道可特研究 | 医疗行业数据治理观察三：医疗行业数据监管动态

目录

（一）医疗行业数据概况
（二）医疗行业数据立法分析
（三）医疗行业数据监管动态
（四）医疗行业数据治理建议

医疗行业数据监管动态

一、政策导向

1. 政策指导下医疗数据企业布局先机

国务院办公厅发布的《关于促进和规范健康医疗大数据应用发展的指导意见》（以下简称《指导意见》）提出将夯实健康医疗大数据应用基础作为重点任务和工程，要求建立跨部门密切配合、统一归口的医疗数据共享机制。《“健康中国2030”规划纲要》也提到，要消除数据壁垒，建立跨部门跨领域密切配合、统一归口的医疗数据共享机制，实现公共卫生、计划生育、医疗服务、医疗保障、药品供应、综合管理等应用信息系统数据采集、集成共享和业务协同。

可见，未来在政府牵头和多部门协调配合下，医疗大数据的应用会进行系统性开发和建设，数据壁垒等问题有望进一步改善。例如，在国家卫生健康部门的协调下，中国移动和太平洋人寿等8家股东在2019年11月共同发起设立注册资本20亿人民币的联仁健康医疗大数据科技股份有限公司，即属于该方面的重要进展。通过企查查等企业工商信息网站，可以搜索到名称中直接包括医疗数据或健康数据的企业搜索结果有上百家，而且大多在近三年内设立。这些都说明市场主体已经充分认识到了医疗健康数据的广阔前景，开始抢占市场先机。但这也可能在某种程度加大数据壁垒并阻碍数据合法流通，可以预见未来相关医疗数据企业可能出现深度整合和集中活动。

2. 医联体数据一定区域内的互认

2018年发布的最新版电子病历分级评价标准中，共分为了0-8共九个考核等级。如达到二级水平，相当于只能进行部门内的信息交换；四级，患者就医全流程在全院内安全共享，同时还含有药品的配伍以及相互作用的自动审核，以及合理用药监测的功能，为医疗决策提供支持；五级以上，就能实现院内外数据的打通。目前，绝大多数三级公立医院能达到三级以上水平。有公立医院甚至已到病历七级水平，可以实现院外共享，这意味着患者就医的时候，在前几家医院就诊的检验检查结果可能在本次就医的医院自动弹出，在一定区域内或医联体内可以互认。

3. 数据交易机制正在探索

我国将数据定位为基础要素资源和国家战略资产，数据流动与交易有利于促进数据的融合挖掘，从而释放数据资源的价值。如当前行业热议的药品研发中AI技术的应用，就有赖于从医院、三方检验室、生物样本库等渠道获取临床、组学等数据，并对AI进行有效的数据训练。

针对数据的交易和流动，我国当前涉及数据交易和流通的法律法规主要涉及《数据安全法》《人类遗传资源管理条例》《网络数据管理条例（征求意见稿）》。其中分别规定：

国家建立健全数据交易管理制度，保障数据依法有序自由流动；禁止买卖人类遗传资源；数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。

通过以上法条梳理可以看出，在数据交易方面，我国立法作出概括性规定，但目前尚未确立具体的数据确权和交易机制。全国已成立多家数据交易所，亦有多家三方数据平台从事数据交易活动，其中北京国际大数据交易所正在探索“数据特定使用权流通”等机制。在数据流动方面，样本库及健康医疗数据库主体应注意开展科研、国际合作等用途的数据分发、提供、共享、流动等活动，必须在履行数据保护责任与义务的基础上，如确保个人隐私保护和知情同意、确保使用书面协议或具有法律约束力的文件、履行向境外提供数据的安全审查等。

二、相关行政、司法案例

1. 南京市公安局侦办非法获取医院内部信息系统数据案件

2021年1月，江苏南京市公安局网安部门侦办了一起医院内部信息系统被非法获取数据案件。经查，犯罪嫌疑人通过买通医院硬件设备维护人员，将黑客工具安装在医院内部系统中，非法窃取系统账号密码，获取多家医院患者就诊数据，并售卖给相关医疗从业人员。据悉，犯罪嫌疑人累计非法获取患者就诊信息数据数百万条。医药代表对医疗统方数据有强烈需求，催生了医疗统方数据买卖的犯罪行为，同时暴露出医院在医疗数据监管保护方面存在的漏洞。隐私数据经由公共机构泄露的现象近年来时有发生，由于监管力度和追责制度的不完善，公共机构在信息数据管理过程中存在一些漏洞，给不法之徒可乘之机。

2. 重庆某私立医院未履行等级保护制度被罚款1万元

重庆永川某私立医院未按照网络安全等级保护制度的要求履行安全保护义务，包括：未安装边界防护设备、未安装日志行为审计设备，未设置数据安全备份策略等其他网络安全技术措施等。黑客通过互联网攻破该医院系统后植入勒索病毒，致使医院业务系统瘫痪。对此，永川公安局根据公安部“一案双查”工作要求及《网络安全法》第59条规定，对医院处以罚款1万元，并对直接负责的主管人员处以罚款5,000元的行政处罚。

3. 于某非法获取患者信息案

2018年，于某某系奶粉销售人员，其在从事日常销售过程中与鞍山市三名医院的医生刘某、护士周某、护士任某相互勾结，多次非法获取上述三家医院患者的公民个人信息1万余条，而后将非法获取的三患者信息9000余条出售，非法获利人民币1万余元。

经审理，法院认为被告于某某从医护人员手中非法获取涉及健康生理内容的公民个人信息并出售，情节特别严重，其行为已构成侵犯公民个人信息罪，应依法惩处。依法判处：被告人于某某犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金二万元。被告人于某某违法所得1万元依法追缴。

除了医疗机构，医疗研究机构、云服务等技术服务提供商都应该注重健康医疗数据的合规。如内部人员的权限管控制度不健全，非权限人员便可随意访问病患隐私信息，则存在极大的数据泄露风险。因此，医疗行业经营者应当在完善内部控制制度的同时，加强员工合规培训，采取签订数据保密协议等措施，防范自身员工泄漏医疗健康数据的风险。

4. 妇产信息泄漏案件

《南方都市报》曾在2016年对深圳市妇产信息泄漏案件进行了报道。一份包含数万条产妇和新生儿个人信息的名单被曝遭到泄漏，大量孕妇收到来自母婴用品公司、婴儿纪念品公司的骚扰短信和电话。被泄漏的信息中除包含姓名、电话、出生日期、住址等相关个人信息外，还存在部分孕妇就医时所产生的相关健康信息以及“婴儿出生医院”等，且名单中涉及的出生医院高达50余家。

相关孕产妇表示，此次信息泄漏可能与其入院建卡时填写的母子保健手册相关。此等强制要求填写的手册中包含了包括产妇个人信息在内的大量孕产信息，并且会通过电脑录入的方式与全市孕产信息数据库共享，并提供给相应的计生部门作为工作参考。由于产妇信息的接触和控制主体包括医院、妇幼保健院以及计生部门等多家单位，因此数据泄漏的责任主体一时难以判断。但事故发生后包括医院和计生部门等相关单位均在第一时间组织了调查和自我纠察，并针对相关情况进行了报警处理。深圳市妇幼保健院此前就被曝光其离职的保安工作人员通过私下拍摄医院电脑记录的方式，将数千条孕妇电话信息等内容出售给家政服务类公司。产妇信息的再度泄漏也引发相关部门对于医疗机构所掌握的患者个人信息保护的重视。

无独有偶，2017年《法制日报》刊文《超过7亿条公民信息遭泄露，8000余万条公民信息被贩卖》，再度披露了一起孕检信息披露和买卖的案件。涉案人员通过黑客技术，在某部委下属某妇幼保健医院的网站上获取大量孕检信息并通过QQ号出售，数量达到8000万余条，浙江省松阳县人民法院一审判决被告7人构成侵犯公民个人信息罪，判处有期徒刑3年至5年不等。

即使是在华经营的跨国企业巨头，也发生过非法获取孕产妇个人数据的事件。据公开报道，2011年至2013年期间，某世界著名婴幼儿奶粉公司的多个业务经理，为了抢占市场份额，推销本企业奶粉，通过拉关系、支付好处费等手段，多次从兰州多家医院医务人员手中非法获取孕产妇的个人信息。该案经过一审和二审，法院均认定相关业务人员构成侵犯公民个人信息罪。

不难发现，医疗数据的泄漏主要来源于黑客对数据控制者（如妇幼保健医院）的系统攻击和信息持有企业或单位内部人员非法提供两种方式。健康医疗数据本身具有较高的信息价值。数据本身对信息所有者具有重要意义，并与各行各业存在重要关联，比如孕产信息可能是母婴保健行业所需要的重要基础数据。此外，对于原始健康数据的统计、加工和分析后产生的宏观数据甚至对于相关地区和国家的发展都有着重大影响。这对于包括医疗机构、医药企业等在内的相关责任主体都提出了更高的数据安全保护要求。

5. 多款医疗健康类App因涉嫌隐私不合规行为被通报下架

国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现，《叮当快药》（版本5.7.0）、《药师帮》（版本4.31.0）、《健康云》（版本5.1.3）、《1药网》（版本5.9.1）、《智慧好医院》（版本2.1.3）、《春雨医生》（版本8.8.8）、《平安好医生》（版本7.2.0）等20余款移动应用存在涉嫌隐私不合规行为。主要涉及APP未向用户明示申请的全部隐私权限，未说明收集使用个人信息规则，未提供有效的更正、删除个人信息及注销用户账号功能等问题。

6. 人民检察院个人信息保护公益诉讼

《个人信息保护法》第七十条提出，个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。2021年4月22日，最高检发布检察机关个人信息保护公益诉讼典型案例，其中包括浙江省温州市鹿城区人民检察院督促保护就诊者个人信息行政公益诉讼案。在办案过程中，鹿城区人民检察院针对就诊者个人信息主要从温州两家医院泄露这一情况，分别向两家医院发出社会治理检察建议，建议加强就诊者个人信息保护。

为了更好帮助医药企业初步定位自身数据合规状况，明确企业合规风险点，共同推进数据合规落地，我们针对性地设计如下调查问卷。请您在百忙之中抽出宝贵时间，填写此份问卷。感谢您的配合！

作者简介

白小莉
北京市道可特律师事务所高级合伙人

业务领域：知识产权、争议解决、竞争与反垄断、数据安全与数据合规

手机：18612296630
邮箱：baixiaoli@dtlawyers.com.cn