与一般个人隐私信息相比，医疗数据一旦泄露，所造成的负面影响也更严重。对医疗机构而言，不仅会遭受重大经济损失、有关人员甚至有可能被追究法律责任。

　　本文由周泰律所高洁律师对医疗机构数据合规中涉及个人医疗健康信息保护的内容做全面的梳理和分析。

　　本文将分为上下两篇：上篇为针对医疗机构个人医疗健康信息收集、存储的合规指引，下篇为则将着重探讨涉及医疗机构对个人医疗健康信息的加工使用、传输、公开的合规要求。

　　在信息化、智能化的时代，数据合规专门围绕着数据这一特殊的非货币性资产展开，构成了合规的一个全新维度。个人隐私信息保护是数据合规的核心内容之一，个人医疗健康信息作为敏感个人隐私信息更是保护对象的重中之重。

　　医疗机构的数据合规，亦主要是通过医疗机构内部的制度建设来实现对潜在法律风险的识别、筛查、评估和控制，以系统地降低法律风险，厘清法律责任。

　　海量的医疗数据中包含着大量的个人医疗健康信息。医疗机构（包括医疗美容机构、养老机构内设医疗机构）是医疗数据汇集、形成的中心，也是医疗数据的主要控制者。它的数据操作模式，从信息的收集、存储，到使用、传输，都直接影响着对个人医疗健康信息的保护。

　　近年来互联网医疗企业的蓬勃发展，更凸显出医疗机构的数据合规建设、个人医疗健康信息保护的重要性。

　　其来源范围广，参照《信息安全技术健康医疗数据安全指南》（GB/T 39725-2020，以下简称《安全指南》）的分类，医疗数据包括个人属性数据、健康情况数据、医疗应用数据、医疗支付数据、卫生资源数据及公共卫生数据等。

　　其中医疗支付数据涉及到医疗保险、商业保险的交易和支付；卫生资源数据与公共卫生数据主要是基于个人健康医疗数据加工处理之后得到的健康医疗相关电子数据，反映了医疗机构的运营情况且公共卫生数据多数直接由卫生行政主任部门掌握，故该部分不纳入本文的讨论范畴。

　　合规义务是合规风险的根源，也是衡量公司制作制度、行为是否达标的尺子。合规义务包括法定合规要求和合规承诺两部分¹，既包括法律和法规、法院判决或行政决定等，也包括与社会团体或非政府组织签订的协议、自愿原则或规程、相关组织和产业的标准。

　　在以《网络安全法》《数据安全法》《个人隐私信息保护法》为基础框架的数据合规体系中，医疗数据中的部分个人属性数据、健康情况数据、医疗应用数据纳入了个人敏感信息的范围。

　　收集个人隐私信息应当限于实现处理目的的最小范围且不得过度收集个人隐私信息，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下方可处理敏感个人信息。

　　除一般性的数据立法外，医疗领域还有特殊的与数据相关的规定，如《人类遗传资源管理条例》《人口健康信息管理办法（试行）》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《医药行业合规管理规范》《信息安全技术 个人信息安全规范》《安全指南》等。以下我们整理了医疗机构对个人医疗及健康信息保护的合规重点：

　　医疗数据存储是数据控制者、处理者、使用者在其业务的各个阶段都不可或缺的基本操作。而数据收集则主要发生在数据生命周期的最前端，是信息和数据形成的初始点，也是协调各方权利义务的第一个关键节点。有些特殊场景下的收集、存储的医疗数据尤其需要引起重视。

　　[2] 根据《国家健康医疗大数据标准、安全和服务管理办法（试行）》的规定

　　下篇预告：在下篇中，我们将从医疗机构对个人医疗健康信息的加工使用、传输、公开角度进行合规指引，为医疗机构提供合规建议参考。

　　中国政法大学中欧法学院双硕士，拥有医学学士学位。曾在马德里自治大学学习，拥有中国律师执业证书。执业方向为生物医疗与健康养老、投资并购、招标投标与政府采购以及一般公司事务等。曾任职于北京德恒律师事务所，担任多家企业和事业单位及政府法律顾问，在担任生物医疗与健康养老领域企业法律顾问期间，全程参与其公司的设立、项目的设计、股权架构的搭建；负责合同的起草审核修改，出具律师函、法律意见书等文书，为其进行劳动法业务法律知识培训，提供日常法律咨询。