《个人信息保护法》实施下的医疗数据管理和应用探讨

2022-12-01吴凌放

卫生软科学 2022年1期

吴凌放

(上海市卫生健康委员会，上海 200003)

在信息化时代，数据成为了炙手可热的资源，个人信息保护也成为了人民群众最关心最直接最现实的利益问题之一。《个人信息保护法》[1]的出台实施，及时回应了人民群众的关切，对规范包括医疗领域在内的各领域各行业的数据收集、开发、利用将产生深远影响。本文分析《个人信息保护法》正式施行后对医疗数据管理运用的影响，提出对策，为规范医疗数据的管理运用提供参考。

1 《个人信息保护法》规范重点

2021年11月1日正式施行的《个人信息保护法》与《网络安全法》《数据安全法》等，共同组成了聚焦网络信息安全保障的核心法律体系。其中，《个人信息保护法》又有以下特点和规范侧重点。

1.1 以“保护”为功能定位

《个人信息保护法》把“保护个人信息权益”放在立法宗旨的首位，之后才是“规范信息处理活动”和“促进信息利用”，“规范”和“促进”以“保护”为基本前提。从个体权益保护的角度，该法是权利法。同时，该法不仅是权利法，还是管理法、是行为规范，直接指引“信息处理者”要建立完善制度管理体系，并规定必要的行政监管作为外力威压以确保制度落地。但“管理”只是手段，“保护”才是目的。理解该法以保护为其功能定位，有助于正确适用该法。

1.2 以“告知同意”为个人信息处理中的基本规则

《个人信息保护法》明确要求处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意；并规定，在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意[2]。该法同时规定了告知同意规则的例外，即个人信息处理中不用取得个人同意的情形，包括为履行法定职责或者法定义务所必需；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需等。

1.3 强化信息处理者的义务

个人信息处理者是个人信息保护的第一责任人。《个人信息保护法》设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人进行监督，定期进行合规审计，对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。在民事责任方面，对个人信息处理者实行“过错推定”和“举证倒置”原则，即处理个人信息侵害个人信息权益造成损害的，个人信息处理者如不能证明自己没有过错的，就要承担损害赔偿等侵权责任。

1.4 对敏感信息处理提出了更高的要求

《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息等列为敏感个人信息。对敏感信息设置高处理门槛，仅在同时具备“特定目的性”“充分必要性”及“采取严格保护措施”的条件下才可以处理，并且应进行单独告知。

1.5 明确个人信息跨境提供规则

《个人信息保护法》明确了向境外提供个人信息应当具备的条件，规定个人信息处理者必须履行的义务，明确未经主管机关批准不得向外国司法或者执法机构提供存储于中国境内的个人信息。这为向境外提供个人信息的情况提供了明确的行为规则。

2 个人信息保护视角下医疗数据的特点

在早期，医疗数据大部分以纸质化的病历等形式存在，随着信息技术发展，目前医疗数据相当一部分以电子化数据形式存储，并向医院信息系统和区域卫生信息化平台汇集。基于个人信息保护视角，医疗数据有以下特点需予关注。

2.1 源于诊疗特定目的

伴随医疗机构诊疗服务自然产生，同时又为诊疗服务所必需，凝结着医生等医务人员的劳动与智慧，这是医疗数据有别于其他个人信息数据的最大特点。《基本医疗卫生与健康促进法》等法律法规对医疗机构职责有明确规定。医疗机构以救死扶伤、防病治病、提供健康服务为宗旨。同时，按照《医疗事故处理条例》《医疗纠纷预防和处理条例》等法规和病历管理相关规定，医疗机构书写和保管病历是履行法定职责的客观需要。按照《个人信息保护法》第十三条的规定，就一般信息来说，在“履行法定职责或者法定义务所必需”或者有“法律、行政法规规定的其他情形”时，处理个人信息无需取得个人同意。

2.2 有大量敏感信息

患者诊疗时登记的个人身份信息和联系方式、就诊时产生的生物识别信息、病历记录、健康状况信息、医疗支付信息等都属于《个人信息保护法》所例举的敏感信息。按照该法，必须采取严格保护措施，才可以处理敏感信息；并且只要是敏感信息，其处理都必须取得个人的单独同意。

2.3 数据涉及面广且增长快速

医疗数据有其自身的特点。一是存量巨大，几乎每个人都需要看病就医，随之都会产生医疗信息。按照《医疗机构病例管理规定》《电子病历应用管理规范》，门急诊病历，由医疗机构保管的，保存时间不少于15年，住院病历保存时间不少于30年。二是增长快速，在就诊高峰时期，仅一个大型综合医院日均门诊人数就可达到成千甚至上万，每年出院人数达十多万人次。按照《个人信息保护法》，个人信息处理者应保障所处理信息的安全。数据量大导致医疗机构相应保障责任也大。

2.4 有丰富的衍生应用价值

医疗数据的产生源于临床诊疗和健康服务。一旦生成，有巨大衍生应用价值。例如：可以用于卫生行政部门的行业管理，分析医疗资源配置与群众看病就医需求的匹配程度，评价医疗机构的运行绩效；可以用于疾病发展趋势预测，为公共卫生机构更早地预测传染病传播途径及范围、开展慢性病社区诊断提供帮助；可以用于新的诊疗方案、技术、药械和试剂的研发，为临床研究提供数据基础；可以用于人工智能辅助诊断，通过人工智能算法对数据进行机器学习和深度挖掘，协助医生获取同类疾病的治疗方案；可以用于医疗保险精算和产品开发，以及作为患者商业医疗保险赔付依据等。一旦医疗数据的使用离开为患者诊疗和提供健康服务的初始目的，用于诊疗以外的其他用途，除了《个人信息保护法》规定的例外情形以外，都需要征得患者同意。开展医学科研活动，有可能涉及个人信息的跨境提供，此时还需符合个人信息跨境提供规则。

2.5 数据应用多环节

在挖掘医疗数据的衍生应用价值时，由于医疗数据量大且数据结构多样化，需要经过清洗、梳理、统计等多个环节，才能使其价值得到凸显。多环节，使接触数据的不仅有医疗机构人员，还有外部的研究人员与合作研发人员，增加了数据安全的不确定性，对个人信息保护提出了更高的要求。

3 完善医疗数据管理和利用的思考

医疗数据放着不动，就最不可能出错，但显然不能这样。当前，既要保障数据安全和个人信息权益，同时也要鼓励数据的利用和共享，助力数字经济发展，要两者兼顾，处理好平衡[3]。《个人信息保护法》是信息安全领域的基础法律，规定是框架性的。在这一框架下，加强医疗数据的管理和利用，有以下几个方面值得探讨。

3.1 进一步明晰医疗数据处理规则

医疗行业是传统行业、医疗数据有其特点，《个人信息保护法》在医疗领域具体适用的一些操作性规则还需细化。例如：对大量的存量敏感信息，如何进行告知，并获得同意；是否需要有范本以确保医疗机构清晰易懂、准确完整地向个人告知等。2020年底，有推荐性国家标准《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020)出台，但该标准缺乏法律效力，其中部分内容与《个人信息保护法》的要求也不匹配；可能需要出台专门的行政法规或部门规章。

3.2 加强医疗数据应用的顶层设计

《个人信息保护法》要求对个人信息的处理目的、处理方式、信息种类、保存期限、变更内容等充分告知。医疗数据涉及的利害关系人多，一旦要增加信息用途，手续补救起来将十分繁琐。因此，事先设计好用途非常重要，有了数据应用的顶层设计，就可以通过制定并公开个人信息处理规则的方式进行告知。

3.3 厘清履行法定职责与实施商业行为的边界

医疗数据处理，有些是为了履行法定职责，例如：医疗机构为诊疗所需收集、存储、使用；政府部门为履行职责按照法定权限、程序使用、加工等。有些是出于商业目的，例如：用于商业目的的药品和试剂研发；用于商业医疗保险的精算和理赔等。在设计医疗数据处理的具体规则时，建议区分以上两类情况，不予混淆，需分情境予以告知和取得同意。

3.4 加强信息安全技术保障

个人信息保护不仅是一种目标性结果，也是一种合规状态，需要医疗机构及相关部门、机构持续投入成本、资源以维持合法、合理的个人信息保护水平。要加强信息安全技术保障，采取相应的加密、去标识化等安全技术措施。《个人信息保护法》明确“个人信息”不包括“匿名化处理后的信息”，因此，可以更多地对信息进行匿名化处理。“匿名化”相对于“去标识化”，要求有更强的技术和管理支持。在信息技术方面，医疗机构及相关部门亦可考虑购买第三方技术公司服务。建议对信息处理第三方技术公司建立相关资质准入制度。