编者按:本系列文章聚焦健康医疗数据合规管理,文中如无特别说明,合规主体应指健康医疗数据处理过程中所涉相关责任或义务主体。
随着数字化时代到来,数据渗透到人类社会的各个方面,其已被认为是创造价值的核心资产,是重要的一种战略资源。数据在带来价值的同时也带来了大量的安全风险与挑战。“滴滴”事件[1]以来,数据安全管理被监管部门提到前所未有的高度。医疗健康行业为国家强监管行业,健康医疗数据事关患者生命安全、个人信息安全、社会公共利益和国家安全。在当前我国网络安全与个人信息保护等领域法制体系已初步建立、数据合规执法日趋严格的大环境下,医疗健康行业的数据安全及数据合规管理已成为相关主体面临的重要挑战。
作为深耕大健康领域的法律服务团队,笔者拟通过专题定期更新,与大家共同交流、探讨健康医疗数据合规相关话题。本文作为健康医疗数据合规系列文章的第一篇,先从数据合规相关概念入手。
一、明确合规主体
“医疗健康行业”并没有明确的定义以及划分,参考《“健康中国2030”规划纲要》及《健康产业统计分类(2019)》(国家统计局令第27号)的规定,健康产业是指以医疗卫生和生物技术、生命科学为基础,以维护、改善和促进人民群众健康为目的,为社会公众提供与健康直接或密切相关的产品(货物和服务)的生产活动集合[2]。
结合所涉产业的商业模式,笔者对健康医疗数据所涉行业及主体做如下梳理和分类(此分类系笔者从法律实操角度进行的梳理,行业类别间可能存在交叉重叠):
(1)不同合规主体获取及处理的数据存在不同,比如:医疗服务机构掌握的数据主要为患者就诊数据,病历资料等;保险服务机构则以客户数据及理赔数据为主;健康服务机构拥有客户健康咨询和健康管理数据;医学研究机构掌握研究数据、临床试验数据;医药及医疗器械企业留有交易数据、使用数据;而政府机构掌握着监管数据及统计数据等。笔者认为,上表所列主体在日常经营活动中,均可能在不同程度涉及健康医疗数据合规问题,但不同主体面临的数据及合规义务存在一定差别。具体而言:
(2)不同合规主体面临的业务场景及合规重点环节存在差异,比如:医疗服务机构直接获得患者信息,数据采集、存储等环节为其合规重点环节;医学研究机构更多注意数据发布和共享环节的合规;某些医疗器械收集的健康传感数据则重点在于个人隐私、数据采集等场景或环节的数据保护。而保险服务机构可能需要注意与医疗服务机构间进行数据传输时的合规要求。
(3)不同合规主体处理的数据类别或等级的不同,由此产生的数据合规义务也存在差异。全国信息安全标准化技术委员会秘书处于2021年12月31日发布了《网络安全标准实践指南-网络数据分类分级指引》(TC260-PG-20212A),将数据分为一般数据[3]、重要数据[4]以及核心数据[5]三个级别,不同级别数据对应不同的保护要求,对于越是重要的数据,合规主体所承担的合规义务越是繁重。
二、厘清“数据”概念
如上所述,合规主体因其业务不同、处理的数据不同,由此产生的数据合规义务亦有不同。因此,识别“数据”是义务主体履行数据合规义务的第一步。
1.健康医疗数据的定义及分类
(1)健康医疗数据的定义
我国现行法规尚无关于健康医疗数据的明确定义。2020年12月14日国家标准委及国家质量监督检验检疫总局发布《信息安全技术 健康医疗数据安全指南(GB/T 39725-2020)》(下称“《指南》”)并于2021年7月1日正式实施。《指南》由健康医疗数据生命周期内可能涉及的各主体参与起草,其中包括北京协和医院、上海市儿童医院等各城市三甲医院,东软集团、零氪科技等第三方数据服务商,各保险公司、大学以及与网络安全保护相关的中国信息安全测评中心等。《指南》虽不具有强制性法律效力,但其为健康医疗数据控制者[6]保护相关数据采取安全措施提供了实操性参考依据。
根据《指南》以及《国家健康医疗大数据标准、安全和服务管理办法(试行)》(下称“《管理办法》”)相关规定,个人健康医疗数据、健康医疗数据以及健康医疗大数据的定义如下:
由上可见,健康医疗数据包含并来源于对个人健康医疗数据的加工,其外延大于个人健康医疗数据,而健康医疗大数据则通过对健康医疗数据进行整理、汇总,成为拥有大数据特征的健康医疗数据集。依据《管理办法》,健康医疗大数据的外延最为广阔,涵纳了疾病防治、健康管理等过程中产生的与健康医疗相关的全部数据。其内涵关系如下:
(2)健康医疗数据的类别与范围
依据《指南》,健康医疗数据分为如下类别:
2.几组相关、易混淆概念辨析
结合笔者的实操体会,以下就与数据有关,但又易混淆的几组概念逐一进行对比、分析:
(1) 个人信息、个人数据与数据
就法律名称使用的概念而言,当前世界各国和地区对“个人信息”的称谓主要有四种,分别为“个人数据”“个人资料”“个人信息”和“隐私”。欧盟成员国多使用个人数据。美国、加拿大则使用隐私。日本、韩国、俄罗斯等国使用个人信息。中国港澳台地区均使用“个人资料”。
参考欧盟 《一般数据保护条例》(GDPR),其将“个人数据”(personal data)界定为“与已识别或可识别的自然人相关的任何信息(information)”。德国 《联邦数据保护法》把“个人数据”界定为“所有与已识别或可识别的自然人有关的信息”。在美国法中,广泛使用“个人可识别信息”和“大隐私权”概念,这两个概念与“个人数据”概念可以被互换使用,由此,个人信息及数据都被纳入隐私保护法的调整范围[7]。
2017年施行的《网络安全法》首次对个人信息作出了法律上的定义,此后《民法典》中个人信息定义的出台,确定了我国使用“个人信息”这一法律概念。我国关于个人信息以及数据的相关法律定义具体如下:
另依据《数据安全法》规定,对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。由此可见,在法律定义上,个人信息作为记录的特定类别信息,其属于数据范畴之内。此外,由于我国没有对个人数据的法律定义,在法学理论上存在不同观点。有观点认为,在法学规范意义上个人信息与个人数据的含义基本相同[8],或者说,在个人层面,数据可以等同于信息,个人信息即个人数据[9]。亦有观点认为个人信息与个人数据概念的混用在单纯的个人信息保护语境中可能不会引起理解上的偏差,但在个人信息被广泛商业利用的大数据时代,两者混用将直接导致数据权益与信息权益的关系混乱[10]。
(2)隐私、私密信息以及敏感个人信息
这一组概念的相关法律定义具体如下:
2. 几组相关、易混淆概念辨析
结合笔者的实操体会,以下就与数据有关,但又易混淆的几组概念逐一进行对比、分析:
(1)个人信息、个人数据与数据
就法律名称使用的概念而言,当前世界各国和地区对“个人信息”的称谓主要有四种,分别为“个人数据”“个人资料”“个人信息”和“隐私”。欧盟成员国多使用个人数据。美国、加拿大则使用隐私。日本、韩国、俄罗斯等国使用个人信息。中国港澳台地区均使用“个人资料”。
参考欧盟 《一般数据保护条例》(GDPR),其将“个人数据”(personal data)界定为“与已识别或可识别的自然人相关的任何信息(information)”。德国 《联邦数据保护法》把“个人数据”界定为“所有与已识别或可识别的自然人有关的信息”。在美国法中,广泛使用“个人可识别信息”和“大隐私权”概念,这两个概念与“个人数据”概念可以被互换使用,由此,个人信息及数据都被纳入隐私保护法的调整范围[7]。
2017年施行的《网络安全法》首次对个人信息作出了法律上的定义,此后《民法典》中个人信息定义的出台,确定了我国使用“个人信息”这一法律概念。我国关于个人信息以及数据的相关法律定义具体如下:
另依据《数据安全法》规定,对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。由此可见,在法律定义上,个人信息作为记录的特定类别信息,其属于数据范畴之内。此外,由于我国没有对个人数据的法律定义,在法学理论上存在不同观点。有观点认为,在法学规范意义上个人信息与个人数据的含义基本相同[8],或者说,在个人层面,数据可以等同于信息,个人信息即个人数据[9]。亦有观点认为个人信息与个人数据概念的混用在单纯的个人信息保护语境中可能不会引起理解上的偏差,但在个人信息被广泛商业利用的大数据时代,两者混用将直接导致数据权益与信息权益的关系混乱[10]。
(2)隐私、私密信息以及敏感个人信息
这一组概念的相关法律定义具体如下:
由上可见,隐私中部分内容属于个人信息范畴,两者之间存在交叉重合关系;《民法典》对私密信息并未做具体详尽的规定和定义,依据《民法典》及《个保法》相关规定,笔者理解,私密信息兼具隐私和个人信息的双重特征,隐私与个人信息的交叉点为私密信息,私密信息优先适用的是隐私权保护规则,而除私密信息之外的其他个人信息则适用个人信息保护规则。
因《民法典》与《个保法》立法目的与处理机制的不同,对个人信息的分类存在不同。《民法典》将个人信息分为私密信息和非私密信息,《个保法》作为专门对个人信息进行保护的法律,其将个人信息分为敏感个人信息和非敏感个人信息两类。笔者理解,敏感个人信息与私密信息之间并不是泾渭分明的关系,而是存在交叉。而隐私、私密信息以及敏感个人信息与个人健康医疗数据均可能存在交集。由上可见,隐私中部分内容属于个人信息范畴,两者之间存在交叉重合关系;《民法典》对私密信息并未做具体详尽的规定和定义,依据《民法典》及《个保法》相关规定,笔者理解,私密信息兼具隐私和个人信息的双重特征,隐私与个人信息的交叉点为私密信息,私密信息优先适用的是隐私权保护规则,而除私密信息之外的其他个人信息则适用个人信息保护规则。
(3)个人信息与个人健康医疗数据
依据上述对相关概念的定义,个人健康医疗数据属于个人信息的范畴,虽然个人健康医疗数据的保护在现阶段尚未单独进行立法保护,但其作为一种特殊的个人信息,通常涉及高度隐私且敏感信息,存在属于敏感个人信息的可能。因此,个人健康医疗数据其应当在遵守《个保法》要求下,参考《指南》进行合规管理。
2.其他相关定义
我国现行法规还对病例、人口健康信息、临床数据、医疗器械相关数据以及人类遗传资源信息等属于健康医疗数据范畴内的信息和数据进行了定义,笔者对此进行了梳理和汇总,相关定义及出处详见附件,供大家了解。
健康医疗数据涉及的细分种类的多样性、交叉性,将会导致合规主体面临多重数据合规义务,这为合规主体的数据合规工作带来难度和挑战。明晰数据概念,其意义在于了解并明确“健康医疗数据”合规可能涉及或落入的合规监管义务,从而全面、有效识别数据合规义务或合规风险点,进而针对合规风险制定有效应对措施。
附件:
注释:
[1] 2021年6月30日,滴滴公司在美国低调IPO。7月2日,国家网络安全审查办发布对“滴滴出行”启动网络安全审查的公告,并告知为防范风险扩大,审查期间“滴滴出行”停止新用户注册。7月4日,国家网信办发布通报称,“滴滴出行”App存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”App。“滴滴出行”成为触发网络安全审查程序首家企业。
[2] 依据《健康产业统计分类(2019)》,健康产业的第一层级包括:医疗卫生服务;健康事务、健康环境管理与科研技术服务;健康人才教育与健康知识普及;健康促进服务;健康保障与金融服务;智慧健康技术服务;药品及其他健康产品流通服务;其他与健康相关服务;医药制造;医疗仪器设备及器械制造;健康用品、器材与智能设备制造;医疗卫生机构设施建设;中药材种植、养殖和采集共13类。
[3] 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人、组织合法权益造成危害,但不会危害国家安全、公共利益的数据。
[4] 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
[5] 即国家核心数据,是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。
[6] 能够决定健康医疗数据处理的目的、方式及范围等的组织或个人
[7] 参见高志宏:《隐私、个人信息、数据三元分治的法理逻辑与优化路径》,载《法制与社会发展(双月刊)》2022年第2期(总第164期),第209页。
[8] 参见张革新:《个人信息与个人隐私的界分及其法律意义》,载《兰州财经大学学报》2022年第1期,总38卷,第115页。
[9] 参见高志宏:《隐私、个人信息、数据三元分治的法理逻辑与优化路径》,载《法制与社会发展(双月刊)》2022年第2期(总第164期),第216页。
[10] 参见韩旭至:《信息权利范畴的模糊性使用及其后果——基于对信息、数据混用的分析》,载《华东政法大学学报》2020年第1期,第91页。
