《个人信息保护法》时代的医疗数据保护合规 2021年11月1日起

2021年11月1日起，《个人信息保护法》将正式施行，这标志着我国在个人信息保护方面制度更加完备，法律保障更加坚实。而医疗业作为与公众个人信息密切相关的行业，对数据保护自然有着更高的要求，如何实现医疗行业数据合规，是所有医疗机构都要面对的重要课题。
2021年10月26日下午，由广东省医院协会医院信息化专业委员会与广东智洋律师事务所联合举办的“医疗个人数据保护合规优化”专题学术沙龙在广州顺利举办。广东省医院协会副秘书长兼评审评价办公室主任潘晓雷、广东智洋律师事务所数据合规法律业务专业委员会主任朱宝石律师、德国认证数据保护官法比安·海恩茨先生等专家学者齐聚一堂，就《个人信息保护法》对医疗行业数据保护的影响、医疗机构实现数据合规的意义、国内外数据保护规则的异同等话题，进行了深入的探讨与交流。
医疗大数据建设，数据合规不能缺席
【《个人信息保护法》时代的医疗数据保护合规】广东省医院协会副秘书长兼评审评价办公室主任潘晓雷在开篇致辞中表示：“《个人信息保护法》《网络安全法》《数据安全法》共同形成我国数据安全与治理的‘三驾马车’ 。我们有必要加强对‘医疗个人信息保护’专题的学习和交流。”
潘晓雷主任认为，智慧医疗、健康医疗大数据建设等都是当今医疗行业关注的重点课题，也是未来医疗行业的发展方向。然而医疗大数据建设越是深入，医疗机构对于患者信息的掌握也就越发详细，数据合规的重要性就越发凸显。
潘晓雷主任还对本次沙龙的议程进行了介绍，对参会来宾表示了感谢。
医疗数据合规迫在眉睫，又任重道远
会上，广东智洋律师事务所数据合规法律业务专业委员会主任朱宝石律师以“《个人信息保护法》对医院的影响及应对——责任、风险及合规与防范”为主题进行了专题演讲。
演讲开始，朱宝石律师以亚马逊数据库医疗数据外泄等多个国内外关于医疗数据泄露、盗取的热点事件为切入点，揭示了医疗行业数据保护存在的大量漏洞，也展示了医疗数据泄露可能导致的严重后果。他表示，与一般个人信息相比，医疗数据关乎每位患者的身心健康，因而更加敏感，医疗数据泄露所造成的影响也更大。如果一家医疗机构发生了数据泄露事故，不仅会在经济上遭受重大损失、相关人员甚至可能被追究刑事责任。因此，对于每个医疗机构而言，医疗数据合规都迫在眉睫。
随后，朱宝石律师对我国医疗个人数据保护现状及存在的问题进行了深入分析。朱律师介绍，根据国标委发布的《健康医疗数据安全指南》，医疗数据按照其敏感程度不同，可划分为5个级别，不同级别的医疗数据的保护要求有所区别。然而在具体的操作与标准层面，国内尚缺乏具体的指引性文件。而目前行业中的HIPPA、JCI等评审都利用了外国标准，可能涉及国家安全问题。不仅如此，我国健康医疗行业App的安全性也十分堪忧，高危漏洞多、恶意程序危害严重。此外，我国医疗机构个人数据侵权投诉时或者面对相关纠纷时，缺乏系统性的处理和应对措施，一旦发生爆发式数据泄露将难以应对。因此，我国的医疗数据合规任重而道远。朱宝石律师认为，医疗机构应当与技术公司以及法律服务机构共同合作，才能真正实现医疗数据合规。
最后，朱宝石律师对我国即将施行的《个人信息保护法》进行了介绍与展望。他认为，我国的《个人信息保护法》对欧盟GDPR的许多内容有所借鉴，同时也有着自身的亮点，比如构建了以“告知-同意”为核心的个人信息处理规则、严格保护敏感个人信息、强化个人信息处理者的义务、与营业额挂钩的处罚规则等等。未来，对于违反我国个人信息保护相关法规的机构或个人，将可能同时承担民事、行政、刑事方面的责任。