網上投稿
前言
早在1999年,我國即開始倡導醫療信息化建設,到2014年,互聯網醫療開始出現,雖歷經波折,但隨著國家數字化轉型戰略發展,以及我國信息化技術的高速發展,近年來智慧醫療也迎來了更加穩健快速的發展。數字化在為百姓就醫、醫療診治、醫療數據應用等方面帶來了極大的便利。但與此同時,醫療數據的安全問題也逐漸凸顯。醫療機構掌握了大量的患者個人信息,且大部分是敏感個人信息,而不少醫療機構的數據安全意識和保護措施不足,數據合規組織架構混亂,導致很多醫療數據都處于“裸奔”狀態,這也是這些年醫療健康數據頻頻出現泄露的主要原因。
隨著《網絡安全法》《民法典》《數據安全法》《個人信息保護法》等法律法規的陸續出臺生效,數據安全保護的責任主體、法定義務和處罰標準都已逐步明確。面對復雜、龐大且分散的醫療數據資源,醫療單位需要建立一套行之有效的數據安全合規管理體系,才能形成對醫療數據的有效管理,而這套管理體系的有效運轉,需要人來建立、維護、管理和落地實施,也就是我們所說的,首先應當建立一個數據合規管理組織。
本文將從我國的立法要求、國際相關經驗,結合我國醫療機構組織架構的現狀,從一般企業構建數據合規組織架構的思路著手,初步探討國內醫療機構的數據合規組織架構的構建思路,希望給相關單位和從業人員在數據合規體系下的組織建設工作帶來一些建議和思考。
一、我國相關法律對設置數據合規組織的相關要求
我國在《網絡安全法》《數據安全法》《個人信息保護法》中,均將在滿足相關條件的情形下設置相關數據安全管理機構及負責人作為運營者的法定義務。
| 法律法規 |
重點條款 |
| 《網絡安全法》 |
第二十一條 ……(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;…… |
| 第三十四條 ……(一)設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;…… |
|
| 《數據安全法》 |
第二十七條 ……重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。 |
| 《個人信息保護法》 |
第五十二條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。 |
| 第五十八條 ……(一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;…… |
醫療數據包含大量的一般個人信息和敏感個人信息,并可能包含大量的重要數據,一些大型的醫療數據平臺還有可能被認定為關鍵信息基礎設施。從上述各法律規定可以看出,醫療單位應當設置專門的數據合規管理組織,并確定數據安全負責人。
二、國際相關經驗借鑒
我國雖然從法律層面上對設置相關數據安全管理機構及負責人做出了規定,但并未對其在行為、權責等方面給出更為具體的指引、規范等。這方面可以參考國外的相關指引和實踐,例如歐洲數據保護委員會(EDPB)關于DPO職位的指引(Guidelines on Data Protection Officers ['DPOs'] [wp243rev.01]),以及國際標準ISO/IEC 27001中的“附錄A 6.1內部組織”。
根據上述指引和標準,結合我國的立法和實踐,我們認為可以對相關數據安全管理機構及負責人的職責做出如下安排:
(一) 向服務的機構和機構員工提供數據保護方面的信息和建議;
(二)對機構在數據安全與合規方面所做的工作進行監管;
(三)參與和管理對機構數據安全風險及個人信息保護影響方面的評估工作;
(四) 與監管部門建立通暢的溝通渠道,以確保在發生數據安全事故時及時向監管部門匯報;
(五) 負責同數據主體溝通和聯系,協助實現數據主體的數據權利;
(六) 客觀獨立的履行職責,不應因受雇單位的要求而影響對客觀事實和結論的判斷;
(七) 直接向機構最高管理決策層匯報工作;
(八) 承擔網絡安全、數據安全和個人信息保護的管理責任。
三、關于醫療機構構建數據合規組織架構思路的探討
(一)醫療機構組織架構的復雜性
醫療領域的主體單位類型較多,原有的組織結構和經營模式也可能有較大差異,有企業制運營的,如私立醫院、藥房、體檢中心、線上醫藥平臺等,也有事業制運營的,如公立醫院、醫保服務平臺等,主體類型不同導致其自身組織架構差異較大,那么相對地,各主體在數據合規組織架構設計上的差異也會相差較大。
(二)目前我國企業構建數據合規組織架構的基本思路
目前我國企業在構建數據合規組織架構時,直接組建數據合規的管理委員會,在管理委員會的基礎上,根據公司的發展戰略和基本目標,直接任命管理委員會的負責人,也即數據合規安全負責人,一般負責人可直接由風控部門負責人擔任。
在管理委員會之下設數據管理小組,并將相關執行部門納入管理委員會的管轄范圍內,如IT部門、風控部門、行政部門、人事部門等。在數據合規相關事項執行時,數據管理小組來負責承擔企業數據合規管理事務的執行責任,并與各業務部門的部門代表之間做好溝通的橋梁,協助單位內部遵循數據合規的相關要求。
(三)對醫療機構構建數據合規組織架構的思路
如上文所述,醫療機構各主體在數據合規組織架構設計上的差異會相差較大,本文初步提出以下幾個要點。
1、“集團式”單位,即擁有總部單元和多個分支單元的企事業單位,例如連鎖醫院,連鎖藥房,醫療集團等。為更好的將數據安全與合規管理政策落地到各個分支單元并得到有效執行,應當建立全方位、跨單位、跨層級的數據合規組織架構,我們認為在組織管理形式上采取“集中式管理+聯盟式管理”是一種比較有效的模式。
(1)所謂集中式管理,是指以“總部”為核心搭建數據合規組織架構,并將各分支單元的相關職能負責人納入到管理小組中。
(2)所謂聯盟式管理,是指各分支單元的相關職能負責人在“總部”管理小組的管理框架下,結合各自單位的實際情況,分別設置符合自身特點和需求的下級數據安全與合規管理機構(以下簡稱“下級管理機構”),各下級管理機構相互獨立但均受“總部”管理小組的整體管理。下級管理機構負責體系內各管理政策的落地實施,并向“總部”管理小組反饋意見和建議。
(3)在“集中式管理+聯盟式管理”相結合的管理結構中,各分支單位的相關職能負責人將承擔“承上啟下”的重要作用,因此在該角色人員的選擇任用上,應當慎重。
2、醫院類單位與一般企業有所不同,直接大量接觸患者個人信息的主要是各科室醫護人員,而這類人員的工作特點是高專業性、高強度,很難分出精力參與數據安全與合規管理工作。因此,醫院類單位數據安全與合規管理的落地實施方面需要更倚重于信息化系統的數據和隱私保護策略設計,盡可能減輕各科室醫護人員負擔。但這項工作的難度與投入都非常大,非常具有挑戰性。
3、醫療數據價值最大且風險最高的部分是患者個人信息,因此在管理組織的資源配置上,應當向保護患者個人信息安全方向傾斜。
4、在“智慧醫療”的背景下,各醫療單位的醫療數據存在大量的共享、提供等需求,因此在管理組織中,還應當配備專門的職能人員進行供應商和合作伙伴的評估、審核、監督管理等。
結語
我們希望醫療單位建立數據合規組織,不應當僅是出于完成合規義務而采取的形式主義,而是為了使數據安全與合規管理體系能夠有效運轉,不斷完善,進而實現有效保護患者和用戶的個人信息安全,且實現醫療數據在合法基礎上的價值最大化;我們亦希望醫療單位不要將合規投入僅僅看做一項成本,而應當將合規視為單位未來核心競爭力的一部分,讓合規投入為單位帶來更大價值。
滬公網安備 31010402007129號
