卫健委明确健康医疗大数据需境内存储

卫健委明确：健康医疗大数据需境内存储

——简评《国家健康医疗大数据标准、安全和服务管理办法（试行）》

安杰律师事务所杨洪泉陈扬

2018年9月15日，国家卫生健康委员会（“卫健委”）在其官网发布了《国家健康医疗大数据标准、安全和服务管理办法（试行）》（“《管理办法》”）。《管理办法》已于2018年7月12日生效并施行。《管理办法》将对医疗卫生行业数据和网络安全实践产生深远的影响。本文对《管理办法》的立法背景和重要内容进行解读，并对医疗卫生单位和相关企事业单位可能面临的监管趋势进行预判。

一、立法背景

2016年颁布的《中华人民共和国网络安全法》（“《网络安全法》”）第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”本条虽然只有寥寥数语，却涵盖了“关键信息基础设施”、“重要数据”、“境内存储”、“数据出境安全评估”几个重要概念，而由此而引起的数据本地化存储和数据出境问题已成为企业数据和网络安全合规中最为关注的风险点。

2017年4月11日，国家互联网信息办公室（网信办）公布《个人信息和重要数据出境安全评估办法（征求意见稿）》（“《评估办法》”），将数据出境安全评估的责任主体由关键信息基础设施运营者扩展至所有网络运营者，并规定了安全评估的适用范围、评估程序、监管机构、评估内容等基本规则。2017年5月27日，全国信息安全标准化技术委员会（信安标委）发布《信息安全技术数据出境安全评估指南（草案）》（“《评估指南》”），并于同年8月又发布了《评估指南》第二稿。该《评估指南》对境内运营、数据出境、重要数据等概念进行了明确，对安全评估予以细化。

2018年7月，网信办公布《关键信息基础设施安全保护条例（征求意见稿）》（“CII 条例”），其中规定：“下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位……”

尽管《评估办法》、《评估指南》和《CII条例》尚未正式颁布，有关中国关键信息基础设施及数据出境的法律框架未能得窥全貌，但根据上述几个征求意见稿以及《网络安全法》的原则性规定不难看出，医疗卫生单位将被纳入“关键信息基础设施运营者”的范畴进行管理，并将承担数据本地化、数据出境安全评估等法律义务。

在上述背景下，卫健委根据《网络安全法》等法律法规和《国务院关于印发深化标准化工作改革方案的通知》、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》、《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件，结合福建、江苏、山东、安徽、贵州五省健康医疗大数据中心试点的经验，研究制定了《管理办法》，对健康医疗大数据从适用范围、标准管理、安全管理和服务管理等方面进行规范。

二、适用范围

健康医疗大数据是国家重要的基础性战略资源，《管理办法》第四条规定“本办法所称健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。”从文义来看，“健康医疗大数据”的定义较为宽泛，既包括具体到人的微观数据，也包括统计、分析类型的宏观数据。此外，医疗卫生机构日常处理的患者诊疗和病历信息是应有之义，但该定义似乎也可涵盖药品、医疗器械企业掌握的和患者/试验对象有关的临床试验数据、不良反应数据、政府和相关机构掌握的人口健康数据、遗传资源数据等。但上述各类数据在实践中是否按《管理办法》由卫生健康行政部门监管，或是按其他监管部门（例如药监局）的有关规定进行监管，仍有待观察。

《管理办法》第五条规定“本办法适用于县级以上卫生健康行政部门（含中医药主管部门，下同）、各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的管理。”第六条规定：“各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。”由于《管理办法》将模糊的“相关企事业单位”也纳入“责任单位”的范围，我们认为，在实践中“企事业单位”是否将受《管理办法》规范，将取决于此类企事业单位是否处理“健康医疗大数据”。

由于“健康医疗大数据”和“相关企事业单位”的定义较为宽泛，制药企业及医疗器械企业需特别关注是否其是否处理健康医疗大数据、是否有可能被认为是“责任单位”

并承担《管理办法》下的诸多义务。

三、标准管理

《管理办法》明确了开展健康医疗大数据标准管理工作的原则，以及各级卫生健康行政部门的工作职责。根据《管理办法》的要求，卫健委将发挥统筹领导作用，卫生健康行政部门应当对健康医疗大数据标准的实施加强引导和监督，卫健委鼓励医疗卫生机构、科研教育单位、相关企业或行业协会、社会团体等参与健康医疗大数据标准制定工作。公民、法人或者其他组织可提出制修订健康医疗大数据标准的立项建议，并提交相

应标准项目建议书。同时，卫健委提倡多方参与协作机制，由各相关单位组成协作组参与标准起草工作。

四、安全管理

针对健康医疗大数据的安全管理，卫健委明确了健康医疗大数据安全管理的范畴，要求责任单位建立健全相关安全管理制度、操作规程和技术规范、落实“一把手”负责制、加强安全保障体系建设，保障健康医疗大数据安全。涉及国家秘密的健康医疗大数据的安全、管理和使用等，按照国家有关保密规定执行。

《管理办法》规定责任单位需遵守的具体安全管理要求主要包括：

•【数据分类、备份和加密认证】采取数据分类、重要数据备份、加密认证等措施保障健康医疗大数据安全。

•【数据容灾备份】建立可靠的数据容灾备份工作机制，定期进行备份和恢复检测，确保数据能够及时、完整、准确恢复，实现长期保存和历史数据的归档管理。

•【等级保护和关键信息基础设施管理】按照国家网络安全等级保护制度要求，加强健康医疗大数据相关系统安全保障体系建设，提升关键信息基础设施和重要信息

系统的安全防护能力，确保健康医疗大数据关键信息基础设施和核心系统安全可控。

健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作。

•【产品和服务提供者遵守网络安全审查制度】健康医疗大数据相关系统的产品和服务提供者应当遵守国家有关网络安全审查制度，不得中断或者变相中断合理的技

术支持与服务，并应当为健康医疗大数据在不同系统间的交互、共享和运营提供安

全与便利条件。

•【依法使用健康医疗大数据、保护公民隐私】依法依规使用健康医疗大数据有关信息，提供安全的信息查询和复制渠道，确保公民隐私保护和数据安全。

•【在授权范围内使用健康医疗大数据】严格规范不同等级用户的数据接入和使用权限，并确保数据在授权范围内使用。任何单位和个人不得擅自利用和发布未经授

权或超出授权范围的健康医疗大数据，不得使用非法手段获取数据。

•【电子实名认证和数据访问控制】建立严格的电子实名认证和数据访问控制，规范数据接入、使用和销毁过程的痕迹管理，确保健康医疗大数据访问行为可管、可

控及服务管理全程留痕，可查询、可追溯，对任何数据泄密泄露事故及风险可追溯

到相关责任单位和责任人。

•【人才培养和人员资质】建立健全健康医疗大数据安全管理人才培养机制，确保相关从业人员具备健康医疗大数据安全管理所要求的知识和技能。

•【安全检测和预警】建立健康医疗大数据安全监测和预警系统，建立网络安全通报和应急处置联动机制，开展数据安全规范和技术规范的研究工作，不断丰富网络

安全相关的标准规范体系，重点防范数据资源的集聚性风险和新技术应用的潜在性