近年来,随着《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”行业发展的意见》《关于深入开展“互联网+医疗健康”便民惠民活动的通知》《关于进一步推动互联网医疗服务发展和规范管理的通知》《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》等政策文件的出台,以及大数据、人工智能等新型技术的发展,健康医疗数据应用、“互联网+医疗健康”和智慧医疗蓬勃发展。与此同时,各种新业务、新应用的不断出现也使得健康医疗数据在全生命周期各阶段面临着越来越多的安全挑战。例如在新冠肺炎疫情期间,国内医疗影像AI公司汇医慧影遭黑客入侵,[1]青岛胶州6000余人就诊名单信息泄露[2]等等。
健康医疗数据具有普遍的真实性和隐私性,从微观上包含个体身体健康情况、医疗就诊情况等数据,从宏观上包含疾病传播、区域人口健康状况等数据,健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全。为了更好地保护健康医疗数据安全,规范和推动健康医疗数据的融合共享、开放应用,促进健康医疗事业发展,《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020,以下简称《安全指南》)经多次修订完善、验证试点、修改名称后已对外发布,将于2021年7月1日起正式实施。
本文将围绕健康医疗数据安全的实现,从健康医疗数据的概念出发,结合典型场景对健康医疗数据的安全目标及其实现的基础、原则、措施要点和具体方式进行体系化解读。
一、健康医疗数据的概念
《安全指南》对健康医疗数据进行了较为明确的界定,“包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。”其中,“个人健康医疗数据”与《信息安全技术 个人信息安全规范》(GB/T 35273—2020,以下简称《个人信息安全规范》)中的“个人信息”基本保持同样的逻辑基础,是指“单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。”可以理解为“个人健康医疗数据”是一种特殊的“个人信息”。而“由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据”则包括群体总体分析结果、趋势预测、疾病防治统计数据等。值得注意的是,《安全指南》中对健康医疗数据的界定仅限于电子数据,主要是基于“互联网+医疗健康”的快速发展扩大了电子数据的应用,并提升了电子数据安全保护的重要性和迫切性,而且,纵览《安全指南》,其内容也基本是围绕电子数据展开的。
此外,在我国现有法律法规以及其他标准中,对健康医疗数据相关的术语表述及内涵也各有差异,此次《安全指南》通过定义和划分类别及范围(详见三、(一)健康医疗数据分类分级)的方式,已基本将下述数据纳入并统一整合。
二、健康医疗数据安全目标
与立法目的相似,安全目标是制定《安全指南》所要达到的任务目的,决定了《安全指南》的具体内容并统领其价值取向。在《安全指南》中,健康医疗数据保护的安全目标共分为三个层次:一是从数据本身的角度,确保其保密性、完整性和可用性;二是从数据使用和披露安全性角度,确保合法合规性,保护个人信息安全、公众利益和国家安全;三是从业务的角度,确保在符合安全要求的前提下满足业务发展需求。
可以看出,在目标设计上,《安全指南》兼顾了安全需要和发展需要,并且安全的含义不仅仅是技术上的保密性、完整性和可用性要求,也包含了对其他主体合法权益的保护要求。
三、安全目标实现的基础与指导原则
(一)基础:健康医疗数据分类分级
1. 健康医疗数据分类
《安全指南》参考健康医疗数据的应用场景、特征等因素,将健康医疗数据分为如下类别,并划定相应范围:
2.健康医疗数据分级
《安全指南》根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,具体如下:
尽管《安全指南》仅为推荐性标准,但此处分类分级对于相关组织开展数据分类分级工作具有重要现实意义,一方面可以满足遵从性的合规要求,另一方面也可以提升其自身信息化水平和运营能力。具体而言,数据分类可以更好地将数据资产化,保护数据的可用性,以便持续性提供精准的数据服务;数据分级可以从安全角度保驾护航,明确不同等级数据在不同场景的安全策略,以实现聚焦和资源的合理化配置,更好地保护数据的完整性、保密性。此外,健康医疗数据分类分级是安全目标实现的基础,数据开放形式划分和使用披露原则也是基于数据分类分级而确定,从而实现更精细化的管理。
(二)原则之一:数据开放形式划分
数据开放形式是相对于《健康医疗数据安全指南(征求意见稿)》(2019年4月4日)增加的内容,《安全指南》根据数据公开共享类型划分为完全公开共享、受控公开共享、领地公开共享,相应确定常见数据开放形式及其适用的公开共享类型。具体而言,《安全指南》列出常见的数据开放形式有:网站公开(完全公开共享)、文件共享(受控公开共享)、API接入(受控公开共享)、在线查询(匿名查询:完全公开共享;用户查询:受控公开共享)、数据分析平台(领地公开共享)。可以看出,完全公开共享可对应数据分级中的第1级,受控公开共享和领地公开共享可以对应数据分级中的第2级至第5级,其中,受控公开共享强调通过数据使用协议对数据使用进行约束,领地公开共享则强调将数据限定在物理或虚拟的领地范围内。
(三)原则之二:使用披露原则
《安全指南》共列出18条健康医疗数据使用披露原则,包含数据收集、使用、委托处理、提供、存储、汇聚融合、跨境传输、主体权利等方面,基本覆盖数据全生命周期环节。值得注意的是,由于健康医疗数据的特殊性,《安全指南》中提出的部分使用披露原则相对现有法律法规、标准具有一定特别之处,鉴于《安全指南》仅为推荐性标准,仍建议在实践中遵照现有生效的法律法规规定予以执行。对相关使用披露原则列举如下:
(1)数据授权同意的例外。《安全指南》明确了四种可以使用或披露相应个人健康医疗数据的授权同意例外情形,具体为:1)向主体提供其本人健康医疗数据;2)治疗、支付或保健护理;3)涉及公共利益或法律法规要求;4)受限制数据集用于科学研究、医学/健康教育、公共卫生目的。并指出控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露。
其中,受限制数据集是指“经过部分去标识化处理,但仍可识别相应个人并因此需要保护的个人健康医疗数据集”。《民法典》规定经过加工无法识别特定个人且不能复原的个人信息才可向他人提供,《个人信息安全规范》中规定在个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的,才可不必征得主体的授权同意。《安全指南》将可识别相应个人的受限数据集用于科学研究、医学/健康教育、公共卫生目的作为授权同意的例外,可以看出是在健康医疗数据的可用性与公共利益保护之间寻求平衡。此外,《安全指南》指出控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露,提出了一种具有一定操作性的豁免同意的实现路径,但鉴于健康医疗数据本身的复杂性、敏感性,依靠职业道德、伦理等判断是否可在未取得个人授权同意的情况下使用或披露存在较大不确定性,也有可能被司法、行政机关认定为非法提供数据行为而具有一定风险。因此,稳妥的做法仍然是遵照现有生效法律法规要求。
(2)限制使用或披露的主体权利。对于数据主体要求控制者限制使用或披露、限制向相关人员披露数据,《安全指南》明确控制者没有义务同意该限制请求,但一旦同意,除非法律法规要求以及医疗紧急情况下,控制者宜遵守约定的限制。《民法典》《网络安全法》《个人信息安全规范》等并未明确规定主体要求控制者限制使用、披露的权利,但主体有权撤回授权同意,控制者应提供撤回授权同意的方法并对主体提出的请求及时响应。《安全指南》规定控制者可以不响应数据主体的限制请求,很可能是基于健康医疗数据个体性与群体性相结合的特殊之处,出于维护公共安全、公共卫生等公共利益的考量,但结合现有规定,建议控制者在不同意主体限制请求时同时说明理由,且该理由应出于维护国家利益、公共利益等的需要。
(3)历史回溯查询的主体权利。《安全指南》规定,主体有权对控制者或处理者使用或披露数据的情况进行历史回溯查询,最短回溯期为6年。《民法典》《个人信息安全规范》等并未对主体的历史回溯查询的权利进行明确规定,且在《安全指南》中历史回溯查询的权利并不同于访问的权利。此外,最短回溯期的时间也不完全等同于数据存储时间,《个人信息安全规范》明确个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,但回溯期则要求了最短时限,并未限制健康医疗机构可存储数据的最长期限。主体可查询历史数据主要是基于对既往病史等健康医疗信息了解的需要,值得注意的是,《电子病历应用管理规范(试行)》规定门(急)诊电子病历保存时间自患者最后一次就诊之日起不少于15年,住院电子病历保存时间自患者最后一次出院之日起不少于30年。针对不同规定中的不同时限要求,建议在实际操作中同时结合现有法律法规的规定予以执行。
(4)健康医疗数据的跨境传输。根据《安全指南》,基于学术研讨需要的健康医疗数据跨境传输宜进行必要的去标识化处理,经数据安全委员会(关于“数据安全委员会”见五、(一)安全管理要求)讨论审批同意,且数量在250条以内的非涉密非重要数据可以提供。对于不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,宜经主体授权同意和数据安全委员会讨论审批同意,且累计数据量控制在250条以内。
关于重要数据的概念,《个人信息和重要数据出境安全评估办法(征求意见稿)》中规定,重要数据是指“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”但截至目前,国家尚未出台重要数据识别指南相关法律文件或标准,重要数据的概念和范围仍待明确。
健康医疗数据普遍具有重要性,对其是否可以跨境传输更需谨慎。根据《个人信息和重要数据出境安全评估办法(征求意见稿)》,出境数据中包含人口健康领域数据的,应报请行业主管或监管部门组织安全评估。《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定,“健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核”。《人口健康信息管理办法(试行)》明确要求“不得将人口健康信息存储于境外服务器,不得托管、租赁在境外的服务器”。《生物安全法》(尚未生效)和《人类遗传资源管理条例》均规定,将我国人类遗传资源信息向境外提供或者开放使用的,应当向国务院科学技术部门事先报告(或备案)并提交信息备份。
首先,健康医疗数据中的非涉密非重要数据认定本身就具有较大的不确定性,其次,将250条以内不涉及国家秘密、重要数据或者其他禁止或限制的数据允许跨境传输中“其他禁止或限制的数据”的兜底规定也给操作带来了困难。因此,在实践层面,完整执行《安全指南》关于健康医疗数据跨境传输的规定的可行性仍有待时间考验。
四、安全目标实现的措施要点
根据前述健康医疗数据安全目标实现的基础和原则,《安全指南》分别相应确定了分级安全措施要点、场景安全措施要点和开放安全措施要点。
(一)分级安全措施要点
分级安全措施要点针对不同级别的数据实施不同安全保护措施,重点在于授权管理、身份鉴别、访问控制管理。具体而言,对于第1级数据仅需评审是否可公开;对于第2级数据宜进行去标识化处理,通过协议或领地公开共享模式管控,确保数据的完整性和真实性;对于第3级数据需部分遮蔽个人信息,环境与接收人数量需受到限制;对于第4级数据宜严格管控环境与接收人,高标准保证数据完整性和可用性;对于第5级数据需采取严格的身份鉴别、访问控制等措施。
(二)场景安全措施要点
结合健康医疗数据实际场景,《安全指南》将相关组织或个人划分为四类角色,具体包括:1)个人健康医疗数据主体(简称“主体”),即个人健康医疗数据所标识的自然人;2)健康医疗数据控制者(简称“控制者”),即能够决定健康医疗数据处理目的、方式及范围等的组织或个人;3)健康医疗数据处理者(简称“处理者”),即代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据,或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人;4)健康医疗数据使用者(简称“使用者”),即对健康医疗数据进行利用的相关组织或个人。对于任何组织或个人而言,首先需要围绕特定数据,结合所处的特定场景或特定的数据使用处理行为来判断自身角色定位,且只能定位为其中一个角色。
《安全指南》基于不同角色之间的数据流动,划分了6类数据流通使用场景,并针对不同场景以及各角色在健康医疗数据使用过程中所涉及的不同安全环节与责任,明确相应安全措施要点(如下图表所示)。需要明确的是,在控制者与控制者之间的数据流通使用场景,双方均需要满足数据传输、存储、使用相关要求。另外,《安全指南》区分了采集与收集的内涵,将控制者从外部获取数据的过程界定为“采集”,将控制者内部数据使用过程中的数据获取界定为“收集”。值得注意区别的一点是,《民法典》《网络安全法》仅仅规定了“收集”这一概念,并未使用“采集”的概念。
(三)开放安全措施要点
开放安全措施要点针对健康医疗数据开放形式,明确所有开放形式均宜:1)遵循“最少必要原则”;2)确保符合合法性、正当性和必要性要求;3)根据使用目的尽可能去标识化;4)明确数据开发和使用目的、使用方需承担的安全责任、安全措施等,涉及出境的宜依规进行安全评估,涉及重要数据的宜依规进行评估审批。此外,针对前述五类不同的数据开放形式,还需要满足对应的安全措施要点。
五、安全目标实现的方式
(一)安全管理要求
为实现安全目标,健康医疗机构进行数据分类分级,采取有针对性的安全措施后,需对实施措施后的效果进行检查,并持续改进。在安全管理方面,《安全指南》明确了组织、过程和应急处置相关的管理要求。
在组织上,宜建立完善的组织保障体系,组织架构中至少包括健康医疗数据安全委员会和健康医疗数据安全工作办公室,其中委员会应是健康医疗数据安全的最高领导机构,全面负责相关工作并讨论决定重大事项,办公室则负责健康医疗数据安全日常执行工作。在过程上,《安全指南》划分规划、实施、检查、改进阶段,并明确各阶段的主要工作,将健康医疗数据安全工作覆盖事前、事中、事后全过程,实现全流程的数据安全管理。在应急处置上,包含建立应急预案,制定专门应急支撑队伍、专家队伍,制定灾难恢复计划,数据安全事件报告,以及综合评估等工作,保证在遇到数据安全事件时能够及时有序地应对。
(二)安全技术要求
针对健康医疗数据的安全技术要求,《安全指南》在明确通用安全技术的基础上,结合健康医疗数据的特殊性进一步规范了去标识化工作。关于通用安全技术,宜对承载健康医疗数据的信息系统和网络实施以及云平台等进行安全保护,针对数据生命周期的各项活动实施安全措施,建立安全的数据管理基础设施,实施身份鉴别、访问控制、安全审计、入侵防范、介质使用管理、备份恢复、剩余信息保护等安全措施等等。关于去标识化,《安全指南》明确宜去除个人属性数据中可唯一识别到个人的信息或披露后会给个人造成重大影响的信息,对于个人属性数据中可间接关联到个人的信息宜进行泛化、转换等处理,数据集中所有属性值相同的人数最低宜在5人以上,控制者内部建立患者代码索引,去标识化中使用的参数配置仅限于内部专人管理,禁止使用者参与去标识化相关工作等。
六、典型场景数据安全
《安全指南》列举了8个典型场景中的重点数据安全措施,分别为医生调阅、患者查询、临床研究、二次利用、健康传感、移动应用、商业保险对接、医疗器械。这8个场景是健康医疗数据实际使用或披露过程中的常见场景,对于健康医疗数据安全保护的实践具有指导意义。相较于《健康医疗数据安全指南(征求意见稿)》(2019年4月4日),《安全指南》删除了互联互通、远程医疗场景,增加了医生调阅场景,将器械维护修改为医疗器械场景,器械维护作为医疗器械场景中的一部分。
以商业保险对接安全场景为例,购买商业保险的主体在定点医疗机构就医时,商业保险公司通过与医疗机构建立连接的医疗信息系统,及时掌握主体就诊情况以及相关费用,从而根据规则进行理赔业务。在该场景中,涉及的数据有个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据。医疗机构与商业保险公司建立连接时,可在医疗信息系统对接前、对接中、对接后三个阶段采取相应安全措施(如下表所示)。可以看出,数据分类分级贯穿于整个安全场景,分权管理、访问权限和限制、不同加密传输方式等措施则是对数据分级、数据开放形式划分的体现。结合前述场景安全措施要点,在商业保险对接安全场景中,针对医疗机构向商业保险公司传输的五类相关数据,医疗机构为控制者,商业保险公司为使用者,下述重点安全措施也是对控制者-使用者间数据流通使用场景安全措施要点的细化。此外,安全管理要求和技术要求也被落实在具体措施之中,从而实现在确保数据保密性、完整性和可用性,以及数据使用和披露合法合规的基础上,满足商业保险理赔业务的发展需求。
七、结语
《安全指南》确立了健康医疗数据安全目标,并围绕安全目标的实现,在明确数据分类分级、数据开放形式以及使用披露原则等原则性要求的基础上,针对健康医疗数据应用过程中出现的安全问题,提出相应数据安全措施要点,以及管理和技术两方面要求,并结合典型场景予以说明,对于实践中健康医疗数据安全的保护具有较强的指导作用,也为监管部门、第三方测评机构等开展监督管理和评估等工作提供了指南和依据。
对于相关企业单位,建议在《安全指南》的指导下,按照现有相关法律法规开展健康医疗数据安全合规检视工作,以保证在业务发展的同时确保实现数据安全。
医疗新闻
新闻中心
