信息化建设中的法律风险及应对

文/邓明攀 刘春林

本文围绕公立医院高质量发展背景下，医院信息化建设风险及应对进行探讨，结合业务场景就医院对外合作中的风险点进行提示，并提出应对建议。

为巩固深化医改成果，国务院办公厅于2021年5月14日发布了《关于推动公立医院高质量发展的意见》；随后，国家卫生健康委、国家中医药管理局发布了《关于印发公立医院高质量发展促进行动（2021—2025年）的通知》；国家医改领导小组秘书处也于2022年2月9日发布了《关于抓好推动公立医院高质量发展意见落实的通知》。足见国家对公立医院高质量发展的重视，而实现公立医院高质量发展的行动内容非常丰富，涉及信息化建设、临床重点专科群、人才队伍、智慧医院、医疗服务模式、医学技术、运营管理，兼顾技术和管理考量。

而公立医院高质量发展促进行动中有提及“加强医疗信息化建设”“以信息化为支撑”等内容，实践中，以互联网+医疗时代，智慧医院、远程医疗、区块链、人工智能、大数据、5G、云计算、物联网、元宇宙等为代表的新一代信息技术在医疗领域融合应用，那么，如何应对信息化建设中，特别是《数据安全法》《个人信息保护法》等法律施行以来公立医院对外合作中的信息安全风险，对公立医院实现高质量发展提出挑战。鉴于此，笔者拟围绕公立医院高质量发展背景下，医院信息化建设风险和应对进行探讨，结合业务场景就医院对外合作中的风险点进行提示，并提出应对建议。

医院对外合作中的法律风险

2021年11月1日，《中华人民共和国个人信息保护法》正式实施，其第28条明确规定，“生物识别”和“医疗健康”等信息适用个人敏感信息处理规则。而医疗机构因诊疗活动采集、存储了大量的医疗健康信息，形成信息池或数据池，在加强信息化建设过程中，容易忽视数据安全和信息安全。同时，公立医院信息化建设面临最大的风险便是安全管理，而公立医院对外合作场域便是信息安全管理高风险地带。本文将医疗机构对外合作中的业务场景，按合作主体和合作项目进行了分类。

医疗机构之间

公立医院高质量发展是深化医改举措之一，而深化医改举措并不限于此，包括医联体、远程会诊、检查检验结果互认、分级诊疗、现代医院管理和公立医院绩效考核等政策措施。

一是医疗联合体。为构建优质高效医疗卫生服务体系，推动优质医疗资源下沉，发挥城市医联体和县域医共体的作用，加强公立医院医疗能力建设，其中，患者在医联体内的健康信息的互联互通成为发挥这一作用不可缺少的一环，患者健康信息上下级医院转移，甚至在信息技术支撑下，建立信息共享通道。此时，在没有取得患者同意的情况下，医疗机构之间可根据诊疗需求，查阅患者在医联体内不同机构的就诊信息，增加治疗方案的全面性和有效性，但除了诊疗服务外，科研项目也可能使用患者健康信息，同时，也存在过度使用风险。

二是远程会诊。远程会诊涉及两家医疗机构，同时可能依赖第三方信息科技，远程会诊将获取患者的面部信息和健康信息，经患者申请或同意，远程会诊医疗机构可依法收集，并提供诊疗方案，但收集后的存储、使用和传输等则存在风险，如涉及国际会诊，则还可能面临个人信息出境的问题。因此，在协议里要就信息处理义务是否进行约定，涉及跨境传输的，是否符合信息传输要求，是否脱密处理，提供范围和数量是否有限，是否尽到安全评估义务，是否向患者履行告知义务。

三是检查检验结果互认。本项工作适用于各级医疗机构，特别是医联体内数据信息的互联互通，患者享有个人信息携带权，可否带走检查检验数据，如何通过信息化建设，保证医联体内结果互认，是否对查询主体进行授权管理，是否需要征得患者同意，是检查检验结果互认工作顺利开展不可忽视的重要环节。

第三方信息处理主体

医疗机构的主要业务是提供诊疗服务，而信息化建设不可避免地需要信息技术作支撑，而自主研发成本远远高于购买信息服务。实践中，大部分医疗机构在信息化建设过程中首选购买软件系统软硬件以及相应的维护服务。此时，第三方机构是医院患者个人信息，特别是健康信息的密切接触者，也有可能是信息收集和存储主体，如何防范患者健康信息使用或泄露风险，须引起关注。具体的适用场景包括以下5种。

第一种，互联网医院合作或运营维护商。互联网医院合作或运营维护商在合作上通过信息技术支撑达到互联网医院就诊目的，提供医疗服务的可及性和高效性，而合作内容上必然涉及大量患者个人信息或健康信息，那么，医疗机构是否提供，依据是什么，有无法定依据，均是有待思考的问题。而且，互联网医院因合作形式不同，通常由实体医疗机构委托第三方公司运营或由第三方公司独立运营，故依托或独立设置的互联网医院的合作协议在签署时，个人信息保护责任主体有所不同。

第二种，云存储机构。传统存储设备已无法满足信息增量的需求，且传统介质设备的存储有限，成本高，损毁风险高。伴随信息技术的发展，云存储因其便捷、低成本、安全受到医疗机构的青睐，但仍须考虑诸如勒索病毒的安全事件发生以及云存储机构内部管理不当引发的泄露风险。同时，在选择合作商时，是否履行尽职调查，调查合作商是否具有外资背景以及服务器是否在境内等。

第三种，检验设备或院内信息系统供应商或维护商。检验设备或院内系统不断收集、存储患者个人信息和健康信息，部分设备还兼具人脸识别功能，在疫情防控当前，入院体温采集设备中，部分医疗机构采用的设备具有采集高清人脸图像的功能，属于过度采集，收集信息越多，保护义务越重，无疑该行为加重了医院的保护责任。可穿戴设备适时抓取患者的信息，传输至终端，预约挂号系统收集的个人信息，均可能存储于第三方机构，如何防范其中的个人信息泄露或不当处理风险，仍需警惕。

第四种，自助医疗设备捐赠商。第三方捐赠商选择在医疗机构放置符合患者诊疗需求的医疗设备，这些设备免费提供医院使用，但将收集患者个人信息，如患者的基本信息、既往病史等信息，虽然系捐赠行为，但收集患者个人信息的行为属于医院的行为还是捐赠商的行为，其中涉及的法律风险，医疗机构是否已予以关注。与此类似的是基金会项目，部分合作项目通过基金会与医院达成合作，合作必然涉及患者个人信息提供和使用，而个人健康信息和未成年人的个人信息均属于个人敏感信息，相关风险是否清楚，是否采取配套的防范措施，有待进一步思考。

第五种，病历微缩、保管和委托邮寄服务商。病历是医疗机构诊疗活动符合诊疗规范的重要证据，而病历涉及患者的基本信息和健康信息，法律及配套规范均规定医院妥善保管病历的义务和责任。同时，医疗机构在信息化建设过程中，基于成本和存储考虑，通常会选择委托第三方机构缩微或存储保管，在此过程中，因第三方工作人员的文化水平和法治意识普遍不高，未做分区管理，可能引发病历损毁或泄露风险。

而保管亦是如此，是否进行现场查看、合同义务和责任约定是否完善、合同到期如何处理等问题是否有所考虑。病历原件存储在第三方，涉诉后，因举证责任，第三方是否可以满足医疗机构临时调取原件的需求，如病历遗失，导致医院承担举证不能的法律后果，该责任是否在合作协议中明确约定。

病历委托邮寄，是否取得患者同意，如地址写错或非患者本人提供，可能导致患者健康信息泄露的风险。

与患者相关的其他第三方主体

前述两类主体均与患者相关，但偏向于医疗服务活动和医疗信息技术支撑，而第三类主体则主要辅助医疗机构提供更加优质的医疗服务，以及与患者切身利益相关的其他活动。此外，便是第三方主体基于劳动人事管理或保险合同获取员工和被保险人的健康信息，以便于人资管理和完成保险理赔审查工作。

一是回访服务商。患者满意度调查已纳入公立医院高质量范畴，而为了完成该项工作，医院基于成本考虑，委托第三方完成患者满意度调查和回访工作成为优先选择。第三方便基于该项委托服务收集了患者个人信息和健康信息，是否有合法依据，且医院可能面临的信息泄露和不当处理风险。

二是职业心理评估服务商。近年来，社会因抑郁自杀的案件偶见报端，特别是学生和医务工作者，而公立医院这些科室如精神病科、儿科以及相关的专科医院，在委托第三方职业心理评估时，将获取患者及员工的个人敏感信息，收集其个人信息是否符合《个人信息保护法》相关规定，同时，是否履行相应的保护义务，有无相应的防范措施和不当处理的责任约定。

三是商业保险公司。保险公司因患者保险理赔申请，基于理赔审查职责，可能向医院提出查阅、复制患者病历的申请，而患者病历涉及患者个人信息，除了按病历管理规定，还须审查保险条款和授权委托书范围，不能仅凭申请便提供相应的信息，有条件的，可向患者本人核实，防范信息泄露和道德伦理风险。

四是殡葬合作公司。实践中，患者死亡出现两家殡葬服务机构，这是有损医院形象和社会评价的，究其原因在于患者信息泄露和内部管理混乱问题。

五是委托第三方检查检验。随着疫情防控常态化，核酸检测如血常规一般成为必要检查项目。实践中，委托第三方检测项目并不限于核酸这类检测项目，部分医疗机构因无法完成部分检测项目，包括病理、影像或基因检测等，则可能委托第三方检验，这其中涉及患者个人信息，是否告知患者，收集、存储、传输、使用是否符合《个人信息保护法》相关规定。

六是用人单位定点医疗机构。如工伤、职业病健康检查以及体检等事项，因涉及患者个人信息，检查结果可否直接提供给用人单位，其合同依据是什么，员工体检信息整体发给委托单位，是否有合规边界。

七是药物、医疗器械临床试验申办方。药物或医疗器械临床试验收集的信息便是受试者（患者）的个人信息，是否需要取得患者单独同意，做好个人信息保护，同时，防范信息跨境传输风险。

法律风险原因分析

从上述场景适用存在的风险看，主要是患者个人信息处理各个环节中的不当行为，引发的信息泄露或不当处理风险，究其原因，在于信息化建设过程中，更为重视技术，而忽视了管理，即信息技术应用中的合规风险。具体表现为安全管理意识不足和对个人信息泄露责任较重认识不足。

首先是信息化建设合规意识不足。公立医院高质量发展强调了信息化建设的作用，并成为医院等级评审、区域医学中心、现代医院管理、医联体建设等项目的评价依据，故刺激了医院在信息化建设中的投入，软硬件投入均作相应的增加，但忽视了合规管理，包括事前预防和事中控制。事前预防，信息系统和服务采购项目是否符合政府采购相关规定，供应商或合作方资质是否合法，是否有相关业绩，是否具备信息安全的能力和条件，包括日常防范工作和应急处理方案等，协议是否约定完整，是否具有明确主体，避免争议发生后无法适用合同条款解决争议。事中控制，包括信息安全维护，是否定期提交维护报告，是否存在合同之外的不当处理，如信息交易、传输或公开等行为。

其次是个人信息泄露责任较重。《个人信息保护法》于2021年11月1日正式施行以来，有关个人信息保护的诉讼纠纷在司法实践中已发生，包括医疗机构。根据《个人信息保护法》第66条规定，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处100万元以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

从上述规定可知，个人信息处理不当所面临行政处罚有警告、没收违法所得、罚款和暂停营业、吊销执照，同时，实行双罚制，包括机构和责任人，责任人还将面临罚款和限制从业。

应对建议

公立医院高质量发展促进行动要求医院加快推进信息化建设进程，而医院信息化建设不仅包括提高自身信息化建设水平，同时，还须发挥自己在地区医联体牵头或龙头作用，且均须加强与第三方的合作。然而，医疗机构对外合作中便涉及数据信息互联互通问题，如何应对合作场景中的风险，本文提出如下3点建议。

第一，转变信息化建设理念，技术和合规管理并重。

信息化高楼不仅需要人力、技术和设备的支撑，还需要主要地基的稳固，避免空中楼阁。作为医院管理者，可从重视技术投入和追求信息化建设规模，向信息化成效和低风险指数转变，即从技术偏好向兼顾技术和管理转变。信息化建设提供的多为虚拟产品或服务，实效和低风险理应成为项目立项和推进的重要考虑因素，其落地应符合公立医院高质量发展大局。

第二，梳理对外合作中的个人信息风险点，做好防范。

前文第一部分已就医院对外合作中的常见场景风险点进行了梳理，主要归为3类，医疗机构之间、第三方信息处理主体、与患者有关的其他第三方主体，与诊疗活动紧密程度有所不同，但均提及了个人信息泄露风险及相应的责任。基于此，医疗机构应加强事前预防和事中控制管理，并制定或完善相应的应急处理预案。

事前预防：一是医疗机构自查，包括资质和业绩等自查；二是做好安全评估，涉及安全保护性措施，可向信息安全专业咨询，购买相应的服务；三是建立医院数据合规体系，可向法律专业人士咨询，如医院有法律顾问，可将信息化建设相关协议提交审查，完善合同条款设计，并协助建立数据合规流程及制度，如无法律顾问，可以专项委托行业专业律师完成，防范合作中可能面临的法律风险。该项工作，也符合现代医院管理合规要求。

事中控制：可对项目运营加强管理，提供项目委托运营季度或年度报告，加强数据合规审计，特别是维护环节，如患者个人信息泄露投诉，及时与第三方沟通相关情况，达成书面意见。

事后处理：及时性和有效性，其中，及时性包括发现及时和应对及时，前者是医疗机构与第三方信息互通的及时性，后者是对外处理的及时性，即危机公关，包括当事人和社会舆情的控制。有效性则包括应急处理方案的有效性，合作双方应急事件处理水平的提升，以及与当事人妥善解决相关争议的有效性和合作双方解决争议的实效性。

第三，建立健全对外合作个人信息合规体系，优化对外合作操作流程。

在梳理院内个人信息保护涉及的业务场景基础上，建立健全对外个人信息合规体系，包括但不限于：一是制度建设，如患者个人信息保护领导小组，确定常设办公室（信息科、事业发展部或对外合作交流相关部门），覆盖业务场景涉及的全部科室，确定小组成员分工及职责以及工作内容，明确不同操作权限；二是分类管理个人信息，明确不同业务场景对个人信息的处理范围，确保个人信息处理目的的正当性；三是信息化建设过程中应增加对个人信息保护安全技术措施投入的预算，作为信息安全风险防范的重要举措，并成为常态，确保信息安全；四是达到个人信息处理数量的，应指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督，并将个人信息保护负责人的联系方式予以公开，接受社会监督，如涉及人事变动，则及时更新；五是做好合规审计，委托专业的第三方做好审计工作，出具相应的建议意见书，包括审计、法律、信息安全等事项；六是做好个人信息保护影响评估报告和处理情况记录，确保患者个人信息处理的合规性。

第四，加强所涉科室员工的培训，妥善留存个人信息保护相关记录或资料。

如信息科、病案科、设备科、临床医技科室、科研科等科室，应对自职责范围内涉及第三方合作，特别是与患者个人信息密切相关的合作业务，则必须加强管理，强化个人信息保护相关法律规定和配套规范或标准的学习和培训。信息安全工作常备不懈，应建立专项档案，就院内制度体系和业务场景中涉及的个人信息规范和标准培训、合作协议等事项产生的记录和资料进行妥善保管，其中，个人信息保护影响评估报告和处理情况记录至少保存达3年，但可根据项目周期和院内实际，延长保存期限，确保信息安全项目的可追溯性。

最后，通过转变信息化建设理念，梳理医院对外合作中的信息安全风险，结合院内实际，建立或优化对外合作操作流程，重视其中的环节风险，不同业务场景，涉及的个人信息处理范围和要求有所不同，具体可参见笔者发表于《中国医院院长》杂志2021年第5期的《医疗机构病案管理风险识别与防范》一文。同时，完善各个业务场景内涉及患者个人信息保护的操作流程，加强员工对个人信息保护法律规范、信息安全规范或标准或操作指引的学习和培训，提高相关科室员工的应对能力，建立健全对外合作个人信息合规体系，从而实现医院精细化管理目的，增强医院现代化管理水平，实现从高效管理中创造效益，进而推动医院高质量发展。