医疗健康行业一直以来受到国家强监管和各界关注,也是资本竞逐和创新突破的重点领域。随着健康医疗数据应用、“互联网+医疗健康”和智慧医疗的蓬勃发展,各种新业务、新应用不断出现,健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全1,因此这方面的数据合规无论对企业的日常运营还是日后的上市都至关重要。
医疗健康数据,我国没有统一的立法,受到不同层级的法律法规、部门规章、国家标准从不同角度的规制,规制对象涉及政府机构、医疗机构、高校/科研机构、药械相关企业、医保机构等不同主体,由此,对医疗健康数据合规更是增加了难度。
为了帮助药械企业医疗健康数据合规工作,我们将推出系列文章《医疗健康数据合规,你必需知道的那些事》,结合实践经验为企业进行梳理、分析和合规提示。要合规,首先需要厘清企业会涉及哪些医疗健康数据,需要遵守什么法律,本篇作为系列文章的第(一)篇,将医疗健康数据分为如下三组共6类进行讨论和梳理。
一
“健康医疗大数据”比较宽泛,基本覆盖健康医疗企业日常处理的所有数据类型,各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。2
注:“健康医疗数据”定义源自《医疗健康数据指南》,为国家推荐性标准,不具有强制力,可作为医疗健康行业企业机构的参考性文件,“健康医疗数据”与“健康医疗大数据”实质相近,由此,我们还是以现行法律文件作为数据类型的判断依据,企业可以参考《医疗健康数据指南》作为合规指引。《医疗健康数据指南》对健康医疗数据分为:个人属性数据,健康状况数据,医疗应用数据,医疗支付数据,卫生资源数据,和公共卫生数据6类。
二
注:各主体如涉及对人类遗传资源的采集、保藏、利用和对外提供,如利用我国人类遗传资源开展国际合作科学研究,需尤其注意上述合规要求。截至目前,已有多家医疗机构、医疗相关企业因人类遗传资源不合规问题受到行政处罚,我们后续也会梳理相关案例出文呈现。
三
各级各类医疗服务机构(含中医药服务机构)在服务和管理、医疗活动中产生的数据。
注: “人口健康信息”和“病历数据”更适用于传统线下医疗卫计服务机构,但因互联网医院及远程医疗服务的发展,“人口健康信息”也逐步覆盖线上情景。
四
药械企业肯定会涉及1.健康医疗大数据,2.人类遗传资源,3.临床数据,4.医疗器械数据,可能会涉及5.人口健康信息和6.病历数据。后续我们将会就各类数据需要遵守的规则,并选择企业合规重点需注意的数据种类,结合应用场景,分篇进行更为深入细致的整理、分析和提示,敬请关注。
上述分类以及列出的法律规范主要聚焦于医疗健康行业数据,但请注意,医疗健康数据同时受《网络安全法》(17年6月生效)、《数据安全法》(21年9月生效)和《个人信息保护法》(21年11月生效)三驾马车及其配套规范的规制。
个人健康医疗数据其定义与《个人信息保护法》使用的“个人信息”定义逻辑保持一致,属于“个人信息”,因此需要符合《个人信息保护法》的相关规定。
如果涉及重要数据以及含有个人信息的医疗健康数据出境,需遵守三驾马车及其配套规范的规定,可参考我们往期数据出境系列文章《(一)数据出境规制概览》、《(二)个人信息出境合规》及《(三)重要数据出境合规》(特别法另有规定的除外)。
识别医疗数据的类别和性质对实现数据合规尤为重要。不同的企业机构,其所遵循的合规义务,可能因其主体身份、所处阶段、环节和业务而异,例如药品研发企业主要涉及临床试验数据和人类遗传资源合规。理解数据类别后,才能有针对性地采取相应措施。
注释及参考文献:
1、见《信息安全技术 医疗健康数据安全指南》引言。
2、《国家健康医疗大数据标准、安全和服务管理办法(试行)》第六条:“各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。”
3、2018年国务院办公厅发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》(国卫规划发(2018)23号)第四条。
4、根据2016年《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》和2018年《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件精神制定。
5、《信息安全技术 医疗健康数据安全指南》第3.1条及附录A。
6、 《信息安全技术 医疗健康数据安全指南》第3.2条。
7、《人类遗传资源管理条例》第2条。
8、《医疗器械临床试验质量管理规范》第93条。
9、《药物临床试验质量管理规范》第十一条(三十二):“源数据,指临床试验中的原始记录或者核证副本上记载的所有信息,包括临床发现、观测结果以及用于重建和评价临床试验所需要的其他相关活动记录。”
10、《药物临床试验质量管理规范》第十一条(三十一):“源文件,指临床试验中产生的原始记录、文件和数据,如医院病历、医学图像、实验室记录、备忘录、受试者日记或者评估表、发药记录、仪器自动记录的数据、缩微胶片、照相底片、磁介质、X光片、受试者文件,药房、实验室和医技部门保存的临床试验相关的文件和记录,包括核证副本等。源文件包括了源数据,可以以纸质或者电子等形式的载体存在。”
11、《信息安全技术 健康医疗数据安全指南》11.8“医疗器械数据安全”。
12、《人口健康信息管理办法(试行)》第三条。
13、《医疗机构病历管理规定》第二、四条。
