HIT专家网
来源:HIT专家网 作者:姜浩
2021年11月1日起,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式施行,将对各行各业带来巨大而深远的影响。对于医疗机构而言,患者个人信息是智慧医院信息处理活动中必不可少的内容,而且大多属于敏感个人信息。作为个人信息处理者,医疗机构应如何落实《个人信息保护法》,才能做到合规?
2021年11月27日,由HIT专家网主办、北京芸泰网络科技有限公司(首云医疗)协办的“《个人信息保护法》将如何影响医疗数据的使用”在线论坛成功召开,会议由HIT专家网总编辑朱小兵、北京协和医院信息中心主任朱卫国主持,与会专家分别就《个人信息保护法》相关热点话题分享了自己的见解。
区域共享电子病历,应如何理解与实施患者的“单独同意”?
《个人信息保护法》颁布后,第二十九项条款“处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意”迅速成为公众关注的焦点。何为“单独同意”?具体内涵是什么?如何施行“单独同意”才是具有法律效力的行为过程?特别是在医疗卫生领域,对个人健康信息的处理是一项日常性、基础性的工作,发生频率极高。如何理解与实施“单独同意”,才能在保护个人信息与推进数字医疗、提升医疗质量、方便患者之间取得“最大公约数”,这是医疗行业格外关注的问题。
针对区域跨医疗机构共享调阅电子病历这一场景,北京市卫生健康大数据与政策研究中心(北京市医院管理研究所)主任琚文胜分别对北京、山东潍坊、香港等地,以及美国、欧盟、澳大利亚及加拿大等国家与地区的电子健康记录相关法律进行了调研。经比较发现:不同国家、地区,甚至同一地区在不同时间节点的做法均可能存在不同,而不同的患者同意方式对信息共享效果存在影响。
琚文胜主任认为,相较之下,无需同意、预先同意、选择退出、组织执行、分类同意等做法,更方便医疗健康信息的共享。同时,他也强调,选择“预先同意、选择退出”的患者同意模式需满足两项前提:其一,对法律法规进行相应调整;其二,在全社会广而告之,通过大量宣传,形成社会共识,即患者在接受治疗时知晓并默认医疗机构对个人信息的处理权利,如果患者不希望共享个人信息,则可以选择退出。
通过“四个坚持”,确保患者个人信息安全
“医疗机构是大量掌握医疗数据的单位,发生医疗信息安全事件的风险非常高。”清华大学长庚医院信息管理部原主任刘海一认为,为保护患者个人信息,应对信息安全风险挑战,医疗机构应做到以下三点:提升信息安全意识,制定信息安全管理制度,落实责任人、检查监督体系,落实数据应用流程中的安全审核管理、数据应用监督、审计分析等安全防护措施;加强技术体系建设,培养数据安全技术人才,落实技术保障设备与设施的建设,确保本机构具备数据安全技术保障能力;落实数据保护手段,对数据采集和应用前的审核及数据应用中的安全管理进行严格把关。
“《信息安全技术 健康医疗数据安全指南》为医疗健康数据的安全保障提供了重要的管理与技术方法。”刘海一从中提炼出五项数据安全保障要点:将数据分类与医院信息化应用管理相关联,根据数据内容分级控制应用范围;明确数据处理者的责任;对数据应用进行监督、审计;尽可能去除个人信息;对开放环境中的数据存储与传输进行加密处理。
作为医院信息化建设的重要一环,医院信息化服务商同样需要做好信息安全保障。北京芸泰网络科技有限公司(首云医疗)业务总监鲁鑫表示,医院信息化服务商处于医院内网与外网用户之间,既是连通二者的桥梁,也是保护网络、信息安全的屏障。能否做好信息安全保障将成为衡量服务商专业化能力的重要标准之一。
鲁鑫认为,信息化服务商在为医疗机构提供信息化建设服务时,应做到以下三点:首先,保障服务商与医院内网之间的网络安全,针对物理安全、信息安全建立相应的安全防范措施;其次,保障服务商与内外网的数据传输安全,围绕数据全生命周期的六个阶段(采集、传输、存储、处理、交换、销毁),建立数据安全管理体系并持续改善;通过做好“四个坚持”——坚持数据操作授权、坚持身份认证与访问控制、坚持公开数据动态脱敏展示、坚持患者数据全程溯源,保障患者个人信息安全。“‘服务+安全’既是互联网医疗服务商为医疗机构提供信息化服务的新模式,更是衡量服务专业化的重要标准。”鲁鑫说到。
《个人信息保护法》的落实需医院整体协同配合
“个人信息保护监管力度日益趋严,医疗行业在数据合规方面将面临挑战和压力。”上海市锦天城律师事务所律师魏灿灿从以下几个方面分析了我国个人信息保护监管的力度:个人信息侵权纠纷案件适用于“过错推定”原则;个人信息共同处理者需依法承担连带责任;对于违法处理个人信息以及处理个人信息没有履行《个人信息保护法》规定的个人信息保护义务的行为,将面临严厉的行政处罚;国家严打侵犯公民个人信息犯罪;个人信息保护被纳入公益诉讼法定领域且检察机关已将个人信息保护公益诉讼作为办案重点。同时,个人信息保护合规性要求较高,个人信息处理者应当采取相应的措施确保个人信息处理活动合法并保护个人信息的安全;处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人;对于个人权益可能造成较高风险的个人信息处理活动应当进行个人信息保护影响评估并对处理情况进行记录;发生或者可能发生个人信息安全事件时个人信息处理者应当立即采取补救措施并通知监管机构和个人以及定期进行合规审计等义务。
“医疗数据安全与患者个人信息保护的合规性要求要比其他行业更高,随着越来越多的医疗机构向数智化转型,建立牢固的安全和合规基础已成为关键。”魏灿灿律师表示,为做好个人信息保护,医疗机构应进行合规差距核查和风险评估,尽快开展数据合规工作;检视诊疗服务与管理流程,及时自查合规瑕疵;关注医疗数据出境相关的立法动态,持续做好风险监控。
苏州大学附属儿童医院质量管理办公室主任朱晨认为,应从以下三方面看待《个人信息保护法》对于医疗机构的影响:第一,《个人信息保护法》并未颠覆医疗机构现有的信息保护流程,反而能够对其进行持续优化,医疗机构需要“面对”,而非“躲避”;第二,《个人信息保护法》是一部面向全社会共同建立保护体系的法律,医疗机构不是“单兵作战”,可从各行业的做法中汲取经验教训;第三,《个人信息保护法》的落实与医疗、管理等流程密切相关,需全院协同配合,医院信息部门是重要的参与者和执行者,但无法单独完成这一任务。
上海市锦天城律师事务所高级合伙人、律师吴卫明表示,部分医疗机构倾向于将个人信息安全保护责任落实到信息安全部门。实际上,《个人信息保护法》重在强调个人信息的合法合规利用,该过程涵盖技术、法律、业务等多方面因素,贯穿于整个医疗机构的全部业务流程。因此,个人信息保护并非是某一单一部门的责任,更应由医疗机构整体落实。根据吴卫明律师的实际工作经验,他认为,应由信息安全部门及法律部门组成主要的责任组合,其他部门辅助配合、严格落实。
刘海一主任表示,医疗机构落实《个人信息保护法》,不能将责任全部压在信息部门身上。解决任何问题都需要一个切入点,而医院信息部门作为数据流转中心,自然责无旁贷。医院信息部门可以作为数据管控部门,与法律部门协同合作,共同打造医院的个人信息保护策略,再由医院整体实施,如此不失为一种合理之选。
会议临近结束时,朱卫国主任提议每位与会专家为落实《个人信息保护法》给大家提一条建议。琚文胜主任表示,《个人信息保护法》涉及很多原则性问题,可以从多角度进行理解,为确保对法律法规理解的准确性,可寻找外部专家给予支持。刘海一主任建议,医院信息部门一方面要保障好信息系统的安全性与稳定性,另一方面要推动医院个人信息保护法相关制度的建设。朱晨主任提醒各医疗机构信息部门应防患于未然,提升对个人信息保护的重视程度,先培养个人信息保护理念,再实施信息化建设项目,尤其应该重视相关管理规程 (SMP) 、技术标准(STP)、操作规程(SOP)、操作记录(SRP)的落实。吴卫明律师表示,单纯依据《个人信息保护法》落实个人信息保护是做不好的,应该结合《网络安全法》《数据安全法》,“三位一体”进行推进,同时,通过“技术+业务流程管理+合规管理”的第二个三位一体统筹全局,落实好个人信息保护工作。鲁鑫希望卫生主管部门能够牵头,总结各医疗机构落实《个人信息保护法》过程中的问题及优秀做法,逐步打磨出行业的个人信息保护标准。朱卫国主任代表听众感谢了各位与会专家的实用建议,同时表示,如果国家卫生健康委能够出台一些医疗卫生行业相对具体的个人信息保护指导原则,将更利于各医疗机构落实好个人信息保护工作。
精彩不容错过!
【责任编辑:秦勉】
评论前必须登录!
注册