尽管评估办法评估指南和 CII 条例尚未正式颁布, 有关中国关键信息基础设施及数据出境的法律框架未能得窥全貌, 但根据上述几个征求意见稿以及网络安全法的原则性规定不难看出, 医疗卫生单位将被纳入关键信息基础设施运营者的范畴进行管理, 并将承担数据本地化数据出境安全评估等法律义务在

Size: px

Start display at page:

Download "尽管评估办法评估指南和 CII 条例尚未正式颁布, 有关中国关键信息基础设施及数据出境的法律框架未能得窥全貌, 但根据上述几个征求意见稿以及网络安全法的原则性规定不难看出, 医疗卫生单位将被纳入关键信息基础设施运营者的范畴进行管理, 并将承担数据本地化数据出境安全评估等法律义务在"

樟闵
5 years ago
Views:

卫健委明确 : 健康医疗大数据需境内存储简评国家健康医疗大数据标准安全和服务管理办法 ( 试行 ) 安杰律师事务所杨洪泉陈扬 2018 年 9 月 15 日, 国家卫生健康委员会 ( 卫健委 ) 在其官网发布了国家健康医疗大数据标准安全和服务管理办法 ( 试行 ) ( 管理办法 ) 管理办法已于 2018 年 7 月 12 日生效并施行管理办法

1 卫健委明确 : 健康医疗大数据需境内存储简评国家健康医疗大数据标准安全和服务管理办法 ( 试行 ) 安杰律师事务所杨洪泉陈扬 2018 年 9 月 15 日, 国家卫生健康委员会 ( 卫健委 ) 在其官网发布了国家健康医疗大数据标准安全和服务管理办法 ( 试行 ) ( 管理办法 ) 管理办法已于 2018 年 7 月 12 日生效并施行管理办法将对医疗卫生行业数据和网络安全实践产生深远的影响本文对管理办法的立法背景和重要内容进行解读, 并对医疗卫生单位和相关企事业单位可能面临的监管趋势进行预判一立法背景 2016 年颁布的中华人民共和国网络安全法 ( 网络安全法 ) 第三十七条规定 : 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储因业务需要, 确需向境外提供的, 应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估 ; 法律行政法规另有规定的, 依照其规定本条虽然只有寥寥数语, 却涵盖了关键信息基础设施重要数据境内存储数据出境安全评估几个重要概念, 而由此而引起的数据本地化存储和数据出境问题已成为企业数据和网络安全合规中最为关注的风险点 2017 年 4 月 11 日, 国家互联网信息办公室 ( 网信办 ) 公布个人信息和重要数据出境安全评估办法 ( 征求意见稿 ) ( 评估办法 ), 将数据出境安全评估的责任主体由关键信息基础设施运营者扩展至所有网络运营者, 并规定了安全评估的适用范围评估程序监管机构评估内容等基本规则 2017 年 5 月 27 日, 全国信息安全标准化技术委员会 ( 信安标委 ) 发布信息安全技术数据出境安全评估指南 ( 草案 ) ( 评估指南 ), 并于同年 8 月又发布了评估指南第二稿该评估指南对境内运营数据出境重要数据等概念进行了明确, 对安全评估予以细化 2018 年 7 月, 网信办公布关键信息基础设施安全保护条例 ( 征求意见稿 ) ( CII 条例 ), 其中规定 : 下列单位运行管理的网络设施和信息系统, 一旦遭到破坏丧失功能或者数据泄露, 可能严重危害国家安全国计民生公共利益的, 应当纳入关键信息基础设施保护范围 : 政府机关和能源金融交通水利卫生医疗教育社保环境保护公用事业等行业领域的单位 1

2 尽管评估办法评估指南和 CII 条例尚未正式颁布, 有关中国关键信息基础设施及数据出境的法律框架未能得窥全貌, 但根据上述几个征求意见稿以及网络安全法的原则性规定不难看出, 医疗卫生单位将被纳入关键信息基础设施运营者的范畴进行管理, 并将承担数据本地化数据出境安全评估等法律义务在上述背景下, 卫健委根据网络安全法等法律法规和国务院关于印发深化标准化工作改革方案的通知国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见国务院办公厅关于促进互联网 + 医疗健康发展的意见等文件, 结合福建江苏山东安徽贵州五省健康医疗大数据中心试点的经验, 研究制定了管理办法, 对健康医疗大数据从适用范围标准管理安全管理和服务管理等方面进行规范二适用范围健康医疗大数据是国家重要的基础性战略资源, 管理办法第四条规定本办法所称健康医疗大数据, 是指在人们疾病防治健康管理等过程中产生的与健康医疗相关的数据从文义来看, 健康医疗大数据的定义较为宽泛, 既包括具体到人的微观数据, 也包括统计分析类型的宏观数据此外, 医疗卫生机构日常处理的患者诊疗和病历信息是应有之义, 但该定义似乎也可涵盖药品医疗器械企业掌握的和患者 / 试验对象有关的临床试验数据不良反应数据政府和相关机构掌握的人口健康数据遗传资源数据等但上述各类数据在实践中是否按管理办法由卫生健康行政部门监管, 或是按其他监管部门 ( 例如药监局 ) 的有关规定进行监管, 仍有待观察管理办法第五条规定本办法适用于县级以上卫生健康行政部门 ( 含中医药主管部门, 下同 ) 各级各类医疗卫生机构相关单位及个人所涉及的健康医疗大数据的管理第六条规定 : 各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位由于管理办法将模糊的相关企事业单位也纳入责任单位的范围, 我们认为, 在实践中企事业单位是否将受管理办法规范, 将取决于此类企事业单位是否处理健康医疗大数据由于健康医疗大数据和相关企事业单位的定义较为宽泛, 制药企业及医疗器械企业需特别关注是否其是否处理健康医疗大数据是否有可能被认为是责任单位并承担管理办法下的诸多义务三标准管理管理办法明确了开展健康医疗大数据标准管理工作的原则, 以及各级卫生健康行政部门的工作职责根据管理办法的要求, 卫健委将发挥统筹领导作用, 卫生健康行政部门应当对健康医疗大数据标准的实施加强引导和监督, 卫健委鼓励医疗卫生机构科研教育单位相关企业或行业协会社会团体等参与健康医疗大数据标准制定工作公民法人或者其他组织可提出制修订健康医疗大数据标准的立项建议, 并提交相 2

3 应标准项目建议书同时, 卫健委提倡多方参与协作机制, 由各相关单位组成协作组参与标准起草工作四安全管理针对健康医疗大数据的安全管理, 卫健委明确了健康医疗大数据安全管理的范畴, 要求责任单位建立健全相关安全管理制度操作规程和技术规范落实一把手负责制加强安全保障体系建设, 保障健康医疗大数据安全涉及国家秘密的健康医疗大数据的安全管理和使用等, 按照国家有关保密规定执行管理办法规定责任单位需遵守的具体安全管理要求主要包括: 数据分类备份和加密认证采取数据分类重要数据备份加密认证等措施保障健康医疗大数据安全数据容灾备份建立可靠的数据容灾备份工作机制, 定期进行备份和恢复检测, 确保数据能够及时完整准确恢复, 实现长期保存和历史数据的归档管理等级保护和关键信息基础设施管理按照国家网络安全等级保护制度要求, 加强健康医疗大数据相关系统安全保障体系建设, 提升关键信息基础设施和重要信息系统的安全防护能力, 确保健康医疗大数据关键信息基础设施和核心系统安全可控健康医疗大数据中心相关信息系统等均应开展定级备案测评等工作产品和服务提供者遵守网络安全审查制度健康医疗大数据相关系统的产品和服务提供者应当遵守国家有关网络安全审查制度, 不得中断或者变相中断合理的技术支持与服务, 并应当为健康医疗大数据在不同系统间的交互共享和运营提供安全与便利条件依法使用健康医疗大数据保护公民隐私依法依规使用健康医疗大数据有关信息, 提供安全的信息查询和复制渠道, 确保公民隐私保护和数据安全在授权范围内使用健康医疗大数据严格规范不同等级用户的数据接入和使用权限, 并确保数据在授权范围内使用任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据, 不得使用非法手段获取数据电子实名认证和数据访问控制建立严格的电子实名认证和数据访问控制, 规范数据接入使用和销毁过程的痕迹管理, 确保健康医疗大数据访问行为可管可控及服务管理全程留痕, 可查询可追溯, 对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人人才培养和人员资质建立健全健康医疗大数据安全管理人才培养机制, 确保相关从业人员具备健康医疗大数据安全管理所要求的知识和技能安全检测和预警建立健康医疗大数据安全监测和预警系统, 建立网络安全通报和应急处置联动机制, 开展数据安全规范和技术规范的研究工作, 不断丰富网络安全相关的标准规范体系, 重点防范数据资源的集聚性风险和新技术应用的潜在性 3

4 风险安全事件报告和处置发生网络安全重大事件, 应当按照相关法律法规和有关要求进行报告并处置上述各项安全管理要求中值得特别注意的是, 尽管评估办法评估指南和 CII 条例尚未正式颁布, 但管理办法已将责任单位 ( 即各类医疗卫生机构和相关企事业单位 ) 默认为网络安全法下的关键信息基础设施的运营者, 应根据网络等级保护要求开展定级备案测评等工作, 并确保健康医疗大数据关键信息基础设施和核心系统安全可控五服务管理管理办法规定责任单位需遵守的服务管理要求主要包括: 服务管理原则责任单位实施健康医疗大数据管理和服务, 应当按照法律法规和相关文件规定, 遵循医学伦理原则, 保护个人隐私管理制度责任单位应当根据本单位健康医疗大数据管理的需求, 明确相应的管理部门和岗位, 按照国家授权, 实行统一分级授权分类应用管理权责一致的管理制度, 并建设相应的健康医疗大数据信息系统作为技术和管理支撑标准和程序责任单位采集健康医疗大数据, 应当严格执行国家和行业相关标准和程序, 符合业务应用技术标准和管理规范, 做到标准统一术语规范内容准确, 保证服务和管理对象在本单位信息系统中身份标识唯一基本数据项一致, 所采集的信息应当严格实行信息复核终审程序, 做好数据质量管理数据本地化存储和出境安全评估责任单位应当具备符合国家有关规定要求的数据存储容灾备份和安全管理条件, 加强对健康医疗大数据的存储管理健康医疗大数据应当存储在境内安全可信的服务器上, 因业务需要确需向境外提供的, 应当按照相关法律法规及有关要求进行安全评估审核服务提供商的选择责任单位选择健康医疗大数据服务提供商时, 应当确保其符合国家和行业规定及要求, 具备履行相关法规制度落实相关标准确保数据安全的能力, 建立数据安全管理个人隐私保护应急响应管理等方面管理制度健康医疗大数据的委托处理责任单位委托有关机构存储运营健康医疗大数据, 委托单位与受托单位共同承担健康医疗大数据的管理和安全责任受托单位应当严格按照相关法律法规和委托协议做好健康医疗大数据的存储管理与运营工作健康医疗大数据的公开责任单位向社会公开健康医疗大数据时, 应当遵循国家有关规定, 不得泄露国家秘密商业秘密和个人隐私, 不得侵害国家利益 4

5 社会公共利益和公民法人及其他组织的合法权益健康医疗大数据的共享国家卫生健康委员会负责按照国家信息资源开放共享有关规定, 建立健康医疗大数据开放共享的工作机制, 加强健康医疗大数据的共享和交换, 统筹建设健康医疗大数据上报系统平台信息资源目录体系和共享交换体系上述各项服务管理要求中值得特别注意的是, 管理办法要求健康医疗大数据应当存储在境内安全可信的服务器上, 因业务需要确需向境外提供的, 应当按照相关法律法规及有关要求进行安全评估审核上述要求与卫健委将健康医疗大数据的责任单位视为关键信息基础设施运营者一脉相承, 符合网络安全法的原则性规定对于涉外医疗卫生机构及企事业单位 ( 例如外资医院和健康管理机构 ) 而言, 如此前健康医疗大数据并未在境内存储, 则需尽快考虑在境内租用可信数据中心或云服务提供商的服务, 对于业务需要确需出境的, 亦需尽快履行安全评估的义务六结语在网络安全法规定的框架性原则基础上, 各行业监管部门已逐步开始对本行业研究制定更为细致的规定和操作指引管理办法必将对医疗卫生行业数据和网络安全实践产生深远影响我们认为, 医疗卫生行业将有可能开展关于执行管理办法加强健康医疗大数据管理和保护的全国或地区性检查, 相关医疗卫生机构和企事业单位需尽快对照管理办法的要求对其数据和网络安全实践进行差异分析和整改工作对于管理办法中尚存疑问的内容, 卫健委下一步将有可能通过推出相关国家标准或操作指引的方式予以明确我们将继续关注数据和网络安全领域的新进展, 并及时进行解读杨洪泉律师是安杰律师事务所合伙人, 他在电信互联网和 IT(TMT) 争议解决合规劳动等领域有丰富经验, 尤为擅长提供个人信息保护和网络安全领域的法律服务 5

或者数据泄露, 可能严重危害国家安全国计民生公共利益为损害结果, 则应认定为关键信息基础设施意见稿提出以下五大类单位应被认定为关键信息基础设施的运营者 : ( 一 ) 政府机关和能源金融交通水利卫生医疗教育社保环境保护公用事业等行业领域的单位 ; ( 二 ) 电信网广播电视

或者数据泄露, 可能严重危害国家安全国计民生公共利益为损害结果, 则应认定为关键信息基础设施意见稿提出以下五大类单位应被认定为关键信息基础设施的运营者 : ( 一 ) 政府机关和能源金融交通水利卫生医疗教育社保环境保护公用事业等行业领域的单位 ; ( 二 ) 电信网广播电视关键信息基础设施范围有望进一步明晰评关键信息基础设施安全保护条例 ( 征求意见稿 ) 杨洪泉韩璐前言国家互联网信息办公室于 2017 年 7 月 10 日发布了关键信息基础设施安全保护条例 ( 征求意见稿 ) ( 意见稿 ), 向社会公开征求意见, 本次征求意见的截止日期为 2017 年 8 月 10 日本文分析了意见稿中的若干重要规定 1. 关键信息基础设施和关键信息基础设施的运营者