半岛电子半岛电子2020年8月19日,国家健康医疗大数据研究院正式成立。国家健康医疗大数据研究院正式成立标志着中国将进一步大力推进政府健康医疗信息系统和公共健康医疗数据互联、融合、开放、共享。健康医疗大数据的应用成为“互联网+医疗健康”产业链条中的关键一环,将强力助推整个“互联网+医疗健康”产业的发展。
然而,基于我们对这些年的政策导向分析,我们认为中国在促进“互联网+医疗健康”发展的同时,一直在坚持鼓励创新、包容审慎的政策导向。相关监管机构在数据安全、网络安全和用户隐私保护的监管上呈现出升级的态势。数据合规的挑战将一直伴随“互联网+医疗健康”产业的健康发展。例如,国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现,叮当快药、好大夫、智慧好医院等多款涉及“互联网+医疗健康”移动应用存在涉嫌侵犯用户隐私的不合规行为,并对这些应用进行通报下架处理。
经过数年的探索,中国“互联网+医疗健康”行业在2018年终于迎来了发展的里程碑,在政策、资本和技术等多个层面,均取得了长足的进步。在2018年3月举行的全国两会上,传出了明确的政策信号,政府将会鼓励“互联网+医疗健康”发展。两会过后一个多月,国务院办公厅在2018年4月印发的《关于促进“互联网+医疗健康”行业发展的意见》(以下简称“意见”)为中国“互联网+医疗健康”行业的发展指明了方向。
意见明确指出,要从“健全服务体系,完善支撑体系,加强行业监管和安全保障”三个方面出发,推动互联网技术在医疗健康领域的应用。该文件的发布,标志着经过多年的探索和争议,互联网正式成为改善和提升医疗服务的重要手段。
作为医疗卫生行政主管部门的国家卫健委,在这个过程中,也体现出充分的政策连续性和对于新商业模式的包容审慎性半岛电子。2015年以来出台的多个政策文件和“十三五”相关的规划中,都明确提出要“发展基于互联网的医疗卫生服务”,并陆续出台相关的配套政策。我们认为,其在2018年9月14日公布的三个文件《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》和《远程医疗服务管理规范(试行)》为“互联网+医疗健康”行业发展的提供了明确的合规指引。国家药品监督管理局于2020年11月12日发布的《药品网络销售监督管理办法(征求意见稿)》将开放网络销售处方药的通道,这无疑将在互联网上向“医疗-医药-医保”三医联动体系的形成迈出坚实的一步,进一步激发医药电商、药品的研发生产机构、药品的销售配送机构加快布局“互联网+医疗健康”的赛道。
资本市场的红利来得更早一些。早在2018年2月,香港联合交易所发布了《新兴及创新产业公司上市制度》的市场咨询文件,拟在《香港联合交易所有限公司证券上市规则》中新增两个章节,分别落实生物科技、不同投票权架构以及新设便利第二上市渠道三项建议。该规则修订生效后第4天,中国平安旗下的“平安好医生”即成功IPO,成为2018年第一只在港交所挂牌上市的科技独角兽。在“平安好医生”后,多家“互联网+医疗健康”也纷纷将纳斯达克和港交所作为IPO的选择,而上交所在2018年底宣布设立科创板也让“互联网+医疗健康”企业在二级市场又有了新的选择。阿里健康、春雨医生、京东健康等“互联网+医疗健康”企业在资本的强力助力下也得到了蓬勃发展。
我们认为,上述政策、法律法规的出台,不仅是“互联网+医疗健康”服务能够合规的通过互联网进行开展的标志,也是“健康中国2030”行动进入实施阶段的重要保障措施,是实现“以治病为中心向以健康为中心转变的”的关键措施之一。
医疗数据互联互通、电子健康档案的动态结构化录入和可携带等是“互联网+医疗健康”行业可持续发展必须要解决的关键问题,这也是一直以来制约中国“互联网+医疗健康”迅速发展的瓶颈。如何打通互联网医疗平台机构现有的数据结构和医疗机构使用的数据结构,并且解决数据的互通和互操作,将是这些机构进入诊疗环节后必须解决的问题。
国家也已经意识到上述问题对“互联网+医疗健康”行业发展的重要性,自2015年起国家就陆续发布了《促进大数据发展行动纲要》、《关于促进和规范健康医疗大数据应用发展的指导意见》、《“健康中国2030”规划纲要》等政策文件。这些政策文件旨在推动健康医疗大数据资源共享开放、培育健康医疗大数据应用新业态、发展智慧健康医疗便民惠民服务。强调要推进基于区域人口健康信息平台的医疗健康大数据开发共享、深度挖掘和广泛应用。消除数据壁垒,建立跨部门、跨领域密切配合,统一归口的健康医疗数据共享机制。在2018年政府工作报告中,总理明确提出要实施大数据发展行动,加强新一代人工智能的研发与应用,在医疗、养老等多个领域推进“互联网+”进程。
国家卫健委也意识到建立健康医疗数据共享机制的重要性,于2018年出台了一系列与医院信息化系统建设、电子病历档案等与“互联网+医疗健康”应用密切相关的政策文件。其中《全国医院信息化建设标准与规范(试行)》,对各级医院的信息化建设提出了明确的标准。2018年7月,国家卫健委发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》(以下简称“《管理办法》”),《管理办法》是健康医疗大数据发展中的重要里程碑,其是促使“互联网+医疗健康”落地的重要举措。其不仅为健康医疗大数据指定了标准,明确了健康医疗大数据的定义、内涵和外延,还通过该管理办法的总体思路、目的依据、适用范围、遵循原则等,进一步规范医疗行业数据的管理。
目前,国家正依托电子政务外网和统一数据共享交换平台,全面建设互通共享的公共卫生、计划生育、医疗服务、药品供应、综合管理等应用信息系统。健康医疗海量数据存储清洗、分析挖掘、安全隐私保护等关键技术的攻关,将促进健康医疗业务与大数据技术深度融合,加快健康医疗与养生、养老、家政等服务业协同发展。基于信息技术、互联网技术、大数据技术等技术升级,大健康领域产业宏观闭环发生了变化。“健康管理及医疗服务+健康医疗大数据+社保和商保”的宏观闭环已经形成。
2020年10月1日,《山东省健康医疗大数据管理办法》开始实施,对山东省行政区域内健康医疗大数据的采集、汇聚、存储、开发、应用及其监督管理等活动,给出了明确规范。提出建立健康医疗大数据共享开放机制,明确共享开放的具体规定和评估机制。政府举办的医疗卫生机构和国有健康服务企业,应当依法将其提供服务产生的健康医疗相关数据汇总到健康医疗大数据平台。2020年11月24日, 国家药品监督管理局印发《真实世界数据用于医疗器械临床评价技术指导原则(试行)》,旨在促进“传统临床试验以外的,从多种来源收集的各种与患者健康状况和/或常规诊疗及保健有关的数据”用于医疗器械全生命周期临床评价,包括上市前临床评价及上市后临床评价。我们认为,这些法规的颁布无疑将大力促进健康医疗大数据在实践中的应用,进一步在实践中形成大健康领域产业宏观闭环。
中国在医疗数据资源的总量上有无与伦比的先天优势,但科室、地区壁垒长期存在,目前对于数据的定义和利用机制在实践中尚未形成,高质量医疗数据获取较为困难,高度依赖企业自身能力。同时,各级医院信息化标准不同、水准不一、设备各异,医疗数据质量参差不齐,在没有经过人工智能技术处理之前难以利用。受制于数据瓶颈,健康医疗大数据尚无互联互通相关标准规范的现状医疗健康,相关的人工智能训练,也普遍面临缺乏高质量数据的窘境。因此,健康医疗大数据互联互通相关标准规范的具体落地将对各个“互联网+医疗健康”企业的发展具有非常重要的影响。
在各大互联网健康医疗行业从业者以互联网医院建设作为完成商业闭环的重要契机的同时,随着互联网诊疗的合规化,这一领域的安全监管逐渐走向体系化。现阶段的监管主要包括对互联网诊疗行为实施线上线下一致化的医疗质量监管,对互联网诊疗全程留痕的监管平台数据接入,对医生身份、电子处方真实性进行电子签名的认证管理,对互联网诊疗平台网络安全性进行管理的安全监督平台,以及对用户隐私和数据安全进行保护的监管。总体上,这些功能大部分会集成在各地的监管平台中。我们认为,新的“互联网+医疗健康”业态,正在带来“互联网+医疗健康”的监管升级,其安全监管将会由各省的监管平台升级为全国的健康医疗大数据区域中心进行安全监管,而监管的完善程度,将是决定行业发展高度的重要因素。
国家发布的所有涉及健康医疗大数据的政策文件中均强调需要制定分级、分类、分域的数据应用政策规范,推进网络可信体系建设,注重内容安全、数据安全和技术安全,加强健康医疗数据安全保障和患者隐私保护,加强互联网健康服务监管。上述管理办法明确了健康医疗大数据安全管理的范畴,是在数据采集、存储、挖掘、应用、运营、传输等多个环节中的安全管理。并明确实施健康医疗大数据管理和服务,应遵循医学伦理原则,保护个人隐私。
《管理办法》强调了健康医疗大数据安全和应用管理单位的主体责任。要求责任单位建立健全实名认证访问控制机制、网络安全通报机制和应急处置联动机制,定期对相关信息系统开展定级、备案和测评工作,严格落实网络安全等级保护制度,切实加强容灾备份、加密认证、准确恢复等安全保障措施。但具体的操作标准性文件尚在制定过程中。
《中华人民共和国网络安全法》已于2017年6月正式生效;2020年7月3日,《数据安全法(草案)》在中国人大网公布,面向社会征求意见;2020年10月21日,全国人大常委审议后的《个人信息保护法(草案)》正式对外发布征求意见,这标志着中国的个人信息保护制度即将进入新的里程碑。上述法律(草案)的公布已经引起社会广泛关注。这标志着数字经济时代下将为企业的日常经营划定数据法律红线,数据保护与合规必然是各个企业均需高度重视的问题。“互联网+医疗健康”企业通常都为收集、使用、处理个人信息和重要数据最为密集的行业之一,极有可能被纳入关键信息基础设施管理范围,相关法律法规的出台势必会对其产生巨大影响。
此外,鉴于数据安全合规对于“互联网+医疗健康”企业的重要性,企业除了需要遵从上述诸如《管理办法》的国家政策文件、法律法规外,还需充分参考和落实其他散见于多部法律、行政法规、部门规章、国家及行业标准的规定,如《人口健康信息管理办法(试行)》、《信息安全技术 个人信息安全规范 GB/T 35273-2020》、《信息安全技术 健康医疗信息安全指南(征求意见稿)》、《信息安全技术 个人信息安全影响评估指南 GB/T 39335-2020》等等, “互联网+医疗健康”企业面临的数据合规挑战日益增大。
我们认为,健康医疗大数据是国家重要的基础性战略资源。健康医疗大数据的安全关系到国家战略安全、国家生物安全、人民生命安全和公民个人隐私安全。从安全管控角度,对相关数据中心的安全管理和个人健康医疗数据的隐私保护,将决定着我国健康医疗大数据应用发展的未来。“互联网+医疗健康”企业将持续面临巨大的数据合规挑战。
依托健康医疗大数据,打造新的“互联网+医疗健康”商业模式,拓展医疗健康服务将成为许多头部互联网健康医疗企业的必然选择。但如何合规的商业化应用健康医疗大数据,是“互联网+医疗健康”企业必须关心的重点。健康医疗大数据的合规主要包括数据安全、个人信息保护以及对健康医疗大数据的特别监管这三个方面。对于“互联网+医疗健康”企业半岛电子,我们建议依照现行法律法规与国家相关标准开展下列合规工作:
应秉着审慎从严、合理利用的原则,针对网络运营者以及关键信息基础设施运营者在网络运行安全方面的不同义务,评估企业对于数据安全性的保障措施,包括但不限于网络产品与服务安全、人员管理、权限控制、存储要求和制度建设等,严格落实网络安全等级保护制度和(或)关键信息基础设施保护制度。
梳理自身掌握的数据类型,对相关数据进行分级分类,从数据供应链和生命周期角度对数据的来源合法性、存储及使用的安全和合规性等多个方面进行风险评估并落实相关应对措施。
从与第三方的法律关系出发,厘清企业自身在数据流转中的角色,明确企业自身以及第三方的责任和义务,对第三方进行尽职调查,通过协议等方式确保与第三方的数据交易合规进行。
虽然国家政策红利的持续推进,市场对“互联网+医疗健康”行业发展的信心满满,但是鉴于“互联网+医疗健康”行业的监管升级,企业如何应对频繁出台的政策、法律法规文件?如何洞察和把握“互联网+医疗健康”市场机会?这些都是“互联网+医疗健康”企业必须要面对与解决的问题。毕马威拥有遍布全球100余个国家近20万专业人员的服务网络,常年服务于全球各国“互联网+医疗健康”行业企业的团队与产业洞察力,可以为中国“互联网+医疗健康”企业的全球化创新与合作从商务、财务、税务和法律角度赋能,提供全方位的一站式服务。我们的专业团队经常帮助客户处理复杂的下述网络安全和个人信息保护事务,包括但不限于:
数据安全管理、个人信息管理外部认证咨询与合规,如等级保护备案与测评咨询,ISO/IEC 27001:2013, ISO/IEC 27701:2019等;
跨境数据传输评估和管理框架建设,就数据安全、个人信息保护等相关法律提供法律意见,并进行适当的风险管理;
协助开展个人信息安全影响评估,并就个人信息新的应用场景提供合规法律意见;
项目过程中个人信息安全工程设计和实施支持、项目数据安全管理方案设计和实施支持;
协助开展数据安全管理、个人信息保护成熟度评估、自查或审计,规划和搭建数据安全管理、个人信息管理体系(包括组织人员设计、制度体系搭建、技术路线规划等)。
本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。