打造健全的医疗健康数据合规体系

在现代医疗卫生产业中，大量的医疗健康数据不断产生、记录和上传到电子病历系统与数据库中。医疗信息的数字化不仅提升了诊疗效率，也推动了患者关系管理、生物信息学等领域的进一步发展。然而，在高速发展的背后，也存在着诸多数据安全和隐私保护的问题。本文旨在概述国家对医疗健康数据安全的法规要求，以及当前各医疗机构在数据安全能力建设方面的现状来分析数据合规的重要性，并为如何创建一套健全的数据合规体系提出建议。

一、法律法规对健康医疗数据保护的要求

《个人信息保护法》明确将健康医疗数据定义为敏感数据，要求实施严格的保护措施。2022年由国家卫健委和国家疾控局在《网络安全法》《数据安全法》和《个人信息保护法》的基础之上，发布了《医疗卫生机构网络安全管理办法》。在该办法中，有一个独立的章节专门明确了对数据安全的要求，主要包括

1）组织层面：要建立数据安全管理组织架构，明确业务部分和管理部门在数据安全上各自的主体责任，并落实追责追究制度。 

2） 制度层面：要建立健全数据管理安全制度、操作规程和技术规范，要每年执行数据安全风险评估，要组织数据安全意识教育与培训。要建立数据使用申请和批准流程。

3）数据管理活动层面：每年都要对数据资产进行全面梳理，要建立数据分类分级标准。

4) 保护措施层面：要在数据的全生命周期中嵌入数据保护措施，包括数据脱敏、加密、备份、权限控制、数据安全销毁等。

二、医疗卫生机构数据安全现状

当前，数据安全已成为医疗卫生机构亟待解决的问题。在这一过程中，我们可以从以下几个方面总结医疗卫生机构在数据安全能力建设方面的现状：

数据安全意识淡薄：许多医疗卫生机构并没有完善的数据安全管理制度和流程，对数据安全的重视程度还不够。员工在处理数据时，往往缺乏必要的安全意识和防范能力，容易导致数据泄露和滥用。

安全管理手段滞后：目前，医疗卫生机构在数据安全方面的能力建设和技术投入相对较低。重安全设备采购，轻安全流程管理，在没有内部专职安全团队以及有效的安全与业务流程整合的情况下，容易出现安全产品购置后弃之不用的情况，导致各类数据保护的技术措施完全失效。

技术能力缺失：大部分医疗卫生机构的IT能力完全依赖外部厂商，缺乏内部安全专业人员，也就无法实现对机构内数据资产情况的持续梳理，以及常规的数据分类分级与风险评估。没有内部安全能力的情况下，既不能持续感知医疗卫生机构的数据安全态势，更无法为数据有效流通和利用提供技术支持。

三、数据合规体系的建设方法

面对上述问题，如何安全、合理地利用医疗数据，使之为提升医疗行业服务质量、降低运营成本、优化资源配置发挥积极作用，成为了当前迫切需要解决的问题。在这一背景下，建立健全的数据合规体系显得尤为重要。

考虑到医疗卫生机构相对薄弱的技术能力以及复杂的数据使用场景，本文作者建议通过项目的方式，结合自身情况逐步建立一个既符合法律法规要求又有助于医疗数据有效利用、降低合规风险的数据合规体系。

3.1 第一阶段：识别需求与风险评估

首先合规体系的建立是一个“一号位工程”，需要机构的负责人牵头，组建由各相关部门组成的安全委员会，统一思想，并明确各层级团队在数据安全合规方面的责任。安全委员会指定并授权数据安全负责人来推进整个合规体系项目，并提供资源支持。

数据安全负责人在该阶段最主要的工作是了解本机构中各部门的数据需求和数据使用现状，识别关键业务流程及涉及的敏感数据，建立机构的第一版数据资产目录。

基于数据使用现状和业务需求，安全负责人可以会同律师团队梳理出具体的合规需求，并基于该需求列表执行全机构层面的数据安全影响评估。

第一阶段结束时能完成对机构内部的数据安全情况的完整理解，为下一步的计划实施构建好基础。

3.2 第二阶段：设计合规政策与流程

安全负责人基于机构的数据需求与法规适用情况，制定本机构的数据安全策略、规章和流程，明确数据安全和合规的要求。 数据安全规章应至少包括数据加密标准，数据访问权限控制制度，数据备份与恢复制度在内。相关的策略与规章都需提交安全委员会，获得批准后向整个机构进行公开发布和宣讲。

该阶段还需要建立数据分类分级制度，并确定不同级别数据的安全控制措施。这里可以参考国标委2021年实施的GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》，它不仅清晰定义了分类分级的标准，并针对8个具有代表性的场景的数据安全措施提供了建议。根据数据分类分级标准，规范对数据的收集、存储、分析、传输、使用和销毁操作，并建立数据申请及审批机制。

同时医疗卫生机构需要在这个阶段为安全负责人组建专业安全管理团队，将具体的安全管理活动和责任明确到团队中的成员。

3.3 第三阶段：措施落地与实施

根据机构已批准的安全政策和制度，第三阶段由安全团队会同IT以及业务部门完成措施的落实。这个阶段耗时最长，也是阻力最大的过程。应该优先选择数据安全影响评估中发现的高风险系统/业务流程着手，充分考虑业务需求制定技术解决方案和实施方案，通过第一个项目的成功来为团队建立信心。

每个业务流程完成数据安全措施改进后，需要重新进行DPIA(数据安全影响评估)，识别和登记遗留的安全风险，并向安全管理委员会展示优化措施取得的效果，争取进一步的资源支持。

如《医疗卫生机构网络安全管理办法》中所做要求，安全管理和技术措施要和业务流程有机整合到一起，并贯彻到整个数据生命周期中。安全方案落地过程中，要为参与业务流程的所有工作人员提供安全培训，并收集反馈，确保他们熟悉并遵守安全规范和操作规程。

3.4 第四阶段：宣导、监管和审计

在完成数据安全制度和技术措施的成功落地后，数据安全团队需专注如下任务，确保能够及时发现和处理可能的安全问题，并快速响应监管要求。

    1）评估数据合规体系的落地效果，进行定期审计及漏洞检查，持续完善体系。

    2）根据本机构业务特点，建立健全数据安全应急响应机制，包括发现、报告、分析、处置、修复等环节。

    3）对员工进行定期培训，提高数据保护和隐私意识，宣导合规重要性，并建立培训记录。

    4）进行自动化或定期的机构数据资产盘点，更新数据资产目录。

    5）对新系统或新业务流程进行数据安全影响评估，全面监控机构的数据安全风险状况。

    6）持续研究最新的数据安全与保护技术，为机构的安全与合理数据利用提供技术支持。

医疗卫生机构通过实施上述分阶段项目，能够构建符合法律法规要求的数据合规体系，降低合规风险，保护患者隐私，同时利用技术支持健康数据的有效流通与利用。