看法丨健康医疗大数据领域的政策和法律问题

 

　　值得关注的是，欧盟于2016年4月通过了《一般数据保护条例》（GeneralDataProtectionRegulation），在这部堪称史上最严格的数据保护条例中，规定了个人数据处理的透明性（Transparency）、最少数据收集（DataMinimization）原则，并赋予数据主体随时撤销同意权（RighttoWithdrawConsent）、被遗忘权（RighttoErasure）、可携带权（RighttoPortability）等权利。

 

　　虽然目前中国法下尚未明确规定该些原则和创设该些权利，但是随着个人信息保护立法进程的深入推进和经济全球化进程的日益加深，相信中国会越来越多的借鉴和参照发达国家在个人信息立法方面的经验和水平，所以在此提示关注并建议合规标准较高的跨国企业可以考虑比照适用。

 

　　数据本地化存储及境外传输：在目前强调网络空间主权的形势下，须做到在中国本地化存储健康医疗大数据，并在无法肯定对外输出数据明显不构成危害国家安全、国计民生和公共利益的情况下，尽量避免向境外传输具有一定敏感度的健康医疗数据。

 

　　目前在法律层面，尚不存禁止向境外输出健康医疗大数据甚至是个人信息数据的规定。之前在制定《反恐怖主义法》时，草案曾试图要求电信和互联网服务提供者应当将相关设备和境内用户数据留存在境内的要求，但因争议较大，2015年12月27日正式颁布的版本中最终删除了该项规定。不过需要注意的是，目前公布的《网络安全法》二审稿中引入了“关键信息基础设施”的概念，并限制关键信息基础设施的运营者将在中国境内存储在运营中收集和产生的“公民个人信息”和“重要业务数据”传输至境外。如果健康医疗数据处理平台属于关键信息基础设施的范围，则向境外输出该平台上收集和存储的“公民个人信息”需经相应的安全评估方能实施，而且即便能通过技术手段可以做到数据不再具有“公民个人信息”的特征，但该类数据还是有可能落入“重要业务数据”的范畴，从而在向境外输出时将受到同样严格的限制。

 

　　在规章层面，国家卫计委在其颁布的《人口健康信息管理办法（试行）》明确禁止将人口健康信息存储在境外服务器上。但严格意义上说，该等限制应仅局限于人口健康信息，即各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息，应该不适用于基于健康医疗移动应用而采集到的一般个人健康信息和对人口健康信息进行脱敏处理后而产生的数据。

 

　　完善安全保护技术措施：健康医疗大数据平台运营商应采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的涉及公民个人信息发生数据泄露、毁损、丢失的情况。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。此外，数据安全保护措施还需达到相应标准。《网络安全法》二审稿规定国家将实行网络安全等级保护制度。网络运营者应当建立内部合规系统，根据不同的安全等级履行安全保护义务。

 

　　其实，建立安全等级保护制度并非是《网络安全法》首次提出的新要求，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委在2007年制定《信息安全等级保护管理办法》第七条将信息系统的安全保护等级分为五级，信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作；信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合该办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评，并履行相应备案手续。

 

　　在此基础之上，卫生部于2011年在《卫生行业信息安全等级保护工作的指导意见》的通知中指出，国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。重要卫生信息系统安全保护等级原则上不低于第三级。

 

　　鉴于健康医疗大数据平台处理数据的范围和在此基础之上的应用开发主要涉及或着眼于医疗卫生行业，建议参照卫生部在《卫生行业信息安全等级保护工作的指导意见》的相关规定和标准建立和落实相关数据安全等级保护制度。

 

　　健康医疗大数据领域的外资限制：目前政策层面尚不存在限制或禁止外资参与健康医疗大数据领域的直接规定。但如果采集和处理的数据涉及人类遗传资源，则按照《人类遗传资源管理暂行办法（1998）》以及《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南（2015）》，与外方或外商投资企业合作采集人类遗传资源或将其传输至境外需由科技部批准之后方能实施。

 

　　医疗健康大数据领域的外资限制还可能体现在健康医疗大数据平台的运行方式和具体的业务结构层面，例如跨国公司通过设立专业医疗机构方式布局健康医疗大数据领域，则会受到外商投资医疗机构的政策限制；如果跨国公司通过云平台、物联网平台或是基于区块链技术的BaaS平台采集和处理健康医疗大数据，可能还会涉及外商投资增值电信领域的限制；此外，跨国公司拟与医疗卫生机构就健康医疗大数据开展合作时，也可能遇到医疗卫生机构倾向和非外资方开展合作的隐性商业壁垒。

 

　　总而言之，从事健康医疗大数据开发和应用是否存在以及存在何种外资限制，目前尚不能一概而论，需在具体项目中综合所涉及的数据范围、数据平台的运作方式以及具体的业务结构进行分析和判断。