有些人可能会认为,只有个人信息中的医疗才是健康医疗数据。到底是不是这样呢?
《个人信息保护法》2021年11月1日生效,再一次引发人们对健康医疗数据问题的关注。有些人可能会认为,只有个人信息中的医疗才是健康医疗数据。到底是不是这样呢?
近几个月,笔者参与了不少关于健康医疗数据保护的讲座和研讨会议。最深的一点感受是,都在说健康医疗数据,其实很多人弄不清到底所指为何。
笔者认为,开展健康医疗数据保护、制定合理可行的保护机制,第一步就得弄明白:到底什么是健康医疗数据?
其实《信息安全技术 健康医疗数据安全指南》GB/T 39725-2020(“指南”)中给健康医疗数据下了一个较为清晰明确的定义。
单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。
注:个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等,参见附录A。
个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。
示例:经过对群体健康医数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。
b)出于健康医疗目的,例如治疗、支付或保健护理等,分配给个人的唯一标识号码或符号等。
c)在向个人提供健康医疗服务过程中采集的有关个人的任何数据,例如既往病史、社会史、家族史、症状和生活方式等各类病历记载的数据。
d)来自身体部位或身体物质,例如组织、体液、血、尿、便、气体,以及DNA、RNA、蛋白质等生物大分子、代谢小分子、肠道微生物等检査或检验的结果数据。
2)或是由传感器采集的,并且可以单独或者与其他数据结合用来对可穿戴设备的用户的健康状况或者疾病风险进行判断的数据;
3)或是可穿戴设备采集的数据并且为对用户的健康状况或者疾病风险进行判断后的结论;
4)或是通过可穿戴设备相连的APP或者系统进行提供的,并非可穿戴设备使用者另行提供的。
f)接受的健康医疗服务相关数据,例如检验检查医嘱、诊断、操作、药物、医疗效果等。
i)医学科研相关数据,例如临床研究病例数据半岛电子、生物样本库、全基因组等多种生物组学测序结果医学相关队列研究结果等。
j)公共卫生与预防医学数据,例如半岛电子疾控中心、公共卫生管理部门收集的疾病卫生监测个人数据健康医疗。
k)妇幼保健数据,例如妇幼保健院、医疗卫生机构等收集的妇幼保健服务与健康管理数据。
《个人信息保护法》2021年11月1日即将生效,再一次引发人们对健康医疗数据问题的关注。《个人信息保护法》第28条明确提出,敏感个人信息包括医疗健康信息。有些人可能会认为,只有医疗健康个人信息才是健康医疗数据,需要关注和保半岛电子护。是不是这样呢?
《个人信息保护法》下的个人信息范畴,即使采“识别+关联”说,也仅能完全包含上述第1项,甚至无法完全涵盖个人健康医疗数据。
笔者认为,指南的分级分类方法的优点在于直观、简便,我们可以参照指南制定SOP,从而快速建立起管理机制。同时相较传统的绝密、机密、秘密的分类方法半岛电子,数据特点、适用场合、特征与案例等方面更为详实。
除上述分类方法外,还可以根据现行法规,将需要保护的健康医疗数据分为以下6类。需要说明的是,以下分类并不严格互斥,例如有些商业秘密或个人信息同时也是国家秘密,个人隐私和敏感个人信息重合度可能较高。
国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
例如,反应国家或某地区医疗卫生情况的特定数据,特定人类遗传资源大数据信息,《数据安全法》提出的国家核心数据,可能属于国家秘密。