研究簡介
(一)研究背景
為了保護個人信息權益���,規(guī)范個人信息處理活動���,促進個人信息合理利用���,2021年8月20日,十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》����,該法已于2021年11月1日起施行?����!秱€人信息保護法》的實施將會對于健康醫(yī)療領域內(nèi)各類型企業(yè)的數(shù)據(jù)處理活動產(chǎn)生不同程度的影響��,為此本期白皮書在imit白皮書第三期《如何保護個人健康醫(yī)療信息���?》�����、imit白皮書第十期《促進健康醫(yī)療大數(shù)據(jù)規(guī)范化應用——開放數(shù)據(jù)的隱私安全保護》�、imit白皮書第十六期《新冠肺炎疫情防控中個人信息保護手冊》的基礎上�����,對個人信息保護法下的健康醫(yī)療領域的隱私保護變化進行新解讀����。
(二)研究目標
了解《個人信息保護法》重點內(nèi)容及對健康醫(yī)療領域數(shù)據(jù)合規(guī)利用帶來的影響。分析《個人信息保護法》下健康醫(yī)療數(shù)據(jù)個人信息保護要求���。梳理健康醫(yī)療領域個人信息保護現(xiàn)狀及進展�,為該法實施背景下的健康醫(yī)療數(shù)據(jù)應用個人信息保護實踐提供參考借鑒�����。
(三)研究方法
本研究通過對國內(nèi)外相關文獻和資料進行檢索和整理歸納分析��,同時對國內(nèi)有代表性的健康醫(yī)療數(shù)據(jù)處理企業(yè)開展調(diào)研��,深入了解健康醫(yī)療領域個人信息保護發(fā)展狀況��;聯(lián)合專業(yè)律師專家進行深入討論�����,分析個人信息法施行對健康醫(yī)療領域的影響���。
內(nèi)容摘要
(一)《個人信息保護法》概述
隨著信息化與經(jīng)濟社會持續(xù)深度融合�����,個人信息權益侵害事件頻發(fā)��,個人信息保護已成為廣大人民群眾最關心最直接最現(xiàn)實的利益問題之一��。制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求���,也是促進數(shù)字經(jīng)濟健康發(fā)展的重要舉措��。經(jīng)歷二十載的發(fā)展歷程���,《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)自2021年11月1日起正式施行?���!秱€人信息保護法》的實施確認了個人信息保護范圍,確立了個人信息處理活動基本原則���,對個人在個人信息處理活動中的權利進行充分的規(guī)定�����,明確了個人信息處理者的義務��、確定了職責部門與法律責任等����。自此����,我國形成了以《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》����、《個人信息保護法》為核心的網(wǎng)絡法律體系,為數(shù)據(jù)應用和個人信息權益保護提供了基礎制度保障�����。
(二)個人信息保護法下健康醫(yī)療數(shù)據(jù)管理新挑戰(zhàn)
目前國內(nèi)外對于健康醫(yī)療領域個人信息保護均未有專門立法�����,健康醫(yī)療領域?qū)τ趥€人信息的保護要求散見于法律���、部委/地方性法規(guī)和部委/地方性規(guī)章當中���。《個人信息保護法》的實施對于產(chǎn)業(yè)內(nèi)各類型企業(yè)的數(shù)據(jù)處理活動將會有不同程度的影響案例化解析醫(yī)療機構場景下的數(shù)據(jù)合規(guī)和個人信息保護要點��,主要包括要求企業(yè)需根據(jù)該法關于“個人信息”和“個人敏感信息”的定義對所處理的健康醫(yī)療數(shù)據(jù)進行識別并履行相應義務;采取相應的安全和技術措施確保個人信息活動符合法律�、行政法規(guī)的規(guī)定,防止未經(jīng)授權的訪問以及個人信息泄露�、篡改、丟失��;在發(fā)生個人信息的安全事件后���,依照過錯推定原則,企業(yè)需具備一定的舉證能力��。相關企業(yè)和從業(yè)者應當在原有健康醫(yī)療領域應用個人信息保護要求的基礎上����,結合《個人信息保護法》帶來的新要求,對健康醫(yī)療數(shù)據(jù)進行全生命周期的合規(guī)處理���,需關注各環(huán)節(jié)各有其合規(guī)要點��。
(三)健康醫(yī)療領域個人信息保護現(xiàn)狀與進展
目前�,區(qū)塊鏈技術應用在健康醫(yī)療領域個人信息保護研究熱度增長最快�,醫(yī)療大數(shù)據(jù)、電子病歷、電子健康檔案����、移動/互聯(lián)網(wǎng)醫(yī)療、物聯(lián)網(wǎng)等是個人信息保護研究熱點�����,近三年新增研究領域主要集中在疫情防控�����、數(shù)據(jù)共享中的隱私保護研究�����。醫(yī)院作為患者個人信息處理的主要機構����,尚未形成體系性的個人信息保護的管理制度��,不同醫(yī)療機構對于隱私安全認識與處理能力的差異較大����。電子病歷系統(tǒng)有待加強醫(yī)護人員對電子病歷隱私保護意識,電子健康檔案的進一步共享開放需進一步加強數(shù)據(jù)傳輸和訪問中的隱私安全?����;ヂ?lián)網(wǎng)醫(yī)療����、臨床科研和疫情防控作為重要的健康醫(yī)療領域個人隱私保護代表性場景,均存在不同程度制度可操作性不足及管理落實不到位問題����。技術方面,傳統(tǒng)隱私保護技術主要包括數(shù)據(jù)擾亂技術�����、數(shù)據(jù)加密技術����、數(shù)據(jù)匿名化技術和訪問控制技術,不同的隱私保護技術均有各自適用性與局限性��。區(qū)塊鏈技術和隱私計算是新型數(shù)據(jù)保護技術未來發(fā)展方向���。
(四)個人信息保護法下健康醫(yī)療領域隱私保護實踐
