編者按:醫療大數據產業作為國家最早布局和推動數據要素市場的行業,正進入飛速發展時期。與此同時,去年以來,《個人信息保護法》《數據安全法》等數據立法框架搭建並落地執行,給醫療 健康 行業的數據處理帶來了壓力。
跨境會診、跨境醫學研究、國際臨床試驗、醫療器械出海…… 跨境醫療 近年來發展迅速,而這其中大量敏感個人信息的醫療數據跨境對於相關機構和企業而言,意味著更高的合規要求。
受訪專家認為,我國目前醫療數據的跨境流動機制尚未明確, 亟需在《數據安全法》《個人信息保護法》的框架下,結合醫藥行業的特性設計有針對性的行業規則,既做好個人權益及數據安全的保護,又兼顧藥品、醫療器械創新研發的效率 。同時,積極實現本國數據治理規制與國際數據治理規制的融合,將助力我國與境外醫藥企業、高校和醫院更加深度的合作。
2020年以來,全球新冠肺炎疫情壹定程度上阻斷了跨境尋醫之路,持續刺激著跨境遠程醫療的需求。
網絡將患者與身處異國的醫生連接起來,可以通過視頻或電話交流,得出診療結論。在此過程中,往往涉及到醫生對於患者醫療影像等信息和數據的跨境調取。
這是醫療數據跨境傳輸常見的應用場景之壹。事實上,隨著全球醫學交流日益頻繁,醫療數據所面臨的跨境需求也愈加迫切。
國家計算機網絡應急技術處理協調中心發布的《2020年中國互聯網網絡安全報告》顯示,2020年,***發現境內醫學影像數據通過網絡出境497萬余次,其中, 我國未脫敏醫學影像數據出境近40萬次,占出境總次數的7.9% 。而醫學影像文件在未脫敏的情況下包含大量患者個人信息。
除患者個人信息、 健康 狀況數據外,醫療數據還囊括了醫療應用數據及人類遺傳資源等,這些數據的大量向外流失可能對我國醫療衛生安全帶來隱患。
早在2018年10月, 科技 部官網就曾公布6則處罰信息,涉及華大基因、復旦大學附屬華山醫院、蘇州藥明康德、阿斯利康、艾德生物、昆皓睿誠等6家公司。罰單顯示,這6家公司均違反了人類遺傳資源管理規定,或違規轉運接收已獲批項目的剩余樣本;或違規開展國家合作研究;有的甚至將人血清作為犬血漿違規出境。
北京世輝律師事務所合夥人盧璟介紹, 《個人信息保護法》將“醫療 健康 ”信息視為敏感信息,醫療行業中的大量患者相關信息均會因其“醫療 健康 ”的屬性落入敏感個人信息的範疇。例如:診療過程中的病歷信息、不良反應報告信息、臨床試驗數據等。
以國際臨床試驗為例,中倫律師事務所合夥人蔡鵬介紹,在國際臨床試驗合作中,將會涉及構成敏感個人信息的醫療數據,數據處理者在收集處理敏感個人信息時,應當遵循《個人信息保護法》中關於處理敏感個人信息的合規要求,並按規定事前進行個人信息保護影響評估。同時,涉及跨境提供的,境內數據提供者還需要確保符合《個人信息保護法》中針對個人信息跨境提供的規則。
除了上述監管要求,如果國際合作臨床試驗所涉數據被認定為“ 健康 醫療大數據”、“人口 健康 信息”或是涉及到基因、基因組等遺傳物質或遺傳材料,則需按照《國家 健康 醫療大數據標準、安全和服務管理辦法(試行)》《人口 健康 信息管理辦法(試行)》《中華人民***和國人類遺傳資源管理條例》或是《人類遺傳資源管理條例實施細則(征求意見稿)》等法規的具體要求進行合規處理。
今年2月,國家衛生 健康 委公布對全國政協委員陳紅專《關於加強臨床研究受試者個人信息數據保護的提案》答復的函。其中提到,對“ 關於數據不出境但是處理結果出境、境外機構通過代理人在內地臨床數據等新的挑戰,相關部分應及時出臺有效應對辦法 ”的建議, 國家衛健委將積極配合相關部門推動出臺有關應對辦法,並在此基礎上推進醫療衛生機構落實相關工作。
對於醫療 健康 企業而言,實現醫療數據跨境合規有何難點?
從醫藥企業的角度來看,盧璟指出,醫藥企業需要付出額外的時間成本履行合規義務,藥品、醫療器械的研發時間也會相應增加。而部分合規要求(例如:在向境外提供個人信息前,要向自然人告知每壹境外接收方的名稱和聯系方式),在臨床試驗國際合作的場景下可能難以落地執行。
“ 在規則設計層面過於嚴格的合規要求,很可能會導致在規則實施層面的普遍性違法,從而影響法規的嚴肅性 。”盧璟說。
因此,他建議在《數據安全法》《個人信息保護法》的框架下, 結合醫藥行業的特性,有針對性地設計行業規則,既保護個人權益及數據安全,又兼顧藥品、醫療器械創新研發效率。
鍩崴 科技 創始人、董事長王爽則認為,目前醫療數據跨境的難點主要在於滿足跨境合規性前提下同時滿足不同業務場景的需求。在國內,醫療數據可能涉及到多部法律法規,在不同場景下將產生不同的受保護數據分類。而全球各國的法律規制並不相同,因此也將產生不同的分類分級標準。
對此,王爽建議在進行醫療數據跨境前,相關企業和機構應首先確保根據本國法律法規要求進行數據的分類分級。然後,在數據出境時尋找各國要求的***同點,以符合規定。這其中,可通過隱私計算等技術手段處理明確規定無法交換的數據,使其以達到合規要求,實現跨境醫療數據在“可用不可見”模式下“可管、可控、可計量”的合作。此外,建設完備的人員制度同樣必不可少,應形成由決策層、管理層、執行層、監督層及協同層構成的組織結構。同時,完善文檔制度,應包含與數據安全相關的政策方針、制度流程規範、人員培訓材料、數據收集情況等詳細內容。
中倫律師事務所認為,企業實施醫療數據信息跨境傳輸必須明確數據收集、使用、傳輸發送和接收方,以及為此提供服務的第三方,明確醫療數據內容與屬性;明確數據存儲地;同時定好數據出境計劃等方案,定立涵蓋數據處理目的、方式和采取的安全措施等條款的協議;還應完善重要數據處理活動風險自評機制、網絡安全等級保護機制、關鍵信息基礎設施(CII)安全保護機制以及非CII運營者網絡安全審查應對機制。
對於有上市需求的醫療 健康 企業而言,數據跨境監管趨嚴所產生的影響或更為直接。 “醫療大數據企業已經將數據跨境的難題作為選擇上市地的考慮重點之壹。 ”互聯網醫療系統與應用國家工程實驗室副主任翟運開表示。
近期,醫療大數據龍頭零氪 科技 撤回美國IPO計劃。其先前披露的招股書顯示,該公司有超過250萬名患者超過900萬次縱向醫療記錄。在去年7月該公司突然暫停赴美IPO後,同年9月曾傳出或轉赴香港上市的消息,零氪並未對此進行回應。
目前,國際上對於個人 健康 醫療數據跨境流動的專門標準並不多,國際標準化組織(ISO)2004年頒布的《 健康 信息學 推動個人 健康 信息跨國流動的數據保護指南》提及,除保護數據主體切身利益所必要的傳輸之外,個人 健康 數據不應傳輸,除非得到數據主體明確的同意。澳大利亞則明確禁止與 健康 醫療相關的數據出境。
“ 醫療數據在不同國家的流通對於推動相關領域科學研究和產業發展並進壹步推動醫療 健康 服務水平意義重大,但越來越多的國家或地區基於‘重要’‘敏感’數據對國家安全或個人隱私保護,公開呼籲將醫療 健康 數據完全本地化,這不利於促進數據自由流動,更不利於科學研究和產業發展。 ”翟運開表示。
對於我國而言,壹方面,可通過完善醫療數據合規跨境的制度體系本身推動面向國際的數據流動。蔡鵬指出,《個人信息保護法》的出臺毋庸置疑使得企業面臨更高的合規成本,但該法案的問世也是我國在保障人權上的壹大進步,促使我國企業在相關領域與國際接軌,並得到國際認可。以GDPR為例,若我國後續的配套立法能夠與之接軌,那麽對於國內企業與歐洲的企業、高校、醫院開展深度科研臨床合作,在保障國家安全的情況下促進數據流動,將具有十分積極的意義。
另壹方面,我國還多番 探索 數據跨境試點。早在2019年7月,國務院印發《中國(上海)自由貿易試驗區臨港新片區總體方案》, 明確支持新片區聚焦生物醫藥等關鍵領域,試點開展數據跨境流動的安全評估,建立數據保護能力認證、數據流通備份審查、跨境數據流通和交易風險評估等數據安全管理機制。2020年底,北京市又聚焦人工智能、生物醫藥等關鍵領域推進數據跨進流動安全管理試點工作。
“醫療數據作為特殊數據,應該建立什麽樣的跨境流動機制,法律法規和實踐的確都還需要進壹步明確。”翟運開強調。他建議我國可參考歐盟及其他國家經驗,設立符合我國國情需要的多樣化合法流動機制,以及指引性的數據跨境流動協議範本。
同時,從國際協調來看,可推動形成數據跨境統壹治理體系,由相應的國際組織,如WHO、ITU等,聯合制定醫療 健康 數據跨境流動與交易的詳細規範,***同協商制定有關國際標準。 面對海量醫療大數據跨境傳輸保護,形成獨立統壹的數據保護執法機構,獨立實現對數據活動安全的保障,避免不同國家重復執法,提高數據流動效率。
更多內容請下載21 財經 APP