近年来,随着《国务院办公厅关于促进和规范大数据在健康医疗领域应用发展的指导意见》、《国务院办公厅关于促进互联网医疗健康产业发展的意见》、《关于深入开展互联网医疗健康便民利民运动的通知》、《关于进一步促进互联网医疗服务发展和规范管理的通知》、 《关于深入推进互联网医疗健康五位一体服务行为的通知》等政策文件出台,大数据、人工智能等新技术发展,健康医疗数据应用、“互联网医疗健康”、智慧医疗蓬勃发展。 与此同时,各种新的业务和应用不断涌现,这也使得健康医疗数据在整个生命周期的各个阶段面临越来越多的安全挑战。比如新冠肺炎疫情期间,国内医学影像AI公司易慧慧影被黑,[1]青岛胶州6000多人信息泄露等等。
[2]
健康医疗数据具有广泛的真实性和隐私性,包括个体身体健康、医疗等数据。从微观层面,疾病传播和区域人群健康状况的数据从宏观层面。健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全。为更好地覆盖健康医疗数据安全,规范和推动健康医疗数据整合、共享和开放应用,促进健康医疗事业发展,《信息安全技能健康医疗数据安全指南》(GB/T 39725-2020,以下简称《安全指南》)经过多次修订、验证试点和名称修改,现已向社会公布,并将于2021年7月1日正式实施。
本文将围绕医疗保健数据安全的实现,从医疗保健数据的概念入手,结合典型场景,系统解读医疗保健数据的安全目的及其实现基础、原则、方法和具体方法。
一、医疗保健数据的概念
《安全指南》明确定义了医疗保健数据,“包括个人医疗保健数据和对个人医疗保健数据进行处理和处置后获得的与医疗保健相关的电子数据。”其中,“个人健康医疗数据”与《信息安全技能个人信息安全标准》(GB/T 35273—2020,以下简称“个人信息安全标准”)中的“个人信息”基本遵循相同的逻辑基础,是指“能够单独或结合其他信息识别特定自然人或反映其生理或心理健康状况的相关电子数据。”可以理解为“个人健康医疗数据”是一种特殊的“个人信息”。“对个人健康保障数据进行加工处理后获得的健康保障相关电子数据”包括人群总体分析结果、趋势预测、疾病预防控制统计数据等。值得注意的是,安全指南中对医疗保健数据的定义仅限于电子数据。重要的是,“互联网医疗健康”的快速发展,拓展了电子数据的应用,促进了电子数据安全覆盖的重要性和紧迫性。而且安全指南的内容基本都是围绕电子数据的。
此外,在我国现有的法律法规等尺度中,健康医疗数据相关术语的表述和内涵也有所不同。通过定义和划分类别和尺度(参见第三部分,(1)医疗保健数据的分类和分级),本安全指南在基础技术资源网络中纳入并统一了以下数据。
二、医疗数据安全的目的
与立法目标类似,安全目标是制定安全指南要达到的义务目标,决定安全指南的具体内容,引导其价值取向。在安全指南中,健康医疗数据封面的安全目的分为三个层次:一是从数据本身的角度,保证其机密性、完整性和可用性;二是从数据应用和披露安全角度,确保合法合规,覆盖个人信息安全、公共利益和国家安全;第三,从业务角度出发,在满足安全需求的前提下,确保满足业务发展需求。
可以看出,在目的设计上,安全指南协调了安全与发展的需要,安全的意义不仅是在技能上的保密性、完整性和可用性的要求,也是对其他主体合法权益的覆盖要求。
三、实现安全目的的基本原则和指导原则
(1)基础:医疗保健数据的分类和分级
1.医疗保健数据的分类
《安全指南》参考了健康医疗数据的应用场景、特点等因素,将健康医疗数据分为以下几类,并划定了相应的尺度:
2.医疗保健数据的分类
安全指南根据数据的主要级别、风险级别以及对个人健康医疗数据主体可能造成的危害和影响的级别进行分类,具体如下:
虽然“安全指南”只是推荐性的,但这种惩罚分类对于相关机构进行数据分类和分级具有重要的现实意义。一方面可以满足合规的合规要求,另一方面也可以促进自身的信息化水平和运营能力。具体来说,数据分类可以更好地将数据资本化,覆盖数据的可用性,从而持续提供精准的数据服务;数据分类可以从安全角度保驾护航,了解不同场景下不同级别数据的安全策略,实现资源的集中和合理分配,更好地覆盖数据的完整性和保密性。此外,健康医疗数据的分类分级是实现安全目的的基础,基于数据的分类分级也肯定了数据开放情况划分和应用公开的原则,从而实现更加精细化的管理。
(二)原则之一:数据开放情况划分
数据开放是相对于《医疗卫生数据安全指南(征求意见稿)》(2019年4月4日)增加的内容,根据数据开放共享类型分为完全开放共享、受控开放共享和地域开放共享,并相应肯定了常见的数据开放情况及其实用的开放共享类型。具体来说,安全指南中列举的常见数据开放情况有:网站开放(完全开放共享)、文件共享(受控开放共享)、API访问(受控开放共享)、在线查询(匿名查询:完全开放共享;用户:受控开放共享)、数据分析平台(领地开放共享)。可以看出,完全开放共享可以对应一级数据分类,受控开放共享和领地开放共享可以对应二至五级数据分类。其中,受控开放共享强调通过数据应用协议绑定数据应用,领地开放共享强调将数据限制在物理或虚拟的领地范围内。
原则二:适用披露原则。
《安全指南》共列出了18项健康医疗数据应用的公开原则,包括数据采集、应用、委托处置、供应、存储、汇聚、跨境传输、主体权力等。,完全覆盖了数据的全生命周期。值得注意的是,由于健康医疗数据的特殊性,安全指南中提出的一些应用公开原则与现有法律法规和标准相比具有一定的特殊性。鉴于《安全指南》只是推荐性标准,在实践中仍建议遵守现行有效的法律法规。相关的申请公开原则如下:
(1)数据授权审批例外。《安全指南》理解可以应用或披露相应个人医疗保健数据的四种授权例外情况,具体为:1)向受试者提供其本人的医疗保健数据;2)治疗、支付或保健;3)涉及公共利益或法律法规的请求;4)受限数据集用于科学研究、医疗/健康教育和公共健康目标。并指出,掌握者可以依据法律法规、职业道德、伦理和专业判断的要求,决定应用或披露哪些个人健康医疗数据许可。
其中,受限数据集是指“已经部分去识别,但仍能识别相应个体,因此需要覆盖的个人健康医疗数据集”。《民法典》规定,处理后无法识别和恢复的个人信息,只能提供给他人。《个人信息安全标准》规定,当个人信息的掌握者为学术研究机构,为公共利益开展统计或学术研究所必需,并向外界提供学术研究成果或说明时,可以不经主体授权和同意,对成果中包含的个人信息进行无标记处理。《安全指南》使用可以识别科学研究、医疗/健康教育和公共健康目标的相应个人的受限数据集作为授权批准的例外,这可以被视为对健康医疗数据可用性和公共利益覆盖之间平衡的追求。此外,安全指南指出,掌握者可以依据法律法规、职业道德、伦理道德和专业判断的要求,确认哪些个人健康医疗数据许可被应用或披露,并提出了一定的可操作性方式实现豁免审批。但鉴于医疗保健数据本身的复杂性和敏感性,取决于职业道德、伦理道德等判断,在没有个人授权批准的情况下,能否应用或公开并不确定,也有可能被司法和行政机关认定为非法提供。因此,遵守现有的有效法律法规仍然是安全的。
(2)限制应用或披露的主体权力。对于数据主体请求掌握者限制应用或披露,限制向相关人员披露数据,安全指南理解掌握者不负责批准限制,但一旦批准,除非法律法规和医疗紧急情况要求,掌握者应遵守约定的限制。民法典、网络安全法、个人信息安全标准等没有明确规定主体请求主人限制应用和公开的权力,但主体有权撤回授权批准,主人应提供撤回授权批准的方法,并及时回复主体提出的请求。《安全指南》规定,掌握者可以不回应数据主体的限制要求,这大概是基于健康医疗数据个体性与群体性相结合的特殊性,出于保护公共安全、公共健康等公共利益的考虑。但结合现有规定,建议硕士在不同意受试者限制要求时同时说明理由,理由应为保护国家利益、公共利益的技术资源网络等所必需。
(3)历史追溯查询的主体权力。《安全指南》规定,受试者有权对掌握者或处置者的数据应用或公开进行历史追溯查询,最短追溯期为6年。民法典、个人信息安全标准等都没有明确规定主体的历史追溯查询权,历史追溯查询权不同于安全指南中的探视权。另外,最短追溯期的时间是不完整的,等于数据存储时间。《个人信息安全标准》理解,个人信息的保存期限应当是实现个人信息主体授权应用目标所必需的最短时间,但追溯期限要求最短期限,并未限定健康医疗机构可以保存数据的最长期限。受试者查询历史资料的重要性是基于需要了解既往病史等健康医疗信息。值得注意的是,门诊(急诊)诊断电子病历自患者最后一次就诊之日起保存不少于15年,住院电子病历自患者最后一次出院之日起保存不少于30年。鉴于不同法规的时限要求不同,建议在实际操作中应满足现有法律法规的要求。
(4)医疗保健数据的跨境传输。根据《安全指南》规定,学术研究所需的医疗保健数据跨境传输应进行必要的去身份化处理,并经数据安全委员会讨论通过(见五、(一)“数据安全委员会”的安全管理要求),可提供250项以内的非机密、非主要数据数量。对于不涉及国家机密的数据、主体数据或其他阻止或限制境外提供的数据,宜取得主体授权和数据安全委员会讨论批准,累计数据量在250以内。
关于主要数据的概念,《个人信息和主要数据出境安全评估办法(征求意见稿)》规定,主要数据是指“与国家安全、经济发展和社会公共利益密切相关的数据,具体尺度参照国家相关尺度和主要数据认定指南。”但是到目前为止,国家还没有出台主要数据识别指南的相关法律文件或标准,主要数据的概念和尺度还有待了解。
健康数据具有广泛的重要性,因此更重要的是要小心它是否可以跨境传输。根据《个人信息和主要数据出境安全评估办法(征求意见稿)》,出境数据包含人群健康类数据的,应当报行业主管部门或者监管部门组织安全评估。《国家健康医疗大数据规模、安全和服务管理办法(试行)》规定,“健康医疗大数据应当存储在境内安全可靠的服务器上,确需供应境外业务的,应当按照相关法律法规和相关要求进行评估和审核”。《人口健康信息管理办法(试行)》明确要求“人口健康信息不得存储在境外服务器,不得托管或租用境外服务器”。《生物安全法》(尚未生效)和《人类遗传资源管理条例》均规定,任何人在境外提供或者应用我国人类遗传资源信息,应当事先向国务院科技主管部门报告(或者备案),并提交信息备份。
首先,医疗保健数据中非机密、非主要数据的识别本身就具有不确定性。其次,250项以内不涉及国家秘密、原始数据或其他禁止或限制数据的数据跨境传输中“其他禁止或限制数据”的要求,也给操作带来困难。因此,在实践中,全面履行《安全指南》关于医疗保健数据跨境传输的规定的可行性还有待时间的检验。
四。实现安全目的的方法要点
《安全指南》根据上述实现健康医疗数据安全目的的基本原则和原则,分别对应肯定了分类安全措施的重点、场景安全措施的重点和开放安全措施的重点。
(1)分级安全措施要点
安全措施要点:对不同级别的数据实施不同的安全覆盖措施,重点是授权管理、身份识别和访问管理。具体来说,对于一级数据,只需要审核是否可以公开;二级数据应去标记,并通过协议或属地开放共享模式进行控制,以确保数据的完整性和真实性;三级数据,个人信息需要部分屏蔽,需要限制环境和吸收人数;对于四级数据,宜严格控制环境和吸纳人员,高尺度保证数据的完整性和可用性;对于5级数据,需要进行严格的识别、访问和掌握。
(2)现场安全措施要点
结合健康医疗数据的实际场景,安全指南将相关组织或个人分为四种角色,具体包括:1)个人健康医疗数据的主体(简称“主体”),即个人健康医疗数据所识别的自然人;2)医疗保健数据主(简称“主”),即能够决定医疗保健数据处理的目标、方法和规模的组织或个人;3)健康医疗数据处置者(简称“处置者”),即代表主人收集、传输、存储、应用、处置或披露其控制下的健康医疗数据,或为主人提供与健康医疗数据的应用、处置或披露相关的服务的相关组织或个人;4)医疗保健数据的用户(简称“用户”),即应用医疗保健数据的相关组织或个人。对于任何组织或个人来说,首先需要围绕具体的数据,结合具体的场景或具体的数据应用处置动作来确定其角色定位,只能定位为角色之一。
《安全指南》以不同角色之间的数据流为基础,划分了六类数据流应用场景,并根据不同的场景和各角色在医疗保健数据应用过程中涉及的不同安全环节和义务,理解了相应安全措施的要点(如下图所示)。需要理解的是,在主与主之间数据流转的应用场景中,双方都必须满足数据传输、存储和应用的相关要求。此外,安全指南区分了采集和收集的内涵,将从外部获取数据的过程定义为“采集”,将主机内部数据应用过程中的数据获取定义为“采集”。值得注意的是,不同的是,民法典的网络安全法只规定了“收集”的概念,而没有适用“收集”的概念。
(3)开放式安全措施要点
开放法的要点是针对医疗保健数据的开放情况,知道所有开放情况都适用:1)遵守“最少必要原则”;2)确保符合合法性、正当性和必要性的要求;3)尽可能根据应用目标进行识别;4)了解数据开发和应用目标、用户应承担的安全义务和安全措施等。涉及退出的要按规定评估,涉及重大数据的要按规定评估审批。此外,根据上述五种不同的数据开放情况,应满足相应的安全措施要点。
五、实现安全目的的方法
(1)安全管理要求
健康医疗机构以安全为目的,对数据进行分类分级,在采取针对性的安全措施后,需要对措施实施后的后果进行回顾,并持续改进。在安全管理方面,《安全指南》了解与组织、流程和应急处理相关的管理要求。
在组织上,要建立完善的组织保障体系。组织架构至少包括健康医疗数据安全委员会和健康医疗数据安全办公室,其中委员会应为健康医疗数据安全的最高指导机构,全面负责相关工作并讨论重大决议,办公室负责健康医疗数据安全的日常实施。在流程上,安全指南划分了规划、实施、评审、改进阶段,了解每个阶段的重要工作,涵盖了事前、事中、事后的健康医疗数据安全全流程,实现了全流程的数据安全管理。应急处理包括建立应急预案、建立专门的应急支持小组和专家小组、制定灾难恢复计划、数据安全事件报告和综合评估等。,确保及时有序地应对数据安全事故。
(2)安全技能要求
《安全指南》根据医疗保健数据安全技能的要求,在了解一般安全技能的基础上,结合医疗保健数据的特殊性,进一步规范了解标工作。对于一般的安全技术资源网络技术,建议对承载医疗数据的信息系统和网络、云平台等进行安全覆盖。,对数据生命周期的移动实施安全措施,建立安全的数据管理基础设施,实施身份识别、访问和掌握、安全审计、入侵防御、媒体应用管理、备份和恢复、残留信息覆盖等安全措施。关于取消身份识别,《安全指南》认为,删除能够唯一识别个人身份或在披露后将对个人产生重大影响的信息是明智的。对于个人属性数据中能与个人间接相关的信息,宜进行归纳和转换。数据集中具有相同属性值的最小人数应超过5人。主设备应在内部建立患者编码索引,去识别中应用的参数配置仅限于内部专人管理,避免用户参与去识别相关工作。
六、典型场景的数据安全
《安全指南》列举了八种典型场景下的关键数据安全方法,分为医生接入、患者查询、临床讨论、二次应用、健康传感、移动应用、商业保险对接、医疗器械。这八个场景是医疗保健数据实际应用或泄露过程中常见的场景,对医疗保健数据安全覆盖的实践具有指导意义。与《健康医疗数据安全指南(征求意见稿)》(2019年4月4日)相比,《安全指南》删除了互联互通和远程医疗的场景,增加了医生接入的场景,将设备保护修改为医疗器械的场景,是医疗器械场景的一部分。
以商业保险的对接安全场景为例。商业保险主体在定点医疗机构购买医疗时,商业保险公司可以通过建立与医疗机构相衔接的医疗信息系统,及时掌握主体就医情况和相关费用,以便按规则进行理赔。在这个场景中,涉及的数据有个人属性数据、健康状况数据、医疗应用数据、医疗支付数据和健康资源数据。医疗机构与商业保险公司对接时,可以在医疗信息系统对接前、对接中、对接后三个阶段采取相应的安全措施(如下表所示)。可以看出,数据分类和分级贯穿于所有安全场景,分散管理、访问权限和限制、不同加密传输方式等方法都是数据分类和数据开放态势划分的体现。结合上述场景安全措施要点,在商业保险对接安全场景中,对于医疗机构向商业保险公司传输的五类相关数据,医疗机构为主,商业保险公司为用户,以下关键安全措施也是对主、用户间数据流转应用的场景安全措施要点的细化。此外,安全管理要求和技能要求也落实到具体措施中,在确保数据保密性、完整性和可用性以及数据应用和披露合法合规的基础上,满足商业保险理赔业务的发展需求。
七。结论
《安全指南》确立了医疗保健数据的安全目的,并着眼于安全目的的实现。在了解数据分类分级的原则要求、数据开放情况和应用公开原则的基础上,提出了相应的数据安全措施要点,以及医疗卫生数据应用过程中的管理和技能要求,并结合典型场景进行了说明。在实践中对医疗数据安全的覆盖起到了很强的指导作用,也为监管部门、第三方评估机构等进行监控管理和评估。
对于相关企业,建议在安全指南的指导下,依据现有相关法律法规开展健康医疗数据安全合规性检查,确保业务发展的同时实现数据安全。
注意:
[1]王峰:《AI公司易慧汇盈回应“黑客入侵”谣言启发数据安全立法应加快》,中国网科学、
[2]张:《青岛胶州6000多名医生名单泄露,3人被拘留》,新京报,
作者:
吴伟明律师
电子邮件:[email protected]
刘少东律师:
律师毛彤的助理