为了帮助药械企业医疗健康数据合规工作,我们推出系列文章《医疗健康数据合规,你必需知道的那些事》,在已经发布的系列文章(一)《当我们谈医疗健康数据,我们在谈什么?》,我们盘点了药械企业在数据合规中涉及的三组共6类医疗健康数据:健康医疗大数据/健康医疗数据、人类遗传资源、临床试验数据、医疗器械数据、人口健康信息、病历数据,其中药械企业主要会涉及前四类。在本篇系列文章(二),我们讨论前四类医疗健康数据规制要点,帮助药械企业对合规要求有一个全局兼针对性的把握。
一
先让我们跟随2021年7月1日实施的《信息安全技术医疗健康数据安全指南》(GB/T 39725-2020)(“《医疗健康数据指南》”),一览健康医疗大数据/健康医疗数据的全貌。
1、健康医疗数据具体包含哪些类别?
《医疗健康数据指南》把健康医疗数据分为如下6类。
小结:(5)和(6)这两类数据药械企业几乎不会涉及;(1)和(2)其实就是个人信息,药械企业基本都会涉及;(3)和(4),如下2讨论,药械企业在某些特定场景下会涉及。
2、哪些典型场景涉及数据安全?涉及哪些相关方?
《医疗健康数据指南》列举了八种典型场景的数据安全。
(1)医生调阅数据:医生在提供健康医疗服务过程中调阅相应患者数据的场景。涉及医生所在的组织和患者。
(2)患者查询数据:患者通过在线方式查询其本人健康医疗数据的场景。涉及患者和在线系统。
(3)临床研究数据:临床研究指以患者或健康人为研究对象,由医疗机构、学术研究机构和/或医疗健康相关企业发起的,以探索疾病原因、预防、诊断、治疗和预后为目的的科学研究活动,过程主要包括临床试验的方案设计、组织实施、监查、核查、检查,以及数据的采集、记录、统计、分析总结和报告等。涉及申办者、临床研究机构、研究者、受试者、伦理委员会、监查员、核查员等。
以产品上市获批为目的的临床试验,见如下二,未在《医疗健康数据指南》讨论范畴。
(4)二次利用数据:第三方(政府部门、科研人员、企业等)出于数据二次利用(使用目的与数据被收集时的使用目的不同)的非营利性目的申请健康医疗数据,涉及数据量大,包含可识别身份的信息,无法联系主体或联系主体成本过高的情况。
数据使用的目的,仅可用于非营利性目的,包括科学研究、数据创新大赛、人工智能大赛等。满足最少必要原则。涉及:数据汇聚中心(医疗机构、区域卫生信息平台、医联体、学术平台等)为数据控制者,第三方(政府部门、科研人员、企业等)为数据使用者。
(5)健康传感数据:是指通过健康传感器采集的,在软件支持下感知、记录、分析,与被采集者健康状况相关的,应用于医疗服务和健康生活的一切数据。
例如:监测诊疗数据(血氧饱和度、血压、血糖心率、睡眠);行为情绪数据(跑步距离、行走轨迹、步数、消耗能量、锻炼时长);环境数据(紫外线指数、污染指数、温度、湿度、噪声)。
涉及:佩戴健康传感设备的个人;使用健康传感设备采集健康医疗数据的机构如医疗机构、医保机构、健康服务企业是数据控制者;为控制者提供服务的机构,如信息系统服务商是数据处理者。
(6)移动应用数据:移动应用是指通过网络技术为个人提供的在线健康医疗服务(例如在线问诊、在线处方)或健康医疗数据服务的移动应用程序(例如个人电子健康档案)。
涉及的主要是应用发布者,是指与个人签订应用软件使用许可协议的主体,可以是政府机构、医疗机构、医保机构、商业保险公司、科研机构、医药企业、医疗器械厂商、健康服务企业、数据服务企业或其他独立民事主体。
(7)商保对接数据安全:购买商业保险的主体,在定点医疗机构就医时,除医保费用报销范围外,涉及其他的医疗费用,且在商业险责任范围内的,医疗机构的医院信息系统(HIS)等医疗信息系统与商业保险公司的系统双方建立系统对接与数据传输的场景,及时掌握主体的就诊治疗情况及发生的费用相关信息,从而根据商业保险公司的核赔规则自动进行支付结算等理赔业务。主要涉及医疗机构作为数据控制者和商业保险公司作为使用者。
(8)医疗器械数据安全:见如下三。
小结:场景(1)医生调阅数据和(7)商保对接数据安全不涉及药械企业,会涉及医疗机构。场景(2)患者查询数据和(6)移动应用数据,药械企业作为系统提供和应用发布者时会涉及。场景(3),何时药械企业会涉及非常显而易见。场景(4),为非营利目的而需要二次使用数据的企业会涉及。场景(5)健康传感数据,提供健康服务或信息系统服务的企业会涉及。场景(8),如下三所述,有相关医疗器械的企业会涉及。
二
产品上市获批为目的的临床试验,几乎所有药械企业都会涉及。依据《药物临床试验质量管理规范》(2020年修订)和2016年《医疗器械临床试验质量管理规范》(日前刚发布新版,于22年5月1日生效),我们整理小结如下。
三
根据2018年1月1日起施行的《医疗器械网络安全注册技术审查指导原则》(下称“《指导原则》”)和参考《医疗健康数据指南》,医疗器械数据的规制如下。
1、适用哪些医疗器械?
具有网络连接功能或采用存储媒介以进行电子数据交换的第二类、第三类医疗器械产品,其中存储媒介包括但不限于光盘、移动硬盘和U盘。人工智能(包括深度学习)辅助决策医疗器械软件属于医疗器械的范畴。
2、涉及哪些数据?
健康数据(标明生理、心理健康状况的私人数据,涉及患者隐私信息)和设备数据(描述设备运行状况的数据,用于监视、控制设备运行或用于设备的维护保养,本身不涉及患者隐私信息)。不同的医疗器械可能涉及不同的数据,例如影像系统可能涉及患者的影像和影像诊断报告、检验系统可能涉及患者的检验检查报告和检验结果。
3、涉及哪些环节?
四
根据2019年7月1日生效的《中华人民共和国人类遗传资源管理条例》和2021年4月15日生效的《中华人民共和国生物安全法》(第六章 人类遗传资源与生物资源安全),我们对人类遗传资源规制整理如下。另外,2022年3月2日,科技部中国人类遗传资源管理办公室针对相关申请审批备案事项发布了《人类遗传资源管理常见问题解答》,为申请人申报提供参考。
1、哪些禁止?
采集、保藏、利用、对外提供我国人类遗传资源,不得危害公众健康、国家安全和社会公共利益。
境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。
禁止买卖人类遗传资源(为科学研究依法提供或者使用人类遗传资源并支付或者收取合理成本费用,不视为买卖)。8
2、需遵循哪些原则?
应当符合伦理原则,并按照国家有关规定进行伦理审查。
应当尊重人类遗传资源提供者的隐私权,取得其事先知情同意,并保护其合法权益。9
3、关于采集,需遵循哪些规制?
采集我国重要遗传家系、特定地区人类遗传资源或者采集国务院科学技术行政部门规定种类、数量的人类遗传资源的,应当符合规定条件,并经国务院科学技术行政部门批准。
采集我国人类遗传资源,应当事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利,征得人类遗传资源提供者书面同意。在告知人类遗传资源提供者前款规定的信息时,必须全面、完整、真实、准确,不得隐瞒、误导、欺骗。10
4、关于保藏,需遵循哪些规制?
保藏我国人类遗传资源、为科学研究提供基础平台的,应当符合规定条件,并经国务院科学技术行政部门批准。
国家鼓励科研机构、高等学校、医疗机构、企业根据自身条件和相关研究开发活动需要开展人类遗传资源保藏工作,并为其他单位开展相关研究开发活动提供便利。
保藏单位应当就本单位保藏人类遗传资源情况向国务院科学技术行政部门提交年度报告。11
5、关于利用和国际合作,需遵循哪些规制?
国家鼓励科研机构、高等学校、医疗机构、企业根据自身条件和相关研究开发活动需要,利用我国人类遗传资源开展国际合作科学研究,提升相关研究开发能力和水平。
外国组织及外国组织、个人设立或者实际控制的机构(以下称外方单位)需要利用我国人类遗传资源开展科学研究活动的,应当遵守我国法律、行政法规和国家有关规定,并采取与我国科研机构、高等学校、医疗机构、企业(以下称中方单位)合作的方式进行。
利用我国人类遗传资源开展国际合作科学研究的,应当符合规定条件,并由合作双方共同提出申请,经国务院科学技术行政部门批准;开展国际合作科学研究过程中,合作方、研究目的、研究内容、合作期限等重大事项发生变更的,应当办理变更审批手续;在国际合作活动结束后6个月内合作双方应当共同向国务院科学技术行政部门提交合作研究情况报告。
为获得相关药品和医疗器械在我国上市许可,在临床机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源材料出境的,不需要审批。但是,合作双方在开展临床试验前应当将拟使用的人类遗传资源种类、数量及其用途向国务院科学技术行政部门备案。12
6、关于出境,有哪些规制?
利用我国人类遗传资源开展国际合作科学研究,或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的,应当符合规定条件,并取得国务院科学技术行政部门出具的人类遗传资源材料出境证明。
将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用,应当向国务院科学技术行政部门备案并提交信息备份。利用我国人类遗传资源开展国际合作科学研究产生的人类遗传资源信息,合作双方可以使用。13
五
除了本文所述健康医疗数据涉及的特定规定,还应当注意:
(1)处理个人信息(如患者数据、医生信息等)时,遵守《个人信息保护法》对个人信息处理的规定,尤其是涉及敏感个人信息的处理规则,符合告知-同意要求,做好保护措施;
(2)涉及数据出境时,遵守《数据安全法》、《网络安全法》等规定,具体可参考我们出过的文系列文章《境内数据出境,你必须知道的那些事(一)数据出境规制概览》、《境内数据出境,你必须知道的那些事(二)个人信息出境合规》、《境内数据出境,你必须知道的那些事(三)重要数据出境合规》。
本文旨在帮助药械企业全面又针对性地了解企业会涉及哪些数据和哪些场景。后续我们会就特定数据、特定场景再分别出文详述。
注释及参考文献:
1、2016《医疗器械临床试验质量管理规范》第一条和《药品临床试验质量管理规范》(2020修订)第一条。
2、2016《医疗器械临床试验质量管理规范》第十四条和《药品临床试验质量管理规范》(2020修订)第三条。
3、《药品临床试验质量管理规范》(2020修订)第七条。
4、2016《医疗器械临床试验质量管理规范》第九十一条。
5、《药品临床试验质量管理规范》(2020修订)第八十条。
6、 《药品临床试验质量管理规范》(2020修订)第三十条。
7、《药品临床试验质量管理规范》(2020修订)第三十二条、三十六条、2016《医疗器械临床试验质量管理规范》第五十五条。
8、《中华人民共和国生物安全法》55和56条以及《中华人民共和国人类遗传资源管理条例》7、8、10条。
9、《中华人民共和国生物安全法》55条和《中华人民共和国人类遗传资源管理条例》第9条。
10、《中华人民共和国人类遗传资源管理条例》11和12条。
11、《中华人民共和国人类遗传资源管理条例》13、14 和15条。
12、《中华人民共和国人类遗传资源管理条例》19-26条。
13、《中华人民共和国人类遗传资源管理条例》27条。
