阅读时长：10min

本文由周泰律所高洁律师对医疗机构数据合规中涉及个人医疗健康信息保护的内容进行全面的梳理和分析。

本文将分为上下两篇：上篇为针对医疗机构个人医疗健康信息收集、存储的合规指引，下篇为则将着重探讨涉及医疗机构对个人医疗健康信息的加工使用、传输、公开的合规要求。

现刊发文章上篇。

在信息化、智能化的时代，数据合规专门围绕着数据这一特殊的无形资产展开，构成了合规的一个全新维度。个人信息保护是数据合规的核心内容之一，个人医疗健康信息作为敏感个人信息更是保护对象的重中之重。

医疗机构的数据合规，亦主要是通过医疗机构内部的制度建设来实现对潜在法律风险的识别、筛查、评估和控制，以系统地降低法律风险，厘清法律责任。

海量的医疗数据中包含着大量的个人医疗健康信息。医疗机构（包括医疗美容机构、养老机构内设医疗机构）是医疗数据汇集、形成的中心，也是医疗数据的主要控制者。它的数据操作模式，从信息的收集、存储，到使用、传输，都直接影响着对个人医疗健康信息的保护。

近年来互联网医疗企业的蓬勃发展，更凸显出医疗机构的数据合规建设、个人医疗健康信息保护的重要性。

何为医疗数据

医疗数据是人们在疾病防治、健康管理等过程中产生的与健康医疗相关的数据。

其来源范围广，参照《信息安全技术健康医疗数据安全指南》（GB/T-，以下简称《安全指南》）的分类，医疗数据包括个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等。

其中医疗支付数据涉及到医疗保险、商业保险的交易和支付；卫生资源数据与公共卫生数据主要是基于个人健康医疗数据加工处理之后得到的健康医疗相关电子数据，反映了医疗机构的运营情况且公共卫生数据多数直接由卫生行政主管部门掌握，故该部分不纳入本文的讨论范畴。

针对医疗数据的“合规义务”

要识别合规风险，必须先识别企业（医疗机构）的“合规义务”。

合规义务是合规风险的根源，也是衡量企业生产制度、行为是否达标的尺子。合规义务包括法定合规要求和合规承诺两部分，既包括法律和法规、法院判决或行政决定等，也包括与社会团体或非政府组织签订的协议、自愿原则或规程、相关组织和产业的标准。

在以《网络安全法》《数据安全法》《个人信息保护法》为基础框架的数据合规体系中，医疗数据中的部分个人属性数据、健康状况数据、医疗应用数据纳入了个人敏感信息的范围。

收集个人信息应当限于实现处理目的的最小范围且不得过度收集个人信息，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下方可处理敏感个人信息。

医疗数据采集、存储合规

除一般性的数据立法外，医疗领域还有特殊的与数据相关的规定，如《人类遗传资源管理条例》《人口健康信息管理办法（试行）》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《医药行业合规管理规范》《信息安全技术个人信息安全规范》《安全指南》等。以下我们整理了医疗机构对个人医疗及健康信息保护的合规重点：

医疗数据采集、存储的特殊场景

医疗数据存储是数据控制者、处理者、使用者在其业务的各个阶段都不可或缺的基本操作。而数据收集则主要发生在数据生命周期的最前端，是信息和数据形成的初始点，也是协调各方权利义务的第一个关键节点。有些特殊场景下的收集、存储的医疗数据尤其需要引起重视。

[1]《合规管理体系指南》（GB/T-）

[2]根据《国家健康医疗大数据标准、安全和服务管理办法（试行）》的规定

下篇预告：在下篇中，我们将从医疗机构对个人医疗健康信息的加工使用、传输、公开角度进行合规指引，为医疗机构提供合规建议参考。

-End-