【法律法规篇】案例化解析医疗机构场景下的数据合规和个人信息保护要点（上）

作者：i医法律服务团队 | 2022.07.28

一、法律

从法律层面而言，除了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等在数据安全和个人信息保护领域的特别法外，《中华人民共和国民法典》和《中华人民共和国刑法》等一般法中亦对数据和个人信息管理予以规范。此外，就医疗健康行业而言，《中华人民共和国基本医疗卫生和健康促进法》和《中华人民共和国生物安全法》对一些医疗健康场景下的数据安全和个人信息保护有特别规定。

具体举例，2021年1月1日正式施行的《中华人民共和国民法典》单列第四编第六章，对隐私权和个人信息保护予以规范，其中第1032条规定，自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权；第1034条规定，自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定；第1038条规定，信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。此外，《中华人民共和国民法典》第六章还规定了侵害隐私权的行为、个人信息处理的原则和处理个人信息的免责事由等内容，对个人信息保护做出框架性的规范。

《中华人民共和国刑法》（2020修正）规定了对部分侵犯个人信息和破坏网络数据安全的违法行为处以刑罚。其中，第253条规定了侵犯公民个人信息罪；285条规定了非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪以及提供侵入、非法控制计算机信息系统程序、工具罪；第286条规定了破坏计算机信息系统罪和拒不履行网络安全管理义务罪。

就数据安全和个人信息保护领域的特别法而言，不同法律各有侧重，2017年6月1日施行的《中华人民共和国网络安全法》意在保障网络安全，维护网络空间主权，促进经济社会信息化健康发展；2021年9月1日施行的《中华人民共和国数据安全法》重点关注规范数据处理活动，保障数据安全，促进数据开发利用；而《中华人民共和国个人信息保护法》是为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。

具体到医疗健康行业，《中华人民共和国民法典》在侵权责任编的第六章医疗损害责任的第1226条中规定了患者隐私和个人信息保护问题，该条指出，医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。

2020年6月1日正式施行的《中华人民共和国基本医疗卫生与健康促进法》在第八章监督管理部分的第92条明确规定，国家保护公民个人健康信息，确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息，不得非法买卖、提供或者公开公民个人健康信息；在第九章法律责任的第101条指出，违反本法规定，医疗卫生机构等的医疗信息安全制度、保障措施不健全，导致医疗信息泄露，或者医疗质量管理和医疗技术管理制度、安全措施不健全的，由县级以上人民政府卫生健康等主管部门责令改正，给予警告，并处一万元以上五万元以下的罚款；情节严重的，可以责令停止相应执业活动，对直接负责的主管人员和其他直接责任人员依法追究法律责任。

2021年4月15日施行的《中华人民共和国生物安全法》对人类遗传资源的规范化管理予以规定，其中明确了人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料；在第六章人类遗传资源和生物资源安全部分的第53条规定，国家加强对我国人类遗传资源和生物资源采集、保藏、利用、对外提供等活动的管理和监督，保障人类遗传资源和生物资源安全；第55条规定，采集、保藏、利用、对外提供我国人类遗传资源，应当符合伦理原则，不得危害公众健康、国家安全和社会公共利益。

综上所述，就医疗机构的数据安全和个人信息保护合规管理而言，目前从一般法到特别法，再到行业相关法律，逐步建立了一套相对完整的监管框架。在处理具体相关业务时，应系统性综合考虑各类型法律的监管要求。

二、行政法规和部门规章

为了充分保障上述数据和个人信息安全领域法律的实施，我国目前正在陆续出台配套的行政法规和部门规章，以指引实务操作。

行政法规层面，配套《中华人民共和国生物安全法》的《人类遗传资源管理条例》，将人类遗传资源的相关管理规范逐步细化；根据《中华人民共和国网络安全法》制定的《关键信息基础设施安全保护条例》，以保障关键信息基础建设安全，其中，关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。此外，旨在规范网络数据处理活动的《网络数据安全管理条例》于2021年11月14日至2021年12月13日公开征求意见，目前尚未公布。

就部门规章而言，医疗卫生机构应重点关注2014年1月1日施行的《医疗机构病历管理规定》、2014年5月5日施行的《人口健康信息管理办法（试行）》以及2018年7月12日施行的《国家健康医疗大数据标准、安全和服务管理办法（试行）》等文件，进一步规范健康信息和医疗数据的管理。

三、规范性文件

除了上述法律、法规和部门规章外，规范性文件在整个医疗行业健康数据和个人信息保护领域的法律实践中会对相关主体的权利和义务产生重大影响。

就网络和数据安全领域，目前颁布了《数据出境安全评估办法》（2022年9月1日起施行）和《网络安全审查办法》（2022年2月15日起施行）。

医疗机构患者数据管理角度的病历管理方面，目前在施行的有《电子病历系统功能规范（试行）》（2011年1月1日起施行）和《电子病历应用管理规范（试行）》（2017年4月1日起施行）。

随着互联网医疗的快速发展，为规范相关活动，我国陆续发布了《互联网诊疗管理办法（试行）》（2018年7月17日施行）、《互联网医院管理办法（试行）》（2018年7月17日施行）和《远程医疗服务管理规范（试行）》（2018年7月17日施行）。此外，旨在规范推进互联网医疗健康应用网络安全的《互联网医疗健康信息安全管理规范（征求意见稿）》于2021年6月3日至2021年6月17日公开征求意见，目前尚未正式发布。

具体到以产品上市为目的的临床试验，其中涉及到的个人信息保护和数据安全在我国相关规范性文件中亦有规定。例如，2020版的《药物临床试验质量管理规范》中对药物临床试验开展过程中的数据合规和受试者隐私保护等方面予以规定，并配套发布了系列指导原则和工作技术指南。2022版的《医疗器械临床试验质量管理规范》中对医疗器械临床试验数据合规管理提出了要求并给与指导。

临床和科学研究作为目前构建研究型医疗机构的重要板块，对相关领域的数据安全和个人信息保护的监管也在加强。例如，2021年10月1日起开始在部分省市试行的《医疗卫生机构开展研究者发起的临床研究管理办法（试行）》第39条指出，医疗卫生机构应建立临床研究源数据的管理体系，实现集中统一存储，保障临床研究数据在收集、记录、修改、处理和保存过程中的真实性、准确性、完整性、规范性、保密性，确保数据可查询、可溯源。此外，意在加强医疗卫生机构科研用人类生物样本（以下简称生物样本）的管理，规范生物样本的获取、存储、使用和共享活动的《医疗卫生机构科研用人类生物样本管理暂行办法（征求意见稿）》于2021年6月3日至2021年6月17日公开征求意见，其中对信息数据管理提出严格要求，指出应落实国家网络安全等级保护制度要求，建立严格的数据安全管理制度和技术防护体系，确保数据安全和捐献者的个人信息安全，鉴于目前上述办法尚未正式发布，具体要求有待发布后明确。

四、其他

除了上述法律法规外，我国也在陆续指定和发布国家标准，如《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）、《信息安全技术 个人信息安全规范》（GB/T 35273-2020）、《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）和《信息安全技术 健康医疗数据安全指南》（GB/T 39725-2020）等等。作为推荐性国家标准，虽然不具有强制性法律效力，但医疗机构在落地数据合规和个人信息保护制度过程中，上述国家标准具有参考作用，同时，医疗机构需结合现行有效的法律法规，从而全面落实数据合规和个人信息保护。

五、总结

近年来，医疗健康行业发展迅速，医疗机构中与数据和个人信息相关的各种场景也在不断进化演变，从传统的医生手写患者病历到电子病历，再到医患在线诊疗、临床试验和科学研究等，以及监管机构和企业对健康数据和患者信息进行二次利用的场景等等层出不穷。医疗数据本身具备高敏感度和高价值等特点，这些复杂的场景给医疗机构的数据信息和相关业务管理人员提出了全新的考验。

在需求与挑战共存的当下，无论是医疗机构的管理人员，还是医疗机构的具体项目工作人员，都应该针对自身的实际情况，结合已经出台的法律法规，加强相关制度的建设和培训学习，全面了解数据安全合规和个人信息保护，积极防范法律风险