自2021年下半年以來,數據安全受到了前所未有的重視——6月至今不過短短3個月時間,《數據安全法》《信息安全技術 健康醫療數據安全指南》和《個人信息保護法》先后獲得通過。根據動脈網統計,自2020年至今,相關部門已經陸續發布了12條涉及健康醫療數據安全的政策及標準,強度之高令人側目。這也說明,國家相關部門已經意識到數據安全存在的巨大隱患,正著手從頂層立法及標準方便加以補足。
頂層標準及立法設計將對健康醫療數據的應用及挖掘產生哪些積極影響,是否能夠打破健康醫療數據壁壘?健康醫療數據壁壘若被打破,在醫療、院外健康管理、藥物研發、醫保支付等各環節數據能夠實現有效的數據共享?數據安全如何保障?這些話題或許在9月25日于杭州未來科技城學術交流中心舉行的“2021中國(杭州)數字健康大會”上都能得到答案。
健康醫療數據價值重大,如何完善政策助推行業發展
健康醫療數據并不是最近兩年才興起的話題。在2010年4月1日開始實施的《電子病歷基本規范》中提到電子病歷是指醫務人員在醫療活動過程中,使用醫療機構信息系統生成的文字、符號、圖表、圖形、數據、影像等數字化信息,并能實現存儲、管理、傳輸和重現的醫療記錄,是病歷的一種記錄形式。
不難看出,電子病歷基本囊括了患者醫療全流程的數字信息,涉及的系統則幾乎涵蓋了醫院內部各種信息化系統。從數據驅動的角度而言,其重要性不言而喻。因此,從2008年開始,國家開始陸續推動以電子病歷為核心的醫院信息化建設,并著手建立電子病歷相關標準及電子病歷信息標準體系基本框架。
近年來,國家相關機構又通過將電子病歷評級納入績效考核,并實施DRG支付改革,通過績效考核和醫保支付兩大抓手進一步倒逼醫院完善以電子病歷為核心的信息化系統,及背后的數據采集、治理及應用能力。
國家還積極推進比電子病歷(EMR)更進一步的電子健康記錄(EHR)的應用,希望通過區域信息平臺建設實現居民基本健康信息和檢查檢驗結果、用藥記錄等的醫療機構之間信息共享,實現區域內居民電子健康檔案與電子病歷的實時動態更新。
目前,全國正在開展全民健康保障信息化工程一期項目建設。一期項目將實現90%以上省級人口健康信息平臺與國家人口健康數據中心的定時數據同步。隨著項目建設接近完成,基于電子健康記錄的健康醫療數據的挖掘及應用已成為下一步熱點。
那么,這些數據可以產生哪些價值呢?浙江省衛生健康信息中心專家認為,從數據的角度看醫院的數據域分布和流動,醫院數據基本可以分為以下5個數據域:以患者服務為中心的生產數據域、以診斷治療改善為中心的數據利用域、以運營管理改善為中心的數據利用域、以測試開發為中心的數據利用域、以交換和共享(互聯互通)為中心的數據流動域。
這些數據通過資產化,在醫院運營管理、醫療業務協同、患者智能服務和醫療基礎保障等方面發揮了重要的應用挖掘價值,使醫生診斷和治療過程變得更精準,使醫院的管理更加科學,讓醫院的運行效率持續提高。
2020年4月發布的《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》作為中央第一份關于要素市場化配置的文件,將數據作為一種新型生產要素寫入文件中,與土地、勞動力、資本、技術等傳統要素并列為要素之一。
《意見》提出加快培育數據要素市場,推進政府數據開放共享,提升社會數據資源價值并加強數據資源整合和安全保護。
有識之士已經開始討論健康醫療數據的潛在應用可能。丁香園董事長李天天表示,目前國內健康醫療數據市場專注于數據采集,但數據分析才是大數據的價值所在。醫療大數據分析和挖掘技術的運用可以在一定程度上幫助醫療行業提高生產力,改進診療和護理水平,增強醫療機構競爭力,同時也可以節約醫療資源,創造社會和經濟價值。
目前,在數據應用和挖掘上國內做得很不理想,只是做到了“數據大”,而不是“大數據”。在數據挖掘分析及分析平臺搭建上的能力尚有距離。數據分析的平臺化能力較弱;同時,更多集中在單一方向,多元化數據分析意圖的整合較少。
浙江省衛生健康信息中心專家則表示,我國在健康醫療數據應用上還有很多工作要做。具體可以歸納為三個方面。
首先,健康醫療大數據的資源規劃需要細化。舉例來說,我國尚缺乏對健康醫療大數據資源的全面有效梳理,沒有細化掌握數據“有什么”“缺什么”“在哪里”“誰需要”“誰提供”“誰為準”等基礎性信息。
其次,數據部門協同待加強。健康醫療大數據應用需要技術與業務工作深度配合,圍繞事業發展和業務需求,在制度設計、組織調整、利益分配上進行協調和治理。當前的大數據應用主要局限在單個醫療衛生業務領域內,跨業務部門領域的應用不多,需建立跨部門密切配合機制,充分發揮大數據的集約化規模效益。
最后,數據應用聯動待深入。醫療衛生領域有眾多需要上下級機構開展聯動的業務場景,目前真正在某一業務領域能貫穿“國家-省-市-縣-機構”的聯動性應用還不多,此次新冠疫情也在一定程度上暴露出了這方面的問題。
李天天進一步表示,業界一直期望健康醫療數據在未來能夠如政策指引的一般成為可供公開交易的市場要素。不過他也提出這需要滿足“包容審慎、精準監管”。“包容”是前提,即對新事物給予足夠的成長和試錯空間。“審慎”是底線,即監管側明確底線紅線,劃好邊界場景,最大限度支持大數據的健康發展。“精準監管”則是一種動態靈活的過程監管方式,不是過去的“一刀切”粗暴模式,而是可以根據業務的變化和技術發展,更柔性更精準地對全過程提供監管服務。
浙江省衛生健康信息中心專家也提到,健康醫療大數據在全球的快速發展將使得越來越多的個人數據被“脫敏”后公開,用于精準醫學等各類大數據研究。然而,健康醫療數據的公開或將引出一系列隱私安全問題。因此,健康醫療數據在作為生產要素公開供給時存在數據安全的前提條件。
目前,我國健康醫療數據安全問題較為突出,主要存在內外環境多變,網絡安全形勢復雜;應用場景復雜多樣,安全措施實施難度大;數據安全與廉政風險疊加,管理難度較大;專業技術人才匱乏,保障手段落實困難等挑戰。
顯然,作為培育數據要素市場建設的前提條件,還需要完善數據治理規則和數據產權的法律界定,對不同數據的公開、流動、交易分類制定治理規則。基于這一考慮,國家也加快了有關數據的頂層立法設計。單是2021年,《數據安全法》《信息安全技術 健康醫療數據安全指南》和《個人信息保護法》密集獲得通過。
對此,李天天認為,《數據安全法》和《個人信息保護法》在規范數據處理活動、保障數據安全、促進數據開發利用等方面做出了規定,為我國建立健全數據安全治理體系指明了發展方向。作為關系國計民生的重要領域,醫療行業的數字化轉型過程正面臨數據安全、數據管理合規性要求的挑戰。
“企業及醫療機構應該高度重視這兩項法律,需要一把手親自抓,認真學習研究,形成團隊上下的一致共識,并根據法律內容提前布局,未雨綢繆”,他表示。
浙江省衛生健康信息中心專家則表示,這將有力推動我國建立健全適應健康醫療大數據發展需要的法規和政策體系。比如,進一步提出適宜健康醫療大數據采集、存儲、利用、共享等應用各環節的倫理準則和政策建議,構建適應大數據時代的醫學倫理審查標準和操作規范,對隱私保護等問題進行全方位的倫理治理。
此外,這還將進一步推動啟動立法明確電子病歷、電子健康檔案的法律效應,以及個人信息、醫療信息、隱私敏感信息的歸屬、授權、采集、開放和使用權限,規范大數據從業者的職業操守等。
專家解讀安全法規,企業應該如何應對
浙江省委網信辦網安處的專家則從細節實施上對《數據安全法》和《個人信息保護法》進行了解讀。
他表示《數據安全法》實施后,對數據違法行為規定了多項處罰規定并設定了嚴格的罰則,最高可至1000萬元罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,還需要依法追究刑事責任。
由于健康醫療大數據應用將在未來成為熱點,相應的企業應該從下列幾個方面實施以避免無意中違反《數據安全法》。
第一,保證數據處理活動合法合規。《數據安全法》從數據的源頭提出了“合法、正當”的約束性條件。企業在數據收集過程中應注意合法合規——不管是通過用戶主動提供還是自動采集方式收集數據的,應就收集的目的、方式和范圍取得有效授權。同時數據采集手段和方式恰當,滿足必要性原則。除此以外,數據處理活動所包括的“存儲、使用、加工、傳輸、提供、公開”等均應滿足相關法律法規、監管規定的要求。
第二,建立全流程數據安全管理制度,明確數據安全負責人和管理機構。企業需要建立健全包括數據收集、傳輸、存儲、共享在內的全流程數據安全管理制度,采取相應的技術措施,保障合法合規處理數據。同時,企業還應當在網絡安全等級保護制度的基礎上,履行數據安全保護義務,明確數據安全負責人和管理機構,落實數據安全保護責任。
第三,開展數據分類分級管理。針對重要數據或核心數據建立識別與管理制度,對于不同類型和等級的數據做不同的處理要求,制定相應管理制度,履行相應審批程序。
第四,落實網絡安全等級保護義務。根據《網絡安全法》對網絡安全等級保護等制度的要求,企業需要制定具體安全措施,包括制定內部安全規范、確定網絡安全負責人、采取防范病毒攻擊的技術措施、監測網絡運營、留存網絡日志、采取加密措施等。同時根據“網絡安全等級保護2.0”標準,落實相應系統的等保測評備案工作。
第五,定期開展風險評估,履行風險評估報告義務。企業應該定期開展風險評估工作,針對所處理的重要數據的種類、數量、開展數據處理活動的情況,數據安全風險及其應對措施等進行定期風險評估。在處理重要數據目錄中的數據時,企業應當按照規定對數據處理活動定期開展風險評估。在發生數據安全事件時,企業應當立即采取處置措施,并留存處置記錄,按照規定及時告知用戶并向有關主管部門報告。
第六,配合公安機關和國家安全機關調取數據。企業有義務向公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,提供所存儲的數據。
第七,定期開展數據安全培訓。企業應該一方面應定期對數據安全崗位相關人員開展數據安全培訓,培訓內容應涵蓋法律法規、管理要求、安全技術等內容;另一方面定期對全員開展數據安全意識培訓,加強員工數據安全意識與能力。
除了《數據安全法》,該專家也強調,本次《個人信息保護法》參考以《通用數據保護條例》(GDPR)為代表的國外個人信息保護立法,通過原則性條款明確了個人對其個人信息的處理享有知情權、決定權,以及有權限制或者拒絕他人對其個人信息進行處理;具體規定了查閱、復制權,可攜帶權,更正補充權,刪除權,要求解釋權。對于自然人死亡的,也明確了其近親屬行使相關權利的規定。
對于企業來說,需要在“如何獲得單獨同意”方面下一番功夫。現有的“一攬子告知”形式是告知用戶需要將這些信息都提供給服務方才能提供服務,已為監管和立法所否定。在新的監管和立法下,這種方式被認為在一些情況下是在強迫用戶提供信息。“單獨告知”則意味著要以引起用戶注意的形式單獨就一件事獲得用戶的同意。未來,如果處理到敏感個人信息且沒有辦法獲得單獨同意,可能意味著企業業務無法再繼續往下進行,對業務的影響會非常大。
更多觀點碰撞,數字健康大會一一呈現
立法的完善是數據成為市場要素的重要條件,但它也只是開始。健康醫療數據的挖掘應用還有很多亟待解決的問題。李天天認為,健康醫療數據成為市場要素還有不少挑戰需要解決。比如,合規脫敏數據的程度如何界定并不明晰?按相關立法的要求,合規脫敏必須不包含個人隱私信息。但當這些數據被脫敏之后是否會影響后續的數據分析結果,不同數據集脫敏的邊界是什么?還沒有相應的規范或者指南。
另一方面,合規脫敏數據的質量如何保證也存在挑戰。有的數據質量好,診斷治療符合臨床指南標準,結構完整清晰;有的數據質量不好,結構混亂,甚至出現不規范診療的數據污染。甚至在同一家醫院,同一個科室里,不同時間階段的數據質量都不完全一樣。如何規避這些問題還需要政策不斷完善。
“數據的質量控制是一個重要問題。合規脫敏的數據也可能質量不佳。舉例來說,以前特殊的市場環境導致了過度用藥和不合理用藥情況的出現,這些數據會導致整個數據集的‘污染’,也就是大家經常說的‘Garbage in, Garbage out’(意為:“垃圾進去,垃圾出來”。指輸入低質量的臟數據,會導致輸出結果也不可信不真實。),需要更高的成本進行數據清洗,代價很高。這些問題需要從堅持循證醫學證據、遵守行業指南共識、打擊不良市場環境等多個角度共同推進,才能綜合解決”,李天天補充道。
針對這些問題,由浙江省衛生健康委、浙江省發展改革委、浙江省經信廳、余杭區人民政府指導,浙江省健康服務業促進會、浙江大學醫學院附屬邵逸夫醫院主辦的“2021中國(杭州)數字健康大會”將政、產、學、研、用全產業鏈的專家齊聚一堂,以“數字重塑生命健康生態鏈”為主題,聚焦生命科技、數字醫療、智慧醫院管理、健康服務新模式等話題,就數字如何賦能生命健康生態鏈融合發展進行深入探討,展開前沿對話,敬請期待。
轉自:沐陽健康網
【版權及免責聲明】凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業經濟信息網”,違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊,僅代表作者個人觀點,不代表本網觀點和立場。版權事宜請聯系:010-65363056。
延伸閱讀
政策協同發力 做好“十四五”時期就業工作
