跨境咨詢,跨境醫學研究,國際臨床試驗,醫療器械出海...跨境醫療近年來發展迅速,大量敏感個人信息的跨境醫療數據對相關機構和企業意味著更高的合規要求。
受訪專家認為,目前我國醫療數據跨境流動機制尚不明確,急需在《數據安全法》和《個人信息保護法》框架下,結合醫藥行業特點,設計有針對性的行業規則,既保護個人權益和數據安全,又兼顧藥品和醫療器械創新研發的效率。同時,積極實現國內數據治理法規與國際數據治理法規的接軌,有助於中國與海外藥企、高校、醫院進行更深入的合作。
2020年以來,全球新冠肺炎疫情在壹定程度上阻斷了跨境醫療之路,不斷刺激跨境遠程醫療需求。
網絡將患者與國外的醫生連接起來,可以通過視頻或電話進行交流,得出診療結論。在這個過程中,往往涉及到醫生對患者的醫學影像等信息和數據的跨界檢索。
這是醫療數據跨境傳輸的常見應用場景之壹。事實上,隨著全球醫療交流的日益頻繁,醫療數據的跨境需求也越來越迫切。
根據國家計算機網絡應急技術處理協調中心發布的《中國互聯網絡安全報告2020》,2020年,* * *發現國內醫學影像數據通過網絡出境超過497萬次,其中,我國非脫敏醫學影像數據出境近40萬次,占總次數的7.9%。然而,醫學影像文件包含了大量未經脫敏處理的患者個人信息。
醫療數據除了患者的個人信息和健康狀況數據,還包括醫療應用數據和人類遺傳資源,這些數據的大量存在可能給我國醫療衛生安全帶來隱患。
早在2018,10,科技部官網,就發布了6條處罰消息,涉及華大基因、復旦大學附屬華山醫院、蘇州藥明康德、阿斯利康、愛德生物、郝坤睿誠等6家公司。罰單顯示,6家公司均違反《人類遺傳資源管理條例》,或非法運輸、接收已批準項目剩余樣本;或者非法開展國家合作研究的;有些人甚至用人血清作為狗血漿非法出境。
北京石慧律師事務所合夥人魯靜表示,《個人信息保護法》將“醫療健康”信息視為敏感信息,醫療行業大量的患者相關信息因其“醫療健康”屬性,會落入個人敏感信息範疇。例如:病歷信息、不良反應報告信息、臨床試驗數據等。
以國際臨床試驗為例,中倫律師事務所合夥人蔡鵬表示,在國際臨床試驗合作中,會涉及到構成個人敏感信息的醫療數據。數據處理者在收集和處理敏感個人信息時,應當遵循《個人信息保護法》中處理敏感個人信息的合規要求,並按照要求提前進行個人信息保護影響評估。同時,對於跨境提供,國內數據提供者還需要確保遵守《個人信息保護法》中關於跨境提供個人信息的規定。
除上述監管要求外,國際合作臨床試驗涉及的數據如被標識為“健康醫療大數據”、“人群健康信息”或基因、基因組等遺傳物質的,應按照《國家健康醫療大數據標準》、《安全與服務管理辦法(試行)》、《人群健康信息管理辦法(試行)》、《中華人民共和國人類遺傳資源管理條例》或
今年2月,國家衛生健康委員會公布了對政協委員陳關於加強臨床研究受試者個人信息和資料保護的提案的復函。其中提到,國家衛健委將積極配合有關部門,針對數據出境但處理結果出境、境外機構通過代理商在內地獲取臨床數據等新挑戰,推動出臺相關應對措施,並在此基礎上推動醫療衛生機構落實相關工作。
對於醫療健康企業來說,實現醫療數據的跨界合規有哪些難點?
從藥企的角度,魯靜指出,藥企需要付出額外的時間來履行合規義務,藥物和醫療器械的研發時間也會相應增加。然而,在臨床試驗的國際合作場景中,壹些合規要求(例如,在向海外提供個人信息之前,應將每個海外接受者的姓名和聯系信息告知自然人)可能難以實施。
“在規則設計層面過於嚴格的合規要求,容易導致規則執行層面普遍違規,從而影響規定的嚴肅性。”盧偉說。
因此,他建議,在《數據安全法》和《個人信息保護法》的框架下,結合醫藥行業的特點,有針對性地設計行業規則,既保護個人權益和數據安全,又兼顧藥品和醫療器械創新研發的效率。
郝偉科技創始人兼董事長王爽認為,目前醫療數據跨境的難點主要在於在跨境合規的前提下滿足不同業務場景的需求。在中國,醫療數據可能涉及很多法律法規,不同場景下會產生不同的受保護數據分類。但世界各國的法律規定不盡相同,因此也會產生不同的分類分級標準。
對此,王爽建議,在跨境醫療數據之前,相關企事業單位應首先確保數據按照國內法律法規的要求進行分類分級。然後在數據出境的時候,尋找各個國家所要求的* * *相似性,以符合規定。其中,明確不能交換的數據,可以通過隱私計算等技術手段進行處理,以“可用、不可見”的模式,滿足合規要求,實現跨境醫療數據“可管、可控、可測”的合作。此外,還需要構建完整的人事體系,要形成由決策、管理、執行、監督、協調組成的組織架構。同時,要完善文檔體系,應包括與數據安全相關的詳細內容,如政策和指南、系統流程規範、人員培訓資料、數據收集等。
中倫律師事務所認為,企業在實施醫療數據信息跨境傳輸時,必須明確數據采集、使用、傳輸、發送方和接收方,以及為此提供服務的第三方,明確醫療數據的內容和屬性;清理數據存儲場所;同時制定數據退出方案等計劃,並對數據處理的目的、方式、安全措施等進行約定;完善重要數據處理活動風險自我評估機制、網絡安全等級保護機制、關鍵信息基礎設施(CII)安全保護機制和非CII運營商網絡安全審查響應機制。
對於有上市要求的醫療健康企業來說,數據跨界監管趨嚴的影響可能更直接。“醫療大數據公司在選擇上市地點時,已經把數據跨界的問題作為重點考慮的因素之壹。”互聯網醫療系統及應用國家工程實驗室副主任翟雲凱說。
近日,醫療大數據龍頭零氪科技撤回美國IPO計劃。其此前披露的招股書顯示,該公司擁有超過250萬名患者,900多萬份縱向病歷。該公司去年7月突然暫停赴美IPO後,同年9月被舉報或轉到香港上市。零氪對此沒有反應。
目前國際上針對個人健康醫療數據跨境流動的專門標準並不多。國際標準化組織(ISO)2004年發布的《促進個人健康信息跨境流動的健康信息學數據保護指南》中提到,除了為保護數據主體的切身利益所必需的傳輸外,不應傳輸個人健康數據,除非得到數據主體的明確同意。澳大利亞明令禁止醫療保健相關數據出境。
“醫學數據在不同國家的流通,對於促進相關領域的科學研究和產業發展,進壹步提升醫療衛生服務水平具有重要意義。然而,越來越多的國家或地區公開呼籲基於‘重要’和‘敏感’數據的醫療健康數據完全本地化,以保護國家安全或個人隱私,這不利於促進數據的自由流動,也不利於科學研究和產業發展。”嚴雲凱說。
對於中國來說,壹方面可以通過完善醫療數據合規跨境體系,促進數據的國際流動。蔡鵬指出,《個人信息保護法》的頒布無疑使企業面臨更高的合規成本,但這部法律的頒布也是中國保護人權的壹大進步,促使中國企業在相關領域與國際接軌,獲得國際認可。以GDPR為例,如果中國後續的配套立法能夠與之接軌,對於國內企業與歐洲的企業、高校、醫院開展深入的科研和臨床合作,在保障國家安全的同時促進數據流動,將具有十分積極的意義。
另壹方面,中國多次探索跨境數據試點。早在2065438+2009年7月,國務院發布中國(上海)自由貿易試驗區臨港新區總體方案,明確支持新區聚焦生物醫藥等重點領域,開展跨境數據流安全評估試點,建立數據保護能力認證、數據流通備份審核、跨境數據流、交易風險評估等數據安全管理機制。2020年底,北京還聚焦人工智能、生物醫藥等重點領域,推進數據交叉進入移動安全管理試點工作。
“作為壹種特殊的數據,醫療數據應該建立怎樣的跨境流動機制?法律法規和慣例確實需要進壹步明確。”翟雲凱強調。他建議,中國可以參考歐盟等國家的經驗,建立符合中國國情需要的多元化合法流動機制,設立跨境數據流動的指導性示範協議。
同時,從國際協調的角度,可以推動形成跨境數據的統壹治理體系,由相關國際組織,如世衛組織、ITU共同制定醫療衛生數據跨境流動和交易的詳細規範,* * *通過協商制定相關國際標準。面對海量醫療大數據的跨境傳輸保護,將組建獨立統壹的數據保護執法機構,獨立保障數據活動安全,避免不同國家重復執法,提高數據流動效率。
更多信息請下載21金融APP。