电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   数字经济与人工智能业务中心

陈国彧、娄鹤:医疗数据与个人信息保护

发布日期:2020-09-03
陈国彧

北京德和衡(上海)律师事务所

高级联席合伙人


娄  鹤

北京德和衡(上海)律师事务所

高级联席合伙人



近年来,随着医疗行业信息化建设全面铺开,我国医疗服务水平得到有力的推动和长足的发展。与此同时,随着医疗数据泄露事件的频发,人们关注的重点转移到医疗数据的信息安全问题,新冠疫情的爆发更突显示了问题的严峻性和紧迫性。


在这种背景下,医疗行业应如何组织安排自身的数据安全及合规工作?本文从数据保护的全球化入手,通过介绍各国数据保护法规,分别从医疗数据保护的全球化进程、数据保护的处罚与诉讼,及医疗产品的数据合规问题三个角度浅谈医疗行业数据合规与个人信息保护现状,以期为相关机构、企业提供一定的参考。



一、医疗数据保护的全球化进程



医疗数据涉及到生物识别信息等敏感信息,信息泄露所带来的危害较一般个人信息更为严重,其规制和保护长期以来是各国立法关注的核心议题之一。随着近些年医疗数据泄露的频频发生,现有的个人信息保护法律制度遭遇了前所未有的挑战,为应对技术革命所带来的制度冲突,各国开始繁地颁布和修订法律法规,力图将医疗数据纳入监管的范围。以下主要介绍欧盟、美国及我国的医疗数据保护法规立法现状。


(一)欧盟GDPR(一般数据保护条例)


GDPR,全称为“General Data Protection Regulation”。GDPR对医疗数据保护范围、保护力度都是空前的,其巨额的罚款更是给我国医疗企业出海敲响了警钟。作为一部“长臂管辖”的数据保护法,受到其约束的中国企业包括:


(1)在欧盟成员国设有子公司、分公司、代表处和其他商业存在的企业;


(2)虽未在欧盟成员国设立商业存在,但为欧盟的数据主体提供商品或服务企业;


(3)虽未在欧盟设有商业存在,但是可以对欧盟数据主体的活动进行监控的企业。


根据GDPR的定义,个人数据是指已识别到的或可被识别的自然人(又称,“数据主体”)的所有信息。“可被识别的自然人”是指其能够被直接或间接通过识别要素得以识别的自然人。“个人数据”中与医疗行业相关的数据类型主要包括:基因数据、生物识别数据和健康数据,此类数据均被GDPR认定为敏感数据,原则上不得“处理”,除非满足一些特定要求,如:


(1)获得数据主体出于知情、自愿的“明确同意”;


(2)为实现劳动法、社保法等领域内的义务、行使权利之目的所必需的处理;


(3)为重大公共利益所必需的处理;


(4)根据欧盟或成员国的法律或与医疗专业人士的合同,为预防医学或职业医学,为评估雇员的工作能力、医疗诊断,提供卫生或社会保健、治疗、卫生社会保健体系及服务的构建之目的所必需的处理;


(5)在公共健康领域中为公共利益的考量所必需的处理。例如,抵御严重的跨境卫生威胁或确保医疗保健和医药产品或医疗器械高标准的质量和安全;


(6)为公共利益、统计、科学或历史研究的目的所必需的处理。


除此以外,GDPR还允许欧盟各成员国对于敏感信息中基因数据、生物识别数据和健康数据的处理进行更为严格的规定,这就导致医疗数据处理因所在国不同而可能存在不同合规要求,医疗企业需要基于对欧盟各成员国法律特殊规定的了解,对自身企业开展全面的PIA(Privacy Impact Assessment,即隐私影响评估),方能科学、有效的开展数据合规工作。


(二)美国HIPPA法案、HITECH法案


个人数据保护一直都是美国重要的国家安全战略,尤其是医疗数据领域。美国先后通过联邦立法的方式,制定了HIPAA法案和HITECH法案,旨在保护医疗数据的安全和限制相关机构、企业对医疗数据的不当使用。


1.HIPAA法案(健康保险携带和责任法案)


HIPAA,全称为“Health Insurance Portability and Accountability Act”,它是美国健康卫生领域的基础大法。HIPAA适用于所涵盖的实体(Covered Entities,CE),包括医疗健康服务提供方、保险提供方和数据清洗公司,其保护的数据类型包括“可识别的个人健康信息”和“去标识化健康信息”。“可识别的个人健康信息”(PHI)包括基因数据等医疗数据,具体指:个人生理和心理健康状况信息、医疗护理状况信息及医疗护理相关的支付信息,且这些信息能识别到个人。“去标识化健康信息”(去标识化PHI)指经去标识化处理后无法识别到个人的健康数据。HIPPA要求数据使用应当受到用途的限制,并遵循最小必要原则。


需要注意的是,对于去标识化PHI的使用和披露,HIPAA提出了相对宽松的合规要求:(1)受HIPAA规范的实体可以将去标识数据提供给第三方;(2)如去标识化可逆,则应与PHI同等要求保护;(3)去标识数据须要具有统计学与科学背景并知道如何去标识化的专业认定并出具书面意见;(4)去标识要去除18项身份识别信息,包括:姓名、银行账户、URL等。这对于医疗行业机构、企业的数据安全管理及技术能力提出了一定的要求。


2.美国HITECH法案(经济和临床健康信息技术法案)


HITECH,全称为“Health Information Technology for Economic and Clinical Health”。HITECH 是对 HIPAA的扩展,扩大了HIPAA遵从性规定下的隐私和安全保护的范围,增加了对违规行为的潜在法律责任,提高了对违反 HIPAA 的惩罚力度。HITECH同时规定,除CE外,HIPAA可扩展适用于BA (Business Associates),即通过CE获得患者PHI的第三方机构,并要求BA与CE受相同的法律准则。


(三)中国的个人数据保护


近些年来,我国高度重视个人数据的保护,加快和完善立法进程,形成以《网络安全法》为核心,辅以各法律法规的共治新局面,并将医疗数据也纳入法律保护的范畴。目前相关的法律法规及重要国家标准主要包括:《信息安全技术 个人信息安全规范》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《个人信息出境安全评估办法(征求意见稿)》、《数据出境安全评估指南(草案)》、《数据管理办法(征求意见稿)》、《数据安全法(草案)》等。而随着未来《民法典》的实施以及《个人信息保护法》、《数据安全法》的出台,个人数据保护制度的完整性和监管的严格性必将达到一个新的高度。


我国对于个人数据的定义主要体现在《网络安全法》和推荐性国家标准《个人信息安全规范》中,《网络安全法》对个人数据的定义不仅包括姓名、身份证、电话号码等常见的个人信息,还包括个人生物识别信息,而《个人信息安全规范》更是将个人生物识别信息、健康生理信息列入“个人敏感信息”范畴,并对其提出了更高标准的合规要求。


根据中央网信办下发的《关键信息基础设施确定指南(试行)》,医疗数据的处理机构可能被归为“关键信息基础设施”,故其进行的个人信息收集与处理可能面临更高的要求,如《网络安全法》即要求关键信息基础设施的运营者原则上应当将在我国收集的个人信息在境内存储。


2020年7月3日,《数据安全法》(草案)面世。《数据安全法》要求重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任,强化数据运营者的安全意识,并要求重要数据的处理者应当按照规定对其数据活动定期开展风险评估,向有关主管部门报送风险评估报告。如参考尚未实施的国家标准《信息安全技术 数据出境安全评估指南(征求意见稿)》中对“重要数据”的定义,则医疗行业机构、企业所掌握的个人电子病历、健康档案、生命登记信息、遗传信息等均可能被归为“重要数据”的范畴。



二、数据保护的处罚与诉讼



(一)欧盟GDPR


医疗数据泄露一向是数据安全事件的“重灾区”。GDPR因医疗数据泄露问题曾处罚多家医疗机构,例如:2018年10月,位于葡萄牙的the Centro Hospitalar Barreiro Montijo (CHBM)因向超过600名非其雇佣的医生提供患者数据访问权限,而被GDPR罚款40万欧元;2019年6月,位于荷兰的Haga Hospital多名内部工作人员跨部门,非必要性的查询一名明星的患者信息,被GDPR处罚46万欧元;2019年12月,位于英国的Doorstep Dispensaree Ltd. (Pharmacy)将患者纸质数据保存于未加锁的箱子中,并放置于无人看管的地方,被GDPR处罚32万欧元。除此之外,还有包括德国、瑞典、丹麦、挪威等多家医疗机构、保险公司因泄露患者信息或保密等级不足而受到GDPR的处罚。


(二)美国HIPAA


根据HIPAA官网披露[1],至2020年6月底,OCR共收到237337起HIPAA的控告,已解决234062起,其中,共判处75起民事罚款案件,罚款总额为116,303,582.00美元。被控告的高频不合规事项如下:未经允许使用和披露受保护的健康信息、缺乏对受保护健康信息的保障、患者无法获得受保护的健康信息、缺乏电子保护健康信息的管理保障、使用或披露超过必要的最低限度的受保护健康信息。被指控的常见机构依次为:综合医院;私人诊所和医生;门诊设施;药房;健康计划发起者。


(三)中国公司的海外涉诉


在美上市的中概股公司,因信息泄露等原因被屡次卷入海外诉讼之中。


据媒体披露,2018年8月,华住集团旗下公司汉庭、全季、宜必思等酒店的住客信息被黑客窃取,合计近5亿条住客信息在暗网中售卖,信息中包括了住客的姓名、邮箱、电话号码等个人信息。虽然公安机关提前介入并阻止了信息的进一步泄露,华住集团也在第一时间进行危机公关处理,但是华住集团的市值仍然在短短的10天内下跌约26%,损失近27亿美元。


而在当今部分国家奉行单边主义、反全球化的国际形势下,数据合规问题极易成为相关国家的制裁借口,用以阻碍中国公司在海外的正当业务开展。如近期美、印政府以相关产品存在信息安全问题,危害国家安全为由对大疆、华为等中国企业,及抖音、微信等App进行封杀,这无不提示中国企业应尽快转变出海思路,重视数据合规问题。



三、医疗产品的数据合规问题



下文中,我们将探讨两种新型医疗产品的数据合规问题,从而为相关机构、企业的合规工作提供一些借鉴:


(一)互联网医疗(远程诊疗)


远程医疗是指通过计算机技术、遥感、遥测、遥控技术为依托,充分发挥大医院或专科医疗中心的医疗技术和医疗设备优势,对医疗条件较差的边远地区、海岛或舰船上的伤病员进行远距离诊断、治疗和咨询。其应用领域包括:1、媒体:媒体采集、存储、压缩、图像处理、用户界面;2、通信:网络接口、网络协议、视频传输、音频传输、静态图像、病历档案、骨干网络;3、医疗领域。


互联网医疗有其天然的优势,能够打破地域限制和信息模糊化。依托互联网的联动性,一个区域内的医院资源可以有效整合,三甲医院与二甲医院、社区医院、村医院组成一个医疗联合体,简单的感冒发烧可以不再挤往三甲医院。药房的远程会诊,是对医院患者分流行之有效的方法,让患者在药店就解决用药所需,免去医院繁琐的流程。还有专家会诊、远程医疗器械操作、医疗培训等优势。


互联网的优势显而易见,伴随的合规压力也不容小觑。医疗联合体的医疗数据互通是推定患者同意为前提的,如何确保患者同意医疗数据小范围传阅,以防对便利的追求反而成为风险的触发器,以及如何确保相关医护人员对医疗数据的保密义务,成为了合规的重点问题。


(二)医疗穿戴设备


可穿戴医疗设备是指可以直接穿戴在身上的便携式医疗或健康电子设备,在软件支持下感知、记录、分析、调控、干预甚至治疗疾病或维护健康状态。其应用领域主要包括:健康监测(计步、生命体征检测、血糖监测、能量消耗及睡眠监测等功能)、疾病治疗(穿戴式体外自动除颤仪,可用于高危心脏病患者,在危急时自动除颤)以及远程康复等。


“智能穿戴”与“移动医疗”理念下的智能硬件采集到用户的运动及健康数据上传到云端采集和统计分析,云端项目包括智能体重秤、血压计、手环等产品,数据都会实时同步到服务端,为用户建立个人及家庭健康档案,实时掌握家庭成员的健康趋势。


以单道心电记录仪为例,其数据处理流程包含:数据采集(移动式记录仪采用贴片式可穿戴设计,在患者佩戴时采集心电信号)、数据传输(通过心电终端实时传输心电信号全数据到云平台,保证医生可以远程实时进行心脏监护)、数据存储(将收集的心电信号数据进行存储,并支持心电图的回放)、数据可视化展示(心电信号经过处理形成心电图,通过服务器前端软件实现可视化展示)以及心电数据共享等。


可穿戴智能医疗设备供应商是各国数据保护法的责任主体,从事数据处理可能存在以下风险:非法采集数据、违法使用数据、违反数据传输规定(境内与跨境)、违反数据管理义务、违法数据存储安全义务的风险以及数据泄露的责任等。


GDPR背景下,“智能穿戴”与“移动医疗”的技术支持单位、数据存储单位及硬件提供商,往往不局限于本国范围内,在多个主体共同参与下,数据收集、传输和处理的过程将放大跨境合规风险,这都给医疗行业出海企业提出了更大的挑战。


注释:

[1]https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/enforcement-highlights/index.html,最后访问于2020/8/25。



或许您还想看

【律师视点】娄鹤:等保2.0之云租户合规注意事项

【律师视点】娄鹤、于赓琦:《个人金融信息保护技术规范》解读一 | 合规体系梳理

【律师视点】娄鹤、于赓琦:《个人金融信息保护技术规范》解读二 | 个人金融信息分级制度

【律师视点】娄鹤 | 微盟删库事件追踪:“云上损失”如何索赔?

【律师视点】娄鹤:解析“撞库”案件中的电子证据

【律师视点】陈国彧、姚雨飞:美国《加州消费者隐私保护法案》(CCPA)已生效 ——最严数据保护法案要易主了吗?

【律师视点】陈国彧、姚雨飞:危机管理 | 企业在疫情中确保业务持续性的简要法律指引

【律师视点】陈国彧:雅诗兰黛惊爆客户信息泄露疑云 ——零售行业成为个人信息保护的下一个高危目标

【律师视点】陈国彧:从微盟员工“删库跑路”看SaaS企业的数据安全治理

【律师视点】陈国彧:危机管理 | 疫情下的员工关系管理

【律师视点】陈国彧:工作场所的员工隐私受保护吗?——雇员工作场所隐私保护法律和实践

【律师视点】陈国彧、姚雨飞 | 营销线上化:消费者隐私的泄露风险分析与防范

【律师视点】娄鹤、陈国彧 | 营销线上化:企业经销商体系变革的法律问题

【律师视点】娄鹤、陈国彧:《民法典》隐私权与疫情期间个人健康数据保护



作者简介

陈国彧

北京德和衡(上海)律师事务所高级联席合伙人、国际隐私保护协会专家会员、上海律协法律合规业务研究委员会委员。执业领域:数据隐私保护、跨境投资、公司合规、危机管理。

陈国彧律师分别于2005年及1999年在上海华东政法学院和北京中国人民大学获得法学学位及历史学学位。陈律师于2019年加入北京德和衡(上海)律师事务所,此前服务于上海市海华永泰律师事务所及北京市大成律师事务所。她在公司治理及合规、数字资产合规管理及商业应用、中国企业境外投资、企业员工关系管理方面拥有丰富的实务经验。服务的客户行业领域包括:高科技企业、公共交通、房地产、私募基金、证券类基金、重型制造、健康生活、新能源等。


手机:13795200212

邮箱:chenguoyu@deheng.com

娄  鹤

北京德和衡(上海)律师事务所高级联席合伙人、CISO(注册信息安全管理人员)。执业领域:网络安全及数据合规、网络犯罪及争议解决、企业境内外融资。

娄鹤律师是上海市科技创业导师,上海漕河泾开发区科技创业中心创业导师,曾任上海市律师协会证券和期货业务委员会委员、上海市律师协会互联网业务委员会委员。


手机:13816316298

邮箱:louhe@deheng.com


质控人简介

辛小天

集团合伙人

互联网与TMT业务中心总监

xinxiaotian@deheng.com


本文仅代表作者观点,如需转载、节选,请在后台留言

数字经济与人工智能业务中心

  • 辛小天

    中心总监

    网络安全,电商合规业务,一带一路投资并购与争议解决专业委员

    更多 》

  • 娄鹤

    执行总监

    金融科技合规应用,境内IPO及再融资,公司争议解决

    更多 》

  • 周杨

    副总监

    网络安全,电商合规业务,金融科技合规应用

    更多 》

  • 刘刚华

    副总监

    复杂商事争议,银行专业委委员会,专利

    更多 》

  • 史蕾

    中心秘书长

    电商合规业务,网络安全,企业合规

    更多 》

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

鲁公网安备 37020202000804号     山东德衡律师事务所ICP备案号:鲁ICP备05011736号    网站统计