首页 > 志霖观点 > 实务评论

《信息安全技术 健康医疗数据安全指南》之解读 作者:谢阳、李钦 时间:2021-06-11 点击数:1607

返回列表

2020年12月14日,国家标准化管理委员会发布GB/T39725-2020《信息安全技术 健康医疗数据安全指南》(“《安全指南》”),该《安全指南》将于2021年7月1日生效实施。鉴于如今随着健康医疗数据、“互联网+医疗健康”和智慧医疗的蓬勃发展,各类新业务、新应用层出不穷,健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战,为了更好的保护健康医疗数据的安全,规范和推动健康医疗数据的融合共享和开放应用,《安全指南》应运而生。

一、《安全指南》的规制与适用对象

安全指南》将“健康医疗数据”作为规制对象,将其定义为“个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据”,具体可分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据六大类。

使用“健康医疗数据”的名词表述也是本《安全指南》的独创之处,在《安全指南》发布之前,对于此类相关数据,《人口健康信息管理办法(试行)》中表述为“人口健康信息”;《信息安全技术 个人信息安全规范》中表述为“个人健康生理信息”;《国家健康医疗大数据标准、安全和服务管理办法(试行)》中表述为“健康医疗大数据”。在本《安全指南》中统称为个人健康医疗数据或健康医疗数据。

《安全指南》的适用对象为“健康医疗数据控制者”及其他角色,所谓“健康医疗数据控制者”是指“能够决定健康医疗数据处理目的、方式及范围等的组织或个人”,比如提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等。除了“健康医疗数据控制者”,《安全指南》中还规定了个别的相关角色,比如“健康医疗数据处理者”(健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等)及“健康医疗数据使用者”等。

二、《安全指南》的主要内容

《安全指南》共分为11个章节,除了定义和介绍部分,主体内容包括分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南和典型场景数据安全等内容。其内容的几大特色之处在于:

首先,《安全指南》对于规制对象和适用对象有独创的划分体系,具体表现为:

第一,《安全指南》将“健康医疗数据”分为六个类别,并对各个类别中具体包含的内容进行了明确列举:

《安全指南》第6.1条 数据类别范围

第二,《安全指南》根据数据的重要程度和可能造成损害和影响的级别对上述“健康医疗数据”分为五个级别,针对不同级别,控制者可使用和披露的范围及采取的安全措施有所不同:

根据《安全指南》第8.1条 分级安全措施要点梳理汇总

第三,《安全指南》将参与健康医疗数据使用和处理的角色分为四大类,即个人健康医疗数据主体、健康医疗数据控制者、健康医疗数据处理者和健康医疗数据使用者。并对各角色之间相互传输、使用、存储健康医疗数据的方式和技术措施进行了规定,多角度全方面的保障了健康医疗数据的安全。

其次,《安全指南》要求控制者在使用和披露健康医疗数据的同时,需要遵循基本的披露原则,包括但不限于:

1、控制者宜告知主体并获得授权,但存在例外情形

《安全指南》要求控制者在使用和披露个人健康医疗数据时,需要采取通俗易懂的方式对主体就披露使用的数据内容、接收方、用途、使用方式等进行告知,取得主体授权。但在涉及向主体本人提供、涉及公共利益或法律法规要求、涉及科学研究等目的时,控制者可以无需取得主体的授权。同时,控制者不得将个人健康医疗数据用于市场营销活动,即不得用于商业目的,如果需要用于商业目的,需要主体明确知悉,并自主同意。

2、 控制者可以向第三方提供数据,但应受到限制

《安全指南》要求控制者如果向数据处理者提供数据,应首先确保数据处理者的安全能力,并签署数据处理协议,未经控制者允许,严格限制数据处理者转委托,不得引入第三方协助处理。

《安全指南》要求控制者如果向政府授权的第三方提供数据,应首先获得盖有政府公章的文件,数据提供后,数据安全责任等由第三方控制者承担。

《安全指南》要求控制者如果向使用者提供数据,应首先确保使用者的安全能力,并签署数据使用协议,使用者仅限于在协议范围内使用数据,使用完毕后需要按要求返还或销毁。对于上述提到的数据处理使用协议,在《安全指南》的附录中,也给出了可供参考的模版。

3、控制者原则上不得将数据存储在境外

《安全指南》要求控制者不宜将健康医疗数据存储在境外的服务器中,不托管和租赁在境外的服务器,如果确因学术研讨之需要,在一定数量内要向境外提供数据的,需要进行去标识化处理,并经数据安全委员会讨论审批通过。

4、控制者宜采取去标识化处理

《安全指南》要求对于可唯一识别到个人且披露后对个人产生重大影响的的信息需要进行去标识化处理,如姓名、身份证号、病历档案号等;对于可间接关联到个人的信息,宜采取泛化、转换等处理方式,如单位、具体年龄、生日等,并在第10章中对去标识化的具体操作方法提出建议,列举多类型示例以供参考。

最后,本《安全指南》最大的亮点即在于第11章“典型场景数据安全”,其列举了八种典型的数据使用场景,并对其中的数据采集、数据使用、数据披露等重点安全措施进行列举和规范,具有极强的实操性。列举的场景分别为:

1、医生在提供健康医疗服务过程中调阅相应患者数据的场景;

2、患者通过在线方式查询其本人健康医疗数据的场景;

3、临床研究搜集和使用患者个人健康医疗数据的场景;

4、第三方出于非营利目的申请对健康医疗数据二次利用的场景;

5、健康传感器采集健康传感数据的场景;

6、移动应用提供在线医疗服务的场景;

7、商业保险公司与医疗机构对接掌握患者就诊情况的场景;

8、医疗器械的使用、维护而传输医疗数据的场景。

《安全指南》所列举的场景与实务具有极强的对接性,为目前较为热点的临床研究、移动应用采集、传输和使用医疗数据提供了指引。对于涉及相关业务和领域的公司和社会组织而言,可参照《安全指南》的规定开展业务,做到合规建设。

三、《安全指南》的意义与展望

正是因为健康医疗数据不同于其他个人数据,其行业特征明显、敏感度高、质量要求高、互联互通需求较大且目前来看治理能力偏低,所以《安全指南》的出台对医疗行业内开展合规治理建设敲响了一记警钟。纵观《安全指南》,其对数据使用和披露过程中的合法合规问题提出了若干的管理和技术保障措施,可见其对保护健康医疗数据、保护个人信息安全、公共利益和国家安全等都起到了一定的积极作用,有着不可否认的现实意义。

但是《安全指南》也有其不足之处,首先,《安全指南》中提出了健康医疗数据控制者宜设立数据安全委员会,负责健康医疗数据的日常管理,并在必要时决定重大安全事项。笔者认为对于数据安全委员会的设立存在几点可完善之处,第一,《安全指南》只建议数据控制者设立数据安全委员会,而是否真的必须要设立此类内部组织保障数据安全并未作出强制性规定;第二,相较于控制者,对于频繁接触数据的数据处理者是否也应建立相关组织或设立相关负责人保障数据安全,本《安全指南》中也并未提及;第三,《安全指南》在附录中提供了可供参考的《数据使用管理办法示例》,建议数据控制者参照该示例完善内部控制,其中提到了数据安全委员会的职责,但是其职责并没有上位法的强制性规定,只是依靠数据控制者单位内部的规章进行规定,换言之,数据安全委员会的职责划分和决策内容都是市场主体自主决定作出的,那么其是否能真的起到保护数据安全的意义仍有待考究。

其次,通览《安全指南》可发现,其大多表述为数据控制者“宜”如何,而非数据控制者“应”如何,这也与其本身的效力层级有关。《安全指南》只是一份国家标准文件,属于推荐性标准,其不同于国家制定的法律法规。其二者最本质的差别在于,国家的法律法规具有强制执行力,执法机构可以将法律法规执法依据;而国标文件不具有强制执行力,只是一份行政意义上的管理文件,其只可以为医疗数据控制者、使用者、处理者的业务开展提供合规参考,但无法成为可靠的执法依据。

所以在未来《安全指南》的适用性如何,能否做到真正的落地应用,并配有相关的监管措施,还需要结合《中华人民共和国个人信息保护法(草案)》、《中华人民共和国数据安全法(草案)》、《中华人民共和国网络安全法》等相关法律法规的进一步落实来综合考量。