南方财经全媒体记者 李润泽子 21世纪经济报道记者 郭美婷 王俊 北京、广州报道
6月10日是《数据安全法》通过一周年。为更好推动《数据安全法》等法律法规在卫生健康领域的宣传、贯彻落实,6月9日,由中国法学会网络与信息法学研究会主办、南财合规科技研究院承办的“卫生健康数据合规 实践与前瞻”研讨会召开。
在会议的圆桌论坛环节,多位专家学者、医疗机构、相关企业代表,围绕《网络安全法》《数据安全法》《个人信息保护法》及《关键信息基础设施安全保护条例》在实践中的落地情况及探索合理行业数据合规水位线等话题,共话健康医疗大数据产业发展前路,探索行业合规发展之道。
行业合规问题亟待解决健康医疗大数据产业缺乏具体可操作的法规细则,以及数据确权难等问题,是企业们所面临的共同瓶颈。
数安信CEO王雷认为,在医学研究方面的法律规范亟需明晰。虽然我国《民法典》和《个人信息保护法》规定了个人信息处理者处理个人信息的合法性基础的例外,例如《民法典》规定个人信息处理者对“为维护公共利益或者该自然人合法权益”等未经个人同意而处理个人信息的行为不承担责任,但为了防止“合法权益”被滥用作为个人信息处理的法律依据,《个人信息保护法》没有加以援引。由此可见,我国对个人信息处理行为的合法性基础是持谨慎考量态度的,在没有专门针对医学研究处理个人信息行为的合法性基础例外的法规背景下,采用科技手段完成医学研究数据合规的体系化建设,是保证满足当前法律要求的有效手段。
爱康国宾集团副总裁汪朝晖以体检行业为例,他指出其涉及到实验室数据、CT、核磁振等大量卫生健康数据采集,如何合规地处理、转移相关数据,需要在更具体的法规和标准指引下进行。
阳普医疗技术总监余鹏表示,个人信息大量分布在医院门急诊、住院、体检、支付等流程中,并且在医院局域网、医保系统、政务网等多个渠道上应用和传输。目前,卫生健康数据在不同网络环境下的传输并尚未有分类分级的安全要求和可执行的标准,现有的隐私保护方法更多注重数据脱敏和匿名化,而没有针对医院整体的全方位数据安全防护。
“合规是企业开展运营活动的生命线。”华大基因数据安全总监肖棉文认为,除缺乏操作性的细则外,数据权属未明、难以建立行业性的通用标准等难题也阻碍着健康医疗大数据产业相关企业数据合规工作的展开。
北京市中伦律师事务所合伙人蔡鹏则认为卫生健康数据中所涉及的敏感个人信息在某些场景下很难获得单独同意,导致流动困难,可以从匿名化处理的角度去寻求解决方案。
(资料图片仅供参考)
锘崴科技董事长王爽表示,很多医院、科研机构和第三方检测机构的卫生健康数据具有极高的学术价值,可用于科学研究或支持药物研发,但由于数据存在所有权不明确等问题,导致这些数据的使用出现合规性瓶颈。
阿里健康高级法务专家常帅指出,个人信息保护是医疗健康数据处理和共享所面临的重大挑战,主要体现在个人授权同意及相关医学研究的伦理审查方面。他建议,对医疗健康数据进行合理的分类分级,并非该领域所有的数据都应划分为敏感个人信息;同时,在平衡个人信息保护和医疗健康数据有序流动的基础上,进一步完善医疗健康数据合理融合、共享与开放。
探索合规之路健康医疗大数据产业如何合规发展?目前已有相关企业做出探索。
据京东健康副总裁、综合服务部总经理宋志瑞介绍,为应对信息安全风险,京东健康在整个“医、患、药、械”等领域做了相应的安全布防。
具体而言,在数据安全方面,京东健康在各个业务系统内置了数据分类分级的能力,针对国家行业的监管要求及业务需求,灵活制定策略,实现平台内数据资产的测绘,数据智能打标和数据分类分级,为数据在不同场景的使用提供相应的前置处理。
在个人信息方面,京东健康基于数据使用和呈现的不同需求,在数据脱敏系统内置丰富高效的脱敏算法,根据不同数据特征快速脱敏。常见的敏感数据包括用户姓名、证件号、患者健康状况等。
针对由于用户操作可能出现的数据泄露问题,京东健康支持数字的水印能力,该技术不同于数据加密技术,在必须展示数据的场景下添加水印,防止被截屏或拍照而造成的数据泄露。
平安健康资深副总裁兼首席技术官贺立权则介绍,平安健康建立了信息安全的组织管理、资产分级分类、安全审计、应急响应等流程,并将流程中涉及的数据脱敏、加密、解密等操作规范化。
此外,王爽还从隐私计算的角度提出了思路。他建议通过充分知情授权,以区块链技术记录数据使用全过程,运用隐私计算等技术保证全过程不会出现超范围使用,减少泄露风险,促进医疗数据在可管可控的前提下实现安全合规共享使用。
“未来,如何在合规和商业之间寻找平衡,可能是企业下一步将面临的问题。”水滴医药创新负责人梁玉芹表示。
统筹:王俊
记者:李润泽子 郭美婷