健康医疗大数据合规政策法规解读与应用实务
邓勇(北京中医药大学医药卫生法学教授)
2023年6月2日下午,北京大学经济学院风险管理与保险学系第164次北大赛瑟(CCISSR)双周讨论会在北京大学经济学院107会议室举行。北京中医药大学医药卫生法学教授邓勇以“健康医疗大数据合规政策法规解读与应用实务”为题,围绕《数据二十条》进行详细解读。他从法律角度出发,结合实务案例分析数据管理的法律风险,强调数据合规使用的重要性,并对健全医疗健康大数据合规体系提出相应建议。讨论会由风险管理与保险学系朱南军教授主持。风险管理与保险学系部分师生参加了本次讨论会。
首先,邓勇以特定药品团体医疗保险为切入点,分析说明这一创新保险业务并不符合保险监管要求,从而强调在与互联网医院合作的过程中需要格外注意审查合作项目的合规性,尤其是商业保险创新支付这类涉及金融行业强监管的项目。
(图1 邓勇演讲中)
接着,邓勇分六个方面展开此次讲座,包括《数据二十条》与三权分置制度、健康医疗大数据分类、健康医疗大数据处理法定义务、医疗健康大数据相关案例、健康医疗大数据处理原则及具体合规要求、健全健康大数据合规体系提出合理建议。他以从业者角度出发,详细解读了健康医疗大数据合规政策法规。
在数据的三权分置制度方面,《数据二十条》明确了“淡化所有权,强调使用权”,建立了数据资源持有权、数据加工使用权、数据产品经营权分置的产权运行机制(即数据产权“三权分置”制度),从而实现数据的流通、共享以及合规使用。接下来,邓勇介绍了健康医疗大数据的具体分类。
在介绍健康医疗大数据处理法定义务之时,邓勇先厘清了一个重要概念,即个人信息控制者由“有权决定个人信息处理目的、方式等的组织或个人”修改为“有能力决定个人信息处理目的、方式等的组织或个人”,实现从权力论到能力论的转变。一些重要的法定义务包括:如果向外方单位提供或开放使用中国人类遗传资源信息,只能由中方单位进行;健康医疗数据要采取重要数据备份、加密认证等措施保障数据安全;金融机构需要修订完善内部管理制度、信息系统、业务流程并且进行人员培训;在科技领域需要遵循守正创新、数据安全、包容普惠、公开透明、公平竞争、风险防控、绿色低碳七个方面的价值理念和行为规范。在介绍了相关理论之后,邓勇讲解了一系列相关案例。他还介绍了健康医疗大数据的处理原则,即收集者不得欺诈、诱骗或以任何诱导的方式收集数据,而且必须事先获得数据主体明示的授权同意,确保数据的保密性、完整性、安全性。
最后,他以从业者角度出发,讲解了如何搭建健全的健康大数据合规体系,这一体系包括建立健全数据分类分级管理制度、利用科技技术提高数据安全性、加强数据源头泄露行为的内控、办理数据权属登记、设立医疗数据安全管理机构、开展数据评价与价值评估、建立健全数据流转交易管理制度等。特别是要审慎对待数据流转交易行为,事先按照相关法律规定开展数据安全风险评估,尤其需要关注对敏感类的数据流转交易的把控。
(图2 会场现场)
报告结束后,邓勇就大家感兴趣的问题展开进一步的交流与讨论。风保系主任郑伟为邓勇颁发讲座海报作为纪念,并衷心感谢他的生动讲解和详细阐述。本次讨论会提升了大家对健康医疗大数据合规政策法规的理解与认识,具有很强的理论与现实意义。
(风险管理与保险学系 周孟霖 供稿/摄影;姚奕 审核)