医疗行业是一个与患者紧密接触的行业，疾病诊疗、体检、健康管理过程中会涉及大量的用户隐私信息。而随着医疗信息化及互联网医疗的发展，健康医疗数据合规问题日益受到重视。本文旨在对健康医疗数据所涉及的法律与合规问题进行归纳和研究，以期对实践有所帮助。

1、什么是健康医疗数据

健康医疗数据是一个内涵较为丰富的概念，按照国家卫生健康委员会2018年7月发布的《国家健康医疗大数据标准、安全和服务管理办法（试行）》（国卫规划发(2018)23号），第四条的规定：“本办法所称健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。“

在国家质检总局与标准化委员会发布的《信息安全技术-健康医疗数据安全指南》（简称“《指南》”）中，对于健康医疗数据（health data）的界定为：包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据[1]。其中对于个人健康医疗数据（personal health data）界定为：单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据[2]。

根据上述定义可以看出，健康医疗数据的内涵比较丰富，既包括与个人相关的数据，也包括个人健康医疗数据加工整合后形成的与健康医疗相关的数据。

2、健康医疗数据的分类

健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别。

（1）个人属性数据

个人属性数据是指单独或者与其他信息结合能够识别特定自然人的数据。个人属性数据属于与个人身份识别具有高度关联的数据，通常用于识别特定自然人。个人属性数据与健康状况或医疗行为并无直接关系，但却是对健康医疗数据进行个体化标识的基础。

（2）健康状况数据

健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。健康状况数据是健康医疗数据的重要内容，健康医疗数据可以反映个体或特定群体的健康状况。

（3）医疗应用数据

医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。医疗应用数据是反映健康状况数据形成过程的数据，是书面形式或电子数据形式对于诊疗过程的再现。包括：病历、医嘱、检查检验报告、病程记录、手术记录、输血记录、护理记录、住院与出院记录等。

（4）医疗支付记录

医疗支付记录具有健康医疗数据与金融数据的双重属性，包括医疗交易信息、医疗保险的理赔信息等。

（5）卫生资源数据

此类数据与个人信息无关，而主要反映医院的基本数据及运营数据。

（6）公共卫生数据

公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。公共卫生数据由于涉及众多个人健康数据的整合，而可能会被归入健康医疗领域的重要数据，甚至不排除特定情况下会构成国家核心数据。

如果仅仅从健康医疗数据的内涵看，虽然此类数据的内涵较为复杂，但总体范围比较清晰。但是，由于健康医疗数据还涉及其他的复杂因素，因而其合规态势比一般的数据领域更为复杂，合规需要考虑的问题更为复杂（参见吴卫明：《健康医疗数据的法律与合规问题探析（下）》）。

1、所涉主体的复杂性

健康医疗数据所涉及的主体具有高度的复杂性，包括自然人、医院、医生、检测检验机构、医疗器械企业、药店、医疗信息化服务商、医保中心、卫生行政监管部门、保险公司、支付机构等。

因为健康诊疗行为的对象是自然人，因此，个人信息是健康诊疗数据的核心，也是数据的最重要来源。但是，也要看到，健康医疗数据是多机构与自然人之间、以及各个机构相互之间信息交互而产生的。不同主体在健康医疗数据处理的过程中，扮演着不同的角色。

比如，医疗机构一般是诊疗过程中最为直接的数据处理者，但医疗机构的部分检验、监测环节可能会外包给其他专业机构的，这就涉及到个人信息的保护问题。

再如，医疗费用的结算环节，既会涉及到患者自己的费用支出，也会涉及医保中心的费用审核与拨付。如果存在商业保险，还会涉及保险公司对于健康医疗数据的审核。

此外，随着医疗与药品销售的分离，医疗机构通过处方共享平台与药店共享处方，也涉及到健康医疗数据的保护问题。

除了上述直接或间接提供医疗服务、医保与商业保险服务、支付服务、药品销售服务的机构外，为互联网医疗及医疗信息化提供网络平台、SAAS平台、云服务的机构，作为相关主体，也会与健康医疗数据产生一定的交集。

2、医疗模式的创新性

随着互联网及信息技术在健康医疗行业的应用，医疗的模式也在不断创新，医疗健康数据的场景愈发丰富。从原有的医疗机构、医保中心、药店等为主要应用场景，逐步衍生出了其他的应用场景（参见吴卫明：《健康医疗数据的法律与合规问题探析（下）》）。

（1）可穿戴设备模式

比如，在可穿戴设备日益成熟的技术背景下，可以测量脉搏、体温及其他生理指标的可穿戴设备也成为了重要的健康医疗数据收集场景。而为这些设备提供远程支持的生产厂家或服务商，也可能会成为新类型的健康医疗数据的处理者。

（2）中心医院+社区医院模式

在中心医院加社区医院、乡村医院的资源共享模式下，除了直接提供医疗服务的社区医院和乡村医院外，中心医院也会成为数据处理者。

（3）诊疗+AI辅助

在一些特定的疾病诊疗领域，AI辅助诊疗技术的应用日趋广泛，这一过程中，也可能会涉及健康医疗数据的处理与保护。

3、价值判断的复杂性

与一般的数据相比，健康医疗数据还涉及价值判断的问题。主要包括：

（1）伦理判断

与其他场景所涉数据处理对比，健康医疗数据的处理中，伦理判断是其重要的特征。按照国家相关法律法规的规定，涉及人的生物医学研究过程中，应进行伦理审查。并且将采用流行病学、社会学、心理学等方法收集、记录、使用、报告或者储存有关人的样本、医疗记录、行为等科学研究资料的活动，纳入了需要进行伦理审查的生物医学研究活动。相关医学研究机构的伦理委员会进行伦理审查时，应遵循保护隐私原则。如实将受试者个人信息的储存、使用及保密措施情况告知受试者，未经授权不得将受试者个人信息向第三方透露（参见吴卫明：《健康医疗数据的法律与合规问题探析（下）》）。

（2）人类遗传资源安全问题

诊疗活动过程中，因检验、检测、治疗需要，医疗机构有机会获取人体血液、细胞、组织等样本，这些样本中所含人类遗传资源的运用，可能会影像公众安全或国家安全。因此，我国制定了生物安全方面的专门法律，国务院也出台了《中华人民共和国人类遗传资源管理条例》，专门对人类遗传资源，以及人类遗传资源所涉及的信息进行监管。

健康医疗数据合规管理过程中，人类遗传资源管控，以及由此带来的生物安全问题，也是此类数据管理中需要考虑的重大价值判断。

4、管控方式的复杂性

医疗诊疗活动的对象是人本身，所以其业务形态中，通过线下与患者或检测对象进行接触，是行业的重要特点，这一点，与互联网行业主要依赖在线活动不同。因此，其数据的管控也更为复杂（可参见吴卫明：《健康医疗数据的法律与合规问题探析（下）》）。

（1）不同机构的差异

健康医疗数据的处理过程中，可能涉及不同的机构，其对于数据的管控也会存在很大的差异。如对于检验机构和诊疗机构而言，其用户的基本身份数据，既有来自于互联网导流和预约渠道，也有来自于医院窗口。而诊疗过程中的记录，除了病历、检验单据、处方的书面记载外，还在医院的信息化系统中记载。

而对于医保中心、支付等机构，其处理的数据主要记载于计算机信息系统中，因而主要是在线处理的数据。

（2）业务模式不同

对于传统医疗机构，可能线上数据处理和线下数据处理同样重要。而对于互联网医疗机构来说，其业务模式决定了，数据处理活动主要通过线上完成。因而，在两种不同的模式下，数据管控的方式也是不同的。

随着医疗模式的发展，数据共享问题日益常态化。常见的数据共享场景包括，检测检验支持、处方共享、诊疗机构与康复机构的数据共享、连锁医疗机构的内部共享等。健康医疗数据共享既具有一般数据共享的特点，也具有一定的特点。

1、连锁医疗机构内部的共享

按照医疗机构管理条例，医疗机构一般是采取独立登记的方式。监管机构在发放医疗许可证的时候，要求申请机构具备独立承担民事责任的能力，这意味着，即使是连锁医疗机构，从组织架构上看，往往采取的也是分别注册的方式。

在这一架构下，各个连锁机构之间，连锁机构将数据共享给母公司，最大的障碍在于这些机构属于各自独立的法人机构。这就要求，接受医疗服务的一方，在进行用户注册或填写有关个人信息授权条款时，应对于连锁机构内部各个主体之间的健康医疗数据共享明确知悉，并对共享以明示方式同意（参见吴卫明：《健康医疗数据的法律与合规问题探析（下）》）。

此外，还需要注意的是，连锁机构之间的数据共享，一方面是基于改善服务或二次营销使用，另一方面则可能是医疗大数据的分析利用。如果是大数据利用场景，则可以通过匿名化处理的方式进行共享，这一场景下，对于用户的授权同意可以弱化。

2、基于第三方检测检验的共享

医疗活动中，由于检验检测需要，可能会将检材委托第三方检测检验机构检测。检材可能包括血样、尿样即其他人体组织样本，这些样本中包含了与个人有关的信息，且样本所附的身份信息也是也属于个人信息。在这一场景中，健康医疗数据的共享问题更为复杂。

如果将此种共享理解为信息委托处理，则处理方应遵循数据处理的一般准则。即，控制者应确认处理者的安全能力满足安全要求，并签署数据处理协议后，才能让处理者为其进行数据处理，处理者应当按照控制者的要求处理数据，未经控制者许可，处理者不能引入第三方协助处理数据。处理过程中，应遵守不低于委托方的数据保护义务，不能转委托第三方代为处理，并且在处理完成后，还应将相关的数据予以返还或销毁。

3、处方流转情况下的数据共享

处方流转是医药体系改革的重要内容之一，诊疗机构的处方通过共享方式流转给合法的药品销售机构，从而完成诊疗活动和药品销售的分离。处方流转有两种方式，一是患者自行携带处方至药店，另一种方式是通过处方流转平台从医院的系统传输到药店系统。患者到药店刷医保卡或者出示身份证的过程，可以视为同意药店可以获取自己的电子处方，并通过药店的系统调取处方。需要注意的是，医院不能未经患者同意而将处方先行提供给特定药店（参见吴卫明：《健康医疗数据的法律与合规问题探析（下）》）。

《数据安全法》规定，国家建立数据分类分级管理制度。按照这一立法原则，数据分级分类管理不仅是一个行业合规要求，而是一项基本法律制度。

健康医疗数据由于形成场景的复杂性，其分级分类管理也较为复杂。既有与个人的身份、活动情况关联非常紧密的个人信息和个人隐私，也有关系到医院与金融机构作为运营主体的商业秘密数据，还有公共数据以及关系到国家传染病防控、国民健康状况等具有一定公共安全属性的数据。这几类数据除了受到医疗卫生相关法律法规、规范的约束外，还分别受到不同法律的约束。

1、健康医疗数据的分类

笔者认为，根据数据的不同属性，可以将健康医疗数据分为三大类：

（1）个人信息属性的数据

个人信息主体在进行健康体检、疾病诊疗、医疗保险、医疗支付过程中，会有大量的场景将自己的个人信息提供给诊疗机构、药店、保险公司、检验机构、金融支付机构。这些数据在《指南》中主要包括：个人属性数据、健康状况数据、医疗应用数据、医疗支付记录。

（2）诊疗机构或其他机构商业秘密范畴的数据

事实上，医疗应用数据、医疗支付记录数据具有双重属性。一方面，这些数据带有个人信息属性；另一方面，这些数据保存在医疗机构、金融机构，在进行必要的分析后，可以形成诊疗机构、金融机构对于一定诊疗方法或金融产品相关情况的总结和创新，从而具有商业或技术应用价值，并对提升该机构的竞争优势具有重要作用。

比如，对于医院而言，通过分析病历、用药信息、病程记录、手术记录等，可以对特定疾病的诊疗方法的有效性进行对比分析，也可以对特定药品的效用以及新药开发提供一定的支持。

对于金融机构而言，通过分析重大疾病险的投保与诊疗、理赔数据，可以对保险产品进行分析，并对保险费率的调整、新产品开发起到支持作用。

（3）公共属性的数据

这些数据主要包括两大类，一类是反映公共卫生资源的数据，如医院的基本数据、医院运营数据等。公共卫生资源数据有利于主管机关和社会公众了解公共卫生资源的分布、运营状况，其公共产品属性比较突出（参见吴卫明：《健康医疗数据的法律与合规问题探析（下）》）。

另一类则是与公共卫生情况紧密相关的数据，如环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。此类数据通常需要统计、溯源等方法获得，且会影响公众的情绪与社会稳定，其获取、发布有严格的流程等要求。

2、健康医疗数据的分级问题

按照《指南》的要求，根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级，一共分为五级。

当然，在健康医疗数据分级分类管理过程中，需要关注的是，按照《数据安全法》，重要数据目录由各部门负责制定。据此，可以看出，在数据分级分类管理过程中，应首先考虑重要数据问题。对于重要数据，按照其规则进行数据处理活动。

（未完待续）

本文系《健康医疗数据的法律与合规问题探析（下）》（作者吴卫明）一文的前半部分。在《健康医疗数据的法律与合规问题探析（下）》部分中，作者将系统论述：五、健康医疗数据的出境问题；六、医学教学中的隐私保护；七、健康医疗领域公共数据开放问题。