导语
2021年11月1日,《个人信息保护法》开始正始实施。以《网络安全法》、《数据安全法》和《个人信息保护法》为基石的数据安全保护法律体系逐渐完善。医疗企业的生产经营与数据获取、使用、存储、传输等密切相关,部分数据涉及敏感信息,受到监管机构的审慎监察。在日趋复杂及严格的数据合规监管背景下,加强数据合规治理已成为医疗企业稳定持续发展的一大挑战。本文在结合医疗企业数据合规重点问题的基础上,提出以下应对策略,希望能够对医疗企业的数据合规工作有所帮助。
一、建立数据合规体系
数据合规体系的建立包括制定完善的制度及组建完备的组织机构。医疗企业管理层需要做到对目前的组织架构、相关人员(如数据合规官)设置情况及其职责、权限进行考察,明确董事、监事、高级管理人员等在数据合规方面的监管职责,定期或不定期对管理层及其他员工进行数据合规相关培训或考核等。同时,对于企业的重要数据、敏感数据、一般数据进行全面排查梳理,并根据业务需求建立数据合规管理分级制度。
二、把控数据来源风险
在企业自行收集数据阶段,需要严格落实“必要信息告知+获取信息主体明示授权同意”的要求。医疗企业在与CRO合作前,应当谨慎开展数据合规尽调,包括通过审查基础文件、访谈交易对手关键人员对交易对手方的基本信息、数据处理、业务运营等情况进行初步了解。同时,在与CRO订立合同时,注意加入个人信息保护、保密条款、真实合法性承诺等条款。
三、数据编辑注意留痕
医疗企业应在数据使用过程中保障数据可溯源。医疗企业建立数据库系统,应当将重要数据的稽查轨迹,包括录入、所有更改、删除或增加等操作痕迹都保留在系统中。稽查轨迹应包括时间、更改人、更改原因、更改前数值、更改后数值、其他备注。此稽查轨迹应为系统固定,排除人为编辑。稽查轨迹记录应存档固定期限,以确保完善保存数据录入及更改的完整记录。
四、数据接触严格限制
医疗企业应采取措施确保数据的完整性、安全性、准确性与一致性。为确保数据得到完善保护,对数据管理系统中不同人员或角色授予不同的权限,只有经过授权的人员才允许进行编辑、修改、保存等操作,并应采取适当的方法来监控和防止未获得授权的人的操作。同时,建立规范的存储核查制度,包括随机核查、一致性核查等核查方法,体系性核查存储安全的执行有效性。
五、数据委托受理及数据共享
在数据委托处理及数据共享情形下,数据委托方和受托方应当通过协议明确约定双方的权利义务,尤其是安全责任承担主体。数据获取方应当严格按照与数据提供方的协议约定使用或处理数据。同时,数据委托处理及数据共享双方应当注意数据保密、数据留痕及履行及时通知或事前告知义务。
六、跨境传输数据
涉及个人信息及重要数据的,需在完成安全评估并报相关机构备案后,方可跨境传输。依照《健康医疗数据安全指南》要求,因学术研讨等目的,需要向境外提供非涉密非重要数据的信息的,经主体授权同意及机构数据安全委员会审批同意,健康医疗数据控制者可向境外目的地提供个人健康医疗数据,累积数据量宜控制在250条以内,否则需提请相关部门审批。
结语
如今医疗企业的数据合规要求频繁更新,合规、合理控制数据已成为企业持续稳定发展赛道上的必经考验。医疗企业应当尽快建立健全数据合规管理体系,并自上而下切实落实,以稳中取胜。
附件
关于医疗企业数据合规管理的主要法律法规文件,供各位参考。

2021年11月1日,《个人信息保护法》开始正始实施。以《网络安全法》、《数据安全法》和《个人信息保护法》为基石的数据安全保护法律体系逐渐完善。医疗企业的生产经营与数据获取、使用、存储、传输等密切相关,部分数据涉及敏感信息,受到监管机构的审慎监察。在日趋复杂及严格的数据合规监管背景下,加强数据合规治理已成为医疗企业稳定持续发展的一大挑战。本文在结合医疗企业数据合规重点问题的基础上,提出以下应对策略,希望能够对医疗企业的数据合规工作有所帮助。
一、建立数据合规体系
数据合规体系的建立包括制定完善的制度及组建完备的组织机构。医疗企业管理层需要做到对目前的组织架构、相关人员(如数据合规官)设置情况及其职责、权限进行考察,明确董事、监事、高级管理人员等在数据合规方面的监管职责,定期或不定期对管理层及其他员工进行数据合规相关培训或考核等。同时,对于企业的重要数据、敏感数据、一般数据进行全面排查梳理,并根据业务需求建立数据合规管理分级制度。
二、把控数据来源风险
在企业自行收集数据阶段,需要严格落实“必要信息告知+获取信息主体明示授权同意”的要求。医疗企业在与CRO合作前,应当谨慎开展数据合规尽调,包括通过审查基础文件、访谈交易对手关键人员对交易对手方的基本信息、数据处理、业务运营等情况进行初步了解。同时,在与CRO订立合同时,注意加入个人信息保护、保密条款、真实合法性承诺等条款。
三、数据编辑注意留痕
医疗企业应在数据使用过程中保障数据可溯源。医疗企业建立数据库系统,应当将重要数据的稽查轨迹,包括录入、所有更改、删除或增加等操作痕迹都保留在系统中。稽查轨迹应包括时间、更改人、更改原因、更改前数值、更改后数值、其他备注。此稽查轨迹应为系统固定,排除人为编辑。稽查轨迹记录应存档固定期限,以确保完善保存数据录入及更改的完整记录。
四、数据接触严格限制
医疗企业应采取措施确保数据的完整性、安全性、准确性与一致性。为确保数据得到完善保护,对数据管理系统中不同人员或角色授予不同的权限,只有经过授权的人员才允许进行编辑、修改、保存等操作,并应采取适当的方法来监控和防止未获得授权的人的操作。同时,建立规范的存储核查制度,包括随机核查、一致性核查等核查方法,体系性核查存储安全的执行有效性。
五、数据委托受理及数据共享
在数据委托处理及数据共享情形下,数据委托方和受托方应当通过协议明确约定双方的权利义务,尤其是安全责任承担主体。数据获取方应当严格按照与数据提供方的协议约定使用或处理数据。同时,数据委托处理及数据共享双方应当注意数据保密、数据留痕及履行及时通知或事前告知义务。
六、跨境传输数据
涉及个人信息及重要数据的,需在完成安全评估并报相关机构备案后,方可跨境传输。依照《健康医疗数据安全指南》要求,因学术研讨等目的,需要向境外提供非涉密非重要数据的信息的,经主体授权同意及机构数据安全委员会审批同意,健康医疗数据控制者可向境外目的地提供个人健康医疗数据,累积数据量宜控制在250条以内,否则需提请相关部门审批。
结语
如今医疗企业的数据合规要求频繁更新,合规、合理控制数据已成为企业持续稳定发展赛道上的必经考验。医疗企业应当尽快建立健全数据合规管理体系,并自上而下切实落实,以稳中取胜。
附件
关于医疗企业数据合规管理的主要法律法规文件,供各位参考。

