文 律商聯訊特約撰稿 程芳

對于健康醫(yī)療大數據的應用，《管理辦法》雖然提出了數據準確性、安全性和進行脫敏處理的原則性要求，但在具體應用形式和操作層面并未做出過多限制，因此，探索并開發(fā)健康醫(yī)療大數據的應用仍然具有巨大空間

伴隨著計算機和互聯網技術的蓬勃發(fā)展，大數據產業(yè)應運而生并已應用在社會生活的各個方面。以數據處理分析為核心，通過對大量零散、無序的數據進行科學分析和加工，從而形成具有商業(yè)價值的信息資訊是大數據產業(yè)的核心價值。

在健康醫(yī)療領域，產業(yè)界已經充分認識到健康醫(yī)療大數據的商業(yè)價值，政府也開始將健康醫(yī)療大數據列入國家重要基礎性戰(zhàn)略資源。

在此背景下，國家衛(wèi)生健康委員會結合《網絡安全法》《國務院辦公廳關于促進和規(guī)范健康醫(yī)療大數據應用發(fā)展的指導意見》《國務院辦公廳關于促進“互聯網+醫(yī)療健康”發(fā)展的意見》等法規(guī)和文件的精神，出臺了《國家健康醫(yī)療大數據標準、安全和服務管理辦法（試行）》（以下《管理辦法》），首次對健康醫(yī)療大數據的適用范圍、標準管理、安全管理和服務管理等方面進行了規(guī)制。

健康醫(yī)療大數據行業(yè)和市場主體

《管理辦法》第四條規(guī)定“本辦法所稱健康醫(yī)療大數據，是指在人們疾病防治、健康管理等過程中產生的與健康醫(yī)療相關的數據”。從行業(yè)角度來看，這類數據不僅包括在疾病診斷、預防、治療、健康管理過程中直接產生的涉及個體的健康醫(yī)療數據，也包括對大量無序和分散的個體健康醫(yī)療數據進行統(tǒng)計、加工和分析后獲得的宏觀數據。

《管理辦法》對責任主體采取了較為寬泛的定義，各級各類醫(yī)療衛(wèi)生機構和相關企事業(yè)單位均屬于健康醫(yī)療大數據安全和應用管理的責任主體。鑒于“相關企事業(yè)單位”一詞的范圍較為寬泛，結合《管理辦法》在安全和應用管理章節(jié)的相關規(guī)定，“相關企事業(yè)單位”應當包括從事健康醫(yī)療數據采集、存儲、加工、應用、運營和傳輸的各個企事業(yè)單位。

與存在大數據應用的其他產業(yè)相似，健康醫(yī)療大數據產業(yè)也存在上游、中游和下游的區(qū)分。上游是指數據資源產業(yè)，主要由提供健康醫(yī)療數據采集、存儲和計算服務的企事業(yè)單位組成，其中醫(yī)療機構采集和獲取的數據資源是最為重要的數據來源。中游是指數據處理產業(yè)，包括大量通過提供數據處理、分析、可視化等增值服務，將“海量數據”轉化為具有商業(yè)價值的“大數據”的技術型企業(yè)。下游則是數據應用產業(yè)，經過上游收集和中游處理的健康醫(yī)療大數據在此階段反饋并應用于整個產業(yè)，對包括研發(fā)型企業(yè)、投資機構、醫(yī)療機構、制藥企業(yè)、行業(yè)監(jiān)管機構、自然人個體在內的數據產業(yè)應用產生參照指導意義。

由于健康醫(yī)療大數據產業(yè)的市場規(guī)模龐大，涉及健康醫(yī)療大數據采集、存儲、管理和使用的任一環(huán)節(jié)的主體均可能被納入《管理辦法》的責任單位范圍內，因此，相關主體需要根據其從事的業(yè)務領域關注相應的合規(guī)義務。

健康醫(yī)療大數據的采集和存儲

首先是健康醫(yī)療大數據的采集。

涉及個體健康的原始數據采集，目前主要集中在醫(yī)院、診所、防疫站等醫(yī)療衛(wèi)生機構，同時，智能設備的開發(fā)和運用使線下收集普通用戶的健康數據成為數據的補充來源。由于原始數據的質量和樣本量將決定大數據的最終價值，《管理辦法》要求，責任單位在采集健康醫(yī)療大數據時，需要嚴格執(zhí)行國家和行業(yè)相關標準和程序，做到標準統(tǒng)一、術語規(guī)范、內容準確，并對所采集的信息嚴格實行信息復核終審程序，確保數據質量。

此外，對于原始個體健康醫(yī)療數據的初次采集，根據《網絡安全法》的規(guī)定，網絡運營者收集個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和授權使用的范圍使用個人信息。

除直接向公民個人采集個體信息以外，企業(yè)也可以通過與醫(yī)療機構或者健康醫(yī)療數據供應商合作的方式，獲得批量的原始數據或者經過預處理的健康數據。對于這些數據交易活動，仍應遵守《網絡安全法》的規(guī)定。

其次是健康醫(yī)療大數據的存儲。

不同于一般行業(yè)的數據，健康醫(yī)療數據更加敏感，除公民的個人隱私信息之外，也可能包括涉及干細胞、特定物種或人種的遺傳資源等信息。因此，對于健康醫(yī)療大數據的存儲，需要從多個角度設置嚴格的保護機制，從而確保數據安全。

在健康醫(yī)療大數據的存儲安全方面，《管理辦法》的要求主要包括采取數據分類、重要數據備份、加密認證等安全保障措施，建立可靠的數據容災備份工作機制，定期對相關信息系統(tǒng)開展定級、備案和測評工作，嚴格落實網絡安全等級保護制度，建立健全實名認證訪問控制機制、網絡安全通報和應急處置聯動機制等。

需要特別注意的是，《管理辦法》明確要求健康醫(yī)療大數據應當存儲在境內服務器上，如需向境外傳輸，應當按照相關法律法規(guī)和要求進行安全評估審核。

這里的“相關法律法規(guī)和要求”應該主要指《個人信息和重要數據出境安全評估辦法（征求意見稿）》《關鍵信息基礎設施安全保護條例（征求意見稿）》和《信息安全技術數據出境安全評估指南（征求意見稿）》等數據出境安全評估規(guī)定。但由于上述配套法律法規(guī)均尚未生效，網絡運營者需要定期跟進立法動態(tài)，秉持審慎從嚴的原則，防范數據出境合規(guī)風險。

健康醫(yī)療大數據的分析處理和應用

從健康醫(yī)療大數據的分析和處理來看。

健康醫(yī)療大數據的高附加值源自對海量、分散的原始個體健康數據進行統(tǒng)計學分析，在數據處理和技術分析層面，企業(yè)主要應按照行業(yè)標準和合同約定進行，出于數據安全的考慮，在處理醫(yī)療健康大數據時，仍應符合《管理辦法》中關于數據分類和備份、數據接入和使用權限、痕跡管理等的安全管理要求。

就數據開發(fā)和合作而言，《管理辦法》對于數據加工的委托方和受托方分別提出了要求。對于受托方，《管理辦法》要求其嚴格按照相關法律法規(guī)和合同約定進行健康醫(yī)療大數據的存儲、管理與運營。對于委托方，《管理辦法》要求在選擇服務提供商前審查其是否合規(guī)合法，是否具備確保數據安全的能力，是否已建立數據安全管理、個人隱私保護、應急響應管理等方面的管理制度。此外，委托方和受托方對健康醫(yī)療大數據的管理和安全責任應承擔連帶責任。

從健康醫(yī)療大數據的應用來看。

《管理辦法》要求責任單位結合服務和管理公司的需要，及時更新、甄別、優(yōu)化和維護醫(yī)療大數據，確保信息處于最新、連續(xù)、有效、優(yōu)質和安全狀態(tài)，并且，在公開健康醫(yī)療大數據時，不得泄露國家秘密、商業(yè)秘密和個人隱私，不得侵害國家利益、公共利益和他人的合法權益。

因此，對于健康醫(yī)療大數據的應用，《管理辦法》雖然提出了數據準確性、安全性和進行脫敏處理的原則性要求，在具體應用形式和操作層面并未做出過多限制，因此，探索并開發(fā)健康醫(yī)療大數據的應用仍然具有巨大空間。

隨著人工智能和信息化技術的發(fā)展，醫(yī)療資源數字化以及醫(yī)療信息大數據化成為趨勢，海量的非結構化數據經過標準化和規(guī)范化處理后，將成為具有現實參照意義的實用工具，為科學研究和臨床決策提供支持?？梢灶A期，健康醫(yī)療大數據在疾病預測模型、疾病診斷分析、臨床輔助決策、遠程醫(yī)療、醫(yī)療質量監(jiān)管、個性化治療等方面都將發(fā)揮巨大作用，并將推動傳統(tǒng)醫(yī)療模式的創(chuàng)新性變革。