个保法时代，医疗机构数据安全新挑战

一、 问题的提出

健康医疗数据是国家重要的战略资源，价值巨大且敏感度高。随着数字医疗的高速发展，健康医疗数据的挖掘和利用不断深入，但囿于应用监管层面法律的缺位，数据处理活动缺乏规范性，不利于数据的有序利用和个人权益的保障。《个人信息保护法》的出台，有效缓解这一困境。《个人信息保护法》首次详尽地给出了数据处理活动的规范，对处理者提出了严格的合规要求。本文从医疗机构的角度，讨论《个人信息保护法》对医疗机构数据安全工作的影响及合规建议。

二、个保法视角下，医疗机构数据安全新要求

（一）  强化数据安全保护义务

医疗机构数据处理场景复杂，涉及临床诊疗、科学研究、公共卫生、日常运营、商业等场景；同时又由硬件和软件供应商、医药器械公司、药店、第三方检测机构及政府部门等多方主体共同参与。这些因素导致医疗机构要承担多种数据安全保护义务。具体而言：

1. 处理及共同处理

医疗机构在诊疗活动中，独自决定数据处理目的和方式时，医疗机构是处理者；与高校、科研组织等申办者共同开展临床研究时，医疗机构与申办者为共同处理者。处理者应当遵守个人信息的处理原则、履行告知同意规则、采取技术措施和管理措施保护数据安全、定期进行安全审计以及处理应急事件等。

2. 委托处理

医疗机构委托第三方机构提供检验检测服务，使用人工智能软件辅助诊断、治疗，以及委托第三方分析数据等情形时，医疗机构作为委托方应当与受托人订立委托合同、开展个人信息保护影响评估，并监督受托人的数据处理活动。

3. 共享

当医疗机构向保险机构、政府部门、药店等主体共享个人信息时，应当履行严格的告知同意流程并进行个人信息保护影响评估。

对于医疗机构来说，几乎所有的业务都涉及患者或是医务人员个人信息的处理，一次诊疗活动可能包含多种处理场景，需要履行多方面的安全义务。而以往医疗机构对数据安全关注不够，没有体系化和针对性的管理措施。当前，数据的重要性不言而喻，《个人信息保护法》进一步强化处理者的数据安全保护义务，医疗机构应该给予充分的重视。

（二）  构建告知同意体系

告知同意规则是个人信息保护的基础。构建告知同意体系，是医疗机构落实数据安全义务、保护个人权益的关键。此前，医疗机构的知情同意制度源于《民法典》第一千二百一十九条，围绕对诊疗措施的告知和同意，与告知同意规则在内涵和渊源上均有所不同。医疗机构需要从数据的维度重新理解告知同意规则。

1.   告知同意规则的内涵

告知同意规则，要求医疗机构在处理患者个人信息前，应当充分告知患者并取得同意，除非法律另有规定。规则包含告知规则和同意规则两部分，充分、清晰的告知是患者能够作出真实有效同意的前提。

2.   告知同意的例外

医疗机构无需患者同意的常见情形包括：（1）签订或履行医疗服务合同所必需，如挂号时收集身份信息、医保卡信息以及疾病等信息；（2）履行法定义务所必需，如根据《传染病防治法》《传染病信息报告管理规范》，医疗机构应当及时向主管部门报告传染病情况；（3）应对突发公共卫生事件或紧急情况，如新冠疫情期间获取患者行动轨迹，急救时获取患者既往病史等。

3.   告知同意的形式

在告知同意规则的基础上，《个人信息保护法》规定了获取同意的三种形式，一般同意、单独同意和书面同意。其中，单独同意区别于“一揽子”对所有处理场景获取概括性授权的一般同意，强调“一处理一告知一同意”，即就某一特定信息和处理行为，单独告知并获取同意。单独同意作为一种更严格的同意形式，增加了获取同意的难度和成本。需要获取单独同意的情形主要有处理敏感个人信息、共享、跨境提供个人信息等，其中医疗健康信息属于敏感个人信息。而医疗机构以处理患者医疗健康信息为主，同时医疗信息化促进医疗机构与其他主体间的数据共享以及数据出境等，因此将会面临更多需要获取单独同意的场景。

此外，对于在临床研究中常采取的泛知情同意如何定性，是否违反了《个人信息保护法》关于告知内容和单独同意的规定；如数据每用于新用途均严格履行告知同意规则，是否会造成过分加重处理者的成本而有失比例原则、阻碍科学研究的发展；对于科学研究能否按照为实现公共利益目的处理个人信息而无需取得患者同意来处理等等问题，都仍待进一步明确。

（三）  保障患者个人信息权益的行使

以往关于患者个人信息的权益局限于隐私权和部分知情权，《个人信息保护法》赋予了患者更多元化的个人信息权益，包括知情权，决定权，查阅、复制权，更正、补充权，可携带权，删除权，解释说明权等。而对于个人信息权益在医疗行业的适用尚无细化的法规依据，《信息安全技术 健康医疗数据安全指南》（下称“《指南》”）虽对部分情形给出建议，但《指南》在位阶上属于推荐标准且与《个人信息保护法》有所出入，不能直接作为医疗机构数据安全工作的依据。如何落实和保障这些权益也是医疗机构面临的另一挑战，实践中较为突出的问题如下：

1.   限制权利

关于患者限制处理者处理其个人信息的决定权，《指南》规定医疗机构没有义务同意患者限制使用和披露个人信息的请求，但一旦同意了就应遵守约定。从文义上，《指南》认为患者的限制权只有在医疗机构承诺后才享有，而《人信息保护法》对于限制权的规定没有任何前置条件和适用情形。理论上，医疗机构应当无条件的保障患者限制权的行使。但在实践中，如患者在治疗过程中可以任意限制医生使用其个人信息，则有可能影响医生的决策，无法保障诊疗秩序和质量。

2.   更正、补充权

对于医疗机构无法核实的主诉，如患者部分身份信息、行为轨迹等信息，多直接记录在病历资料中。医疗机构收集但无法保证这些个人信息的真实、准确和完整。当患者提出更正、补充要求时，医疗机构也较难核查变更后信息的真实情况。

3.   查阅、复制权

相比于传统的患者对病历资料享有的复制权，个人信息查阅复制权的范围更广。查阅复制权的客体包括被处理的所有个人信息本身以及相关的处理情况，如处理目的、处理方式、信息种类、保存期限等。这就要求医疗机构达到一定程度的信息化，具备对数据的系统化管理能力，可以及时、全面的响应患者查阅复制个人信息的请求。

三、思考与建议

医疗机构的数据合规之路尚处于起步阶段，如何平衡数据应用效益与个人信息权益，亟待出台细化的法规和行业标准。现阶段，医疗机构应当建立数据安全保护体系、保障个人信息权益，为健康医疗数据的合法应用奠定基础。对于建立数据安全保护体系，本文认为可以从以下几个重点方面的建设着手：

（一） 制定数据分类分级制度

分类管理数据并按照数据的重要程度和风险级别区分等级，进而采取不同的保护措施，是数据安全保护的基础。

关于数据分类，医疗机构可根据应用需求对数据进行不同维度的分类。根据加工程度不同，数据可分为原始数据和衍生数据；根据个人维度，数据可分为个人信息与非个人信息；根据经营管理维度，数据可分为用户数据、业务数据、经营管理数据等。根据应用场景、参照《指南》的规定，健康医疗数据可分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据6类。无论按照何种维度分类，应当保证分类的统一和稳定性。

关于数据分级，可从数据安全的影响对象和影响程度两方面进行判定。影响对象包括国家安全、公共利益、个人合法权益、组织合法权益四个对象；影响程度是指数据安全遭到破坏后，所造成的的危害影响大小，一般分为严重危害、一般危害、轻微危害和无危害4个等级。具体到医疗领域，《指南》根据数据可访问的程度将健康医疗数据分为了5级。需要注意的是，相对于分类的稳定性，数据分级则需要动态管理，根据数据应用的具体情形及时调整等级，保证保护措施的适当性。

（二） 建立个人信息保护影响评估标准

医疗机构处理敏感个人信息，委托处理、共享个人信息、跨境传输个人信息以及利用个人信息进行自动化决策等情形，应当在事前开展个人信息保护影响评估。恰当、有效的评估办法能够帮助医疗机构全面、清晰地评估数据处理活动的内容、风险以及安全措施的有效性，是医疗机构数据安全工作的重要抓手、关键环节。制定评估标准可以围绕应用场景、数据处理生命周期以及处理角色三方面因素进行考量。数据处理依托于实际业务需求，只有把数据处理放在具体的场景中，才能判断其处理目的、处理方式的合法、正当和必要。在特定的场景中，定位医疗机构的角色和数据处理环节，即可确定安全义务的具体坐标，从而建立全面、立体的评估标准。

（三） 开展数据合规审计

数据合规审计有利于发现、控制数据处理活动中的安全问题，为纠正、优化保护措施提供支撑，起到监督作用。对于审计内容，《个人信息保护法》没有具体规定，有待实施细则的落地。参考《信息安全技术 个人信息安全规范》的内容，主要包括对个人信息保护规则、相关规程和安全措施的有效性进行审计。