行业合规|零氪科技IPO临门刹车,医疗数据合规不容忽视
2021-08-13 12:30:52 来源: 浏览:1次
行业合规|零氪科技IPO临门刹车,医疗数据合规不容忽视
7月9日晚,医疗大数据公司零氪科技紧急暂停赴美IPO,上市计划被延期。此前零氪科技的招股书显示,拟发行1080万股,发行区间为17.5美元到19.5美元,筹资约2亿美元,按发行价区间的中值计算,零氪科技估值15亿美元左右。
而如今,零氪科技凑热闹却收了个寂寞,上市计划的搁置,让这家飞奔的独角兽按下了猝不及防的“暂停键”。在此之前,国家对滴滴、满帮集团、BOSS直聘进行网络安全审查,这三家公司的共同点是都在今年6月赴美上市,并且有着海量数据的积累。如此看来,做医疗大数据的零氪科技,在此时被叫停上市也就不足为奇了。
“ 踩上了大数据的风口,又选择了肿瘤领域进行布局,加上明星资本为其“站台”,备受关注的上市计划按下暂停键,除了盈利模式以外,健康医疗数据的合规问题同样不可忽视。
与其他行业相比,健康医疗行业所涉及的信息更为敏感,除了用户信息以外,还包含健康医疗信息,以及可能涉及生物安全的人类遗传资源信息信息。而根据《生物安全法》的规定,生物安全与网络安全、数据安全一样,均是国家安全的重要组成部分。既然如此重要,那为了企业发展的长治久安,健康医疗数据不得不加以重视。”
01
—
什么是健康医疗数据?
健康医疗数据的范围
根据《信息安全技术 健康医疗数据安全指南》的规定,个人健康医疗数据包括但不限于:
提供健康医疗服务时登记的个人信息;
出于健康医疗目的,例如治疗、支付或保健护理等,分配给个人的唯一标识号码或符号等;
在向个人提供健康医疗服务过程中采集的有关个人的任何数据,例如既往病史、社会史、家族史、症状和生活方式等各类病历记载的数据;
来自身体部位或身体物质,例如组织、体液、血、尿、便、气体,以及DNA、RNA、蛋白质等生物大分子、代谢小分子、肠道微生物等检查或检验的结果数据;
可穿戴设备采集的与个人健康相关的数据,并且该种数据:
1)本身或者明显为健康医疗相关数据;
2)或是由传感器采集的,并且可以单独或者与其他数据结合用来对可穿戴设备的用户的健康状况或者疾病风险进行判断的数据;
3)或是可穿戴设备采集的数据并且为对用户的健康状况或者疾病风险进行判断后的结论;
4)或是通过可穿戴设备相连的APP或者系统进行提供的,并非可穿戴设备使用者另行提供的;
接受的健康医疗服务相关数据,例如检验检查医嘱、诊断、操作、药物、医疗效果等;
为个人提供健康医疗服务的服务者身份数据;
关于个人的支付或医保相关数据;
医学科研相关数据,例如临床研究病例数据、生物样本库、全基因组等多种生物组学测序结果、医学相关队列研究结果等;
公共卫生与预防医学数据,例如疾控中心、公共卫生管理部门收集的疾病卫生监测个人数据;
妇幼保健数据,例如妇幼保健院、医疗卫生机构等收集的妇幼保健服务与健康管理数据。
健康医疗数据的类别
数据类别
范围
个人属性数据
1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等;
2)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;
3)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等;
4)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;
5)个人健康监测传感设备ID等。
健康状况数据
主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。
医疗应用数据
门(急)诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等。
医疗支付数据
1)医疗交易信息,包括医保支付信息、交易金额、交易记录等;
2)保险信息,包括保险状态、保险金额等。
卫生资源数据
医院基本数据、医院运营数据等。
公共卫生数据
环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。
健康医疗数据的级别
根据数据重要程度和风险级别以及对个人健康医疗数据主体可能造成的损害以及影响的级别进行分级,例如数据划分为以下5级: 级别
定义
举例
使用范围
第1级
可完全公开使用的数据,以及可以通过公开途径获取的数据。
医院名称、地址、电话等。
直接在互联网上面向公众公开
第2级
可在较大范围内供访问使用的数据。
例如不能标识个人身份的数据。
各科室医生经过申请审批可以用于研究分析。
第3级
可在中等范围内供访问使用的数据,如果未经授权披露,可能对个人健康医疗数据主体造成中等程度的损害。
例如经过部分去标识化处理,但仍可能重标识的数据
仅限于获得授权的项目组范围内使用。
第4级
在较小范围内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害。
例如可以直接标识个人身份的数据。
仅限于参与诊疗活动的医护人员访问使用。
第5级
仅在极小范围内且在严格限制条件下供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成严重程度的损害。
例如特殊病种(例如艾滋病、性病)的详细资料。
仅限于主治医护人员访问且需要进行严格管控。
02
—
健康医疗数据安全的法律规范有哪些?
规范健康医疗数据的安全及应用的法、法规及标准性文件较为分散,结合健康医疗数据的类别、范围和来源的不同,所应依据的法律规范有所区别。对此,企业在合规管理过程中,应当依据健康医疗信息多样化的特点,分别和综合适用相应的法律规范。结合《民法典》、《数据安全法》、《网络安全法》、《生物安全法》、《人类遗传资源管理条例》、《人口健康信息管理办法(试行)》、《医疗机构病历管理规定》、《电子病历应用管理规范》、《信息安全技术 健康医疗数据安全指南》等相关法律规范的规定。按照数据性质类别划分,从健康医疗数据的敏感程度,以及对于国家安全的影响程度来看,健康医疗数据从公共卫生数据到人类遗传资源数据,从法律规范的收集、存储、适用、加工、共享到跨境流动等方面,在适用法律方面,体现为依次叠加递增的方式,也就是说以《网络安全法》、《数据安全法》为基础,逐步叠加适用。
法律适用中的关键点
涉及健康医疗领域的法律、法规及标准性文件众多,而健康医疗数据本身具有多样化的特征,因此在不同法律体系中又分属不同的类别,需要符合特定的法律规范性要求。在法律适用上应结合具体的业务场景,在庞杂的法规范上选择具体适用的法规标准,特别是要关注特殊数据的特定要求。
例如:医疗数据的来源和范围具有多样化的特征,包括病患数据、病历信息、医疗保险信息、健康日志、基因遗传、医学实验、临床数据、IVD及第三方检测数据、科研数据等。通过对目前颁行的医疗行业法律法规、标准和指南的归纳,医疗数据又可进一步细分为健康医疗大数据(患者数据)、个人健康医疗数据、医疗器械领域的健康数据;人口健康信息、个人健康生理信息;人类遗传资源;病历(电子病历)。而医疗数据在《民法典》、《网络安全法》以及《数据安全法》的体系中,又分属于个人信息中的敏感信息以及与国家安全、经济发展以及社会公共利益密切相关的重要数据。
在具体的业务活动中,要做到将法律规范性要求,落地成可执行的法律文件、技术方案及内部管理流程。
结合企业自身情况,及业务的发展阶段,在区分强制性法律法规,及非强制性的规范性文件,制定符合企业发展的安全治理方案,平衡经营发展与数据合规治理之间的关系。
03
—
健康医疗数据安全路在何方?
在数据流通使用场景中,结合数据流通的全链条分析,实现数据全生命周期的安全治理。
基于不同角色之间的数据流动,数据流通使用场景可分为以下6类:
1)主体-控制者间数据流通使用;
2)控制者-主体间数据流通使用;
3)控制者内部数据流通使用;
4)控制者-处理者间数据流通使用;
5)控制者间数据流通使用;
6)控制者-使用者间数据流通使用。
图表来源:《信息安全技术 健康医疗数据安全指南》
流通使用场景中,数据安全的关键要素
法律合规是前
1)业务场景合法性分析:结合具体应用场景选择适用法律,及数据本身的性质,根据适用法律梳理各节点的法律规范性要求;2)内部管理合法性分析:内部控制管理规范是否符合法律规范的要求,人员管理流程是否齐备其具有可执行性等;
3)技术措施和法性分析:数据安全及网络安全技术保障措施是否符合法律的规范性要求等。2. 技术措施是基础
在具体的业务场景中,将法律规范性要求落到到具体的技术保障措施中,包括器械终端安全、数据传输安全、数据分级、数据脱敏、访问控制、数据防泄露、事态监测、容灾备份、应急处理等技术保障措施。
场景分类
安全环节
安全责任与安全措施要点
场景与用户举例
主体-控制者间数据流通
采集安全
控制者:采集数据知情同意
场景举例:医生调阅、健康传感、移动应用
主体:个人
控制者:医疗机构、科研机构、医保机构、商业保险公司、健康服务企业
传输安全
控制者:加密、存储介质管控
存储安全
控制者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控
控制者-主体间数据流通
传输安全
控制者:加密、存储介质管控
场景举例:患者查询
主体:个人
控制者:医疗机构
使用安全
控制者:身份鉴别、访问控制、敏感数据控制
控制者内部数据使用
收集安全
控制者:收集数据知情同意、审批
场景举例:内部数据使用
控制者:医疗机构
处理安全
处理者:去标识化、权限管理、质量管理、元数据管理
使用安全
控制者:审批授权、身份鉴别、访问控制、审计
存储安全
控制者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控
控制者-处理者间数据流通
传输安全
控制者:传输前的审查、评估、授权;加密、审计、流量控制、存储介质管控
处理者:数据传输加密、传输方式控制
场景举例:医疗器械维护
控制者:医疗机构、政府机构
处理者:科研机构、健康医疗信息服务企业、医疗器械厂商
处理安全
处理者:去标识化、权限管理、质量管理、元数据管理、审计
存储安全
控制者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、管理处理者数据存储过程
处理者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制
控制者间数据流通
传输安全
控制者A:对接安全、加密、审计、流量控制、存储介质管控
控制者B:对接安全、加密、审计、流量控制、存储介质管控
场景举例:互联互通;远程医疗
控制者:政府机构、医疗机构、医保机构
使用安全
控制者A:审批授权、身份鉴别、访问控制、审计
控制者B:审批授权、身份鉴别、访问控制、审计
存储安全
控制者A:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制
控制者B:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制
控制者-使用者间数据流通
传输安全
控制者:传输前的审查、评估、授权;加密、审计、流量控制、存储介质管控
场景举例:商业保险对接、临床研究、二次利用
控制者:医疗机构
使用者:商业保险公司、科研机构
使用安全
使用者:审批授权、身份鉴别、访问控制、审计
存储安全
控制者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、管理使用者数据存储过程
使用者:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制
3.管理措施是保障
有完善的管理制度及有可落地实施的全流通:企业应当结合自身的业务场景要求及机构组织特点,建立健全包括数据收集、传输、存储、共享在内的全流程数据安全管理制度。一般而言,企业的数据安全制度应当从安全责任组织管理、员工访问权限管理、信息系统安全管理、应急事件管理等多个维度全面规范企业日常经营流程,根据自身实际设立针对数据安全事件的监测、预警机制、应对数据安全事件的应急响应、报告机制,以及日常数据安全培训、演练机制,提高自身数据安全能力。
实现安全管理的方式
以数据安全评估为切入点,结合企业的具体业务场景及法律法规的规范性要求寻找合规差异。通过法律部门、技术部门、业务部门、人力资源管理部门等多部门协作的方式制定完善措施,通过必要的监测评估及认证,实现数据安全的合规治理目标。
作者:温子瑜律师
北京市盈科律师事务所合伙人
北京市律师协会科技与大数据专业委员会委员
业务领域:公司法律顾问;企业投融资;数据合规及网络安全等
往期文章:
法律解读|《数据安全法》解读之五 法律责任
法律解读|《数据安全法》解读之四 政务数据的利用法律解读|《数据安全法》解读之三数据安全制度与义务
法律解读|《数据安全法》解读之二 数据安全的发展
法律解读|《数据安全法》解读之一 总则概述转发|杭州互联网法院发布服务保障数字经济发展十大典型
新法解读|解读《网络信息内容生态治理规定》第二期 之 逐条图解
新法解读|解读《网络信息内容生态治理规定》下的平台责任
