登陆记者:张姗姗
2023年9月2日,中国国际服务贸易交易会(以下简称服贸会)在北京开幕。本次服贸会以“开放引领发展,合作共赢未来”为年度主题,由国家体育馆、国家会议中心和首钢园区三大场馆共同作为主场馆,设置金融服务、文旅服务、教育服务、体育服务、供应链及商务服务、工程咨询与建筑服务、健康卫生服务、环境服务以及电信、计算机和信息服务九大专题。
东华医为科技有限公司在健康卫生服务专题展区亮相,重点展示了HOS智慧医院解决方案、全民健康平台、智慧病房解决方案等产品,吸引了众多医院代表前来交流咨询、洽谈合作。
会议期间,记者在采访了国内IT企业运营专家,东华软件医疗行业负责人,法律咨询顾问,医疗行业市场经理于任涵,对健康医疗数据安全相关话题进行了深入探讨。现将于任涵的访谈记录总结如下。
记者:近年来,随着健康医疗产业的不断发展,健康医疗数据也随之增长,数据安全形势日益严峻。在您看来,如何定义“个人健康医疗数据”?
于任涵:目前,我国理论界和实务界对于个人健康医疗数据的定义尚未形成统一认识,关于个人数据、个人信息等概念分散于各级法律法规中,大多仅是从宏观层面对其进行了概括性的规定,且各文件的侧重点有差异,有的强调数据的可识别性,有的强调其数字化。
我个人认为,个人数据与个人信息等相关概念在本质上差别不大。美国的《隐私权法》、欧盟的 GDPR、以及中国的《个人信息保护法》等法规条例都未对个人数据与个人信息进行明确的区分。
因此,我认为,个人健康医疗数据是个人数据的中的一个概念,是指与数据主体相关的任何医疗信息。其中,医疗数据主要包括电子病历数据、医学影像数据、患者住院、用药记录、临床路径数据等诊疗过程相关记录;健康数据主要包括个人健康档案、监测个人体征数据、个人偏好数据、康复医疗数据、健康知识数据等;生物大数据主要包括不同组学的数据,如基因组学、转录组学、蛋白组学、代谢组学、微生物组学、表观遗传组学及生物样本数据等;经营运营数据主要包括医药、耗材、器械采购与管理数据、不同病种治疗费用信息、药物研发数据、第三方支付数据等。
记者:健康医疗数据应用广泛,您认为个人健康医疗数据区别于其他个人数据的特征体现在哪些方面?
于任涵:随着大数据、AI等信息处理技术更加广泛地应用于疫情防控、健康管理、诊疗服务等健康医疗场景,更加凸显了健康医疗数据在社会发展和经济领域的价值。我认为,健康医疗数据有以下特征:
1.数据量大
2022年,我国全年总诊疗人次达84亿人次。随着“互联网+医疗健康”和智慧医疗行业的蓬勃发展为医疗行业带来了TB(万亿字节)的数据量以支撑医疗数据的应用和治理。在过去几年中,我国医疗数据的生成和共享始终保持着较高的增长速度,由每月43.6亿GB增长到120.6亿GB,也可见我国医疗数据的数量之巨。
2.数据来源广泛
医疗数据的来源非常广泛,贯穿于患者与医疗机构建立医疗服务关系的全过程,从患者就诊前的健康咨询到后续的挂号、就诊、检查检验,再到就诊后的健康管理与健康监测等,每个环节都在产生医疗数据。另外,随着大数据、AI等技术在医疗行业的运用,医疗数据将会同其他数据结合产生更多的新的数据,这也扩展了医疗数据源。
3.数据资产化
医疗数据是我国的基础性战略资源和重要生产要素,随着大数据技术的不断发展,数据对社会的作用越来越显著。医疗数据信息会存在大量实时数据处理分析的需求,通过对整合后的医疗数据进行分析,在临床辅助诊断、健康数据指标预警等方面发挥重要的作用。
记者:您同时具备法律及医疗行业经验,您能否结合自身经验,谈一谈应该如何保护个人健康医疗数据安全?
于任涵:首先,我建议,对《个人信息保护法》“个人信息携带权”条款的范围作出相应的立法解释。《个人信息保护法》第四十五条第三款规定了个人信息携带权,但其仅是原则性规定,为个人健康医疗数据适用该条款留有解释空间。因此,我认为,应当明确将个人健康医疗数据纳入个人信息携带权的适用范围,数据来源者可以参照适用个人信息携带权的相关规定,行使个人健康医疗数据可携权。
其次,建立医疗数据流转平台。医疗数据的流转需要一个安全合法合理的医疗流转平台,平台帮助患者对个人医疗数据流转进行全程监控。另外,为最大限度保证平台医疗数据流转安全,可设立患者个人账户系统,以患者的身份证号为账号并以本人生物基因信息为验证,确保患者数据主体的医疗数据的安全性。
最后,加强监管力度。我认为,对于医疗数据的监管,不仅需要政府、行政机关加强对医疗数据的监管力度,还需要医疗机构从源头把控医疗数据安全。让医疗数据的监管更具针对性和专业性,切实保护个人健康医疗数据安全。
记者:关于健康医疗数据的跨境流动,您有什么看法?
于任涵:随着数字时代深入发展以及全球范围内服务贸易、投资和人员流动的加速,跨境数据有效流动与安全管控则成为关键问问题。在健康医疗领域,医院与国际研究中心在罕见病、传染病等方面建立多方协作机制,通过跨区域汇聚患者群队列的临床表型与组学信息,打造协作网络与跨区域罕见病分布式数据库,为我国各类疾病的精准诊断与治疗研究提供强大支撑,促进疾病研究和诊疗技术的研发,推动生物医药产业发展。
因健康医疗数据涉及个人隐私,需要加强“脱敏”信息和隐私保护的双重研究,一方面研究这些信息跨境开放的必要性以及实现路径,另一方面要着力保护好涉及到个人隐私的方方面面。由于我国尚未制定健康医疗信息安全保护的专项法律,现实中,针对健康医疗信息泄露的判例多归结于侵犯隐私权的民事诉讼,但个人举证难、维权成本高。这造成了我国公民对健康医疗信息的保护意识不强,维权动力不足。此外,在信息归属权、使用权等相关健康医疗信息控制权无法保证的情况下,众多健康医疗信息在互联网上处在“裸奔”阶段,需要特别加以重视。对于我国人群基因组测序等生物学信息如被国外厂商大量获取,有可能对国家安全、个人安全造成深远影响。
随着信息技术的飞速发展,数据跨境传输可能引发更多的国家间相关法律规定和实际需要的冲突。这种冲突可能使跨国企业进退维谷、围观而言影响企业的稳定运营,宏观而言影响国家经济的健康发展。因此在《网络安全法》的后续法规制定的过程中,相关部门应该预见到未来在跨境数据传输方面的潜在冲突,并适当在实体和程序方面规划冲突协调机制。
另外,个人信息、电子病历、中国人群遗传信息、药品实验、临床试验信息等既涉及到个人安全也涉及到国家安全和公共利益,需要在数据合规的角度下,经有关部门审核后方可传输。在跨境数据传输、存储过程中,数据需要境内留存以备追溯,可以充分利用不断发展的信息技术所提供机遇,采用自主知识产权的软硬件装备与系统,基于大数据、人工智能、区块链等新一代信息技术,利用分布式账本、智能合约、非对称加密、多私钥等手段打造不可篡改、可信共享、安全授权的跨境数据技术平台,助力跨境医疗数据流动与信息安全管理。
注:于任涵(YuRenhan),IT企业运营专家,法律咨询顾问,医疗行业法律风险防范专家。
推荐阅读:叶紫
