疗支付数据

1)医疗交易信息,包括医保支付信息、交易金额、交易记录等;2)保险信息,包括保险状态、保险金额等。

卫生资源数据

医院基本数据、医院运营数据等。

公共卫生数据

环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。


2.几组相关、易混淆概念辨析
结合笔者的实操体会,以下就与数据有关,但又易混淆的几组概念逐一进行对比、分析:
(1)个人信息、个人数据与数据
就法律名称使用的概念而言,当前世界各国和地区对“个人信息”的称谓主要有四种,分别为“个人数据”“个人资料”“个人信息”和“隐私”。欧盟成员国多使用个人数据。美国、加拿大则使用隐私。日本、韩国、俄罗斯等国使用个人信息。中国港澳台地区均使用“个人资料”。
参考欧盟 《一般数据保护条例》(GDPR),其将“个人数据”(personal data)界定为“与已识别或可识别的自然人相关的任何信息(information)”。德国 《联邦数据保护法》把“个人数据”界定为“所有与已识别或可识别的自然人有关的信息”。在美国法中,广泛使用“个人可识别信息”和“大隐私权”概念,这两个概念与“个人数据”概念可以被互换使用,由此,个人信息及数据都被纳入隐私保护法的调整范围[7]。
2017年施行的《网络安全法》首次对个人信息作出了法律上的定义,此后《民法典》中个人信息定义的出台,确定了我国使用“个人信息”这一法律概念。我国关于个人信息以及数据的相关法律定义具体如下:

概念

定义

来源

生效

时间

数据

指任何以电子或者其他方式对信息的记录

《中华人民共和国数据安全法》

2021年9月1日

公民个人信息

刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

2017年6月1日

个人信息

是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等

《中华人民共和国网络安全法》

2017年6月1日

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等

《中华人民共和国民法典》

2021年1月1日

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息

《中华人民共和国个人信息保护法》(下称“《个保法》”)

2021年11月1日


另依据《数据安全法》规定,对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。由此可见,在法律定义上,个人信息作为记录的特定类别信息,其属于数据范畴之内。此外,由于我国没有对个人数据的法律定义,在法学理论上存在不同观点。有观点认为,在法学规范意义上个人信息与个人数据的含义基本相同[8],或者说,在个人层面,数据可以等同于信息,个人信息即个人数据[9]。亦有观点认为个人信息与个人数据概念的混用在单纯的个人信息保护语境中可能不会引起理解上的偏差,但在个人信息被广泛商业利用的大数据时代,两者混用将直接导致数据权益与信息权益的关系混乱[10]。
(2)隐私、私密信息以及敏感个人信息
这一组概念的相关法律定义具体如下:

概念

定义

来源

生效

时间

隐私

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息

《中华人民共和国民法典》(下称“《民法典》”)

2021年1月1日

私密信息

个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定

敏感个人信息

一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息

《中华人民共和国个人信息保护法》

2021年11月1日


由上可见,隐私中部分内容属于个人信息范畴,两者之间存在交叉重合关系;《民法典》对私密信息并未做具体详尽的规定和定义,依据《民法典》及《个保法》相关规定,笔者理解,私密信息兼具隐私和个人信息的双重特征,隐私与个人信息的交叉点为私密信息,私密信息优先适用的是隐私权保护规则,而除私密信息之外的其他个人信息则适用个人信息保护规则。
因《民法典》与《个保法》立法目的与处理机制的不同,对个人信息的分类存在不同。《民法典》将个人信息分为私密信息和非私密信息,《个保法》作为专门对个人信息进行保护的法律,其将个人信息分为敏感个人信息和非敏感个人信息两类。笔者理解,敏感个人信息与私密信息之间并不是泾渭分明的关系,而是存在交叉。而隐私、私密信息以及敏感个人信息与个人健康医疗数据均可能存在交集。
(3)个人信息与个人健康医疗数据
依据上述对相关概念的定义,个人健康医疗数据属于个人信息的范畴,虽然个人健康医疗数据的保护在现阶段尚未单独进行立法保护,但其作为一种特殊的个人信息,通常涉及高度隐私且敏感信息,存在属于敏感个人信息的可能。因此,个人健康医疗数据其应当在遵守《个保法》要求下,参考《指南》进行合规管理。
3.其他相关定义
我国现行法规还对病例、人口健康信息、临床数据、医疗器械相关数据以及人类遗传资源信息等属于健康医疗数据范畴内的信息和数据进行了定义,笔者对此进行了梳理和汇总,相关定义及出处详见附件,供大家了解。
健康医疗数据涉及的细分种类的多样性、交叉性,将会导致合规主体面临多重数据合规义务,这为合规主体的数据合规工作带来难度和挑战。明晰数据概念,其意义在于了解并明确“健康医疗数据”合规可能涉及或落入的合规监管义务,从而全面、有效识别数据合规义务或合规风险点,进而针对合规风险制定有效应对措施。
附件

概念

定义

来源

生效

时间

病例

病例指医务人员在医疗活动过程中形成的文字、符号、图表、影像、切片等资料的总和,包括门(急)诊病历和住院病历。病历归档以后形成病案。电子病历与纸质病历具有同等效力。

《医疗机构病历管理规定》

2013年11月20日

电子病历是指医务人员在医疗活动过程中,使用信息系统生成的文字、符号、图表、图形、数字、影像等数字化信息,并能实现存储、管理、传输和重现的医疗记录,是病历的一种记录形式,包括门(急)诊病历和住院病历。

《电子病历应用管理规范(试行)》

2017年2月15日

人口健康信息

是指依据国家法律法规和工作职责,各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息

《人口健康信息管理办法(试行)》

2014年5月5日

临床数据

指在有关文献或者医疗器械的临床使用中获得的安全性、性能的信息。

《医疗器械临床试验质量管理规范》

2016年3月1日

医疗器械相关数据

(1)健康数据:标明生理、心理健康状况的私人数据(“Private Data”,又称个人数据“Personal Data”、敏感数据“Sensitive Data”,指可用于人员身份识别的相关信息),涉及患者隐私信息;

(2)设备数据:描述设备运行状况的数据,用于监视、控制设备运行或用于设备的维护保养,本身不涉及患者隐私信息。

《医疗器械网络安全注册技术审查指导原则》

2017年1月20日

人类遗传资源

包括人类遗传资源材料和人类遗传资源信息。

(1)人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。

(2)人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。

《中华人民共和国人类遗传资源管理条例》

2019年7月1日


注释
[1] 2021年6月30日,滴滴公司在美国低调IPO。7月2日,国家网络安全审查办发布对“滴滴出行”启动网络安全审查的公告,并告知为防范风险扩大,审查期间“滴滴出行”停止新用户注册。7月4日,国家网信办发布通报称,“滴滴出行”App存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”App。“滴滴出行”成为触发网络安全审查程序首家企业。
[2] 依据《健康产业统计分类(2019)》,健康产业的第一层级包括:医疗卫生服务;健康事务、健康环境管理与科研技术服务;健康人才教育与健康知识普及;健康促进服务;健康保障与金融服务;智慧健康技术服务;药品及其他健康产品流通服务;其他与健康相关服务;医药制造;医疗仪器设备及器械制造;健康用品、器材与智能设备制造;医疗卫生机构设施建设;中药材种植、养殖和采集共13类。
[3] 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人、组织合法权益造成危害,但不会危害国家安全、公共利益的数据。
[4] 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
[5] 即国家核心数据,是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。
[6] 能够决定健康医疗数据处理的目的、方式及范围等的组织或个人
[7] 参见高志宏:《隐私、个人信息、数据三元分治的法理逻辑与优化路径》,载《法制与社会发展(双月刊)》2022年第2期(总第164期),第209页。
[8] 参见张革新:《个人信息与个人隐私的界分及其法律意义》,载《兰州财经大学学报》2022年第1期,总38卷,第115页。
[9] 参见高志宏:《隐私、个人信息、数据三元分治的法理逻辑与优化路径》,载《法制与社会发展(双月刊)》2022年第2期(总第164期),第216页。
[10] 参见韩旭至:《信息权利范畴的模糊性使用及其后果——基于对信息、数据混用的分析》,载《华东政法大学学报》2020年第1期,第91页。

技术驱动法律,专业成就未来