医疗数据合规观察②：医疗大数据资本版图渐扩张：三类头部参与者各有赛道偏好医疗数据合规观察①：跨医院数据壁垒仍存，开放与安全之间矛盾凸显

　　编者按：医疗大数据产业作为国家最早布局和推动数据要素市场的行业，正进入快速的提升时期。与此同时，去年以来，《个人隐私信息保护法》《数据安全法》等数据立法框架搭建并落地执行，给医疗健康行业的数据处理带来了压力。

　　21世纪经济报道长期关注数据合规议题，伴随着法律和法规实施，我们大家都希望能从垂直领域了解行业动态，故推出“守护医疗数据安全”系列报道，详解宏观政策、产业高质量发展，探讨不同场景、细分行业的合规难点，以期提升整个行业的数据合规水位线。

　　随着电子病历、互联网医疗、AI医疗影像等应用的普及，医疗数字化浪潮袭来。

　　然而，患者就医的个人隐私信息安全管理却面临着前所未有的巨大挑战。多个方面数据显示，医疗保健行业在2020年已确认的数据泄露事件同比增加了58％。

　　与此同时，随着《数据安全法》、《个人隐私信息保护法》的实施，个人医疗健康数据保护法律体系逐渐搭建，国内医疗健康行业面临更高的合规要求。

　　受访专家这样认为，医疗数据与生命健康息息相关，具备复杂性及高度敏感性，强监管属性。未来，医疗数据使用应注意在维护个人隐私的基础上，充分的利用社会资源，促进数据价值的有效转化。

　　病人隐私被侵犯、患者信息遭泄露、医疗数据被贩卖……医疗健康信息侵害事件屡屡发生，让个人医疗健康信息保护成为了行业数据合规的关注重点。

　　在2021年11月1日正式实施的《个人隐私信息保护法》中，对个人隐私信息的收集、使用、传输等所有的环节提出明确的合规要求。

　　北京世辉律师事务所合伙人卢璟告诉21世纪经济报道记者，《个人隐私信息保护法》将“医疗健康”信息视为敏感信息，医疗行业中的大量患者相关信息均会因其“医疗健康”的属性落入敏感个人隐私信息的范畴。

　　“医疗健康行业中有非常多的应用场景会涉及个人敏感信息。”中伦律师事务所合伙人蔡鹏介绍，在医院诊疗活动中，从挂号问诊到病例保存，无不涉及个人敏感数据。而从医疗企业角度来看，在进行新医疗器械或药品研发时的临床试验或者临床验证中，会使用到大量的个人敏感信息。此外，此类信息在医疗医药企业的市场活动中也有一定的可能涉及。

　　《个人信息保护法》对个人信息处理提出了一系列合规要求。医疗机构及企业在处理健康医疗数据时，应当取得合法性基础之上，遵守处理的根本原则，更加谨慎地对待个人敏感数据，以解决医疗数据所具有的复杂性和高度敏感性特征。

　　与此同时，由于医疗行业涉及大量敏感个人信息处理等情形，医疗机构及企业正面临较高的合规义务和成本。据了解，已有企业为此制定了上千万块钱的预算。

　　在杭州数钮科技CEO钱远之看来，《个人隐私信息保护法》对企业在各个层面均提出了严格要求，处罚依据明确。例如，对违背法律规定的行为情节严重的“责没收违法来得到的，并处五千万元以下或者上一年度营业额百分之五以下罚款”。

　　中伦律师事务所律师陈方强认为，对医疗机构和企业而言《个保法》的实施会提升其合规成本。但从遵守法规和增进社会福祉的角度，这种合规投入是必要且有利于行业健康发展的。

　　目前，我国的医疗行业尚处于发展阶段，不论是医疗机构改善其医疗水平，还是药品、医疗器械企业研发创新产品，都需要投入大量的资金。卢璟表示，如何平衡数据合规成本与创新研发的资金需求，值得思考。

　　医疗健康数据处理涉及政府、医院、企业、个人等多个主体。目前，医疗数据主要产生并存储于医疗机构及政府平台之中。但大多数情况下，医院或者政府不具备单独处理、研究分析医疗数据的能力与精力。实践中，部分机构往往会与第三方展开合作。

　　蔡鹏介绍，当前医疗机构与第三方企业围绕医疗健康数据合作的常见模式包括但不限于科研合作、在制产品试用、委托临床验证、多种方式诊断（如 AI 诊断）、信息核验、技术开发、市场活动等。

　　“科研合作的数据流向一般是从医院到企业，由公司可以提供研发技术力量、设备资源，由医院提供病患数据及临床经验。”蔡鹏说。

　　陈方强指出，医疗机构一方面需要遵守卫健委对医疗机构规范诊疗和病历监管的要求，仅在特定目的下对有关数据进行开发和利用，另一方面也要根据个人信息保护法和数据安全法对敏感个人信息、重要数据以及健康医疗数据来进行识别，采取相应的安全措施和技术化手段，确保该等数据涉及的患者隐私不受侵犯，相关重要数据不应发生泄露。

　　从企业方面来看，各类上下游尤其是和互联网结合的互联网大健康商业模式中，医疗数据共享的安全值得关注。

　　国家卫健委统计数据显示，截至2021年6月，我国互联网医院数量已超1600家，仅2021年上半年就新增约500家。在疫情的倒逼之下，互联网医疗发展迅速，相关企业的数据合规建设、个人医疗健康信息保护的重要性凸显。

　　据了解，互联网医疗可能涉及包括主诉、患者病史、患者影像数据（CT、MR、PET-CT等）和健康体检数据在内的多种个人健康数据。

　　值得注意的是，由于互联网医疗平台建设一般需多方合作，数据可能会存在多个传输节点。

　　而包含患者医疗信息的数据应用场景将由原来的医疗机构调阅及管理部门监测向互联互通、远程医疗、移动应用等领域延伸，这也扩大了个人医疗数据隐私信息的分布场景及泄露渠道。

　　北京中医药大学法律系教授邓勇教授提到，在互联网医疗场景之享个人健康数据时应当确保数据提供者提供的个人健康医疗数据已获得数据主体明确同意。对于共享的个人健康数据，还应当要求数据提供者说明数据来源，并对来源合规合法性进行确认。

　　卢璟认为，互联网医疗平台涉及的个人健康数据其实与传统医疗机构基本是相同的。不同的是，互联网医疗平台的系统与网络相连，并且很可能会对接其他网络系统（如医药电商平台等）。这对互联网医疗平台的网络系统提出更高的安全要求。

　　近年来，在国家政策与医院实际需求的推动下，大数据、人工智能等技术在医疗领域的应用探索成为市场关注重点，AI+医疗场景步入快速发展期。

　　目前，AI技术在医疗行业中有着广泛的应用前景，例如具有影像辅助分诊功能的 AI 技术能够应用于新冠肺炎的检测，而AI 辅助诊断技术可以应用于特定诊疗(骨折、靶向等)项目。

　　邓勇介绍，对个人用户而言，目前AI医疗主要应用于智能问诊和健康管理两项服务。对医院来说，AI目前主要应用在医院管理、医学研究和医疗影像等方面，其中医疗AI影像产业发展最为突出。

　　蔡鹏认为，作为深度学习算法的 AI 技术，其区别于传统算法的一个重要特质就是“吃数据”。即通过接触不同维度的、大量的数据来训练及优化算法。由于AI算法需要吸收大量数据，各方在使用AI技术处理数据前，信息匿名化这一环节则显得更为重要。

　　“尽管《个人隐私信息保护法》定义了‘匿名化’的概念，但是并未明确具体标准。”卢璟期待，《个人隐私信息保护法》的配套实施细则可以制定一个合理、有效的“匿名化”标准（如相对的匿名化标准），从而有利于相关各方有效利用数据的最大价值。

　　事实上，如何在发挥数据最大价值之下合规使用数据，已成为医疗健康行业整体所需思考的问题。受访专家普遍认为，医疗健康领域数据监管不能“因噎废食”。

　　蔡鹏建议，出台对政务数据、医院数据的利用规则，在维护个人隐私的基础上，做到对社会资源的充分利用，促进数据价值的有效转化。

　　此外，多位专家在接受采访时都呼吁，尽快完善围绕着《网络安全法》、《个保法》、《数据安全法》等法律的配套实施细则。

　　“应就重要数据及健康医疗数据的识别，在现行法律框架基础上制定具有强制性和可操作性的规范和指南.”陈方强提出，执法机关应当对发展现状中存在有关乱象进行预警并采取必要的监管措施。

　　浙江数字医疗卫生技术研究院战略咨询与研究中心提到，不同场景的数据开放所导致的隐私安全问题不同，因此建立适应于多场景下的隐私安全管理制度与技术保障体系至关重要。可借鉴国外用例管理思路，形成具体场景的数据安全管理指南，为行业落实数据安全和隐私保护提供最佳实践指导。

　　对于企业及医疗机构而言，蔡鹏提到其应树立合规意识，强化安全管理，落实分类分级制度，积极运用国内外认可的安全技术措施，强化对患者隐私及个人隐私信息的保护，避免医患纠纷。同时，“强化社会整体的数据保护以及隐私安全意识，将能有效避免数据主体轻易将个人隐私信息泄露的风险。”