如果仅仅从健康医疗数据的内涵看,虽然此类数据的内涵较为复杂,但总体范围比较清晰。但是,由于健康医疗数据还涉及其他的复杂因素,因而其合规态势比一般的数据领域更为复杂,合规需要考虑的问题更为复杂(参见吴卫明:《健康医疗数据的法律与合规问题探析(下)》)。
1、所涉主体的复杂性
健康医疗数据所涉及的主体具有高度的复杂性,包括自然人、医院、医生、检测检验机构、医疗器械企业、药店、医疗信息化服务商、医保中心、卫生行政监管部门、保险公司、支付机构等。
因为健康诊疗行为的对象是自然人,因此,个人信息是健康诊疗数据的核心,也是数据的最重要来源。但是,也要看到,健康医疗数据是多机构与自然人之间、以及各个机构相互之间信息交互而产生的。不同主体在健康医疗数据处理的过程中,扮演着不同的角色。
比如,医疗机构一般是诊疗过程中最为直接的数据处理者,但医疗机构的部分检验、监测环节可能会外包给其他专业机构的,这就涉及到个人信息的保护问题。
再如,医疗费用的结算环节,既会涉及到患者自己的费用支出,也会涉及医保中心的费用审核与拨付。如果存在商业保险,还会涉及保险公司对于健康医疗数据的审核。
此外,随着医疗与药品销售的分离,医疗机构通过处方共享平台与药店共享处方,也涉及到健康医疗数据的保护问题。
除了上述直接或间接提供医疗服务、医保与商业保险服务、支付服务、药品销售服务的机构外,为互联网医疗及医疗信息化提供网络平台、SAAS平台、云服务的机构,作为相关主体,也会与健康医疗数据产生一定的交集。
2、医疗模式的创新性
随着互联网及信息技术在健康医疗行业的应用,医疗的模式也在不断创新,医疗健康数据的场景愈发丰富。从原有的医疗机构、医保中心、药店等为主要应用场景,逐步衍生出了其他的应用场景(参见吴卫明:《健康医疗数据的法律与合规问题探析(下)》)。
(1)可穿戴设备模式
比如,在可穿戴设备日益成熟的技术背景下,可以测量脉搏、体温及其他生理指标的可穿戴设备也成为了重要的健康医疗数据收集场景。而为这些设备提供远程支持的生产厂家或服务商,也可能会成为新类型的健康医疗数据的处理者。
(2)中心医院+社区医院模式
在中心医院加社区医院、乡村医院的资源共享模式下,除了直接提供医疗服务的社区医院和乡村医院外,中心医院也会成为数据处理者。
(3)诊疗+AI辅助
在一些特定的疾病诊疗领域,AI辅助诊疗技术的应用日趋广泛,这一过程中,也可能会涉及健康医疗数据的处理与保护。
3、价值判断的复杂性
与一般的数据相比,健康医疗数据还涉及价值判断的问题。主要包括:
(1)伦理判断
与其他场景所涉数据处理对比,健康医疗数据的处理中,伦理判断是其重要的特征。按照国家相关法律法规的规定,涉及人的生物医学研究过程中,应进行伦理审查。并且将采用流行病学、社会学、心理学等方法收集、记录、使用、报告或者储存有关人的样本、医疗记录、行为等科学研究资料的活动,纳入了需要进行伦理审查的生物医学研究活动。相关医学研究机构的伦理委员会进行伦理审查时,应遵循保护隐私原则。如实将受试者个人信息的储存、使用及保密措施情况告知受试者,未经授权不得将受试者个人信息向第三方透露(参见吴卫明:《健康医疗数据的法律与合规问题探析(下)》)。
(2)人类遗传资源安全问题
诊疗活动过程中,因检验、检测、治疗需要,医疗机构有机会获取人体血液、细胞、组织等样本,这些样本中所含人类遗传资源的运用,可能会影像公众安全或国家安全。因此,我国制定了生物安全方面的专门法律,国务院也出台了《中华人民共和国人类遗传资源管理条例》,专门对人类遗传资源,以及人类遗传资源所涉及的信息进行监管。
健康医疗数据合规管理过程中,人类遗传资源管控,以及由此带来的生物安全问题,也是此类数据管理中需要考虑的重大价值判断。
4、管控方式的复杂性
医疗诊疗活动的对象是人本身,所以其业务形态中,通过线下与患者或检测对象进行接触,是行业的重要特点,这一点,与互联网行业主要依赖在线活动不同。因此,其数据的管控也更为复杂(可参见吴卫明:《健康医疗数据的法律与合规问题探析(下)》)。
(1)不同机构的差异
健康医疗数据的处理过程中,可能涉及不同的机构,其对于数据的管控也会存在很大的差异。如对于检验机构和诊疗机构而言,其用户的基本身份数据,既有来自于互联网导流和预约渠道,也有来自于医院窗口。而诊疗过程中的记录,除了病历、检验单据、处方的书面记载外,还在医院的信息化系统中记载。
而对于医保中心、支付等机构,其处理的数据主要记载于计算机信息系统中,因而主要是在线处理的数据。
(2)业务模式不同