吳凌放

(上海市衛(wèi)生健康委員會，上海 200003)

在信息化時代，數(shù)據(jù)成為了炙手可熱的資源，個人信息保護也成為了人民群眾最關心最直接最現(xiàn)實的利益問題之一。《個人信息保護法》[1]的出臺實施，及時回應了人民群眾的關切，對規(guī)范包括醫(yī)療領域在內(nèi)的各領域各行業(yè)的數(shù)據(jù)收集、開發(fā)、利用將產(chǎn)生深遠影響。本文分析《個人信息保護法》正式施行后對醫(yī)療數(shù)據(jù)管理運用的影響，提出對策，為規(guī)范醫(yī)療數(shù)據(jù)的管理運用提供參考。

1 《個人信息保護法》規(guī)范重點

2021年11月1日正式施行的《個人信息保護法》與《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等，共同組成了聚焦網(wǎng)絡信息安全保障的核心法律體系。其中，《個人信息保護法》又有以下特點和規(guī)范側(cè)重點。

1.1 以“保護”為功能定位

《個人信息保護法》把“保護個人信息權益”放在立法宗旨的首位，之后才是“規(guī)范信息處理活動”和“促進信息利用”，“規(guī)范”和“促進”以“保護”為基本前提。從個體權益保護的角度，該法是權利法。同時，該法不僅是權利法，還是管理法、是行為規(guī)范，直接指引“信息處理者”要建立完善制度管理體系，并規(guī)定必要的行政監(jiān)管作為外力威壓以確保制度落地。但“管理”只是手段，“保護”才是目的。理解該法以保護為其功能定位，有助于正確適用該法。

1.2 以“告知同意”為個人信息處理中的基本規(guī)則

《個人信息保護法》明確要求處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意，個人信息處理的重要事項發(fā)生變更的應當重新向個人告知并取得同意；并規(guī)定，在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應取得個人的單獨同意[2]。該法同時規(guī)定了告知同意規(guī)則的例外，即個人信息處理中不用取得個人同意的情形，包括為履行法定職責或者法定義務所必需；為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需等。

1.3 強化信息處理者的義務

個人信息處理者是個人信息保護的第一責任人?！秱€人信息保護法》設專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務，要求個人信息處理者制定內(nèi)部管理制度和操作規(guī)程，采取相應的安全技術措施，指定負責人進行監(jiān)督，定期進行合規(guī)審計，對處理敏感個人信息、利用個人信息進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估，履行個人信息泄露通知和補救義務等。在民事責任方面，對個人信息處理者實行“過錯推定”和“舉證倒置”原則，即處理個人信息侵害個人信息權益造成損害的，個人信息處理者如不能證明自己沒有過錯的，就要承擔損害賠償?shù)惹謾嘭熑巍?/p>

1.4 對敏感信息處理提出了更高的要求

《個人信息保護法》將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息等列為敏感個人信息。對敏感信息設置高處理門檻，僅在同時具備“特定目的性”“充分必要性”及“采取嚴格保護措施”的條件下才可以處理，并且應進行單獨告知。

1.5 明確個人信息跨境提供規(guī)則

《個人信息保護法》明確了向境外提供個人信息應當具備的條件，規(guī)定個人信息處理者必須履行的義務，明確未經(jīng)主管機關批準不得向外國司法或者執(zhí)法機構提供存儲于中國境內(nèi)的個人信息。這為向境外提供個人信息的情況提供了明確的行為規(guī)則。

2 個人信息保護視角下醫(yī)療數(shù)據(jù)的特點

在早期，醫(yī)療數(shù)據(jù)大部分以紙質(zhì)化的病歷等形式存在，隨著信息技術發(fā)展，目前醫(yī)療數(shù)據(jù)相當一部分以電子化數(shù)據(jù)形式存儲，并向醫(yī)院信息系統(tǒng)和區(qū)域衛(wèi)生信息化平臺匯集?；趥€人信息保護視角，醫(yī)療數(shù)據(jù)有以下特點需予關注。

2.1 源于診療特定目的

伴隨醫(yī)療機構診療服務自然產(chǎn)生，同時又為診療服務所必需，凝結(jié)著醫(yī)生等醫(yī)務人員的勞動與智慧，這是醫(yī)療數(shù)據(jù)有別于其他個人信息數(shù)據(jù)的最大特點。《基本醫(yī)療衛(wèi)生與健康促進法》等法律法規(guī)對醫(yī)療機構職責有明確規(guī)定。醫(yī)療機構以救死扶傷、防病治病、提供健康服務為宗旨。同時，按照《醫(yī)療事故處理條例》《醫(yī)療糾紛預防和處理條例》等法規(guī)和病歷管理相關規(guī)定，醫(yī)療機構書寫和保管病歷是履行法定職責的客觀需要。按照《個人信息保護法》第十三條的規(guī)定，就一般信息來說，在“履行法定職責或者法定義務所必需”或者有“法律、行政法規(guī)規(guī)定的其他情形”時，處理個人信息無需取得個人同意。

2.2 有大量敏感信息

患者診療時登記的個人身份信息和聯(lián)系方式、就診時產(chǎn)生的生物識別信息、病歷記錄、健康狀況信息、醫(yī)療支付信息等都屬于《個人信息保護法》所例舉的敏感信息。按照該法，必須采取嚴格保護措施，才可以處理敏感信息；并且只要是敏感信息，其處理都必須取得個人的單獨同意。

2.3 數(shù)據(jù)涉及面廣且增長快速

醫(yī)療數(shù)據(jù)有其自身的特點。一是存量巨大，幾乎每個人都需要看病就醫(yī)，隨之都會產(chǎn)生醫(yī)療信息。按照《醫(yī)療機構病例管理規(guī)定》《電子病歷應用管理規(guī)范》，門急診病歷，由醫(yī)療機構保管的，保存時間不少于15年，住院病歷保存時間不少于30年。二是增長快速，在就診高峰時期，僅一個大型綜合醫(yī)院日均門診人數(shù)就可達到成千甚至上萬，每年出院人數(shù)達十多萬人次。按照《個人信息保護法》，個人信息處理者應保障所處理信息的安全。數(shù)據(jù)量大導致醫(yī)療機構相應保障責任也大。

2.4 有豐富的衍生應用價值

醫(yī)療數(shù)據(jù)的產(chǎn)生源于臨床診療和健康服務。一旦生成，有巨大衍生應用價值。例如：可以用于衛(wèi)生行政部門的行業(yè)管理，分析醫(yī)療資源配置與群眾看病就醫(yī)需求的匹配程度，評價醫(yī)療機構的運行績效；可以用于疾病發(fā)展趨勢預測，為公共衛(wèi)生機構更早地預測傳染病傳播途徑及范圍、開展慢性病社區(qū)診斷提供幫助；可以用于新的診療方案、技術、藥械和試劑的研發(fā)，為臨床研究提供數(shù)據(jù)基礎；可以用于人工智能輔助診斷，通過人工智能算法對數(shù)據(jù)進行機器學習和深度挖掘，協(xié)助醫(yī)生獲取同類疾病的治療方案；可以用于醫(yī)療保險精算和產(chǎn)品開發(fā)，以及作為患者商業(yè)醫(yī)療保險賠付依據(jù)等。一旦醫(yī)療數(shù)據(jù)的使用離開為患者診療和提供健康服務的初始目的，用于診療以外的其他用途，除了《個人信息保護法》規(guī)定的例外情形以外，都需要征得患者同意。開展醫(yī)學科研活動，有可能涉及個人信息的跨境提供，此時還需符合個人信息跨境提供規(guī)則。

2.5 數(shù)據(jù)應用多環(huán)節(jié)

在挖掘醫(yī)療數(shù)據(jù)的衍生應用價值時，由于醫(yī)療數(shù)據(jù)量大且數(shù)據(jù)結(jié)構多樣化，需要經(jīng)過清洗、梳理、統(tǒng)計等多個環(huán)節(jié)，才能使其價值得到凸顯。多環(huán)節(jié)，使接觸數(shù)據(jù)的不僅有醫(yī)療機構人員，還有外部的研究人員與合作研發(fā)人員，增加了數(shù)據(jù)安全的不確定性，對個人信息保護提出了更高的要求。

3 完善醫(yī)療數(shù)據(jù)管理和利用的思考

醫(yī)療數(shù)據(jù)放著不動，就最不可能出錯，但顯然不能這樣。當前，既要保障數(shù)據(jù)安全和個人信息權益，同時也要鼓勵數(shù)據(jù)的利用和共享，助力數(shù)字經(jīng)濟發(fā)展，要兩者兼顧，處理好平衡[3]?！秱€人信息保護法》是信息安全領域的基礎法律，規(guī)定是框架性的。在這一框架下，加強醫(yī)療數(shù)據(jù)的管理和利用，有以下幾個方面值得探討。

3.1 進一步明晰醫(yī)療數(shù)據(jù)處理規(guī)則

醫(yī)療行業(yè)是傳統(tǒng)行業(yè)、醫(yī)療數(shù)據(jù)有其特點，《個人信息保護法》在醫(yī)療領域具體適用的一些操作性規(guī)則還需細化。例如：對大量的存量敏感信息，如何進行告知，并獲得同意；是否需要有范本以確保醫(yī)療機構清晰易懂、準確完整地向個人告知等。2020年底，有推薦性國家標準《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725-2020)出臺，但該標準缺乏法律效力，其中部分內(nèi)容與《個人信息保護法》的要求也不匹配；可能需要出臺專門的行政法規(guī)或部門規(guī)章。

3.2 加強醫(yī)療數(shù)據(jù)應用的頂層設計

《個人信息保護法》要求對個人信息的處理目的、處理方式、信息種類、保存期限、變更內(nèi)容等充分告知。醫(yī)療數(shù)據(jù)涉及的利害關系人多，一旦要增加信息用途，手續(xù)補救起來將十分繁瑣。因此，事先設計好用途非常重要，有了數(shù)據(jù)應用的頂層設計，就可以通過制定并公開個人信息處理規(guī)則的方式進行告知。

3.3 厘清履行法定職責與實施商業(yè)行為的邊界

醫(yī)療數(shù)據(jù)處理，有些是為了履行法定職責，例如：醫(yī)療機構為診療所需收集、存儲、使用；政府部門為履行職責按照法定權限、程序使用、加工等。有些是出于商業(yè)目的，例如：用于商業(yè)目的的藥品和試劑研發(fā)；用于商業(yè)醫(yī)療保險的精算和理賠等。在設計醫(yī)療數(shù)據(jù)處理的具體規(guī)則時，建議區(qū)分以上兩類情況，不予混淆，需分情境予以告知和取得同意。

3.4 加強信息安全技術保障

個人信息保護不僅是一種目標性結(jié)果，也是一種合規(guī)狀態(tài)，需要醫(yī)療機構及相關部門、機構持續(xù)投入成本、資源以維持合法、合理的個人信息保護水平。要加強信息安全技術保障，采取相應的加密、去標識化等安全技術措施?！秱€人信息保護法》明確“個人信息”不包括“匿名化處理后的信息”，因此，可以更多地對信息進行匿名化處理?！澳涿毕鄬τ凇叭俗R化”，要求有更強的技術和管理支持。在信息技術方面，醫(yī)療機構及相關部門亦可考慮購買第三方技術公司服務。建議對信息處理第三方技術公司建立相關資質(zhì)準入制度。

3.5 完善信息安全管理制度

保護信息安全，要靠技術，更要靠管理。醫(yī)療機構等相關信息處理者要制定內(nèi)部管理制度和操作規(guī)程，對個人信息實行分類管理，合理確定個人信息處理的操作權限，制定并組織實施個人信息安全事件應急預案，定期開展合規(guī)審計，對特定情況開展個人信息保護影響評估等。