《个人信息保护法》时代的医疗数据保护合规
2021年11月1日起,《个人信息保护法》将正式施行,这标志着我国在个人信息保护方面制度更加完备,法律保障更加坚实。而医疗业作为与公众个人信息密切相关的行业,对数据保护自然有着更高的要求,如何实现医疗行业数据合规,是所有医疗机构都要面对的重要课题。
2021年10月26日下午,由广东省医院协会医院信息化专业委员会与广东智洋律师事务所联合举办的“医疗个人数据保护合规优化”专题学术沙龙在广州顺利举办。广东省医院协会副秘书长兼评审评价办公室主任潘晓雷、广东智洋律师事务所数据合规法律业务专业委员会主任朱宝石律师、德国认证数据保护官法比安·海恩茨先生等专家学者齐聚一堂,就《个人信息保护法》对医疗行业数据保护的影响、医疗机构实现数据合规的意义、国内外数据保护规则的异同等话题,进行了深入的探讨与交流。
医疗大数据建设,数据合规不能缺席
广东省医院协会副秘书长兼评审评价办公室主任潘晓雷在开篇致辞中表示:“《个人信息保护法》《网络安全法》《数据安全法》共同形成我国数据安全与治理的‘三驾马车’。我们有必要加强对‘医疗个人信息保护’专题的学习和交流。”
潘晓雷主任认为,智慧医疗、健康医疗大数据建设等都是当今医疗行业关注的重点课题,也是未来医疗行业的发展方向。然而医疗大数据建设越是深入,医疗机构对于患者信息的掌握也就越发详细,数据合规的重要性就越发凸显。
潘晓雷主任还对本次沙龙的议程进行了介绍,对参会来宾表示了感谢。
医疗数据合规迫在眉睫,又任重道远
会上,广东智洋律师事务所数据合规法律业务专业委员会主任朱宝石律师以“《个人信息保护法》对医院的影响及应对——责任、风险及合规与防范”为主题进行了专题演讲。
演讲开始,朱宝石律师以亚马逊数据库医疗数据外泄等多个国内外关于医疗数据泄露、盗取的热点事件为切入点,揭示了医疗行业数据保护存在的大量漏洞,也展示了医疗数据泄露可能导致的严重后果。他表示,与一般个人信息相比,医疗数据关乎每位患者的身心健康,因而更加敏感,医疗数据泄露所造成的影响也更大。如果一家医疗机构发生了数据泄露事故,不仅会在经济上遭受重大损失、相关人员甚至可能被追究刑事责任。因此,对于每个医疗机构而言,医疗数据合规都迫在眉睫。
随后,朱宝石律师对我国医疗个人数据保护现状及存在的问题进行了深入分析。朱律师介绍,根据国标委发布的《健康医疗数据安全指南》,医疗数据按照其敏感程度不同,可划分为5个级别,不同级别的医疗数据的保护要求有所区别。然而在具体的操作与标准层面,国内尚缺乏具体的指引性文件。而目前行业中的HIPPA、JCI等评审都利用了外国标准,可能涉及国家安全问题。不仅如此,我国健康医疗行业App的安全性也十分堪忧,高危漏洞多、恶意程序危害严重。此外,我国医疗机构个人数据侵权投诉时或者面对相关纠纷时,缺乏系统性的处理和应对措施,一旦发生爆发式数据泄露将难以应对。因此,我国的医疗数据合规任重而道远。朱宝石律师认为,医疗机构应当与技术公司以及法律服务机构共同合作,才能真正实现医疗数据合规。
最后,朱宝石律师对我国即将施行的《个人信息保护法》进行了介绍与展望。他认为,我国的《个人信息保护法》对欧盟GDPR的许多内容有所借鉴,同时也有着自身的亮点,比如构建了以“告知-同意”为核心的个人信息处理规则、严格保护敏感个人信息、强化个人信息处理者的义务、与营业额挂钩的处罚规则等等。未来,对于违反我国个人信息保护相关法规的机构或个人,将可能同时承担民事、行政、刑事方面的责任。
医疗数据保护的欧洲经验
“中国的数据保护法在数据主体权利或健康数据处理方面与GDPR类似”,法比安先生认为。
来自德国的数据保护专家法比安先生以“欧盟GDPR框架下的医疗个人数据保护”为主题进行了专题演讲。
法比安先生介绍到,除了禁止向第三方披露医疗数据这类原则性规定外,GDPR对医疗机构的数据保护会提出较为具体的要求。比如医疗机构在处理患者健康数据时哪些情形下必须告知患者,又比如医疗机构的每位员工所能访问的数据权限范围,再比如位于同一医疗网络下的不同机构数据如何进行内部访问,这些问题在GDPR中都有所规定。目前,中国的数据保护法在权利主体界定及保护原则等方面都与GDPR类似,对违反数据保护法的处罚力度也大体相当,但对于数据合规的具体要求和标准,仍有进一步完善的空间。在这方面,中国可以借鉴医疗数据保护的欧洲经验。
智洋助力医疗数据合规优化
专家演讲结束后,与会来宾就医疗数据保护的相关法律问题开展了深入讨论,现场气氛热烈,也有大量观众通过在线直播的形式观看了此次沙龙。在互动环节,朱宝石律师也对智洋数据合规业务进行了详细介绍。
朱宝石律师介绍到,智洋律所早在2016年GDPR正式通过之日起,就对个人数据合规工作高度关注并投入大量资源。目前,其团队已开发了完整的个人数据管理合规优化法律服务体系,并与欧洲多家律所、咨询公司、技术服务公司建立了友好合作关系。智洋律所的法律服务团队可以通过尽职调查、设计合规手册、开展员工培训、与技术团队共同对医疗机构规章制度、工作流程、信息系统进行优化再造等方式,为不同行业的企业或其他机构量身定做完整的数据合规管理体系。通过购买数据合规法律服务,企业或其他机构不仅可以实现国内与欧盟个人数据保护的双重合规,也能确保自身的数据权益得到充分保护。