編者按:本係列文章聚焦健康醫療數據合規管理��,文中如無特別說明��,合規主體應指健康醫療數據處理過程中所涉相關責任或義務主體。
suizheshuzihuashidaidaolai��,shujushentoudaorenleishehuidegegefangmian���,qiyibeirenweishichuangzaojiazhidehexinzichan���,shizhongyaodeyizhongzhanlveziyuan。shujuzaidailaijiazhidetongshiyedailailedaliangdeanquanfengxianyutiaozhan。“滴滴”事件[1]以來����,數據安全管理被監管部門提到前所未有的高度。醫療健康行業為國家強監管行業�����,健康醫療數據事關患者生命安全���、個人信息安全��、社會公共利益和國家安全。在當前我國網絡安全與個人信息保護等領域法製體係已初步建立����、數據合規執法日趨嚴格的大環境下��,醫療健康行業的數據安全及數據合規管理已成為相關主體麵臨的重要挑戰。
作為深耕大健康領域的法律服務團隊�,筆者擬通過專題定期更新����,與大家共同交流���、探討健康醫療數據合規相關話題。本文作為健康醫療數據合規係列文章的第一篇��,先從數據合規相關概念入手。
一�、明確合規主體
“醫療健康行業”並沒有明確的定義以及劃分����,參考《“健康中國2030”規劃綱要》及《健康產業統計分類(2019)》(國家統計局令第27號)的規定�,健康產業是指以醫療衛生和生物技術����、生命科學為基礎�����,以維護��、改善和促進人民群眾健康為目的����,為社會公眾提供與健康直接或密切相關的產品(貨物和服務)的生產活動集合[2]。
結合所涉產業的商業模式���,筆者對健康醫療數據所涉行業及主體做如下梳理和分類(此分類係筆者從法律實操角度進行的梳理���,行業類別間可能存在交叉重疊):
(1)不同合規主體獲取及處理的數據存在不同��,比如:醫療服務機構掌握的數據主要為患者就診數據����,病曆資料等����;保險服務機構則以客戶數據及理賠數據為主���;健康服務機構擁有客戶健康谘詢和健康管理數據�;醫學研究機構掌握研究數據�、臨床試驗數據����;醫藥及醫療器械企業留有交易數據����、使用數據���;而er政zheng府fu機ji構gou掌zhang握wo著zhe監jian管guan數shu據ju及ji統tong計ji數shu據ju等deng。筆bi者zhe認ren為wei���,上shang表biao所suo列lie主zhu體ti在zai日ri常chang經jing營ying活huo動dong中zhong����,均jun可ke能neng在zai不bu同tong程cheng度du涉she及ji健jian康kang醫yi療liao數shu據ju合he規gui問wen題ti��,但dan不bu同tong主zhu體ti麵mian臨lin的de數shu據ju及ji合he規gui義yi務wu存cun在zai一yi定ding差cha別bie。具ju體ti而er言yan:
(2)不同合規主體麵臨的業務場景及合規重點環節存在差異���,比如:醫療服務機構直接獲得患者信息����,數據采集�����、存儲等環節為其合規重點環節�����;醫學研究機構更多注意數據發布和共享環節的合規�;某些醫療器械收集的健康傳感數據則重點在於個人隱私�����、數據采集等場景或環節的數據保護。而保險服務機構可能需要注意與醫療服務機構間進行數據傳輸時的合規要求。
(3)不同合規主體處理的數據類別或等級的不同����,由此產生的數據合規義務也存在差異。全國信息安全標準化技術委員會秘書處於2021年12月31日發布了《網絡安全標準實踐指南-網絡數據分類分級指引》(TC260-PG-20212A)�����,將數據分為一般數據[3]�、重要數據[4]以及核心數據[5]三個級別�����,不同級別數據對應不同的保護要求��,對於越是重要的數據�,合規主體所承擔的合規義務越是繁重。
二����、厘清“數據”概念
如上所述�����,合規主體因其業務不同��、處理的數據不同�����,由此產生的數據合規義務亦有不同。因此����,識別“數據”是義務主體履行數據合規義務的第一步。
1.健康醫療數據的定義及分類
(1)健康醫療數據的定義
我國現行法規尚無關於健康醫療數據的明確定義。2020年12月14日國家標準委及國家質量監督檢驗檢疫總局發布《信息安全技術 健康醫療數據安全指南(GB/T 39725-2020)》(下稱“《指南》”)並於2021年7月1日正式實施。《指南》由健康醫療數據生命周期內可能涉及的各主體參與起草��,其中包括北京協和醫院�、上海市兒童醫院等各城市三甲醫院�,東軟集團�、零氪科技等第三方數據服務商�,各保險公司��、大學以及與網絡安全保護相關的中國信息安全測評中心等。《指南》雖不具有強製性法律效力�,但其為健康醫療數據控製者[6]保護相關數據采取安全措施提供了實操性參考依據。
根據《指南》以及《國家健康醫療大數據標準�、安全和服務管理辦法(試行)》(下稱“《管理辦法》”)相關規定����,個人健康醫療數據����、健康醫療數據以及健康醫療大數據的定義如下:
由(you)上(shang)可(ke)見(jian)�����,健(jian)康(kang)醫(yi)療(liao)數(shu)據(ju)包(bao)含(han)並(bing)來(lai)源(yuan)於(yu)對(dui)個(ge)人(ren)健(jian)康(kang)醫(yi)療(liao)數(shu)據(ju)的(de)加(jia)工(gong)�����,其(qi)外(wai)延(yan)大(da)於(yu)個(ge)人(ren)健(jian)康(kang)醫(yi)療(liao)數(shu)據(ju)��,而(er)健(jian)康(kang)醫(yi)療(liao)大(da)數(shu)據(ju)則(ze)通(tong)過(guo)對(dui)健(jian)康(kang)醫(yi)療(liao)數(shu)據(ju)進(jin)行(xing)整(zheng)理(li)��、彙總����,成為擁有大數據特征的健康醫療數據集。依據《管理辦法》���,健康醫療大數據的外延最為廣闊����,涵納了疾病防治�����、健康管理等過程中產生的與健康醫療相關的全部數據。其內涵關係如下:
(2)健康醫療數據的類別與範圍
依據《指南》����,健康醫療數據分為如下類別:
2.幾組相關�����、易混淆概念辨析
結合筆者的實操體會�����,以下就與數據有關����,但又易混淆的幾組概念逐一進行對比�����、分析:
(1) 個人信息��、個人數據與數據
就法律名稱使用的概念而言�,當前世界各國和地區對“個人信息”的稱謂主要有四種��,分別為“個人數據”“個人資料”“個人信息”和“隱私”。歐盟成員國多使用個人數據。美國�、加拿大則使用隱私。日本����、韓國���、俄羅斯等國使用個人信息。中國港澳台地區均使用“個人資料”。
參考歐盟 《一般數據保護條例》(GDPR)��,其將“個人數據”(personal data)界定為“與已識別或可識別的自然人相關的任何信息(information)”。德國 《聯邦數據保護法》把“個人數據”界定為“所有與已識別或可識別的自然人有關的信息”。在美國法中����,廣泛使用“個人可識別信息”和“大隱私權”概念��,這兩個概念與“個人數據”概念可以被互換使用��,由此����,個人信息及數據都被納入隱私保護法的調整範圍[7]。
2017年施行的《網絡安全法》首次對個人信息作出了法律上的定義�,此後《民法典》中個人信息定義的出台�,確定了我國使用“個人信息”這一法律概念。我國關於個人信息以及數據的相關法律定義具體如下:
另依據《數據安全法》規定���,對在履行職責中知悉的個人隱私�、個人信息����、商業秘密��、保bao密mi商shang務wu信xin息xi等deng數shu據ju應ying當dang依yi法fa予yu以yi保bao密mi��,不bu得de泄xie露lu或huo者zhe非fei法fa向xiang他ta人ren提ti供gong。由you此ci可ke見jian��,在zai法fa律lv定ding義yi上shang��,個ge人ren信xin息xi作zuo為wei記ji錄lu的de特te定ding類lei別bie信xin息xi�����,其qi屬shu於yu數shu據ju範fan疇chou之zhi內nei。此ci外wai��,由you於yu我wo國guo沒mei有you對dui個ge人ren數shu據ju的de法fa律lv定ding義yi���,在zai法fa學xue理li論lun上shang存cun在zai不bu同tong觀guan點dian。有you觀guan點dian認ren為wei����,在zai法fa學xue規gui範fan意yi義yi上shang個ge人ren信xin息xi與yu個ge人ren數shu據ju的de含han義yi基ji本ben相xiang同tong[8]��,或者說���,在個人層麵��,數據可以等同於信息�����,個人信息即個人數據[9]。亦(yi)有(you)觀(guan)點(dian)認(ren)為(wei)個(ge)人(ren)信(xin)息(xi)與(yu)個(ge)人(ren)數(shu)據(ju)概(gai)念(nian)的(de)混(hun)用(yong)在(zai)單(dan)純(chun)的(de)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)語(yu)境(jing)中(zhong)可(ke)能(neng)不(bu)會(hui)引(yin)起(qi)理(li)解(jie)上(shang)的(de)偏(pian)差(cha)�����,但(dan)在(zai)個(ge)人(ren)信(xin)息(xi)被(bei)廣(guang)泛(fan)商(shang)業(ye)利(li)用(yong)的(de)大(da)數(shu)據(ju)時(shi)代(dai)�����,兩(liang)者(zhe)混(hun)用(yong)將(jiang)直(zhi)接(jie)導(dao)致(zhi)數(shu)據(ju)權(quan)益(yi)與(yu)信(xin)息(xi)權(quan)益(yi)的(de)關(guan)係(xi)混(hun)亂(luan)[10]。
(2)隱私��、私密信息以及敏感個人信息
這一組概念的相關法律定義具體如下:
2. 幾組相關���、易混淆概念辨析
結合筆者的實操體會��,以下就與數據有關�����,但又易混淆的幾組概念逐一進行對比�、分析:
(1)個人信息����、個人數據與數據
就法律名稱使用的概念而言�,當前世界各國和地區對“個人信息”的稱謂主要有四種�,分別為“個人數據”“個人資料”“個人信息”和“隱私”。歐盟成員國多使用個人數據。美國�、加拿大則使用隱私。日本�����、韓國�、俄羅斯等國使用個人信息。中國港澳台地區均使用“個人資料”。
參考歐盟 《一般數據保護條例》(GDPR)�,其將“個人數據”(personal data)界定為“與已識別或可識別的自然人相關的任何信息(information)”。德國 《聯邦數據保護法》把“個人數據”界定為“所有與已識別或可識別的自然人有關的信息”。在美國法中�����,廣泛使用“個人可識別信息”和“大隱私權”概念�,這兩個概念與“個人數據”概念可以被互換使用���,由此��,個人信息及數據都被納入隱私保護法的調整範圍[7]。
2017年施行的《網絡安全法》首次對個人信息作出了法律上的定義�����,此後《民法典》中個人信息定義的出台��,確定了我國使用“個人信息”這一法律概念。我國關於個人信息以及數據的相關法律定義具體如下:
另依據《數據安全法》規定��,對在履行職責中知悉的個人隱私����、個人信息�、商業秘密�、保bao密mi商shang務wu信xin息xi等deng數shu據ju應ying當dang依yi法fa予yu以yi保bao密mi���,不bu得de泄xie露lu或huo者zhe非fei法fa向xiang他ta人ren提ti供gong。由you此ci可ke見jian�,在zai法fa律lv定ding義yi上shang���,個ge人ren信xin息xi作zuo為wei記ji錄lu的de特te定ding類lei別bie信xin息xi�,其qi屬shu於yu數shu據ju範fan疇chou之zhi內nei。此ci外wai��,由you於yu我wo國guo沒mei有you對dui個ge人ren數shu據ju的de法fa律lv定ding義yi�����,在zai法fa學xue理li論lun上shang存cun在zai不bu同tong觀guan點dian。有you觀guan點dian認ren為wei����,在zai法fa學xue規gui範fan意yi義yi上shang個ge人ren信xin息xi與yu個ge人ren數shu據ju的de含han義yi基ji本ben相xiang同tong[8]�����,或者說����,在個人層麵���,數據可以等同於信息����,個人信息即個人數據[9]。亦(yi)有(you)觀(guan)點(dian)認(ren)為(wei)個(ge)人(ren)信(xin)息(xi)與(yu)個(ge)人(ren)數(shu)據(ju)概(gai)念(nian)的(de)混(hun)用(yong)在(zai)單(dan)純(chun)的(de)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)語(yu)境(jing)中(zhong)可(ke)能(neng)不(bu)會(hui)引(yin)起(qi)理(li)解(jie)上(shang)的(de)偏(pian)差(cha)��,但(dan)在(zai)個(ge)人(ren)信(xin)息(xi)被(bei)廣(guang)泛(fan)商(shang)業(ye)利(li)用(yong)的(de)大(da)數(shu)據(ju)時(shi)代(dai)����,兩(liang)者(zhe)混(hun)用(yong)將(jiang)直(zhi)接(jie)導(dao)致(zhi)數(shu)據(ju)權(quan)益(yi)與(yu)信(xin)息(xi)權(quan)益(yi)的(de)關(guan)係(xi)混(hun)亂(luan)[10]。
(2)隱私���、私密信息以及敏感個人信息
這一組概念的相關法律定義具體如下:
由上可見����,隱私中部分內容屬於個人信息範疇�,兩者之間存在交叉重合關係����;《民法典》對私密信息並未做具體詳盡的規定和定義�,依據《民法典》及《個保法》相關規定���,筆者理解�,私密信息兼具隱私和個人信息的雙重特征�����,隱私與個人信息的交叉點為私密信息,私密信息優先適用的是隱私權保護規則�,而除私密信息之外的其他個人信息則適用個人信息保護規則。
因《民法典》與《個保法》立法目的與處理機製的不同���,對個人信息的分類存在不同。《民法典》將個人信息分為私密信息和非私密信息����,《個保法》zuoweizhuanmenduigerenxinxijinxingbaohudefalv���,qijianggerenxinxifenweimingangerenxinxihefeimingangerenxinxilianglei。bizhelijie�����,mingangerenxinxiyusimixinxizhijianbingbushijingweifenmingdeguanxi����,ershicunzaijiaocha。eryinsi�、私(si)密(mi)信(xin)息(xi)以(yi)及(ji)敏(min)感(gan)個(ge)人(ren)信(xin)息(xi)與(yu)個(ge)人(ren)健(jian)康(kang)醫(yi)療(liao)數(shu)據(ju)均(jun)可(ke)能(neng)存(cun)在(zai)交(jiao)集(ji)。由(you)上(shang)可(ke)見(jian)��,隱(yin)私(si)中(zhong)部(bu)分(fen)內(nei)容(rong)屬(shu)於(yu)個(ge)人(ren)信(xin)息(xi)範(fan)疇(chou)�,兩(liang)者(zhe)之(zhi)間(jian)存(cun)在(zai)交(jiao)叉(cha)重(zhong)合(he)關(guan)係(xi)��;《民法典》對私密信息並未做具體詳盡的規定和定義��,依據《民法典》及《個保法》相關規定�����,筆者理解���,私密信息兼具隱私和個人信息的雙重特征��,隱私與個人信息的交叉點為私密信息,私密信息優先適用的是隱私權保護規則��,而除私密信息之外的其他個人信息則適用個人信息保護規則。
(3)個人信息與個人健康醫療數據
依(yi)據(ju)上(shang)述(shu)對(dui)相(xiang)關(guan)概(gai)念(nian)的(de)定(ding)義(yi)�,個(ge)人(ren)健(jian)康(kang)醫(yi)療(liao)數(shu)據(ju)屬(shu)於(yu)個(ge)人(ren)信(xin)息(xi)的(de)範(fan)疇(chou)��,雖(sui)然(ran)個(ge)人(ren)健(jian)康(kang)醫(yi)療(liao)數(shu)據(ju)的(de)保(bao)護(hu)在(zai)現(xian)階(jie)段(duan)尚(shang)未(wei)單(dan)獨(du)進(jin)行(xing)立(li)法(fa)保(bao)護(hu)�,但(dan)其(qi)作(zuo)為(wei)一(yi)種(zhong)特(te)殊(shu)的(de)個(ge)人(ren)信(xin)息(xi)����,通(tong)常(chang)涉(she)及(ji)高(gao)度(du)隱(yin)私(si)且(qie)敏(min)感(gan)信(xin)息(xi)�����,存(cun)在(zai)屬(shu)於(yu)敏(min)感(gan)個(ge)人(ren)信(xin)息(xi)的(de)可(ke)能(neng)。因(yin)此(ci)���,個(ge)人(ren)健(jian)康(kang)醫(yi)療(liao)數(shu)據(ju)其(qi)應(ying)當(dang)在(zai)遵(zun)守(shou)《個保法》要求下�����,參考《指南》進行合規管理。
2.其他相關定義
我國現行法規還對病例�、人口健康信息��、臨床數據�����、yiliaoqixiexiangguanshujuyijirenleiyichuanziyuanxinxidengshuyujiankangyiliaoshujufanchouneidexinxiheshujujinxingledingyi�����,bizheduicijinxingleshulihehuizong����,xiangguandingyijichuchuxiangjianfujian�����,gongdajialejie。
健康醫療數據涉及的細分種類的多樣性�、交jiao叉cha性xing��,將jiang會hui導dao致zhi合he規gui主zhu體ti麵mian臨lin多duo重zhong數shu據ju合he規gui義yi務wu��,這zhe為wei合he規gui主zhu體ti的de數shu據ju合he規gui工gong作zuo帶dai來lai難nan度du和he挑tiao戰zhan。明ming晰xi數shu據ju概gai念nian��,其qi意yi義yi在zai於yu了le解jie並bing明ming確que“健康醫療數據”合規可能涉及或落入的合規監管義務��,從而全麵�����、有效識別數據合規義務或合規風險點�,進而針對合規風險製定有效應對措施。
附件:
注釋:
[1] 2021年6月30日���,滴滴公司在美國低調IPO。7月2日���,國家網絡安全審查辦發布對“滴滴出行”啟動網絡安全審查的公告��,並告知為防範風險擴大��,審查期間“滴滴出行”停止新用戶注冊。7月4日��,國家網信辦發布通報稱�,“滴滴出行”App存在嚴重違法違規收集使用個人信息問題�,通知應用商店下架“滴滴出行”App。“滴滴出行”成為觸發網絡安全審查程序首家企業。
[2] 依據《健康產業統計分類(2019)》�,健康產業的第一層級包括:醫療衛生服務����;健康事務�、健康環境管理與科研技術服務��;健康人才教育與健康知識普及���;健康促進服務��;健康保障與金融服務����;智慧健康技術服務���;藥品及其他健康產品流通服務���;其他與健康相關服務��;醫藥製造��;醫療儀器設備及器械製造�����;健康用品���、器材與智能設備製造��;醫療衛生機構設施建設���;中藥材種植�����、養殖和采集共13類。
[3] 一旦遭到篡改����、破壞���、泄露或者非法獲取�����、非法利用�����,可能對個人���、組織合法權益造成危害����,但不會危害國家安全���、公共利益的數據。
[4] 一旦遭到篡改���、破壞�����、泄露或者非法獲取�、非法利用�,可能危害國家安全����、公共利益的數據。
[5] 即國家核心數據���,是指關係國家安全�、國民經濟命脈���、重要民生�����、重大公共利益等的數據。
[6] 能夠決定健康醫療數據處理的目的�����、方式及範圍等的組織或個人
[7] 參見高誌宏:《隱私����、個人信息����、數據三元分治的法理邏輯與優化路徑》��,載《法製與社會發展(雙月刊)》2022年第2期(總第164期)����,第209頁。
[8] 參見張革新:《個人信息與個人隱私的界分及其法律意義》�����,載《蘭州財經大學學報》2022年第1期����,總38卷�����,第115頁。
[9] 參見高誌宏:《隱私����、個人信息���、數據三元分治的法理邏輯與優化路徑》����,載《法製與社會發展(雙月刊)》2022年第2期(總第164期)�,第216頁。
[10] 參見韓旭至:《信息權利範疇的模糊性使用及其後果——基於對信息�����、數據混用的分析》�����,載《華東政法大學學報》2020年第1期�,第91頁。
