《個人信息保護法》實施下的醫療數據管理和應用探討

吳凌放

(上海市衛生健康委員會，上海 200003)

在信息化時代，數據成為了炙手可熱的資源，個人信息保護也成為了人民群眾最關心最直接最現實的利益問題之一。《個人信息保護法》[1]的出臺實施，及時回應了人民群眾的關切，對規范包括醫療領域在內的各領域各行業的數據收集、開發、利用將產生深遠影響。本文分析《個人信息保護法》正式施行后對醫療數據管理運用的影響，提出對策，為規范醫療數據的管理運用提供參考。

1 《個人信息保護法》規范重點

2021年11月1日正式施行的《個人信息保護法》與《網絡安全法》《數據安全法》等，共同組成了聚焦網絡信息安全保障的核心法律體系。其中，《個人信息保護法》又有以下特點和規范側重點。

1.1 以“保護”為功能定位

《個人信息保護法》把“保護個人信息權益”放在立法宗旨的首位，之后才是“規范信息處理活動”和“促進信息利用”，“規范”和“促進”以“保護”為基本前提。從個體權益保護的角度，該法是權利法。同時，該法不僅是權利法，還是管理法、是行為規范，直接指引“信息處理者”要建立完善制度管理體系，并規定必要的行政監管作為外力威壓以確保制度落地。但“管理”只是手段，“保護”才是目的。理解該法以保護為其功能定位，有助于正確適用該法。

1.2 以“告知同意”為個人信息處理中的基本規則

《個人信息保護法》明確要求處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權撤回同意，個人信息處理的重要事項發生變更的應當重新向個人告知并取得同意；并規定，在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環節應取得個人的單獨同意[2]。該法同時規定了告知同意規則的例外，即個人信息處理中不用取得個人同意的情形，包括為履行法定職責或者法定義務所必需；為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需等。

1.3 強化信息處理者的義務

個人信息處理者是個人信息保護的第一責任人。《個人信息保護法》設專章明確了個人信息處理者的合規管理和保障個人信息安全等義務，要求個人信息處理者制定內部管理制度和操作規程，采取相應的安全技術措施，指定負責人進行監督，定期進行合規審計，對處理敏感個人信息、利用個人信息進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估，履行個人信息泄露通知和補救義務等。在民事責任方面，對個人信息處理者實行“過錯推定”和“舉證倒置”原則，即處理個人信息侵害個人信息權益造成損害的，個人信息處理者如不能證明自己沒有過錯的，就要承擔損害賠償等侵權責任。

1.4 對敏感信息處理提出了更高的要求

《個人信息保護法》將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息等列為敏感個人信息。對敏感信息設置高處理門檻，僅在同時具備“特定目的性”“充分必要性”及“采取嚴格保護措施”的條件下才可以處理，并且應進行單獨告知。

1.5 明確個人信息跨境提供規則

《個人信息保護法》明確了向境外提供個人信息應當具備的條件，規定個人信息處理者必須履行的義務，明確未經主管機關批準不得向外國司法或者執法機構提供存儲于中國境內的個人信息。這為向境外提供個人信息的情況提供了明確的行為規則。

2 個人信息保護視角下醫療數據的特點

在早期，醫療數據大部分以紙質化的病歷等形式存在，隨著信息技術發展，目前醫療數據相當一部分以電子化數據形式存儲，并向醫院信息系統和區域衛生信息化平臺匯集。基于個人信息保護視角，醫療數據有以下特點需予關注。

2.1 源于診療特定目的

伴隨醫療機構診療服務自然產生，同時又為診療服務所必需，凝結著醫生等醫務人員的勞動與智慧，這是醫療數據有別于其他個人信息數據的最大特點。《基本醫療衛生與健康促進法》等法律法規對醫療機構職責有明確規定。醫療機構以救死扶傷、防病治病、提供健康服務為宗旨。同時，按照《醫療事故處理條例》《醫療糾紛預防和處理條例》等法規和病歷管理相關規定，醫療機構書寫和保管病歷是履行法定職責的客觀需要。按照《個人信息保護法》第十三條的規定，就一般信息來說，在“履行法定職責或者法定義務所必需”或者有“法律、行政法規規定的其他情形”時，處理個人信息無需取得個人同意。

2.2 有大量敏感信息

患者診療時登記的個人身份信息和聯系方式、就診時產生的生物識別信息、病歷記錄、健康狀況信息、醫療支付信息等都屬于《個人信息保護法》所例舉的敏感信息。按照該法，必須采取嚴格保護措施，才可以處理敏感信息；并且只要是敏感信息，其處理都必須取得個人的單獨同意。

2.3 數據涉及面廣且增長快速

醫療數據有其自身的特點。一是存量巨大，幾乎每個人都需要看病就醫，隨之都會產生醫療信息。按照《醫療機構病例管理規定》《電子病歷應用管理規范》，門急診病歷，由醫療機構保管的，保存時間不少于15年，住院病歷保存時間不少于30年。二是增長快速，在就診高峰時期，僅一個大型綜合醫院日均門診人數就可達到成千甚至上萬，每年出院人數達十多萬人次。按照《個人信息保護法》，個人信息處理者應保障所處理信息的安全。數據量大導致醫療機構相應保障責任也大。

2.4 有豐富的衍生應用價值

醫療數據的產生源于臨床診療和健康服務。一旦生成，有巨大衍生應用價值。例如：可以用于衛生行政部門的行業管理，分析醫療資源配置與群眾看病就醫需求的匹配程度，評價醫療機構的運行績效；可以用于疾病發展趨勢預測，為公共衛生機構更早地預測傳染病傳播途徑及范圍、開展慢性病社區診斷提供幫助；可以用于新的診療方案、技術、藥械和試劑的研發，為臨床研究提供數據基礎；可以用于人工智能輔助診斷，通過人工智能算法對數據進行機器學習和深度挖掘，協助醫生獲取同類疾病的治療方案；可以用于醫療保險精算和產品開發，以及作為患者商業醫療保險賠付依據等。一旦醫療數據的使用離開為患者診療和提供健康服務的初始目的，用于診療以外的其他用途，除了《個人信息保護法》規定的例外情形以外，都需要征得患者同意。開展醫學科研活動，有可能涉及個人信息的跨境提供，此時還需符合個人信息跨境提供規則。

2.5 數據應用多環節

在挖掘醫療數據的衍生應用價值時，由于醫療數據量大且數據結構多樣化，需要經過清洗、梳理、統計等多個環節，才能使其價值得到凸顯。多環節，使接觸數據的不僅有醫療機構人員，還有外部的研究人員與合作研發人員，增加了數據安全的不確定性，對個人信息保護提出了更高的要求。

3 完善醫療數據管理和利用的思考

醫療數據放著不動，就最不可能出錯，但顯然不能這樣。當前，既要保障數據安全和個人信息權益，同時也要鼓勵數據的利用和共享，助力數字經濟發展，要兩者兼顧，處理好平衡[3]。《個人信息保護法》是信息安全領域的基礎法律，規定是框架性的。在這一框架下，加強醫療數據的管理和利用，有以下幾個方面值得探討。

3.1 進一步明晰醫療數據處理規則

醫療行業是傳統行業、醫療數據有其特點，《個人信息保護法》在醫療領域具體適用的一些操作性規則還需細化。例如：對大量的存量敏感信息，如何進行告知，并獲得同意；是否需要有范本以確保醫療機構清晰易懂、準確完整地向個人告知等。2020年底，有推薦性國家標準《信息安全技術健康醫療數據安全指南》(GB/T 39725-2020)出臺，但該標準缺乏法律效力，其中部分內容與《個人信息保護法》的要求也不匹配；可能需要出臺專門的行政法規或部門規章。

3.2 加強醫療數據應用的頂層設計

《個人信息保護法》要求對個人信息的處理目的、處理方式、信息種類、保存期限、變更內容等充分告知。醫療數據涉及的利害關系人多，一旦要增加信息用途，手續補救起來將十分繁瑣。因此，事先設計好用途非常重要，有了數據應用的頂層設計，就可以通過制定并公開個人信息處理規則的方式進行告知。

3.3 厘清履行法定職責與實施商業行為的邊界

醫療數據處理，有些是為了履行法定職責，例如：醫療機構為診療所需收集、存儲、使用；政府部門為履行職責按照法定權限、程序使用、加工等。有些是出于商業目的，例如：用于商業目的的藥品和試劑研發；用于商業醫療保險的精算和理賠等。在設計醫療數據處理的具體規則時，建議區分以上兩類情況，不予混淆，需分情境予以告知和取得同意。

3.4 加強信息安全技術保障

個人信息保護不僅是一種目標性結果，也是一種合規狀態，需要醫療機構及相關部門、機構持續投入成本、資源以維持合法、合理的個人信息保護水平。要加強信息安全技術保障，采取相應的加密、去標識化等安全技術措施。《個人信息保護法》明確“個人信息”不包括“匿名化處理后的信息”，因此，可以更多地對信息進行匿名化處理。“匿名化”相對于“去標識化”，要求有更強的技術和管理支持。在信息技術方面，醫療機構及相關部門亦可考慮購買第三方技術公司服務。建議對信息處理第三方技術公司建立相關資質準入制度。

3.5 完善信息安全管理制度

保護信息安全，要靠技術，更要靠管理。醫療機構等相關信息處理者要制定內部管理制度和操作規程，對個人信息實行分類管理，合理確定個人信息處理的操作權限，制定并組織實施個人信息安全事件應急預案，定期開展合規審計，對特定情況開展個人信息保護影響評估等。