专访律师杨旭:互联网医疗时代,医院如何合法有效地进行数据共享
加快建设医疗健康数据合规管理体系,才能在保障患者信息安全的同时,亦能帮助医院合法有效地进行数据共享。
随着信息技术的发展,计算机技术越来越多地应用到医疗领域,建立和完善以电子病历为核心的医院信息系统、普及电子病历的应用已经成为实现医院现代化和信息化的基本内容。但在电子病历的普及过程中,涌现出诸多问题,比如法律规定不明晰;标准缺失,无操作性,目前未确立电子病历个人隐私保护标准规范;从业人员亟需培训;技术措施不完善;医疗健康数据尚不能互联互通等。
近日,世界中医药学会联合会知识产权保护工作委员会常务理事兼副秘书长、北京观韬中茂律师事务所数字法律与网络合规委员会秘书长杨旭律师接受了大健康派的采访,就电子病历与患者个人隐私保护的现状和问题展开介绍,并作出深度解读。
世界中联知识产权保护工作委员会常务理事兼副秘书长
数字法律与网络合规委员会秘书长
北京观韬中茂律师事务所律师 杨旭
问:
如果个人电子病历泄露了,可能会产生什么样的后果,医院或医生应该承担什么样的法律责任?
答:
从患者的个人隐私方面来看,电子病历包括两方面的内容,一是患者的个人信息,包括姓名、性别、年龄等基本身份信息,父母、配偶、子女等家庭生活与社会关系的信息,教育程度、职业、政治面貌等社会政治信息,家族史、病史、过敏史等基本健康信息,新农合、商业保险、公费等参保信息。;二是医护人员记录的诊疗信息,包括入院记录、病程记录、手术记录、出院记录、医嘱记录、耗材记录、生命征象记录、会诊记录、相关的检查资料与报告、医生对患者的诊断结果以及治疗的方案、知情告知书等方面的资料。患者电子病历信息安全指的是患者有权要求数据处理者和使用者避免个人病历信息的丢失、不当访问、破坏、利用、修改、泄露等风险,并应采取合理的安全保障措施。《中华人民共和国民法典》正式实施以后,对隐私权做了法律上的界定,患者的隐私权,是指患者医疗机构接受医疗服务时表现出的,涉及患者自身因诊疗服务需要而被医疗机构及医务人员合法获悉,不愿他人知悉的个人情况。数字经济时代的三驾马车《网络安全法》、《数据安全法》、《个人信息保护法》,也明确界定了个人敏感信息的处理原则,医生和医院作为信息的处理者,一旦泄露患者的个人敏感信息,涉及侵犯患者隐私权,要承担相应的民事责任。
从医院管理方面来看,医院要承担承担数据安全和数据合规义务,对于患者个人电子病历中涉及的敏感信息,医院应当妥善地保管,尽到管理的职责。以一家大型三甲医院为例,平均门诊量高达7000—10000人次/天,一年的门诊量高达240万—250万人次/年,电子病历系统里存放大量的病历数据,当患者就诊时,医生通过电子病历系统从200多万份数据中快速、准确地找到该患者的数据。在使用这些数据时,医院应当做到合理使用、妥善保管,避免泄露患者的个人信息。如果医院未履行此义务,就要承担相关主管部门的行政处罚,甚至涉及刑事犯罪,单位和相关负责人要承担刑事责任。
问:
从您的专业的角度,请您谈谈目前国内电子病历系统建设主要存在哪些问题?
答:
我认为目前国内电子病历系统的建设存在的问题是:
一是医疗数据共享问题,在医疗大数据共享系统下,患者每次就诊便自动将个人所有疾病信息共享给主治医生,甚至是特殊敏感的疾病信息,如性病、艾滋病等。那么是否有必要如此共享?患者是否有权决定共享的范围?某些医院在给第三方机构调取患者数据时,并没有对患者个人的敏感信息进行脱敏处理,这就违反了《网络安全法》、《数据安全法》等相关法律。
二是有关数据处理问题,医院是患者个人信息处理的主要机构。当前,医院尚未形成体系性的个人信息保护的管理制度,个人隐私保护措施主要体现在各个具体的信息系统管理制度当中。患者电子病历数据的保存、利用、共享、删除,保密机制是否有完善,这是一个全生命周期数据合规体系的搭建问题,是否对数据安全、数据出境进行评估,以及患者的个人信息安全影响评估机制,医院是否对防火墙机制进行了评估,从这些角度来看,目前还是有所缺乏的。国内亟需依法对患者隐私信息进行严格管控保护,设立脱敏、去标识化的具体标准和规定,这样才能在促进健康医疗大数据应用发展过程中保护个人隐私和维护信息安全。
问:
在您看来,当前的现状下,医生、医院应该从哪些角度去规避这些问题,如何在保证院方合法有效使用电子病历信息的同时,保障患者的信息安全?
答:
首先,我认为医院或医生在使用数据系统里的电子病历信息时,自己应当注意不要泄露患者的个人信息。
对于不同的健康医疗机构而言,其所遵循的合规义务可能因其主体身份、业务或所收集数据类型而异。在我国目前的监管框架下,健康医疗行业所处理数据不仅涉及到《个人信息保护法》中的个人信息和敏感个人信息,还可能涉及与健康医疗有关的其他数据类型,在处理这些数据时应当在遵循《个人信息保护法》的同时参照原有相应的要求对健康医疗数据进行全生命周期的合规处理,可能涉及对健康数据的收集、存储、加工、使用和传输等环节。
其次,对于医疗机构而言,质量控制是十分重要的,电子病历是质量安全控制的重要内容和环节。建立“事前预防、事中控制和事后评价”三位一体的数据合规管理体系,医疗机构需要在整个过程中的每一个环节都加强质量控制。
最重要的是,医院需要搭建数据合规管理体系,进行医疗健康数据全生命周期的管理,才能避免信息泄露等安全问题。目前,数据合规管理体系已经有了国际化的认证,包括ISO37301:2021《合规管理体系 要求及使用指南》及《GB/T35770-2022 合规管理体系要求及使用指南》,这两个标准体系要求任何组织、任何机构都要搭建自己的合规管理体系,通过合规管理体系,医院就能规避信息安全方面的问题,保障好数据全生命周期的重点领域、重点环节,以保护患者的隐私安全。
问:
随着互联网医疗的普及,在互联网诊疗过程中也会形成电子病历,与传统线下诊疗中的电子病历在合规管理方面有哪些相同点以及不同点?
答:
互联网诊疗中形成的电子病历和线下诊疗中的电子病历的相同点是它们都是电子数据,都全方位、全流程展示了患者的信息。
它们的不同点在于,线下的电子病历是医院和患者进行线下沟通,经过医生的诊断,再经由医生系统上传数据;而互联网诊疗过程中形成的电子病历完全符合全生命周期的概念,所有的数据从提取、存储、共享都是在互联网诊疗机构里面进行的,是可追溯的,这一特点符合数字化时代的特征,互联网医疗领域是医疗数据过度采集和不当使用的重灾区。互联网医疗机构通过计算机网络为个人信息主体提供相应的服务时,可能作为个人信息控制者收集用户的个人信息并加以利用,而在该过程中更加存在数据合规风险。在这样的背景下,合规管理体系就显得尤为重要。
问:
围绕健康医疗大数据的保护和流通,您认为未来会有哪些重点的发展方向,能否为院方提出一些建议。
答:
未来,健康医疗大数据的会朝着互通、互享、共治、共享的方向发展,数据的流通会更加顺畅,防止数据的泄露也是很重要的议题。因此,院方要尤其注意对医疗健康数据的处理,建立全生命周期的数据合规管理体系,并进行认证,才能更好地规避信息安全的问题。
结语
目前看来,建设全国统一医院电子病历系统的关键不在于技术手段,而在于制度细节——如何在数据共享的同时保护好患者隐私,如何在互联互通的同时保障医院的知识产权,这些都有待于相关制度的进一步建立和完善。
如杨旭律师所说,加快建设医疗健康数据合规管理体系,才能在保障患者信息安全的同时,亦能帮助医院合法有效地进行数据共享。
在即将于7月11日举行的健康医疗大数据创新论坛上,杨旭律师还将带来更多内容分享,欢迎扫码报名参会!
关注大健康Pai 官方微信:djkpai我们将定期推送医健科技产业最新资讯