业界翘首以待的《数据安全法》(“《数安法》”)于6月10日获通过,其中明确,各地区、各部门对其工作中收集和产生的数据及数据安全负责,由行业主管部门承担本行业本领域的数据安全监管职责。即,数据最终要回归业务,行业监管并不完全相同。而医疗数据的合规使用可能关乎医疗企业的业务发展、产品注册乃至境内外上市。为此,笔者借用在客户咨询时常使用的三问法做一个简单梳理。
合伙人
竞天公诚律师事务所
什么是医疗数据?
“医疗数据”在中国法律中并无直接对应定义,企业需基于具体数据,根据不同法规、行业标准按图索骥,判断其是否落入了某一或某几类具体的数据类型。
个人信息。在《民法典》《个人信息保护法(草案)》二审征求意见稿(《个保法(草案)》)《信息安全技术个人信息安全规范GB/T 35273-2020》(“个人信息安全规范”)中指的是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。值得注意的是,《个保法(草案)》中的识别,采用了更接近于欧盟《通用数据保护条例》(GDPR)的“识别+关联路径”的定义方式,相较于《民法典》和《网络安全法》范围更广。
数据/重要数据。在《数安法》中,数据指任何以电子或者非电子形式对信息的记录。各地区和部门将确定其相应地区/部门/行业/领域的重要数据,进行重点保护。根据《信息安全技术数据出境安全评估指南(征求意见稿)》及其附录,A.18“人口健康”和A.21“食品药品”下涵盖了诸多诊疗健康数据信息、遗传信息、战略安全相关的药品实验数据、II/III类器械临床试验数据/报告等重要数据。
人类遗传资源信息。在《生物安全法》《人类遗传资源管理条例》(“人遗条例”)和科技部办事指南中指包含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料所产生的数据信息,涵盖临床、影像、生物标志物、基因等医疗数据中的相关信息。
健康医疗数据、健康医疗大数据。根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》,包括个人健康医疗数据以及将其处理后得到的健康医疗相关数据,例如个人属性、健康状况、医疗应用、医疗支付、卫生资源以及公共卫生等数据。在《信息安全技术健康医疗数据安全指南GB/T 39725-2020》(“医疗数据安全指南”)中,健康医疗大数据是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。
人口健康信息。在《人口健康信息管理办法(试行)》中是指医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息,包括电子信息。
病历和病案。《医疗机构病历管理规定》规定,病历是指医务人员在医疗活动过程中形成的文字、符号、图表、影像、切片等资料的总和;而病历归档以后将形成“病案”。
合伙人
竞天公诚律师事务所
何为“处理医疗数据”?根据《数安法》和《个保法(草案)》,处理行为既包括数据/个人信息的收集、存储、使用,也包括对前者的加工、传输、提供、公开等。处理主体身份有:
1.处理者、控制者/受托处理者。不同于《个人信息安全规范》和《医疗数据安全指南》参照GDPR使用“数据控制者-处理者”分类,《数安法》《个保法(草案)》延续了《民法典》,使用了“处理者”这个行为人概念。总体而言,草案下的“处理者-受托处理者”大致相当于GDPR下的“控制者-处理者”;但二组概念在权利义务方面的具体区别,尚待进一步观察。
举例来说,就健康医疗信息系统供应商、健康医疗数据公司、辅助诊疗解决方案提供商而言,如果其处理数据是代为或服务于控制者的,根据《医疗数据安全指南》,属“受托处理者”,不适用“控制者”的特有义务。而《个保法(草案)》在涉及到个人信息出境时,统一使用“处理者”概念。那么,在指南下被明确为“受托处理者”的机构,是否需承担草案下就个人信息(当与个人健康医疗数据有交集时)跨境提供时的处理者义务,例如安全评估、报备批准等?与“处理者-受托处理者”与“控制者-处理者”间的权利义务区别一样,尚待释明。
2.关键信息基础设施运营者(CIIO)。虽然《网络安全法》下对CIIO的范围并不十分明确,而网信办等监管部门针对其他数据处理者的出境管理办法也尚未出台,但是,通常理解,只有基础信息网络运营者才有可能构成CIIO,一般业内企业落入CIIO范围的可能性不大。
3.外方单位。根据《人遗条例》,外方单位指外国组织及外国组织、个人设立或者实际控制的机构。《人遗条例》本身对何为“控制”未作约定。业界在期盼《人遗条例》实施细则的出台,关注重点之一也包括这个问题。
如何处理?
个人信息。《民法典》《消费者权益保护法》等都对特定活动中的个人信息保护提出了要求,本次《个保法(草案)》就“个人信息”保护作了概括性规定,包括:
(1)除《个保法(草案)》第十三条约定的六种除外情形外,个人信息处理者处理个人信息需要取得个人同意;
(2)任何处理目的、方式和个人信息种类的变更,均需重新获得个人同意;处理敏感个人信息(包括医疗健康信息)的,需取得个人单独同意;
(3)提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,需设置独立监督机构并履行特定义务,等等。
非个人信息。此前的相关法规通常把“匿名化处理后的信息”排除在个人信息之外,本次《个保法(草案)》亦延续了此思路。
实务中,医疗企业(尤其是医疗AI企业)常选择将医疗数据“脱敏”,从技术处理角度这包括了“去标识化”和“匿名化”两种方式。差别在于“去标识化”仍保留了个体颗粒度并有复原可能,而“匿名化”不但无法“识别+关联”,还无法复原。因此,企业需要注意核查和甄别。如果个人信息仅完成“去标识化”,则仍属个人信息,在各环节仍需遵守个人信息管理的要求。
就脱敏后的医疗数据,对于征得个人同意/重新同意之要求有例外性规定,因此“去标识化”等脱敏措施对医疗企业也并非没有帮助。比如,《医疗数据安全指南》规定,对于已部分去标识化的受限制数据集,当用于科研、医学健康教育、公共卫生目的及其他规定情况下,控制者在未获授权时在一定条件下可使用或披露。而卫健委3月公布的《关于涉及人的生命科学和医学研究伦理审查办法(征求意见稿)》中规定,经伦理审查委员会审查批准后,利用可识别个人的生物样本/数据进行研究,已无法找到该受试者再同意的,采取充分措施保护个人信息且不涉及个人隐私和商业利益的,可以免除征询知情同意。
境内存储要求。如果有关主体属于“CIIO”和“处理个人信息达到国家网信部门规定数量的个人信息处理者”,在境内收集和产生的个人信息和重要数据应在境内存储。
除主体外,对一些特定数据也有类似要求,包括前述“重要数据”“健康医疗大数据”以及人口健康信息等关系到国家安全、国计民生的数据,要求境内存储,不得在境外服务器中存储,也不得托管、租赁在境外的服务器。
人类遗传资源中对外方单位的要求。根据《生物安全法》《人遗条例》,外方单位不得采集和保藏中国人类遗传资源(含信息)。利用活动也只能在完成审批(国际科研合作)或备案(药械在中国上市许可之国际合作临床试验)后与中方单位合作开展。
此外,向外方单位提供或者开放使用中国人类遗传资源信息的,只能由中方单位进行,并履行报告、备案、信息备份乃至安全审查(如需)的流程。
健康医疗数据/大数据的数据合规要求。对于健康医疗大数据,除了境内存储,还有网络安全等级保护要求,应采取数据分类、重要数据备份、加密认证等措施保障数据安全。
而《医疗数据安全指南》对临床研究、二次利用、医疗器械、商保对接、移动应用等典型应用场景下的健康医疗数据和个人健康医疗数据的分类分级、安全要求及重点措施等都作了规定。
出口管制、风险/安全评估及对外提供要求:
(1)向境外提供个人信息。需至少满足《个保法(草案)》规定的四项条件之一,即,安全评估(针对CIIO和处理个人信息达到规定数量的个人信息处理者)、专业机构个人信息保护认证、按照网信部门标准合同与境外接收方明确权利和义务以及法规或网信部门规定其他条件。
(2)需评估的个人信息和重要数据等。根据《网安法》《医疗大数据管理办法》《数安法》《个保法(草案)》,对某些可能影响国家安全、国计民生的信息、个人信息和重要数据等,在特定情形下的处理活动,尤其涉及到出境/对外提供时,需进行风险评估、安全评估或国安审查。
(3)向境外执法/司法机构提供数据需批准。《数安法》规定了未经主管部门批准向境外执法或司法机构提供数据的处罚。相比之下,《证券法》仅有类似规定而无相应罚则,有类似规定的《国际刑事司法协助法》却只针对刑事司法程序。《数安法》为中国企业拒绝向境外其他司法/执法机构提供数据给予了更明确的法律依据。
结语
我们建议企业应当对个人信息和医疗数据提前做好相关合规准备,并注意立法动向。例如,药监局2019年发布的有关AI辅助诊断决策医疗器械软件的注册申报审评要点指南,以及近期发布的《人工智能医疗器械注册审查指导原则(征求意见稿)》,提出了这些要求:(1)数据采集时应脱敏以保护患者隐私,并说明脱敏的类型、规则、程度和方法等;(2)使用第三方数据库进行软件确认测试时,库中数据也应完成脱敏;以及(3)在需要提交的算法研究报告中提供数据来源合规性声明、数据采集和标注操作规范等。又例如,今年六月国家卫健委发布的《互联网医疗健康信息安全管理规范(征求意见稿)》则对互联网医疗健康信息的安全管理提出了规范化要求。
竞天公诚律师事务所合伙人周晗烁、袁立志
上海市徐汇区淮海中路1010号
嘉华中心45层
邮编:200031
电话: +86 21 5404 9930
传真: +86 21 5404 9931
电子信箱:
