研究简介

（一）研究背景

为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，该法已于2021年11月1日起施行。《个人信息保护法》的实施将会对于健康医疗领域内各类型企业的数据处理活动产生不同程度的影响，为此本期白皮书在imit白皮书第三期《如何保护个人健康医疗信息？》、imit白皮书第十期《促进健康医疗大数据规范化应用——开放数据的隐私安全保护》、imit白皮书第十六期《新冠肺炎疫情防控中个人信息保护手册》的基础上，对个人信息保护法下的健康医疗领域的隐私保护变化进行新解读。

（二）研究目标

了解《个人信息保护法》重点内容及对健康医疗领域数据合规利用带来的影响。分析《个人信息保护法》下健康医疗数据个人信息保护要求。梳理健康医疗领域个人信息保护现状及进展，为该法实施背景下的健康医疗数据应用个人信息保护实践提供参考借鉴。

（三）研究方法

本研究通过对国内外相关文献和资料进行检索和整理归纳分析，同时对国内有代表性的健康医疗数据处理企业开展调研，深入了解健康医疗领域个人信息保护发展状况；联合专业律师专家进行深入讨论，分析个人信息法施行对健康医疗领域的影响。

内容摘要

（一）《个人信息保护法》概述

随着信息化与经济社会持续深度融合，个人信息权益侵害事件频发，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求，也是促进数字经济健康发展的重要举措。经历二十载的发展历程，《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）自2021年11月1日起正式施行。《个人信息保护法》的实施确认了个人信息保护范围，确立了个人信息处理活动基本原则，对个人在个人信息处理活动中的权利进行充分的规定，明确了个人信息处理者的义务、确定了职责部门与法律责任等。自此，我国形成了以《网络安全法》、《数据安全法》、《个人信息保护法》为核心的网络法律体系，为数据应用和个人信息权益保护提供了基础制度保障。

（二）个人信息保护法下健康医疗数据管理新挑战

目前国内外对于健康医疗领域个人信息保护均未有专门立法，健康医疗领域对于个人信息的保护要求散见于法律、部委/地方性法规和部委/地方性规章当中。《个人信息保护法》的实施对于产业内各类型企业的数据处理活动将会有不同程度的影响案例化解析医疗机构场景下的数据合规和个人信息保护要点，主要包括要求企业需根据该法关于“个人信息”和“个人敏感信息”的定义对所处理的健康医疗数据进行识别并履行相应义务；采取相应的安全和技术措施确保个人信息活动符合法律、行政法规的规定，防止未经授权的访问以及个人信息泄露、篡改、丢失；在发生个人信息的安全事件后，依照过错推定原则，企业需具备一定的举证能力。相关企业和从业者应当在原有健康医疗领域应用个人信息保护要求的基础上，结合《个人信息保护法》带来的新要求，对健康医疗数据进行全生命周期的合规处理，需关注各环节各有其合规要点。

（三）健康医疗领域个人信息保护现状与进展

目前，区块链技术应用在健康医疗领域个人信息保护研究热度增长最快，医疗大数据、电子病历、电子健康档案、移动/互联网医疗、物联网等是个人信息保护研究热点，近三年新增研究领域主要集中在疫情防控、数据共享中的隐私保护研究。医院作为患者个人信息处理的主要机构，尚未形成体系性的个人信息保护的管理制度，不同医疗机构对于隐私安全认识与处理能力的差异较大。电子病历系统有待加强医护人员对电子病历隐私保护意识，电子健康档案的进一步共享开放需进一步加强数据传输和访问中的隐私安全。互联网医疗、临床科研和疫情防控作为重要的健康医疗领域个人隐私保护代表性场景，均存在不同程度制度可操作性不足及管理落实不到位问题。技术方面，传统隐私保护技术主要包括数据扰乱技术、数据加密技术、数据匿名化技术和访问控制技术，不同的隐私保护技术均有各自适用性与局限性。区块链技术和隐私计算是新型数据保护技术未来发展方向。

（四）个人信息保护法下健康医疗领域隐私保护实践

日本通过创设国家认证制度认证认定匿名加工医疗信息制作者推动数据匿名加工，欧盟通过设立数据保护官统筹开展隐私保护管理等对我国个人信息保护法在健康医疗领域隐私保护的管理实践具有一定借鉴意义。基于区块链技术的电子健康档案共享与开放方案、基于区块链的患者个人电子病历夹应用、基于区块链+隐私计算的多中心科研协作平台三个实践案例提供了区块链和隐私计算新技术在隐私保护中的应用参考。

（五）未来与展望

我国已建立涵盖法律制度、政策文件、部委规章及国家标准在内的关于患者健康医疗隐私数据安全的制度框架体系，且在规制内容方面趋于完善。但在制度的专指性和可操作性、健康医疗数据隐私边界和规范性，以及法规措施与实践共融性方面仍面临众多挑战。健康医疗数据个人信息保护有待更具可落地的规范和指南出台。区块链等新技术的发展为个人信息保护提供更多的创新解决方案。大数据时代，企业将有更加完善的制度和技术去落实个人信息保护，而我们始终倡导，尊重每个数据生态的参与者，尤其是个人，是整个生态能够良性运转的前提。尊重个人，请从保护个人信息开始。

浙江数字医疗卫生技术研究院

浙江数字医疗卫生技术研究院（简称“数研院”，）是中国首家致力于数字与信息化技术在医疗卫生健康服务领域研发与应用的专业性非营利研究机构（NPO/NGO），院长为杨胜利院士，理事长为李兰娟院士，常务副院长为郑杰先生。

数研院聚集众多业内的资深院士和专家学者、全球著名的医疗保健设备厂商、国内外领先的行业软件企业来共同从事该领域的研究开发、顾问咨询、认证评估、国际合作、成果转化等工作，并引领政、产、学、研、用、资六位一体的公益事业公共服务支撑平台，进而营造出可生存可持续发展的数字医疗卫生产业链生态环境。

杭州数钮科技有限公司

杭州数钮科技有限公司（简称“数钮科技”）是趣链科技旗下以区块链技术创新驱动的医疗科技公司，聚焦“区块链+医疗健康”领域案例化解析医疗机构场景下的数据合规和个人信息保护要点，致力于打造基于国产自主可控区块链技术的健康数据可信安全协同服务体系。

数钮科技专注于区块链等新技术在医疗健康领域内医疗、医保、科研、健康管理、医院管理、信息安全、业务监管、溯源、数据流通等应用场景的融合创新，发挥新兴技术在优化业务流程、降低运营成本、提升协同效率、构建可信体系等方面的价值，同时积极探索利用区块链、隐私计算等技术构建安全、合规、高效的医疗数据要素价值流通体系，构建大健康产业区块链价值网络，推动大健康产业生态协同发展，赋能数字健康生态。

中伦律师事务所

中伦律师事务所（简称“中伦”）创立于1993年，是中国司法部最早批准设立的合伙制律师事务所之一。中伦拥有约370名合伙人，2300多名专业人员（含合伙人），在境内外共设有19个办公室，目前为中国规模最大的综合性律师事务所之一。

中伦的法律服务业务涵盖了资本市场/证券、私募股权与投资基金、健康与生命科学、房地产、建设工程与基础设施、环境、能源与资源、公司/外商直接投资、收购兼并、反垄断与竞争法、合规/政府监管、知识产权、科技、电信与互联网等三十多个专业领域，是为数不多的能够提供全面、专业的法律服务的中国律师事务所之一。中伦在网络安全、隐私与数据保护等多项业务上具有非常丰富的实务经验，可以协助客户在复杂的法律和监管框架下有效应对法律的挑战，并长期致力于为医疗健康行业的领导者提供切实可行的决策建议，确保医疗机构、医药企业和互联网企业等在提供医疗健康产业相关服务时，能够有效规避和管控法律风险，提高管理效率、降低运营成本。

imit白皮书简介

浙江数字医疗卫生技术研究院梳理和了解企业、行业乃至社会所关注的重要问题，聚焦医疗健康信息技术的变革，纵览国内外发展轨迹，采用科学的研究方法，为公众提供相关问题的深度解读和创新视角。

imit白皮书每季度一期，目前已发布23期，既往主题涵盖：个人健康档案、健康医疗数据开放、医疗数据隐私安全保护、临床辅助决策、患者产生型健康数据、数据互操作性、医疗人工智能、5G智慧医疗、计算医学、医学知识图谱等。

点击下载