《数据安全法》发布，医院要如何应对？

6月11日，科大讯飞股价盘中突然闪崩，一度逼近跌停。贝壳财经称，讯飞输入法因违法收集非业务相关用户信息，被各大App应用商店下线。在苹果、华为等应用商店搜索讯飞输入法，均显示已下架。

就在一天前的6月10日，十三届全国人大常委会第二十九次会议通过了《中国人民共和国数据安全法》（下称《数据安全法》）。

我国对医疗信息安全历来重视，行政部门要求三级医院通过“信息安全等级保护”三级，该级别对应的内容是：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

因此，《数据安全法》发布后，引发了医疗行业的热烈关注和讨论。

把数据安全上升至法律层面

新华社称，《数据安全法》是数据领域的基础性法律，也是国家安全领域的一部重要法律。业界均对《数据安全法》的出台，给予高度评价。

上海社科院互联网研究中心主任惠志斌在接受央广网采访时表示，《数据安全法》的出台，与此前出台的《中华人民共和国网络安全法》，以及将要出台的《个人信息保护法》前后呼应，奠定了我国网络空间安全发展的基本框架。

重庆大坪医院信息科主任黄昊告诉健康界，《数据安全法》的出台，是一个具有里程碑意义的事件。此前，关于危害医院数据安全的处罚规定，只是在2013年的《加强医疗卫生行风建设“九不准”》中提及“不准为商业目的统方”，且该文件只是一个行业规定，而《数据安全法》则将其上升至法律层面。

成都市律师协会医事法律专业委员会主任委员、健康界专栏作者邓明攀持类似观点，“以前国家有健康医疗大数据标准，但它属于部门规定，效力不高。这一次是基础的，以数据为核心的法律。”

解读

《数据安全法》对监管责任、合规采集和使用、数据出境等均作了明确规定。

• 明确监管责任

《数据安全法》第六条明确，各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责，……卫生健康等主管部门承担本行业、本领域数据安全监管职责。

黄昊表示，有些公司和单位，此前出于各种需要，收集很多数据，觉得可以做很多工作。但现在看来，这未必是一件好事，因为要承担很大责任。

• 促进合规收集和使用

《数据安全法》第32条规定，任何组织、个人在收集数据时，应采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

黄昊介绍，在医院实际工作中，临床医生体会到了数据的价值，在数据收集上可以说不遗余力，也有很多产出。但是对于数据的保护较少，甚至不知道怎么保护，有不少超范围使用的情况。

他认为，《数据安全法》的出台，有利于更好地向临床医生做宣教，数据不能随便收集，也不能随意使用。很多在建设大数据中心的地方卫生行政部门，同样需要重视这个问题。

重庆大坪医院信息科主任黄昊：医疗机构未来在数据保护上的投入应会加大

• 出境数据要审批

医疗行业涉及国际合作较多，如专家到国外医疗机构做访问学者，参与国际药企的多中心临床药物试验等，都会涉及数据出境问题。

《数据安全法》对数据出境着墨颇多，第一、第三、第四章均有涉及，其中第二十五条规定，国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

“以前大家缺少数据安全意识，现在则明确，数据出境要报告，获批准后才能出境。”黄昊说。