2018.09.27 董潇 袁琼 刘青宇
为贯彻落实《国务院办公厅关于促进“M88 Game+医疗健康”发展的意见》,国家卫生健康委员会(以下简称“国家卫健委”,原国家卫生和计划生育委员会或“国家卫计委”)于2018年9月13日在其官方网站上发布了《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》(国卫规划发〔2018〕23号),根据该文件显示《国家健康医疗大数据标准、安全和服务管理办法(试行)》(以下简称“《管理办法》”)已于2018年7月12日生效并开始实施。
一、“健康医疗大数据”概念升级、M88 Game加强
国家卫计委早在《2015年卫生计生工作要点》中即将“组织实施人口健康信息安全规划,稳步推进健康医疗大数据应用”作为“加快人口健康信息化建设”工作的一项重要举措。由此可见,“健康医疗大数据”与2014年颁布的《人口健康信息管理办法(试行)》提出的“人口健康信息”是密不可分的两个概念。
比对二者,我们发现在医疗健康领域的信息M88 Game出现了如下变化:
1、M88 Game的数据范围更广
《人口健康信息管理办法(试行)》规制的信息仅限于医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。
“健康医疗大数据”的定义比“人口健康信息”更为宽泛,出发点也有所区别。“健康医疗大数据”不仅包括医疗卫生服务机构在服务中产生(即人们在疾病治疗中产生的)数据,还包括预防疾病和健康管理中产生的数据,这就可能包含使用可穿戴设备、家用医疗器械等收集到的个人数据。
2、M88 Game的主体类型更多
《管理办法》除了可以适用于《人口健康信息管理办法(试行)》规定的“各级各类医疗卫生计生服务机构”外,还将医疗机构外的相关单位与个人纳入M88 Game范围。
3、信息存储规定表述与相关规定衔接
《管理办法》将《人口健康信息管理办法(试行)》中“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器” 。调整为“应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核”。此种表述与《网络安全法》以及数据出境相关法规1的要求更加统一。
4、信息技术外包责任分配变化
《人口健康信息管理办法(试行)》规定“委托其他机构存储、运维人口健康信息的,委托单位承担人口健康信息的管理和安全责任”。
《管理办法》将其改为“委托单位与受托单位共同承担健康医疗大数据的管理和安全责任”,明确了外包服务受托方对数据安全的直接管理责任。
5、增加向社会公开信息的例外情形
《管理办法》将“商业秘密”纳入到信息公开例外情形中,保护被纳入M88 Game范围的企业单位的合法利益。
通过上述比较,我们可以发现国家卫健委针对医疗健康领域的信息保护进行了一次概念上的全面升级。新增的“健康医疗大数据”概念除了囊括已有的“人口健康信息”内涵外,还将企事业单位等非医疗卫生机构收集、使用、存储的个人医疗健康信息纳入到M88 Game范围之内,为企事业单位(尤其是数据处理外包中的受托人)设定了管理和安全责任。
二、“健康医疗大数据”标准化
除了“健康医疗大数据”的安全、服务相关规定,《管理办法》的另一重要内容就是明确了国家卫健委“在已有的基础性通用性大数据标准基础上组织制定健康医疗大数据标准体系规划”的工作计划。
这意味着以政府为主导的健康医疗数据标准化将持续的推进。此外,《管理办法》继承了2014年《人口健康信息管理办法(试行)》中 “标准统一、术语规范、内容准确”的标准化要求。随着未来相应的“健康医疗大数据”标准出台并落地,各类“健康医疗大数据”责任主体将被要求按照这些标准去做采集工作,必将承担更多的合规责任。
三、 我们的观察
《管理办法》的出台是“M88 Game+医疗健康”发展政策落地的重要举措,也是《网络安全法》在医疗健康领域的延伸,对健康医疗涉及的相关信息的收集、存储、使用、委托处理等各方面均做出了原则性的规定。
针对《管理办法》的原则性规定,可能会有相应配套文件出台,并且一系列的“健康医疗大数据”标准制定工作也会有序展开,我们将持续关注上述进程并探讨相关法规对于企业合规提出的新要求。
1.《个人信息和重要数据出境安全评估办法(征求意见稿)》及《数据出境安全评估指南(征求意见稿)》。