企业邮箱

中文 EN

北京
北京

【法律法规篇】案例化解析医疗机构场景下的数据合规和个人信息保护要点(上)

目前,医疗健康行业的快速演变,“互联网+医疗健康”和智慧医疗蓬勃发展,各种新业务、新应用不断出现,医疗健康信息和数据在全生命周期各阶段面临越来越多的挑战。根据2018年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲医院中,有247家医院检出了勒索病毒,其中广东、湖北、江苏等地区检出勒索病毒最多。


近年来,随着对信息安全与数据安全的重视,我国陆续颁布了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》等法律,同时配套细化的法规,逐步构建和完善数据安全法律体系。

《中华人民共和国个人信息保护法》第二十八条明确指出,医疗健康和生物识别信息属于敏感个人信息,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。医疗机构在整个医疗行业信息链条中扮演着重要角色,涉及的医疗健康信息不仅事关患者生命安全和个人信息安全,更涉及社会公共利益和国家安全,因此医疗机构的数据和个人信息处理活动成为监管的重点领域。

为了相对系统化理解医疗健康信息和数据的合规管理,康达律师事务所i医法律服务团队基于在医疗健康行业多年的法律服务经验,结合相关法律法规,从医疗机构视角出发,以案例化方式解读数据合规和个人信息保护中的要点,以其为相关从业人员提供参考,有序开展数据合规和个人信息保护工作。

目前,我国已基本建立从法律、法规、规章、其他规范性文件等多层次法律法规体系,对医疗机构视角下的数据和个人信息的合规管理进行监管。本文将重点汇总相关法律法规,具体案例分析见本系列文章的中篇和下篇。

一、法律

从法律层面而言,除了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等在数据安全和个人信息保护领域的特别法外,《中华人民共和国民法典》和《中华人民共和国刑法》等一般法中亦对数据和个人信息管理予以规范。此外,就医疗健康行业而言,《中华人民共和国基本医疗卫生和健康促进法》和《中华人民共和国生物安全法》对一些医疗健康场景下的数据安全和个人信息保护有特别规定。


具体举例,2021年1月1日正式施行的《中华人民共和国民法典》单列第四编第六章,对隐私权和个人信息保护予以规范,其中第1032条规定,自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权;第1034条规定,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定;第1038条规定,信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。此外,《中华人民共和国民法典》第六章还规定了侵害隐私权的行为、个人信息处理的原则和处理个人信息的免责事由等内容,对个人信息保护做出框架性的规范。


《中华人民共和国刑法》(2020修正)规定了对部分侵犯个人信息和破坏网络数据安全的违法行为处以刑罚。其中,第253条规定了侵犯公民个人信息罪;285条规定了非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪以及提供侵入、非法控制计算机信息系统程序、工具罪;第286条规定了破坏计算机信息系统罪和拒不履行网络安全管理义务罪。


就数据安全和个人信息保护领域的特别法而言,不同法律各有侧重,2017年6月1日施行的《中华人民共和国网络安全法》意在保障网络安全,维护网络空间主权,促进经济社会信息化健康发展;2021年9月1日施行的《中华人民共和国数据安全法》重点关注规范数据处理活动,保障数据安全,促进数据开发利用;而《中华人民共和国个人信息保护法》是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。


具体到医疗健康行业,《中华人民共和国民法典》在侵权责任编的第六章医疗损害责任的第1226条中规定了患者隐私和个人信息保护问题,该条指出,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。


2020年6月1日正式施行的《中华人民共和国基本医疗卫生与健康促进法》在第八章监督管理部分的第92条明确规定,国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息;在第九章法律责任的第101条指出,违反本法规定,医疗卫生机构等的医疗信息安全制度、保障措施不健全,导致医疗信息泄露,或者医疗质量管理和医疗技术管理制度、安全措施不健全的,由县级以上人民政府卫生健康等主管部门责令改正,给予警告,并处一万元以上五万元以下的罚款;情节严重的,可以责令停止相应执业活动,对直接负责的主管人员和其他直接责任人员依法追究法律责任。


2021年4月15日施行的《中华人民共和国生物安全法》对人类遗传资源的规范化管理予以规定,其中明确了人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料;在第六章人类遗传资源和生物资源安全部分的第53条规定,国家加强对我国人类遗传资源和生物资源采集、保藏、利用、对外提供等活动的管理和监督,保障人类遗传资源和生物资源安全;第55条规定,采集、保藏、利用、对外提供我国人类遗传资源,应当符合伦理原则,不得危害公众健康、国家安全和社会公共利益。


综上所述,就医疗机构的数据安全和个人信息保护合规管理而言,目前从一般法到特别法,再到行业相关法律,逐步建立了一套相对完整的监管框架。在处理具体相关业务时,应系统性综合考虑各类型法律的监管要求。

二、行政法规和部门规章

为了充分保障上述数据和个人信息安全领域法律的实施,我国目前正在陆续出台配套的行政法规和部门规章,以指引实务操作。


行政法规层面,配套《中华人民共和国生物安全法》的《人类遗传资源管理条例》,将人类遗传资源的相关管理规范逐步细化;根据《中华人民共和国网络安全法》制定的《关键信息基础设施安全保护条例》,以保障关键信息基础建设安全,其中,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。此外,旨在规范网络数据处理活动的《网络数据安全管理条例》于2021年11月14日至2021年12月13日公开征求意见,目前尚未公布。


就部门规章而言,医疗卫生机构应重点关注2014年1月1日施行的《医疗机构病历管理规定》、2014年5月5日施行的《人口健康信息管理办法(试行)》以及2018年7月12日施行的《国家健康医疗大数据标准、安全和服务管理办法(试行)》等文件,进一步规范健康信息和医疗数据的管理。

三、规范性文件

除了上述法律、法规和部门规章外,规范性文件在整个医疗行业健康数据和个人信息保护领域的法律实践中会对相关主体的权利和义务产生重大影响。


就网络和数据安全领域,目前颁布了《数据出境安全评估办法》(2022年9月1日起施行)和《网络安全审查办法》(2022年2月15日起施行)。


医疗机构患者数据管理角度的病历管理方面,目前在施行的有《电子病历系统功能规范(试行)》(2011年1月1日起施行)和《电子病历应用管理规范(试行)》(2017年4月1日起施行)。


随着互联网医疗的快速发展,为规范相关活动,我国陆续发布了《互联网诊疗管理办法(试行)》(2018年7月17日施行)、《互联网医院管理办法(试行)》(2018年7月17日施行)和《远程医疗服务管理规范(试行)》(2018年7月17日施行)。此外,旨在规范推进互联网医疗健康应用网络安全的《互联网医疗健康信息安全管理规范(征求意见稿)》于2021年6月3日至2021年6月17日公开征求意见,目前尚未正式发布。


具体到以产品上市为目的的临床试验,其中涉及到的个人信息保护和数据安全在我国相关规范性文件中亦有规定。例如,2020版的《药物临床试验质量管理规范》中对药物临床试验开展过程中的数据合规和受试者隐私保护等方面予以规定,并配套发布了系列指导原则和工作技术指南。2022版的《医疗器械临床试验质量管理规范》中对医疗器械临床试验数据合规管理提出了要求并给与指导。


临床和科学研究作为目前构建研究型医疗机构的重要板块,对相关领域的数据安全和个人信息保护的监管也在加强。例如,2021年10月1日起开始在部分省市试行的《医疗卫生机构开展研究者发起的临床研究管理办法(试行)》第39条指出,医疗卫生机构应建立临床研究源数据的管理体系,实现集中统一存储,保障临床研究数据在收集、记录、修改、处理和保存过程中的真实性、准确性、完整性、规范性、保密性,确保数据可查询、可溯源。此外,意在加强医疗卫生机构科研用人类生物样本(以下简称生物样本)的管理,规范生物样本的获取、存储、使用和共享活动的《医疗卫生机构科研用人类生物样本管理暂行办法(征求意见稿)》于2021年6月3日至2021年6月17日公开征求意见,其中对信息数据管理提出严格要求,指出应落实国家网络安全等级保护制度要求,建立严格的数据安全管理制度和技术防护体系,确保数据安全和捐献者的个人信息安全,鉴于目前上述办法尚未正式发布,具体要求有待发布后明确。

四、其他

除了上述法律法规外,我国也在陆续指定和发布国家标准,如《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)和《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)等等。作为推荐性国家标准,虽然不具有强制性法律效力,但医疗机构在落地数据合规和个人信息保护制度过程中,上述国家标准具有参考作用,同时,医疗机构需结合现行有效的法律法规,从而全面落实数据合规和个人信息保护。

五、总结

近年来,医疗健康行业发展迅速,医疗机构中与数据和个人信息相关的各种场景也在不断进化演变,从传统的医生手写患者病历到电子病历,再到医患在线诊疗、临床试验和科学研究等,以及监管机构和企业对健康数据和患者信息进行二次利用的场景等等层出不穷。医疗数据本身具备高敏感度和高价值等特点,这些复杂的场景给医疗机构的数据信息和相关业务管理人员提出了全新的考验。


在需求与挑战共存的当下,无论是医疗机构的管理人员,还是医疗机构的具体项目工作人员,都应该针对自身的实际情况,结合已经出台的法律法规,加强相关制度的建设和培训学习,全面了解数据安全合规和个人信息保护,积极防范法律风险

联系我们

北京总部More

地 址: 北京市朝阳区建外大街丁12号英皇集团中心8层,100022

电 话:(010) 5086 7666

传 真:(010) 5691 6450

邮 箱: kangda@kangdalawyers.com

西安More

地 址: 西安市雁塔区太白南路139号荣禾云图中心7层、15层,710061

电 话:(029)8836 0129

传 真:

邮 箱: kangda@kangdalawyers.com

深圳More

地 址: 深圳市福田区中心四路一号嘉里建设广场1期19楼,518046

电 话:(0755)8860 0388

传 真:

邮 箱: kangda@kangdalawyers.com

海口More

地 址: 海口市海甸四东路6号颐和花园B座二层,570208

电 话:(0898)6625 4181

传 真:

邮 箱: kangda@kangdalawyers.com

上海More

地 址: 上海市黄浦区中山南一路768号博荟广场C座905室,200023

电 话:(021)6390 1100

传 真:

邮 箱: kangda@kangdalawyers.com

广州More

地 址: 广州市天河区珠江东路32号利通广场29层2901室,510510

电 话:(020)3739 2666

传 真:

邮 箱: kangda@kangdalawyers.com

杭州More

地 址: 杭州市上城区西子国际中心2号楼1501-1503室,310002

电 话:(0571)8577 9929

传 真:

邮 箱: kangda@kangdalawyers.com

沈阳More

地 址: 沈阳市沈河区友好街10号新地中心40层,110013

电 话:(024)2250 3388

传 真:

邮 箱: kangda@kangdalawyers.com

南京More

地 址: 南京市建邺区应天大街888号金鹰世界A座26层,210008

电 话:(025)8411 1616

传 真:

邮 箱: kangda@kangdalawyers.com

天津More

地 址: 天津市河北区海河东路78号茂业大厦2601室,300141

电 话:(022)2445 9827

传 真:

邮 箱: kangda@kangdalawyers.com

菏泽More

地 址: 菏泽市开发区人民路菏建·数码大厦B座西单元19层,274005

电 话:(0530)5566 148

传 真:

邮 箱: kangda@kangdalawyers.com

成都More

地 址: 成都市锦江区东御街18号百扬大厦1栋11层1101室,610020

电 话:(028)8774 7485

传 真:

邮 箱: kangda@kangdalawyers.com

苏州More

地 址: 苏州市工业园区思安街99号鑫能商务广场1幢1001-1002室,215028

电 话:(0512)6758 6952

传 真:(0512)6758 6972

邮 箱: kangda@kangdalawyers.com

呼和浩特More

地 址: 呼和浩特市如意开发区如意河大街西蒙奈伦广场3号楼B座8层,010050

电 话:(0471)5166 277

传 真:

邮 箱: kangda@kangdalawyers.com

香港More

地 址: 香港上环干诺道中200号信德中心(西翼)20层2002号

电 话:(00852)2333 9989

传 真:(00852)2333 9186

邮 箱: kangda@kangdalawyers.com

武汉More

地 址: 武汉市硚口区中山大道1号越秀.财富中心写字楼11层1101-1102,430030

电 话:(027)8361 5198

传 真:

邮 箱: kangda@kangdalawyers.com

郑州More

地 址: 郑州市金水区郑东新区农业南路51号楷林中心10座12层,450046

电 话:(0371)8895 9887

传 真:

邮 箱: kangda@kangdalawyers.com

长沙More

地 址: 长沙市雨花区芙蓉中路三段567号第六都兴业IEC32层,410021

电 话:(0731)8218 3551

传 真:(0731)8218 3551

邮 箱: kangda@kangdalawyers.com

厦门More

地 址: 厦门市湖里区高林中路469号新景地大厦23层,361016

电 话:(0592)5211 009

传 真:

邮 箱: kangda@kangdalawyers.com

重庆More

地 址: 重庆市江北区桂花街支路10号成大锦嘉国际大厦10层,400020

电 话:(023)6775 9966

传 真:

邮 箱: kangda@kangdalawyers.com

合肥More

地 址: 合肥市蜀山区政务区华润大厦西塔B座30层,230071

电 话:(0551)62930997

传 真:

邮 箱: kangda@kangdalawyers.com

隐私政策

康达律师事务所(以下简称“本所”)是一家设立于中国的综合性律师事务所。本所网站上的信息仅供您参考,不应视为本所为本网站访问者就特定事项提供的法律意见或建议,本网站访问者不应将其作为作为或不作为的依据。

本所对本网站及网站所包含的文字及图片等各类信息拥有知识产权,未经授权,请勿转载或使用。

本网站超链接的第三方网站不受本所控制,仅为您方便之需,本所不对该等网站的访问者承担任何明示、默示的担保或责任。

欢迎访问本网站,如有任何问题,请与本所联系。