江军：医疗机构数据安全合规对药械临床试验数据传输的影响

2022年5月21日（周六）晚，上海赛博网络安全产业创新研究院联合安永(中国)企业咨询有限公司主办「数安周享会·Cyber Talk」第五期直播活动。

本期以“生命科学领域的数据合规要点”为主题，鉴于在生命科学领域，企业开展医药和医疗器械生产、研发、销售相关业务时，通常涉及大量的个人敏感信息和重要数据。如临床试验数据、人类遗传信息等一旦泄露，将带来难以估量的影响。因此，重点探讨了在生命科学领域如何做好企业数据合规？

江律师重点介绍了现行医疗机构的数据管理现状及存在的问题、结合立法规定对医疗健康数据的合规趋势进行了研判，并聚焦临床试验数据的传输、使用以及跨境相关场景问题，提出建议与思考。

01医疗机构的数据管理现状

过去，行业数据保护和安全涉及到隐私保护、医疗安全、医患纠纷、传染病防护等各个方面。然而，伴随着《数据安全法》《个人信息保护法》以及《信息安全技术健康医疗数据安全指南》（以下简称“《指南》”）等法律法规的出台，健康医疗数据的安全合规管理及利用也就迈入新的阶段，数据的共享、利用和传输有了相应的规范和约束。

目前，需要合规传输审查的医疗数据包括：

病历资料：电子病历数据的系统对操作人员进行身份识别，确保操作记录可查询、追溯，设置使用、修改权限。

健康医疗大数据：医疗机构因业务需要确需向境外提供的，应按照相关法律法规及有关要求进行安全评估审核。

人类遗传资源：将人类遗传资源信息向外方单位提供或者开放使用的，应向国务院科学技术行政部门备案并提交信息备份。

人口健康信息：依法应向社会公开的信息应当及时主动公开；涉及保密信息和个人隐私信息，不得对外提供。

临床试验数据：根据监查员、稽查员、伦理委员会或者药监部门的要求，研究者和临床试验机构应当配合并提供所需的与试验有关的记录。

由于医疗机构对于医疗健康数据的处理，涉及到政府、医院、企业、个人等多个主体，目前的医疗数据主要产生并存储在医疗机构和政府平台上。实践中医疗机构往往会与第三方合作开发利用医疗数据。

科研合作的数据流向，一般是从医院到企业，由企业提供技术、研发力量和设备资源，再由医院来提供病患的数据以及临床经验。在医疗机构的内部，患者的医疗信息原来是由大多数医疗机构自行调阅，管理部门监督监测。现在机构与机构之间逐渐互联互通，开发了远程医疗移动应用的新场景，自然也就扩大了隐私信息的分布场景、增加了信息泄露的渠道。

此外，医疗机构对医疗数据管理的现状还存在一些问题。例如，2020年的《互联网网络安全报告》披露，2020年国内的医学影像数据，通过网络出境就达到了接近五百万次，里面没有脱敏的医学影像数据达到四十万。医学影像文件在没有脱敏的情况下包含了大量的患者个人信息和敏感信息，这些数据如果不加限制地大量流失，很可能对我国医疗安全卫生带来隐患。由于现在医疗机构数据管理缺乏体系化的合规制度，人员部门的权责不够清晰，分类分级权限的控制没有完全落地，加上思维和意识上的僵化，导致数据流动的价值受限。所以现在医疗机构的认识存在误区、管理出现漏洞的情况也时有发生。

当前医疗领域面临的安全挑战已经逐渐清晰，相关机构亟需建立适应于多场景的隐私安全管理制度以及技术保障体系，形成具体场景的数据安全管理制度。

02医疗健康数据合规趋势

《数据安全法》《个人信息保护法》已经颁布实施，在相关部门的规章、政策文件、国家标准陆续征求意见和逐步出台以后，医疗机构数据安全合规会有怎样的变化和趋势？

数据安全合规建设的首要压力来自违规的法律责任。民事、行政和刑事责任对违规的机构和个人形成严厉的约束。尤为引人关注的是《数据安全法》《个人信息保护法》的相关行政处罚条款。暂停业务、停业整顿、吊销业务许可证、吊销营业执照、禁止担任董监高和个人信息保护责任人等处罚措施是十分严厉的，对于企业来讲会造成严重影响，也能起到威慑作用。

未来，随着《数据安全法》《个人信息保护法》监管体系的日渐完善，作为掌控众多健康医疗数据的医疗机构来说，如何打造数据安全合规的体系，是应当关注的问题。

医疗机构的数据合规体系建设必然会依托《数据安全法》《个人信息保护法》以及《指南》，还有即将出台的《出境数据评估指南》来搭建制度体系。

《健康医疗数据安全指南》列举了八个医疗数据应用的典型场景，囊括了医疗机构内部数据大部分情形。基于数据的敏感程度、等级保护的不同，数据共享的范围、方式、要求也必然相应不同。因此医疗机构首先有必要对所掌握的数据按照类别进行划分，并且按照重要、敏感程度对数据进行分级。在这个过程中，医疗机构将会根据所管辖的数据类型、特性、规模及机构的特性（综合医院、专科医院、门诊部）等因素来综合考虑本机构数据安全管理的总体目标和安全策略，按照一定的颗粒度，对数据进行合理的梳理、归类和细分，最终确定数据分级的清单。在健康医疗数据分类分级后，确定数据开放共享利用的形式（如安全策略、数据权限管理、访问控制管理、去标识化、脱敏以及安全监督和应急处置预案等），逐步形成有组织保障、有制度保障以及合规文化的全面体系。

需要注意的是，并不是所有的临床研究都由《指南》规制。《指南》中的“典型场景数据安全”一章中的“临床研究数据安全”一节，明确了“以药械上市获批为目的的临床试验的数据安全”不属于本标准的范畴。当然这些数据仍会受到《数据安全法》《个人信息保护法》以及《药物临床试验质量管理规范》《医疗器械临床试验质量管理规范》《临床试验数据管理工作技术指南》的约束。

广东省卫生经济学会出台的《广东省医疗健康数据安全分类分级管理技术规范（征求意见稿）》和广州市标准化促进会出台的《广东省健康医疗数据脱敏技术规范》值得借鉴。

对于数据分类，可以先收集并梳理数据资源，以线分类法为基础，结合业务属性或特征将健康医疗数据分为若干数据大类，再将每个大类的数据分为若干层级，从而对数据进行类型化细分。对于数据分级，可以先确定数据分级对象及数据安全受到破坏时造成影响的客体，然后评定对影响客体的影响程度，以之为标准确定数据分级对象的安全等级，从而确定数据级别。

03对药械临床试验数据传输的影响

药械企业尤为关注临床试验数据的传输、使用以及跨境问题。医疗机构在未来的合规建设过程中，是否会因为要满足数据跨境合规，而影响不同数据使用场景和业务对于数据的需求？这个问题值得关注。

临床试验数据受到三个维度的制约：一是受到《个人信息保护法》的约束；二是在数据收集、存储、传输、使用以及销毁的全生命周期，受到《人类遗传资源管理条例》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《医疗机构病历管理规定》《药物临床试验质量管理规范》《医疗器械临床试验质量管理规范》等行业法规的规制；三是受到《网络安全法》《数据安全法》中关于重要数据的立法制约。

目前《信息安全技术重要数据识别指南》仍然在征求意见、尚未正式发布，但是，自从2021年6月到现在已经经历了两次重大的修改。

《指南》于2021年6月18日首次公开征求意见。2022年1月7日版《指南》征求意见稿较前版发生了重大变化，主要体现在取消了对重要数据的“特征”说明。2022年3月16日该版本经汇总意见后再次发生重大变化，相对客观地对重要数据识别原则做了较为清晰的描述，主要体现在：（1）更名为《信息安全技术重要数据识别规则》；（2）“重要数据”的定义被修改为：特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

一旦数据被认定为重要数据，就需要在跨境传输前要面临评估审批的流程。需要注意的是，在不属于重要数据的情况下，也可能触发评估审批程序，情形包括：

涉个人信息达到数量要求：

1）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；

2）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。

不以产品上市获批为目的的临床试验数据：

1）控制者因学术研讨需要，需向境外提供相应数据的，在进行必要的去标识化处理后，经过数据安全委员会讨论审批同意，数量在250条以内的非涉密非重要数据可以提供，否则宜提请相关部门审批；

2）不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据，经主体授权同意，并经数据安全委员会讨论审批同意，控制者可向境外目的地提供个人健康医疗数据，累计数量宜控制在250条以内，否则宜提请相关部门审批。

《数据出境安全评估办法（征求意见稿）》规定，有出境需求的数据处理者，必须要事前进行风险自评。风险自评估形成的报告，连同申报书和合同等材料应提交给省级网信部门，必要时由其向国家网信部门申报。国家网信部门会组织相关的专门机构等开展安全评估工作。如果涉及重要数据，则由行业主管部门、国务院相关部门共同评审。最终，评审结果下发后，企业才允许进行数据跨境活动。

数据出境安全评估是一个持续的过程。企业在评估满两年有效期、希望继续开展数据出境业务时，须在有效期届满前六十个工作日重新申报评估；企业在情势发生变化，即数据出境业务的基本特征如目的、方式、范围、类型、用途、境外保存期限、相关合作方的合同变更时，或境内处理者、境外接收方变更时，需重新申报评估。有关部门发现企业违规行为、企业按要求整改后需要重新申报评估。

欧盟GDPR（《通用数据保护条例》，General Data Protection Regulation）没有要求企业必须通过监管部门的安全评估，但可以通过签署标准合同条款来实现脱敏数据的合法跨境传输。

相较于欧盟，美国也不需要申请评估，而是通过界定是否属于“受限制的数据集“这一概念，以及是否满足一定条件，对临床试验数据进行跨境传输审查。

以GDPR为例，如果我国后续的配套立法能够与之接轨，则在保障国家安全的情况下，对国内企业与欧洲企业、高校、医院或科研机构之间的深度的科研临床合作、促进数据流动都会具有十分积极的意义。