【医疗机构数据合规系列之三】“互联网+医疗服务”场景下的数据合规要点

来源：HIT专家网 作者：魏灿灿、朱晨

【编者按】

2021年6月10日，《中华人民共和国数据安全法》经十三届全国人大常委会第二十九次会议表决通过，将于2021年9月1日起施行；2021年8月20日，《中华人民共和国个人信息保护法》获表决通过，自2021年11月1日起施行。

医疗行业作为关系国计民生的重要领域，在相关法律法规的要求下，面临的数据合规压力日益紧迫。苏州大学附属儿童医院质量管理办公室主任朱晨、上海市锦天城（苏州）律师事务所律师魏灿灿联袂带来“医疗机构数据合规系列”文章，为医疗机构加强数据合规体系建设提供建议与参考。

自2018年以来，随着《国务院办公厅关于促进“互联网+医疗健康”发展的意见》《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》《远程医疗服务管理规范（试行）》《国家医疗保障局关于积极推进“互联网+”医疗服务医保支付工作的指导意见》等一系列互联网医疗服务政策的出台，国内互联网医疗服务进入快速发展期，医疗机构通过应用互联网等信息技术拓展医疗服务空间和内容，建设互联网医院，开展远程医疗服务，以更便捷的方式为患者提供包括预约挂号，远程咨询，实时查阅就诊病历、医技检查结果、健康体检报告，费用支付，就医反馈，电子处方和药品配送等全流程的服务。2020年初，突如其来的新冠疫情造成了线下就诊的阻碍，互联网医疗服务需求激增，进一步获得患者的接受和认可。

医疗机构作为线下医疗实体平台，通常通过网站、App、微信公众号、微信小程序等终端实现上述互联网医疗服务功能，全程以电子化的途径收集、存储了大量患者个人基本信息、健康状况、医疗应用、医疗支付等数据。在互联网医疗服务场景下所涉数据安全和个人信息保护合规方面，医疗机构应重点关注哪些问题，本文予以梳理以供参考。

信息系统实施三级信息安全等级保护

《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》均要求，信息系统应当实施第三级信息安全等级保护。2021年6月3日，国家卫生健康委发布《互联网医疗健康信息安全管理规范（征求意见稿）》也指出：“互联网医疗健康信息系统应通过网络安全等级保护三级测评和定期复评。互联网医疗健康信息系统集成第三方服务应用时，第三方服务也需要达到相关安全防护水平。”

根据公安部、国家保密局等部门出台的《信息安全等级保护管理办法》的规定，信息系统的安全保护等级分为五级，第三级是指“信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害”。 同时，根据该规定，“第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查”。

互联网医疗信息系统一旦受到外部攻击导致患者个人信息泄露，会造成严重的后果，该系统是否稳定安全地运转，也关系到互联网医疗服务的实现。因此医疗机构应落实国家法规、政策关于信息系统等级保护的要求，切实保障网络安全。

关键信息基础设施运营者的合规管理

《网络安全法》首次在法律层面提出“关键信息基础设施运营者”的概念，在第三十三条到三十八条，大篇幅规定了关键信息基础设施运营者的责任和义务，但目前尚无生效的法律法规对关键信息基础设施运营者的识别作出明确规定。

2021年8月17日，国务院正式公布《关键信息基础设施安全保护条例》（2021年9月1日起施行，以下简称《条例》），《条例》对“关键信息基础设施”定义采取“行业+风险”的标准，规定“关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。

按照上述标准，“关键信息基础设施”的范围相对宽泛，参照《国家网络安全检查操作指南》中对于关键信息基础设施的定义和范围及确定关键信息基础设施的步骤[1]，一些大型的医疗机构（比如收集并存储超过100万患者个人信息的医院）有可能被纳入关键信息基础设施运营者监管范围内，但《国家网络安全检查操作指南》位阶较低，是否能作为认定标准有待明确。

依据《关键信息基础设施安全保护条例》规定，“保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者”，建议相关医疗机构密切关注监管动向，如被通知纳入关键信息基础设施运营者的范围，需遵从关键信息基础设施运营者的安全保护规定进行合规管理。

数据安全（重要数据处理）合规

《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》《远程医疗服务管理规范（试行）》对医疗机构的数据安全保护义务提出了要求，比如应当建立完善相关管理制度、服务流程，保证互联网诊疗活动全程留痕、可追溯；建立互联网医院信息系统使用管理制度、在线处方管理制度；建立数据安全管理规程，确保网络安全、操作安全、数据安全等。《互联网医疗健康信息安全管理规范（征求意见稿）》认为，医疗机构（建设方）是互联网医疗健康信息系统建设和管理的主体，是信息安全管理的第一责任方，应履行数据安全保护义务，落实数据安全保护责任。

互联网医疗服务场景下，因受到物理环境隔离、业务准入、诊疗项目限制等影响，所涉及的患者个人信息体量相对少，但参照《个人信息和重要数据出境安全评估办法（征求意见稿）》《信息安全技术 数据出境安全评估指南（征求意见稿）》[2]中有关“重要数据概念和范围”的规定，其所涉及的患者个人信息（比如电子病历、健康档案等各类诊疗、健康数据信息，人类遗传资源信息等）亦具有重要数据的属性。《数据安全法》对重要数据处理者在数据安全保护义务方面提出了更高的要求。关于重要数据处理者，建议关注如下：

（1）对重要数据实行分级分类保护；

（2）应当明确数据安全负责人和管理机构；

（3）建立健全全流程数据安全管理制度；

（4）组织开展数据安全教育培训；

（5）采取相应的技术措施和其他必要措施保障重要数据安全；

（6）利用互联网等信息网络开展重要数据处理活动的，还应当落实网络安全等级保护制度要求；

（7）开展数据处理活动应当加强风险监测与处理，数据安全事件应及时告知用户并向有关部门报告；

（8）对数据处理活动定期开展风险评估，并向主管部门报送风险评估报告，风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险以及应对措施；

（9）重要数据的出境安全管理。

 患者个人信息（敏感个人信息）保护合规

《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》均规定，“医疗机构、互联网医院应当严格执行信息安全和医疗数据保密的有关法律法规，妥善保管患者信息，不得非法买卖、泄露患者信息。”

此外，互联网医疗服务场景下因涉及大量的患者个人信息，还需要遵从个人信息保护的合规要求，医疗机构在提供互联网医疗服务活动中应当针对个人信息全生命周期进行合规工作。

根据《个人信息保护法》对于敏感个人信息的定义，患者个人信息大多属于敏感个人信息（如个人生物识别信息、医疗健康数据），因此医疗机构在处理这些患者个人信息时，除了遵循个人信息保护的一般义务，还应当按照敏感个人信息的相关规定从严进行合规管理。对于敏感个人信息的保护，参照《个人信息保护法》《信息安全技术 个人信息安全规范》，应注意以下方面：

（1）处理患者敏感个人信息时应取得患者个人的单独同意，还应当向患者告知处理敏感个人信息的必要性以及对个人的影响；

（2）处理患者敏感个人信息应在事前进行风险评估，并对处理情况进行记录，风险评估报告和处理情况记录应当至少保存三年；

（3）采集患者人脸信息时，对人脸信息的传输和存储的要求，具体包括：传输和存储人脸信息应采用加密等安全措施；人脸信息应与个人身份信息分开存储；原则上不应存储原始人脸信息等。

互联网应用程序合规

针对一些App过度收集用户个人信息、个人信息保护（隐私）政策不完善等问题，监管机构先后制定出台了《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》等规范性文件。工信部自2019年开始开展App侵害用户权益专项整治活动。2021年5月以来，国家互联网信息办公室针对App违法违规收集使用个人信息的情况接连发布通报要求整改，监管力度进一步加强。

虽然目前监管机构关注的重点是互联网企业，但是随着法律法规的完善以及监管形势趋严，医疗机构应重视互联网应用程序的合规管理，以免出现整改，甚至下架的情况。笔者认为以下问题应重点关注：

（1）个人信息保护（隐私）政策未设置/不完善

据笔者调查，绝大多数互联网医疗应用程序的用户注册入口未设置用户协议和个人信息保护（隐私）政策，即使少数已设置，但个人信息保护（隐私）政策内容过于简单，存在未通过个人信息保护（隐私）政策明确告知患者业务功能以及收集的个人信息类型、处理规则，明示处理的目的、方式和范围等情况。

（2）App过度收集用户个人信息

国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》界定了常见类型App收集必要个人信息的范围，其中第五条：常见类型App的必要个人信息范围（第十五类：问诊挂号类，基本功能服务为“在线咨询问诊、预约挂号”）规定：“必要个人信息包括：注册用户移动电话号码；挂号时需提供患者姓名、证件类型和号码、预约挂号的医院和科室；问诊时需提供病情描述”。医疗机构可以参照上述规定执行；如收集其他用户个人信息需要获得用户的同意，而且还要受到必要性原则的约束。

（3）SDK相关安全问题

SDK被广泛应用于各类App开发中，除了能够便捷地实现相关功能外，同时自身也具备获取相当一部分设备信息和用户个人信息的能力。App使用SDK可能面临的安全问题包括SDK自身安全漏洞、SDK恶意行为、SDK违规收集使用个人信息等。《信息安全技术 个人信息安全规范》9.6条“共同个人信息控制者”指出：App开发运营者如果部署了收集个人信息的第三方插件，且第三方插件未单独向个人信息主体征得收集个人信息的授权同意，则App开发运营者与第三方插件在个人信息收集阶段构成共同个人信息控制者。

因此，医疗机构作为App开发运营者应谨慎选择第三方SDK服务商，还应通过合同的形式与第三方SDK明确其应承担的责任和义务，确定其应满足个人信息安全的要求，有能力的情况下，最好在接入第三方SDK前对其进行合规评估。

（4）微信小程序、公众号未参照App进行合规管理

值得注意的是，《移动互联网应用程序（App）个人信息安全防范指引（征求意见稿）》首次将小程序明确以成文形式纳入监管文件中，要求合规比照App标准执行。2020年，中国信通院联合南都个人信息保护研究中心编写并发布了《小程序个人信息保护研究报告》，也提出小程序个人信息保护问题。实际上，监管机构早已将小程序被纳入执法范围，比如2020年3月16日，天津市委网信办在专项治理行动中涉及到5款小程序违法违规收集个人信息的问题。

微信公众号纳入监管虽然没有明确规定，但根据公开渠道查阅的行政处罚案件，已有微信公众号因“收集个人信息时，未明确告知用户其收集的目的、方式和范围，且未经被收集者的同意”等情况被监管机构处罚。

随着监管的触及，微信小程序和公众号已不是法外之地，值得引起重视，建议医疗机构参照App个人信息保护的要求进行合规管理。

与第三方系统服务商合作合规

医疗机构通常会委托第三方系统服务商提供互联网信息技术支持，进行信息系统建设及维护以支撑互联网医疗服务，比如委托第三方系统服务商完成互联网医院与医疗机构HIS系统、外部药店、医保部门的对接等。对于这些第三方系统服务商，医疗机构应负责指导及管理其按照数据安全和个人信息保护的要求开展相关工作。

《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》《远程医疗服务管理规范（试行）》均提到，医疗机构如果与第三方机构合作建立互联网诊疗服务信息系统，应当在进行准入申请时提交与第三方的合作协议，且合作协议应当明确各方在医疗服务、信息安全、隐私保护等方面的责权利。国家卫生健康委发布的《国家健康医疗大数据标准、安全和服务管理办法》第三十一条指出，责任单位在选择健康医疗大数据服务提供商时，应当确保其符合国家和行业规定及要求，具备履行相关法规制度、落实相关标准、确保数据安全能力，建立数据安全管理、个人隐私保护、应急响应管理等方面的制度。

因此，医疗机构在与第三方系统服务商合作时，应确认其安全能力满足安全要求，并签署保密协议和数据处理协议后，才能让其进行数据处理。

数据传输、共享合规

医疗机构在互联网医疗服务时，因开展业务的需要，互联网医疗信息系统可能会与医疗机构、医保、医药、商保、物流、公安等第三方信息系统对接，涉及患者数据与第三方传输、共享的情况。

在数据传输过程中，医疗机构应确保信息传输的保密性、完整性，采取密码技术和检验技术保证传输过程中敏感信息或整个数据集的保密性、完整性，确保不被窃取、不被篡改。应与第三方签署个人信息保护协议和数据使用协议，确保其对患者个人信息使用安全合规。

此外，在互联网医疗服务应用程序注册入口设置的个人信息保护（隐私）政策中，应对患者个人信息在各个主体之间的共享进行明确告知并获得明示同意。

数据安全和个人信息保护的问题已成为社会焦点，强治理、强监管的时代即将到来。医疗机构投入成本进行数据合规建设，一方面回应了立法和监管的要求，另一方面也给自身加持一个“护身符”：如果合规管理到位，即使发生数据泄露等安全事件，监管机构在调查处理时会进行考量后再进行处罚；但如果合规管理不到位，其行为本身就构成处罚的理由。

值得一提的是，大众有个误区，认为可以通过技术手段解决合规问题。事实上，合规问题并不能简单的通过技术手段来豁免。我们认为，在法律法规的框架下，结合具体的业务场景进行具体分析，在合规体系建设上达到组织内部管理、制度、流程、技术等高度融合，并加强落地执行，做好持续改进，才能构建可支撑的合规管理系统。

【参考资料】

[1]《国家网络安全检查操作指南》“3.1关键信息基础设施定义及范围”、“ 3.2确定关键信息基础设施步骤（表1 关键信息基础设施业务判定表）”章节等

[2]《信息安全技术 数据出境安全评估指南（征求意见稿）》“A.18　人口健康”章节

【往期回顾】

【医疗机构数据合规系列之一】强监管背景下医疗机构的数据合规之路

【医疗机构数据合规系列之二】辨析患者隐私与个人信息，医疗机构不可漠视相关法律风险

【作者简介】

朱晨，苏州大学附属儿童医院质量管理办公室主任，曾履职医院医务、科教、信息、装备、门诊等多个部门，其间从事医疗信息化建设和管理工作十余年。

魏灿灿，上海市锦天城（苏州）律师事务所律师，毕业于吉林大学，硕士学位。具有信息技术和医疗健康行业的从业背景，对相关企业的产品、业务、运营管理有深度了解。常年为互联网、大数据、人工智能、医疗健康、生物医药等领域的企业提供公司治理、股权架构及控制权设计、融资、并购、诉讼仲裁等法律服务；同时致力于研究并为相关机构或企业提供数据安全和个人信息保护方面的数据合规方案。

【责任编辑：陈曦】