導讀

　　醫(yī)療機構(gòu)應進行合規(guī)差距核查和風險評估，盡快開展數(shù)據(jù)合規(guī)工作。

　　在全球數(shù)字經(jīng)濟發(fā)展的大背景下，數(shù)據(jù)已經(jīng)成為最具價值的生產(chǎn)要素之一。隨著數(shù)據(jù)體量和維度的不斷增加，如何保障數(shù)據(jù)安全成為重要的議題，數(shù)據(jù)合規(guī)也成為當今世界關注的熱點問題。

　　很多國家都在持續(xù)不斷地加強數(shù)據(jù)方面的立法工作，歐盟、美國和印度先后出臺了《通用數(shù)據(jù)保護條例》《2018加州消費者隱私法案》《2019個人數(shù)據(jù)保護法案》，新加坡通信信息部和個人數(shù)據(jù)保護委員會2020年聯(lián)合發(fā)布《個人數(shù)據(jù)保護法(修訂)》草案，日本參議院2021年頒布《個人信息保護法修正案》。我國的數(shù)據(jù)合規(guī)監(jiān)管也日趨嚴格和完善，不斷加快立法步伐：《網(wǎng)絡安全法》早已生效;《民法典》在現(xiàn)行法律規(guī)定的基礎上，對于隱私權和個人信息保護作出了專門規(guī)定;《數(shù)據(jù)安全法》將于2021年9月1日起正式生效;《個人信息保護法(草案二次審議稿)》(以下簡稱《個保法(草案二審)》)于2021年4月29日發(fā)布并征求意見，其最終出臺指日可待。

　　我國醫(yī)療機構(gòu)的數(shù)量已達百萬個以上，醫(yī)療行業(yè)由于其特殊屬性，數(shù)據(jù)安全與個人信息保護的合規(guī)性要求比其他行業(yè)更高。國家衛(wèi)生健康委統(tǒng)計信息中心組織開展了國家醫(yī)療健康信息互聯(lián)互通標準化成熟度測評，對醫(yī)療機構(gòu)的相關數(shù)據(jù)保護工作提出了要求。

　　在此背景下，本文通過梳理當前我國醫(yī)療機構(gòu)數(shù)據(jù)的來源和種類，并深入分析醫(yī)療機構(gòu)數(shù)據(jù)存在的問題和風險，為醫(yī)院機構(gòu)的數(shù)據(jù)合規(guī)體系建設提供一點參考和建議。

醫(yī)療機構(gòu)數(shù)據(jù)的來源

　　根據(jù)國際統(tǒng)一的醫(yī)療系統(tǒng)信息化水平劃分，醫(yī)療信息化發(fā)展可分為三個階段：醫(yī)院管理信息化階段(HMIS)、臨床管理信息化階段(HCIS)、局域醫(yī)療衛(wèi)生服務階段(GMIS)。由于診療服務的需要，醫(yī)療機構(gòu)普遍有信息化建設的需求。近年來，我國醫(yī)療機構(gòu)在信息化建設方面卓有成就，大多數(shù)三級醫(yī)院早已完成了HIS、PACS、LIS、EMR等基礎臨床信息系統(tǒng)的建設，正在向手術室和ICU等診療行為更為密集的科室延伸。

　　隨著《國務院辦公廳關于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應用發(fā)展的指導意見》《“十三五”全國人口健康信息化發(fā)展規(guī)劃》《關于進一步推進以電子病歷為核心的醫(yī)療機構(gòu)信息化建設工作的通知》《關于深入推進“互聯(lián)網(wǎng)+醫(yī)療健康”“五個一”服務行動的通知》等國家各類相關政策文件的出臺，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新一代信息技術的發(fā)展，醫(yī)療機構(gòu)通過數(shù)智化轉(zhuǎn)型聚焦提升患者就醫(yī)體驗已成趨勢，持續(xù)加大對醫(yī)院信息化、區(qū)域醫(yī)療信息化、公共衛(wèi)生信息化的投入，眾多醫(yī)療機構(gòu)通過信息化升級和“互聯(lián)網(wǎng)+醫(yī)療健康”的應用，構(gòu)建了智慧醫(yī)療體系。

　　醫(yī)療信息化建設是醫(yī)療數(shù)據(jù)產(chǎn)生的基礎，隨著醫(yī)療機構(gòu)數(shù)智化系統(tǒng)建設和運營，其業(yè)務系統(tǒng)繁多，每日產(chǎn)生海量的醫(yī)療數(shù)據(jù)。而這些數(shù)據(jù)的應用環(huán)境交叉錯雜，來源廣泛，信息量巨大。

醫(yī)療數(shù)據(jù)的內(nèi)容分類

　　醫(yī)療數(shù)據(jù)的分類并沒有統(tǒng)一的標準，從不同的維度出發(fā)，有不同的劃分依據(jù)和類別。以下以法律、法規(guī)和行業(yè)標準中的不同概念在醫(yī)療數(shù)據(jù)領域的投射為角度，對醫(yī)療數(shù)據(jù)進行分類。

　　1.健康醫(yī)療數(shù)據(jù)

　　2018年7月12日，國家衛(wèi)生健康委發(fā)布的《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法(試行)》規(guī)定，“健康醫(yī)療大數(shù)據(jù)”是指在人們疾病防治、健康管理等過程中產(chǎn)生的與健康醫(yī)療相關的數(shù)據(jù)。2021年7月1日正式實施的《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725-2020，以下簡稱《安全指南》)對“健康醫(yī)療數(shù)據(jù)”進行了更為明確的界定，“健康醫(yī)療數(shù)據(jù)”包括個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關電子數(shù)據(jù)。

　　醫(yī)療機構(gòu)產(chǎn)生的健康醫(yī)療數(shù)據(jù)，是基于多平臺、跨系統(tǒng)，數(shù)量極其龐大的醫(yī)療數(shù)據(jù)的集合，涵蓋了《安全指南》中規(guī)定的健康醫(yī)療數(shù)據(jù)六大類別范圍：個人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生數(shù)據(jù)。

　　2.重要數(shù)據(jù)

　　新出臺的《數(shù)據(jù)安全法》單獨針對重要數(shù)據(jù)提出了的具體保護要求，但未給出重要數(shù)據(jù)的界定方法。參照國家網(wǎng)信辦2017年4月11日發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》中規(guī)定，重要數(shù)據(jù)是指“與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關的數(shù)據(jù)，具體范圍參照國家有關標準和重要數(shù)據(jù)識別指南。”2017年8月30日，在全國信息技術標準化技術委員會征求意見的《信息安全技術 數(shù)據(jù)出境安全評估指南(征求意見稿)》(以下簡稱《評估指南》)中，將重要數(shù)據(jù)定義為：“相關組織、機構(gòu)和個人在境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟發(fā)展以及公共利益密切相關的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))“?！对u估指南》還以附錄的形式，列出了非常詳細的重要數(shù)據(jù)識別指南，并提出了各行業(yè)(領域)重要數(shù)據(jù)的范圍和內(nèi)容，頗具參考價值。其中指出衛(wèi)生計生委(現(xiàn)稱“衛(wèi)生健康委”)主管的人口健康領域，重要數(shù)據(jù)包括但不限于：

　　(1)在藥品和避孕藥具不良反應報告和監(jiān)測過程中獲取的個人隱私、患者和報告者信息;

　　(2)突發(fā)公共衛(wèi)生事件與傳染病疫情監(jiān)測過程中獲取的傳染病病人及其家屬、密切接觸者的個人隱私和相關疾病、流行病學信息等;

　　(3)醫(yī)療機構(gòu)和健康管理服務機構(gòu)保管的個人電子病歷、健康檔案等各類診療、健康數(shù)據(jù)信息;

　　(4)人體器官移植醫(yī)療服務中人體器官捐獻者、接受者和人體器官移植手術申請人的個人信息;

　　(5)人類輔助生殖技術服務中精子、卵子捐獻者和使用者以及人類輔助生殖技術服務申請人的個人信息;

　　(6)計劃生育服務過程中涉及的個人隱私;

　　(7)個人和家族的遺傳信息;

　　(8)生命登記信息。

　　由此可知，醫(yī)療機構(gòu)產(chǎn)生的數(shù)據(jù)是具有重要性的，其涉及個人健康的方方面面，包括每一個人的醫(yī)療記錄、公共衛(wèi)生服務數(shù)據(jù)、可穿戴設備數(shù)據(jù)、生物數(shù)據(jù)、基因數(shù)據(jù)以及臨床研究數(shù)據(jù)等。

　　3.核心數(shù)據(jù)

　　相較于前兩次的審議稿，正式出臺的《數(shù)據(jù)安全法》首次出現(xiàn)“國家核心數(shù)據(jù)”的概念，即對于關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行重要數(shù)據(jù)之上的更加嚴格的管理。

　　《數(shù)據(jù)安全法》對于核心數(shù)據(jù)的概念只做了原則性的規(guī)定，從字面意思理解，重要數(shù)據(jù)和核心數(shù)據(jù)的內(nèi)容和范圍是有重疊和交叉的，如何具體確定重要數(shù)據(jù)和核心數(shù)據(jù)的標準和類別，還有待進一步的落實和規(guī)定。但可以明確的是，核心數(shù)據(jù)更多是從國家安全的維度來界定的，比如基因分析、遺傳疾病分析等涉及國家安全戰(zhàn)略的數(shù)據(jù)。

　　我國醫(yī)療機構(gòu)具有科研屬性，承擔了大量國家課題的科學研究，并作為實驗基地開展醫(yī)學科研活動。醫(yī)學科研數(shù)據(jù)包括臨床研究病例數(shù)據(jù)、生物樣本庫、全基因組等多種生物組學測序結(jié)果、醫(yī)學相關隊列研究結(jié)果等，其中基因數(shù)據(jù)因含有人體大量信息，被稱為人類的“生命說明書”。

　　2021年1月，美國國家學院在一份為美國國家情報總監(jiān)辦公室撰寫的報告中指出，得悉美國國家決策者或軍人的基因，以及他們行動的傾向，可被敵方情報機關利用，對他們作出影響;此外，基因數(shù)據(jù)還可以揭示美國人對某些特定疾病的弱點。同樣的，我國醫(yī)療機構(gòu)收集到的生物數(shù)據(jù)和基因數(shù)據(jù)具有重大價值，一旦泄露，中國人群的基因信息可能被敵對勢力掌握，以此提升生物武器的精準性。如未嚴格管理中國人群基因數(shù)據(jù)的收集、流動和傳播，以基因技術為主要方式的基因戰(zhàn)會導致國家安全受到威脅。

　　4.敏感個人信息

　　《信息安全技術 個人信息安全規(guī)范》(GB/T 35273—2020，以下簡稱《個人信息安全規(guī)范》)從泄露、非法提供和濫用三個角度，考慮將“個人健康生理信息”和“個人生物識別信息”列為個人敏感信息，給予特殊保護。

　　《個保法(草案二審)》延續(xù)了該觀點，規(guī)定“醫(yī)療健康”與“個人生物特征”屬于敏感個人信息。醫(yī)療機構(gòu)在提供健康診療服務過程中產(chǎn)生并采集的個人生病醫(yī)治相關記錄，個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等，很顯然涉及個人敏感信息。

醫(yī)療機構(gòu)數(shù)據(jù)的安全風險

　　1.醫(yī)療機構(gòu)網(wǎng)絡系統(tǒng)存在漏洞和安全隱患

　　與發(fā)達國家相比，我國醫(yī)療機構(gòu)的網(wǎng)絡安全建設還處于初級階段，不少醫(yī)療機構(gòu)的數(shù)據(jù)安全意識和保護措施還很薄弱，導致很多數(shù)據(jù)正在“裸奔”。據(jù)CHIMA《2018-2019年度中國醫(yī)院信息化狀況調(diào)查報告》數(shù)據(jù)顯示，醫(yī)院對網(wǎng)閘、防入侵、防毒墻等設備的采用率均小于50%?，F(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡安全，對網(wǎng)絡進行VPN/VLAN劃分和上網(wǎng)行為管理的醫(yī)院僅過半數(shù)。大部分醫(yī)療信息系統(tǒng)沒有完善的數(shù)據(jù)保護機制。根據(jù)中國軟件評測中心網(wǎng)絡空間安全測評工程技術中心對抽樣調(diào)查的73家醫(yī)療機構(gòu)的信息系統(tǒng)進行網(wǎng)絡安全測評的結(jié)果來看，58%的醫(yī)療信息系統(tǒng)存在弱口令問題;59%醫(yī)療信息系統(tǒng)存在網(wǎng)絡防護架構(gòu)不完善問題，包括網(wǎng)絡區(qū)域劃分不合理、網(wǎng)絡鏈路無冗余等問題。

　　現(xiàn)階段，越來越多的醫(yī)療機構(gòu)通過移動終端或互聯(lián)網(wǎng)提供醫(yī)療健康服務，醫(yī)療機構(gòu)的內(nèi)網(wǎng)數(shù)據(jù)走向公共互聯(lián)網(wǎng)，但由于移動終端應用安全保障機制和系統(tǒng)縱深防御不足，有些醫(yī)院的應用服務(如數(shù)據(jù)庫服務、FTP服務、打印機服務等)端口暴露在公共互聯(lián)網(wǎng)，對于黑客來說，通過公共互聯(lián)網(wǎng)能輕易獲取到這些應用服務的控制權，可能引發(fā)醫(yī)療數(shù)據(jù)泄露的安全事件。

　　2.勒索病毒的攻擊風險

　　除個人基本信息外，醫(yī)療機構(gòu)收集的患者信息主要包括：體檢結(jié)果、診斷結(jié)果、治療結(jié)果、疾病控制、醫(yī)學研究過程中涉及的個人集體特征、健康情況、人際接觸、遺傳基因、病史病歷等。這些信息是高度個人化或敏感的，并且具有很高的商業(yè)價值。這些數(shù)據(jù)對黑客具有相當大的吸引力，醫(yī)療機構(gòu)收集并產(chǎn)生的數(shù)據(jù)都屬于需要緊急使用的信息，被加密后醫(yī)療機構(gòu)勢必會想盡辦法以最快速度恢復數(shù)據(jù)，黑客也正是知道加密或者泄露醫(yī)療機構(gòu)的數(shù)據(jù)可能對個人或醫(yī)療機構(gòu)聲譽造成的影響，因此他們認為獲得贖金的機會更大。

　　騰訊安全發(fā)布的《2020上半年勒索病毒報告》顯示，從勒索病毒影響的行業(yè)看，數(shù)據(jù)價值較高的傳統(tǒng)企業(yè)、教育、醫(yī)療、政府機構(gòu)遭受攻擊最為嚴重。從公開報道來看，2018年2月全國各大醫(yī)院受Globelmposter勒索病毒攻擊，嚴重影響了醫(yī)院的正常業(yè)務。當年2月23日，湖北某醫(yī)院系統(tǒng)被植入勒索病毒，醫(yī)院系統(tǒng)癱瘓，黑客要求支付價值約30萬元人民幣的比特幣才能恢復正常;24日，湖南省某醫(yī)院服務器中所有數(shù)據(jù)文件被強行加密，系統(tǒng)癱瘓使得患者無法正常就醫(yī)。

　　3.數(shù)據(jù)(個人信息)泄露風險

　　2016年，來自全國30個省份的275位艾滋病感染者稱接到了詐騙電話，艾滋病感染者的個人信息疑似被大面積泄露。2020年疫情期間，全國各地新冠患者信息泄露事件頻頻發(fā)生。一些確診病例和密切接觸者的個人信息在網(wǎng)絡、社交媒體中傳播，內(nèi)容包括個人的姓名、身份證號碼、住址、電話、身高、體重、工作單位、詳細活動軌跡等，導致有的確診病例和密切接觸者還遭受了網(wǎng)絡暴力。

　　醫(yī)療數(shù)據(jù)的重要組成部分是患者個人信息，其中包括個人基本信息、個人身份信息、個人生物識別信息、個人健康生理信息等，涉及個人隱私，一旦泄露和傳播，將對患者個人生活和精神狀態(tài)造成嚴重影響。

　　醫(yī)療機構(gòu)數(shù)據(jù)泄露的原因主要有三大類：一是外部黑客入侵。二是內(nèi)部從業(yè)人員泄露，Verizon發(fā)布的一篇網(wǎng)絡安全報告顯示，在全世界范圍內(nèi)，醫(yī)療行業(yè)是內(nèi)部威脅高于外部威脅的唯一一個行業(yè)，調(diào)查顯示，60%的醫(yī)療機構(gòu)數(shù)據(jù)泄露事故是由內(nèi)部人員造成的，這在其他行業(yè)并不多見。三是第三方供應商造成的數(shù)據(jù)泄露。美國Ponemon研究院2019年的一項調(diào)查顯示：超過一半的醫(yī)院表示，他們在過去兩年中曾發(fā)生過一次或多次由第三方系統(tǒng)供應商造成的數(shù)據(jù)泄露，平均每起事件的成本為290萬美元。醫(yī)療機構(gòu)對各類信息系統(tǒng)的依賴程度越來越高，數(shù)量眾多的第三方系統(tǒng)供應商為其提供服務。當醫(yī)療機構(gòu)對第三方系統(tǒng)供應商的風險評估和監(jiān)管不足時，所依賴的供應商數(shù)量在不斷增加，這些供應商所帶來的威脅在頻率和嚴重程度上也在不斷升級。

　　4.數(shù)據(jù)共享和應用的風險

　　數(shù)據(jù)的核心價值在于應用。在醫(yī)療數(shù)據(jù)來源多樣化且快速增長的背景下，前沿技術的不斷進步使得醫(yī)療數(shù)據(jù)的應用場景越發(fā)豐富。包括健康醫(yī)療信息系統(tǒng)廠商、健康醫(yī)療數(shù)據(jù)分析公司、輔助診療解決方案公司、商業(yè)保險機構(gòu)、藥企等都在積極尋求與醫(yī)療機構(gòu)的合作，實現(xiàn)醫(yī)療數(shù)據(jù)的商業(yè)化變現(xiàn)。醫(yī)療機構(gòu)也希望能將多年積累的“沉睡”數(shù)據(jù)轉(zhuǎn)換為價值，獲得更多醫(yī)學研究意義。但值得注意的是，這類數(shù)據(jù)大多涉及患者隱私、敏感個人信息等，受到倫理和法規(guī)的雙重保護。醫(yī)療機構(gòu)如果在合作共享前沒有保障數(shù)據(jù)的安全性和合規(guī)性，將存在極大的風險。

　　未脫敏的個人信息在共享時將會導致個人信息的泄露，即使經(jīng)過了脫敏，但實踐中脫敏到何種程度并沒有明確的標準，而且大量的非敏感數(shù)據(jù)聚合后也可能會產(chǎn)生敏感數(shù)據(jù)，個人信息仍然存在丟失、泄露的風險。醫(yī)療機構(gòu)工作人員的不當操作也會導致個人隱私未經(jīng)授權的訪問、修改和泄露風險。而醫(yī)療機構(gòu)與第三方合作的過程中，如果未能進行充分的合規(guī)審查，也會增加患者個人隱私的安全風險，比如未對第三方的資質(zhì)進行評估、未對雙方數(shù)據(jù)對接的方案進行安全評估、未對數(shù)據(jù)傳輸?shù)姆绞竭M行技術控制等。

醫(yī)療機構(gòu)以及直接主管人員面臨的法律責任風險

　　1.民事賠償責任

　　《數(shù)據(jù)安全法》和《個保法(草案二審)》均規(guī)定，違反本法規(guī)定，給他人造成損害的，應依法承擔民事責任。

　　關于患者個人信息泄露的侵權責任，《民法典》侵權責任編中規(guī)定，醫(yī)療機構(gòu)及其醫(yī)務人員應當對患者的隱私和個人信息保密。泄露患者的隱私和個人信息，或者未經(jīng)患者同意公開其病歷資料的，應當承擔侵權責任。

　　《個保法(草案二審)》在侵權責任方面還規(guī)定了過錯推定規(guī)則，即在侵犯個人信息權益訴訟中，被告需要證明自己沒有過錯，如果被告無法證明自己沒有故意或者過失，就被推定為有過錯，需要承擔侵犯個人信息權益的敗訴后果和相應的法律責任。與“誰主張誰舉證”的原則相比，過錯推定原則加重了醫(yī)療機構(gòu)的舉證和賠償責任。

　　2.行政處罰責任

　　《網(wǎng)絡安全法》中對相關違法行為已作出行政處罰的規(guī)定，實踐中也有多家醫(yī)療機構(gòu)因未履行網(wǎng)絡安全防護義務受到現(xiàn)場訓誡、警告、罰款等處罰。2019年1月，河南安陽市某醫(yī)院因未履行網(wǎng)絡安全保護義務，造成業(yè)務系統(tǒng)被攻擊破壞，正常工作無法開展，公安機關對醫(yī)院處以罰款五萬元、直接負責人罰款五千元的行政處罰。但《網(wǎng)絡安全法》的處罰力度相對不大，威懾力不夠，《數(shù)據(jù)安全法》及《個保法(草案二審)》大大提高了違法的處罰標準。

　　根據(jù)《數(shù)據(jù)安全法》第六章的相關規(guī)定，醫(yī)療機構(gòu)若違反國家核心數(shù)據(jù)管理制度且危害國家主權、安全和發(fā)展利益(第四十五條)，或向境外提供重要數(shù)據(jù)且情節(jié)嚴重的(第四十六條)，將會面臨頂格一千萬元的罰款。同時，對于直接負責的主管人員和其他直接責任人員，其面臨的罰款金額上限是一百萬元。

　　根據(jù)《個保法(草案二審)》六十五條規(guī)定，如果醫(yī)療機構(gòu)在個人信息保護方面存在合規(guī)瑕疵，除了一般性違法行為醫(yī)療機構(gòu)可被處以一百萬元以下罰款，直接主管人員可被處一萬元以上十萬元以下罰款外，對于情節(jié)嚴重的違法行為，借鑒了歐盟《通用數(shù)據(jù)保護條例》的處理方式，可以在沒收違法所得的基礎上，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，直接主管人員可被處十萬元以上一百萬元以上的罰款。

　　除此之外，《個保法(草案二審)》第六十六條還提出，相關違法行為將依照有關法律法規(guī)的規(guī)定計入信用檔案并予以公示。

　　3.刑事責任

　　在立法層面，我國對數(shù)據(jù)安全和個人信息保護采取“刑法先行”的立法模式，在數(shù)據(jù)和個人信息方面刑事責任規(guī)制的范圍和力度也在逐步加強?，F(xiàn)行有效的《中華人民共和國刑法(2020修正)》(以下簡稱《刑法》)主要規(guī)定了如下刑事責任：

　　《刑法》第二百五十三條之一規(guī)定：“違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規(guī)定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰。”

　　《刑法》第二百八十六條之一規(guī)定：“網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：(一)致使違法信息大量傳播的;(二)致使用戶信息泄露，造成嚴重后果的;(三)致使刑事案件證據(jù)滅失，情節(jié)嚴重的;(四)有其他嚴重情節(jié)的。單位犯前款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照前款的規(guī)定處罰。”

　　《刑法》第三百三十四條之一規(guī)定：“違反國家有關規(guī)定，非法采集我國人類遺傳資源或者非法運送、郵寄、攜帶我國人類遺傳資源材料出境，危害公眾健康或者社會公共利益，情節(jié)嚴重的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金;情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金?！?/p>

　　4.人民檢察院個人信息保護公益訴訟

　　值得注意的是，《個保法(草案二審)》第六十九條還提出，個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權益的，人民檢察院、履行個人信息保護職責的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。2021年4月22日，最高檢發(fā)布檢察機關個人信息保護公益訴訟典型案例，其中包括浙江省溫州市鹿城區(qū)人民檢察院督促保護就診者個人信息行政公益訴訟案。在辦案過程中，鹿城區(qū)人民檢察院針對就診者個人信息主要從溫州兩家醫(yī)院泄露這一情況，分別向兩家醫(yī)院發(fā)出社會治理檢察建議，建議加強就診者個人信息保護。

　　2020年9月，最高檢出臺《關于積極穩(wěn)妥拓展公益訴訟案件范圍的指導意見》，明確將個人信息保護作為網(wǎng)絡侵害領域的辦案重點。個人信息保護目前屬于檢察公益訴訟新領域，檢察機關對于未履行個人信息管理和保護義務的信息處理者，對發(fā)出公告和檢察建議后公益受損未能解決的，將提起公益訴訟，要求其承擔公益損害責任。

醫(yī)療機構(gòu)如何加強數(shù)據(jù)合規(guī)體系建設

　　1.增強數(shù)據(jù)安全意識，提高數(shù)據(jù)合規(guī)建設的優(yōu)先級

　　醫(yī)療數(shù)據(jù)安全與患者個人信息保護的合規(guī)性要求要比其他行業(yè)更高，隨著越來越多的醫(yī)療機構(gòu)向數(shù)智化轉(zhuǎn)型，建立牢固的安全和合規(guī)基礎已成為關鍵。醫(yī)療機構(gòu)作為關鍵信息基礎設施的運營者、健康醫(yī)療數(shù)據(jù)的控制者、個人敏感信息的處理者、重要數(shù)據(jù)及核心數(shù)據(jù)的處理者，責任重大，必須加強數(shù)據(jù)安全意識，深刻認識到醫(yī)療數(shù)據(jù)的采集、傳輸、存儲、使用、處理及披露必須要在法律法規(guī)的范疇內(nèi)實施，提高數(shù)據(jù)合規(guī)建設的優(yōu)先級。

　　2.建立健全物理、環(huán)境、網(wǎng)絡等技術保障措施和內(nèi)部安全管理制度

　　醫(yī)療機構(gòu)應采取的安全技術措施包括系統(tǒng)容災、終端設備網(wǎng)絡準入、病毒防護、訪問控制、入侵防護、數(shù)據(jù)庫審計、防火墻、加解密、脫敏、漏洞掃描和修復、日志分析、流量監(jiān)理、安全態(tài)勢感知、數(shù)字證書、數(shù)字水印、數(shù)據(jù)泄露防護等。

　　此外，應加強設備安全管理制度、環(huán)境安全管理制度、網(wǎng)絡安全管理制度的建設，保障醫(yī)療信息系統(tǒng)安全可靠、穩(wěn)定持續(xù)的運行，保障醫(yī)療信息系統(tǒng)所處的環(huán)境安全，保障內(nèi)部和外部網(wǎng)絡的安全。

　　3.構(gòu)建以患者個人信息為中心的全流程醫(yī)療數(shù)據(jù)安全防護體系

　　國家標準化管理委員會2019年發(fā)布的《個人信息安全工程指南(征求意見稿)》中指出了醫(yī)療健康行業(yè)信息安全風險的考慮要點：醫(yī)療健康行業(yè)是一個特殊的行業(yè)，其特殊性在于它以“人”為研究對象，所有醫(yī)療行為及其結(jié)果都以獲取個人信息為基礎，因此其信息安全風險非常高。目前的患者個人信息安全防護大多只是注重脫敏，進行匿名化、去標識化及加密等處理。由于醫(yī)療機構(gòu)收集患者個人信息的特殊性，常規(guī)的“去標識化”無法完全保證個人信息不被復原，還需要在專業(yè)醫(yī)學人士、信息安全人員共同努力下對個人信息進行“去標識化”處理。在無法準確判斷時，對于已進行“去標識化”處理的患者個人信息應采取嚴格的技術保護措施。

　　而對于?？漆t(yī)院，比如兒童醫(yī)院，還需要遵從兒童個人信息保護的相關法律、法規(guī)規(guī)定及國家標準，比如國家網(wǎng)信辦2019年發(fā)布的《兒童個人信息網(wǎng)絡保護規(guī)定》;《個保法(草案二審)》第十五條指出，處理十四周歲未成年個人信息的，應當征求未成年人父母或其他監(jiān)護人同意;《信息安全技術 人臉識別數(shù)據(jù)安全要求(征求意見稿)》提出，在開展人臉驗證或人臉辨識時，原則上不應使用人臉識別方式對不滿十四周歲未成人進行身份識別。

　　構(gòu)建“以患者為中心”的個人信息風險評估和防護體系，覆蓋個人信息收集、存儲、使用、加工、傳輸、提供、公開等多個環(huán)節(jié)，有助于醫(yī)療機構(gòu)促進和規(guī)范當前數(shù)據(jù)合規(guī)工作的推進和管理。

　　4.建立完善的數(shù)據(jù)合規(guī)組織保障體系，設立“數(shù)據(jù)保護官”崗位

　　目前一些大型的醫(yī)療機構(gòu)都設置了信息處及法務處，但其崗位設置和管理制度并不完善，組織機構(gòu)職能割裂，難以更好地融合，在醫(yī)療數(shù)據(jù)監(jiān)管日趨嚴格背景下，將不能支撐醫(yī)療機構(gòu)復雜的數(shù)據(jù)合規(guī)管理體系建設。

　　《數(shù)據(jù)安全法》規(guī)定：“重要數(shù)據(jù)的處理者還應當明確數(shù)據(jù)安全負責人和管理機構(gòu)，落實數(shù)據(jù)安全保護責任”。而我國的個人信息保護法從第一稿開始即設立了“個人信息保護負責人”的崗位，并沿用至二審稿。

　　為充分保障醫(yī)療數(shù)據(jù)的安全，更好地進行數(shù)據(jù)合規(guī)體系建設，建議醫(yī)院機構(gòu)組織成立醫(yī)療大數(shù)據(jù)安全領導小組，在組織架構(gòu)中至少還應該包括醫(yī)療大數(shù)據(jù)安全委員會和醫(yī)療大數(shù)據(jù)安全工作辦公室，以確保做好醫(yī)療數(shù)據(jù)安全管理工作。其中醫(yī)療大數(shù)據(jù)安全委員會對醫(yī)療數(shù)據(jù)安全工作全面負責，討論決定醫(yī)療數(shù)據(jù)安全重大事項;醫(yī)療大數(shù)據(jù)安全辦公室指定專人，設立數(shù)據(jù)保護官(DPO)崗位，負責醫(yī)療數(shù)據(jù)安全日常工作。

　　數(shù)據(jù)保護官負責制定醫(yī)療數(shù)據(jù)安全和個人信息保護策略、風險評估方案、合規(guī)評估方案、風險處置方案和應急處置方案;負責建立數(shù)據(jù)安全和個人信息保護相關規(guī)章制度;負責人員的數(shù)據(jù)安全和個人信息保護方面的教育和培訓;審計醫(yī)療數(shù)據(jù)使用和應用情況等。

　　5.引入第三方服務，提高數(shù)據(jù)合規(guī)建設的能力

　　大多數(shù)醫(yī)療機構(gòu)在體制上屬于事業(yè)單位，人員主觀能動性欠缺，醫(yī)療機構(gòu)建立的內(nèi)部安全管理制度和設計是否合法、合規(guī)、合理是個問題。引入第三方服務，如律師、技術專家、咨詢顧問等，是提高醫(yī)療機構(gòu)數(shù)據(jù)合規(guī)能力建設的有效方式。這些人員應在數(shù)據(jù)安全和個人信息保護領域有一定的工作經(jīng)驗，具備相關知識，熟悉法律、行政法規(guī)、規(guī)章及政策規(guī)則。醫(yī)療機構(gòu)可以在第三方的支持下，構(gòu)建科學的醫(yī)療數(shù)據(jù)安全防護體系，切實保障醫(yī)療數(shù)據(jù)安全，保障患者的個人信息安全。

　　考慮到《數(shù)據(jù)安全法》將于2021年9月1日起正式實施，《個人信息保護法》可以預見年內(nèi)會正式通過。我們建議醫(yī)療機構(gòu)密切關注立法和監(jiān)管動向，重新審視自身在數(shù)據(jù)處理和個人信息保護方面的疏漏和不足，進行合規(guī)差距核查和風險評估，盡快開展數(shù)據(jù)合規(guī)工作，以適應法律規(guī)制和監(jiān)管要求。

　　作者簡介

　　朱晨，蘇州大學附屬兒童醫(yī)院質(zhì)量管理辦公室主任，曾履職醫(yī)院醫(yī)務、科教、信息、裝備、門診等多個部門，其間從事醫(yī)療信息化建設和管理工作十余年。

　　魏燦燦，上海市錦天城(蘇州)律師事務所律師，畢業(yè)于吉林大學，碩士學位。具有信息技術和醫(yī)療健康行業(yè)的從業(yè)背景，對相關企業(yè)的產(chǎn)品、業(yè)務、運營管理有深度了解。目前擔任蘇州工業(yè)園區(qū)人工智能產(chǎn)業(yè)協(xié)會法律顧問，常年為互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、醫(yī)療健康、生物醫(yī)藥等領域的企業(yè)提供公司治理、股權架構(gòu)及控制權設計、融資、并購、訴訟仲裁等法律服務;同時致力于研究并為相關機構(gòu)或企業(yè)提供數(shù)據(jù)安全和個人信息保護方面的數(shù)據(jù)合規(guī)方案。