近年来,随着信息技术的飞速发展,医疗健康数据的交易流通已成为推动医疗信息化和智慧医疗发展的重要力量。由于医疗健康数据的敏感性、重要性以及医疗系统的复杂性,医疗健康数据的保护和利用成为合规审查的关键领域。《网络安全法》《个人信息保护法》《数据安全法》等相关法律法规成为医疗健康数据合规审查领域的基础法律。
由吉林省律协及长春市数据创新研究院联合起草,本所参与制定发布的《长春市数据流通交易规范评估指引》为医疗健康数据交易提供了明确的法律框架和技术指引,确保医疗健康数据交易的合法性和安全性。
本文将结合该指引,探讨长春市医疗健康数据交易流通的审查要点,并提出实践建议。
01
合规审查要点
(一)主体合法性审查
数据交易主体需具备合法资质,包括在中国境内合法注册并有效存续的法人或非法人组织。法定代表人、董事、监事等关键人员应无重大数据类违法违规行为,未被列为失信被执行人。主体需具备良好的商业信誉,近两年内未因数据安全、个人信息泄露等问题受到行政处罚,不存在影响持续经营的重大财务风险或法律纠纷。
(二)数据安全能力审查
数据交易方需构建完善的数据安全组织架构,明确各部门职责,制定并执行数据安全管理制度,定期开展数据安全培训。在数据分类分级管理方面,应依据国家和行业标准,结合自身业务特点,建立管理体系,明确数据的敏感程度和保护措施。对于数据全生命周期管理,要涵盖数据收集、存储、使用、加工、传输、提供、公开、删除等环节,制定相应的安全策略和操作规范流程。同时,需制定数据安全事件应急预案,定期开展应急演练,记录演练情况。在合作方安全管理上,对合作方进行数据安全能力审查,签署数据安全协议,明确合作方的数据安全责任。技术保护能力方面,部署加密存储、身份鉴别、访问控制等安全保护措施,定期进行漏洞管理和安全更新。
(三)数据来源合法性审查
对于公开收集的数据,需确保抓取主体合法,抓取内容不涉及商业秘密、受著作权保护的作品或限制商业用途的数据,抓取方式不干扰被收集网站正常运行,不使用非法手段获取数据。自行生产的数据,要保证生产过程独立,不侵犯第三方权益,生产数据所使用的设备或应用合法合规。合约获取的数据,审查数据采购或共享协议是否完整、真实、有效,协议是否明确数据的使用目的、范围和限制,双方是否具备处理该类数据所需的资质,数据来源方是否承诺数据获取渠道合法、权利清晰无争议。涉及个人信息的数据,处理需遵循合法、正当、必要原则,向个人信息主体告知处理目的、方式,取得其同意或单独同意,建立个人信息保护制度体系,开展个人信息保护影响评估,允许个人信息主体撤回同意并停止处理或删除个人信息。
(四)数据内容合法性审查
数据内容不得违反宪法和法律法规,不涉及危害国家安全、泄露国家秘密、损害国家荣誉和利益、宣扬恐怖主义、极端主义、民族歧视、破坏宗教政策、散布谣言、淫秽色情、侮辱诽谤他人等违法违规内容。对于重要数据,审查数据处理目的、方式、范围是否合法、正当、必要,数据处理方是否具备数据安全保护能力,数据流通交易过程中安全管理和技术措施能否防范数据泄露、毁损、篡改、滥用等风险。数据提供方通过加工处理形成的数据产品或服务,审查数据处理方式是否侵犯第三方合法权益,是否符合数据安全、隐私保护、网络安全等相关法律法规要求,是否采取脱敏、清洗、整合等技术手段确保数据合法性和安全性。应用场景需符合法律法规及行业主管部门监管要求,特殊应用场景需获得审批。跨境交易数据,严格遵循数据出境安全评估、个人信息出境标准合同备案或个人信息保护认证等法定程序,确保数据出境活动合法合规。
(五)数据流通交易协议审查
数据交易协议是规范交易双方权利义务的重要文件,审查时需重点关注协议是否明确数据的用途、使用范围、交付方式、使用期限等关键要素,是否包含数据安全保护条款,明确双方在数据安全保护方面的权利和义务。同时,协议应包含争议解决机制,明确纠纷处理方式,确保在发生争议时能够依法依规妥善解决。
02
合规发展实践建议
(一)强化合规意识与文化建设
医疗机构及相关主体需深刻认识到医疗健康数据合规的重要性,将数据合规纳入机构的核心业务范畴,而非视为次要任务。通过管理层的引领和推动,自上而下地提升全体员工的数据合规意识,形成以患者为中心的医疗健康数据合规文化。在具体执行层面,将数据合规要求融入绩效考核、奖惩制度,定期开展合规培训和测试,确保每一位员工都能在日常工作中自觉遵守数据合规规定。
(二)完善合规管理体系
建立健全医疗健康数据合规管理体系,涵盖内部管理制度、组织架构、技术保障等多方面。制定详细的数据合规管理制度,明确数据收集、存储、使用、共享等各环节的操作规范和审批流程;设立专门的数据合规管理岗位或部门,配备专业人员负责监督和执行数据合规工作;加大技术投入,引入先进的数据安全技术,如加密技术、访问控制技术、数据脱敏技术等,为医疗健康数据的安全流通提供坚实的技术支撑。
(三)加强多方协作与监管
医疗健康数据交易流通涉及多个主体和环节,需要政府、医疗机构、数据需求方、第三方服务机构等各方加强协作与配合。政府部门应加强对医疗健康数据交易的监管力度,建立健全监管机制,及时发现和纠正违规行为;医疗机构和数据需求方应加强沟通与合作,共同制定数据交易规则和安全协议,确保数据交易的合法性和安全性;第三方服务机构应充分发挥专业优势,为医疗健康数据交易提供数据评估、安全检测、法律咨询等服务,促进医疗健康数据交易市场的健康发展。
(四)动态跟踪法规政策变化
医疗健康数据领域的法律法规和政策不断更新和完善,医疗机构及相关主体需密切关注法规政策动态,及时调整和优化自身的数据合规策略。建立法规政策跟踪机制,定期组织学习和解读最新法规政策,确保数据合规工作始终与国家法律法规和政策要求保持一致。
03
法律服务对合规实践的支撑与赋能
1.数据交易规则设计与数据资源入表
协助政府制定数据交易市场管理办法,明确数据权属界定、交易流程。起草数据资产登记、评估、交易合同范本。
数据资源入表,审核敏感数据采集和处理的合法性,确保符合相关法规。明确数据权属,解决跨部门和跨地域的数据所有权问题。
2.公共数据授权运营合规化
设计政务数据开放法律框架,制定数据分级分类授权协议模板。为政府提供数据开放中的隐私保护合规审查。
3.企业全生命周期数据合规与风控
企业数据盘点与治理:通过深入了解客户行业和公司情况,梳理业务流程和数据流向,建立完整的数据分类分级体系。
实施全方位的合规体系建设,包括完善制度文件、优化合同条款、建立数据安全监测机制等。
商业秘密保护体系搭建:全面梳理企业核心技术、经营信息和客户数据,识别关键商业秘密,相关制度、保密协议等文件起草与修订。制定针对性的数据脱敏和匿名化策略,降低信息泄露风险。
4.数据资产化法律支持
设计数据资产入表法律路径,解决数据权属确认、收益分配等核心问题。参与数据资产质押融资业务模式设计,完善法律保障机制。
5.数据产品合规评估与挂牌
对数据产品进行全面合规评估,包括数据来源合法性、脱敏处理有效性、隐私保护措施等方面出具意见。
6.争议解决与权益保护
数据纠纷多元化解:建立数据纠纷调解中心,提供仲裁/诉讼前协商服务。代理数据侵权案件。
7.政府决策与治理支持
地方立法与政策制定:参与起草地方数据条例,平衡创新与安全监管。对政府数据开放、智慧城市项目进行法律风险评估。
8.数据安全治理体系构建
协助建立数据安全审计制度,设计第三方服务机构安全责任清单。开展数据安全能力评估,助力企业通过认证。
在当前数据驱动的新经济模式下,功承瀛泰数据法律专业委员会以其深厚的专业知识和丰富的行业经验,成为推动数据领域发展的重要力量,在数据规范评估领域的立法论证、标准制定与研讨活动中积累了丰富的经验,为客户提供全方位的数据规范评估服务。
04
结语
医疗健康数据具有显著的多来源、异结构、强敏感性、高风险等特征,致使其流通交易技术难度大、合规风险大,需构建“合规治理为基、技术创新为翼、生态协同为脉”的发展体系。
长春市数据交易流通规范为医疗健康数据交易提供了明确的审查指引,对于保障医疗健康数据交易的合法性和安全性具有重要意义。医疗机构及相关主体应严格遵循审查要点,从主体合法性、数据安全能力、数据来源合法性、数据内容合法性、数据流通交易协议等方面进行全面审查,确保医疗健康数据交易活动的合规性。同时,结合实践案例,不断总结经验教训,强化合规意识与文化建设,完善合规管理体系,加强多方协作与监管,动态跟踪法规政策变化,共同推动长春市医疗健康数据交易市场的健康、有序发展,为“健康中国2030”战略实施提供强大的数据动能。
END
特别声明:
上海功承瀛泰(长春)律师事务所官方微信订阅号(“本微信”)观点类文章旨在分享、交流之用,所涉及的内容仅供参考,不构成该内容的正式法律意见或者法律解读,亦不构成法律咨询意见或者其他意见,对任何因直接或间接使用本微信涉及的信息和内容所造成的一切后果由行为人自行负责。如需专业法律意见或法律解决方案,请与本所联系。
