一�、認識醫(yī)療數(shù)據(jù)
1、數(shù)據(jù)廣泛定義
醫(yī)療數(shù)據(jù)與一般數(shù)據(jù)相比�,第一個特點在于其內容上的廣泛性���。《數(shù)據(jù)安全法》第3條將數(shù)據(jù)定義為任何以電子或者其他方式對信息的記錄��。對于醫(yī)療數(shù)據(jù)���,不只原始的、初次采集的數(shù)據(jù)是醫(yī)療數(shù)據(jù)�,其衍生物也是數(shù)據(jù)。《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》(以下簡稱“《醫(yī)療機構網(wǎng)安辦法》”)第3條不但將臨床�����、科研�����、管理等業(yè)務數(shù)據(jù)�、醫(yī)療設備產生的數(shù)據(jù)、個人信息等均歸入醫(yī)療數(shù)據(jù)��,甚至其數(shù)據(jù)衍生物也被歸入醫(yī)療數(shù)據(jù)���。
《信息安全技術-健康醫(yī)療數(shù)據(jù)安全指南》(以下簡稱“《指南》”)也把個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關電子數(shù)據(jù)納入健康醫(yī)療數(shù)據(jù)的范疇��。《人類遺傳資源管理條例》(以下簡稱“《人遺條例》”)第2條則將人類遺傳資源信息定義為利用人類遺傳資源材料產生的數(shù)據(jù)等信息資料�。
2、數(shù)據(jù)類別及遵循法律法規(guī)復雜
1. 數(shù)據(jù)種類多
健康醫(yī)療數(shù)據(jù)可以分為個人屬性數(shù)據(jù)�����、健康狀況數(shù)據(jù)��、醫(yī)療應用數(shù)據(jù)����、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生數(shù)據(jù)等類別�����,具體內容如表 1 所示��。在衛(wèi)生信息領域使用的數(shù)據(jù)元�����、數(shù)據(jù)集��、值域代碼
a) 個人屬性數(shù)據(jù)是指能夠單獨或者與其他信息結合識別特定自然人的數(shù)據(jù)。
b) 健康狀況數(shù)據(jù)是指能反映個人健康情況或同個人健康情況有著密切關系的數(shù)據(jù)���。
c) 醫(yī)療應用數(shù)據(jù)是指能反映醫(yī)療保健、門診�、住院、出院和其他醫(yī)療服務情況的數(shù)據(jù)�。
d) 醫(yī)療支付數(shù)據(jù)是指醫(yī)療或保險等服務中所涉及的與費用相關的數(shù)據(jù)。
e) 衛(wèi)生資源數(shù)據(jù)是指那些可以反映衛(wèi)生服務人員��、衛(wèi)生計劃和衛(wèi)生體系的能力與特征的數(shù)據(jù)��。
f) 公共衛(wèi)生數(shù)據(jù)是指關系到國家或地區(qū)大眾健康的公共事業(yè)相關數(shù)據(jù)����。
其中個人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)�、醫(yī)療應用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)均屬于個人信息��;收入����、社保卡��、個人生物識別信息、健康狀況數(shù)據(jù)�����、醫(yī)療應用數(shù)據(jù)�、醫(yī)療支付數(shù)據(jù)均屬于敏感個人信息;基因�、遺傳咨詢數(shù)據(jù)、基因測序��、轉錄產物測序�����、蛋白質分析測定����、代謝小分子檢測均屬于遺傳資源信息;環(huán)境衛(wèi)生數(shù)據(jù)����、傳染病疫情數(shù)據(jù)、疾病監(jiān)測數(shù)據(jù)均可能構成重要數(shù)據(jù)��。
2. 適用法律法規(guī)
醫(yī)療數(shù)據(jù)依據(jù)其數(shù)據(jù)種類的復雜性,受到不同領域法律法規(guī)的重疊約束�����。
涉及人類遺傳資源的�,應遵守:《人遺條例》、《人遺條例實施細則(征求意見稿)》�����、《中國人類遺傳資源保藏審批行政許可事項服務指南》等�����;
涉及臨床試驗的�����,應遵守:《生物安全法》�、《藥品管理法》�����、《藥品管理法實施條例》��、《藥物臨床試驗質量管理規(guī)范》(以下簡稱“《GCP》”)《臨床試驗的電子數(shù)據(jù)采集技術指導原則》、《臨床試驗數(shù)據(jù)管理工作技術指南》�、《藥物臨床試驗數(shù)據(jù)現(xiàn)場核查要點》等;
涉及醫(yī)療衛(wèi)生的����,應遵守:《基本醫(yī)療衛(wèi)生與健康促進法》、《醫(yī)療機構管理條例》《醫(yī)療糾紛預防和處理條例》�����、《醫(yī)療機構網(wǎng)安辦法》���、《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》��、《醫(yī)療機構病歷管理規(guī)定》�、《電子病歷應用管理規(guī)范(試行)》等��;
此外��,醫(yī)療數(shù)據(jù)還應遵守數(shù)據(jù)合規(guī)的一般管理規(guī)定����,包括:《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》���、《個人信息保護法》��、《關鍵信息基礎設施安全保護條例》���、《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》�、《數(shù)據(jù)出境安全評估辦法》��、《個人信息出境標準合同規(guī)定(征求意見稿)》等�����。
3����、數(shù)據(jù)使用角色以及流通場景說明
針對特定數(shù)據(jù)特定場景��,相關組織或個人可劃分為以下四類角色���。對任何特定組織或個人����,圍繞特定數(shù)據(jù),在特定場景或特定的數(shù)據(jù)使用處理行為上,其只能歸為其中一個角色����。
a) 個人健康醫(yī)療數(shù)據(jù)主體(以下簡稱“主體”):個人健康醫(yī)療數(shù)據(jù)所標識的自然人�����。
b) 健康醫(yī)療數(shù)據(jù)控制者(以下簡稱“控制者”):能夠決定健康醫(yī)療數(shù)據(jù)處理目的、方式及范圍等的組織或個人���。包括提供健康醫(yī)療服務的組織��、醫(yī)保機構�、政府機構�、健康醫(yī)療科學研究機構、個體診所等��,其以電子形式傳輸或處理健康醫(yī)療數(shù)據(jù)�����。判斷組織或個人能否決定健康醫(yī)療數(shù)據(jù)的處理目的�、方式及范圍,可以考慮:
1) 該項健康醫(yī)療數(shù)據(jù)處理行為是否屬于該組織或個人履行某項法律法規(guī)規(guī)定所必需��;
2) 該項健康醫(yī)療數(shù)據(jù)處理行為是否為該組織或個人行使其公共職能所必需�;
3) 該項健康醫(yī)療數(shù)據(jù)處理行為是否由該組織或個人自行決定�����;
4) 是否由相關個人或者政府授權��。
共同決定一項數(shù)據(jù)使用處理行為的目的����、方式及范圍等的組織或個人���,為共同控制者����。
c) 健康醫(yī)療數(shù)據(jù)處理者(以下簡稱“處理者”):代表控制者采集��、傳輸�����、存儲����、使用���、處理或披露其掌握的健康醫(yī)療數(shù)據(jù)�����,或為控制者提供涉及健康醫(yī)療數(shù)據(jù)的使用�、處理或者披露服務的相關組織或個人。常見的處理者有:健康醫(yī)療信息系統(tǒng)供應商����、健康醫(yī)療數(shù)據(jù)分析公司、輔助診療解決方案供應商等���。
d) 健康醫(yī)療數(shù)據(jù)使用者(以下簡稱“使用者”):針對特定數(shù)據(jù)的特定場景����,不屬于主體���,也不屬于控制者和處理者��,但對健康醫(yī)療數(shù)據(jù)進行利用的相關組織或個人���。
基于不同角色之間的數(shù)據(jù)流動,數(shù)據(jù)流通使用場景可分為以下6類����,如下圖所示�。
1) 主體-控制者間數(shù)據(jù)流通使用��;
2) 控制者-主體間數(shù)據(jù)流通使用�;
3) 控制者內部數(shù)據(jù)流通使用;
4) 控制者-處理者間數(shù)據(jù)流通使用�;
5) 控制者間數(shù)據(jù)流通使用;
6) 控制者-使用者間數(shù)據(jù)流通使用��。
二�����、醫(yī)療行業(yè)(綜合醫(yī)院)為什么要開展數(shù)據(jù)分類分級工作
綜上所述,醫(yī)療行業(yè)數(shù)據(jù)種類多且復雜,業(yè)務應用場景也豐富,同時也面臨各方面法律制約,滿足相應的合規(guī)要求.
另外醫(yī)療行業(yè)的健康醫(yī)療數(shù)據(jù)一方面為智慧醫(yī)院建設提供重要支撐����,蘊含著巨大價值,另一方面也包含了大量的個人隱私��,隱藏著巨大的數(shù)據(jù)安全風險���。如何在充分釋放健康醫(yī)療數(shù)據(jù)價值的同時,開展數(shù)據(jù)安全治理工作����,防范健康醫(yī)療數(shù)據(jù)泄露�、保護患者個人隱私���,是健康醫(yī)療大數(shù)據(jù)時代的重中之重�。
數(shù)據(jù)安全場景也很多,根據(jù)《信息安全技術-健康醫(yī)療數(shù)據(jù)安全指南》總結出6大類場景.
(一) 醫(yī)生調閱數(shù)據(jù)安全
適用于醫(yī)生在提供健康醫(yī)療服務過程中調閱相應患者數(shù)據(jù)的場景��。醫(yī)生所在的組織承擔控制者角色�����,患者承擔主體角色���。
(二) 患者查詢數(shù)據(jù)安全
適用于患者通過在線方式查詢其本人健康醫(yī)療數(shù)據(jù)的場景�����?��;颊叱袚黧w角色。
(三) 臨床研究數(shù)據(jù)安全
臨床研究指以患者或健康人為研究對象�����,由醫(yī)療機構、學術研究機構和/或醫(yī)療健康相關企業(yè)發(fā)起的�����,以探索疾病原因����、預防、診斷�����、治療和預后為目的的科學研究活動���。臨床研究可以是醫(yī)療機構臨床醫(yī)生發(fā)起的科研項目���,政府資助的科研項目,科研機構發(fā)起的以社會公共利益為目的的醫(yī)學科學研究���,或者涉及公共衛(wèi)生安全的臨床科學研究���,也可以是醫(yī)療健康相關企業(yè)發(fā)起的以科學或商業(yè)為目的的臨床研究���。臨床研究一般是在學術性的醫(yī)學中心���、研究機構或者醫(yī)療科研機構進行�����,其過程主要包括臨床試驗的方案設計�、組織實施�����、監(jiān)查���、核查���、檢查,以及數(shù)據(jù)的采集����、記錄、統(tǒng)計����、分析總結和報告等����。
臨床研究主要包括以下類型:
a) 按臨床數(shù)據(jù)獲取方法區(qū)分:回顧性臨床研究和前瞻性臨床研究��;
b) 按研究目的區(qū)分:臨床基礎研究����、臨床應用研究和臨床路徑研究;
c) 按產品獲準上市與否區(qū)分:產品上市前研究和產品上市后研究��。
以產品上市獲批為目的的臨床試驗的數(shù)據(jù)安全��,請參照相關主管部門規(guī)定�����,不屬于本標準范疇����。
基于真實世界數(shù)據(jù)的臨床研究是根據(jù)在日常醫(yī)療實踐中收集的病人醫(yī)療數(shù)據(jù)及產品使用效果進行臨床研究。
將人工智能(包括深度學習)技術應用于醫(yī)療健康領域�,提供輔助決策、健康咨詢��、輔助提高健康醫(yī)療服務及健康保險理賠效率、質量及專業(yè)水平�����,在產品研發(fā)和驗證階段�,如果需要涉及到患者及相應群體的數(shù)據(jù)���,本質上屬于臨床研究的范疇����。
(四) 二次利用數(shù)據(jù)安全
適用于第三方(政府部門���、科研人員��、企業(yè)等)出于數(shù)據(jù)二次利用(使用目的與數(shù)據(jù)被收集時的使用目的不同)的非營利性目的申請健康醫(yī)療數(shù)據(jù)����,涉及數(shù)據(jù)量大�����,包含可識別身份的信息�,無法聯(lián)系主體或聯(lián)系主體成本過高的情況。用于醫(yī)療、醫(yī)療費用支付等為患者本人服務或其他法律法規(guī)規(guī)定的數(shù)據(jù)使用情況和臨床研究數(shù)據(jù)使用情況不在此范圍�����。
涉及的相關方包括數(shù)據(jù)匯聚中心和第三方�����,其中數(shù)據(jù)匯聚中心(醫(yī)療機構����、區(qū)域衛(wèi)生信息平臺、醫(yī)聯(lián)體�����、學術平臺等)為控制者�����,第三方為使用者��。
(五) 健康傳感數(shù)據(jù)安全
健康傳感數(shù)據(jù)是指通過健康傳感器采集的�����,在軟件支持下感知、記錄���、分析���,與被采集者健康狀況相關的,應用于醫(yī)療服務和健康生活的一切數(shù)據(jù)�����。例如:監(jiān)測診療數(shù)據(jù)(血氧飽和度���、血壓、血糖心率���、睡眠)�;行為情緒數(shù)據(jù)(跑步距離����、行走軌跡、步數(shù)����、消耗能量����、鍛煉時長)���;環(huán)境數(shù)據(jù)(紫外線指數(shù)�、污染指數(shù)��、溫度�、濕度、噪聲)���。
涉及的相關方包括個人����、醫(yī)療機構��、醫(yī)保機構�、商業(yè)保險公司、健康服務企業(yè)��、信息系統(tǒng)服務商等�����。
a) 主體:佩戴健康傳感設備的人員。
b) 控制者:使用健康傳感設備采集健康醫(yī)療數(shù)據(jù)的機構包括但不限于醫(yī)療機構��、醫(yī)保機構���、健康服務企業(yè)���。
c) 處理者:為控制者提供服務的機構,包括但不限于信息系統(tǒng)服務商����。
(五) 移動應用數(shù)據(jù)安全
移動應用是指通過網(wǎng)絡技術為個人提供的在線健康醫(yī)療服務(例如在線問診��、在線處方)或健康醫(yī)療數(shù)據(jù)服務的移動應用程序(例如個人電子健康檔案)�。符合醫(yī)療器械定義的應用,由醫(yī)療機構使用的用于現(xiàn)場健康醫(yī)療服務的應用(例如協(xié)助醫(yī)生采集�����、使用患者在院內(門��、急診��,住院)診療信息應用)����,不在本節(jié)范疇之內�。
所涉及的相關方主要是應用發(fā)布者����。應用發(fā)布者是指與個人簽訂應用軟件使用許可協(xié)議的主體,可以是政府機構�����、醫(yī)療機構�����、醫(yī)保機構���、商業(yè)保險公司�����、科研機構�、醫(yī)藥企業(yè)����、醫(yī)療器械廠商��、健康服務企業(yè)����、數(shù)據(jù)服務企業(yè)或其他獨立民事主體�����。
在移動應用的前端主要涉及主體和控制者����,在移動應用的后端,主要可能涉及控制者�、處理者和使用者。
(五) 商保對接數(shù)據(jù)安全
購買商業(yè)保險的主體��,在定點醫(yī)療機構就醫(yī)時����,除醫(yī)保費用報銷范圍外��,涉及其他的醫(yī)療費用�,且在商業(yè)險責任范圍內的,經其授權同意�����,商業(yè)保險公司通過與醫(yī)療機構建立連接的醫(yī)療信息系統(tǒng),及時掌握主體的就診治療情況及發(fā)生的費用相關信息���,從而根據(jù)商業(yè)保險公司的核賠規(guī)則自動進行支付結算等理賠業(yè)務��。在醫(yī)療機構與商業(yè)保險公司建立連接時��,宜在醫(yī)療信息系統(tǒng)對接前�����、對接中與對接后的三個階段實施有效的安全措施確保健康醫(yī)療數(shù)據(jù)的安全��。
(六) 商保對接數(shù)據(jù)安全醫(yī)療器械數(shù)據(jù)安全
具有聯(lián)網(wǎng)或存儲功能的醫(yī)療器械數(shù)據(jù)安全主要涉及器械生產��、使用和維護三個環(huán)節(jié)�。
人工智能(包括深度學習)輔助決策醫(yī)療器械軟件屬于醫(yī)療器械的范疇��。
三��、醫(yī)療行業(yè)(綜合醫(yī)院)怎么開展數(shù)據(jù)分類分級工作
總體原則:循序漸進,有序推進
分部門+分業(yè)務線或者信息系統(tǒng)進行
下面分享電子病歷分類分級
HIPPA《健康保險可攜性和責任法案》��、《中華人民共和國個人信息保護法》、《信息安全技術 個人信息安全規(guī)范》(GB/T 35273-2020)都提出了個人信息保護要求�,特別是保護個人可識別信息。因此在龐雜的醫(yī)療數(shù)據(jù)中��,同樣需將“個人可識別信息”作為敏感數(shù)據(jù)類別之一�����,并對患者和醫(yī)護的個人信息加以分別�����。其中“患者個人信息”根據(jù)標識性強弱分為以下四類:
屬于個人信息的強標識數(shù)據(jù)�,能夠唯一關聯(lián)到個人,包括:證件號碼�����、電話號碼���、健康卡號��、城鄉(xiāng)居民健康檔案編號、地址 ( 詳細到門牌號 )����、電子郵件地址等�����。
屬于個人信息的標識數(shù)據(jù)���,能夠間接關聯(lián)到個人,包括:姓名�、生物標識(如基因)、(個人手機 / 設備)設備標識符和序列號�����、IP 地址(個人設備地址)�、全臉攝影圖像和任何類似的圖像等。
能夠確定較小范圍的個人弱標識數(shù)據(jù)���,包括:出生日期�、所屬行政區(qū)域��、郵政編碼��、單位電話號碼����、單位名稱等�����。
個人特征性(統(tǒng)計)信息(A1數(shù)據(jù))
包括:年齡��、血型�����、性別����、學歷��、籍貫等��,以及相應的代碼���。
“醫(yī)護個人信息”同樣根據(jù)個人信息的標識性強弱分為:B4數(shù)據(jù)���、B3數(shù)據(jù)、B2數(shù)據(jù)���、B1數(shù)據(jù)四類��。
“電子病歷診療數(shù)據(jù)”是體現(xiàn)患者就醫(yī)過程的完整數(shù)據(jù)��,可以結合診療過程對收集���、產生、處理的數(shù)據(jù)進行分類�����,包括:掛號����、處方、用藥��、健康狀況(病史���、過敏史等)�����、醫(yī)囑信息��、檢查檢驗信息��、手術麻醉信息�、助產信息、護理信息�����、出入院記錄信息等�����,覆蓋完整的電子病歷診療過程��,并根據(jù)患者電子病歷診療數(shù)據(jù)的隱私程度進行分級�。
基于網(wǎng)絡嗅探技術,自動發(fā)現(xiàn)指定網(wǎng)段范圍下活躍或靜默的數(shù)據(jù)庫資產���;支持國內外主流數(shù)據(jù)庫����、大數(shù)據(jù)生態(tài)系統(tǒng)的數(shù)據(jù)掃描�����,梳理醫(yī)療數(shù)據(jù)資產清單,為分類分級�����、精細化管控奠定數(shù)據(jù)基礎�。
第三步:分類分級
通過分類分級工具預置醫(yī)療數(shù)據(jù)自動分類分級規(guī)則進行自動分類分級����,標識“患者個人信息”、“醫(yī)護個人信息”���、“電子病歷診療數(shù)據(jù)”等類別和級別�。
第四步:場景化數(shù)據(jù)集合分級
對電子病歷中“個人信息”和“診療數(shù)據(jù)”的字段進行分類分級是數(shù)據(jù)安全治理的第一步�。在實際業(yè)務場景中,所有對數(shù)據(jù)的存儲和數(shù)據(jù)的訪問都將以數(shù)據(jù)集合的形式存在�����,單一字段的數(shù)據(jù)通常不會泄露患者的隱私數(shù)據(jù)���。因此�����,對數(shù)據(jù)集合的定級是促進數(shù)據(jù)的開放利用和數(shù)據(jù)安全之間平衡的重要措施�����。
L4級屬于高敏感數(shù)據(jù)集合����,會直接泄露患者的個人隱私數(shù)據(jù)(A3 及以上數(shù)據(jù))和個人診療敏感數(shù)據(jù)(C3 數(shù)據(jù));例如:電話號碼+姓名���、電話號碼+現(xiàn)病史等��。
L3級屬于敏感數(shù)據(jù)集合�,會對個人隱私數(shù)據(jù)(A3 及以上)和個人診療敏感數(shù)據(jù)(C3 數(shù)據(jù))提供較為直接的引導�����;例如:IP+生物標識����、姓名+門診號等。
L2級屬于弱敏感數(shù)據(jù)集合��,直接或間接地泄露患者的就診過程數(shù)據(jù)(C2 數(shù)據(jù))或者個人一般數(shù)據(jù) (A2 及以下 ),會引起對患者某方面病癥的猜測�;或者會對發(fā)現(xiàn)個人高度隱私數(shù)據(jù)(A3 及以上)和個人診療敏感數(shù)據(jù)(C3 數(shù)據(jù))提供較為間接的引導;例如:姓名+出生日期����、姓名+護理記錄。
L1級屬于非敏感數(shù)據(jù)集合���,不會泄露個人隱私和患者隱私��;例如:出生日期+性別、年齡+病癥�。
基于業(yè)務場景所需的字段進行場景化數(shù)據(jù)集合分級,不僅能夠將醫(yī)療數(shù)據(jù)的分類分級結果切實地應用到實際業(yè)務場景當中��;同時也是對每一個業(yè)務場景的數(shù)據(jù)集合交易�,明確標識其敏感級別,為數(shù)據(jù)��、數(shù)據(jù)集合的應用提供安全管控依據(jù)��;是“讓安全‘懂’業(yè)務�、讓業(yè)務‘知’安全”的關鍵。
