医药企业机构日常运营涉及医疗数据及数据合规要点
来源:法律安全管理总部 | 发布时间:2022-03-21
近年来,国家药品监督管理局(“国家药监局”)、国家卫生和健康委员会(“国家卫健委”)、国家医疗保障局(“国家医保局”)、国家市场监督管理总局(“国家市监局”)、国家发展和改革委员会(“国家发改委”)、中共中央网络安全和信息化委员会办公室(“网信办”)等监管部门不断出台新政,进行单独及联合执法,从医疗/医药/医保、数据合规及网络安全、互联网反不正当竞争与反垄断等领域对大健康行业内的企业机构及其相关负责人进行全面规范,对大健康行业企业机构医疗数据合规管理提出了更加细致的要求。 本文从监管法律法规的现状以及法律法规中对于涉及医疗数据的分类和要求进行总结,为下一步医药企业的医疗数据合规应对方法提供初步的事实依据和分析基础。
医药企业的数据来源
根据下图,医药企业主要会从临床/非临床/上市后临床试验和研发中获取数据,同时会从医疗服务、健康管理平台等获取部分医疗数据,即研发试验和药品上市后的数据和来自于医保机构等的保险支付数据。在特殊的情形下,也可能从健康管理企业获取患者的健康监测数据以实现药品的定制化开发、或在疫情的背景下从政府机构获取的传染病监测等数据。
(注:本图根据《信息安全技术-医疗健康数据安全指南》进行整理)
二、医药企业医疗数据规制法律文件概述
由于目前国内还未出台一部统一性的法律,来对各类医疗数据进行准确划分和明确定义,关于医疗数据的分类和定义散见在《 数据安全法》《 网络安全法》《国家健康医疗大数据标准、安全和服务管理办法(试行)》《医疗机构病历管理规定(2013年版)》《人类遗传资源管理条例》《信息安全技术 个人信息安全规范(2020年版)》《 生物安全法》等法律法规文件中,主要包括医疗健康大数据、病历资料、健康医疗数据、人类遗传资源、人口健康信息、临床试验数据等;因此,需要大健康行业企业机构根据业务情况具体分析相关医疗数据是否属于前述数据的范围。前述文件对不同类型的医疗数据的监管要求和尺度有所不同,但从法律合规角度,其规制的基本原则为就高不就低(以下为重要法律文件的部分列举)。
| 文件性质 | 文件名称 |
| 法律 | 《民法典》 |
| 《刑法》 | |
| 《网络安全法》 | |
| 《生物安全法》 | |
| 《基本医疗卫生和健康促进法》 | |
| 《数据安全法》 | |
| 《个人信息保护法》 | |
| 行政法规 | 《人类遗传资源管理条例》 |
| 《关键信息基础设施安全保护条例》 | |
| 部门规章(含规范性文件) | 《关于促进“互联网+医疗健康”发展的意见》 |
| 《关于促进和规范健康医疗大数据应用发展的指导意见》 | |
| 《信息安全技术网络安全等级保护基本要求》 | |
| 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》 | |
| 《网络安全审查办法》 | |
| 《医疗机构病历管理规定(2013年版)》 | |
| 《信息安全技术-个人信息安全规范》 | |
| 《国家健康医疗大数据标准、安全和服务管理办法(试行)》 | |
| 《儿童个人信息网络保护规定》 | |
| 《人口健康信息管理办法(试行)》 | |
| 《电子病历应用管理规范(试行)》 | |
| 《卫生行业信息安全等级保护工作的指导意见》 | |
| 《远程医疗信息系统建设技术指南》 | |
| 《电子病历系统功能规范(试行)》 | |
| 《药物临床试验质量管理规范》 | |
| 《医疗器械临床试验质量管理规范》 | |
| 《医疗器械网络安全注册技术审查指导原则》 | |
| 征求意见稿 | 《个人信息出境安全评估办法(征求意见稿)》 |
| 《个人信息和重要数据出境安全评估办法(征求意见稿)》 |
三、医疗数据合规处理建议
由于现行法规庞杂且令出多头,同时法规在不适更新,故对现有的法规进行初步梳理,整理如下合规要点供参考。
| 处理环节 | 合规要点 |
| 收集(采集) | 人类遗传资源: 应当事先告知提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利,征得提供者书面同意。 |
| 临床试验数据: 研究者和临床试验机构进行采集。 | |
| 存储 | 人类遗传资源: 中方单位根据自身条件和相关研究开发活动需要开展人类遗传资源保藏工作;保藏我国人类遗传资源、为科学研究提供基础平台且满足一定条件的企业。 |
| 临床试验数据: 所有临床试验的纸质或电子资料应当被妥善地保存, 能够准确地报告、解释和确认 。应保护受试者的隐私和其相关信息的保密性。 | |
| 使用 | 人类遗传资源: 外国组织及外国组织、个人设立或者实际控制的机构(“ 外方单位 ”)需要利用我国人类遗传资源开展科学研究活动的,应遵守有关规定,并采取与我国科研机构、高等学校、医疗机构、企业(“ 中方单位 ”)合作的方式进行。 |
| 临床试验数据: 申办者使用的电子数据管理系统, 应通过可靠的系统验证,符合预先设置的技术性能 ,以保证试验数据的完整、准确、可靠,并保证在整个试验过程中系统始终处于验证有效的状态。 | |
| 传输 | 人类遗传资源: 将人类遗传资源信息向外方单位提供或者开放使用的,应向国务院科学技术行政部门 备案并提交信息备份。 |
| 临床试验数据: 根据 监查员、稽查员、伦理委员会或者药监部门 的要求,研究者和临床试验机构应当配合并提供所需的与试验有关的记录。 |