我国多年来一直存在人口基数大、经济发展水平差异明显的问题,不可避免地也同样导致医疗资源数量不足、分布不均以及患者就医艰窘等种种问题。传统医疗行业分分“触网”,“互联网+医疗”概念和应用强势进出时长,顺应着时代发展需求和行业背景现状应运而生。近年来,我国境内互联网医疗行业发展速度较快、市场规模较大。在*策的大力支持,以及分级诊疗、社会办医、处方流转等医疗改革不断推进等因素影响下,国内互联网医疗行业快速发展。根据数据统计,年国内整体互联网医疗市场规模有望达到亿元,到年有望达到亿元,-年的复合增速达到32.93%[1]。
年伊始,随着新型冠状病*肺炎疫情爆发,在线医疗、医药平台优势凸显,成为百姓坚强的后盾之一。诸如平安好医生、丁香医生、春雨、微医等在线医疗平台也在疫情发生的第一时间开通了网上问诊专区,制定线上预防机制,从而判定疑似病例,告知应对举措以及预防隔离措施,提供答疑和健康宣讲。伴随着在线预约挂号、在线诊疗开药、个人健康问询等多种类、多元化的“互联网+医疗”行业百家争鸣,年至今,医疗体系遭受黑客入侵攻击、信息泄露的频率明显呈上升趋势,无疑也让“互联网+医疗”行业的信息安全和数据保护的问题逐渐进入公众视角。此外,技术人员或中高层管理人员商业秘密泄露或侵权的事件不断增加,越来越多的国内企业开始重视商业秘密保护,“互联网+医疗”行业当然也不例外。
“互联网+医疗”企业及医疗机构加强自身的有效合规运营,以满足和确保行业的合规健康发展就成为了管理的重中之重。本文旨在从“互联网+医疗”的数据保护的监管要求,商业秘密保护的重要性等方面,从外至内两个维度来初步分析“互联网+医疗”企业及医疗机构的相关合规监管需求,并初步提出完善企业内部有效合规管理的相关建议。
一、“互联网+医疗”的数据保护
(一)“互联网+医疗”数据保护的监管背景
年,《法制日报》刊文《超过7亿条公民信息遭泄露,余万条公民信息被贩卖》,曝出黑客入侵了某部委的医疗服务信息系统,大量孕检信息遭到泄露和买卖,一时轰动全国。而这些孕检信息来自某部医院的网站数据,辐射范围遍布全国。事件起源于年2月至3月,王某辉在学习黑客技术时,获取了大量孕检类型的公民个人信息,同年7月起,其用名为“哈佛校长”等的QQ号,将这些信息出售。年8月31日,浙江省松阳县人民法院一审判决,王某辉、陈某亮等7人非法搜索、交换、买卖公民个人信息总计约万条,构成侵犯公民个人信息罪,获刑三至五年不等。
随着“互联网+医疗”和医院信息化建设高速发展,“互联网+医疗”平台及医疗机构全程以电子化的途径进行采集、记录、传输和存储,积累了大量的患者基本信息、化验结果、电子处方、生产数据和运营信息等数据,这些数据涉及公民隐私、医患关系、医院运作和发展等多因素。然而,伴随医疗行业互联网化的推进,医疗信息安全问题如影随形。由于数据分类好、使用价值高、安全保障和风险管理措施较落后,近年来,针对“互联网+医疗”公司及医疗机构的勒索、医疗信息泄露等医疗行业的信息安全事件层出不穷,其信息系统也成为了国内外不法黑客的重点攻击对象之一。
(二)“互联网+医疗”数据保护的主要监管体系
自年《网络安全法》(以下简称“《网安法》”)的生效以来,国家通过法律规定提出了网络运营者至关键信息基础设施运营者在网络安全、数据保护基本制度方面需要完善的各项要求。“互联网+医疗”公司及医疗机构作为行业的重要参与者,当然也要遵循国家法律的相关要求。随着国家相应的法律法规、行*规范文件的发布,更加明确了“互联网+医疗”涉及的数据安全事件的法律后果,对“互联网+医疗”公司及医疗机构的数据安全管控提供了严格的法律依据。我国现行相关法律法规组成的主要监管体系如下表所示:
点击可查看大图
(三)“互联网+医疗”数据保护的初步合规建议
1、完成或完善网络安全等级保护(以下简称“等保”)工作
“互联网+医疗”企业及医疗机构,由于日常运营充分利用和依赖网络,更应当落实好网络安全保护义务,应当做好等保工作。具体来说,应当根据等保要求采取符合法律规定的技术措施和管理措施,组织专家定级评审网络;属于二级以上的,报请主管部门核准[2],且应当等级确定后10个工作日内,到县级以上公安机关备案[3]。
年7月国家卫健委《医院管理办法(试行)》与《医院管理办法》提出医疗机构的信息系统应当参照《信息系统安全等级保护基本要求》及《信息安全技术网络安全等级保护定级指南(征求意见稿)》的规定采取高级别的安全保护措施保障诊疗信息系统的安全,要求医疗机构的信息系统必须实施第三级信息安全等级保护。
实践过程中已经出现部分企业因未能有效履行等保制度的义务,而遭受行*处罚,例如:医院有限公司作为网络运营者因未落实网络安全等级保护制度,信息系统未开展信息安全等级保护测评工作,于年5月29日被公安机关给予行*处罚[4]。
2、制定网络安全事件应急预案
“互联网+医疗”企业及医疗机构在运作过程中必然会涉及大量患者个人的隐私数据,让很多不法分子对其中可乘利益十分垂涎,一旦遭受网络黑客的违法攻击就会使得这些高度敏感的数据泄露外流,对企业的公信力和用户的个人信息保护都造成极大的损害。因此《网安法》、《国家网络安全事件应急预案》等法律法规提出了强制性规定,意在避免该现象的发生。
令人惋惜的是,实践中仍有大量网络运营者未能重视此方面的保护,医院的网站因未设置应急预案制度而被植入恶意链接,被乐清市公安局网络警察大队给予行*处罚。且除了正常应急预案制度的制定,通信管理局在日常检查中也格外注重网络运营者是否对此应急预案进行实地演练,并要求提供演练情况的记录等。
因此,对于“互联网+医疗”企业及医疗机构,建议制定如有害程序、网络攻击、信息破坏等的网络安全事件应急预案及个人信息安全事件应急预案,明确负责人、通知机制、补救措施、内部责任划分等。同时将应急响应机制具体化,如遇网络安全事件,应如何记录内容、评估影响、采取措施控制事态,并按照国家法律法规的要求,区分不同事件级别,严格进行上报。
3、全面申请互联网站备案
根据与许多“互联网+医疗”企业或医疗机构的沟通,对于此处所称的“备案”,被通常理解为最基本的ICP备案。但根据法律法规的全面要求,除网站的ICP备案外,还有诸如公安联网备案、行业备案、工商亮照等一系列的备案机制。
首先,根据公安部33号令《计算机信息网络国际联网安全保护管理办法》规定,任何一家网站应当于开通之日起30日内,应当向住所地公安机关(网安部门)办理联网备案。此备案可通过全国公安机关互联网站安全管理服务平台进行网上申请完成。其次,有效的行业备案监管措施对于该行业能否长期蓬勃发展起到至关重要的作用。比如,“互联网+医疗”平台不仅发布药店和药品信息,还提供药品交易服务(即患者可购买药品并支付),则属于“B21在线数据处理与交易处理业务”,除应当取得该业务的ICP证,还应根据《中华人民共和国药品管理法(修订)》的规定向所在地省级人民*府药品监督管理部门进行行业备案。行业备案为特定行业要求,具体备案流程参照地方主管部门规定与说明。若“互联网+医疗”平台通过应用程序APP等从事相关服务,则根据《移动互联网应用程序信息服务管理规定》的相关要求,应当在业务上线运营三十日内向所在省级网信办备案。以上海互联网应用商店备案为例,经营主体应按要求准备材料,报送上海市网信办。再次,作为运营主体的“互联网+医疗”企业或医疗机构,应当在其网站或应用程序主页显著位置,持续公示营业执照信息以及与其经营业务有关的行*许可信息,或提供电子链接标识。
4、规范个人信息的收集、使用和存储
“互联网+医疗”由于其行业的特殊性,在日常运营中会大量接触患者个人的健康医疗信息。那么,相关信息的收集和使用首先应遵守个人信息收集和使用的规范与原则(如最小化原则、必要性原则等),并应确保健康医疗信息主体的基本权利(如删除权、更正权等),需要特别注意这些信息作为个人敏感信息享有更高的保护标准。应遵循明示同意、目的明确、公开透明、一数一源、最少够用等原则。具体操作标准建议以《信息安全技术个人信息安全规范》为基本要求,参考《信息安全技术健康医疗信息安全指南》相关内容,并结合具体信息所适用的专门法律法规(例如《人口健康信息管理办法(试行)》《人类遗传资源管理条例》等)要求操作。
其次,在存储和传输方面,我们国家普遍采取“本地存储+传输评估”的模式。即,在境内收集到的健康医疗信息应当存储在境内,未经安全评估和审批的健康医疗信息原则上不得向境外传输。
再次,在涉及数据传输环节的“互联网+医疗”业务中,还应当注意健康医疗信息的流转合规,防止因第三方供应商行为不当引发健康医疗信息在披露或共享方面的法律风险。
截至目前,健康医疗信息保护方面的处罚案例确实存在,但处罚力度有限。但我们相信未来执法频率和整顿力度会逐步上升。除行*处罚,根据相关国内外报道,健康医疗信息合规不当还可能引发舆论