本文作者:李兴
目录
前言
1
健康医疗数据保护和哪些主体相关?
第一类
健康医疗数据主体,即个人健康医疗数据所标识的自然人。
第二类
健康医疗数据控制者,即能够决定健康医疗数据处理目的、方式以及范围等的组织或个人。例如:提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等。
第三类
健康医疗数据处理者,即代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据,或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。常见的处理者有:健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。
第四类
健康医疗数据使用者,即针对特定数据的特定场景,不属于主体,也不属于控制者和处理者,但对健康医疗数据进行利用的相关组织和个人。
2
针对第二类“控制者”的定义,如何理解“能够决定健康医疗数据处理目的、方式以及范围”?
判断组织或个人能否决定健康医疗数据的处理目的、方式及范围,可以考虑:
(1)
该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规所必需;
(2)
该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需;
(3)
该项健康医疗数据处理行为是否由该组织或个人自行或与其他组织或个人共同决定;
(4)
该项健康医疗数据处理行为是否由相关个人或者政府授权该组织或个人。
共同决定一项数据使用处理行为的目的、方式及范围等的组织或个人,为共同控制者。
3
健康医疗数据的流通使用场景包括哪些?
基于不同主体之间的数据流动,数据流通使用场景可分为以下6类:
a)
主体—控制者之间的数据流通使用;
b)
控制者—主体之间的数据流通使用;
c)
控制者内部之间的数据流通使用;
d)
控制者—处理者之间的数据流通使用;
e)
控制者之间的数据流通使用;
f )
控制者—使用者之间的数据流通使用。
具体可以参考以下图例。
(图1 数据流通使用场景分类示意图)
所以,对健康医疗数据的保护,就是要抓住数据在不同主体占有以及流通过程中的关键环节,对这些环节进行合规管理,从而降低法律风险。从以下图例也可看出,目前是以控制者为核心构建健康医疗数据保护架构,因此控制者所承担的数据保护责任也会更多,更重要。
4
数据控制者具体需要承担哪些责任?
在不同的场景下,与不同的数据主体之间,数据控制者需要承担的责任也会不同,具体为:
“
场景一:
控制者——主体之间
(1)
告知与授权:
控制者在使用或披露1个人健康医疗数据时,需告知主体并获得主体的授权(以下(2)中情况除外)。所有告知使用通俗易懂的语言,并包含以下内容:
要披露或使用的数据内容;
数据的接收方;
数据的用途以及使用方式;
数据使用期限;
数据主体权利;
控制者采取的保护措施等。
使用或披露个人健康医疗数据不能超出个人授权范围。因业务需要,确需超出范围使用或披露的,需再次征得主体同意。
(2)
除外情况:
控制者没有获得主体的授权,在以下情况仍可使用或披露相应个人健康医疗数据:
向主体提供其本人健康医疗数据时;
治疗、支付或保健护理时;
涉及公共利益或法律法规要求时;
受限制数据集用于科学研究、医学/健康教育、公共卫生目的时;
在上述情况下,控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露。
(3)
市场营销的独立授权:
控制者获得主体授权才能使用或披露个人健康医疗数据进行市场营销活动,但控制者与主体之间进行面对面的营销沟通除外。用于市场营销活动的授权需以合理方式提示主体,并让其充分知悉,明确、自主作出同意。该授权应是独立的,不能作为主体获得任何公共服务、医疗服务的前置条件或者捆绑于其他服务条款之中。控制者在取得授权的同时,书面告知主体其有权随时撤销该授权。
(4)
主体的权利:
过程中限制使用或披露其个人健康医疗数据,以及限制向相关人员披露信息,控制者没有义务同意上述限制请求;但一旦同意,除非法律法规要求以及医疗紧急情况下,控制者应遵守约定的限制。
(5)
治疗笔记的使用:
控制者可以使用治疗笔记用于治疗,在进行必要的去标识化处理后,可以在未经个人授权的情况下使用或披露治疗笔记进行内部培训和学术研讨。治疗笔记是指健康医疗专业人员在提供健康医疗服务过程中记录的观察、思考、方案探讨、结论等内容。治疗笔记具有知识产权属性,其知识产权归健康医疗专业人员和/或其单位所有。
(6)
最低限度原则:
控制者需制定、实施合理的策略与流程,将使用和披露限制在最低限度。
(7)
汇聚分析处理后的数据:
如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数据,该数据不再属于个人信息,但其使用和披露宜遵守国家其他相关法规要求。
(8)
数据分析平台:
控制者对外进行数据合作开发利用时,宜采用“数据分析平台”开放形式,对数据使用披露进行严格管控。
共同决定一项数据使用处理行为的目的、方式及范围等的组织或个人,为共同控制者。
“
场景二:
控制者——处理者之间
(1)
处理者能力管控:
控制者需确认处理者的安全能力满足安全要求。
(2)
签署数据处理协议:
控制者应与处理者签署数据处理协议,且协议签署后才能让处理者为其进行数据处理,处理者宜按照控制者的要求处理数据。
(3)
不得转委托或分包:
未经控制者许可,处理者不能引入第三方协助处理数据。
“
场景三:
控制者——第三方控制者之间
(1)
政府授权的第三方控制者:
控制者向政府授权的第三方控制者提供数据前,需获得加盖政府公章的相关文件。数据提供后,数据安全责任以及传输通道的安全责任由第三方控制者承担。
“
场景四:
控制者——使用者之间
(1)
使用者能力管控:
控制者需确认数据使用的合法性、正当性和必要性,并确认使用者具备相应数据安全能力。
(2)
签署数据处理协议:
控制者应与使用者签订数据使用协议,使用者承诺保护受限制数据集中的个人健康医疗数据后,可将受限制数据集用于科学研究、医学保健业务、公共卫生等目的。受限制数据集是指经过部分去标识化处理,但仍可识别相应个人并因此需要保护的个人健康医疗数据集。例如:从健康医疗数据中删除与个人及其家属、家庭成员和雇主直接相关的标识。受限制数据集可在未经个人授权的情形下用于科学研究、医学/健康教育、公共卫生目的等。
(3)
使用者责任:
使用者只能在协议约定的范围内使用数据并承担数据安全责任,在使用数据完成后,应按照控制者要求归还、彻底销毁或者进行其他处理。未经控制者许可,使用者不能将数据披露给第三方。
“
场景五:
控制者——向境外传输(数据跨境转移)
(1)
学术研讨的跨境转移:
控制者因为学术研讨需要,需要向境外提供相应数据的,在进行必要的去标识化处理后,经过数据安全委员会讨论审批同意,数量在250条以内的非涉密非重要数据可以提供,否则需提请相关部门审批。
(2)
其他数据的跨境转移:
不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,经主体授权同意,并经数据安全委员会讨论审批同意,控制者可向境外目的地提供个人健康医疗数据,累计数据量应控制在250条以内,否则需提请相关部门审批。
(3)
服务器在境内:
控制者不能将健康医疗数据在境外的服务器中存储,不托管、租赁在境外的服务器。
免责声明:本文及其内容本材料是为提供一般信息的用途编制,并非旨在成为可依赖的法律意见,不代表磐明律师事务所对有关问题的法律意见。同时我们并不保证将会在发表之后继续对有关内容进行更新,不建议您依据本文中的全部或部分内容而进行任何决策。如您需相关方面专业意见,建议您与具有相关资格的专业人士进一步沟通。