智慧医检业务合规发展与风险防控指引

随着物联网、云计算、人工智能的发展，我国医学诊疗服务模式正发生转变。生物医学与新一代信息技术的融合创新加速了第三方医学检验企业数字化、智能化转型。

在大数据产业发展背景下，第三方医学检验龙头企业率先提出智慧医检的概念，智慧医检旨在大幅提升诊断的及时性、覆盖范畴、效率与精准度，实现医学检验与病理诊断全流程智能化。而健康医疗数据作为智慧医检业务的重要基础性战略资源，数据质量及安全与企业的可持续高质量发展息息相关。企业在数字化转型过程中，在挖掘数据现实价值的同时，应有效进行风险防控，保证医疗数据应用安全，以实现对数据的合规利用、合法开发。

智慧医检的概念

智慧医检以大样本、大数据为基础，以疾病诊断和健康服务为中心，以数据和技术为驱动，将生物医学与新一代信息技术融合创新，打造全面智能化医检服务，促进医检经济价值最优化，让医疗与健康服务更精准、便捷、普惠、可及。智慧医检业务目前主要体现在以下三个方面：

一是构建远程病理协作网络，提升病理诊断效率和水平。即通过信息技术将行业内顶级专家整合，提高病理判读的专业性及能力。

二是开展远程诊断平台系统迭代升级，实现远程病理协作网络的敏捷响应和病理诊断资源最大化共享利用。通过信息技术整合专家资源，进一步实现远程诊断、治疗的能力和准确度。

三是推动医疗检测与AI技术相结合，探索智慧医检新模式。引入AI技术辅助医疗检验和病理判读。

市场发展趋势与政策支持

为打造智慧医检生态，第三方医学实验室正在加快数字化转型的步伐，利用数字技术助力医疗健康事业的高质量发展。数字化是智慧医检发展的关键一步，其目的是在检验的全过程实现提质增效、降本增益、创新服务，具有信息资源共享、全程无纸化、采集自动化、分析智能化的特点。

未来医学检验业务将呈现规模化、专科化、平台化、信息化的发展趋势。以龙头企业为例，艾迪康通过连锁规模化的方式进行渠道拓展以实现规模化发展；华大基因等公司专注于专科领域的某一具体核心技术进行专科化发展；金域医学在规模化的基础上建立平台化优势，加强与腾讯、科研机构等外部主体合作；达安临检以社区的慢病管理等业务进行信息化发展。

除了企业自身的战略部署和创新发展，国家政策对第三方医学检验行业的支持也为智慧医检的发展带来了机遇。2016年《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》指出要全面深化健康医疗大数据应用；2018年《国家卫生健康委员会关于印发国家健康医疗大数据标准、安全和服务管理办法（试行）的通知》指出，要加强健康医疗大数据服务管理，促进“互联网＋医疗健康”发展，充分发挥健康医疗大数据作为国家重要基础性战略资源的作用；2021年国务院发布《关于印发“十四五”数字经济发展规划的通知》，提出加快发展数字健康服务；加快完善电子健康档案、电子处方等数据库，推进医疗数据共建共享；推进医疗机构数字化、智能化转型，加快建设智慧医院，推广远程医疗。

智慧医检业务面临的合规问题

人工智能等科技的兴起，让智慧医检迎来蓬勃发展，但与此同时，医疗数据保护合规问题成了企业面临的主要困境，由于医疗数据天然的敏感性，使得企业在数据安全管理方面必须符合更高的要求，采取有效措施防范潜在风险。目前，智慧医检业务面临的主要合规问题为：

第一，非法进行数据采集。

数据采集是数据生命周期的第一个阶段，企业在收集医疗数据时容易忽略数据主体的知情同意权。近年医疗机构非法收集利用患者隐私信息的侵权行为层出不穷，表现为在收集数据或生物样本时未以书面形式告知数据主体获取的方式、内容和用途；以及获取数据后，在后续数据应用的环节没有获得数据主体的动态知情同意。

第二，个人信息、隐私数据泄露。

智慧医检业务通过大量样本和数据采集形成了生物医疗大数据，其中包括大量患者个人身份信息和生物识别、医疗健康等个人敏感信息。在储存医疗数据阶段，部分企业数据安全意识薄弱，企业内部没有建立有效的数据分类分级管理制度及数据安全保护制度，导致医疗数据泄露、毁损、丢失或被篡改，甚至非法向他人提供，使数据主体人格尊严受到侵害或人身、财产安全受到危害。

第三，对医疗数据过度利用。

第三方医检企业收集数据后，会对这些数据进行再次加工或共享，导致健康医疗数据持有人和使用人的扩张，以及健康医疗数据传输、使用的范围不断扩大。数据共享过程中极易发生个人信息收集、传输失控，数据遭到不当使用的情况。

我国《民法典》第1038条及《个人信息保护法》第23条规定，个人数据收集、使用应征得数据主体同意。这意味着在数据共享阶段，应单独获得数据主体个人的同意与授权。但实践中，数据共享通常缺乏公开性，数据主体无法知晓数据管理者是否按照最初授权的方式和目的处理数据，即使其超出授权同意范围处理数据，数据主体也并不知晓。在缺乏有效监督与控制机制下，第三方医检企业对健康医疗数据进行二次使用或流转时，数据主体无法对被共享的健康医疗数据进行有效追踪和控制，致使数据被共享后，数据主体彻底丧失对其个人信息的控制。

第四，未对医疗数据进行严格脱敏处理。

我国《数据安全法》《个人信息保护法》等法律规定数据共享时应做到脱敏化、去标识化和匿名化处理，使数据无法识别特定个人，从而防止侵害公民隐私权。但目前我国法律未详细规定数据脱敏标准、范围、流程，在缺乏法律规制的情况下，第三方医检企业进行医疗数据脱敏操作时主要依靠企业主观判断标准，容易出现未严格进行数据脱敏处理问题。

第五，医疗数据的垄断问题。

由于大数据商业的数据驱动网络效应，通过使用大数据会产生两个循环：其一是拥有众多用户的企业使用其收集的大量数据实现品质的改善，从而获得新的用户（用户—反馈—用户）；其二是拥有众多用户的企业基于其收集的大量数据进行广告市场的改善管理，并投入获得的资金来改善品质，据此获得新的用户（管理—反馈—循环）。

基于这一效应，医疗大数据产业的先发企业相较于后发企业，在后期势必会拥有边际成本趋近于零的优势，这便有可能导致因控制大数据而滥用其垄断优势的情况。智慧医检业务将新一代信息技术融入医疗检验，其发展、盈利将很大程度依赖于资源整合，未来的头部企业可能面临数据垄断问题。

智慧医检业务风险防范指引

从医疗大数据生命周期的视角出发，智慧医检业务中应注意以下风险防范：

1.医疗数据收集阶段

智慧医检业务中对个人健康医疗数据采集应当遵循以下原则：

其一，合法性原则。收集者不得以欺诈、诱骗或任何误导的方式来收集数据；收集者不得通过非法渠道获取任何个人健康医疗数据。

其二，最小必要性原则。收集者只能收集与实现产品或服务功能有直接联系的个人健康医疗数据，对于并非实现业务功能不可或缺的数据，收集者不进行任何形式的收集。

其三，获得数据主体明示授权同意原则。对构成个人信息的医疗数据采集，根据《个人信息安全规范》的要求，直接收集时应获取被收集者的同意（构成个人敏感信息的，还应当获得明示同意）；间接收集时，应要求个人信息提供方说明个人信息来源，并对其合法性进行确认，同时应了解已获取的个人信息处理的授权同意范围。如需收集年满14周岁未成年人的个人信息，须征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。

其四，公开透明原则。收集者应以明确易懂的方式公开个人信息处理规则，明示收集个人健康医疗数据的目的、方式、范围以及数据存储时间等规则，以便数据主体在做出具体的授权同意前，能充分衡量提供数据对其自身权益的影响。此外，当开展智慧医检涉及多项业务同时进行的情况下，收集者不能采取“一揽子”获取客户同意的方式，而是应就每个业务逐项征求客户明示同意。

其五，安全原则。收集者应具备收集数据后能够预测可能出现的风险以及应对风险的能力，以确保收集到的数据的保密性、完整性以及安全性。

2.医疗数据存储阶段

医疗数据采集后企业将对数据进行储存，面对海量的数据存储和管理，企业必须保障数据存储环境的安全性。在隐私保护的角度，应对数据主体的关键身份信息等进行脱敏、去标识化处理，对隐私数据设置隐私标记。在数据管理的角度，第三方医检企业应建立专门的数据管理系统来对获取的生物数据进行管理，并为数据管理系统所处网络划分不同的网络区域，按照方便管理和控制的原则为各网络区域分配地址，对存储数据的数据库网络进行防火墙等隔离手段，保证网络隔离；定期进行数据备份(本地及异地)。

3.医疗数据访问阶段

《国家健康医疗大数据标准、安全和服务管理办法（试行）》规定，针对健康医疗大数据的存储，医疗机构及相关企事业单位应采取数据分类、重要数据备份、加密认证等措施，并同时施行电子实名认证和数据访问控制措施，严格规范不同等级用户的数据接入和使用权限，并确保相关数据在授权范围内使用。

为了保障患者隐私，降低信息泄露风险，第三方医检企业开展智慧医检业务应建立数据分类分级管理制度及痕迹管理制度。企业通过对数据进行分类分级，可以有效厘清企业所持有的各类数据资源，按照数据类别及级别采取相应保护措施及确权授权机制，例如，对于涉及公共安全、个人信息、商业秘密等的敏感性数据应进行重点加强保护。痕迹管理制度则要求对建立、修改和访问医疗数据的主体均应进行严格的实名身份鉴别、安全审查、授权控制，做到行为可管理、可控制、可追溯。

4.医疗数据应用阶段

医疗数据应用阶段是健康医疗大数据发挥价值的重要阶段。在数据应用过程中，企业在取得数据主体明示同意的情况下方可对数据进行处理。且对数据的应用不能超过数据主体授权范围，如需超出授权范围使用数据，应重新征得数据主体的明示同意。此外在数据应用阶段，企业应制定有效的健康医疗数据脱敏及匿名化的标准，防止医疗数据被重新识别的风险。

5.数据共享阶段

保障数据安全是数据共享的前提，在数据传输中应当对医疗数据进行匿名化、去标识化处理，确保共享的数据无法识别特定个体。对于医疗数据的跨境传输，健康医疗大数据原则上应当存储于境内服务器，关键信息基础设施运营者对于其境内运营中所收集产生的个人信息和重要数据具有本地存储义务。因业务需要确需向境外提供的，应按照相关法律法规及有关要求进行安全评估审核。

6.数据销毁阶段

医疗数据具有时效性，当患者恢复健康、第三方医检企业研究结束或存储的数据达到保存期限后，数据便应当销毁。企业应当重视数据销毁阶段的监督管理，防止数据销毁人员擅自保留、复制待销毁数据。

（作者就职于北京中医药大学法律系）