ARTICLE
16 October 2024

医疗健康数据的法律保护与合规应用

AB
AnJie Broad Law Firm

Contributor

AnJie Broad Law Firm logo
AnJie Broad Law Firm is a full-service law firm with a wide range of practice areas. We are committed to delivering high-quality bespoke legal solutions to clients. AnJie Broad has extensive experience serving clients in practice areas such as Capital Market & Securities, Antitrust & Competition, Private Equity & Venture Capital, Intellectual Property, Dispute Resolution, Labor & Employment, Cross-border Investment & Acquisition, Insurance & Reinsurance, Maritime & Shipping, Banking & Finance, Energy, International Trade, Technology Media & Telecommunications, Life Sciences & Healthcare, Private Wealth Management, Real Estate & Construction, Hotels Resorts & Tourism and Media, Game and Entertainment & Sports.
Explore Firm Details
数据资源作为重要生产要素蕴藏了巨大的价值,被认为是面向未来的数字经济"石油",其中,医疗健康行业的数据公认具有较大的开发潜力。
China Food, Drugs, Healthcare, Life Sciences
Zhang Yin and Fei Wang
Your Author LinkedIn Connections

前 言

数据资源作为重要生产要素蕴藏了巨大的价值,被认为是面向未来的数字经济"石油",其中,医疗健康行业的数据公认具有较大的开发潜力。根据公开报告,我国健康医疗数据应用市场规模自2016年起呈现了爆发式增长并引发了健康医疗产业投资的热潮。与此同时,医疗健康数据具有数据量大、数据种类多、数据产生快、处理快、数据价值密度低等特点,医疗健康数据共享及应用也存在诸多实务和合规障碍。

本文将简要探讨医疗健康数据的法律保护与合规应用的初步常见问题,以期待对于有医疗数据产业的持续发展有所助力。

1、什么是医疗健康数据?

目前就医疗健康数据并没有非常严格的法律规范性概念,下表可以体现法规规章对于医疗健康数据的定义范式。随着时间的推演,我国监管机构对于医疗健康数据的定义范围也更加广泛。在商业实践中,医疗健康数据既包括具体到人的微观数据(可能涉及个人信息),又包括统计、分析类型的宏观数据(可能涉及重要数据、人类遗传资等),换言之,医疗机构、临床研究机构、医疗健康行业企业以及各类政府性质平台拟收集及应用的与健康和医疗相关的数据均会落入到医疗健康数据的范畴。

1531310a.jpg

2、医疗健康数据应如何分类?归谁所有或谁有权使用?

结合第1点医疗健康数据的定义:

从微观层面而言

涉及到人的医疗健康数据应属于个人信息的范畴并应结合其敏感性涉及敏感个人信息的保护问题,对于这部分医疗健康数据的应用应尊重当事人的知情权、同意权以及在合理必要的范畴内进行开发利用。

从宏观层面而言

对于已经脱敏并不再涉及个人隐私的医疗健康数据,在绝大部分情况下,由医疗机构作为应用管理的责任主体,在少部分情况下,可能该等数据并非由医疗机构直接或间接采集,而是由行业相关企业在协助用户进行健康管理的过程中获得授权并收集,那么应由该等社会企业作为相关数据应用管理的责任主体。

此外,医疗机构由于缺乏技术实力和专业人员,往往需要与受托企业共同存储、运营医疗健康数据,对于该等场景下的受托企业同样取得了管理及应用医疗健康数据的权限,并对应承担医疗健康数据保护的义务。值得关注的是,基于社会公共管理的职能和监管需要,政府部门及授权事业单位也可能成为大量医疗健康数据的使用者。根据《政务信息资源共享管理暂行办法》的相关规定,

  • 按照"谁经手,谁使用,谁管理,谁负责"的原则,使用部门应根据履行职责需要依法依规使用共享信息,并加强共享信息使用全过程管理。使用部门对从共享平台获取的信息,只能按照明确的使用用途用于本部门履行职责需要,不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。
  • 共享平台管理单位要加强共享平台安全防护,切实保障政务信息资源共享交换时的数据安全;提供部门和使用部门要加强政务信息资源采集、共享、使用时的安全保障工作,落实本部门对接系统的网络安全防护措施。

为便于读者更清晰了解医疗健康数据的主要应用主体及其应用相关的法规依据,我们梳理了下表供读者参考。

1531310b.jpg

3、医疗健康数据的本地化应用须遵循的法律要点?

根据我国《数据安全法》总则部分所确立的一般原理,数据处理,包括数据收集、存储、使用、加工、传输、提供、公开等。在医疗健康数据的本地化应用和处理的全流转周期均应遵循数据安全、网络安全和个人信息保护的相应要求。通常而言,出于获取医疗健康服务的目的,医疗机构可顺畅获得相关患者或用户的合理授权,比如:

  • 在收集环节,应尊重用户及或用户监护人的知情与同意;
  • 在存储环节,建议在境内的服务器中存储并进行匿名化和分等级的网络安全保障。实务应用的难点往往在于数据共享和对外提供时,不同主体之间的法律关系应如何厘清。

在医疗机构基于科研、教学或其他合理且必要之目的情况下,计划对外分享医疗健康数据时,往往需要界定哪个主体需要承担"个人信息处理者"的相关义务,需要厘清医疗机构与第三方之间的法律关系,是否构成共同处理、委托处理或经个人明确授权的第三方处理。建议医疗机构在遴选数据服务供应商之前,应前置性地审查供应商是否具备确保数据安全的能力,是否建立数据安全管理、个人隐私保护、应急响应管理等方面的管理制度。

4、违规处理医疗健康数据应承担何等法律责任?

医疗健康数据的收集、使用和分享,由于其敏感性和重要性,必须严格遵循相关法律法规。

在法律责任方面,违规处理医疗健康数据可能导致民事责任、行政责任甚至刑事责任。例如,若未经患者同意擅自收集或使用其健康信息,可能侵犯其隐私权,患者可提起民事诉讼要求赔偿;若数据处理者出现数据泄露情形,可能违反其与合作方的数据处理协议约定,合作方可要求停止合作并要求赔偿。行政责任方面,根据《个人信息保护法》和《数据安全法》,违规者可能面临警告、罚款(最高可达五千万元或者上一年度营业额百分之五),乃至业务暂停或吊销营业执照的处罚,相关的主管人员和其他直接责任人员可能面临罚款(最高可达一百万元)甚至禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人的资格。各地检察院也可能就医疗数据违规处理事宜发起公益诉讼,如2023年江西省宜春市人民检察院督促保护医疗健康个人信息行政公益诉讼案。更严重的是,若数据违规行为违反刑法且情节严重的(如非法获取、出售或提供一定数量的个人信息且违法所得达到五千元以上,多次、大量获取他人计算机数据等),则可能构成侵犯公民个人信息罪、非法获取计算机信息系统数据罪等,如2021年上海疾控中心发生的新生婴儿信息贩卖案。

因此,医疗健康行业的企业和机构必须建立严格的数据管理和合规体系,确保在数据的全生命周期内合法合规操作,避免法律风险。

5、医疗健康数据的跨境传输须遵循哪些法律要点?

医疗健康数据的跨境传输是一个备受各方关注的领域,涉及多个法律法规。首先,企业在跨境传输数据前,需识别数据属性,如是否包含人类遗传资源、是否构成重要数据、是否包括敏感个人信息等,如涉及该类数据,则相关合规要求也会层层叠加,企业需与更多监管部门协调沟通。在选择合规路径时,应首先判断是否存在《促进和规范数据跨境流动规定》中规定的豁免的情形。如果无法豁免相关法律义务,对于非关键基础设施运营者且数据规模较小的情况,可通过订立符合国家网信办要求的标准合同免除安全评估,标准合同中应明确数据保护责任,保障个人信息主体权益,并确保数据安全。同时,应充分评估数据接收方配合开展安全评估、签署标准合同或提供其他信息的可能性,在此基础上规划数据出境的合规方案。

根据《促进和规范数据跨境流动规定》,重要数据和达到一定体量的个人信息的跨境传输必须经过安全评估,尤其是当数据处理者是关键信息基础设施运营者、年传输超过100万人的个人信息,或年传输超过1万人敏感个人信息时。

同时,技术上的保障措施也至关重要,包括数据的识别、防护、监测和审计。此外,企业应建立数据安全治理体系,融合管理组织架构、制度建设与技术保障,以保障数据跨境的合规。

6、医疗健康数据企业上市案例有哪些?该类企业在上市过程中存在哪些数据合规的审核要点?

随着健康医疗企业的数字化、智能化转型以及各界对健康医疗企业的关注提升,近些年来,不少健康医疗企业逐步登陆资本市场,具体公司及相关情况如下表所示:

1531310c.jpg

根据上述案例,我们注意到医疗健康数据企业在上市过程中,数据合规性是监管机构关注的核心要点。审核重点通常包括以下几个方面:

  • 法律法规符合性:企业必须确保其数据处理活动符合《个人信息保护法》、《数据安全法》和《网络安全法》等相关法律法规的要求。
  • 数据全生命周期管理:监管机构将重点审核企业在数据收集、存储、使用、共享、传输和删除等环节的合规性。
  • 数据合规内控机制:企业需要建立并展示有效的数据合规内控机制,包括制度建设、组织架构和技术管控措施。
  • 特定场景合规性:包括APP合规性、网络安全审查、境外业务的数据合规性,以及媒体质疑或监管事件引发的数据合规问题。
  • 数据资产化挑战:医疗健康数据的资产化过程中,需要解决数据收集与治理、数据质量提升、权属界定等问题。
  • 数据跨境传输:跨境传输的医疗健康数据需要完成安全评估并报备相关机构,特别是涉及个人信息和重要数据。
  • 医学科技伦理:企业在数据处理中应遵循医学伦理原则,保障患者知情权、个人隐私和数据安全。

综合来看,医疗健康数据企业在上市审核中,需要全面自查和准备,以确保数据的安全、合法和高效利用,同时适应监管要求,实现可持续发展。

7、医疗健康数据流通与应用的典型场景—"临床试验/研究"与"AI医疗服务"中的合规要求是什么?

临床试验/研究作为医疗健康数据流通与应用的典型场景之一,其中的医疗数据法律关系和数据合规要点颇为复杂,涉及多个参与方,包括申办者、临床研究机构、合同研究组织(如有)以及受试者。在法律关系上,申办者与临床研究机构可能构成共同个人信息处理者或委托处理关系。虽然《药物临床试验质量管理规范》为申办者和临床研究机构处理受试者信息提供了一定的法律依据,但从《个人信息保护法》的角度,临床试验中的各方是否构成个人信息处理者或受托处理者,通常需要结合受试者信息的具体处理实际决策权、各方权限以及临床试验合同中的约定综合判断。就合规层面来看,在临床试验过程中除需获得受试者同意、数据匿名化、采取必要措施确保数据安全、数据留存与删除的合规等常规的数据合规要点外,在临床试验开展前,同时还需通过伦理委员会的审查。

随着AI技术的不断发展,医疗数据与AI结合的案例也逐渐增多。近年来,AI技术在药物研发、医疗器械、医疗服务等多个领域得到应用,例如辅助医生评估医疗影像并出具报告、通过大模型筛查大量的医疗数据以加速新药研发进程。

在"AI+健康医疗"的场景下,相关企业在研发AI医疗产品的过程中会引入多家数据供应商和技术供应商,会涉及数据的多环节和多渠道的收集、存储、处理和分析,需重视相关的数据合规审查要求。就AI技术而言,医疗AI软件不可以单独提供诊疗服务,只能作为医疗服务的辅助(例如分诊,辅助用户快速匹配到相应的医生或科室),且在辅助诊断应用中,需要确保算法的透明度和可解释性以及医疗结果的准确性。如涉及AI生成内容,则应当进行显著标识。同时,AI医疗产品需符合相关的技术标准和认证要求,以保证产品质量和安全性,例如:脑机接口设备需遵循医疗器械监管的相关规则,AI医疗软件的研发需进行科技伦理审查等。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Zhang Yin
Zhang Yin
Photo of Fei Wang
Fei Wang
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More