第 23 期 个人信息保护法下健康医疗数据隐私保护新解读 TheLatestReinterpretationofDataPrivacyProtectioninHealthcareUnderthePersonalInformationProtectionLaw 本期导读 随着信息化与经济社会持续深度融合,个人信息权益侵害事件频发,个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题之一。制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,也是促进数字经济健康发展的重要举措。“执其两端,用其中于民”,个人信息保护法的立法目的是“保护个人信息权益”和“促进个人信息合理利用”并行。保护是为了更好的利用,健康医疗数据生态参与者在面临政策环境变化带来规制挑战的同时,更要看见制度完善带来的新发展机遇。 浙江数字医疗卫生技术研究院 李莹莹周佳卉张建楠李莹莹朱烨琳 杭州数钮科技有限公司 刘松林钱远之 中伦律师事务所 陈方强 内容摘要 (一)《个人信息保护法》概述 随着信息化与经济社会持续深度融合,个人信息权益侵害事件频发,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,也是促进数字经济健康发展的重要举措。经历二十载的发展历程,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)自2021年11月1日起正式施行。 《个人信息保护法》的实施确认了个人信息保护范围,确立了个人信息处理活动基本原则,对个人在个人信息处理活动中的权利进行充分的规定,明确了个人信息处理者的义务、确定了职责部门与法律责任等。自此,我国形成了以《网络安全法》、《数据安全法》、《个人信息保护法》为核心的法律体系,为数据应用和个人信息权益保护提供了基础制度保障。 (二)个人信息保护法下健康医疗数据管理新挑战 目前国内外对于健康医疗领域个人信息保护均未有专门立法,健康医疗领域对于个人信息的保护要求散见于法律、部委/地方性法规和部委/地方性规章当中。《个人信息保护法》的实施对于产业内各类型企业的数据处理活动将会有不同程度的影响,主要包括要求企业需根据该法关于“个人信息”和“个人敏感信息”的定义对所处理的健康医疗数据进行识别并履行相应义务;采取相应的安全和技术措施确保个人信息活动符合法律、行政法规的规定,防止未经授权的访问以及个人信息泄露、篡改、丢失;在发生个人信息的安全事件后,依照过错推定原则,企业需具备一定的举证能力。相关企业和从 业者应当在原有健康医疗领域应用个人信息保护要求的基础上,结合《个人信息保护法》带来的新要求,对健康医疗数据进行全生命周期的合规处理,需关注各环节各有其合规要点。 (三)健康医疗领域个人信息保护现状与进展 目前,区块链技术应用在健康医疗领域个人信息保护研究热度增长最快,医疗大数据、电子病历、电子健康档案、移动/互联网医疗、物联网等是个人信息保护研究热点,近三年新增研究领域主要集中在疫情防控、数据共享中的隐私保护研究。医院作为患者个人信息处理的主要机构,尚未形成体系性的个人信息保护的管理制度,不同医疗机构对于隐私安全认识与处理能力的差异较大。电子病历系统有待加强医护人员对电子病历隐私保护意识,电子健康档案的进一步共享开放需进一步加强数据传输和访问中的隐私安全。互联网医疗、临床科研和疫情防控作为重要的健康医疗领域个人隐私保护代表性场景,均存在不同程度制度可操作性不足及管理落实不到位问题。技术方面,传统隐私保护技术主要包括数据扰乱技术、数据加密技术、数据匿名化技术和访问控制技术,不同的隐私保护技术均有各自适用性与局限性。区块链技术和隐私计算是新型数据保护技术未来发展方向。 (四)个人信息保护法下健康医疗领域隐私保护实践 日本通过创设国家认证制度认证认定匿名加工医疗信息制作者推动数据匿名加工,欧盟通过设立数据保护官统筹开展隐私保护管理等对我国个人信息保护法在健康医疗领 域隐私保护的管理实践具有一定借鉴意义。基于区块链技术的电子健康档案共享与开放方案、基于区块链的患者个人电子病历夹应用、基于区块链+隐私计算的多中心科研协作平台三个实践案例提供了区块链和隐私计算新技术在隐私保护中的应用参考。 (五)未来与展望 我国已建立涵盖法律制度、政策文件、部委规章及国家标准在内的关于患者健康医疗隐私数据安全的制度框架体系,且在规制 内容方面趋于完善。但在制度的专指性和可操作性、健康医疗数据隐私边界和规范性,以及法规措施与实践共融性方面仍面临众多挑战。健康医疗数据个人信息保护有待更具可落地的规范和指南出台。区块链等新技术的发展为个人信息保护提供更多的创新解决方案。大数据时代,企业将有更加完善的制度和技术去落实个人信息保护,而我们始终倡导,尊重每个数据生态的参与者,尤其是个人,是整个生态能够良性运转的前提。尊重个人,请从保护个人信息开始。 研究简介 (一)研究背景 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,该法已于2021年 11月1日起施行。《个人信息保护法》的实施将会对于健康医疗领域内各类型企业的数据处理活动产生不同程度的影响,为此本期白皮书在imit白皮书第三期《如何保护个人健康医疗信息?》、imit白皮书第十期《促进健康医疗大数据规范化应用 ——开放数据的隐私安全保护》、imit白皮书第十六期《新冠肺炎疫情防控中个人信息保护手册》的基础上,对个人信息保护法下的健康医疗领域的隐私保护变化进行新解读。 (二)研究目标 了解《个人信息保护法》重点内容及对健康医疗领域数据合规利用带来的影响。分析《个人信息保护法》下健康医疗数据个人信息保护要求。梳理健康医疗领域个人信息保护现状及进展,为该法实施背景下的健康医疗数据应用个人信息保护实践提供参考借鉴。 (三)研究方法 本研究通过对国内外相关文献和资料进行检索和整理归纳分析,同时对国内有代表性的健康医疗数据处理企业开展调研,深入了解健康医疗领域个人信息保护发展状况;联合专业律师专家进行深入讨论,分析个人信息法施行对健康医疗领域的影响。 (四)机构介绍 1..浙江数字医疗卫生技术研究 浙江数字医疗卫生技术研究院(简称“数研院”,imitTM)是中国首家致力于数字与信息化技术在医疗卫生健康服务领域研发与应用的专业性非营利研究机构(NPO/NGO),院长为杨胜利院士,理事长为李兰娟院士,常务副院长为郑杰先生。 数研院聚集众多业内的资深院士和专家学者、全球著名的医疗保健设备厂商、国内外领先的行业软件企业来共同从事该领域的研究开发、顾问咨询、认证评估、国际合作、成果转化等工作,并引领政、产、学、研、用、资六位一体的公益事业公共服务支撑平台,进而营造出可生存可持续发展的数字医疗卫生产业链生态环境。 2..杭州数钮科技有限公司 杭州数钮科技有限公司(简称“数钮科技”)是趣链科技旗下以区块链技术创新驱动的医疗科技公司,聚焦“区块链+医疗健康”领域,致力于打造基于国产自主可控区块链技术的健康数据可信安全协同服务体系。 数钮科技专注于区块链等新技术在医疗健康领域内医疗、医保、科研、健康管理、医院管理、信息安全、业务监管、溯源、数据流通等应用场景的融合创新,发挥新兴技术在优化业务流程、降低运营成本、提升协同效率、构建可信体系等方面的价值,同时积极探索利用区块链、隐私计算等技术构建安全、合规、高效的医疗数据要素价值流通体系,构建大健康产业区块链价值网络,推动大健康产业生态协同发展,赋能数字健康生态。 3..中伦律师事务所 中伦律师事务所(简称“中伦”)创立于1993年,是中国司法部最早批准设立的 合伙制律师事务所之一。中伦拥有约370名合伙人,2300多名专业人员(含合伙人),在境内外共设有19个办公室,目前为中国规模最大的综合性律师事务所之一。 中伦的法律服务业务涵盖了资本市场/证券、私募股权与投资基金、健康与生命科学、房地产、建设工程与基础设施、环境、能源与资源、公司/外商直接投资、收购兼并、反垄断与竞争法、合规/政府监管、知识产权、科技、电信与互联网等三十多个专业领域,是为数不多的能够提供全面、专业的法律服务的中国律师事务所之一。中伦在网络安全、隐私与数据保护等多项业务上具有非常丰富的实务经验,可以协助客户在复杂的 法律和监管框架下有效应对法律的挑战,并长期致力于为医疗健康行业的领导者提供切实可行的决策建议,确保医疗机构、医药企业和互联网企业等在提供医疗健康产业相关服务时,能够有效规避和管控法律风险,提高管理效率、降低运营成本。 (五)版权说明 本白皮书版权属于浙江数字医疗卫生技术研究院,并受法律保护。转载、摘编或其它使用本白皮书文字或观点内容,请注明“来源:浙江数字医疗卫生技术研究院”,若违反上述声明者,本院将追究其相关法律责任。 特别鸣谢:上海信医科技有限公司对本期白皮书提供应用案例支持。 一、《中华人民共和国个人信息保护法》概述 (一)《中华人民共和国个人信息保护法》简介 1..立法背景 随着信息化时代的到来和数字经济的不断发展,个人信息保护已成为广大人民群众最关心、最直接和最现实的利益问题之一。个人信息保护一方面要面临网络信息科技发展的现实需要,即互联网日益追求基于移动手机、大数据、云计算、人工智能、物联网等新技术实践演化出的数字经济、数字社会和数字管理的繁荣前景,数据资源成为新的战略资源,大数据战略上升为国家战略;另一方面由于大数据战略驱动下的网络和数字的创新和应用衍生出层出不穷的问题,特别是未经同意的个人信息处理和愈演愈烈的滥用行为,造成对个人隐私和身份安全的损害或风险[1]。 在数字化浪潮的推动下,个人信息保护的立法陡然加速,2000到2010年,共有40个国家颁布了个人信息保护法,2010年 到2019年,又新增了62部个人信息保护法[2]。我国尽管有部分法律法规或规范性文件涉及到个人信息保护,但从整体来看,有关个人信息保护立法仍存在立法的碎片化现象,系统的专门立法未能一统标准,而且多数规范性文件位阶偏低,高位阶的规范性文件流于形式或者宣示性规定,缺乏可操作的具体规则[3]。对于企业、机构等个人信息处理者的法律义务和责任的判定条款模糊;相关行政执法部门的定位、权限等亦不明确,相关执法部门开展行政管理和执法活动缺乏必要的法律依据。因此制定个人信息保护法有其现实的必要性,既是进一步加强个人信息保护法制保障的客观要求,也是维护网络空间良好生态的现实需要,还是促进数字经济健康发展的重要举措[4]。 2..立法历程 追根溯源,中国的个人信息保护立法工作其实经历了二十载的发展历程,我们将立法历程主要分为了立法前阶段和立法阶段,并梳理了个人信息保护法从提出到诞生的的标志性事件(见表1)。 1)立法前阶段 2000年,全国人民代表大会常务委员会第十九次会议通过的《关于维护互联网安全的决定》,首次涉及个人信息保护,主要包括“非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密”等内容。2009年,我国从刑法的角度加强对公民个人信息的保护,在发布的 《中华人民共和国刑法修正案(七)》首次将“公民个人信息保护”纳入了刑法范围,并设立了“出售、非法提供公民个人信息罪”。2012年12月,第十一届全国人民代表大会常务委员会第三十次会议通过《关于加强网络信息保护的决定》,强调“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,并明确了网络服务提供者在收集、存储个人信息时应当遵循的原则和相关要求[5]。2013年6月,工业和信息化部第2次部务会议审议通过《电信和互联网用户 个人信息保护规定》,并于2013年9月1日正式施行[6]。该规定明确了我过境内电信服务和互联网信息服务中个人信息收集和使用规范、安全保障措施、监督检查和法律责任等内容,同时对“用户个人信息”进行了定义。《关于加强网络信息保护的决定》和 《电信