以业务场景为视角,看医疗数据合规的解题思路
作者:马军 姜赫 宁人律师事务所
前言
健康医疗问题长期以来都是人们最为关注的话题之一。医疗行业因涉及大量复杂、敏感的个人数据,由此也成为了合规难度最高的领域。随着电子病历、互联网医疗、AI医疗影像等应用的普及,医疗数字化浪潮袭来,对企业合规提出了新的挑战。近年来,医疗数据处理方面的合规性愈发受到国家与社会的广泛关注。
本文将从医疗数据特殊性及其与伦理原则的关系出发,以业务场景为视角,逐步拆解医疗数据合规的四大难点问题,以期为医疗企业的数据合规工作提供建设性的解题思路。
一、医疗数据的特殊性
(一)广泛性
医疗数据与一般数据相比,第一个特点在于其内容上的广泛性。《数据安全法》第3条将数据定义为任何以电子或者其他方式对信息的记录。对于医疗数据,不止原始的、初次采集的数据是医疗数据,其衍生物也是数据。《医疗卫生机构网络安全管理办法》(以下简称“《医疗机构网安办法》”)第3条不但将临床、科研、管理等业务数据、医疗设备产生的数据、个人信息等均归入医疗数据,甚至其数据衍生物也被归入医疗数据。《信息安全技术-健康医疗数据安全指南》(以下简称“《指南》”)也把个人健康医疗数据加工处理之后得到的健康医疗相关电子数据纳入健康医疗数据的范畴。《人类遗传资源管理条例》(以下简称“《人遗条例》”)第2条则将人类遗传资源信息定义为利用人类遗传资源材料产生的数据等信息资料。
(二)复杂性
1.数据种类繁杂。
《指南》列举了以下六类医疗数据:数据类别范围个人属性数据1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等;2)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;3)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等;4)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;5)个人健康监测传感设备ID等。健康状况数据主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。医疗应用数据门(急)诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等。医疗支付数据1)医疗交易信息,包括医保支付信息、交易金额、交易记录等;2)保险信息,包括保险状态、保险金额等。卫生资源数据医院基本数据、医院运营数据等。公共卫生数据环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。
其中,个人属性数据、健康状况数据。医疗应用数据、医疗支付数据均属于个人信息。收入、社保卡、个人生物识别信息、健康状况数据、医疗应用数据、医疗支付数据均属于敏感个人信息基因、遗传咨询数据、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测均属于遗传资源信息。环境卫生数据、传染病疫情数据、疾病监测数据均可能构成重要数据。
2.适用的法律法规复杂
医疗数据依据其数据种类的复杂性,受到不同领域法律法规的重叠约束。
涉及人类遗传资源的,应遵守:《人遗条例》《人遗条例实施细则(征求意见稿)》、《中国人类遗传资源保藏审批行政许可事项服务指南》等。
涉及临床试验的,应遵守:《生物安全法》《药品管理法》《药品管理法实施条例》《药物临床试验质量管理规范》(以下简称“《GCP》”)《临床试验的电子数据采集技术指导原则》《临床试验数据管理工作技术指南》《药物临床试验数据现场核查要点》等。
涉及医疗卫生的,应遵守:《基本医疗卫生与健康促进法》《医疗机构管理条例》《医疗纠纷预防和处理条例》《医疗机构网安办法》《互联网医院管理办法(试行)》《医疗机构病历管理规定》《电子病历应用管理规范(试行)》等。
还应遵守数据合规的一般管理规定,包括:《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》。
(三)敏感性
医疗数据的第三个特点是其具有较强的敏感性。一旦医疗数据泄露、损坏或被非法利用,可能对以下权益造成危害:权益类别可能造成的损害国家安全与公共利益遗传资源信息被敌对国家或组织不当利用;基本公共卫生服务停滞,社会动荡。生命健康权患者无法得到与身体情况和病情相符的救治;远程医疗设备(如手术机器人、胰岛素注射器)被劫持、数据错误。名誉权患者患有的特殊疾病(如艾滋病、性病等)信息遭到泄露,导致患者名誉受损甚至被歧视。财产权犯罪分子利用医疗数据对患者进行精准诈骗、敲诈勒索、盗窃等;保险定价、销售等自动化决策侵犯患者财产权益。安静权医疗数据被用于精准广告推销等。
(四)伦理性
医疗数据的第四个特点是伦理性。医疗数据的伦理性主要体现在以下四个方面:
第一是医疗数据来自患者、受试者等主体,但往往不由相应主体控制,且处理者与数据主体之间的地位往往不平等,因此需要特别强调伦理来保护主体权利。第二是医疗数据蕴含着巨大的经济价值,因此也就产生了极高的道德风险,需要用伦理来约束医疗数据处理者。第三是如前所述,医疗数据一旦滥用将产生极强的危害。第四是医疗数据来源于医疗也用于医疗,也需要遵守医疗伦理的规则。
二、医疗数据与伦理原则
(一)伦理原则的重要性
《赫尔辛基宣言》第7条确定,伦理的意义在于,促进和确保对所有人类受试者的尊重,保护他们的健康和权利。在医疗数据处理活动中伦理原则的重要性,实际上也正体现为医疗数据的伦理性,在此不再赘述。
(二)伦理原则的内涵
1.国际公约中的伦理原则
就医疗、临床试验等行为中应遵守的伦理原则,《纽伦堡法典》《赫尔辛基宣言》《世界医学会:国际医学伦理准则》《日内瓦宣言》均进行了不同程度的规定,本文对这些伦理原则从医疗数据处理伦理的角度进行解释。
其中,《纽伦堡法典》规定了四个原则,第一是自愿同意原则,在医疗数据处理中可以理解为将告知+同意作为处理个人信息的合法性基础。第二是有利必要原则,在医疗数据中处理中可以理解为处理活动是对数据主体有利的,且目的是其他危险或伤害更小的处理活动无法达到的。第三是无伤原则,即应避免医疗数据处理活动造成对数据主体肉体、精神、财产等方面的伤害。第四是安全原则,可以理解为医疗数据处理者应做好准备保护数据主体免受伤害。
《日内瓦宣言》规定了患者第一原则,还规定了不歧视原则,可以理解为不歧视任何数据主体;保密原则,即保守数据主体的秘密,无论其在世或离世。
《国际医学伦理守则》规定了四个原则,第一是公平原则,禁止因年龄、疾病或残疾、信仰、民族血统、性别、国籍、政治派别、种族、文化、性取向、社会地位或任何其他因素歧视数据主体。第二是有利原则,可以理解为应以最有利于数据主体的方式使用医疗数据。第三是尊重原则,要求使用医疗数据的行为尊重数据主体的尊严、自主权和权利。第四是防止利益冲突原则,可以理解为使用医疗数据的行为不得与数据主体的利益存在冲突,如果无法避免则应预先告知数据主体并妥善处理。
《赫尔辛基宣言》在此基础上规定了个体第一原则,可以理解为数据主体的个体权益和利益优先于数据处理活动欲达到的其他目的,如果出现冲突,应优先保障数据主体的权益和利益。保护原则是指医生或其他医疗卫生专业人员应保护数据主体的隐私以及个人信息机密。
2.涉及人的生物医学研究中的伦理原则
《涉及人的生物医学研究伦理审查办法》第18条对于涉及人的生物医学研究应当符合的伦理原则进行了详尽的规定。该规定对于伦理原则及其内涵论述得较为,不但适用于涉及人的生物医学研究,对于其他涉及医疗数据处理的活动也具有参考价值。这些原则包括:知情同意原则、控制风险原则、免费和补偿原则、保护隐私原则、依法赔偿原则和特殊保护原则。其中前四项原则与国际公约的内涵近似,依法赔偿原则可以理解为数据主体受到损害时,应依法予以赔偿。特殊保护原则是指对儿童、孕妇、智力低下者、精神障碍患者等特殊人群的数据主体权利,应当予以特别保护。
3.人工智能的伦理原则
随着人工智能技术的发展,人工智能也可能参与到医疗数据的处理活动中。《新一代人工智能伦理规范》第3条规定了人工智能活动应遵守的伦理规范,包括增进人类福祉、促进公平公正、保护隐私安全、确保可控可信、强化责任担当和提升伦理素养。其中,确保可控可信对于医疗数据处理活动具有重要意义,其要求保障数据主体拥有充分自主决策权,有权选择是否接受人工智能提供的服务,有权随时退出与人工智能的交互。
(三)伦理原则的适用场景
在医疗卫生领域,伦理原则有大量适用场景,具体如下表所示:依据适用场景《生物安全法》第34条从事生物技术研究、开发与应用活动《人遗条例》第9条采集、保藏、利用、对外提供我国人类遗传资源《人体器官移植条例》第15条医疗机构及其医务人员从事人体器官移植《涉及人的生物医学研究伦理审查办法》第2条各级各类医疗卫生机构开展涉及人的生物医学研究伦理审查工作《GCP》第3条药物临床试验《新一代人工智能伦理规范》第3条人工智能各类活动
三、互联网医疗APP隐私合规
(一)互联网医疗APP的资质要求
互联网医疗APP既需要取得一般APP应取得的资质,也要取得从事互联网医疗相关业务所需的特殊资质。在一般资质方面,根据《互联网信息服务管理办法》第7条和第8条的规定,从事经营性互联网信息服务业务的应取得互联网信息服务增值电信业务经营许可证,从事非经营性互联网信息服务则要进行备案。应特别注意的是,该规定第5条明确从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务需要取得行政许可的,应先取得行政许可才可办理许可证或备案,也即在办理顺序上要先取得特殊资质才能取得一般资质。
在特殊资质方面,如果开展互联网医院业务,首先需要依托实体医疗机构,其次要向实体医疗机构执业登记机关提出设置申请,取得《医疗机构执业许可证》。如果要销售药品,还需取得《互联网药品信息服务资格证书》。
(二)收集规则不同
《个人信息保护法》第13条规定了处理个人信息的七类合法性基础。
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
虽然该条的逻辑是七类合法性基础属于并列关系,但行业内一般将其理解成取得个人信息主体同意为原则,其他六种情形为不需取得同意的例外,其中第二种情形为履行法定职责或者法定义务所必需。医疗机构和医务人员为实行单纯的诊疗行为、填写病历等目的收集个人信息,即是为履行《医师法》第24条、《医疗机构病历管理规定》第8条、《互联网诊疗监管细则》第18条等法定职责或者法定义务所必需。此种情形下收集个人信息并不需要获取个人的同意,但是仍然需要按照《个人信息保护法》第17条和第30条的规定对个人进行告知。但在实践中,如互联网医院还需要进行药品销售等非属于法定职责或义务的个人信息处理活动,仍然会应当采取告知+同意的方式收集个人信息。
(三)数据存储要求不同比较项医疗数据一般数据存储地点要求全部境内存储仅重要数据、达到一定数量的个人信息要求境内存储备份、加密等安全措施要求要求云上存储安全评估要求未普遍明确要求安全管控要求加强访问控制安全、数据副本安全、数据归档安全管控未普遍明确要求
(四)网络安全义务不同比较项医疗数据一般APP网络安全保护等级《互联网医院管理办法》第15条确定实施第三级保护根据《信息安全技术网络安全等级保护定级指南》确定级别制度要求要求组织机构要求要求网络安全通报预警加强建设视等级保护要求决定应急处置机制要求要求每年开展安全自查要求视等级保护要求决定CIIO关键人员安全背景审查要求要求加强运维管理要求视等级保护要求决定设置灾备要求数据分类、重要数据备份和加密新技术安全评估要求无要求医疗设备管理要求无要求第三方管理要求视等级保护要求决定
四、临床试验中各方的个人信息保护责任承担
(一)涉第三方个人信息处理的情形
《个人信息保护法》第20-23条列举了四种涉及第三方个人信息处理的情形,分别是共同处理,委托处理,合并、分立、解散、被宣告破产等原因的转移,以及个人信息处理者对外提供个人信息。其中,合并、分立、解散、被宣告破产等原因的转移并不适用于临床试验中的各方关系,其余三种情形的特征以及合规要求如下表所示:种类特征合规要求共同处理共同决定个人信息的处理目的和处理方式各方承担连带责任委托处理委托处理个人信息的明确约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;委托人对受托人的个人信息处理活动进行监督对外提供一方向另一方提供个人信息保护影;告知+单独同意;伦理审查
(二)各方在个人信息处理中的关系
《GCP》第16条规定,研究者和临床试验机构应当熟悉申办者提供的试验方案、研究者手册、试验药物相关资料信息。第33条规定,申办者可以将其临床试验的部分或者全部工作和任务委托给合同研究组织,但申办者仍然是临床试验数据质量和可靠性的最终责任人。第39条则规定,申办者应当采取适当方式保证可以给予受试者和研究者补偿或者赔偿。
前述规定均说明,在《GCP》的制度构想中,申办者应当占据临床试验的主导地位,单独制定试验方案,决定个人信息的处理目的和处理方式,并承担主要责任。研究者和合同研究组织以及提供服务的第三方支付机构等则是根据合同进行研究、提供服务。从此种角度分析,申办者与研究者、合同研究组织等在个人信息处理中应当是委托处理的关系。
但是,在实践中,研究者、合同研究组织经常加入到试验方案的制定中,如果各方共同决定个人信息的处理目的和处理方式,则各方应属于共同处理,需要就个人信息处理活动承担连带责任。
五、人类遗传资源的数据合规
(一)人类遗传资源的界定
《人遗条例》第2条规定,人类遗传资源包括人类遗传资源材料和人类遗传资源信息,其中人类遗传资源信息是指利用含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料产生的数据等信息资料。《中国人类遗传资源采集审批行政许可事项服务指南》的附表中对人类遗传资源信息进行了列举,如下表所示:类别举例临床数据人口学信息、一般实验室检查信息等影像数据B 超、CT、PET-CT、核磁共振、X 射线等生物标志物数据诊断性生物标志物、监测性生物标志物、药效学/反应生物标志物、预测性生物标志物、预后生物标志物、安全性生物标志物、易感性/风险生物标志物基因数据全基因组测序、外显子组测序、目标区域测序、人线粒体测序、全基因组甲基化测序、lnc RNA 测序、转录组测序、单细胞转录组测序、small RNA 测序等蛋白质数据无代谢数据无
(二)采集的合规要求
《人遗条例》第11条规定了采集人类遗传资源的准入条件,采集我国重要遗传家系、特定地区人类遗传资源或者采集国务院科学技术行政部门规定种类、数量的人类遗传资源的,需要符合特定条件并经国务院科学技术行政部门批准。条件包括:具有法人资格;采集目的明确、合法;采集方案合理;通过伦理审查;具有负责人类遗传资源管理的部门和管理制度;具有与采集活动相适应的场所、设施、设备和人员。《人遗条例实施细则(征求意见稿)》第31条明确了适用以上合规要求的范围:第一是重要遗传家系,指患有遗传性疾病或具有遗传性特殊体质或生理特征的有血缘关系的群体,患病家系或具有遗传性特殊体质或生理特征成员涉及三代以上(含三代)。高血压、糖尿病等常见多基因疾病的人类遗传资源采集不在此列。第二是特定地区人类遗传资源。指在隔离或特殊环境下长期生活,并具有特殊体质特征或在生理特征方面有适应性性状发生的人群遗传资源。特定地区不以是否为少数民族聚居区为划分依据。第三是用于大规模人群研究3000例以上的采集活动。大规模人群研究包括但不限于队列研究、横断面研究、临床研究、体质学研究等。为获得相关药品和医疗器械在我国上市许可的临床研究涉及的采集活动不在此列。
《人遗条例》第12条规定了采集人类遗传资源的告知同意。采集人类遗传资源前,无论该种采集是否需要行政许可,均应全面、完整、真实、准确地告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利,征得人类遗传资源提供者书面同意。
(三)保藏的合规要求
《人遗条例》第14条规定了保藏的准入。保藏我国人类遗传资源的,无论种类与数量,均应符合特定条件,并经国务院科学技术行政部门批准。特定条件包括:具有法人资格;保藏目的明确、合法;保藏方案合理;拟保藏的人类遗传资源来源合法;通过伦理审查;具有负责人类遗传资源管理的部门和保藏管理制度;具有符合国家人类遗传资源保藏技术规范和要求的场所、设施、设备和人员。
《人遗条例》第15条则规定了保藏过程中的合规要求,要求保藏单位对所保藏的人类遗传资源加强管理和监测,采取安全措施,制定应急预案,确保保藏、使用安全。保藏单位应当完整记录保藏情况,妥善保存来源信息和使用信息,确保人类遗传资源的合法使用。保藏单位应当就本单位保藏人类遗传资源情况向国务院科学技术行政部门提交年度报告。
(四)中外合作的合规要求
我国对于人类遗传资源的出境有严格的管理规定。根据国科罚〔2015〕2号《行政处罚决定书》,深圳华大基因科技服务有限公司(简称华大科技,是上市公司华大基因(300676.SZ)的控股子公司)在执行“中国女性单相抑郁症的大样本病例对照研究”国际科研合作中,与华山医院未经许可与英国牛津大学开展中国人类遗传资源国际合作研究,未经许可将部分人类遗传资源信息从网上传递出境。该行为违反了《人类遗传资源管理暂行办法》第四条、第十一条、第十六条规定。对华大科技的处罚包括停止研究、销毁该研究工作中所有未出境的遗传资源材料及相关研究数据、暂停受理涉国际合作申请等。
《人遗条例》第7条禁止外方采集、保藏、对外提供我国人类遗传资源,并明确外方包括外国组织、个人及其设立或者实际控制的机构。第22条规定,外方为开展国际合作科学研究的目的利用我国人类遗传资源需符合特定条件,并由合作双方共同申请国务院科学技术行政部门批准。特定条件包括对我国公众健康、国家安全和社会公共利益没有危害;合作双方为具有法人资格的中方单位、外方单位,并具有开展相关工作的基础和能力;合作研究目的和内容明确、合法,期限合理;合作研究方案合理;拟使用的人类遗传资源来源合法,种类、数量与研究内容相符;通过合作双方各自所在国(地区)的伦理审查;研究成果归属明确,有合理明确的利益分配方案。为获得相关药品和医疗器械在我国上市许可,不涉及人类遗传资源材料出境的,不需要审批,但要进行备案。
《人遗条例》第24条要求,在合作中要求中方实质参与研究,产生的成果应当共享;第25条要求双方按照第24条签订协议;第26条要求合作双方在国际合作活动结束后6个月内共同向国务院科学技术行政部门提交合作研究情况报告。
六、医疗数据出境
(一)医疗数据出境难点
医疗数据出境主要存在以下四个难点:第一是数据敏感度高,一旦泄露、破坏或被非法利用,将对个人、医疗机构甚至是社会公共利益和国家安全产生极大的危害。第二是涉及到多个法域,医疗数据根据应用场景,可能需要在多个不同法域之间反复、多向跨境。第三是合规要求繁杂,医疗数据本身可能涉及到个人信息、重要数据、人类遗传资源信息等不同的数据种类,需要遵循不同法域的跨境要求,相比一般数据出境要求更加繁杂。由此带来了第四个难点,即各个法域的标准合同、管理制度、技术措施等管理要求以及大量的行政审批、备案等行政程序几何级数地提高了医疗数据出境合规的时间和经济成本。
(二)医疗数据出境与一般数据出境的衔接
相比一般数据出境,医疗数据出境最主要的特殊之处在于其可能涉及人类遗传资源。《人遗条例》规定了两类可能出现医疗数据出境的情形,第一是利用人类遗传资源开展中外合作研究的,其要求上文已经详述;第二是将人类遗传资源信息向外方提供或者开放使用,如果可能影响公众健康、国家安全和社会公共利益的,需要通过国务院科学技术行政部门组织的安全审查;如果危害可能性较小,此时仅需备案并提交信息备份;
问题在于,已经取得国务院科学技术行政部门关于中外合作的行政许可,或经过国务院科学技术行政部门组织的安全审查的数据出境,是否还要进行数据出境安全评估、签订标准合同或安全认证等数据出境一般步骤?
我们认为,行政许可或安全审查本身作为特别法规定的、主管部门组织的独立的行政程序,已经足以完成数据出境合规性审查的目的,不需要再进行其他合规步骤,且相关一般法已经预料到了此种可能性并设置了接口。《个人信息保护法》第38条第1款第4项规定,“法律、行政法规或者国家网信部门规定的其他条件”可以成为个人信息在安全评估、认证、标准合同之外的第四条出境路径。《数据出境安全评估办法》第2条也规定,数据出境安全评估适用该办法,法律、行政法规另有规定的,依照其规定。《人遗条例》作为行政法规,其规定的行政许可和安全审查属于行政法规另有规定的情形,可以豁免《个人信息保护法》和《数据出境安全评估办法》的规定。
但是,对外提供人类遗传资源信息仅需备案的,可能仍要进行数据出境安全评估、标准合同或安全认证等合规步骤。备案并不具备行政机关审查数据出境行为的环节,不产生行政法上的拘束力,其对数据出境中的重要数据和个人信息并不能起到充分的保护作用。如果一般的重要数据出境都要进行数据出境安全评估,敏感性更强的医疗重要数据反而只需备案就可出境,亦不符合立法机关的原意。因此,备案无法替代数据出境安全评估、标准合同或安全认证等合规步骤。此种理解仍然需要有关机关进一步以规范性文件或案例的形式加以说明。