春风先发苑中梅——《国家健康医疗大数据标准、安全和服务管理办法(试行)》 解读及启示
作者:宁宣凤 吴涵 黎辉辉 陈胜男
作者介绍,请详见文末
互联网时代,大数据已成为耳熟能详的时髦词汇。大数据分析和应用技术的蓬勃发展,逐渐赋予数据实际的“生产力”。在此背景下,国家卫生健康委员会(下称“卫健委”)于2018年7月12日正式下发《国家健康医疗大数据标准、安全和服务管理办法(试行)》(下称“《管理办法》”),并于2018年9月13日向社会公布。《管理办法》重申了此前政策性文件中的有关要求,从标准制定、主体行为、行业监管等层面对规范健康医疗行业大数据的应用与管理设定了更为具体的规则,对于健康医疗行业从事大数据开发与应用具有实践指导意义。
Part.1
《管理办法》的制定背景与内容提要
01
制定背景
国务院于2015年颁布的《促进大数据发展行动纲要》已充分意识到大数据的应用价值,为全面推进我国大数据发展和应用设定了目标。其中,医疗健康管理和服务大数据应用体系作为公共服务大数据工程建设的一部分被提上日程。
此后,针对医疗健康行业,国务院先后又颁布了《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》、《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等政策性文件,为稳步实现健康医疗大数据应用、医疗健康信息数据共享等提出了更具有针对性的要求;而《网络安全法》及其相关配套措施的颁布和实施也为医疗行业在互联网运行安全和信息安全角度提供了一般性的法律指引。
因此,为了进一步规范医疗行业数据的管理,并推动“互联网+”与大数据技术在医疗行业的应用,《管理办法》应运而生。
02
何为健康医疗大数据?
《管理办法》首先对健康医疗大数据的来源、内涵和外延进行了明确。《管理办法》第四条规定,健康医疗大数据,是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。而《管理办法》第二条则对上述数据的来源进行了进一步说明,主要涵盖我国公民在中华人民共和国境内所产生的健康和医疗数据。
03
哪些是健康医疗大数据应用与管理的监管机关?
《管理办法》第五条规定了办法的适用范围。根据该条,县级以上卫生健康行政部门(含中医药主管部门,下同)、各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的管理均适用《管理办法》。
此外,《管理办法》第六条第一款明确国家卫建委(含国家中医药管理局)以及县级以上各级卫生健康行政部分负责相应行政区域的健康医疗大数据管理工作。
04
哪些机构可能受到《管理办法》的约束?
除上述第五条提及各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的管理均适用《管理办法》外,该办法第六条第二款更是进一步明确,各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。
可以看出,《管理办法》对责任主体采取了相对宽泛的定义。除各级各类医疗卫生机构外,涉及健康医疗大数据安全和应用管理的“相关企事业单位”也被纳入责任主体范畴,需要根据《管理办法》的要求落实相关义务。
05
《管理办法》对主管机关和责任单位提出了哪些要求?
从法规文本结构来看,《管理办法》从标准管理、安全管理和服务管理三个方面对健康医疗大数据应用过程中各相关单位的责权利予以明确。
其中,标准管理涉及各级卫生健康管理部门针对健康医疗大数据行业的标准体系建设中的角色定位;安全管理和服务管理则主要涉及责任单位在健康医疗大数据应用各个环节中的安全管理、操作规程和技术规范,以及提供健康医疗大数据服务过程中的管理制度、服务规程、数据安全等。
此外,《管理办法》还通过专门章节强调了卫生健康行政部门加强监督管理、监测评估的职责,并要求建立健康医疗大数据安全管理工作责任追究制度。具体见下表:
Part.2
《管理办法》对企业的指引与启示
总体而言,《管理办法》对于作为责任主体的“各级各类医疗卫生机构和相关企事业单位”在推动健康医疗大数据应用方面的制度设计、安全规程、服务规范等均作出了较为具体的指导性要求。然而,我们也注意到《管理办法》对客体对象与主体范围规定相对宽泛,广大从事健康医疗大数据的企事业单位需要从数据类型以及主体认定等多个角度确定自身的责任和义务范围。
一方面,如前所述,《管理办法》将“健康医疗大数据”定义为“人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”。由于“大数据”本身包括“大量”(Volume)、“高速”(Velocity)、“多样”(Variety)、“低价值密度”(Value)和“真实性”(Veracity)等内涵,健康医疗大数据的范围已经超出现行法律法规中已经出现、现实中较为典型的医疗行业相关数据(如(电子)病历、人类遗传资源、人口健康信息等),还应包括在这些过程中产生的、与健康医疗相关的数据,例如为判断特定个人健康状况所依据的背景信息(如生活作息数据等)。然而,由于《管理办法》并未对健康医疗大数据作任何举例说明,也未能对何种数据构成“与健康医疗相关的数据”进行具体澄清与说明,同时考虑到大数据关联分析技术中通常对于“相关性”有着相对广泛的判断,因此依据《管理办法》的基本原则,实践中企业判断自身处理的数据是否构成健康医疗大数据可能存在难度。
另一方面,《管理办法》将各级各类医疗卫生机构和相关企事业单位作为健康医疗大数据安全和应用管理的责任单位,而对于哪些企事业单位构成此处的“相关”单位,办法并未予以明确。相较而言,医疗行业某些既有法律规范对于行业的其他重要数据的责任单位界定较为清晰,例如《人口健康信息管理办法(试行)》对责任单位的界定则相对明确,仅指“各级各类医疗卫生计生服务机构(含中医药服务机构)”,并明确该等机构“负责人口健康信息的采集、利用、管理、安全和隐私保护”。
从规范健康医疗大数据应用和管理的角度出发,我们无法排除责任单位的范围可能与健康医疗大数据的控制和处理挂钩。具体而言,如有关企业在日常运营过程中能够收集、处理与医疗卫生机构所能接触的健康医疗数据相类似的数据,例如专门从事个人医疗健康检查的服务机构或者从事健康医疗行业的研究机构,如果能够获得疾病防治、健康管理等过程中产生的与健康医疗相关的数据,则仍有可能被归类于《管理办法》的责任单位范畴。同时我们也注意到《管理办法》中,也对“健康医疗大数据服务提供商”以及“存储、运营健康医疗大数据”的受托单位的管理和安全义务提出了要求,因此从事健康医疗大数据行业的企事业单位的首要任务应当厘清自身定位,从而明确相应的责任和义务范围。
作为具体面向健康医疗大数据的第一部法律规范,并不排除相关主管部门会通过制定具体实施细则、国家标准,或是采用“宽进严出”的执法模式,为企业提供进一步的指引。换言之,企业如正在开展或拟开展与健康医疗大数据相关的管理或应用业务,应当密切关注相关的立法与执法动态。
此外我们也注意到,《管理办法》对责任单位提出的各类要求,尤其是安全管理和服务管理中有关数据安全制度、数据共享、跨境等流转规则的设定,与《网络安全法》及其相关配套法律法规和国家标准的规定存在显著的呼应,在一定程度上构成对医疗行业“责任主体”网络安全义务的重申和强调——从这个角度看,《管理办法》将有可能为企业的日常合规提供一定有益的指引。我们理解,在《管理办法》正式出台之前,健康医疗行业机构(或企业,如适用),以及相关数据本身就可能具备多重属性,从而受制于不同的规则体系。具体而言:
由此可见,即使在《管理办法》尚未出台的时期,健康医疗行业的有关机构在处理相关“数据与信息”过程中,同样也需要承担和履行相应的合规义务。《管理办法》实际上将此前健康医疗行业从业机构的相关合规义务(尤其是根据《网络安全法》与《人口健康信息管理办法(试行)》)进行类型化梳理,并结合健康医疗大数据行业自身特点,提炼、整合最为核心与关键的义务,从而形成了《管理办法》“安全管理”与“服务管理”两章的主要内容。
例如,《管理办法》中第十七至十九条倾向于强调责任单位的网络安全等级保护义务(如“一把手”责任制、采取技术措施保障数据安全、容灾备份与数据归档、网络安全等级定级与测评等),相关规定在《网络安全法》第二十一条(网络运营者的网络安全保护义务)与第三十四条(关键信息基础设施运营者额外的网络安全保护义务)、《人口健康信息管理办法(试行)》第九条中可寻端倪。又如,《管理办法》中第三十条对健康医疗大数据本地化存储的要求,也可以在《网络安全法》第三十七条、《人口健康信息管理办法(试行)》第十条等条款中发现相当的要求;《管理办法》第十二条关于“责任单位变更”的规定与第二十条关于“健康医疗大数据系统的产品和服务提供者”技术支持与服务的要求,同样可以在《人口健康信息管理办法(试行)》第十二条、第十九条处找到可供借鉴与参考的原型。
基于以上,我们理解,“责任单位”对《管理办法》中相关义务的履行,也一定程度上在事实上满足了《网络安全法》对网络运营者的特定要求,并落实了健康医疗行业对有关机构与企业的部分规定。同时,需要企业关注的是,《管理办法》对健康医疗大数据从业者合规义务的厘清,并不仅是单纯的套用,更是具有行业与产业特点的要求。例如,《管理办法》第二十三条关于“建立电子实名认证和数据访问控制”的规定,则是显著体现了立法者对健康医疗大数据的敏感程度与重要程度的考量,要求落实痕迹管理与访问行为全程留痕。
Part.3
结语
如何合规地进行大数据应用,尤其是商业化应用,是广大企业关心的重点,而大数据时代的规范和合规离不开“安全”与“个人信息保护”两大主题。《管理办法》主要从这两个维度,明确健康医疗大数据标准管理、安全管理、服务管理中的责权利,对统筹标准管理、落实安全责任、规范数据服务管理方面具有重要意义。对于从事健康医疗大数据的企事业单位而言,我们建议依照《管理办法》以及现行医疗行业的其他法律法规开展下列合规工作:
从企业自身定位以及与第三方的法律关系出发,厘清自身在健康医疗大数据流转中的角色,并明确自身的责任和义务;
梳理自身掌握的数据类型,对可能属于健康医疗大数据的数据从来源合法性、存储及使用的安全和合规性等多个方面进行评估;
结合网络运营者以及关键信息基础设施运营者在网络运行安全方面的义务,评估企业对于健康医疗大数据安全性的保障措施,包括但不限于网络产品与服务安全、人员管理、权限控制和制度建设等;
对于健康医疗大数据的应用,首先明确企事业单位对于数据能够主张的权利范围,其次分析用户授权等数据来源合法性因素与使用范围之间的目的及方式差距,最后通过协议及尽职调查等严格把握与第三方的数据交互的安全及合规。
健康医疗大数据是促进人类健康医疗事业必不可少的要素,更是国家重要的基础性战略资源,其他国家比如美国早在十几年前就颁布了如健康保险携带和责任法案(Health Insurance Portability and Accountability Act),增强隐私保护和个人信息安全保护。健康医疗大数据行业也是我国众多行业中针对行业标准、安全与服务制定管理办法的先行者,健康医疗大数据将是大数据规范管理的“苑中梅”,其他行业的大数据规范管理办法也将“樱杏桃梨次第开”。
健康医疗行业仅仅是众多与前沿技术(如大数据、云计算、物联网、人工智能、区块链等)结合的重要行业之一。随着前沿技术与商业实践的结合愈加紧密,可以预见的是,更多行业的大数据管理办法将有针对性地出台,以更好地协调技术与商业的发展关系,务求在个人信息与隐私安全得到充分保护的前提下,相关产业能在技术力量的推动下得到长足发展。因此,企业既要寻找法律要求与商业需求的平衡点,充分发挥数据与技术所带来的竞争优势;在核心商业模式下未有定论的领域,应注重对理论研究的同步跟进,积极寻找推动和塑造法律规则体系的方式与路径,争取利益分配规则的红利;同时,还应密切关注立法态势和执法动向,及时调整自身可能处于灰色地带的业务实践,时刻更新商业模式,在完备的合规中创造更大的价值。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。 项目涉及健康医疗、金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
黎辉辉
律师
合规业务部
陈胜男
律师
合规业务部
感谢关注金杜研究院