浅析健康医疗大数据的法律合规问题

健康医疗大数据是我国重要的基础性战略资源。近年来，我国正逐步加快推进健康医疗大数据领域的建设和发展，无论是在宏观层面“健康中国2030”的规划纲要上，还是在微观层面各个市场主体对于健康医疗大数据的融合、研发和应用上，健康医疗大数据产业体系已初具雏形，且其服务新模式、发展新业态也已逐步建立，未来有望成为健康医疗产业的巨大生机。但是，目前对于健康医疗大数据的具体法律法规和操作细则尚不全面细致，虽存在多个政策性文件作为纲领指引，但具体制度的落实和推进仍待各相关主管部门起草和实施。这不可避免地导致市场活力在挖掘和应用健康医疗大数据的过程中“无法可依”，只能是“摸着石头过河”，在一定程度上抑制了市场活力的充分释放。

本文旨在通过对健康医疗大数据的相关法律、法规和政策性文件梳理的基础上，结合目前的实际情况，简要分析健康医疗大数据在实际应用过程中遇到的现实和法律问题，以期为后来者参考。

健康医疗大数据的内涵

国家卫生健康委员会于2018年9月在其官网发布的《国家健康医疗大数据标准、安全和服务管理办法（试行）》（“《服务管理办法》”）中首次明确：“健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。”相较于此前《人口健康信息管理办法（试行）》（国卫规划发〔2014〕24号）中规定的“人口健康信息”[1]的定义已做扩大性解释，几乎已全面涵盖人们进行健康活动所涉及到的数据。

同时，《服务管理办法》进一步明确了健康医疗大数据的监管单位和责任单位，并从标准管理、安全管理、服务管理三个方面对健康医疗大数据进行规范。然而，该《服务管理办法》尚系框架性规定，在实践运用中尚存在操作的模糊地带。

健康医疗大数据的法律问题和合规建议

1、健康医疗大数据的采集

在健康医疗大数据的采集过程中，对于原始个人信息部分，普遍参照《网络安全法》规定，“遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”“不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。”

但对于通过疾病诊疗、健康咨询等形成及由此衍生的健康医疗数据，究竟是属于患者个人还是属于医疗机构或健康咨询机构，目前各界对此尚存在分歧，这就导致对于该部分健康医疗数据的采集和使用存在灰色区域，也可能给后期健康医疗大数据的进一步开发和应用埋下隐患。

鉴于此，在健康医疗大数据的采集过程中，应从严把控采集信息的流程，并全方位取得健康医疗大数据相关单位和个人的有效授权，同时做好数据采集规范管理。

2、健康医疗大数据的储存和保护

对于健康医疗大数据的储存和保护，《服务办法》明确要求“责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件，加强对健康医疗大数据的存储管理。”“责任单位应当按照国家网络安全等级保护制度要求，构建可信的网络安全环境，加强健康医疗大数据相关系统安全保障体系建设，提升关键信息基础设施和重要信息系统的安全防护能力，确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作。”

其实早在2011年，卫生部就曾印发《卫生行业信息安全等级保护工作的指导意见》，要求在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，并规定“国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级：以下重要卫生信息系统安全保护等级原则上不低于第三级：（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；（3）三级甲等医院的核心业务信息系统；（4）卫生部网站系统；（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。”

随后，2017年6月1日生效的《网络安全法》亦引入网络安全等级保护制度，并对“关键信息基础设施”实行重点保护。而在《国家网络安全检查操作指南》的关键信息基础设施业务判定表中，将“医疗行业”的“医院等卫生机构运营、疾病控制、急救中心运行”认定为关键业务。同时在2017年7月10日公布的《关键信息基础设施安全保护条例（征求意见稿）》中，也将卫生医疗领域的单位纳入关键信息基础设施保护范围。

考虑到健康医疗大数据的后期研发和应用着重围绕卫生医疗领域进行展开，故建议相关企事业单位从严落实健康医疗大数据的存储要求和安全等级保护制度，并加以重点保护。

3、健康医疗大数据的应用

对于健康医疗大数据的应用，《网络安全法》第四十二条的规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。” 为此，健康医疗大数据经合法采集并经过脱敏化处理后，无需经过被收集者的同意，可以合法对外应用，这无疑有效减少了健康医疗大数据实践应用的法律障碍，也为健康医疗大数据的深度挖掘和研发应用提供了有效的制度保障。

但是，对于健康医疗大数据的实际研发和应用过程中，跨国公司，尤其是外资企业，仍然受到一定的政策限制。比如《外商投资产业指导目录》（2017年修订）明确禁止外商投资机构对人体干细胞、基因诊断与治疗技术开发和应用，《涉及人的生物医学研究伦理审查办法（试行）》（卫科教发〔2007〕17号）规定境外机构或个人在中国境内进行涉及人的生物医学研究应当向我国伦理委员会申请审核。

因此，在健康医疗大数据的应用过程中，《网络安全法》已经为各市场主体进一步挖掘和研发应用健康医疗大数据留下了商业空间，但各市场主体在实践操作中仍应当恪守各项政策规定，谨慎评估自身业务运营模式，以免触发不必要的法律风险。

4、健康医疗大数据的境外传输

国家卫计委曾于2014年5月5日出台的《人口健康信息管理办法（试行）》中规定，“不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。”而随着实践中跨国公司对于健康医疗大数据领域的行业布局和实际发展需要，《服务办法》参照《网络安全法》的规定对此相应拓宽，明确健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。与此相应的，全国信息安全标准化技术委员会于2017年8月30日发布《信息安全技术数据出境安全评估指南》（征求意见稿），明确将“人口健康”、“食品药品”等领域纳入重要数据领域，并对个人信息和重要数据的出境详细描述了评估方法。此外，对于特定行业和数据的出境存在特殊规定的，仍应遵守该特殊规定，例如涉及人类遗传信息资源向境外传输的，应当进行前置审批。[2]

当然，对于目前健康医疗大数据的出境，虽然《信息安全技术数据出境安全评估指南》（征求意见稿）尚未正式出台，但其详细的出境评估方法亦可作为实践操作的参考和借鉴，故相关企事业单位应尽早对照《信息安全技术数据出境安全评估指南》对单位自身情况进行初步判定，以提前进行准备应对接下来可能的健康医疗大数据出境评估要求。

结语

总而言之，随着我国健康医疗大数据三大集团和五大数据中心的逐步成立和建设，健康医疗大数据在实践中的应用和发展正在逐步扩大和深化。但是，由于相关法律法规体系的滞后与不健全，健康医疗大数据产业的法律体系尚未完全建立，因此，各市场主体在具体运用健康医疗大数据的过程中，应秉着审慎从严、合理利用的原则，以在规范应用健康医疗大数据的同时，有效促进健康医疗行业的可持续发展。

[1] 《人口健康信息管理办法（试行）》第三条规定：“本办法所称人口健康信息，是指依据国家法律法规和工作职责，各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。”

[2] 详见《人类遗传资源管理暂行办法（1998）》、《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南（2015）》等规定，《人类遗传资源管理条例（送审稿）》对此亦做相同规定。

律师简介