医院数据安全合规利用分析

文/王哲 邓勇

大数据时代，医院开展相关数据业务要采取合规措施，规避数据利用过程中的法律风险。

健康医疗数据，是人们在疾病防治、健康管理的过程中所产生的与健康医疗有关的数据。信息时代，随着健康监测设备、线上诊疗平台、电子病历等技术的推广应用，健康医疗数据内涵也得以大大延伸。同时，伴随以“大数据”为代表的信息处理技术更加广泛地应用于疫情防控、健康管理、诊疗服务等健康医疗场景，健康医疗数据的社会价值与经济价值不断提高。

2016年国务院在《关于促进和规范健康医疗大数据应用发展的指导意见》中指出，健康医疗大数据是国家重要的基础性战略资源，医疗大数据的开放共享、深度应用也被纳入《“健康中国2030”规划纲要》以及《“十三五”卫生与健康发展规划》当中。以《人口健康信息管理办法（试行）》《关于促进和规范健康医疗大数据应用发展的指导意见》为代表的法律规范、政策文件方面的探索也体现着党和政府对健康医疗数据的高度重视。

数据被称作信息时代的石油，一方面是健康医疗数据所蕴含的巨大现实价值，一方面又是不断出台的规范文件，这无疑使医院在健康医疗数据的相关服务上陷入两难的境地。医院对健康医疗数据的合规利用、合法开发就显得尤为重要。《中华人民共和国数据安全法》作为数据安全领域最新出台的一般法，所提出的规制要求对数据利用业务的开展具有极强的指导意义，结合健康医疗领域的具体规范性文件及政策要求，可以为医院的相关数据业务开展提供更明确的合规措施，规避数据利用过程中的法律风险。

暗流涌动：医院数据安全风险现状

实践中，大部分医院的网络安全建设几乎是空白，高度依赖提供系统的合作单位，数据安全意识薄弱，保护措施不足。中国医院协会信息管理专业委员会（CHIMA）发布的《2017—2018年度中国医院信息化调查报告》显示：调查的484家医院中，仅有36.16%通过了等级保护测评，《2018—2019年度中国医院信息化调查报告》显示：参与调查的839家医院中仅有43.95%通过了等级保护测评，两次数据均明显低于金融、电信、能源等领域，且其中三级医院比例明显大于三级以下医院，三级以下医院75%未开展过等级保护测评(图1)。2019年，中国信息通信研究院联合腾讯等机构对15339家医疗行业单位进行观测，撰写《2019健康医疗行业观测报告》，数据显示：通过对15339家医疗行业相关单位的观测，存在僵尸、木马或蠕虫等恶意程序的单位共计1029家，应用服务端口暴露在公共互联网中的单位有6446家，4546家单位网站存在被篡改安全隐患，其中261家单位已发生网站被篡改情况，行业总体处于“较大风险”级别(图2)。

图1 《2018—2019 年度中国医院信息化调查报告》数据

图2 《2019 健康医疗行业观测报告》数据

医疗数据

信息时代，随着健康监测设备、线上诊疗平台、电子病历等技术的推广应用，健康医疗数据内涵也得以大大延伸。

从医院建设的角度来看，CHIMA《2018—2019年度中国医院信息化状况调查报告》显示，现阶段绝大多数医院仅采用防火墙保障网络安全，医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。大部分医院都缺乏必要的网络防护设备。

中国评测网安中心分析了35家开展网络安全等级保护测评的医疗信息系统案例后发现，部署网络准入系统的有0家，而在数据保护方面38%的系统没有数据库审计，只有2%的单位具有灾备服务器，大部分医疗信息系统没有完善的数据保护机制。根据中国评测网安中心对73家医疗机构的信息系统进行网络安全测评的结果来看，58%的医疗信息系统存在弱口令问题；59%医疗信息系统存在网络防护架构不完善问题，包括网络区域划分不合理、网络链路无冗余等问题。

这并非危言耸听，据报道：2019年初，某省几十家互联互通医院同时感染GlobeImposter3.0变种勒索病毒而被加密，GlobeImposter勒索病毒十分偏爱医疗行业，在众多感染GlobeImposter勒索病毒的行业中，医疗行业占比约50%。

2019年，德国一家漏洞分析和管理公司发现，含有大量医疗放射图像的服务器暴露在公共互联网中，其中涉及中国14个服务器系统，包含近28万条医疗数据，详细记录了患者个人信息及医疗情况，攻击者利用这些数据在暗网中交易获取巨额利润。

据不完全统计，2021年光上半年就至少发生了1200多起勒索软件攻击事件，与2020年发生的已知公布的大约1420起勒索软件攻击事件已经十分接近，其中针对医疗系统和教育行业的攻击增加了45%，平均赎金从2021年的40万美元提高到2022年的80万美元。

此外，还存在患者个人信息泄露的可能，早在2016年，我国30个省份275位艾滋病感染者称接到了诈骗、羞辱电话，在新冠肺炎疫情期间，一些确诊病例和密切接触者的个人信息更是被暴露在网络、社交媒体上，让许多无辜的病例遭受网络暴力……美国Ponemon研究院的一项调查显示：超过一半的医院表示，他们在过去两年中曾发生过一次或多次由第三方系统供应商造成的数据泄露，平均每起事件的成本为290万美元。

同样，也有医院为此而承担行政责任。据报道，日照市中心医院在网络上直播妇科手术，被指暴露患者隐私，公开信息显示，日照市中心医院因“违反医疗信息安全制度、保障措施不健全，导致医疗信息泄露案”被处以警告、罚款人民币5万元。而据日照市东港区委宣传部通报，已对涉事医生厉某某刑事拘留，提请批捕，并依法依规注销执业医师资格证书、予以开除。日照东港区政府、日照东港区卫生健康局、涉事医院负有领导责任和直接管理责任的11名相关人员被严肃追责问责。

可见，在大部分医院的网络安全建设不足的情况下，各种医疗健康数据都面临着恶意攻击事件、数据泄露的风险，医疗行业网络安全形势日益严峻。

2020 年全球数据泄露超过去15 年总和，数据安全问题已成为全球各国的关注重点，近期多个国家纷纷将数据安全上升至国家安全高度。

提纲挈领：数据安全合规的必要性梳理

健康医疗数据体量巨大且来源途径多样。因此，健康医疗数据所牵涉的利益主体也更加多元，公民个人、医疗机构、科研单位、医药企业甚至国家都处于其影响之下。

对于公民个人而言，健康医疗数据内涵丰富，涉及个人主体的身份、财产信息、健康状况等情况，与公民个人密切相关，数据的不当利用或泄露将导致公民隐私权、财产权乃至人格尊严处于不利的风险之中。

对于医疗机构、医药企业等单位主体来说，数据是本单位取得竞争优势的重要资源，目前，健康医疗数据在医疗保健服务、医药新产品研发、单位智能决策、提高行政效率等方面均发挥着重要作用，同时，数据的不正当利用或泄露一旦被曝光，对相关机构的名誉也会造成不可挽回的恶劣影响。

对于国家，健康医疗数据是政府制定相关政策、规范时的最重要依据，同时健康医疗数据又与国家的生物安全息息相关。2021年中国互联网大会数据安全论坛中，中国信息通信研究院安全所信息安全部主任魏薇表示：“2020年全球数据泄露超过去15年总和，数据安全问题已成为全球各国的关注重点，近期多个国家纷纷将数据安全上升至国家安全高度”。在贯彻“总体国家安全观”的背景下，应更加重视健康医疗数据的规范应用。

由于健康医疗数据早已渗透进医疗行业的各细分领域，所以健康医疗数据的市场经济价值难以用数字具体衡量。以医疗软件为例，据IDC《中国医疗软件解决方案市场预测2022—2026》研究报告预测，2023年中国医疗行业IT支出市场规模约为648.44亿元，同比增长约为14.3%；预计到2026年市场规模将达到920.70亿元人民币，其2021—2026年的年复合增长率为13.30%，由这一细分领域的市场增量也可对健康医疗数据的巨大经济价值窥知一二。当下，健康医疗数据在医疗行业无论是传统领域的创新发展还是新兴领域的市场开拓都发挥着无可替代的作用，其所具有的经济价值也随着行业规模与技术的不断发展而不断提高。

由于健康医疗数据在国家战略中所处的重要地位，为最大程度保障其能够得到合理应用，立法主体在民事、行政、刑事各领域为健康医疗数据的不当应用创制了不同程度的法律责任。医疗机构、医药企业等责任单位及主管人员若未能做好健康医疗数据的合规利用，将会触发相应的法律责任机制，承担法律上的不利后果。

民事责任方面，作为被采集者，对其健康医疗数据享有包括知情权、控制权、处分权、保护权、修改权等权利。同时，健康医疗数据与被采集者的隐私权、财产权等重要权利息息相关。当隐私权、财产权等权利遭到侵害时，被采集者可通过法律途径进行维权，侵权主体的责任承担方式主要有停止侵害、赔礼道歉、赔偿损失等。同时，相关行为也会导致侵权主体名誉不可挽回的损失。

行政责任方面，由于健康医疗数据关系重大，因此在健康医疗数据的采集、存储、利用的过程中会受到卫生监督机构、卫生行政管理机构、市场监督管理机构、国家网信部门、国家安全部门、公安部门等其他有关机关的监管。当责任单位行为违反监管规定时，或将面临警告、没收违法所得、对直接负责的主管人员和其他直接责任人员罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚。另外，我国在健康医疗数据安全方面建立了相应的责任追究制度，对于违反相关规定的单位和个人，由主管部门视情节轻重予以约谈、督导整改、诫勉、通报批评、处分或提出给予处分的建议，若构成刑事违法的，将依法追究其相应的法律责任。

刑事责任方面，由于健康医疗信息包含个人信息，不当的泄露或可构成侵犯公民个人信息罪。《刑法》规定违反国家有关规定向他人出售或者提供公民个人信息，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处3年以上7年以下有期徒刑，并处罚金。同时，健康医疗数据所包含的信息还可能构成国家秘密，若不当泄漏或将构成故意泄露国家秘密罪与过失泄露国家秘密罪，情节严重的，处3年以下有期徒刑或者拘役；情节特别严重的，处3年以上7年以下有期徒刑。该罪在主体上亦包括非国家机关工作人员。

未雨绸缪：大数据合规利用的要点

《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》虽强调着数据行业的全方位监管，但同样重视对数据经济的支持，该法律绝对不是对健康医疗数据价值利用之禁止。医院应当根据健康医疗数据的特点，结合《中华人民共和国数据安全法》《医疗行业合规管理规范》《人口健康信息管理办法》等特别法律规范的规制要求密切关注自身行为的合规情况。在数据的采集、存储、应用环节遵守法律规范的要求，规避潜在法律风险。

实践中，大部分医院的网络安全建设几乎是空白，高度依赖提供系统的合作单位，数据安全意识薄弱，保护措施不足。

数据的采集

健康医疗数据的采集，即获取、存储健康医疗数据的行为。采集是健康医疗数据应用的第一步，目前我国的健康数据采集工作主要由线下诊疗、体检及线上健康监测两大方面组成，构成医院日常工作的重要部分。

对健康医疗数据的采集，应当遵循“知情同意”以及“一数一源，最少够用”原则。医院在进行健康医疗数据的采集或共享前应当确定作为数据源头的被采集人是否获得了全面、充分的告知，保证得到被采集人的合法有效授权，保留相关程序的证据，规范数据采集的前置程序。而在采集过程中，医院应以业务真实需要为标准进行采集，避免数据的过度采集，遵循医学伦理原则，保证信息安全，保护个人隐私。同时要保证被采集人在本单位的信息系统中的身份唯一，所关联信息一致，防止重复采集，多头采集。

由于健康医疗领域信息化程度的不断提高，部分医院开展线上医疗服务，因此针对线上医疗服务所进行的信息搜集，还应当关注《中华人民共和国网络安全法》对网络领域敏感信息采集的操作规范要求。医院于线上医疗收集健康医疗数据的过程中依然要遵循“合法、正当、必要”的原则，不仅是针对一手数据，对于间接采集与可能的数据共享也应当证实其数据来源是否符合“合法、正当、必要”的要求，规避相关的法律隐患。在收集过程中，医院应公开信息采集、使用的规则、目的、方式等，在利用网站、应用APP、小程序等方式采集的过程中应当制定规范、易懂的隐私政策并醒目设置，确保被采集人的“知情同意”。

数据的存储

医院在存储医疗数据时，应当采取必要的安全措施保障己方所控制的健康医疗数据的安全，防止健康医疗数据泄露、毁损、丢失或者被篡改，更不得非法向他人提供。在数据存储工作中医院应遵循“安全储存、责任明确、境内储存”的原则，根据权威机构的统计信息，自查自检解决隐患。

医院应当建立内部的数据安全保护制度，构建健康医疗数据分级分类存储体系，根据数据所涉隐私及重要程度划分数据安全等级，落实数据的长期保存及归档管理，并通过数据备份、权限管理、局域网加密技术手段保障健康医疗数据的安全。与此同时，还应当注重建立可靠的数据容灾备份工作机制，确保特殊情况下相关数据能够及时、完整地恢复，提高自身数据系统的抗风险能力。

医院应根据《国家健康医疗大数据标准、安全和服务管理办法（试行）》之要求，建立健康医疗数据的安全管理制度、操作规程和技术规范，落实主管人员责任，通过电子实名、访问级别限制等手段强化统筹管理和协调监督，保障健康医疗大数据安全。实践中存在部分机构囿于自身实力限制，通过与第三方合作的方式来进行数据的储存的情况，此时应当注意，根据《人口健康信息管理办法（试行）》规定，“委托其他机构存储、运维人口健康信息的，委托单位承担人口健康信息的管理和安全责任”。

该管理和安全责任作为规范的强制性要求，无法通过合同的方式进行转移，因此，医院在选择合作伙伴时应当格外谨慎，关注其资质、历史业务表现等方面，通过合作前的尽职调查，针对合作方的行业资质与能力、历史业绩表现、业务可行性等内容进行审查，核实合作方在谈判阶段所述的合规情况的真实性，做好前置风险控制，及时对其在数据方面的问题进行处理，推动合作的合规开展。

数据的利用

健康医疗数据的利用不仅仅是数据的分析应用，还包括数据的交互共享等流通行为。在数据利用的过程中，医院应遵循“去标识化”“可追溯化”的操作原则。

大数据时代的背景下，公民的隐私观念逐渐缓和，但这也让个人数据的脱敏处理变得更加困难，这一问题在健康医疗数据方面表现得更加突出，该类数据普遍涉及公民身份、财产、隐私等敏感内容，因此在分析应用的过程中进行去标识化处理不仅可以减少数据冗余，更能契合《数据安全法》保障安全与实现价值平衡的要求。同时也应当根据《人口健康信息管理办法（试行）》要求，建立痕迹管理制度，任何建立、修改和访问行为都应当实现可控制、可管理，行为主体，都应当是通过严格的授权及身份审核的工作人员。

由于健康医疗数据早已渗透进医疗行业的各细分领域，所以健康医疗数据的市场经济价值难以用数字具体衡量。

健康医疗信息跨机构、跨地域的交互、共享过程场景下，除技术防范，医院须确认对象的主体资质问题及使用目的，医院可通过数据客体单独存放、单独访问等方式避免非医院方主体直接访问整体数据库，若确有需要，医院应明确约定访问范围、方式等要素，在技术层面加强因访问可能导致的数据泄露问题，建立相应的安全事件应急机制。另外，若医院在数据采集环节并未向被采集人明确数据可能的交互共享情况，则医院主体需要征得被采集人的知情同意，否则不应当冒可能的法律风险将相关数据纳入交互共享的范围。

数据的涉外

如前所述，《数据安全法》对于违规向境外提供数据的行为持严厉的否定态度，《人口健康信息管理办法（试行）》等多部法律规范均规定不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。因此，医院应保证所控制的健康医疗数据“不涉外”，确有需要向境外提供或与境外主体进行相关业务合作的，应当根据法律规范具体要求，报请各地主管机关同意后才可开展相应的工作。