2020年12月14日,国标委发布GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》(“《指南》”),该《指南》将于2021年7月1日正式实施。《指南》由信安标委提出并归口,健康医疗数据生命周期内可能涉及的各主体都参与起草。其中,包括北京协和医院、上海市儿童医院等各城市三甲医院,东软集团、零氪科技等第三方数据服务商,各保险公司、大学以及与网络安全保护相关的中国信息安全测评中心等。此前,国标委曾于2018年12月发布征求意见稿《信息安全技术 健康医疗信息安全指南》。作为推荐性国标,《指南》并不具有强制法律效力。各企业在合规过程中,可将《指南》作为参考,同时需结合《网络安全法》《个人信息安全规范》《国家健康医疗大数据标准、安全和服务管理办法(试行)》及《人口健康信息管理办法(试行)》等法规及标准以保证全面性。
本文试从《指南》概览、分级分类建议及应用场景建议等方面,对《指南》进行简要分析。
一、《指南》概览
正如引言中指出,随着健康医疗数据的应用、“互联网+医疗健康”和智慧医疗的发展,健康医疗数据从存储到应用的各个阶段都在发生新的变化,遭遇新的问题和挑战。目前对健康医疗数据的监管已经无法适应时代的要求。此次《指南》的发布,也是为了解决健康医疗数据的融合共享和开放应用,让数据在为个人及国家利益服务的同时,也保证个人信息的安全和国家公共利益的需要。
《指南》全文共11个部分,详细规定了医疗数据的分类体系、使用披露原则、安全措施、安全管理指南、安全技术指南等。《指南》的第11部分对8个代表性场景的数据安全进行分析,包括在数据应用中最常出现问题的临床研究数据、健康数据、移动应用数据及医疗器械数据等,具有很强的实操性。
《指南》的适用对象为健康医疗数据控制者,即“能够决定健康医疗数据处理的目的、方式及范围等的组织或个人”。如果两方或多方可以共同决定数据使用处理的目、方式及范围,则为共同控制者。除了控制者外,第6.3条还规定了处理者和使用者。常见的处理者包括:健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。
《指南》将“个人健康医疗数据”定义为“单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据”。 并且在附录A给出一共11个举例。其中包括:向个人提供医疗服务过程中采集的有关个人的既往病史、社会史、家族史等病历记载,可穿戴设备采集的与个人健康相关的数据,关于个人的支付或医保数据等。在《指南》出台以前,关于健康医疗类数据的定义散见于各文件中,下表总结了相关定义:
二、个人健康医疗数据的分类和分级
《指南》第6部分结合数据本身的性质及其所反映的内容,将健康医疗数据分为6个类别,并且在每个类别下给出了具体范围,对于医疗机构细化数据提供了参考。《指南》提出的具体类别与范围如下图:
同时,《指南》还与现有的数据分级要求相呼应,根据数据的重要程度、风险级别以及对数据主体可能造成的损害和影响的级别分为5个级别。相关级别的举例及使用范围总结如下:
此外,《指南》第8.1条及8.3 条还根据不同的数据特点及适用场合提出了安全措施建议。健康医疗数据控制者及处理者也可以针对自身的处理使用场景进行参考,达到更好的合规效果。
三、针对健康医疗数据的使用原则
3.1 推荐性标准
本文开头提出过,《指南》作为推荐性标准,在针对控制者提出授权、披露、使用原则的规定中,《指南》使用的表述均为“宜”。比如,“宜告知并获得主体的授权”“宜使用通俗易懂的语言”“超出范围使用或披露的,宜在此征得主体同意”。而相比之下,《个人信息安全规范》《人口健康信息管理办法(试行)》等中,都是使用“应”进行表述,语气较为强烈。由此可见,《指南》虽可以为医疗数据的合规提供参考思路,但仍无法作为企业及执法部门依照遵循的坚实法律依据。
3.2 获得授权的例外情形
在授权同意方面,《指南》针对医疗数据给出了使用或披露时,可以不获得主体授权的例外情形。其中包括“向主体提供其本人健康医疗数据”“治疗、支付或保健护理时”“涉及公共利益或法律法规要求时”及“受限制数据集用于科学研究、医学/健康教育、公共卫生目的时”。各控制者仍然需要谨慎地适用例外情形,并且需要注意结合相关法规及标准中更严格的要求。
3.3 引入第三方服务商的情形
根据目前实际情况中,许多医疗机构会聘请第三方服务商提供数据相关服务的情况,《指南》针对医疗机构作为控制者需要与使用者、处理者共同处理数据的情况给出了参考意见。举例来说,作为控制者宜确认所聘用的处理者的安全能力是否满足要求,并且需要与处理者签署数据处理协议。《指南》在附录中提供了可供参考的数据处理使用协议模板。另外,未经控制者许可,处理者不能再引入其他第三方协助处理数据。
除了引入服务商的情形,另一较为常见的情形是控制者向政府授权的第三方控制者提供数据。此种情形下,《指南》建议原控制者审核加盖政府公章的相关文件以增加保险系数。并且,原控制者按要求提供数据后,相关数据的安全责任将由第三方控制者承担。
3.4 非商业目的使用的情形
《指南》建议,如果出于科学研究、医疗保健业务、公共卫生等目的,控制者可将特定受限制数据集用于上述目的。控制者需要先确认数据使用的合法性、正当性和必要性,并确认使用者具备相应数据安全能力,能够确保数据在后续使用及保存中的相关安全要求。同样地,控制者需要与使用者签订数据使用协议,对于数据保护作出承诺。
3.5 去标识化建议
《指南》除了建议按照《个人信息安全规范》开展去标识化工作外,还针对应用于临床研究和医药医疗研发的数据提出了更详细的去标识化要求。例如,如果是可以唯一识别到个人的数据,如病历号等,需要从数据中心去除。而可以关联到个人的信息,则宜进行泛化、转换等处理。《指南》还针对具体的姓名、联系方式、日期等项目提出了去标识化方法建议。
四、针对代表性场景的数据安全指导
《指南》的一大亮点,是针对8个具有代表性的场景的数据安全进行了建议。详细给出了重点安全措施、数据分级、数据采集、数据传输、存储、使用等跨越数据生命全周期的建议。8个场景所涉及的具体情况概括如下:
1)医生在提供健康医疗服务过程中调阅相应患者数据的场景;
2)患者通过在线方式查询本人健康医疗数据的场景;
3)学术性医学中心、研究机构等进行临床研究的场景;
4)第三方政府部们或企业等,出于非营利性目的申请对健康医疗数据进行二次利用,也就是和收集时目的并不相同的利用的场景;
5)通过健康触感器采集与被采集者健康状况相关的数据,应用于医疗服务和健康生活的场景;
6)通过网络为个人提供在线健康医疗服务或数据服务的移动应用程序的场景;
7)商业保险公司经购买商业保险的主体授权,与医疗机构建立连接的场景;
8)医疗器械厂商对器械进行远程维护,读取数据,维护日志和报告的情形。
以第6类“通过网络为个人提供在线健康医疗服务或数据服务的移动应用程序”的场景为例,《指南》对于此类应用发布者提供了建议。比如,在数据采集时,需要明示信息并征得用户同意。在访问控制时,需要对访问权限进行一系列的限制。在数据存储时,需要定期备份应用程序数据,并且如果使用可移动介质存储数据和个人身份标识信息,则宜对存储在介质上的数据进行加密。
五、结语
近年来,医疗行业发展迅速,与数据相关的各种服务也是层出不穷。其中涉及的数据具有敏感度高,流通频繁等特点。在需求与挑战共存的当下,无论是数据的控制者,还是数据的处理者和使用者,都应该针对自身的实际情况,结合已经出台的法规及标准进行参考,将数据安全合规贯彻得更彻底。