21世纪经济报道长期关注数据合规议题，伴随着法律法规实施，我们希望能从垂直领域了解行业动态，故推出“守护医疗数据安全”系列报道，详解宏观政策、产业发展，探讨不同场景、细分行业的合规难点，以期提升整个行业的数据合规水位线。

近年来，随着计算机技术与医疗行业的深度融合，我国各类医疗产业电子化程度不断提升，与之相对应的是用户和数据规模的快速扩大。据艾媒咨询《2020-2021中国互联网医疗行业发展白皮书》数据显示，2015年至2020年，中国移动医疗用户规模由1.5亿人上涨至6.6亿人，2021年达6.9亿人，总体呈现持续扩大的趋势。

丰富的数据资源一方面为行业发展提供了坚实的数据基础，另一方面也加大了数据管理与治理的难度，且由于医疗数据种类各异，涉及用户个人隐私等敏感信息，医疗数据的安全保护与合规监管一直是行业发展的突出问题。

2016年6月，国务院办公厅发布《关于促进和规范健康医疗大数据应用发展的指导意见》，明确指出:“到2020年，健康医疗大数据相关政策法规、安全防护、应用标准体系不断完善,适应国情的健康医疗大数据应用发展模式基本建立。”

但在市场实践中，数据脱敏、海量数据处理等问题依然需要更为明确的法律标准和执法司法实践加以规制和指导，多位行业专家在接受21世纪经济报道记者采访时表示，不可只追求发展而忽略安全，也不能因噎废食而只追求极端的安全，处罚并不是监管的最终目的，通过处罚的威慑，促使医疗机构尽快经历完善合规的医疗数据安全评估体系才是关键。

数据孤岛与跨境风险

由于医疗行业的特殊性，医院等医疗机构所采集、存储和使用的个人信息数据相比于其他行业，有着更强烈的隐私属性。尤其在疫情时代，互联网医院、健康码的推广和使用，使得医疗数据呈现爆发式的增长。

经过长时间的探索，我国通过出台和修订《数据安全法》《个人信息保护法》等数据保护法律法规和《精神卫生法》《医师法》《护士管理办法》等行业性法律法规，共同构建了医疗卫生单位、医护工作者对个人健康信息隐私保护责任义务的基本框架，有关部门也逐渐形成一套成熟的执法与司法规范。

但与之相对应的是，医疗行业整体数据处理和开放共享水平仍相对不足。

社科院国际法学所副研究员何晶晶在接受21世纪经济报道记者采访时表示，通过对医院等单位的深度调研和与相关医务工作者的交流，其研究团队发现，在实践中，各医院间、科室间数据孤岛现象严重，医疗机构之间并不互联互通，使得健康医疗数据的合理利用困难重重。医疗领域的数据收集、存储、使用、提供、删除等环节都面临着大量的合规问题与技术问题。

而医疗信息的数据量级动辄数十万条、数百万条，合规成本极大，许多医疗机构不愿投入巨大成本建立数据库，而出于成本考虑，一旦建设相关数据库，其更加不会愿意将数据无偿共享。

此外，出于避免纠纷的考虑，许多医生并不认可其他医疗机构出具的诊断资料，往往要求患者在本医疗机构重新检测，这就造成了在数据共享后的数据互认方面同样存在较大障碍。

另一方面，随着越来越多的医疗资源与互联网+的结合，医疗数据合规面临更为复杂的情形场景。

世辉律师事务所律师卢璟指出，在互联网医院的场景下，随着互联网平台与医药电商平台、患者线上社区平台等数字化平台的合作不断加深，如何做好相应的数据合规，涉及到医疗数据合规、互联网数据合规等跨领域的问题。而医药公司、医疗器械公司在开展业务场景的数字化转型过程中，也需要注意数据合规方面的问题。

值得注意的是，我国当前很多医疗机构的医务软件或系统主要由国外第三方服务商提供，例如病历管理系统、影像分析系统、检测化验系统等。这些系统在医疗机构的日常业务中处理了大量的医疗数据，涉及人口信息、健康信息、基因遗传信息等，经过清洗分析后将产生巨大的价值。

何晶晶指出，如果此类软件或系统将其所处理的医疗数据传输至境外，将会给我国的国家安全、社会公共安全以及数据安全带来直接的风险。科学研究、国际交流、数据共享等跨境交流活动目前尚缺乏统一和明确的指引，也需要进一步加以明确。

国际监管博弈

相比国内，包括美国、日本、欧盟等在内的国家和地区在不同时期确立了与医疗数据保护相关的法律法规，在数据泄露或收集消费者生物识别数据司法执法方面，不乏契合其监管体制和市场发展状况典型案例。这对国内医疗数据保护利用的立法和执法有着多重参考价值。

早在2000年，美国卫生与公共服务部（ of and Human ，HHS）就发布了《健康保险携带和责任法案》（ and Act，HIPAA）的可识别的个人健康信息隐私规则（ Rule），针对个人健康医疗数据缺乏隐私保护的情况，设定了健康数据的隐私保护标准。并在此后顺应电子时代个人健康医疗数据逐步电子化的趋势，扩展了HIPAA的适用范围。

作为HIPAA合规工作的主要执法机构，HHS民权办公室2020年披露的年度安全事件数据显示，当年共发起19项涉经济处罚裁决的合规性调查，总罚款数额达到1355万4900美元。

何晶晶表示，在HIPAA法案出台之初，显示出了较多与当时的实践情况“水土不服”的弊端，例如给医疗机构增加了行政负担、患者的权利无法得到有效保障等。但需要注意的是，发展至今的HIPAA法案经过不断补充完善，对于美国的医疗数据监管已具有重要意义，例如其赋予和保障了患者的个人权利、保障了健康医疗数据的可携带性、通过标准代码提高了医疗保健的效率等。

“总体来看，HIPAA法案既强调健康信息的安全与隐私保护，也强调合理利用健康信息来开展科研和合作以提高医疗保健与公共卫生服务的质量。”何晶晶说。

此外，美国部分州还就生物识别数据等敏感信息制定了专门的监管法案。近期，时尚品牌路易威登（Louis ，LV）因涉嫌在其网站上的虚拟试穿工具中收集消费者的生物识别数据，违反了伊利诺伊州《生物识别信息隐私法》（BIPA）规定的“明确授权”，受到诉讼指控。

据悉，BIPA是美国的伊利诺伊州于2008年通过的保护生物信息隐私的法律，也是美国境内第一部规范生物识别信息收集、使用、保护、处理、储存和销毁的法律。该法案要求公司从用户收集指纹和面部识别数据等生物识别信息时，必须征得其同意。此前，和谷歌都曾因其照片标记产品涉嫌违反BIPA规定而面临诉讼。

而欧盟所广为人知的《一般数据保护指令》（GDPR），则着重对健康信息等具敏感特性的个人数据予以高等级数据保护。

在整体上，GDPR以“权利保护”为总基调，倾向于在较大范围内对公民的尊严和权利予以严格保护。因此，在医疗数据方面，GDPR并未使用“医疗数据”这一概念，而是使用了范围更广的“健康数据”（ data）”“与健康有关的数据”（data ）等广义概念，从而将更多的数据纳入了规制范围。

在个人数据处理一般性规定基础上，GDPR对此种“特殊类别数据”的处理确立了更高的保护标准，要求企业必须获得数据提供者关于某明确合法用途的授权，并可出示数据获取方法的证明。

卢璟表示，欧盟采用了侧重权利保护的较为严格的数据监管原则，一方面受到其重视隐私传统文化的影响，另一方面也由于其具有世界影响力的互联网公司数量相对少，如果不制定较为严格的数据监管规则，有可能导致欧洲人的数据大规模地、毫无限制地流向其他国家。

西南政法大学民商法学院副教授曹伟也指出，美国的数据流通模式是基于其强大的数据垄断地位以及完善的医疗体系作为支撑，在数据流通时占据主导地位，同时对核心数据给予了更高的安全义务，这使得其核心数据往往不会外流，而境外数据却可不断汇入美国。欧盟GDPR更注重于权利属性，以较高的审查义务和惩罚手段来维护数据流动的安全。

“这两种制度各有利弊，但都是基于国情本身做出的制度设计。”曹伟表示。

平衡合规与行业发展

近年来，我国通过陆续出台《数据安全法》《个人信息保护法》等法律法规和技术标准，已经搭建起一套较为全面的数据合规监管框架。但另一方面，针对医疗数据密度大、隐私性强的特点，仍缺乏专门的行业性规范对市场实践规则加以明确。

考虑到医疗数据本身与个人隐私和社会公共服务结合的紧密程度，如若安全合规治理未能跟上行业发展的脚步，在当前勒索软件供给等网络安全问题愈发突出的背景下，2019年美国11.9亿张包含患者个人信心的机密医学图像泄露，2021年爱尔兰卫生部门遭到Conti勒索软件攻击发生大规模瘫痪等事件均为前车之鉴。

何晶晶认为，对于我国的医疗数据监管而言，应当立足本土实际，在平衡数据保护与产业发展的前提下充分借鉴吸收GDPR和HIPAA等法案和相关执法司法案例的经验，不可只追求发展而忽略安全，也不能因噎废食而只追求极端的安全。

除完善相关配套法规标准外，也要在执法和司法过程中强化保护患者隐私与个人信息，严格要求数据安全保障义务与责任。针对隐私政策难以保障患者的知情同意权等立法层面不便解决的问题，应当进一步探索行之有效的个人权利保障机制，配合执法与司法力量，形成全面系统的保障体系。

在当前的合规监管中，企业违规利用医疗数据惩罚规则正在进一步细化。卢璟表示，根据《数据安全法》、《个人信息保护法》等法律法规，违法处理相关数据的，可能导致停业整顿、吊销相关业务许可、巨额罚款等处罚。给他人造成损害的，需要承担民事赔偿责任。同时医院数据合规，构成犯罪的，需要承担刑事责任。

但需要注意的是，我国医疗数据行业发展仍处于起步阶段，合规管理体系建设和数据安全意识的培养都需要时间。曹伟指出，当前形势之下，处罚并不是监管的最终目的，通过处罚的威慑，促使医疗机构尽快经历完善合规的医疗数据安全评估体系才是关键。

近日，最高人民检察院会同全国工商联，开展涉案企业合规改革试点, 包括检察机关对于涉嫌实施犯罪并作出认罪认罚的企业，在其承诺实施有效合规管理体系的前提下，对其作出不起诉决定的制度。

何晶晶指出，合规不起诉制度的初衷在于关注民营企业的权利保障，保护企业的稳定发展，通过对企业施加不起诉的激励，增强企业建立完善合规体系的动力，强化其内在的合规主动性。

根据相关调查，我国部分企业在刑事合规方面严重缺乏积极意识，在相关内部制度建设上更是良莠不齐，有必要通过一定的方式与手段督促其主动积极合规；另一方面，我国当前的刑事审判制度重惩处轻预防，一旦被检察机关起诉，企业往往会被定罪判决，难以再有补救的机会，在如今数字经济迅速发展的背景下，需要给相关行业探索保留一定合理的试错空间。

“此外，刑事合规不起诉是检察机关参与社会治理的重要方式，有利于督促涉罪企业建立预防犯罪再次发生的合规防控体系，提升企业合规整改精准性和积极性，实现司法办案法律效果和社会效果的有机统一。”何晶晶说。

具体到医疗数据领域医院数据合规，在企业合规不起诉的首轮试点中，一般将适用范围设定在3年以下有期徒刑的轻罪，部分地区对于犯罪嫌疑人可能被判处 3 年以上 10 年以下有期徒刑的单位犯罪案件，对相关企业也可以有条件适用。因此，如果医院、私人诊所、保健机构、医疗器械生产商、医疗网络产品运营商等掌握大量医疗数据的经营单位所涉及的刑事案件属于3年以下有期徒刑轻罪案件且符合其他相关条件的话，可以适用“企业合规不起诉”。

“当前，医疗机构基本已经完成医院管理系统、科研平台等信息化体系的建设，而随着健康医疗大数据的广泛应用、‘互联网+医疗健康’和智慧医疗的发展，健康医疗数据从存储到应用的各个阶段都在发生新的变化，遭遇新的问题和挑战。要实现自动化、高效率的数据合规管控，必须建立起相应的数据合规管理信息化系统，使得数据合规管理真正实现智能化、规范化。”何晶晶说。