传统的医疗数据应用场景,已逐步从医院内部运营管理的视角,拓展衍生至医疗数据资产化的维度。然而,由于医疗数据具有不同于其他行业的特征,鉴于数据量庞大、异构数据繁杂、隐私保护性强等特点,将医疗数据作为资产进行管理并实现资产流通甚至交易,面临着巨大的现实困难和挑战。其中,医疗机构缺乏成熟的医疗数据管理制度体系、尚未形成科学合理的数据分类分级等,已成为阻碍医疗数据资产化路径实务性探索的重要因素。
本文将分为上下两篇,探讨数据安全和价值视角下的分类分级:上篇主要探析医疗数据分类分级的意义和难点、政策法规现状、分类分级的原则等;下篇将深入探讨医疗数据分类分级的规则与方法并给予实务建议,以飨读者。
医疗数据分类分级的意义
医疗数据分类分级是指根据医疗数据的特征、敏感性、价值等因素,将医疗数据划分为不同的类别和等级,以便对医疗数据进行有效的管理。无论是从数据安全的角度还是医疗数据价值挖掘的角度,对医疗机构收集、存储的数据进行分类分级体系建设,更是有着重要意义:
一是可以提高医疗数据的安全性。通过对医疗数据进行分类分级,可以明确哪些数据需要重点保护,哪些数据可以开放共享,以及如何保护和共享。这样可以有效防止数据的泄露、篡改、丢失等安全风险,保障数据的保密性、完整性和可用性。
二是可以促进医疗数据的有效利用,是实现医疗数据资产化的重要前提和基础。通过对医疗数据进行分类分级,可以更好地识别数据的价值和潜力,以及满足不同业务场景和需求的数据。这样可以有效提升数据的开发利用和共享交换效率和效果,支持医疗质量、创新应用等方面的发展。
医疗数据分类分级的难点和挑战
究其原因,主要是由于医疗数据的隐私敏感性、对合规要求高,在实务中医疗机构虽然很明确医疗数据具有巨大价值,但对于哪些数据可以开发形成数据产品,仍存在大量的困惑。另一方面,医疗机构的系统繁杂,导致异构系统之间的数据难以实现互联互通,限制了数据的开放共享和利用。而对于医疗机构收集存储的数据进行分类分级体系建设,是解决以上难点的重要手段和途径之一。
但通过专栏写作团队对全国几十家医疗机构的调研情况来看,多数医疗机构对数据分类分级的认识尚处于初级阶段,多数机构尚未正式开展数据分类分级的体系建设工作。从被调研对象反馈来看,医疗数据分类分级的难点挑战主要集中在以下方面:
缺乏有效的医疗数据分类分级工具和平台。目前,医疗数据分类分级工作主要依靠人工进行,工作量大、效率低、准确性差。需要开发有效的医疗数据分类分级工具和平台,利用人工智能、大数据、云计算等技术,实现对医疗数据的自动化或半自动化的发现、识别、打标、监控等操作,提升医疗数据分类分级工作效率和效果。
专业领域的技术人员缺乏。医疗数据分类分级是一项涉及多个领域的综合性工作,需要有医学管理、信息技术、数据治理、数据安全、数据分析、法律合规等方面的专业知识和技能,才能够从业务出发,科学系统地对数据进行分类分级,明确数据的定义、属性、含义、格式、结构、语义等要求,统一各个异构系统的数据标准和规范。另一方面,医疗数据往往包含着大量个人敏感信息,如何合规地处理个人信息、如何在从法律角度对数据进行合规的分类分级打标签,医疗机构往往面临着工作人员“懂技术的不懂法律、懂法律的不懂技术”的尴尬。需要有复合型人才或多个领域专业人员配合,才能够对不同类别和等级的数据进行安全合规的分类分级保护,防止数据的泄露、篡改、丢失或非法利用。
医疗数据分类分级的参考规范现状
缺乏从医疗数据价值和潜力的评估和挖掘的角度给出指引性建议。其主要是根据数据的重要性、敏感性、风险等级等因素进行分类分级,但没有从支持医疗业务、质量、创新等方面发展的角度,给出对医疗数据价值和潜力的评估和挖掘的方法和指导,也没有明确不同类别和等级的数据在不同场景的应用策略和价值评估。
缺乏对医疗数据开放共享利用的具体规范和要求。标准文件虽然提出了健康医疗数据应当在符合法律法规、保护个人隐私、保障国家安全和公共利益等原则下进行开放共享利用,但没有给出具体的规范和要求,如数据共享机制或协议的制定、数据使用者的资格认证、数据使用目的和范围的限制、数据使用效果和影响的监测等。标准文件也没有明确不同类别和等级的数据在不同场景的开放共享利用的条件和限制。
缺乏对医疗数据分类分级工具和平台的推荐和引导。标准文件主要是从理论层面给出了健康医疗数据分类分级的原则和框架,但没有给出具体的实施方法和步骤,也没有推荐或引导使用有效的医疗数据分类分级工具和平台,如利用人工智能、大数据、云计算等技术,实现对医疗数据的自动化或半自动化的发现、识别、打标、监控等操作。标准文件也没有给出对医疗数据分类分级工具和平台的评估和认证标准。
医疗数据分类分级的实施原则
医疗机构可结合自身具体情况,借鉴和参考现有的数据分类分级标准文件,除了从安全性角度,还可从数据价值挖掘、数据流通利用、满足监管要求等角度对数据进行分类分级。
一般在对数据进行分类分级前,需要根据自身所处行业的特性以及未来业务发展需求,先确定数据分类分级原则,这是因为分类分级的原则确立是作为具体实施方法所需要达到的整体目标,也是分类分级具体实施方法的指导性准则,比如将“就高不就低”作为数据分级的原则,在对无法判断某类数据应属于一高一低哪个保护级别时,可以基于前期确立的原则,将此类数据定义为风险级别高的数据,以达到保障风险安全防范的目的。
科学合理地确定数据分类分级原则,对后续开展数据分类分级工作具有重要意义,可以避免数据分类分级的随意性和盲目性,导致后期重复性分类或冲突性分级,保证分类分级的一致性和准确性,提高数据分类分级的效率和质量,促进数据分类分级的管理和监督,增强数据分类分级的可靠性和安全性。
在《广东省健康医疗数据安全分类分级管理技术规范》(T/GDWJ013-2022)这份标准文件中,给出了比较全面的分类分级原则可作为参考。如:合法合规性原则、综合性原则、规范性原则、可执行原则、稳定性原则、时效性原则、明确性原则、自主性原则、就高不就低原则、关联叠加效应原则。
价值导向原则。应根据医疗数据的价值特征和价值潜力,对其进行合理评估和划分,以促进医疗数据的有效利用和合理流通,实现医疗数据资产化。
保护优先原则。应在充分保障医疗数据安全和个人隐私的前提下,推动医疗数据的开放和共享,遵循最小化、最必要、最适当的原则,对不同级别的医疗数据采取不同程度的保护措施。
协同创新原则。应鼓励各类主体在遵守法律法规、尊重知识产权、保护商业秘密、维护公平竞争的基础上,通过合作共建、联合开发、资源共享等方式,实现医疗数据的跨界融合和协同创新。
小结
做好医疗数据分类分级,是从容应对数据安全风险与挑战,提高数据开发利用水平促进医疗数据资产化的重要前提。
在下篇中,专栏写作团队将继续深入探讨医疗数据分类分级的规则与方法并给予实务性建议,以期为各医疗机构带来一些有益启发,共同推进医疗数据资产化路径的探索进程。
【作者团队】
本期主笔:李丹、陈双
撰写团队:黄迪、伍睿
李丹,高级会计师、高级管理会计师,现任广东省人民医院信息管理副处长。暨南大学、广东财经大学会计专业学位实践指导教师,上海国家会计学院智能财务研究中心研究员,广东省数字政府专家资源池专家,中国医院协会信息专业委员会青年委员。结合自身管理会计专业、医保管理工作经历,与信息技术融合,主管建设项目获得软件著作权登记证书8项,作为主要编写人参编团体标准5项,主持(参研)省级及国家课题5项,参编著作2本(其中担任副主编出版《医院经济管理系统理论指引与实务指南》/暨南大学出版社ISBN978-7-5668-2621-3),在《中华医院管理杂志》《中国卫生信息管理杂志》等公开发表论文13篇。
陈双,垦丁(广州)律师事务所联合创始人、国际数据管理协会(DAMA)中国专家成员、全国资产管理标准化技术委员会数据资产组专家成员、广东省数字政府改革建设专家委员会专家成员、广东省数据资产登记合规委员会专家组成员。曾主办多个大型数据权属争议案件,曾服务于广东省多个政府部门及担任多家大型互联网与数据类企业、医疗机构的常年法律顾问,参与多份数据资产国家标准和团体标准起草工作,参与国内多个数据交易所数据交易合规规则制定,为多个数据资产产品流通提供合规法律意见。
黄迪,垦丁(广州)律师事务所资深律师,香港中文大学法律博士,全国资产管理标准化技术委员会数据资产专家组成员。曾担任知名三甲医院、互联网医院、人工智能、生物科技、身份识别技术企业的常年法律顾问。参与“广东省医学数据资源生产要素化路径标准化试点”项目工作;参与中国医药会计学会2023年度重点课题;参与起草多份数据资产方面的国家标准和团体标准。