在医疗行业中,数据的保护和利用一直是一对难以平衡的矛盾。随着医疗信息化的深入,个人健康数据的电子化存储带来了前所未有的便利,同时也带来了隐私泄露的风险。如何在确保患者隐私安全的基础上,充分利用这些数据进行临床研究和疾病预防,是医疗行业面临的重大挑战。
在全球医疗创新和数字化高度发展背景下,医药行业的数据跨境流动需求日益增多,涉及的场景丰富多样,包括但不限于临床试验、药物研发、药物警戒、诊疗服务、不良事件检测、医疗卫生专业人士管理、商业合作伙伴管理、产品投诉、医学问询等。
在《一文摸清脉络 践行健康医疗数据安全措施标准化》中,《指南》为确保健康医疗数据的安全性、保密性和可用性,规范和推动健康医疗数据的融合共享、开放应用,促进健康医疗事业发展,同时保护个人信息安全和国家安全。
一、医疗行业数据保护痛点
医疗健康行业包括医疗服务、医药保健产品、医疗器械等多个细分领域,其中医药行业数据处理者包括医药制造业企业(化学药品原料药制造、化学药品制剂制造、生物药品制造企业等)以及其他从事研发、生产和销售与生物医学、医药学相关的药品、医疗器械、诊断试剂、生物制剂和相关服务的企业、事业单位、机构协会和组织。
医疗数据包含了患者的敏感信息,如个人身份、病史、诊断结果、治疗方案等。这些数据的泄露不仅侵犯个人隐私,还可能导致严重的后果。对于医疗机构需要建立有效的数据安全事件应对机制,包括安全事件的监测、预警、应急响应和事后处理。这要求医疗机构具备相应的技术和管理能力。
医疗健康领域数据的突出特点是数据结构多样,包含有HIS、LIS、EMR 格式的结构化数据,有PACS、报告格式的非结构化数据,也有xml、json 方面的半结构化数据,并且医疗领域自身有ICD9、ICD10、ICD11 标准、Snomed标准、HIMSS标准、医疗数据字典、电子病历数据组及数据元、《中国医院信息基本数据集标准 1.0 版》等信息化管理体系。针对医疗健康领域数据分类分级,当前主要的标准要求是 GB/39725-2020《信息安全技术 健康医疗数据安全指南》。
此外,医疗机构之间的数据共享存在障碍,容易导致数据孤岛现象。这不仅影响了医疗资源的有效利用,也限制了医疗大数据在临床研究、疾病预防和健康服务等方面的应用。传统的数据共享模式存在诸多风险,包括数据在传输和存储过程中的安全性问题,以及数据使用过程中的合规性问题。因此,在推动数据共享和开放的同时,如何确保数据在流转过程中的安全,防止数据被滥用或泄露,也是医疗机构需要面对的问题。
二、医疗行业隐私计算应用
1、数据安全共享与跨境合作
通过构建一个基于隐私计算技术的科研协作网络,可以实现数据的安全共享和高效利用。科研协作网络的核心是一个分布式的数据平台,它允许联盟内的医疗机构在保护患者隐私的前提下,进行数据的联合分析和研究,并采用严格的数据治理流程,对所有数据进行去标识化处理,确保个人隐私不被泄露。
同时,还应建立完善的数据治理体系,包括数据清洗、归一化处理和质量控制,以保证数据的准确性和可用性。此外,还可以利用隐私计算技术,如多方安全计算、联邦学习和同态加密等,实现数据的安全共享。这些技术确保了在不直接共享原始数据的情况下,医疗机构能够进行联合数据分析,从而在保护患者隐私的同时,实现数据的价值挖掘。
在数据跨境方面,隐私科技的应用也展示了其在国际合作中的价值。通过与国际医疗机构的合作,可以实现数据价值的跨境流通,而不涉及原始数据的跨境传输。这种数据价值跨境的方式,不仅符合各国的数据保护法规,也为全球医疗研究合作提供了新的可能性。
2、智能预警与合作研究平台
在实际应用中,该平台成功支持了一项针对传染病预警的研究项目。通过整合来自不同医疗机构的匿名化医疗数据,平台利用机器学习模型预测了特定症候群的发展趋势。当模型预测到症候群人数异常增加时,系统会自动触发预警,提示可能的传染病爆发,从而为疾病预防和控制提供了有力的数据支持。
图 1 多点触发预警系统技术框架
该平台还支持了多中心的临床研究。研究人员可以在保护患者隐私的前提下,跨机构访问和分析大量临床数据,从而加速了医学研究的进程。这种跨机构的数据共享和协作,不仅提高了研究效率,也为医疗行业带来了新的研究思路和方法。
图 2 多中心临床研究网络框架
三、医药行业数据分类分级
开展数据分类分级工作能够有助于企业厘清数据资产,确定数据重要性或敏感度,针对性地采取管理手段和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,给企业建立直观明确的数据安全合规全景视图,避免出现数据违法违规处理、操作的情况。
数据分类分级还能够帮助企业明确数据安全防护重点对象,有针对性地采购安全设备、加密运算资源等,避免超范围防护、过度防护或遗漏数据安全防护对象,从而更好地应对数据泄露风险。
1、分类实施情况
医疗健康数据对所收集的数据资产进行梳理盘点主要依照《信息安全技术 健康医疗数据安全指南》要求,利用分类分级管理系统工具结合人工核验方式形成库级别、表级别、字段级别的医疗数据详细清单。通过建立标准数据元的方式对不同来源、不同场景数据进行统一规则梳理。
企业根据《健康医疗大数据应用发展的指导意见》,对医疗健康数据按照以下方式进行大类划分:
表 1 医疗数据分类参考
| 数据类别 | 描述 |
| 个人属性数据 | 单独或者与其他信息结合能够识别特定自然人的数据。 |
| 健康状态数据 | 反映个人健康情况或同个人健康情况有着密切关联的数据。 |
| 医疗应用数据 | 能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。 |
| 医疗支付数据 | 医疗或保险等服务中所涉及的与费用相关的数据。 |
| 卫生资源数据 | 可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。 |
| 公共卫生数据 | 关系到国家或地区大众健康的公共事业相关数据。 |
2、分级实施情况
根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别对完成分类的数据进行分级,将健康医疗数据按照以下规则从低到高划分为 5 级。
表 2 医疗健康数据分级参考
| 数据级别 | 描述 | 样例 |
| 1级 | 可完全公开使用的数据。包括可以通过公开途径获取的数据,例如医院名称、地址、电话等,可直接在互联网上面向公众公开。 | 挂号号源、剩余号数、剩余床位数 |
| 2级 | 可在较大范围内供访问使用的数据。例如不能标识个人身份的数据,各科室医生经过申请审批可以用于研究分析。 | 检验检查名称、医院信息、科室信息、加密或脱敏后的患者身份标识数据 |
| 3级 | 可在中等范围内供访问使用的数据,如果未经授权披露可能对个人健康医疗数据主体造成中等程度的损害。例如经过部分去标识化处理,但仍可能重标识的数据,仅限于获得授权的项目组范围内使用。 | 患者身份标识数据、检验报告、就诊记录、结算信息等 |
| 4级 | 在较小范围内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害。例如可以直接标识个人身份的数据,仅限于诊疗活动的医护人员访问使用。 | 住院详细病历、详细病史 |
| 5级 | 在极小范围内且在严格限制条件下供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成严重损害。例如特殊病种(如艾滋病、性病)的详细资料,仅限于主治医护人员访问且需要进行严格管控。 | 特殊疾病相关信息 |
3、常态化管理
医疗健康数据的数据格式多样,包含文字、图形、视频数据等,要在严格遵循医疗临床标准如 ICD-9、ICD-10、ICD-11和Snomed、医学词典、电子病历等的基础上安排存储逻辑,合理应用大数据组件、结合数据安全分类分级做好数据索引与标签。
4、安全防护实践
在数据分类分级的基础上,可采用以下技术手段对医疗健康数据进行安全防护:
- 数据加密,根据数据分类分级结果,针对不同数据库类型、不同数据结构采取合适的数据加密技术,实现数据的防泄露。
- 数据脱敏与去标识化,医疗数据中包含大量个人敏感信 息,对于数据分类分级过程发现的个人敏感信息在系统界面查看、科研共享提供等数据处理活动中,保护患者个人隐私。
- 电子签章,在医疗健康场景中包含大量处方签章等数据 不可否认性需求,结合数据分类分级结果梳理电子签章业务场景,调用时间戳服务器、电子签章系统实现操作行为的抗抵赖。
四、医药行业数据跨境操作
数据处理者首先在日常生产经营、科学研究、事务管理等活动的过程中,如果识别到已开展或拟开展的数据处理活动中存在数据出境行为,应当全面梳理数据处理和出境的情况,根据梳理结果选择相应的数据出境前置程序,并履行相关的个人信息保护和数据安全保护义务。
1、数据和出境情况梳理
1. 数据情况梳理
关于“重要数据”。虽然《促进和规范数据跨境流动规定》已规定有关数据未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估,但考虑到医药行业数据的敏感和特殊性,同时参考北京和天津自由贸易试验区数据出境管理清单(负面清单)专列“医药行业”负面清单的做法,建议数据处理者仍然进行必要的梳理和判断。
关于“个人信息”。建议数据处理者可参阅《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024 版)》中“二、医药行业”的内容,辅助梳理和判断医药行业数据中关于个人信息、敏感个人信息的类别、特征和描述。
关于“遗传信息”。数据处理者开展数据出境活动时,应就人类遗传信息履行《人类遗传资源管理条例》《人类遗传资源管理条例实施细则》规定的行政许可与备案程序。其中,人类遗传信息包括利用人类遗传资源材料产生的人类基因、基因组数据,不包括临床数据、影像数据、蛋白质数据和代谢数据。
2. 个人信息保护影响评估
(1)数据处理者作为个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估。
(2)数据处理者可以自行或委托第三方开展个人信息保护影响评估,根据评估情况进行整改。《个人信息出境标准合同备案指南(第二版)》中附有个人信息保护影响评估报告模板,可供数据处理者参考。
(3)数据处理者或第三方应当重点评估以下内容:
- 数据处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
- 出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
- 境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
- 个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
- 境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
- 其他可能影响个人信息出境安全的事项。
3. 境外政策法规环境的评估要点
在评估境外接收方所在国家或者地区的个人信息保护政策和法规的过程中,应当重点评估以下要素:
(1)该国家或者地区现行的个人信息保护法律法规及普遍适用的标准;
(2)该国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺;
(3)该国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。
4. 数据安全保护能力的评估要点
在评估境外接收方采取的技术和管理措施的过程中,应当重点评估以下事项:
(1)数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、应急处置、个人信息权益保护等制度及落实情况;
(2)数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;
(3)数据保护措施有效性证明,例如开展的个人信息保护认证、个人信息保护合规审计、网络安全等级保护测评等情况;
(4)遵守数据保护相关法律法规的情况。
2、准备阶段
数据处理者做数据出境准备时,应重点梳理以下事项:
(1)处理目的;
(2)处理方式;
(3)出境数据的规模;
(4)出境数据的种类(可参考GB/T 35273《信息安全技术 个人信息安全规范》、GB/T 43697-2024《数据安全技术 数据分类分级规则》和相关标准);
(5)境外接收方是否向境外第三方提供数据;
(6)传输方式;
(7)出境后保存期限;
(8)出境后保存地点;
(9)其他相关事项。
3、前置程序
数据处理者在判断采取何种数据出境路径前,可自行参照下列前置程序:
1. 选择数据出境安全评估
- 数据处理者向境外提供重要数据的,应当申报数据出境安全评估。数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处 理者不需要作为重要数据申报数据出境安全评估。
- 属于关键信息基础设施运营者的数据处理者向境外提供个人信息的,应当申报数据出境安全评估。
- 不属于关键信息基础设施运营者的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息,应当申报数据出境安全评估。
- 数据处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
2. 选择订立个人信息出境标准合同或通过个人信息保护认证
不属于关键信息基础设施运营者的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当选择订立个人信息出境标准合同或者通过个人信息保护认证。
3. 符合以下情形之一的,数据处理者不需要申报数据出境安全评估、订立个人信息出境标准合同或者通过个人信息保护认证:
- 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的;
- 在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
- 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
- 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
- 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
- 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
4、实施阶段
1. 申报数据出境安全评估
数据处理者完成准备阶段事项后,选择申报数据出境安全评估的,应当开展数据出境风险自评估并按照如下流程进行:
(1)制定评估计划:根据确定的评估范围,制定详细的评估计划。
(2)收集评估信息:收集与医药行业数据出境相关的信息,包括出境活动的具体情况、数据类型、数据量、数据用途、数据安全措施等。
(3)开展评估工作:根据制定的评估计划,开展评估工作, 对数据出境的安全性进行评估。需要评估数据出境活动是否符 合法律法规的要求,是否采取了必要的措施来保护数据安全等。
(4)形成评估报告:在评估工作结束后,形成评估报告,包括评估结果、评估结论、建议等。需要明确指出数据出境活动存在的问题和不足,并提出改进建议。
(5)进行具体申报。
2. 备案个人信息出境标准合同
数据处理者完成准备阶段事项后,选择备案个人信息出境标准合同的,应当开展个人信息保护影响评估,相应流程与申报数据出境安全评估类似,进行具体备案。
后 话
隐私是一个不断变迁、发展的概念,尤其是现代信息技术发展,作为法律概念的隐私权需求开始兴起,并在保护个人私域和个人自由方面呈现出传统财产权保护不可替代的作用。《中华人民共和国民法典》第1032条指出“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。其中,私密信息涉及敏感个人信息。
数据安全是指数据不被威胁的状态。当前,核心数据、重要数据、个人信息尤其个人敏感信息等是数据安全的重点保障范围,需要采取必要措施、确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据合规是推动数据安全实践的驱动力。以企业数据合规为例,是指企业经营管理行为要符合国家法律、行政法规、国际法律条约、行业准则、商业道德以及企业内部的管理制度。建设企业数据合规体系的构成要素包括:①管理层承诺;②风险评估;③流程嵌入;④记录保存。当前,数据合规既是企业安全治理体系和治理能力现代化的重要标志,也是国家安全治理体系和治理能力现代化的重要组成部分。
和2023年发布的报告《数字经济时代下数据合规与隐私保护挑战》一篇相比,《2023-2024全球数据流通与隐私科技发展报告》基于对国内外数据要素流通现状的深度研究,对隐私科技框架进行了更新与完善,主要体现在凸显了隐私科技对于解决数据要素流通中的难点、堵点问题的关键作用。
在日常运营流程中,通过嵌入IT架构和业务场景支撑主体数据安全、合规流通,充分发挥数据潜在经济价值,实现数据保护与数据利用平衡的一系列工具、服务及技术解决方案。通过将隐私科技应用于各类数据流通实际场景中,在保证数据安全、可信流通的基础上,进一步推动数据高效流通、共享与开放,实现数据充分开发利用的目的。
来源:本文摘编自《2023-2024全球数据流通与隐私科技发展报告》,安永、赛博研究院,以及《无锡市企业数据分类分级操作指南》、《无锡市数据跨境流动合规服务手册》。请在数治网微信公众号对话框发送“241120”下载报告、指南和手册,发送“MLR”下载数治x医疗健康法规工具包。图片:Bernard Hermant,Unsplash
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
有数治Pro在手,年费¥999 起落政策、学法规、用标准、推业务、促客户、助招投不再愁,在下方扫码添加老邪企业微信即可。
欢迎先注册,登录后即可下载检索数据安全等相关标准、白皮书及报告。更多高质量纯净资料下载,进入公众号菜单“治库”。
