健康醫療大數據應合規發展

文 律商聯訊特約撰稿 程芳

對于健康醫療大數據的應用，《管理辦法》雖然提出了數據準確性、安全性和進行脫敏處理的原則性要求，但在具體應用形式和操作層面并未做出過多限制，因此，探索并開發健康醫療大數據的應用仍然具有巨大空間

伴隨著計算機和互聯網技術的蓬勃發展，大數據產業應運而生并已應用在社會生活的各個方面。以數據處理分析為核心，通過對大量零散、無序的數據進行科學分析和加工，從而形成具有商業價值的信息資訊是大數據產業的核心價值。

在健康醫療領域，產業界已經充分認識到健康醫療大數據的商業價值，政府也開始將健康醫療大數據列入國家重要基礎性戰略資源。

在此背景下，國家衛生健康委員會結合《網絡安全法》《國務院辦公廳關于促進和規范健康醫療大數據應用發展的指導意見》《國務院辦公廳關于促進“互聯網+醫療健康”發展的意見》等法規和文件的精神，出臺了《國家健康醫療大數據標準、安全和服務管理辦法（試行）》（以下《管理辦法》），首次對健康醫療大數據的適用范圍、標準管理、安全管理和服務管理等方面進行了規制。

健康醫療大數據行業和市場主體

《管理辦法》第四條規定“本辦法所稱健康醫療大數據，是指在人們疾病防治、健康管理等過程中產生的與健康醫療相關的數據”。從行業角度來看，這類數據不僅包括在疾病診斷、預防、治療、健康管理過程中直接產生的涉及個體的健康醫療數據，也包括對大量無序和分散的個體健康醫療數據進行統計、加工和分析后獲得的宏觀數據。

《管理辦法》對責任主體采取了較為寬泛的定義，各級各類醫療衛生機構和相關企事業單位均屬于健康醫療大數據安全和應用管理的責任主體。鑒于“相關企事業單位”一詞的范圍較為寬泛，結合《管理辦法》在安全和應用管理章節的相關規定，“相關企事業單位”應當包括從事健康醫療數據采集、存儲、加工、應用、運營和傳輸的各個企事業單位。

與存在大數據應用的其他產業相似，健康醫療大數據產業也存在上游、中游和下游的區分。上游是指數據資源產業，主要由提供健康醫療數據采集、存儲和計算服務的企事業單位組成，其中醫療機構采集和獲取的數據資源是最為重要的數據來源。中游是指數據處理產業，包括大量通過提供數據處理、分析、可視化等增值服務，將“海量數據”轉化為具有商業價值的“大數據”的技術型企業。下游則是數據應用產業，經過上游收集和中游處理的健康醫療大數據在此階段反饋并應用于整個產業，對包括研發型企業、投資機構、醫療機構、制藥企業、行業監管機構、自然人個體在內的數據產業應用產生參照指導意義。

由于健康醫療大數據產業的市場規模龐大，涉及健康醫療大數據采集、存儲、管理和使用的任一環節的主體均可能被納入《管理辦法》的責任單位范圍內，因此，相關主體需要根據其從事的業務領域關注相應的合規義務。

健康醫療大數據的采集和存儲

首先是健康醫療大數據的采集。

涉及個體健康的原始數據采集，目前主要集中在醫院、診所、防疫站等醫療衛生機構，同時，智能設備的開發和運用使線下收集普通用戶的健康數據成為數據的補充來源。由于原始數據的質量和樣本量將決定大數據的最終價值，《管理辦法》要求，責任單位在采集健康醫療大數據時，需要嚴格執行國家和行業相關標準和程序，做到標準統一、術語規范、內容準確，并對所采集的信息嚴格實行信息復核終審程序，確保數據質量。

此外，對于原始個體健康醫療數據的初次采集，根據《網絡安全法》的規定，網絡運營者收集個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和授權使用的范圍使用個人信息。

除直接向公民個人采集個體信息以外，企業也可以通過與醫療機構或者健康醫療數據供應商合作的方式，獲得批量的原始數據或者經過預處理的健康數據。對于這些數據交易活動，仍應遵守《網絡安全法》的規定。

其次是健康醫療大數據的存儲。

不同于一般行業的數據，健康醫療數據更加敏感，除公民的個人隱私信息之外，也可能包括涉及干細胞、特定物種或人種的遺傳資源等信息。因此，對于健康醫療大數據的存儲，需要從多個角度設置嚴格的保護機制，從而確保數據安全。

在健康醫療大數據的存儲安全方面，《管理辦法》的要求主要包括采取數據分類、重要數據備份、加密認證等安全保障措施，建立可靠的數據容災備份工作機制，定期對相關信息系統開展定級、備案和測評工作，嚴格落實網絡安全等級保護制度，建立健全實名認證訪問控制機制、網絡安全通報和應急處置聯動機制等。

需要特別注意的是，《管理辦法》明確要求健康醫療大數據應當存儲在境內服務器上，如需向境外傳輸，應當按照相關法律法規和要求進行安全評估審核。

這里的“相關法律法規和要求”應該主要指《個人信息和重要數據出境安全評估辦法（征求意見稿）》《關鍵信息基礎設施安全保護條例（征求意見稿）》和《信息安全技術數據出境安全評估指南（征求意見稿）》等數據出境安全評估規定。但由于上述配套法律法規均尚未生效，網絡運營者需要定期跟進立法動態，秉持審慎從嚴的原則，防范數據出境合規風險。

健康醫療大數據的分析處理和應用

從健康醫療大數據的分析和處理來看。

健康醫療大數據的高附加值源自對海量、分散的原始個體健康數據進行統計學分析，在數據處理和技術分析層面，企業主要應按照行業標準和合同約定進行，出于數據安全的考慮，在處理醫療健康大數據時，仍應符合《管理辦法》中關于數據分類和備份、數據接入和使用權限、痕跡管理等的安全管理要求。

就數據開發和合作而言，《管理辦法》對于數據加工的委托方和受托方分別提出了要求。對于受托方，《管理辦法》要求其嚴格按照相關法律法規和合同約定進行健康醫療大數據的存儲、管理與運營。對于委托方，《管理辦法》要求在選擇服務提供商前審查其是否合規合法，是否具備確保數據安全的能力，是否已建立數據安全管理、個人隱私保護、應急響應管理等方面的管理制度。此外，委托方和受托方對健康醫療大數據的管理和安全責任應承擔連帶責任。

從健康醫療大數據的應用來看。

《管理辦法》要求責任單位結合服務和管理公司的需要，及時更新、甄別、優化和維護醫療大數據，確保信息處于最新、連續、有效、優質和安全狀態，并且，在公開健康醫療大數據時，不得泄露國家秘密、商業秘密和個人隱私，不得侵害國家利益、公共利益和他人的合法權益。

因此，對于健康醫療大數據的應用，《管理辦法》雖然提出了數據準確性、安全性和進行脫敏處理的原則性要求，在具體應用形式和操作層面并未做出過多限制，因此，探索并開發健康醫療大數據的應用仍然具有巨大空間。

隨著人工智能和信息化技術的發展，醫療資源數字化以及醫療信息大數據化成為趨勢，海量的非結構化數據經過標準化和規范化處理后，將成為具有現實參照意義的實用工具，為科學研究和臨床決策提供支持。可以預期，健康醫療大數據在疾病預測模型、疾病診斷分析、臨床輔助決策、遠程醫療、醫療質量監管、個性化治療等方面都將發揮巨大作用，并將推動傳統醫療模式的創新性變革。