文/王哲 鄧勇

大數(shù)據(jù)時代，醫(yī)院開展相關(guān)數(shù)據(jù)業(yè)務(wù)要采取合規(guī)措施，規(guī)避數(shù)據(jù)利用過程中的法律風(fēng)險。

健康醫(yī)療數(shù)據(jù)，是人們在疾病防治、健康管理的過程中所產(chǎn)生的與健康醫(yī)療有關(guān)的數(shù)據(jù)。信息時代，隨著健康監(jiān)測設(shè)備、線上診療平臺、電子病歷等技術(shù)的推廣應(yīng)用，健康醫(yī)療數(shù)據(jù)內(nèi)涵也得以大大延伸。同時，伴隨以“大數(shù)據(jù)”為代表的信息處理技術(shù)更加廣泛地應(yīng)用于疫情防控、健康管理、診療服務(wù)等健康醫(yī)療場景，健康醫(yī)療數(shù)據(jù)的社會價值與經(jīng)濟(jì)價值不斷提高。

2016年國務(wù)院在《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》中指出，健康醫(yī)療大數(shù)據(jù)是國家重要的基礎(chǔ)性戰(zhàn)略資源，醫(yī)療大數(shù)據(jù)的開放共享、深度應(yīng)用也被納入《“健康中國2030”規(guī)劃綱要》以及《“十三五”衛(wèi)生與健康發(fā)展規(guī)劃》當(dāng)中。以《人口健康信息管理辦法（試行）》《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》為代表的法律規(guī)范、政策文件方面的探索也體現(xiàn)著黨和政府對健康醫(yī)療數(shù)據(jù)的高度重視。

數(shù)據(jù)被稱作信息時代的石油，一方面是健康醫(yī)療數(shù)據(jù)所蘊(yùn)含的巨大現(xiàn)實(shí)價值，一方面又是不斷出臺的規(guī)范文件，這無疑使醫(yī)院在健康醫(yī)療數(shù)據(jù)的相關(guān)服務(wù)上陷入兩難的境地。醫(yī)院對健康醫(yī)療數(shù)據(jù)的合規(guī)利用、合法開發(fā)就顯得尤為重要?！吨腥A人民共和國數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域最新出臺的一般法，所提出的規(guī)制要求對數(shù)據(jù)利用業(yè)務(wù)的開展具有極強(qiáng)的指導(dǎo)意義，結(jié)合健康醫(yī)療領(lǐng)域的具體規(guī)范性文件及政策要求，可以為醫(yī)院的相關(guān)數(shù)據(jù)業(yè)務(wù)開展提供更明確的合規(guī)措施，規(guī)避數(shù)據(jù)利用過程中的法律風(fēng)險。

暗流涌動：醫(yī)院數(shù)據(jù)安全風(fēng)險現(xiàn)狀

實(shí)踐中，大部分醫(yī)院的網(wǎng)絡(luò)安全建設(shè)幾乎是空白，高度依賴提供系統(tǒng)的合作單位，數(shù)據(jù)安全意識薄弱，保護(hù)措施不足。中國醫(yī)院協(xié)會信息管理專業(yè)委員會（CHIMA）發(fā)布的《2017—2018年度中國醫(yī)院信息化調(diào)查報告》顯示：調(diào)查的484家醫(yī)院中，僅有36.16%通過了等級保護(hù)測評，《2018—2019年度中國醫(yī)院信息化調(diào)查報告》顯示：參與調(diào)查的839家醫(yī)院中僅有43.95%通過了等級保護(hù)測評，兩次數(shù)據(jù)均明顯低于金融、電信、能源等領(lǐng)域，且其中三級醫(yī)院比例明顯大于三級以下醫(yī)院，三級以下醫(yī)院75%未開展過等級保護(hù)測評(圖1)。2019年，中國信息通信研究院聯(lián)合騰訊等機(jī)構(gòu)對15339家醫(yī)療行業(yè)單位進(jìn)行觀測，撰寫《2019健康醫(yī)療行業(yè)觀測報告》，數(shù)據(jù)顯示：通過對15339家醫(yī)療行業(yè)相關(guān)單位的觀測，存在僵尸、木馬或蠕蟲等惡意程序的單位共計1029家，應(yīng)用服務(wù)端口暴露在公共互聯(lián)網(wǎng)中的單位有6446家，4546家單位網(wǎng)站存在被篡改安全隱患，其中261家單位已發(fā)生網(wǎng)站被篡改情況，行業(yè)總體處于“較大風(fēng)險”級別(圖2)。

圖1 《2018—2019 年度中國醫(yī)院信息化調(diào)查報告》數(shù)據(jù)

圖2 《2019 健康醫(yī)療行業(yè)觀測報告》數(shù)據(jù)

醫(yī)療數(shù)據(jù)

信息時代，隨著健康監(jiān)測設(shè)備、線上診療平臺、電子病歷等技術(shù)的推廣應(yīng)用，健康醫(yī)療數(shù)據(jù)內(nèi)涵也得以大大延伸。

從醫(yī)院建設(shè)的角度來看，CHIMA《2018—2019年度中國醫(yī)院信息化狀況調(diào)查報告》顯示，現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全，醫(yī)院對網(wǎng)閘、防入侵、防毒墻等設(shè)備的采用率均小于50%。大部分醫(yī)院都缺乏必要的網(wǎng)絡(luò)防護(hù)設(shè)備。

中國評測網(wǎng)安中心分析了35家開展網(wǎng)絡(luò)安全等級保護(hù)測評的醫(yī)療信息系統(tǒng)案例后發(fā)現(xiàn)，部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的有0家，而在數(shù)據(jù)保護(hù)方面38%的系統(tǒng)沒有數(shù)據(jù)庫審計，只有2%的單位具有災(zāi)備服務(wù)器，大部分醫(yī)療信息系統(tǒng)沒有完善的數(shù)據(jù)保護(hù)機(jī)制。根據(jù)中國評測網(wǎng)安中心對73家醫(yī)療機(jī)構(gòu)的信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全測評的結(jié)果來看，58%的醫(yī)療信息系統(tǒng)存在弱口令問題；59%醫(yī)療信息系統(tǒng)存在網(wǎng)絡(luò)防護(hù)架構(gòu)不完善問題，包括網(wǎng)絡(luò)區(qū)域劃分不合理、網(wǎng)絡(luò)鏈路無冗余等問題。

這并非危言聳聽，據(jù)報道：2019年初，某省幾十家互聯(lián)互通醫(yī)院同時感染GlobeImposter3.0變種勒索病毒而被加密，GlobeImposter勒索病毒十分偏愛醫(yī)療行業(yè)，在眾多感染GlobeImposter勒索病毒的行業(yè)中，醫(yī)療行業(yè)占比約50%。

2019年，德國一家漏洞分析和管理公司發(fā)現(xiàn)，含有大量醫(yī)療放射圖像的服務(wù)器暴露在公共互聯(lián)網(wǎng)中，其中涉及中國14個服務(wù)器系統(tǒng)，包含近28萬條醫(yī)療數(shù)據(jù)，詳細(xì)記錄了患者個人信息及醫(yī)療情況，攻擊者利用這些數(shù)據(jù)在暗網(wǎng)中交易獲取巨額利潤。

據(jù)不完全統(tǒng)計，2021年光上半年就至少發(fā)生了1200多起勒索軟件攻擊事件，與2020年發(fā)生的已知公布的大約1420起勒索軟件攻擊事件已經(jīng)十分接近，其中針對醫(yī)療系統(tǒng)和教育行業(yè)的攻擊增加了45%，平均贖金從2021年的40萬美元提高到2022年的80萬美元。

此外，還存在患者個人信息泄露的可能，早在2016年，我國30個省份275位艾滋病感染者稱接到了詐騙、羞辱電話，在新冠肺炎疫情期間，一些確診病例和密切接觸者的個人信息更是被暴露在網(wǎng)絡(luò)、社交媒體上，讓許多無辜的病例遭受網(wǎng)絡(luò)暴力……美國Ponemon研究院的一項(xiàng)調(diào)查顯示：超過一半的醫(yī)院表示，他們在過去兩年中曾發(fā)生過一次或多次由第三方系統(tǒng)供應(yīng)商造成的數(shù)據(jù)泄露，平均每起事件的成本為290萬美元。

同樣，也有醫(yī)院為此而承擔(dān)行政責(zé)任。據(jù)報道，日照市中心醫(yī)院在網(wǎng)絡(luò)上直播婦科手術(shù)，被指暴露患者隱私，公開信息顯示，日照市中心醫(yī)院因“違反醫(yī)療信息安全制度、保障措施不健全，導(dǎo)致醫(yī)療信息泄露案”被處以警告、罰款人民幣5萬元。而據(jù)日照市東港區(qū)委宣傳部通報，已對涉事醫(yī)生厲某某刑事拘留，提請批捕，并依法依規(guī)注銷執(zhí)業(yè)醫(yī)師資格證書、予以開除。日照東港區(qū)政府、日照東港區(qū)衛(wèi)生健康局、涉事醫(yī)院負(fù)有領(lǐng)導(dǎo)責(zé)任和直接管理責(zé)任的11名相關(guān)人員被嚴(yán)肅追責(zé)問責(zé)。

可見，在大部分醫(yī)院的網(wǎng)絡(luò)安全建設(shè)不足的情況下，各種醫(yī)療健康數(shù)據(jù)都面臨著惡意攻擊事件、數(shù)據(jù)泄露的風(fēng)險，醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢日益嚴(yán)峻。

2020 年全球數(shù)據(jù)泄露超過去15 年總和，數(shù)據(jù)安全問題已成為全球各國的關(guān)注重點(diǎn)，近期多個國家紛紛將數(shù)據(jù)安全上升至國家安全高度。

提綱挈領(lǐng)：數(shù)據(jù)安全合規(guī)的必要性梳理

健康醫(yī)療數(shù)據(jù)體量巨大且來源途徑多樣。因此，健康醫(yī)療數(shù)據(jù)所牽涉的利益主體也更加多元，公民個人、醫(yī)療機(jī)構(gòu)、科研單位、醫(yī)藥企業(yè)甚至國家都處于其影響之下。

對于公民個人而言，健康醫(yī)療數(shù)據(jù)內(nèi)涵豐富，涉及個人主體的身份、財產(chǎn)信息、健康狀況等情況，與公民個人密切相關(guān)，數(shù)據(jù)的不當(dāng)利用或泄露將導(dǎo)致公民隱私權(quán)、財產(chǎn)權(quán)乃至人格尊嚴(yán)處于不利的風(fēng)險之中。

對于醫(yī)療機(jī)構(gòu)、醫(yī)藥企業(yè)等單位主體來說，數(shù)據(jù)是本單位取得競爭優(yōu)勢的重要資源，目前，健康醫(yī)療數(shù)據(jù)在醫(yī)療保健服務(wù)、醫(yī)藥新產(chǎn)品研發(fā)、單位智能決策、提高行政效率等方面均發(fā)揮著重要作用，同時，數(shù)據(jù)的不正當(dāng)利用或泄露一旦被曝光，對相關(guān)機(jī)構(gòu)的名譽(yù)也會造成不可挽回的惡劣影響。

對于國家，健康醫(yī)療數(shù)據(jù)是政府制定相關(guān)政策、規(guī)范時的最重要依據(jù)，同時健康醫(yī)療數(shù)據(jù)又與國家的生物安全息息相關(guān)。2021年中國互聯(lián)網(wǎng)大會數(shù)據(jù)安全論壇中，中國信息通信研究院安全所信息安全部主任魏薇表示：“2020年全球數(shù)據(jù)泄露超過去15年總和，數(shù)據(jù)安全問題已成為全球各國的關(guān)注重點(diǎn)，近期多個國家紛紛將數(shù)據(jù)安全上升至國家安全高度”。在貫徹“總體國家安全觀”的背景下，應(yīng)更加重視健康醫(yī)療數(shù)據(jù)的規(guī)范應(yīng)用。

由于健康醫(yī)療數(shù)據(jù)早已滲透進(jìn)醫(yī)療行業(yè)的各細(xì)分領(lǐng)域，所以健康醫(yī)療數(shù)據(jù)的市場經(jīng)濟(jì)價值難以用數(shù)字具體衡量。以醫(yī)療軟件為例，據(jù)IDC《中國醫(yī)療軟件解決方案市場預(yù)測2022—2026》研究報告預(yù)測，2023年中國醫(yī)療行業(yè)IT支出市場規(guī)模約為648.44億元，同比增長約為14.3%；預(yù)計到2026年市場規(guī)模將達(dá)到920.70億元人民幣，其2021—2026年的年復(fù)合增長率為13.30%，由這一細(xì)分領(lǐng)域的市場增量也可對健康醫(yī)療數(shù)據(jù)的巨大經(jīng)濟(jì)價值窺知一二。當(dāng)下，健康醫(yī)療數(shù)據(jù)在醫(yī)療行業(yè)無論是傳統(tǒng)領(lǐng)域的創(chuàng)新發(fā)展還是新興領(lǐng)域的市場開拓都發(fā)揮著無可替代的作用，其所具有的經(jīng)濟(jì)價值也隨著行業(yè)規(guī)模與技術(shù)的不斷發(fā)展而不斷提高。

由于健康醫(yī)療數(shù)據(jù)在國家戰(zhàn)略中所處的重要地位，為最大程度保障其能夠得到合理應(yīng)用，立法主體在民事、行政、刑事各領(lǐng)域?yàn)榻】滇t(yī)療數(shù)據(jù)的不當(dāng)應(yīng)用創(chuàng)制了不同程度的法律責(zé)任。醫(yī)療機(jī)構(gòu)、醫(yī)藥企業(yè)等責(zé)任單位及主管人員若未能做好健康醫(yī)療數(shù)據(jù)的合規(guī)利用，將會觸發(fā)相應(yīng)的法律責(zé)任機(jī)制，承擔(dān)法律上的不利后果。

民事責(zé)任方面，作為被采集者，對其健康醫(yī)療數(shù)據(jù)享有包括知情權(quán)、控制權(quán)、處分權(quán)、保護(hù)權(quán)、修改權(quán)等權(quán)利。同時，健康醫(yī)療數(shù)據(jù)與被采集者的隱私權(quán)、財產(chǎn)權(quán)等重要權(quán)利息息相關(guān)。當(dāng)隱私權(quán)、財產(chǎn)權(quán)等權(quán)利遭到侵害時，被采集者可通過法律途徑進(jìn)行維權(quán)，侵權(quán)主體的責(zé)任承擔(dān)方式主要有停止侵害、賠禮道歉、賠償損失等。同時，相關(guān)行為也會導(dǎo)致侵權(quán)主體名譽(yù)不可挽回的損失。

行政責(zé)任方面，由于健康醫(yī)療數(shù)據(jù)關(guān)系重大，因此在健康醫(yī)療數(shù)據(jù)的采集、存儲、利用的過程中會受到衛(wèi)生監(jiān)督機(jī)構(gòu)、衛(wèi)生行政管理機(jī)構(gòu)、市場監(jiān)督管理機(jī)構(gòu)、國家網(wǎng)信部門、國家安全部門、公安部門等其他有關(guān)機(jī)關(guān)的監(jiān)管。當(dāng)責(zé)任單位行為違反監(jiān)管規(guī)定時，或?qū)⒚媾R警告、沒收違法所得、對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等處罰。另外，我國在健康醫(yī)療數(shù)據(jù)安全方面建立了相應(yīng)的責(zé)任追究制度，對于違反相關(guān)規(guī)定的單位和個人，由主管部門視情節(jié)輕重予以約談、督導(dǎo)整改、誡勉、通報批評、處分或提出給予處分的建議，若構(gòu)成刑事違法的，將依法追究其相應(yīng)的法律責(zé)任。

刑事責(zé)任方面，由于健康醫(yī)療信息包含個人信息，不當(dāng)?shù)男孤痘蚩蓸?gòu)成侵犯公民個人信息罪?！缎谭ā芬?guī)定違反國家有關(guān)規(guī)定向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處3年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處3年以上7年以下有期徒刑，并處罰金。同時，健康醫(yī)療數(shù)據(jù)所包含的信息還可能構(gòu)成國家秘密，若不當(dāng)泄漏或?qū)?gòu)成故意泄露國家秘密罪與過失泄露國家秘密罪，情節(jié)嚴(yán)重的，處3年以下有期徒刑或者拘役；情節(jié)特別嚴(yán)重的，處3年以上7年以下有期徒刑。該罪在主體上亦包括非國家機(jī)關(guān)工作人員。

未雨綢繆：大數(shù)據(jù)合規(guī)利用的要點(diǎn)

《中華人民共和國個人信息保護(hù)法》《中華人民共和國數(shù)據(jù)安全法》雖強(qiáng)調(diào)著數(shù)據(jù)行業(yè)的全方位監(jiān)管，但同樣重視對數(shù)據(jù)經(jīng)濟(jì)的支持，該法律絕對不是對健康醫(yī)療數(shù)據(jù)價值利用之禁止。醫(yī)院應(yīng)當(dāng)根據(jù)健康醫(yī)療數(shù)據(jù)的特點(diǎn)，結(jié)合《中華人民共和國數(shù)據(jù)安全法》《醫(yī)療行業(yè)合規(guī)管理規(guī)范》《人口健康信息管理辦法》等特別法律規(guī)范的規(guī)制要求密切關(guān)注自身行為的合規(guī)情況。在數(shù)據(jù)的采集、存儲、應(yīng)用環(huán)節(jié)遵守法律規(guī)范的要求，規(guī)避潛在法律風(fēng)險。

實(shí)踐中，大部分醫(yī)院的網(wǎng)絡(luò)安全建設(shè)幾乎是空白，高度依賴提供系統(tǒng)的合作單位，數(shù)據(jù)安全意識薄弱，保護(hù)措施不足。

數(shù)據(jù)的采集

健康醫(yī)療數(shù)據(jù)的采集，即獲取、存儲健康醫(yī)療數(shù)據(jù)的行為。采集是健康醫(yī)療數(shù)據(jù)應(yīng)用的第一步，目前我國的健康數(shù)據(jù)采集工作主要由線下診療、體檢及線上健康監(jiān)測兩大方面組成，構(gòu)成醫(yī)院日常工作的重要部分。

對健康醫(yī)療數(shù)據(jù)的采集，應(yīng)當(dāng)遵循“知情同意”以及“一數(shù)一源，最少夠用”原則。醫(yī)院在進(jìn)行健康醫(yī)療數(shù)據(jù)的采集或共享前應(yīng)當(dāng)確定作為數(shù)據(jù)源頭的被采集人是否獲得了全面、充分的告知，保證得到被采集人的合法有效授權(quán)，保留相關(guān)程序的證據(jù)，規(guī)范數(shù)據(jù)采集的前置程序。而在采集過程中，醫(yī)院應(yīng)以業(yè)務(wù)真實(shí)需要為標(biāo)準(zhǔn)進(jìn)行采集，避免數(shù)據(jù)的過度采集，遵循醫(yī)學(xué)倫理原則，保證信息安全，保護(hù)個人隱私。同時要保證被采集人在本單位的信息系統(tǒng)中的身份唯一，所關(guān)聯(lián)信息一致，防止重復(fù)采集，多頭采集。

由于健康醫(yī)療領(lǐng)域信息化程度的不斷提高，部分醫(yī)院開展線上醫(yī)療服務(wù)，因此針對線上醫(yī)療服務(wù)所進(jìn)行的信息搜集，還應(yīng)當(dāng)關(guān)注《中華人民共和國網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)領(lǐng)域敏感信息采集的操作規(guī)范要求。醫(yī)院于線上醫(yī)療收集健康醫(yī)療數(shù)據(jù)的過程中依然要遵循“合法、正當(dāng)、必要”的原則，不僅是針對一手?jǐn)?shù)據(jù)，對于間接采集與可能的數(shù)據(jù)共享也應(yīng)當(dāng)證實(shí)其數(shù)據(jù)來源是否符合“合法、正當(dāng)、必要”的要求，規(guī)避相關(guān)的法律隱患。在收集過程中，醫(yī)院應(yīng)公開信息采集、使用的規(guī)則、目的、方式等，在利用網(wǎng)站、應(yīng)用APP、小程序等方式采集的過程中應(yīng)當(dāng)制定規(guī)范、易懂的隱私政策并醒目設(shè)置，確保被采集人的“知情同意”。

數(shù)據(jù)的存儲

醫(yī)院在存儲醫(yī)療數(shù)據(jù)時，應(yīng)當(dāng)采取必要的安全措施保障己方所控制的健康醫(yī)療數(shù)據(jù)的安全，防止健康醫(yī)療數(shù)據(jù)泄露、毀損、丟失或者被篡改，更不得非法向他人提供。在數(shù)據(jù)存儲工作中醫(yī)院應(yīng)遵循“安全儲存、責(zé)任明確、境內(nèi)儲存”的原則，根據(jù)權(quán)威機(jī)構(gòu)的統(tǒng)計信息，自查自檢解決隱患。

醫(yī)院應(yīng)當(dāng)建立內(nèi)部的數(shù)據(jù)安全保護(hù)制度，構(gòu)建健康醫(yī)療數(shù)據(jù)分級分類存儲體系，根據(jù)數(shù)據(jù)所涉隱私及重要程度劃分?jǐn)?shù)據(jù)安全等級，落實(shí)數(shù)據(jù)的長期保存及歸檔管理，并通過數(shù)據(jù)備份、權(quán)限管理、局域網(wǎng)加密技術(shù)手段保障健康醫(yī)療數(shù)據(jù)的安全。與此同時，還應(yīng)當(dāng)注重建立可靠的數(shù)據(jù)容災(zāi)備份工作機(jī)制，確保特殊情況下相關(guān)數(shù)據(jù)能夠及時、完整地恢復(fù)，提高自身數(shù)據(jù)系統(tǒng)的抗風(fēng)險能力。

醫(yī)院應(yīng)根據(jù)《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》之要求，建立健康醫(yī)療數(shù)據(jù)的安全管理制度、操作規(guī)程和技術(shù)規(guī)范，落實(shí)主管人員責(zé)任，通過電子實(shí)名、訪問級別限制等手段強(qiáng)化統(tǒng)籌管理和協(xié)調(diào)監(jiān)督，保障健康醫(yī)療大數(shù)據(jù)安全。實(shí)踐中存在部分機(jī)構(gòu)囿于自身實(shí)力限制，通過與第三方合作的方式來進(jìn)行數(shù)據(jù)的儲存的情況，此時應(yīng)當(dāng)注意，根據(jù)《人口健康信息管理辦法（試行）》規(guī)定，“委托其他機(jī)構(gòu)存儲、運(yùn)維人口健康信息的，委托單位承擔(dān)人口健康信息的管理和安全責(zé)任”。

該管理和安全責(zé)任作為規(guī)范的強(qiáng)制性要求，無法通過合同的方式進(jìn)行轉(zhuǎn)移，因此，醫(yī)院在選擇合作伙伴時應(yīng)當(dāng)格外謹(jǐn)慎，關(guān)注其資質(zhì)、歷史業(yè)務(wù)表現(xiàn)等方面，通過合作前的盡職調(diào)查，針對合作方的行業(yè)資質(zhì)與能力、歷史業(yè)績表現(xiàn)、業(yè)務(wù)可行性等內(nèi)容進(jìn)行審查，核實(shí)合作方在談判階段所述的合規(guī)情況的真實(shí)性，做好前置風(fēng)險控制，及時對其在數(shù)據(jù)方面的問題進(jìn)行處理，推動合作的合規(guī)開展。

數(shù)據(jù)的利用

健康醫(yī)療數(shù)據(jù)的利用不僅僅是數(shù)據(jù)的分析應(yīng)用，還包括數(shù)據(jù)的交互共享等流通行為。在數(shù)據(jù)利用的過程中，醫(yī)院應(yīng)遵循“去標(biāo)識化”“可追溯化”的操作原則。

大數(shù)據(jù)時代的背景下，公民的隱私觀念逐漸緩和，但這也讓個人數(shù)據(jù)的脫敏處理變得更加困難，這一問題在健康醫(yī)療數(shù)據(jù)方面表現(xiàn)得更加突出，該類數(shù)據(jù)普遍涉及公民身份、財產(chǎn)、隱私等敏感內(nèi)容，因此在分析應(yīng)用的過程中進(jìn)行去標(biāo)識化處理不僅可以減少數(shù)據(jù)冗余，更能契合《數(shù)據(jù)安全法》保障安全與實(shí)現(xiàn)價值平衡的要求。同時也應(yīng)當(dāng)根據(jù)《人口健康信息管理辦法（試行）》要求，建立痕跡管理制度，任何建立、修改和訪問行為都應(yīng)當(dāng)實(shí)現(xiàn)可控制、可管理，行為主體，都應(yīng)當(dāng)是通過嚴(yán)格的授權(quán)及身份審核的工作人員。

由于健康醫(yī)療數(shù)據(jù)早已滲透進(jìn)醫(yī)療行業(yè)的各細(xì)分領(lǐng)域，所以健康醫(yī)療數(shù)據(jù)的市場經(jīng)濟(jì)價值難以用數(shù)字具體衡量。

健康醫(yī)療信息跨機(jī)構(gòu)、跨地域的交互、共享過程場景下，除技術(shù)防范，醫(yī)院須確認(rèn)對象的主體資質(zhì)問題及使用目的，醫(yī)院可通過數(shù)據(jù)客體單獨(dú)存放、單獨(dú)訪問等方式避免非醫(yī)院方主體直接訪問整體數(shù)據(jù)庫，若確有需要，醫(yī)院應(yīng)明確約定訪問范圍、方式等要素，在技術(shù)層面加強(qiáng)因訪問可能導(dǎo)致的數(shù)據(jù)泄露問題，建立相應(yīng)的安全事件應(yīng)急機(jī)制。另外，若醫(yī)院在數(shù)據(jù)采集環(huán)節(jié)并未向被采集人明確數(shù)據(jù)可能的交互共享情況，則醫(yī)院主體需要征得被采集人的知情同意，否則不應(yīng)當(dāng)冒可能的法律風(fēng)險將相關(guān)數(shù)據(jù)納入交互共享的范圍。

數(shù)據(jù)的涉外

如前所述，《數(shù)據(jù)安全法》對于違規(guī)向境外提供數(shù)據(jù)的行為持嚴(yán)厲的否定態(tài)度，《人口健康信息管理辦法（試行）》等多部法律規(guī)范均規(guī)定不得將人口健康信息在境外的服務(wù)器中存儲，不得托管、租賃在境外的服務(wù)器。因此，醫(yī)院應(yīng)保證所控制的健康醫(yī)療數(shù)據(jù)“不涉外”，確有需要向境外提供或與境外主體進(jìn)行相關(guān)業(yè)務(wù)合作的，應(yīng)當(dāng)根據(jù)法律規(guī)范具體要求，報請各地主管機(jī)關(guān)同意后才可開展相應(yīng)的工作。