医疗行业数据治理观察：医疗行业数据治理建议

视觉医生

2022-08-16 10:32 北京

打开网易新闻查看精彩图片

数据是仅次于土地、劳动力、资本和技术的第五大市场生产要素。数据的独特地位和价值促使行业重新审视数据治理问题。然而，数据治理并非一日之功，需要全社会的长期关注和实践。结合医疗数据治理现状，对医疗行业数据治理提出以下建议：

一.加强数据全流程管理，保障医疗数据安全

1.增强安全意识，加强源头管控

数据安全取决于先进技术设备的维护和适当策略的管理。在管理过程中，内部人员的数据安全意识决定了一个组织可以达到什么级别的数据安全。医疗机构可​​通过建立工作流程多级审批机制、敏感数据泄露监控管理机制、数据安全应急响应机制，将数据泄露风险降至最低。

2.建立顶层标准，推进安全建设

产业发展，标准至上。对于具有重工业属性的医疗行业，建立顶层标准将推动数据安全建设标准化，从本质上解决数据安全产业化问题。医疗数据的合规应用需要医院、医生、患者、管理者等相关人员采取相应的管理行动，要求软件制造商、硬件供应商、医疗器械供应商、药品供应商逐步打破界限，建立统一标准，共同释放数据的价值。

3.分类分级管理，巩固安全先决条件

根据医疗数据的重要性设置分类分级标准，实现数据生成和标注管理，对敏感数据进行重要标注，可为后续数据分类脱敏提供技术依据。传统的分级分类模型过于依赖人力。在技​​术方面，还需要解决自动分类、分类等问题。安全等。

4.依靠科技创新加快创新发展

数据的安全性和可靠性，数据的价值都离不开技术领域的创新。为实现数据在医疗、院外健康管理、药物研发、医保支付等各个环节的有效共享或自由流通，采用数据脱敏、数据水印等安全技术和隐私计算是目前最好的技术选择。

5.坚持以人为本，保护覆盖全过程

国家标准化管理委员会2019年发布的《个人信息安全工程指南（征求意见稿）》指出了医疗卫生行业信息安全风险的考虑要点：医疗卫生行业是特殊行业，其特殊性在于其以“人”为研究对象，所有的医疗行为及其结果都是基于对个人信息的获取，因此其信息安全风险很高。目前对患者个人信息的安全保护大多只关注脱敏、匿名化、去识别化、加密等。

由于医疗机构收集患者个人信息的特殊性，常规的“去识别化”并不能完全保证个人信息无法找回。在无法做出准确判断时，应对已“去识别化”的患者个人信息采取严格的技术保护措施。构建“以患者为中心”的个人信息风险评估与保护体系，覆盖个人信息收集、存储、使用、处理、传输、提供、披露等多个环节，有助于医疗机构推动和规范当前数据合规工作的推进和管理。

二.加强行业数据安全人才队伍建设，完善组织安全体系

《数据安全法》规定：“重要数据的处理者还应当明确数据安全负责人和管理机构，落实数据安全保护责任。” ”岗位，负责监督个人信息处理活动和采取的保护措施。由此可见，人才在数据安全相应岗位的重要性。实践中，医疗行业数据合规人员设置不明确，缺乏专门的数据合规岗位或人员，岗位设置和管理制度不够合理，难以实现技术化。和法律事务。在医疗数据监管日益严苛的背景下，难以支撑医疗机构日益复杂的数据合规治理需求。

1.成立数据安全部门，构建数据合规体系

为全面保障医疗数据安全，更好构建数据合规体系，建议医院机构设立数据安全部门，其中至少应包括医疗大数据安全委员会和医疗大数据委员会保安处的组织架构。 ，确保良好的医疗数据安全管理。其中，医疗大数据安全委员会全面负责医疗数据安全工作，讨论决定医疗数据安全重大问题；医疗大数据安全办公室设专人设立数据保护官职位，负责制定医疗数据安全和个人信息保护策略及风险评估方案、合规性评估方案、风险处置方案和应急预案；负责制定与数据安全和个人信息保护相关的规章制度；负责数据安全和个人信息保护人员的教育培训；审核医疗数据的使用和应用等。

2.引入第三方服务，提升数据合规能力

大部分医疗机构没有互联网基因，数据合规基础相对薄弱。无论是在制度建设还是具体场景的合规方面，都可能存在一些不足，存在一定的合规风险和隐患。因此，建议高度重视数据合规建设，及时引入律师、技术专家、顾问等第三方服务，是提高医疗机构数据合规能力的有效途径。 这些人员应具有一定的数据安全和个人信息保护领域的工作经验，具备相关知识，熟悉法律、行政法规、规章和政策规定。在第三方的支持下，医疗机构可​​以构建科学的医疗数据安全保护体系，有效保障医疗数据的安全和患者个人信息的安全。

三.打破医疗数据共享壁垒，完善数据共享体系

医疗数据共享意义重大。从临床运营的角度看，共享医疗数据的使用可以提高医学科研的有效性和针对性，创造出更符合临床需求、更具性价比的技术和产品。从医院管理的角度来看，共享医疗数据可以科学地分析和比较医院管理的优缺点，有助于提升医院管理和服务效率。从公共卫生建设的角度，分析疾病模式，追踪疾病暴发和传播途径，可以提高公共卫生监测和响应速度，及时、准确地制定和实施防控措施。从医疗技术创新的角度来看，共享医疗数据的应用有利于建立更精简、更快、更有针对性的研发转化落地体系。从医疗保险的角度来看，共享大数据的价值在于制定精准的保险服务业务，提升医疗行业和患者的抗风险能力。从患者的角度出发，更方便全面地了解和参与疾病的诊疗过程，获取更多的诊疗信息，进行科学的自我健康管理。

目前，我国医疗行业数字化水平有了很大提高，医院管理、医保结算、疫情监测系统实现了网络化管理。然而，医疗健康数据的共享仍处于起步阶段。数据泄露隐患增多，数据共享标准有待进一步完善，数据存在多种异构形式，数据难以确认和授权。这是阻碍医疗机构数据共享的四个因素。具体来说，还有两个不足：

首先，医院之间的大部分数据信息无法共享，包括患者生命体征信息、疾病信息、影像学检查报告、互联网诊疗记录、用药情况等医院系统基础数据如“数据孤岛” 难以形成互联互通的合力；

二是不同监管部门之间共享渠道不畅，联动机制有待完善。

通过建立医疗行业共享数据平台来打破这种“数据孤岛”现象，主要包括以下几个步骤：一是建立全国统一的医疗行业数据信息共享平台，规范国家产生的数据信息。医疗及相关行为，覆盖医疗行业全链条，在统一平台上采集、管理、使用。此外，应加强安全制度建设，如建立健全医疗机构内部安全管理制度、设备安全管理制度、环境安全管理制度、网络安全管理制度等，确保安全、医疗信息系统可靠、稳定、持续运行，保障医疗信息化。系统所在环境安全，内外网络安全有保障。

另外，建立规范的管理和使用制度，实行分级管理。能够公开的数据应当及时公开。对不能公开的数据，应当制定严格的使用范围、使用权限、用户身份认证等管理制度。同时，建立完善的数据安全保障体系，通过制度和信息化手段，做到数据管理和使用可追溯、可追溯，杜绝数据泄露。

四.明确医疗数据所有权，减少权利纠纷

目前国内法律法规对数据的“所有权”（包括个人信息的所有权）没有明确规定。但数据所有权问题存在缺陷医疗信息系统，可能会影响后续一系列数据处理行为的合法性和有效性，包括衍生数据结果的归属。 《GB/T 35273-2020信息安全技术个人信息安全规范》中对“个人信息控制者”的定义和《健康与医疗数据安全指南》中“健康与医疗数据控制者”的概念均引入“数据控制权”的概念与欧盟GDPR等域外立法所采用的处理方式基本一致。从数据“控制”的角度来看，控制者享有对数据的“控制”并承担相应的责任为保护用户权益和数据安全，有可能成为数据所有权人。

此外，由于数据可能包含数据处理者的商业秘密、商标、版权等信息，数据所有权可能涵盖相关知识产权。目前，国内相关知识产权法律法规较为明确，在不违反相关法律法规的前提下，应尊重各方对具体知识成果的所有权协议。

五.医疗数据跨境传输需提前全面审核

根据《网络安全法》和《个人信息出境安全评估办法（征求意见稿）》，个人信息和重要数据的跨境传输必须在安全评估完成后才能完成并报有关部门备案。 根据《健康与医疗数据安全指南》的要求，出于学术研讨等目的，如需向境外提供非保密、非重要数据信息的，经主体授权和批准机构数据安全委员会，健康和医疗数据控制者可以将数据发送到海外。目的地提供个人健康医疗数据，累计数据量控制在250条以内，否则需报相关部门审批。

《健康医疗数据安全指南》对外部数据提供场景有不同的分类和规定，但无论是何种场景，都建议健康医疗企业全面审视其数据安全管理能力他们的合作伙伴在数据传输之前。并通过与合作伙伴的补充协议，要求合作伙伴作为数据接收方在约定的用途范围内使用数据，承担保密义务和信息安全义务。此外，如涉及人类遗传资源信息，还需经中国人类遗传资源管理办公室审核批准。人类遗传资源信息的跨境传输需要适用于2019年7月起实施的《人类遗传资源管理条例》。设立或者实际控制的个人和机构，应当向国务院科学技术行政部门备案或者提交资料备份。

此外，根据将于2021年3月生效的刑法修正案（十一）），非法采集国家人类遗传资源，或未经审查将人类遗传资源信息转让给境外组织、个人及其建立或实际由受控机构提供或提供的将被定为刑事犯罪并受到刑事处罚。