电子病历基本规范（个人信息保护法）

今年8月20日，国家出台了《中华人民共和国个人信息保护法》，将于今年11月1日起开始施行。《个人信息保护法》的出台，使得个人信息保护更加体系化，对个人信息的处理、跨境提供、个人的权利、处理者的义务、个人信息保护部门的职责以及法律责任进行了系统的规定。这意味着在个人信息保护方面形成了更加完备的制度，也为个人的信息安全提供了更加有力的法律保障。

随着合规规制的深入发展以及企业对于法律合规日趋成熟的认识，企业需要的，不只是泛泛而谈的大众性合规，而是针对具体行业的系统、深入、多维的法律合规指导，因为这样的指导，不仅能协助企业建立起完备的合规体系，而且将使得这一合规体系契合企业自身独特的行业气质，最终成为企业成功发展的强大助力。

在众多行业中，医药医疗行业，鉴于其独特的行业属性及关注度和社会影响度，无疑是最需要对于法律合规有更全面和清醒的把握及获得良好合规实践的行业之一。

医疗行业数据保护的必要性

自2018年以来，随着《国务院办公厅关于促进“互联网+医疗健康”发展的意见》《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》《远程医疗服务管理规范（试行）》《国家医疗保障局关于积极推进“互联网+”医疗服务医保支付工作的指导意见》等一系列互联网医疗服务政策的出台，大力推进促使传统医药行业拥抱新兴科技，国内互联网医疗服务进入快速发展期。

医疗机构通过互联网等信息技术的应用迅速拓展了医疗服务空间和服务内容，以更便捷的方式为患者提供包括预约挂号，远程咨询，实时查阅就诊病历、医技检查结果、健康体检报告，费用支付，就医反馈，电子处方和药品配送等全流程的服务，大幅度地提升医疗卫生现代化管理水平，创新服务模式，提高服务效率，降低服务成本，效果显著。

医疗机构作为线下医疗实体平台，通常通过网站、App、微信公众号、微信小程序等终端实现上述互联网医疗服务功能，全程以电子化的途径收集、存储了大量患者个人基本信息、健康状况、医疗应用、医疗支付等数据。

同时，医疗机构在为患者进行互联网医疗服务的同时，互联网医疗信息系统可能会与医疗机构、医药、物流、商业保险、公安等第三方信息系统进行数据对接，这其中必然涉及到患者数据与第三方平台的传输和共享情况。

因此，作为关系国计民生的重要领域，医疗行业的数据安全保护合规压力日益紧迫。

什么是医疗健康数据？

1.医疗健康数据的含义

健康医疗数据是一个内涵较为丰富的概念，按照国家卫生健康委员会2018年7月发布的《国家健康医疗大数据标准、安全和服务管理办法（试行）》，第四条的规定：“本办法所称健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。”

在国家质检总局与标准化委员会发布的《信息安全技术-健康医疗数据安全指南》（简称“《指南》”）中，对于健康医疗数据的界定为：包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。

根据上述定义可以看出，健康医疗数据的内涵比较丰富，既包括与个人相关的数据，也包括个人健康医疗数据加工整合后形成的与健康医疗相关的数据。

2.健康医疗数据分类

健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别。

①个人属性数据

个人属性数据是指单独或者与其他信息结合能够识别特定自然人的数据。个人属性数据属于与个人身份识别具有高度关联的数据，通常用于识别特定自然人。个人属性数据与健康状况或医疗行为并无直接关系，但却是对健康医疗数据进行个体化标识的基础。比如，患者的姓名、身份证号码、住址、电话、身高、体重、工作单位、详细活动轨迹，这些都是属于可唯一识别到个人或披露后对患者或医护人员造成重大影响的个人属性数据。

②健康状况数据

健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。健康状况数据是健康医疗数据的重要内容，健康医疗数据可以反映个体或特定群体的健康状况。

③医疗应用数据

医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。医疗应用数据是反映健康状况数据形成过程的数据，是书面形式或电子数据形式对于诊疗过程的再现。包括：病历、医嘱、检查检验报告、病程记录、手术记录、输血记录、护理记录、住院与出院记录等。

④医疗支付记录

医疗支付记录具有健康医疗数据与金融数据的双重属性，包括医疗交易信息、医疗保险的理赔信息等。

⑤卫生资源数据

这类数据与个人信息无关，主要反映的是医院的基本数据及运营数据。

⑥公共卫生数据

公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。公共卫生数据由于涉及众多个人健康数据的整合，而可能会被归入健康医疗领域的重要数据，甚至不排除特定情况下会构成国家核心数据。

医疗数据保护风险的常见问题

总的来看，医药行业的数据保护存在较大的风险，从违法类型来看，主要是存在两个问题：

1.数据泄露

医疗数据泄露是一个全球化的问题。医疗保健合规平台Protenus 发布的报告显示，在黑客攻击的推动下，医疗行业在 503 起违规事件中泄露了 1500 万份患者记录，而 2019 年医疗行业的患者记录被泄露的数量则高达 4140 万份，呈现显著的逐年增加的趋势。2020 年，医疗信息泄露问题依然十分严峻，对医疗机构网络服务攻击的上涨趋势仍未得到遏制。

在我国，个人医疗数据泄露问题同样严重。根据《2020 医疗行业网络安全白皮书》，2016 年 7 月，白桦林全国联盟共接到来自 30 多个省份至少 275 位艾滋病患者的个人信息遭到泄露而导致的诈骗报告；

2017 年 10 月，杭州某科技公司在承接某疾病预防控制部门网站信息化建设时，从部门网站上非法下载接种疫苗儿童及其家长个人信息共计 370 余万条，影响极其恶劣；

2019 年，德国一家漏洞分析和管理公司发现，含有大量医疗放射图像的服务器暴露在公共互联网中，其中 14 个服务器系统涉及中国，包含近 28 万条医疗数据，详细记录了患者个人信息及医疗情况。近年来，法院审理的各类案件中，“医疗数据”的出镜率也在不断提高。

2.医疗数据的过度采集与不正当使用

互联网医疗领域同样是医疗数据过度采集与不当使用的重灾区。互联网医疗机构通过计算机网络为个人信息主体提供相应的服务时，可能作为个人信息控制者收集用户的个人信息并加以利用，而在该过程中可能存在数据合规风险。

例如，某医疗服务平台 App 存在读取用户联系人数据、读取用户日历信息、读取用户短信内容，允许应用发送短信/彩信而导致意外收费，允许应用程序录制音频等 5 条超范围收集用户信息的情况，且无用户协议和隐私政策。而某药品销售 APP 则存在强制访问相机设备、允许应用程序录制音频等超范围收集用户信息的情况。

针对个人数据处理的监管要求和合规建议

1.数据采集的监管要求

对于采集医药行业的个人数据来说，首先会受到各种与个人数据相关的通用的上层法律的规制。《网络安全法》第二十二条第三款对信息收集提出了明示同意的要求，同时其第四十一条规定还提出了“合法、正当、必要”的收集原则，并且强调收集信息的相关性。

2021年8月20日出台的《中华人民共和国个人信息保护法》第14条中，规定了“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”，首次提出了“单独同意”和“书面同意”的形式要求。

而对于关联性的要求，也在《个人信息保护法》第6条的“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”被加以细化和具体规定。

具体到医药行业这一特定领域的规定而言，上述关于个人数据的原则与要求也得到了进一步的体现。《人口健康信息管理办法（试行）》第八条规定：“责任单位应当按照‘一数一源、最少够用’的原则采集人口健康信息，所采集的信息应当符合业务应用和管理要求，保证服务和管理对象在本单位信息系统中身份标识的唯一性，基本数据项的一致性，所采集的信息应当严格实行信息复核程序，避免重复采集、多头采集。”这一规定实际上提出了两个采集人口健康信息的具体要求：

①一数一源

顾名思义就是指一个数据只来源于一个数据源。医疗行业与金融行业等其他相关行业一样，各业务条线数据分散现象或多或少存在，数据多头收集时有发生。这不但增加信息报送、采集、存储成本，也导致数据责任主体不明，数据安全、数据质量难以保障。应明确源数据管理的唯一主体，保障数据完整性、准确性和一致性，减少重复收集造成的资源浪费和数据冗余。同时，建立数据规范共享机制，提升数据利用效率和应用水平，实现数据多向赋能。

②最少够用

这一要求在《个人信息保护法》与《网络安全法》中提出的要求是相一致的，个人数据的采集机构应当在有明确、合理的目的情况下，在限于实现处理目的的最小范围内进行数据采集，不得过度收集个人信息。这一要求一方面是为了降低数据采集和储存的成本，另一方面更是为了避免对个人信息的过度采集，这是保障数据主体合法权益的最重要的方式之一。

2.数据储存的监管要求

对于储存医疗行业的个人数据而言，同样也需要先满足非特定领域的上层法律的规定。《个人信息保护法》第19条规定：“除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。”

同时在第40条中提出规定：“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”具体到医疗行业这一特定领域的规定中而言，主要强调了以下四个方面的监管要求：

①分级存储与容灾备份

《人口健康信息管理办法（试行）》第九条规定：“人口健康信息实行分级存储。责任单位按照国家统一规划，负责存储、管理工作中产生的人口健康信息，应当具备符合国家有关规定要求的数据存储、容灾备份和管理条件，建立可靠的人口健康信息容灾备份工作机制，定期进行备份和恢复检测，确保数据能够及时、完整、准确恢复，实现长期保存和历史数据的归档管理。”

这一规定没有给出具体的分级标准与依据，并且目前我国在医药行业数据分级分类的规定还存在较大空白。在实践中，互联网医疗企业可以参考其他行业领域（如工业数据、金融数据、汽车数据等）相关的分级分类标准，从类似维度考量数据的重要性、敏感度等。

②境内储存

《个人信息保护法》第40条规定：“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。”而在《人口健康信息管理办法（试行）》第十条第二款规定：“不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。”该规定提出了比《个人信息保护法》下更严格的数据存储要求。

③委托储存责任

《人口健康信息管理办法（试行）》第十一条规定：“委托其他机构存储、运维人口健康信息的，委托单位承担人口健康信息的管理和安全责任。受委托的存储、运维机构应当严格按照委托协议做好人口健康信息管理的技术支持，禁止超权限采集、开发和利用人口健康信息。”

该条规定的第一、二款分别说明了委托机构与受委托机构各自的义务和责任。前者是管理与安全责任的承担者，后者则需严格遵守协议，在有限的范围内采集、开发和利用数据。

④电子病历的封存

《电子病历应用管理规范（试行）》第23条规定：“依法需要封存电子病历时，应当在医疗机构或者其委托代理人、患者或者其代理人双方共同在场的情况下，对电子病历共同进行确认，并进行复制后封存。”

第24条进一步规定了封存的电子病历复制件需要满足的技术条件及要求。由于电子病历是患者身体健康状况最重要的参考依据，其敏感性和重要性不言而喻，因此电子病历的相关规定主要为了保证医疗机构使用电子病历系统进行病历书写，遵循客观、真实、准确、及时、完整、规范的原则。

3.数据主体权利响应的监管要求

《个人信息保护法》在第四章中规定了“个人在个人信息处理活动中的权利”，《个人信息安全规范》第8.7条款中明确规定在与公共安全、公共卫生、重大公共利益直接相关的情形下个人信息控制者可以不响应个人信息主体的权利请求。但该等对于权利响应要求的弱化需要充分告知其决定不响应的理由，并向个人信息主体提供投诉的途径。具体来说主要是以下2点：

①查询权

根据《国家健康医疗大数据标准、安全和服务管理办法》第21条和第36条中的要求，各医疗机构应当在确保公民隐私保护和数据安全的前提下提供安全的信息查询和复制渠道。

在《个人信息保护法》第45条也作了规定：“个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。”

由此可见，在与个人医疗健康数据相关的法律规范中，都赋予了个人信息的查询权利。

②知情同意权

《个人信息保护法》第44条中，规定“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理”，同时在第46条中进一步规定“个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。”

在“互联网➕医疗健康”的政策背景下，医药行业数据的利用、开发和保护已经成为了新的关注焦点。医药行业的企业、医院和其他相关机构应当密切关注行业的立法及监管动向。

重点关注“互联网+医疗”背景下的医疗卫生信息系统、大数据平台等系统安全，人口健康数据、药品数据、遗传数据等重要数据传输合规机制等内容，建立自身良好的数据安全保护机制，更好的维护患者的隐私和自身数据的相关权益，降低数据合规风险，努力达到医疗行业在保护与开发利用之间的平衡。

作者介绍：

李莹，来自iLAW合规联盟——泰州分院，江苏圣典（杭州）律师事务所主任，圣典律师总分所企业合规中心主任，兼具管理学学士、人力资源管理师、融资租赁管理师资格。为药企提供法律服务十余年，具有丰富的医药制药业合规管理、医疗器械制造业合规管理经验。

责任编辑：鼎元 | 专栏编辑：希希