广东广悦律师事务所

健康医疗问题长期以来都是人们最为关注的主题之一，近年来随着科技的发展，传统医疗行业更是借助互联网、大数据、人工智能等新型技术的力量进一步与人民的生活融合，并显现出蓬勃发展的生命力。电子化病历、互联网问诊、AI数据分析、可穿戴电子设备等信息技术手段使得诊疗数据变得更为即时多样、诊疗过程更为方便快捷、诊断结果更为高效准确，极大地满足了人们看病就医的需求，并推动医疗行业迅速发展。

但与此同时，随着健康医疗数据对信息网络系统的依赖程度越来越高，对于个人健康医疗数据安全性的保障也越发面临更多更严峻的挑战——大规模个人信息被非法授权访问、黑客入侵、窃取、泄露或披露等事件频发，且由于健康医疗数据往往牵涉大量个人隐私（例如既往病史、特殊疾病诊疗记录、婚史生育史等），同时包含人体遗传资源数据等重要信息（例如种群特征、基因序列、组织、细胞、血液等），一旦被泄露或经非法使用对个人或国家而言都将造成严重影响，因此更加引发人们的关注和担忧。

基于此，本文选取委托第三方处理健康医疗数据这一典型场景，通过结合相关政策文件提出的重点要求，分析该场景下的主要风险并提出合规建议，以给有关数据处理主体提供一些参考。

一

健康医疗数据的概念与场景介绍

关于健康医疗数据处理规范，我国中央和地方出台了多部政策文件，包括《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》、《国务院办公厅关于促进“互联网+医疗健康”行业发展的意见》、《关于进一步推动互联网医疗服务发展和规范管理的通知》，以及《信息安全技术健康医疗数据安全指南》、《广东省医疗健康数据安全分类分级管理技术规范》等标准文件，目的在于实现保障健康医疗数据安全的目标。

（一）概念

其中参考《信息安全技术健康医疗数据安全指南》的定义，健康医疗数据是指包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据，其中单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据，是为个人健康医疗数据。

一般而言，健康医疗数据可分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据几类，其中各类别数据的大体范围可见下图：

（二）常见场景

由于健康医疗数据应用场景的广泛性和多样性，这一数据处理过程往往涉及多方主体参

与，针对特定数据特定场景，可将相关主体分为“数据主体”、“数据控制者”、“数据处理者”和“数据使用者”四类角色，且同一数据处理行为中，任何特定组织或个人只能被归为其中一个角色。

而基于数据在不同数据处理角色中流转的轨迹进行分类，又可将数据流通使用场景分为6类，包括：

主体-控制者间数据流通使用；
控制者-主体间数据流通使用；
控制者内部数据流通使用；
控制者-处理者间数据流通使用；
控制者间数据流通使用；
控制者-使用者间数据流通使用。

其中，委托第三方处理健康医疗数据属于上述第四类场景。

二

委托第三方处理健康医疗数据场景下的风险

因健康医疗数据涉及大量个人敏感信息，数据的重要性及敏感性程度决定了在处理此类数据上的更高合规要求，但实务中出于多方面的原因，相关处理行为往往未能满足上述要求，致使数据暴露于危险之下。

委托第三方处理健康医疗数据场景下的风险主要可以从数据发送端、数据传输过程，以及数据接收端三个方面进行分析。

（一）数据控制者的安全管理能力风险

从数据发送端而言，不少医疗服务、医保机构等数据控制者自身缺乏健康医疗数据安全合规意识，内部也尚未建立完善、有效的安全管理机制。

例如，就医问诊过程中在涉及收集个人的健康状况、就医情况、保险信息、可识别生物信息等个人敏感信息时未履行告知同意步骤，或未作区分，进行一揽子索权，未经个人单独同意的情况屡见不鲜；同时，在各机构内部，亦不乏健康医疗数据未分级、分类，以及未对相应数据的授权管理、身份鉴别及访问控制权限加以区分等情形。

由于这一问题，不同于其他行业数据，健康医疗数据安全面临来自内部的威胁竟远高于外部，进而给个人的生命、财产以及隐私安全带来了巨大的隐患及影响。

（二）数据传输过程中的毁损灭失和泄露风险

而作为健康医疗数据流通的典型场景之一，委托第三方处理因涉及数据对外传输，数据流动性大、数据处理参与主体多等特性，更加使得这一过程面临着比一般数据处理行为更高的安全风险。

因委托第三方进行健康医疗数据处理，往往存在大量健康医疗数据在控制者和处理者间频繁增减、更新、修订等往复操作，而无论这一过程是借助于线上传输工具（如邮件传输、云端存储等）或物理传输（如硬盘拷贝等），都可能存在着因数据备份不及时、安全保障措施不到位等问题带来的数据损毁、灭失或泄露等风险。

（三）各健康医疗数据处理主体的合规保障能力风险

此外，在健康医疗数据处理过程中，因涉及多方数据处理主体，且各主体都能够获取相关数据的使用权限，数据处理主体的整体安全能力就显得尤为重要，否则如同“木桶效应”，即便单一数据处理主体安全保障能力强，且在存储、使用、传输过程中严格实施了去标识化、加密、数据分割等安全保障手段，但因数据接收端主体的安全保障能力无法达到同等要求，例如无法有效防范网络系统被入侵，甚至擅自实施重标识、对外披露等行为，则健康医疗数据安全仍会于此崩盘。

三

合规建议

基于第二章所提及的健康医疗数据处理合规风险，我们建议各数据处理主体可以着重从以下几点着手，通过规范数据处理行为的合规性，以最大限度地实现保障数据安全的目标。

（一）事先进行个人信息保护影响评估

其次，个保法还提出在委托（第三方）处理个人信息时“个人信息处理者应当事前进行个人信息保护影响评估”的要求。

概括而言，个人信息保护影响评估应主要包括以下内容：

阐述数据处理活动的目的，处理方式的合法、正当、必要性；
分析对个人权益的影响及安全风险；
分析安全保护措施的合法、有效性，以及与数据处理活动风险等级的匹配性。

关于如何制作个人信息保护影响评估报告的具体指示，还可进一步参考我们发布的另一篇文章《一文读懂：企业如何落地个人信息保护影响评估？》。

（二）需确认数据处理者具有足够的安全能力，双方签订《数据处理使用协议》

第三，因泄露事件频发，核查并确认受委托处理数据的第三方享有足够的数据安全保护能力具有十分的必要性，在实践中也多采用书面核查、实地考察，以及签订书面协议等方式予以规范和保障，其中由数据控制方和数据处理者之间签订《数据处理使用协议》的要求必不可少。

具体而言，该协议中所需要明确的重点内容分为数据控制方的义务与数据处理方的义务两个方面，核心要点如下：

（1）数据控制方的义务

（在数据传输前）完成数据的去标识化，应至少去除如下的个人标识信息，如姓名、工作单位、地址、手机号码、邮箱、银行账号、身份证号码、医院住院卡账号、手机设备号、生物可识别信息（用于识别目的，例如人脸照片、指纹、声纹等）等；
同时，参与去标识化工作的人员，不得由参与协议订立的人员负责。

（2）数据处理方的义务

不得重标识，即不得把去标识化的数据集以任何形式重新关联到原始个人信息主体，或与外部数据相关联；
承诺未经控制方事先同意，不得向任何第三方披露；
承诺在协议终止后6年内需遵守保密义务；
承诺对相关数据采取必要的安全保护措施，以及在未充分履行保护义务的情形下，需承担全部赔偿责任；
如发生数据泄露，应及时通知数据控制者的义务。
（三）需经由委员会审批通过

除此以外，还需要注意的是，与处理其他类型数据不同，根据有关规定，作为健康医疗数据控制者的组织，出于更好地保障数据处理安全的目的，要求组织架构中必须至少设有健康医疗数据安全委员会和健康医疗数据安全工作办公室两个机构，其中健康医疗数据安全委员会主要负责全面的安全工作，并讨论决定健康医疗数据相关的安全重大事项，数据安全工作办公室则主要负责具体的日常数据安全工作，其工作职责与目的在于实现数据安全、有组织、有计划、有记录的流动。

在委托第三方处理数据的场景下，因涉及对外传输并使用特定健康医疗数据，程序的要求上应参考“数据使用流程要求”，即申请单位应提出明确的申请使用目的和范围，并经数据安全工作办公室初审后，将相关资料提交数据安全委员会审批授权后方可予以使用。

特别声明

本文仅为交流探讨之目的，不代表广东广悦律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用本文的任何内容，请与本所沟通授权事宜，并于转载或引用时注明出处。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。