医疗领域是一个数据密集型领域,医疗数据内容的广泛性令人瞩目。同时医疗行业数据蕴含巨大价值,可为智慧医院建设提供重要支撑,是医疗质量、创新应用等方面发展的土壤。可以说医疗数据不仅关乎每个人的切身利益,更关乎社会公共利益和国家安全。
医疗行业数据种类多且复杂,业务应用场景也十分丰富,这些宝贵的数据受到不同领域法律法规的严格约束,需要满足相应的合规要求。
《网络安全法》、《数据安全法》、《个人信息保护法》等对医疗大数据的利用规制产生深远影响。
《“十四五”全民健康信息化规划》、“数据二十条”等政策在推进健康医疗数据资源应用的同时,均对数据安全问题提出了明确要求。
《医疗卫生机构网络安全管理办法》第三章数据安全管理第十八条各医疗卫生机构应按照有关法律法规的规定,参照国家网络安全标准,履行数据安全保护义务,坚持保障数据安全与发展并重,通过管理和技术手段保障数据安全和数据应用的有效平衡。关键信息基础设施运营者应拟定关键信息基础设施安全保护计划,建立健全数据安全和个人信息保护制度。
国家标准《信息安全技术—健康医疗数据安全指南》(GB/T 39725-2020)给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。该标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。
《指南》根据数据内容、重要性、风险等要素将健康医疗数据分成六类。
健康医疗数据的合规问题
1、医疗健康数据分类分级
数据分类分级是开展数据合规工作的基础,医疗健康数据分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据等类别,而医疗健康数据的分级则根据数据重要程度、风险级别、对个人健康医疗数据主体可能造成的损害以及影响的级别等,一般可分为五级。
2、数据收集、使用、披露
对于个体健康医疗数据的收集,数据控制者应该根据《网络安全法》等法律的规定,遵循合法、正当、必要的原则,在使用或披露相应个人健康医疗数据时,宜告知主体并获得主体的授权。
告知主体收集数据的目的、收集内容与收集方式,包含有关要披露或使用的数据内容、数据的接收方、数据用途以及使用方式、数据使用期限、数据主体权利以及控制者采取的保护措施等具体信息。
3、数据存储的安全性
健康医疗数据由于其敏感性、隐私性与特殊性,健康医疗机构和组织应该采用安全的技术手段,包括匿名化、去标识化、加密技术、访问控制、数据备份和恢复等措施,确保数据的安全性与完整性,同时确保数据的可用性以满足医疗服务和研究的需要。
4、数据分析与共享
在数据分析与应用的过程中需考虑国家秘密、社会公共利益、其他组织的合法权益,严格保护个人隐私与个人信息。
健康医疗机构应该对其共享给其他主体的数据进行有效的安全管理,采取必要的技术和组织措施,保障数据的安全。包括采取数据加密、数据备份和恢复、访问控制等技术措施,以及制定共享协议、建立数据共享管理机构等组织措施。
健康医疗机构需要对数据接收主体的数据安全能力进行评估,确认其具备相应的数据安全能力,从而保证第三方主体使用、处理数据时的安全和保密性。
5、建立完善的组织保障和管理体系
健康医疗机构和组织应建立完善的组织保障体系和数据管理制度,通过相关逐级机构来制定规范的具体操作流程,并明确数据管理人员的职责、管理流程和权限,包括收集数据的方式、目的、程序、审核、备份和销毁等,从而确保数据管理的规范化和标准化,提高数据管理效率和数据安全性。
随着医疗信息化和智慧化应用的发展,健康医疗数据安全成为推进智慧医疗发展过程中的重要议题,我们需要密切关注行业的发展趋势,不断加强健康医疗数据安全保障,积极推进医疗数据安全治理,为社会健康事业做出更加积极的贡献。