大数据安全风险与法律规制

编者按:医疗大数据产业作为国家最早布局和推动数据要素市场的行业,正进入飞速发展时期。与此同时,去年以来,《个人信息保护法》《数据安全法》等数据立法框架搭建并落地执行,给医疗 健康 行业的数据处理带来了压力。

跨境会诊、跨境医学研究、国际临床试验、医疗器械出海…… 跨境医疗 近年来发展迅速,而这其中大量敏感个人信息的医疗数据跨境对于相关机构和企业而言,意味着更高的合规要求。

受访专家认为,我国目前医疗数据的跨境流动机制尚未明确, 亟需在《数据安全法》《个人信息保护法》的框架下,结合医药行业的特性设计有针对性的行业规则,既做好个人权益及数据安全的保护,又兼顾药品、医疗器械创新研发的效率 。同时,积极实现本国数据治理规制与国际数据治理规制的融合,将助力我国与境外医药企业、高校和医院更加深度的合作。

2020年以来,全球新冠肺炎疫情一定程度上阻断了跨境寻医之路,持续刺激着跨境远程医疗的需求。

网络将患者与身处异国的医生连接起来,可以通过视频或电话交流,得出诊疗结论。在此过程中,往往涉及到医生对于患者医疗影像等信息和数据的跨境调取。

这是医疗数据跨境传输常见的应用场景之一。事实上,随着全球医学交流日益频繁,医疗数据所面临的跨境需求也愈加迫切。

国家计算机网络应急技术处理协调中心发布的《2020年中国互联网网络安全报告》显示,2020年,***发现境内医学影像数据通过网络出境497万余次,其中, 我国未脱敏医学影像数据出境近40万次,占出境总次数的7.9% 。而医学影像文件在未脱敏的情况下包含大量患者个人信息。

除患者个人信息、 健康 状况数据外,医疗数据还囊括了医疗应用数据及人类遗传资源等,这些数据的大量向外流失可能对我国医疗卫生安全带来隐患。

早在2018年10月, 科技 部官网就曾公布6则处罚信息,涉及华大基因、复旦大学附属华山医院、苏州药明康德、阿斯利康、艾德生物、昆皓睿诚等6家公司。罚单显示,这6家公司均违反了人类遗传资源管理规定,或违规转运接收已获批项目的剩余样本;或违规开展国家合作研究;有的甚至将人血清作为犬血浆违规出境。

北京世辉律师事务所合伙人卢璟介绍, 《个人信息保护法》将“医疗 健康 ”信息视为敏感信息,医疗行业中的大量患者相关信息均会因其“医疗 健康 ”的属性落入敏感个人信息的范畴。例如:诊疗过程中的病历信息、不良反应报告信息、临床试验数据等。

以国际临床试验为例,中伦律师事务所合伙人蔡鹏介绍,在国际临床试验合作中,将会涉及构成敏感个人信息的医疗数据,数据处理者在收集处理敏感个人信息时,应当遵循《个人信息保护法》中关于处理敏感个人信息的合规要求,并按规定事前进行个人信息保护影响评估。同时,涉及跨境提供的,境内数据提供者还需要确保符合《个人信息保护法》中针对个人信息跨境提供的规则。

除了上述监管要求,如果国际合作临床试验所涉数据被认定为“ 健康 医疗大数据”、“人口 健康 信息”或是涉及到基因、基因组等遗传物质或遗传材料,则需按照《国家 健康 医疗大数据标准、安全和服务管理办法(试行)》《人口 健康 信息管理办法(试行)》《中华人民***和国人类遗传资源管理条例》或是《人类遗传资源管理条例实施细则(征求意见稿)》等法规的具体要求进行合规处理。

今年2月,国家卫生 健康 委公布对全国政协委员陈红专《关于加强临床研究受试者个人信息数据保护的提案》答复的函。其中提到,对“ 关于数据不出境但是处理结果出境、境外机构通过代理人在内地临床数据等新的挑战,相关部分应及时出台有效应对办法 ”的建议, 国家卫健委将积极配合相关部门推动出台有关应对办法,并在此基础上推进医疗卫生机构落实相关工作。

对于医疗 健康 企业而言,实现医疗数据跨境合规有何难点?

从医药企业的角度来看,卢璟指出,医药企业需要付出额外的时间成本履行合规义务,药品、医疗器械的研发时间也会相应增加。而部分合规要求(例如:在向境外提供个人信息前,要向自然人告知每一境外接收方的名称和联系方式),在临床试验国际合作的场景下可能难以落地执行。

在规则设计层面过于严格的合规要求,很可能会导致在规则实施层面的普遍性违法,从而影响法规的严肃性 。”卢璟说。

因此,他建议在《数据安全法》《个人信息保护法》的框架下, 结合医药行业的特性,有针对性地设计行业规则,既保护个人权益及数据安全,又兼顾药品、医疗器械创新研发效率。

锘崴 科技 创始人、董事长王爽则认为,目前医疗数据跨境的难点主要在于满足跨境合规性前提下同时满足不同业务场景的需求。在国内,医疗数据可能涉及到多部法律法规,在不同场景下将产生不同的受保护数据分类。而全球各国的法律规制并不相同,因此也将产生不同的分类分级标准。

对此,王爽建议在进行医疗数据跨境前,相关企业和机构应首先确保根据本国法律法规要求进行数据的分类分级。然后,在数据出境时寻找各国要求的***同点,以符合规定。这其中,可通过隐私计算等技术手段处理明确规定无法交换的数据,使其以达到合规要求,实现跨境医疗数据在“可用不可见”模式下“可管、可控、可计量”的合作。此外,建设完备的人员制度同样必不可少,应形成由决策层、管理层、执行层、监督层及协同层构成的组织结构。同时,完善文档制度,应包含与数据安全相关的政策方针、制度流程规范、人员培训材料、数据收集情况等详细内容。

中伦律师事务所认为,企业实施医疗数据信息跨境传输必须明确数据收集、使用、传输发送和接收方,以及为此提供服务的第三方,明确医疗数据内容与属性;明确数据存储地;同时定好数据出境计划等方案,定立涵盖数据处理目的、方式和采取的安全措施等条款的协议;还应完善重要数据处理活动风险自评机制、网络安全等级保护机制、关键信息基础设施(CII)安全保护机制以及非CII运营者网络安全审查应对机制。

对于有上市需求的医疗 健康 企业而言,数据跨境监管趋严所产生的影响或更为直接。 “医疗大数据企业已经将数据跨境的难题作为选择上市地的考虑重点之一。 ”互联网医疗系统与应用国家工程实验室副主任翟运开表示。

近期,医疗大数据龙头零氪 科技 撤回美国IPO计划。其先前披露的招股书显示,该公司有超过250万名患者超过900万次纵向医疗记录。在去年7月该公司突然暂停赴美IPO后,同年9月曾传出或转赴香港上市的消息,零氪并未对此进行回应。

目前,国际上对于个人 健康 医疗数据跨境流动的专门标准并不多,国际标准化组织(ISO)2004年颁布的《 健康 信息学 推动个人 健康 信息跨国流动的数据保护指南》提及,除保护数据主体切身利益所必要的传输之外,个人 健康 数据不应传输,除非得到数据主体明确的同意。澳大利亚则明确禁止与 健康 医疗相关的数据出境。

医疗数据在不同国家的流通对于推动相关领域科学研究和产业发展并进一步推动医疗 健康 服务水平意义重大,但越来越多的国家或地区基于‘重要’‘敏感’数据对国家安全或个人隐私保护,公开呼吁将医疗 健康 数据完全本地化,这不利于促进数据自由流动,更不利于科学研究和产业发展。 ”翟运开表示。

对于我国而言,一方面,可通过完善医疗数据合规跨境的制度体系本身推动面向国际的数据流动。蔡鹏指出,《个人信息保护法》的出台毋庸置疑使得企业面临更高的合规成本,但该法案的问世也是我国在保障人权上的一大进步,促使我国企业在相关领域与国际接轨,并得到国际认可。以GDPR为例,若我国后续的配套立法能够与之接轨,那么对于国内企业与欧洲的企业、高校、医院开展深度科研临床合作,在保障国家安全的情况下促进数据流动,将具有十分积极的意义。

另一方面,我国还多番 探索 数据跨境试点。早在2019年7月,国务院印发《中国(上海)自由贸易试验区临港新片区总体方案》, 明确支持新片区聚焦生物医药等关键领域,试点开展数据跨境流动的安全评估,建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制。2020年底,北京市又聚焦人工智能、生物医药等关键领域推进数据跨进流动安全管理试点工作。

“医疗数据作为特殊数据,应该建立什么样的跨境流动机制,法律法规和实践的确都还需要进一步明确。”翟运开强调。他建议我国可参考欧盟及其他国家经验,设立符合我国国情需要的多样化合法流动机制,以及指引性的数据跨境流动协议范本。

同时,从国际协调来看,可推动形成数据跨境统一治理体系,由相应的国际组织,如WHO、ITU等,联合制定医疗 健康 数据跨境流动与交易的详细规范,***同协商制定有关国际标准。 面对海量医疗大数据跨境传输保护,形成独立统一的数据保护执法机构,独立实现对数据活动安全的保障,避免不同国家重复执法,提高数据流动效率。

更多内容请下载21 财经 APP