醫(yī)生給患者看病
如何依法合規(guī)采集患者個人信息��?
什么是醫(yī)療數(shù)據(jù)�?
遇到公檢法等機(jī)構(gòu)調(diào)用可以給嗎?
作為醫(yī)療衛(wèi)生機(jī)構(gòu)��、衛(wèi)健行政部門
醫(yī)療數(shù)據(jù)保護(hù)可以怎么做�?
……
(以下內(nèi)容為陳睿律師授課的主要觀點(diǎn),僅供參考)
1����、什么是醫(yī)療數(shù)據(jù)?
各法律法規(guī)對醫(yī)療數(shù)據(jù)的定義和分類
醫(yī)療數(shù)據(jù)的范圍
△《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》
2018年9月����,國家衛(wèi)生健康委員會出臺《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)����、安全和服務(wù)管理辦法(試行)》���,首次對健康醫(yī)療大數(shù)據(jù)的適用范圍����、標(biāo)準(zhǔn)管理���、安全管理和服務(wù)管理等方面進(jìn)行了規(guī)制�。
○根據(jù)《個人信息保護(hù)法》一般規(guī)定:采集個人信息必須“取得個人同意”���。
○個人對信息處理六大權(quán)利:知情權(quán)和決定權(quán)��、查閱和復(fù)制權(quán)�、更正補(bǔ)充權(quán)����、請求刪除權(quán)、規(guī)則知曉權(quán)�、信息代決定權(quán)。
醫(yī)療數(shù)據(jù)面臨的風(fēng)險:
在線醫(yī)療數(shù)據(jù):因漏洞攻擊、病毒感染等��,導(dǎo)致的非法訪問�����、竊取篡改和惡意上傳等風(fēng)險�。
醫(yī)聯(lián)體訪問數(shù)據(jù):可能導(dǎo)致醫(yī)患隱私等重要信息面臨泄露風(fēng)險�。
臨床科研數(shù)據(jù):分散管理,傳輸方式原始����,易泄露且影響力大。
醫(yī)保數(shù)據(jù):與第三方機(jī)構(gòu)對接�,在系統(tǒng)對接、數(shù)據(jù)傳輸�、數(shù)據(jù)使用、數(shù)據(jù)存儲�����、數(shù)據(jù)銷毀等環(huán)節(jié)面臨安全風(fēng)險�。
醫(yī)療設(shè)備維保數(shù)據(jù):數(shù)據(jù)面臨非授權(quán)訪問、不安全鏈接���、隱私數(shù)據(jù)泄露�、維護(hù)記錄保存不當(dāng)?shù)劝踩L(fēng)險。
健康大數(shù)據(jù)中心數(shù)據(jù):分類分級機(jī)制缺失導(dǎo)致將非法登錄�����、越權(quán)訪問�、異常調(diào)閱、冒名查詢�、批量竊取、明文泄露等數(shù)據(jù)安全隱患�。
可穿戴健康設(shè)備數(shù)據(jù):可穿戴設(shè)備數(shù)據(jù)在采集、存儲���、使用階段均存在著不同程度的安全隱患����。
醫(yī)療健康A(chǔ)PP數(shù)據(jù):移動應(yīng)用涉及眾多在線健康醫(yī)療服務(wù)�����、存在泄露個人健康狀況數(shù)據(jù)�����、支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生信息的隱患�。
3、醫(yī)療數(shù)據(jù)合規(guī)要點(diǎn)主要有哪些�?
個人醫(yī)療數(shù)據(jù)
包含個人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)�����、醫(yī)療應(yīng)用數(shù)據(jù)�����、醫(yī)療支付數(shù)據(jù)�、衛(wèi)生資源數(shù)據(jù)和公共衛(wèi)生信息等類別�����,基本覆蓋醫(yī)療機(jī)構(gòu)日常處理的所有數(shù)據(jù)類型�。
換言之,醫(yī)療機(jī)構(gòu)日常處理的數(shù)據(jù)基本構(gòu)成“個人健康醫(yī)療數(shù)據(jù)”����,因此,醫(yī)療機(jī)構(gòu)需要特別重視該類別的合規(guī)���。
醫(yī)療大數(shù)據(jù)
一般指醫(yī)療機(jī)構(gòu)在開展日常診斷服務(wù)及患者管理過程中產(chǎn)生的健康醫(yī)療數(shù)據(jù)��。對比“個人醫(yī)療數(shù)據(jù)”�����,“醫(yī)療大數(shù)據(jù)”的數(shù)據(jù)規(guī)模更大�����,合規(guī)要求也更側(cè)重于國家戰(zhàn)略��、群眾生命及個人信息等涉及數(shù)據(jù)安全性的管理����。
人口健康信息
早期更適用于傳統(tǒng)線下醫(yī)療衛(wèi)計(jì)服務(wù)機(jī)構(gòu),但隨著近些年互聯(lián)網(wǎng)醫(yī)院及遠(yuǎn)程醫(yī)療服務(wù)的發(fā)展��,“人口健康信息”也逐步覆蓋線上情景���。
病歷資料
作為醫(yī)生診療或健康咨詢活動的數(shù)據(jù)載體��,系醫(yī)療行業(yè)中十分常見的數(shù)據(jù)類型�,主要由《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》和《病歷書寫基本規(guī)范》所規(guī)制����。同時��,隨著醫(yī)療行業(yè)信息化建設(shè)的不斷發(fā)展��,針對電子病歷的管理要求也在進(jìn)一步細(xì)化���。
處方數(shù)據(jù)
我國現(xiàn)行法律法規(guī)文件針對互聯(lián)網(wǎng)醫(yī)療機(jī)構(gòu)開具處方的行為作了明確限制,同時針對處方數(shù)據(jù)本身也單獨(dú)提出了相應(yīng)要求���。
藥械醫(yī)療數(shù)據(jù)
醫(yī)療機(jī)構(gòu)在診療過程中使用藥物或醫(yī)療器械,除了診療數(shù)據(jù)外還會生成使用數(shù)據(jù)���,對這類數(shù)據(jù)的管理同樣需要醫(yī)療機(jī)構(gòu)適時掌握����,避免數(shù)據(jù)管理盲區(qū)���。
人類遺傳資源和臨床試驗(yàn)數(shù)據(jù)
人類遺傳資源屬于較為特殊的一類健康醫(yī)療數(shù)據(jù)����,我國對人類遺傳資源的采集����、保藏��、利用���、對外提供等行為一直采取的是嚴(yán)格管控措施,在此基礎(chǔ)上�,《生物安全法》、《人類遺傳資源管理辦法》及其實(shí)施條例(征求意見稿)的出臺更進(jìn)一步明確了國家對人類遺傳資源從嚴(yán)管理的原則及態(tài)度�。
臨床試驗(yàn)數(shù)據(jù)的適用場景較為明確,現(xiàn)行法律法規(guī)對于臨床試驗(yàn)數(shù)據(jù)的管理主要側(cè)重于安全保密�,剛通過的《數(shù)據(jù)出境安全評估辦法》彌補(bǔ)了對不涉及遺傳資源的臨床試驗(yàn)數(shù)據(jù)的出境監(jiān)管。
? 醫(yī)療數(shù)據(jù)全生命周期 ↓↓↓
4�����、保護(hù)醫(yī)療數(shù)據(jù)����,可以怎么做?
01
數(shù)據(jù)“加密”
根據(jù)數(shù)據(jù)分類分級����,針對不同數(shù)據(jù)庫類型,不同數(shù)據(jù)結(jié)構(gòu)采用不同的數(shù)據(jù)加密技術(shù)���,實(shí)現(xiàn)數(shù)據(jù)一致性驗(yàn)證以及不可否認(rèn)性等保護(hù)措施��。
02數(shù)據(jù)“脫敏”
通過對敏感信息的替代����、遮蔽、變形等靜態(tài)脫敏�����,通過對SQL語句修改或查詢后結(jié)果脫敏的動態(tài)脫敏技術(shù)�,實(shí)現(xiàn)數(shù)據(jù)安全共享和科研應(yīng)用。
03電子“簽章”
利用圖像處理技術(shù)將電子簽名操作轉(zhuǎn)化為紙質(zhì)文件蓋章操作相同的可視效果�,同時利用電子簽名技術(shù)保障電子信息的真實(shí)性和完整性以及簽名人的可追溯、不可否認(rèn)性���。
04數(shù)據(jù)“防泄露”
利用關(guān)鍵字、正則表達(dá)式���、指紋等技術(shù)實(shí)現(xiàn)終端�����、網(wǎng)絡(luò)的數(shù)據(jù)安全監(jiān)測����、加密,保障終端���、服務(wù)器����、數(shù)據(jù)庫及郵件系統(tǒng)的數(shù)據(jù)防泄漏��。
05設(shè)置醫(yī)療數(shù)據(jù)安全“倫理審查體系”
依據(jù)《個人信息保護(hù)法》《個人信息去標(biāo)識化指南》等法律法規(guī)指定脫敏分級標(biāo)準(zhǔn)���,確保保護(hù)受試者或患者隱私的前提下����,免除知情同意使用脫敏后的科研數(shù)據(jù)��,既解決人倫風(fēng)險困境��,也為合理暢通科研數(shù)據(jù)的使用提供了足夠的安全審查保障���。
? 醫(yī)療數(shù)據(jù)安全管理措施 ↓↓↓
熱點(diǎn)問題探討——
1.醫(yī)療機(jī)構(gòu)在提供醫(yī)療服務(wù)時��,收集和使用患者的個人信息應(yīng)如何盡到告知義務(wù)�����,是否需要得到患者的明確同意�����?
簡而言之�,根據(jù)《個人信息保護(hù)法》第十七條,無論是收集還是使用���,均需要對患者進(jìn)行告知�����,但由于診療時間緊���、任務(wù)重,收集信息方面的告知較難保障��,特別是部分醫(yī)療機(jī)構(gòu)開設(shè)生物樣本庫����,還會對樣本進(jìn)行收集便于后續(xù)診療���,告知任務(wù)繁重��,目前在沒有進(jìn)一步的細(xì)化規(guī)范前�����,可考慮采取簽署泛知情告知書的方式�����,確保告知到位���。
關(guān)于同意�����,根據(jù)《個人信息保護(hù)法》第十三條第(三)款����,醫(yī)療機(jī)構(gòu)醫(yī)務(wù)人員在診療過程中履行的是法定的救治義務(wù)��,收集和使用患者的個人信息不需要經(jīng)過患者同意�。但是如果將患者的個人信息另行用于醫(yī)學(xué)科學(xué)研究,特別是涉及申辦方或研究公司進(jìn)行藥品、醫(yī)療器械的研發(fā)試驗(yàn)等�,結(jié)合《藥品臨床試驗(yàn)質(zhì)量管理規(guī)范》《醫(yī)療器械臨床試驗(yàn)質(zhì)量管理規(guī)范》等規(guī)范的要求,需要單獨(dú)簽署知情同意書���。
2.醫(yī)療機(jī)構(gòu)收集�����、存儲和使用患者個人信息時應(yīng)當(dāng)注意哪些問題�?醫(yī)護(hù)人員應(yīng)該如何保護(hù)患者的個人信息��?
一是醫(yī)務(wù)人員應(yīng)當(dāng)按診療需要收集信息�,不收集與診療無關(guān)的信息;
二是醫(yī)務(wù)人員保管好自己的系統(tǒng)登錄密鑰(key)��,避免被他人竊取使用�����,導(dǎo)致信息外泄�����;
三是醫(yī)療機(jī)構(gòu)應(yīng)做好系統(tǒng)信息安全等級保護(hù)�����、網(wǎng)絡(luò)安全管理��、云端加密管理��、動態(tài)監(jiān)測等����,防止外部滲透、入侵�����。
3.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)如何完善機(jī)構(gòu)內(nèi)部數(shù)據(jù)管理��,是否能夠?qū)ν馓峁┗颊呔歪t(yī)產(chǎn)生的數(shù)據(jù)����?在與第三方信息處理者包括科研機(jī)構(gòu)共享數(shù)據(jù)時,應(yīng)當(dāng)做好哪些方面的安全措施��?
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身業(yè)務(wù)需求及特點(diǎn)����,建立數(shù)據(jù)安全管理制度��;對收集的數(shù)據(jù)進(jìn)行分級管理���、加密、脫敏�、保護(hù);利用電子簽章技術(shù)對查詢數(shù)據(jù)����、調(diào)取數(shù)據(jù)等行為進(jìn)行留痕、可追溯�����;設(shè)置醫(yī)療數(shù)據(jù)安全倫理審查體系�����,依據(jù)《個人信息保護(hù)法》《個人信息去標(biāo)識化指南》等法律法規(guī)指定脫敏分級標(biāo)準(zhǔn)��,確保保護(hù)受試者或患者隱私的前提下�����,免除知情同意使用脫敏后的科研數(shù)據(jù)��,既解決人倫風(fēng)險困境,也為合理暢通科研數(shù)據(jù)的使用提供了足夠的安全審查保障�。除公共利益需要,一般不對外提供醫(yī)療數(shù)據(jù)����。
與第三方共享數(shù)據(jù)時��,應(yīng)對信息提供者做好知情告知�����,獲取授權(quán)同意�,在信息傳輸過程對信息加以保護(hù)(如加密計(jì)算),對于云端存儲的數(shù)據(jù)����,必須使用安全可靠的云端服務(wù)商等。
溫馨提醒:
1����、醫(yī)療衛(wèi)生機(jī)構(gòu)在處理患者個人信息時,要嚴(yán)格按照民法典����、個人信息保護(hù)法���、數(shù)據(jù)安全等法律法規(guī)規(guī)定,做好患者知情同意告知�。在疫情防控期間,衛(wèi)生健康行政部門和醫(yī)療衛(wèi)生機(jī)構(gòu)都要依法合規(guī)使用�����、處理個人信息�,嚴(yán)防信息泄露。
2�����、醫(yī)務(wù)人員要嚴(yán)格保護(hù)患者個人隱私��,不得隨意泄露患者隱私�����;相關(guān)部門����、單位申請查閱、使用個人信息的��,需符合法律法規(guī)規(guī)定方可提供。醫(yī)療衛(wèi)生機(jī)構(gòu)和醫(yī)療衛(wèi)生人員違法收集�����、使用����、處理個人信息的�����,需承擔(dān)相應(yīng)的民事���、行政責(zé)任����,造成嚴(yán)重后果的�����,還將被追究刑事責(zé)任�����。
