互联网医院及健康医疗大数据合规分析

互联网医院健康医疗大数据分析

吴丹君周天一 | 2017-08-03 10:54

【数据猿导读】随着“健康中国2030”规划的不断推进，健康医疗大数据正成为国家重要的基础性战略资源。显然，利用云计算等技术，对海量医疗病历数据进行研究，及时探明我国国民现阶段不同年龄层的身体状态及健康隐患，亟待健康医疗大数据的快速发展

随着“健康中国2030”规划的不断推进，健康医疗大数据正成为国家重要的基础性战略资源。显然，利用云计算等技术，对海量医疗病历数据进行研究，及时探明我国国民现阶段不同年龄层的身体状态及健康隐患，亟待健康医疗大数据的快速发展。

2017年6月20日，为了落实《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》，在国家卫计委的牵头下，国有资本主导的三大健康医疗大数据集团正式成立，“1+7+X”的健康医疗大数据规划正在逐步成型，这预示着健康医疗大数据将迎来爆发式增长。与此同时，阿里云推出了独有的大健康解决方案，提供医疗信息储存及视频会诊云平台等服务；京东也联合微医集团，以乌镇互联网医院为平台开展在线医疗服务。而由于政府政策导向的原因，好大夫在线、微医、丁香园、春雨医生、平安好医生、京东等几十家互联网医院纷纷扎堆银川，2016年、2017年，成为互联网医院的爆发年。

推动“互联网+健康医疗”服务是大势所趋，但加强健康医疗大数据保障体系建设，制定完善健康医疗大数据应用发展的法律法规，强化居民健康信息服务规范管理，明确信息使用权限，切实保护相关各方合法权益也是现实需求。健康医疗大数据涉及涉及国家利益、公共安全、患者隐私、商业秘密等重要信息，中央、各部委、地方政府出台的法律、法规、规章中针对其也有相应的特别规定，现将健康医疗大数据相关法律、法规、规章整理如下：

法律、法规、规章	相关内容
《“健康中国”2030规划纲要》	加强健康医疗大数据相关法规和标准体系建设，强化国家、区域人口健康信息工程技术能力，制定分级分类分域的数据应用政策规范，推进网络可信体系建设，注重内容安全、数据安全和技术安全，加强健康医疗数据安全保障和患者隐私保护。加强互联网健康服务监管。
《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》	建立健全健康医疗大数据开放、保护等法规制度，强化标准和安全体系建设，强化安全管理责任，妥善处理应用发展与保障安全的关系，增强安全技术支撑能力，有效保护个人隐私和信息安全。强化健康医疗数字身份管理，建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统，积极推进电子签名应用，逐步建立服务管理留痕可溯、诊疗数据安全运行、多方协作参与的健康医疗管理新模式。开展大数据平台及服务商的可靠性、可控性和安全性评测以及应用的安全性评测和风险评估，建立安全防护、系统互联共享、公民隐私保护等软件评价和安全审查制度。加强大数据安全监测和预警，建立安全信息通报和应急处置联动机制，建立健全“互联网＋健康医疗”服务安全工作机制，完善风险隐患化解和应对工作措施，加强对涉及国家利益、公共安全、患者隐私、商业秘密等重要信息的保护，加强医学院、科研机构等方面的安全防范。
《刑法》	侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪
《互联网信息服务管理办法》	第六条从事经营性互联网信息服务，除应当符合《中华人民共和国电信条例》规定的要求外，还应当具备下列条件：（一）有业务发展计划及相关技术方案；（二）有健全的网络与信息安全保障措施，包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度；（三）服务项目属于本办法第五条规定范围的，已取得有关主管部门同意的文件。
《人口健康信息管理办法（试行）》	第九条人口健康信息实行分级存储。第十六条责任单位应当做好人口健康信息安全和隐私保护工作，按照国家信息安全等级保护制度要求，加强建设人口健康信息相关系统安全保障体系，制定安全管理制度、操作规程和技术规范，保障人口健康信息安全。利用单位和个人应当按照授权要求，做好所涉及的人口健康信息安全和隐私保护工作。第十八条责任单位应当建立痕迹管理制度，任何建立、修改和访问人口健康信息的用户，都应当通过严格的实名身份鉴别和授权控制，做到其行为可管理、可控制、可追溯。
《医疗机构病历管理规定》	第六条　医疗机构及其医务人员应当严格保护患者隐私，禁止以非医疗、教学、研究目的泄露患者的病历资料。
《互联网诊疗管理办法（试行）（征求意见稿）》	第十一条医疗机构开展互联网诊疗活动，应当具备满足互联网技术要求的设备设施、信息系统、技术人员以及信息安全系统，符合国家信息安全等级要求。第十二条远程医疗服务由医疗机构按照《关于推进医疗机构远程医疗服务的意见》实施，签订远程医疗服务协议，承担相应法律责任。第十八条医疗机构应当严格执行信息安全和医疗数据保密制度，妥善保管患者信息，不得买卖、泄露患者信息。发生患者信息和医疗数据泄露后，医疗机构应当及时向主管的卫生计生行政部门报告，并立即采取有效补救措施。第三十七条本办法发布前设置审批的互联网医院、云医院、网络医院等，设置审批的县级以上地方卫生计生行政部门应当在本办法发布后15日内予以撤销，并按照本办法规定重新对其互联网诊疗活动实施管理。
《医疗机构管理条例》	第二十四条　任何单位或者个人，未取得《医疗机构执业许可证》，不得开展诊疗活动。第四十四条　违反本条例第二十四条规定，未取得《医疗机构执业许可证》擅自执业的，由县级以上人民政府卫生行政部门责令其停止执业活动，没收非法所得和药品、器械，并可以根据情节处以1万元以下的罚款。
《电子病历基本规范》	第十三条电子病历系统应当满足国家信息安全等级保护制度与标准。严禁篡改、伪造、隐匿、抢夺、窃取和毁坏电子病历。第二十四条电子病历数据应当保存备份，并定期对备份数据进行恢复试验，确保电子病历数据能够及时恢复。当电子病历系统更新、升级时，应当确保原有数据的继承与使用。第二十五条医疗机构应当建立电子病历信息安全保密制度，设定医务人员和有关医院管理人员调阅、复制、打印电子病历的相应权限，建立电子病历使用日志，记录使用人员、操作时间和内容。未经授权，任何单位和个人不得擅自调阅、复制电子病历。
《处方管理办法》	第五十条处方由调剂处方药品的医疗机构妥善保存。普通处方、急诊处方、儿科处方保存期限为1年，医疗用毒性药品、第二类精神药品处方保存期限为2年，麻醉药品和第一类精神药品处方保存期限为3年。处方保存期满后，经医疗机构主要负责人批准、登记备案，方可销毁。第五十一条医疗机构应当根据麻醉药品和精神药品处方开具情况，按照麻醉药品和精神药品品种、规格对其消耗量进行专册登记，登记内容包括发药日期、患者姓名、用药数量。专册保存期限为3年。
《侵权责任法》	第六十二条　医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。
《卫生行业信息安全等级保护工作的指导意见》	国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。重要卫生信息系统安全保护等级原则上不低于第三级。
《互联网药品交易服务机构验收标准》	第二章第三条客户服务质量要求。【验收标准】互联网药品交易服务企业为药品生产、批发企业和医疗机构提供的服务，应当：（二）制定并遵守相应的服务流程规范和操作规范，实现对服务内容的分级管理和标准化管理，具有应急响应措施和相应的交易保障措施；建立完善的客户资料管理体系，能够随时汇总和提供完整准确的客户资料和信息备查。
《互联网药品信息服务管理办法》	第九条提供互联网药品信息服务网站所登载的药品信息必须科学、准确，必须符合国家的法律、法规和国家有关药品、医疗器械管理的相关规定。第十条提供互联网药品信息服务的网站发布的药品（含医疗器械）广告，必须经过（食品）药品监督管理部门审查批准。提供互联网药品信息服务的网站发布的药品（含医疗器械）广告要注明广告审查批准文号。
《福州市健康医疗大数据资源管理暂行办法》	第十五条健康医疗大数据按照开放类型分为普遍开放类、授权开放类和暂不开放类。第十六条市数字办会同市卫计委等相关行业主管部门及数据运营单位建立健康医疗大数据开放开发机制，规范健康医疗大数据应用领域的准入标准，建立大数据应用诚信机制和退出机制，严格规范大数据挖掘、应用和开发行为。除法律、法规另有规定外，涉及商业秘密、个人隐私的健康医疗大数据应当进行脱密脱敏处理后开放。第十七条市数字办会同市卫计委等相关行业主管部门建立健康医疗大数据应用工作制度，授权使用有关信息，提供安全的信息查询和复制渠道。使用单位或个人不得超出其申请和被授权的数据使用范围和目的使用和发布健康医疗大数据。第十九条高校或者科研院所获得的数据只限用于科研教育等非营利性活动。数据使用单位确需使用可识别个人身份和隐私内容的个案信息的，应向数据运营单位提出应用服务申请，在征得个人同意或经脱敏脱密后，方可实行。第二十五条市数字办授权数据运营单位组织开展健康医疗大数据平台和服务商的可靠性、可控性和安全性评测，开展健康医疗大数据应用的安全性评测和风险评估，建立安全防护、系统互联共享、公民隐私保护等软件评价和安全审查制度。禁止将健康医疗大数据存储在境外服务器。第二十六条数据生产应用单位、数据运营单位和技术服务单位在开展健康医疗大数据采集、存储、处理、应用、共享、开放及其相关管理服务活动中应做到可管理、可控制、可追溯;涉及商业秘密、个人隐私的，应当遵守有关法律、法规规定。第二十七条技术服务单位应当加强平台安全防护，建立应急处置、备份恢复机制，保障数据、平台安全可靠运行。技术服务单位应当对信息资源及副本建立应用日志审计制度，确保信息汇聚、共享、查询、比对、下载、分析研判、访问和更新维护情况等所有操作可追溯，日志记录保留时间不少于3年，并根据需要将使用日志推送给数据运营单位及相应的数据生产应用单位。第二十九条数据使用单位对其所使用的健康医疗大数据负安全和保密责任，在接收到数据后，要进行登记备案，指定人员进行跟踪管理，确保在可控环境下使用，保障数据在使用过程中的安全；在申请使用期满后，应及时销毁在本部门环境中存在的相关数据，并及时反馈给数据运营单位。数据使用单位如需延期使用生产数据，必须在到期前重新申请，按本办法规定获同意后方可继续使用。
四川省《促进和规范健康医疗大数据应用发展的实施意见》	建设全省统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统，积极推进电子签名应用，实现医疗服务全程回溯和跟踪，提高监管效率。
广东省《促进和规范健康医疗大数据应用发展的实施意见》	建立“分级授权、分类应用、权责一致”的管理制度，强化居民健康信息服务规范管理，明确信息使用权限，切实保护各方合法权益。制定完善数据管理、数据与信息系统安全、健康数据隐私保护制度，明确数据采集、传输、存储、使用、开放等各环节的边界、责任主体和具体要求。加强对涉及国家利益、公共安全、个人隐私、人口基因等信息的保护，防止数据滥用和隐私泄露。加强健康医疗数据分级分类管理。推行居民健康医疗服务实名制、健康医疗数据使用实名制管理。建设完善全省统一的医疗卫生工作人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统，积极推进电子签名应用，建立服务管理留痕可溯、诊疗数据安全运行、多方协作参与的健康医疗数据管理模式。
山东省《促进和规范健康医疗大数据应用发展的实施意见》	推进健康医疗网络可信体系建设。建设统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统，积极推进电子签名应用。构建全民健康数字认证与身份识别管理体系，推广居民电子身份认证服务。

在我国目前的法律体系下，健康医疗大数据相关的法律法规有《网络安全法》、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》、《医疗机构病历管理规定》、《人口健康信息管理办法（试行）》、《互联网诊疗管理办法（试行）（征求意见稿）》、《电子病历基本规范》、《处方管理办法》、《卫生行业信息安全等级保护工作的指导意见》以及各地方出台的《促进和规范健康医疗大数据应用发展的实施意见》等。规定了医疗机构及医务人员法律责任的法律法规有《医疗机构管理条例》、《中华人民共和国侵权责任法》、《执业医师法》、《护士条例》、《刑法》等。

另外，在互联网诊疗准入方面，互联网诊疗活动应当由取得《医疗机构执业许可证》的医疗机构提供。医疗机构开展互联网诊疗活动应当与其诊疗科目相一致。未经卫生计生行政部门核准的诊疗科目，医疗机构不得开展相应的互联网诊疗活动。医务人员开展互联网诊疗活动应当依法取得相应执业资质，并经其执业注册的医疗机构同意。

在互联网诊疗活动规则方面，对于医疗卫生人员和医疗卫生机构明确要求建立可信医学数字身份、电子实名认证、数据访问控制信息系统，积极推进电子签名应用，实现服务留痕、诊疗数据安全运行。作为健康医疗大数据的收集者与使用者，医疗机构应当保证所收集的信息的真实准确，同时还应当根据现行的信息安全等级保护要求履行一定的安全保护义务，不得泄露患者医疗数据信息。这要求健康医疗大数据必须合法收集，严格执行信息安全和医疗数据保密制度，在使用时注意脱敏清洗和标准化处理，不得侵犯患者隐私和商业秘密。

值得特别注意的是，《互联网诊疗管理办法（试行）（征求意见稿）》规定，开展互联网诊疗活动的医疗机构应当使用《医疗机构执业许可证》名称。不得使用互联网医院、云医院、网络医院等名称。该办法发布前设置审批的互联网医院、云医院、网络医院等，设置审批的县级以上地方卫生计生行政部门应当在本办法发布后15日内予以撤销，并按照本办法规定重新对其互联网诊疗活动实施管理。此办法正式出台的话，将对现有的互联网医疗机构带来巨大影响。

观韬中茂（上海）律师事务所

周天一

吴丹君首席数据官联盟专家组成员首席数据官联盟首席律师

来源：数据猿

收藏分享

声明：数据猿尊重媒体行业规范，相关内容都会注明来源与作者；转载我们原创内容时，也请务必注明“来源：数据猿”与作者名称，否则将会受到数据猿追责。