郭玉兰等:互联网医疗企业如何合规收集健康医疗数据


郭玉兰等:互联网医疗企业如何合规收集健康医疗数据
文章图片

文章图片

【郭玉兰等:互联网医疗企业如何合规收集健康医疗数据】黑龙江龙网_原标题:郭玉兰等:“健康医疗数据合规”那些事儿 - 系列之一:互联网医疗企业如何合规收集健康医疗数据
随着2021年7月1日正式实施的《信息安全技术健康医疗数据安全指南》 , 2021年9月1日起施行的《中华人民共和国数据安全法》以及将于2021年11月1日起生效的《中华人民共和国个人信息保护法》的相继出台 , 健康医疗数据作为关系国计民生的重要数据领域 , 正面临着多部法规的全方位、多维度的强监管挑战 。
尽管在不同的法律法规项下 , 对“健康医疗数据”的概念存在不同维度的表述 , 如:《信息安全技术个人信息安全规范》 (GB/T 35273-2020) 中的“个人健康生理信息”以及《中华人民共和国基本医疗卫生与健康促进法》中的“健康医疗大数据” 。但这些术语所指向的数据对象以及包含的数据特征具有高度重合性 。
为此 , 我们理解 , “健康医疗数据”通常包括(a)单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的“个人健康医疗数据” , 如健康检测结果、既往病史以及提供健康医疗服务时登记的个人信息;以及(b)由“个人健康医疗数据”加工处理后得到的“健康医疗相关电子数据” , 如经过对群体健康医疗数据处理后得到的群体医疗数据分析总体结果以及趋势预测等 。
由于健康医疗数据的敏感性 , 如何有效运用并顺利展开业务 , 又符合合规要求?我们结合团队实际操作过的案例 , 选取了具有典型意义的数据互通和共享实践场景 , 进行分享 。
01场景一
某跨国医疗产品生产商内部以数据平台实现数据的互联互通和信息共享
外国母公司与其在华投资的子公司通过集团内部共享的数据平台 , 来实现线下医疗咨询服务和线上制定服务方案的跨国联动 , 同时也实现了不同国家关联企业之间的信息共享和服务协同 。为了将场景一可视化 , 请参考下方数据流转图:

郭玉兰等:互联网医疗企业如何合规收集健康医疗数据
文章图片

文章图片

针对上述数据流转图中的第一步 , 通过线下医疗面诊获取自然人客户的健康医疗数据 , 应当注意哪些合规事项?我们根据团队曾经服务过的实际案例 , 分享在此类“健康医疗数据收集”过程中具有共性的如下合规问题供参考 。
1个人健康医疗数据的收集者包括哪些?
根据目前实施有效的法律法规 , 个人健康医疗数据的收集者(以下简称“收集者”)一般指:
(1)健康医疗数据控制者(以下简称“控制者”):能够决定健康医疗数据处理目的、方式及范围等的组织或个人 。比如:提供健康医疗服务的企业、医保机构、政府机构、健康医疗科学研究机构、个体诊所等 , 其以电子形式传输或处理健康医疗数据 。
(2)健康医疗数据处理者(以下简称“处理者”):代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据 , 或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人 。常见的处理者有:健康医疗信息系统供应商、辅助诊疗解决方案供应商等 。
2在收集的过程中可能涉及哪些数据类型?
不同医疗产品企业因向自然人客户提供不同的产品和服务 , 而收集不同类型和范围的健康医疗数据 , 但一般包括:(a)个人属性的数据 , 如个人的姓名、出生日期以及身份证号码等;(b)个人健康的数据 , 如疾病史、过敏史等与顾客个人健康息息相关的数据;以及(c)医疗支付数据 , 如是否购买商业保险、支付账号和方式等 。