信息化建設中的法律風險及應對

文/鄧明攀 劉春林

本文圍繞公立醫院高質量發展背景下，醫院信息化建設風險及應對進行探討，結合業務場景就醫院對外合作中的風險點進行提示，并提出應對建議。

為鞏固深化醫改成果，國務院辦公廳于2021年5月14日發布了《關于推動公立醫院高質量發展的意見》；隨后，國家衛生健康委、國家中醫藥管理局發布了《關于印發公立醫院高質量發展促進行動（2021—2025年）的通知》；國家醫改領導小組秘書處也于2022年2月9日發布了《關于抓好推動公立醫院高質量發展意見落實的通知》。足見國家對公立醫院高質量發展的重視，而實現公立醫院高質量發展的行動內容非常豐富，涉及信息化建設、臨床重點專科群、人才隊伍、智慧醫院、醫療服務模式、醫學技術、運營管理，兼顧技術和管理考量。

而公立醫院高質量發展促進行動中有提及“加強醫療信息化建設”“以信息化為支撐”等內容，實踐中，以互聯網+醫療時代，智慧醫院、遠程醫療、區塊鏈、人工智能、大數據、5G、云計算、物聯網、元宇宙等為代表的新一代信息技術在醫療領域融合應用，那么，如何應對信息化建設中，特別是《數據安全法》《個人信息保護法》等法律施行以來公立醫院對外合作中的信息安全風險，對公立醫院實現高質量發展提出挑戰。鑒于此，筆者擬圍繞公立醫院高質量發展背景下，醫院信息化建設風險和應對進行探討，結合業務場景就醫院對外合作中的風險點進行提示，并提出應對建議。

醫院對外合作中的法律風險

2021年11月1日，《中華人民共和國個人信息保護法》正式實施，其第28條明確規定，“生物識別”和“醫療健康”等信息適用個人敏感信息處理規則。而醫療機構因診療活動采集、存儲了大量的醫療健康信息，形成信息池或數據池，在加強信息化建設過程中，容易忽視數據安全和信息安全。同時，公立醫院信息化建設面臨最大的風險便是安全管理，而公立醫院對外合作場域便是信息安全管理高風險地帶。本文將醫療機構對外合作中的業務場景，按合作主體和合作項目進行了分類。

醫療機構之間

公立醫院高質量發展是深化醫改舉措之一，而深化醫改舉措并不限于此，包括醫聯體、遠程會診、檢查檢驗結果互認、分級診療、現代醫院管理和公立醫院績效考核等政策措施。

一是醫療聯合體。為構建優質高效醫療衛生服務體系，推動優質醫療資源下沉，發揮城市醫聯體和縣域醫共體的作用，加強公立醫院醫療能力建設，其中，患者在醫聯體內的健康信息的互聯互通成為發揮這一作用不可缺少的一環，患者健康信息上下級醫院轉移，甚至在信息技術支撐下，建立信息共享通道。此時，在沒有取得患者同意的情況下，醫療機構之間可根據診療需求，查閱患者在醫聯體內不同機構的就診信息，增加治療方案的全面性和有效性，但除了診療服務外，科研項目也可能使用患者健康信息，同時，也存在過度使用風險。

二是遠程會診。遠程會診涉及兩家醫療機構，同時可能依賴第三方信息科技，遠程會診將獲取患者的面部信息和健康信息，經患者申請或同意，遠程會診醫療機構可依法收集，并提供診療方案，但收集后的存儲、使用和傳輸等則存在風險，如涉及國際會診，則還可能面臨個人信息出境的問題。因此，在協議里要就信息處理義務是否進行約定，涉及跨境傳輸的，是否符合信息傳輸要求，是否脫密處理，提供范圍和數量是否有限，是否盡到安全評估義務，是否向患者履行告知義務。

三是檢查檢驗結果互認。本項工作適用于各級醫療機構，特別是醫聯體內數據信息的互聯互通，患者享有個人信息攜帶權，可否帶走檢查檢驗數據，如何通過信息化建設，保證醫聯體內結果互認，是否對查詢主體進行授權管理，是否需要征得患者同意，是檢查檢驗結果互認工作順利開展不可忽視的重要環節。

第三方信息處理主體

醫療機構的主要業務是提供診療服務，而信息化建設不可避免地需要信息技術作支撐，而自主研發成本遠遠高于購買信息服務。實踐中，大部分醫療機構在信息化建設過程中首選購買軟件系統軟硬件以及相應的維護服務。此時，第三方機構是醫院患者個人信息，特別是健康信息的密切接觸者，也有可能是信息收集和存儲主體，如何防范患者健康信息使用或泄露風險，須引起關注。具體的適用場景包括以下5種。

第一種，互聯網醫院合作或運營維護商。互聯網醫院合作或運營維護商在合作上通過信息技術支撐達到互聯網醫院就診目的，提供醫療服務的可及性和高效性，而合作內容上必然涉及大量患者個人信息或健康信息，那么，醫療機構是否提供，依據是什么，有無法定依據，均是有待思考的問題。而且，互聯網醫院因合作形式不同，通常由實體醫療機構委托第三方公司運營或由第三方公司獨立運營，故依托或獨立設置的互聯網醫院的合作協議在簽署時，個人信息保護責任主體有所不同。

第二種，云存儲機構。傳統存儲設備已無法滿足信息增量的需求，且傳統介質設備的存儲有限，成本高，損毀風險高。伴隨信息技術的發展，云存儲因其便捷、低成本、安全受到醫療機構的青睞，但仍須考慮諸如勒索病毒的安全事件發生以及云存儲機構內部管理不當引發的泄露風險。同時，在選擇合作商時，是否履行盡職調查，調查合作商是否具有外資背景以及服務器是否在境內等。

第三種，檢驗設備或院內信息系統供應商或維護商。檢驗設備或院內系統不斷收集、存儲患者個人信息和健康信息，部分設備還兼具人臉識別功能，在疫情防控當前，入院體溫采集設備中，部分醫療機構采用的設備具有采集高清人臉圖像的功能，屬于過度采集，收集信息越多，保護義務越重，無疑該行為加重了醫院的保護責任。可穿戴設備適時抓取患者的信息，傳輸至終端，預約掛號系統收集的個人信息，均可能存儲于第三方機構，如何防范其中的個人信息泄露或不當處理風險，仍需警惕。

第四種，自助醫療設備捐贈商。第三方捐贈商選擇在醫療機構放置符合患者診療需求的醫療設備，這些設備免費提供醫院使用，但將收集患者個人信息，如患者的基本信息、既往病史等信息，雖然系捐贈行為，但收集患者個人信息的行為屬于醫院的行為還是捐贈商的行為，其中涉及的法律風險，醫療機構是否已予以關注。與此類似的是基金會項目，部分合作項目通過基金會與醫院達成合作，合作必然涉及患者個人信息提供和使用，而個人健康信息和未成年人的個人信息均屬于個人敏感信息，相關風險是否清楚，是否采取配套的防范措施，有待進一步思考。

第五種，病歷微縮、保管和委托郵寄服務商。病歷是醫療機構診療活動符合診療規范的重要證據，而病歷涉及患者的基本信息和健康信息，法律及配套規范均規定醫院妥善保管病歷的義務和責任。同時，醫療機構在信息化建設過程中，基于成本和存儲考慮，通常會選擇委托第三方機構縮微或存儲保管，在此過程中，因第三方工作人員的文化水平和法治意識普遍不高，未做分區管理，可能引發病歷損毀或泄露風險。

而保管亦是如此，是否進行現場查看、合同義務和責任約定是否完善、合同到期如何處理等問題是否有所考慮。病歷原件存儲在第三方，涉訴后，因舉證責任，第三方是否可以滿足醫療機構臨時調取原件的需求，如病歷遺失，導致醫院承擔舉證不能的法律后果，該責任是否在合作協議中明確約定。

病歷委托郵寄，是否取得患者同意，如地址寫錯或非患者本人提供，可能導致患者健康信息泄露的風險。

與患者相關的其他第三方主體

前述兩類主體均與患者相關，但偏向于醫療服務活動和醫療信息技術支撐，而第三類主體則主要輔助醫療機構提供更加優質的醫療服務，以及與患者切身利益相關的其他活動。此外，便是第三方主體基于勞動人事管理或保險合同獲取員工和被保險人的健康信息，以便于人資管理和完成保險理賠審查工作。

一是回訪服務商。患者滿意度調查已納入公立醫院高質量范疇，而為了完成該項工作，醫院基于成本考慮，委托第三方完成患者滿意度調查和回訪工作成為優先選擇。第三方便基于該項委托服務收集了患者個人信息和健康信息，是否有合法依據，且醫院可能面臨的信息泄露和不當處理風險。

二是職業心理評估服務商。近年來，社會因抑郁自殺的案件偶見報端，特別是學生和醫務工作者，而公立醫院這些科室如精神病科、兒科以及相關的專科醫院，在委托第三方職業心理評估時，將獲取患者及員工的個人敏感信息，收集其個人信息是否符合《個人信息保護法》相關規定，同時，是否履行相應的保護義務，有無相應的防范措施和不當處理的責任約定。

三是商業保險公司。保險公司因患者保險理賠申請，基于理賠審查職責，可能向醫院提出查閱、復制患者病歷的申請，而患者病歷涉及患者個人信息，除了按病歷管理規定，還須審查保險條款和授權委托書范圍，不能僅憑申請便提供相應的信息，有條件的，可向患者本人核實，防范信息泄露和道德倫理風險。

四是殯葬合作公司。實踐中，患者死亡出現兩家殯葬服務機構，這是有損醫院形象和社會評價的，究其原因在于患者信息泄露和內部管理混亂問題。

五是委托第三方檢查檢驗。隨著疫情防控常態化，核酸檢測如血常規一般成為必要檢查項目。實踐中，委托第三方檢測項目并不限于核酸這類檢測項目，部分醫療機構因無法完成部分檢測項目，包括病理、影像或基因檢測等，則可能委托第三方檢驗，這其中涉及患者個人信息，是否告知患者，收集、存儲、傳輸、使用是否符合《個人信息保護法》相關規定。

六是用人單位定點醫療機構。如工傷、職業病健康檢查以及體檢等事項，因涉及患者個人信息，檢查結果可否直接提供給用人單位，其合同依據是什么，員工體檢信息整體發給委托單位，是否有合規邊界。

七是藥物、醫療器械臨床試驗申辦方。藥物或醫療器械臨床試驗收集的信息便是受試者（患者）的個人信息，是否需要取得患者單獨同意，做好個人信息保護，同時，防范信息跨境傳輸風險。

法律風險原因分析

從上述場景適用存在的風險看，主要是患者個人信息處理各個環節中的不當行為，引發的信息泄露或不當處理風險，究其原因，在于信息化建設過程中，更為重視技術，而忽視了管理，即信息技術應用中的合規風險。具體表現為安全管理意識不足和對個人信息泄露責任較重認識不足。

首先是信息化建設合規意識不足。公立醫院高質量發展強調了信息化建設的作用，并成為醫院等級評審、區域醫學中心、現代醫院管理、醫聯體建設等項目的評價依據，故刺激了醫院在信息化建設中的投入，軟硬件投入均作相應的增加，但忽視了合規管理，包括事前預防和事中控制。事前預防，信息系統和服務采購項目是否符合政府采購相關規定，供應商或合作方資質是否合法，是否有相關業績，是否具備信息安全的能力和條件，包括日常防范工作和應急處理方案等，協議是否約定完整，是否具有明確主體，避免爭議發生后無法適用合同條款解決爭議。事中控制，包括信息安全維護，是否定期提交維護報告，是否存在合同之外的不當處理，如信息交易、傳輸或公開等行為。

其次是個人信息泄露責任較重。《個人信息保護法》于2021年11月1日正式施行以來，有關個人信息保護的訴訟糾紛在司法實踐中已發生，包括醫療機構。根據《個人信息保護法》第66條規定，違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處100萬元以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處5000萬元以下或者上一年度營業額5%以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處10萬元以上100萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

從上述規定可知，個人信息處理不當所面臨行政處罰有警告、沒收違法所得、罰款和暫停營業、吊銷執照，同時，實行雙罰制，包括機構和責任人，責任人還將面臨罰款和限制從業。

應對建議

公立醫院高質量發展促進行動要求醫院加快推進信息化建設進程，而醫院信息化建設不僅包括提高自身信息化建設水平，同時，還須發揮自己在地區醫聯體牽頭或龍頭作用，且均須加強與第三方的合作。然而，醫療機構對外合作中便涉及數據信息互聯互通問題，如何應對合作場景中的風險，本文提出如下3點建議。

第一，轉變信息化建設理念，技術和合規管理并重。

信息化高樓不僅需要人力、技術和設備的支撐，還需要主要地基的穩固，避免空中樓閣。作為醫院管理者，可從重視技術投入和追求信息化建設規模，向信息化成效和低風險指數轉變，即從技術偏好向兼顧技術和管理轉變。信息化建設提供的多為虛擬產品或服務，實效和低風險理應成為項目立項和推進的重要考慮因素，其落地應符合公立醫院高質量發展大局。

第二，梳理對外合作中的個人信息風險點，做好防范。

前文第一部分已就醫院對外合作中的常見場景風險點進行了梳理，主要歸為3類，醫療機構之間、第三方信息處理主體、與患者有關的其他第三方主體，與診療活動緊密程度有所不同，但均提及了個人信息泄露風險及相應的責任。基于此，醫療機構應加強事前預防和事中控制管理，并制定或完善相應的應急處理預案。

事前預防：一是醫療機構自查，包括資質和業績等自查；二是做好安全評估，涉及安全保護性措施，可向信息安全專業咨詢，購買相應的服務；三是建立醫院數據合規體系，可向法律專業人士咨詢，如醫院有法律顧問，可將信息化建設相關協議提交審查，完善合同條款設計，并協助建立數據合規流程及制度，如無法律顧問，可以專項委托行業專業律師完成，防范合作中可能面臨的法律風險。該項工作，也符合現代醫院管理合規要求。

事中控制：可對項目運營加強管理，提供項目委托運營季度或年度報告，加強數據合規審計，特別是維護環節，如患者個人信息泄露投訴，及時與第三方溝通相關情況，達成書面意見。

事后處理：及時性和有效性，其中，及時性包括發現及時和應對及時，前者是醫療機構與第三方信息互通的及時性，后者是對外處理的及時性，即危機公關，包括當事人和社會輿情的控制。有效性則包括應急處理方案的有效性，合作雙方應急事件處理水平的提升，以及與當事人妥善解決相關爭議的有效性和合作雙方解決爭議的實效性。

第三，建立健全對外合作個人信息合規體系，優化對外合作操作流程。

在梳理院內個人信息保護涉及的業務場景基礎上，建立健全對外個人信息合規體系，包括但不限于：一是制度建設，如患者個人信息保護領導小組，確定常設辦公室（信息科、事業發展部或對外合作交流相關部門），覆蓋業務場景涉及的全部科室，確定小組成員分工及職責以及工作內容，明確不同操作權限；二是分類管理個人信息，明確不同業務場景對個人信息的處理范圍，確保個人信息處理目的的正當性；三是信息化建設過程中應增加對個人信息保護安全技術措施投入的預算，作為信息安全風險防范的重要舉措，并成為常態，確保信息安全；四是達到個人信息處理數量的，應指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督，并將個人信息保護負責人的聯系方式予以公開，接受社會監督，如涉及人事變動，則及時更新；五是做好合規審計，委托專業的第三方做好審計工作，出具相應的建議意見書，包括審計、法律、信息安全等事項；六是做好個人信息保護影響評估報告和處理情況記錄，確保患者個人信息處理的合規性。

第四，加強所涉科室員工的培訓，妥善留存個人信息保護相關記錄或資料。

如信息科、病案科、設備科、臨床醫技科室、科研科等科室，應對自職責范圍內涉及第三方合作，特別是與患者個人信息密切相關的合作業務，則必須加強管理，強化個人信息保護相關法律規定和配套規范或標準的學習和培訓。信息安全工作常備不懈，應建立專項檔案，就院內制度體系和業務場景中涉及的個人信息規范和標準培訓、合作協議等事項產生的記錄和資料進行妥善保管，其中，個人信息保護影響評估報告和處理情況記錄至少保存達3年，但可根據項目周期和院內實際，延長保存期限，確保信息安全項目的可追溯性。

最后，通過轉變信息化建設理念，梳理醫院對外合作中的信息安全風險，結合院內實際，建立或優化對外合作操作流程，重視其中的環節風險，不同業務場景，涉及的個人信息處理范圍和要求有所不同，具體可參見筆者發表于《中國醫院院長》雜志2021年第5期的《醫療機構病案管理風險識別與防范》一文。同時，完善各個業務場景內涉及患者個人信息保護的操作流程，加強員工對個人信息保護法律規范、信息安全規范或標準或操作指引的學習和培訓，提高相關科室員工的應對能力，建立健全對外合作個人信息合規體系，從而實現醫院精細化管理目的，增強醫院現代化管理水平，實現從高效管理中創造效益，進而推動醫院高質量發展。