《健康医疗数据合规流通标准》发布

来源:TMT法律论坛

文章摘要
近日,由广东省计算机信息网络安全协会发起,多家单位共同起草编写的团体标准《T/GDNS002-2023健康医疗数据合规流通标准》(以下简称“《流通标准》”)正式发布,旨在为健康医疗行业数据流通与共享提

近日,由广东省计算机信息网络安全协会发起,多家单位共同起草编写的团体标准《T/GDNS002-2023健康医疗数据合规流通标准》(以下简称“《流通标准》”)正式发布,旨在为健康医疗行业数据流通与共享提供合规实践指引,标志着大湾区在健康医疗数据安全流通、共享与应用方向迈出了坚实一步。
导读
健康医疗数据作为重要的基础性战略资源,对医学研究、药物开发、疫情防控及临床医疗等领域的发展至关重要。由此,如何在促进健康医疗数据流通、共享和应用的过程中,开展合规与风险治理,成为业界关注的重要议题。
《流通标准》从数据安全流通领域发展的最新需求出发,在相关法律法规及标准的基础上,对健康医疗数据合规流通的全链条提出指引,共分为范围、规范性引用文件、术语和定义、数据流通框架、合规流通原则、数据分类体系、数据流通指南、合规监管要求八部分,另附有四份资料性附录。
就《流通标准》,我们梳理了如下合规要点,供相关企业参考适用:
01 健康医疗数据合规流通框架
《流通标准》将健康医疗数据合规流通链条划分为“流通准备”“流通过程”“流通完成”三阶段,并分别配备了相应的合规措施,同时明确了合规工作要覆盖参与主体、数据内容、流通机制、管理体系和审计措施等五方面。(第4条)具体框架见下图。

02 健康医疗数据分类分级
数据分类分级是数据流通安全的基础性工作之一。《流通标准》在健康医疗数据分类分级方面直接引用了《GB/T39725—2020信息安全技术健康医疗数据安全指南》。(第6.1、6.2条、附录A、附录B)具体见下图所示:

健康医疗数据类别与范围表

健康医疗数据分级表
03 健康医疗数据流通场景与形式
针对流通场景,《流通标准》基于不同机构之间的健康医疗数据流通共享,总结了五类业内常见的适用场景(第6.3条):
医疗服务:为了提供或接受医疗服务需要而进行的健康医疗数据流通,例如医疗机构间的联合会诊对患者医疗数据的共享;
健康医疗应用研发:医药企业、医疗器械企业、医疗保险机构、医疗信息化企业等为了健康医疗应用创新而对健康医疗数据进行收集、整理、分析或联合研究的数据流通;
临床试验:基于临床试验的需要而进行的数据转换、交换、传输、共享等活动;
医学科研:为了临床科研目的,对产生于临床实践中的真实诊疗数据进行共享并进行分析的数据流通,例如通过建设临床科研平台,将数据上传至平台进行分析;
公共卫生管理:为了提供信息和改进全民健康,或服务于区域分级诊疗、医生能力加强、医疗卫生系统监管、传染病风险及时管控等目的的数据流通。
针对流通形式,《流通标准》结合《GB/T37964—2019信息安全技术个人信息去标识化指南》,规定了如下图所示的数据流通形式及其适用的公开共享类型(第6.4条):

04 健康医疗数据流通合规管理体系
《流通标准》提出,开展健康医疗数据流通活动的参与方应:
明确数据合规流通责任人,并为其提供必要的资源保障,保证其独立履行职责;(第7.1.1条)
建立数据流通的合规框架和管理体系,规定数据流通的具体要求和流程等。(第7.1.2条)
05 健康医疗数据流通全链条
阶段一:流通准备
根据《流通标准》,流通准备阶段应遵循如下要求(主要针对数据提供方):
开展数据权属认定工作,对数据来源进行证明确认,涵盖数据公开收集、自行生产、间接获取、个人信息采集及未成年人个人信息流通;(第7.2.1条)
开展数据合规处理工作,保障数据的安全、合法、保密、完整性和可用性,如对敏感数据进行去标识化处理、开展数据流通风险评估,并具备数据安全主管部门或第三方机构出具的数据流通合规性证明等;(第7.2.2条)
确保数据流通过程中的数据存储满足合法性、合规性和安全性的相关要求,如涉及存储个人生物特征识别信息则应遵守相关国家标准的特殊要求等。(第7.2.3条)
阶段二:流通过程
根据《流通标准》,流通过程阶段应遵循如下要求(针对数据流通双方):
签署数据流通协议,明确数据获取流程、权利、义务及服务质量要求等;(第7.3.1条)
采取安全的数据传输方式,以防范数据泄密的风险,如采用多方安全计算、联邦学习和可信执行环境等隐私计算技术,实现原始数据不出域,数据可用不可见的目标;(第7.3.2条)
建立数据流通追溯机制,对数据传输全流程进行记录,以防范及监察数据流通的风险。(第7.3.3条)
阶段三:流通完成
根据《流通标准》,流通完成阶段应遵循如下要求(主要针对数据接收方):
在接收数据以及对数据开展使用、加工和处理时,履行相应的合规义务,如数据校验、权限设置、风险评估等;(第7.4.1、7.4.2条)
对数据流通合规情况进行审计,发布审计报告等;(第7.4.3.1条)
对持续性数据流通活动定期开展风险评估,建议通过第三方服务机构对健康医疗数据流通后的使用条件、约束机制等合规要求进行评估等;(第7.4.3.2条)
数据流通使用完成后,应该对数据进行销毁,以防止数据泄露。(第7.4.4条)
06 健康医疗数据流通合规监管要求
《流通标准》提出,健康医疗数据流通的参与方应接受主管部门的监管工作,发生安全事件时需立即采取措施并报告,面对监管审查时需配合完成审查和整改。(第8条)

《流通标准》并非强制性规范,但其构建的数据流通框架为数据流通共享活动中的合规体系建设提供了可行思路,一方面有助于医疗机构、医药企业等健康医疗数据流通参与者在推进内部合规工作时参考适用,另一方面也为相关管理部门开展健康医疗数据的合规流通监管工作提供参考。
《流通标准》
































技术驱动法律,专业成就未来