健康醫療數據安全的實現新工具—《健康醫療數據安全指南》解讀
作者:吳衛明 劉昀東 毛彤 2021-03-23近年來,隨著《國務院辦公廳關于促進和規范健康醫療大數據應用發展的指導意見》《國務院辦公廳關于促進“互聯網+醫療健康”行業發展的意見》《關于深入開展“互聯網+醫療健康”便民惠民活動的通知》《關于進一步推動互聯網醫療服務發展和規范管理的通知》《關于深入推進“互聯網+醫療健康”“五個一”服務行動的通知》等政策文件的出臺,以及大數據、人工智能等新型技術的發展,健康醫療數據應用、“互聯網+醫療健康”和智慧醫療蓬勃發展。與此同時,各種新業務、新應用的不斷出現也使得健康醫療數據在全生命周期各階段面臨著越來越多的安全挑戰。例如在新冠肺炎疫情期間,國內醫療影像AI公司匯醫慧影遭黑客入侵,[1]青島膠州6000余人就診名單信息泄露[2]等等。
健康醫療數據具有普遍的真實性和隱私性,從微觀上包含個體身體健康情況、醫療就診情況等數據,從宏觀上包含疾病傳播、區域人口健康狀況等數據,健康醫療數據安全事關患者生命安全、個人信息安全、社會公共利益和國家安全。為了更好地保護健康醫療數據安全,規范和推動健康醫療數據的融合共享、開放應用,促進健康醫療事業發展,《信息安全技術 健康醫療數據安全指南》(GB/T 39725-2020,以下簡稱《安全指南》)經多次修訂完善、驗證試點、修改名稱后已對外發布,將于2021年7月1日起正式實施。
本文將圍繞健康醫療數據安全的實現,從健康醫療數據的概念出發,結合典型場景對健康醫療數據的安全目標及其實現的基礎、原則、措施要點和具體方式進行體系化解讀。
一、健康醫療數據的概念 《安全指南》對健康醫療數據進行了較為明確的界定,“包括個人健康醫療數據以及由個人健康醫療數據加工處理之后得到的健康醫療相關電子數據。”其中,“個人健康醫療數據”與《信息安全技術 個人信息安全規范》(GB/T 35273—2020,以下簡稱《個人信息安全規范》)中的“個人信息”基本保持同樣的邏輯基礎,是指“單獨或者與其他信息結合后能夠識別特定自然人或者反映特定自然人生理或心理健康的相關電子數據。”可以理解為“個人健康醫療數據”是一種特殊的“個人信息”。而“由個人健康醫療數據加工處理之后得到的健康醫療相關電子數據”則包括群體總體分析結果、趨勢預測、疾病防治統計數據等。值得注意的是,《安全指南》中對健康醫療數據的界定僅限于電子數據,主要是基于“互聯網+醫療健康”的快速發展擴大了電子數據的應用,并提升了電子數據安全保護的重要性和迫切性,而且,縱覽《安全指南》,其內容也基本是圍繞電子數據展開的。 此外,在我國現有法律法規以及其他標準中,對健康醫療數據相關的術語表述及內涵也各有差異,此次《安全指南》通過定義和劃分類別及范圍(詳見三、(一)健康醫療數據分類分級)的方式,已基本將下述數據納入并統一整合。 二、健康醫療數據安全目標 與立法目的相似,安全目標是制定《安全指南》所要達到的任務目的,決定了《安全指南》的具體內容并統領其價值取向。在《安全指南》中,健康醫療數據保護的安全目標共分為三個層次:一是從數據本身的角度,確保其保密性、完整性和可用性;二是從數據使用和披露安全性角度,確保合法合規性,保護個人信息安全、公眾利益和國家安全;三是從業務的角度,確保在符合安全要求的前提下滿足業務發展需求。 可以看出,在目標設計上,《安全指南》兼顧了安全需要和發展需要,并且安全的含義不僅僅是技術上的保密性、完整性和可用性要求,也包含了對其他主體合法權益的保護要求。 三、安全目標實現的基礎與指導原則 (一)基礎:健康醫療數據分類分級 1. 健康醫療數據分類 《安全指南》參考健康醫療數據的應用場景、特征等因素,將健康醫療數據分為如下類別,并劃定相應范圍: 2.健康醫療數據分級 《安全指南》根據數據重要程度、風險級別以及對個人健康醫療數據主體可能造成的損害和影響的級別進行分級,具體如下: 盡管《安全指南》僅為推薦性標準,但此處分類分級對于相關組織開展數據分類分級工作具有重要現實意義,一方面可以滿足遵從性的合規要求,另一方面也可以提升其自身信息化水平和運營能力。具體而言,數據分類可以更好地將數據資產化,保護數據的可用性,以便持續性提供精準的數據服務;數據分級可以從安全角度保駕護航,明確不同等級數據在不同場景的安全策略,以實現聚焦和資源的合理化配置,更好地保護數據的完整性、保密性。此外,健康醫療數據分類分級是安全目標實現的基礎,數據開放形式劃分和使用披露原則也是基于數據分類分級而確定,從而實現更精細化的管理。 (二)原則之一:數據開放形式劃分 數據開放形式是相對于《健康醫療數據安全指南(征求意見稿)》(2019年4月4日)增加的內容,《安全指南》根據數據公開共享類型劃分為完全公開共享、受控公開共享、領地公開共享,相應確定常見數據開放形式及其適用的公開共享類型。具體而言,《安全指南》列出常見的數據開放形式有:網站公開(完全公開共享)、文件共享(受控公開共享)、API接入(受控公開共享)、在線查詢(匿名查詢:完全公開共享;用戶查詢:受控公開共享)、數據分析平臺(領地公開共享)。可以看出,完全公開共享可對應數據分級中的第1級,受控公開共享和領地公開共享可以對應數據分級中的第2級至第5級,其中,受控公開共享強調通過數據使用協議對數據使用進行約束,領地公開共享則強調將數據限定在物理或虛擬的領地范圍內。 (三)原則之二:使用披露原則 《安全指南》共列出18條健康醫療數據使用披露原則,包含數據收集、使用、委托處理、提供、存儲、匯聚融合、跨境傳輸、主體權利等方面,基本覆蓋數據全生命周期環節。值得注意的是,由于健康醫療數據的特殊性,《安全指南》中提出的部分使用披露原則相對現有法律法規、標準具有一定特別之處,鑒于《安全指南》僅為推薦性標準,仍建議在實踐中遵照現有生效的法律法規規定予以執行。對相關使用披露原則列舉如下: (1)數據授權同意的例外。《安全指南》明確了四種可以使用或披露相應個人健康醫療數據的授權同意例外情形,具體為:1)向主體提供其本人健康醫療數據;2)治療、支付或保健護理;3)涉及公共利益或法律法規要求;4)受限制數據集用于科學研究、醫學/健康教育、公共衛生目的。并指出控制者可依靠法律法規要求、職業道德、倫理和專業判斷來確定哪些個人健康醫療數據允許被使用或披露。 其中,受限制數據集是指“經過部分去標識化處理,但仍可識別相應個人并因此需要保護的個人健康醫療數據集”。《民法典》規定經過加工無法識別特定個人且不能復原的個人信息才可向他人提供,《個人信息安全規范》中規定在個人信息控制者為學術研究機構,出于公共利益開展統計或學術研究所必要,且其對外提供學術研究或描述的結果時,對結果中所包含的個人信息進行去標識化處理的,才可不必征得主體的授權同意。《安全指南》將可識別相應個人的受限數據集用于科學研究、醫學/健康教育、公共衛生目的作為授權同意的例外,可以看出是在健康醫療數據的可用性與公共利益保護之間尋求平衡。此外,《安全指南》指出控制者可依靠法律法規要求、職業道德、倫理和專業判斷來確定哪些個人健康醫療數據允許被使用或披露,提出了一種具有一定操作性的豁免同意的實現路徑,但鑒于健康醫療數據本身的復雜性、敏感性,依靠職業道德、倫理等判斷是否可在未取得個人授權同意的情況下使用或披露存在較大不確定性,也有可能被司法、行政機關認定為非法提供數據行為而具有一定風險。因此,穩妥的做法仍然是遵照現有生效法律法規要求。 (2)限制使用或披露的主體權利。對于數據主體要求控制者限制使用或披露、限制向相關人員披露數據,《安全指南》明確控制者沒有義務同意該限制請求,但一旦同意,除非法律法規要求以及醫療緊急情況下,控制者宜遵守約定的限制。《民法典》《網絡安全法》《個人信息安全規范》等并未明確規定主體要求控制者限制使用、披露的權利,但主體有權撤回授權同意,控制者應提供撤回授權同意的方法并對主體提出的請求及時響應。《安全指南》規定控制者可以不響應數據主體的限制請求,很可能是基于健康醫療數據個體性與群體性相結合的特殊之處,出于維護公共安全、公共衛生等公共利益的考量,但結合現有規定,建議控制者在不同意主體限制請求時同時說明理由,且該理由應出于維護國家利益、公共利益等的需要。 (3)歷史回溯查詢的主體權利。《安全指南》規定,主體有權對控制者或處理者使用或披露數據的情況進行歷史回溯查詢,最短回溯期為6年。《民法典》《個人信息安全規范》等并未對主體的歷史回溯查詢的權利進行明確規定,且在《安全指南》中歷史回溯查詢的權利并不同于訪問的權利。此外,最短回溯期的時間也不完全等同于數據存儲時間,《個人信息安全規范》明確個人信息存儲期限應為實現個人信息主體授權使用的目的所必需的最短時間,但回溯期則要求了最短時限,并未限制健康醫療機構可存儲數據的最長期限。主體可查詢歷史數據主要是基于對既往病史等健康醫療信息了解的需要,值得注意的是,《電子病歷應用管理規范(試行)》規定門(急)診電子病歷保存時間自患者最后一次就診之日起不少于15年,住院電子病歷保存時間自患者最后一次出院之日起不少于30年。針對不同規定中的不同時限要求,建議在實際操作中同時結合現有法律法規的規定予以執行。 (4)健康醫療數據的跨境傳輸。根據《安全指南》,基于學術研討需要的健康醫療數據跨境傳輸宜進行必要的去標識化處理,經數據安全委員會(關于“數據安全委員會”見五、(一)安全管理要求)討論審批同意,且數量在250條以內的非涉密非重要數據可以提供。對于不涉及國家秘密、重要數據或者其他禁止或限制向境外提供的數據,宜經主體授權同意和數據安全委員會討論審批同意,且累計數據量控制在250條以內。 關于重要數據的概念,《個人信息和重要數據出境安全評估辦法(征求意見稿)》中規定,重要數據是指“與國家安全、經濟發展,以及社會公共利益密切相關的數據,具體范圍參照國家有關標準和重要數據識別指南。”但截至目前,國家尚未出臺重要數據識別指南相關法律文件或標準,重要數據的概念和范圍仍待明確。 健康醫療數據普遍具有重要性,對其是否可以跨境傳輸更需謹慎。根據《個人信息和重要數據出境安全評估辦法(征求意見稿)》,出境數據中包含人口健康領域數據的,應報請行業主管或監管部門組織安全評估。《國家健康醫療大數據標準、安全和服務管理辦法(試行)》規定,“健康醫療大數據應當存儲在境內安全可信的服務器上,因業務需要確需向境外提供的,應當按照相關法律法規及有關要求進行安全評估審核”。《人口健康信息管理辦法(試行)》明確要求“不得將人口健康信息存儲于境外服務器,不得托管、租賃在境外的服務器”。《生物安全法》(尚未生效)和《人類遺傳資源管理條例》均規定,將我國人類遺傳資源信息向境外提供或者開放使用的,應當向國務院科學技術部門事先報告(或備案)并提交信息備份。 首先,健康醫療數據中的非涉密非重要數據認定本身就具有較大的不確定性,其次,將250條以內不涉及國家秘密、重要數據或者其他禁止或限制的數據允許跨境傳輸中“其他禁止或限制的數據”的兜底規定也給操作帶來了困難。因此,在實踐層面,完整執行《安全指南》關于健康醫療數據跨境傳輸的規定的可行性仍有待時間考驗。 四、安全目標實現的措施要點 根據前述健康醫療數據安全目標實現的基礎和原則,《安全指南》分別相應確定了分級安全措施要點、場景安全措施要點和開放安全措施要點。 (一)分級安全措施要點 分級安全措施要點針對不同級別的數據實施不同安全保護措施,重點在于授權管理、身份鑒別、訪問控制管理。具體而言,對于第1級數據僅需評審是否可公開;對于第2級數據宜進行去標識化處理,通過協議或領地公開共享模式管控,確保數據的完整性和真實性;對于第3級數據需部分遮蔽個人信息,環境與接收人數量需受到限制;對于第4級數據宜嚴格管控環境與接收人,高標準保證數據完整性和可用性;對于第5級數據需采取嚴格的身份鑒別、訪問控制等措施。 (二)場景安全措施要點 結合健康醫療數據實際場景,《安全指南》將相關組織或個人劃分為四類角色,具體包括:1)個人健康醫療數據主體(簡稱“主體”),即個人健康醫療數據所標識的自然人;2)健康醫療數據控制者(簡稱“控制者”),即能夠決定健康醫療數據處理目的、方式及范圍等的組織或個人;3)健康醫療數據處理者(簡稱“處理者”),即代表控制者采集、傳輸、存儲、使用、處理或披露其掌握的健康醫療數據,或為控制者提供涉及健康醫療數據的使用、處理或者披露服務的相關組織或個人;4)健康醫療數據使用者(簡稱“使用者”),即對健康醫療數據進行利用的相關組織或個人。對于任何組織或個人而言,首先需要圍繞特定數據,結合所處的特定場景或特定的數據使用處理行為來判斷自身角色定位,且只能定位為其中一個角色。 《安全指南》基于不同角色之間的數據流動,劃分了6類數據流通使用場景,并針對不同場景以及各角色在健康醫療數據使用過程中所涉及的不同安全環節與責任,明確相應安全措施要點(如下圖表所示)。需要明確的是,在控制者與控制者之間的數據流通使用場景,雙方均需要滿足數據傳輸、存儲、使用相關要求。另外,《安全指南》區分了采集與收集的內涵,將控制者從外部獲取數據的過程界定為“采集”,將控制者內部數據使用過程中的數據獲取界定為“收集”。值得注意區別的一點是,《民法典》《網絡安全法》僅僅規定了“收集”這一概念,并未使用“采集”的概念。 (三)開放安全措施要點 開放安全措施要點針對健康醫療數據開放形式,明確所有開放形式均宜:1)遵循“最少必要原則”;2)確保符合合法性、正當性和必要性要求;3)根據使用目的盡可能去標識化;4)明確數據開發和使用目的、使用方需承擔的安全責任、安全措施等,涉及出境的宜依規進行安全評估,涉及重要數據的宜依規進行評估審批。此外,針對前述五類不同的數據開放形式,還需要滿足對應的安全措施要點。 五、安全目標實現的方式 (一)安全管理要求 為實現安全目標,健康醫療機構進行數據分類分級,采取有針對性的安全措施后,需對實施措施后的效果進行檢查,并持續改進。在安全管理方面,《安全指南》明確了組織、過程和應急處置相關的管理要求。 在組織上,宜建立完善的組織保障體系,組織架構中至少包括健康醫療數據安全委員會和健康醫療數據安全工作辦公室,其中委員會應是健康醫療數據安全的最高領導機構,全面負責相關工作并討論決定重大事項,辦公室則負責健康醫療數據安全日常執行工作。在過程上,《安全指南》劃分規劃、實施、檢查、改進階段,并明確各階段的主要工作,將健康醫療數據安全工作覆蓋事前、事中、事后全過程,實現全流程的數據安全管理。在應急處置上,包含建立應急預案,制定專門應急支撐隊伍、專家隊伍,制定災難恢復計劃,數據安全事件報告,以及綜合評估等工作,保證在遇到數據安全事件時能夠及時有序地應對。 (二)安全技術要求 針對健康醫療數據的安全技術要求,《安全指南》在明確通用安全技術的基礎上,結合健康醫療數據的特殊性進一步規范了去標識化工作。關于通用安全技術,宜對承載健康醫療數據的信息系統和網絡實施以及云平臺等進行安全保護,針對數據生命周期的各項活動實施安全措施,建立安全的數據管理基礎設施,實施身份鑒別、訪問控制、安全審計、入侵防范、介質使用管理、備份恢復、剩余信息保護等安全措施等等。關于去標識化,《安全指南》明確宜去除個人屬性數據中可唯一識別到個人的信息或披露后會給個人造成重大影響的信息,對于個人屬性數據中可間接關聯到個人的信息宜進行泛化、轉換等處理,數據集中所有屬性值相同的人數最低宜在5人以上,控制者內部建立患者代碼索引,去標識化中使用的參數配置僅限于內部專人管理,禁止使用者參與去標識化相關工作等。 六、典型場景數據安全 《安全指南》列舉了8個典型場景中的重點數據安全措施,分別為醫生調閱、患者查詢、臨床研究、二次利用、健康傳感、移動應用、商業保險對接、醫療器械。這8個場景是健康醫療數據實際使用或披露過程中的常見場景,對于健康醫療數據安全保護的實踐具有指導意義。相較于《健康醫療數據安全指南(征求意見稿)》(2019年4月4日),《安全指南》刪除了互聯互通、遠程醫療場景,增加了醫生調閱場景,將器械維護修改為醫療器械場景,器械維護作為醫療器械場景中的一部分。 以商業保險對接安全場景為例,購買商業保險的主體在定點醫療機構就醫時,商業保險公司通過與醫療機構建立連接的醫療信息系統,及時掌握主體就診情況以及相關費用,從而根據規則進行理賠業務。在該場景中,涉及的數據有個人屬性數據、健康狀況數據、醫療應用數據、醫療支付數據、衛生資源數據。醫療機構與商業保險公司建立連接時,可在醫療信息系統對接前、對接中、對接后三個階段采取相應安全措施(如下表所示)。可以看出,數據分類分級貫穿于整個安全場景,分權管理、訪問權限和限制、不同加密傳輸方式等措施則是對數據分級、數據開放形式劃分的體現。結合前述場景安全措施要點,在商業保險對接安全場景中,針對醫療機構向商業保險公司傳輸的五類相關數據,醫療機構為控制者,商業保險公司為使用者,下述重點安全措施也是對控制者-使用者間數據流通使用場景安全措施要點的細化。此外,安全管理要求和技術要求也被落實在具體措施之中,從而實現在確保數據保密性、完整性和可用性,以及數據使用和披露合法合規的基礎上,滿足商業保險理賠業務的發展需求。 七、結語 《安全指南》確立了健康醫療數據安全目標,并圍繞安全目標的實現,在明確數據分類分級、數據開放形式以及使用披露原則等原則性要求的基礎上,針對健康醫療數據應用過程中出現的安全問題,提出相應數據安全措施要點,以及管理和技術兩方面要求,并結合典型場景予以說明,對于實踐中健康醫療數據安全的保護具有較強的指導作用,也為監管部門、第三方測評機構等開展監督管理和評估等工作提供了指南和依據。 對于相關企業單位,建議在《安全指南》的指導下,按照現有相關法律法規開展健康醫療數據安全合規檢視工作,以保證在業務發展的同時確保實現數據安全。 注釋: [1] 王峰:《AI公司匯醫慧影回應“黑客入侵”傳言 啟示數據安全立法應加速》,中國網科學, http://science.china.com.cn/2020-05/06/content_41142404.htm,最后訪問日期2021年3月14日。 [2] 張靜姝:《青島膠州6000余人就診名單泄露,3人被行拘》,新京報, https://www.bjnews.com.cn/detail/158729505815284.html,最后訪問日期2021年3月14日。
