医疗数据资产合规管理与个人信息保护

引言

当下，医疗数据作为融合健康价值、经济价值与公共价值的核心资产，其合规治理已成为医疗行业数字化转型的关键命题。随着《个人信息保护法》《数据安全法》等法律法规的落地实施，医疗数据从采集到交易的全生命周期管理，既需严守个人信息保护的法律底线，又要兼顾数据资产价值的合理释放，这对医疗机构、第三方机构等主体提出了精细化、体系化的合规要求。

当前，医疗数据处理中仍存在脱敏边界模糊、授权规则不清晰、权属划分不明、交易流程不规范等问题，不仅可能引发个人信息泄露风险，也制约了数据在 AI 医疗研发、公共卫生治理、临床辅助诊疗等场景的价值发挥。基于此，本文聚焦医疗数据资产从采集到交易全流程，结合现行法律法规与行业实践，拆解各环节合规要点，明确敏感个人信息保护与数据资产化的平衡原则，以期为医疗行业构建安全、可控、可落地的数据合规管理体系提供指引，推动医疗数据在合法合规的前提下实现价值最大化。

医疗数据资产兼具健康价值、经济价值与公共价值，其全生命周期管理需在《个人信息保护法》《数据安全法》《网络数据安全管理条例》等法律法规框架下，平衡患者个人信息权益保护与数据资产价值释放，构建“采集-确权-处理-管理-使用-交易”全流程合规体系。

一、数据采集：以合法授权与最小必要为基石

数据采集是医疗数据资产化的起点，核心合规要求为“来源合法、授权明确”，需同时满足敏感个人信息特殊规制与医疗行业规范。

（一）采集范围：严格遵循最小必要原则

根据《个人信息保护法》第六条“处理个人信息应遵循最小必要原则”，结合医疗场景，采集范围需限定于诊疗必需信息。门诊场景仅采集患者姓名、身份证号、症状描述等直接相关信息；电子病历系统不得默认采集生物特征（如人脸、指纹），确需采集时需单独取得患者书面同意并限定用途；对未成年人、精神障碍患者等特殊群体，仅采集监护人必要信息，禁止过度收集非诊疗相关数据（如监护人银行账户）。

（二）患者授权：分层分类明确规则

医疗健康信息属于《个人信息保护法》第二十八条规定的敏感个人信息，其授权需结合“完全匿名化”与“去标识化”的法律属性差异分层设计：

完全匿名化数据（无法通过任何技术手段识别特定患者）：根据《个人信息保护法》第四条，不属于个人信息，无需单独授权，可用于公共卫生研究、行业统计报告等非商业用途，或开发匿名化数据产品、授权药企统计分析等商业用途。

去标识化数据（可通过对应关系表恢复识别）：仍属个人信息，需取得患者单独授权，且授权内容需明确脱敏后用途（如“用于AI肺癌诊断模型训练”）、数据接收方（需列明第三方名称及资质）、授权期限（禁止永久授权）及撤回权（撤回后15日内删除数据）。

动态脱敏数据：按最终对外提供状态判断授权要求。若最终为完全匿名化数据，需在初始采集时告知患者“可能被匿名化后用于科研或商业用途”；若为去标识化数据，需单独授权并明确第三方使用限制。

公共卫生应急数据：依据《传染病防治法》第十二条及《个人信息保护法》第十三条，可豁免单独授权，但仅限应急期间使用，疫情结束后30日内完成匿名化处理或删除，不得用于非公共卫生目的，并事后补充告知患者使用情况。

二、数据确权：构建三权分置权属框架

确权是数据资产化的前提，需平衡患者个人信息权益与医疗机构、第三方机构的合法权利。

（一）患者权利：个人信息所有权与控制权

患者依据《个人信息保护法》第四条，对其医疗健康信息享有知情权（7日内提供数据使用记录查询渠道）、更正权/删除权（7日内更正错误信息，终止诊疗后无留存必要的可要求删除）、撤回同意权（15日内停止使用并删除数据）及损害赔偿权（因违规处理导致权益受损可要求赔偿）。

（二）医疗机构权利：数据资源持有权与加工使用权

医疗机构基于合法诊疗服务形成的医疗数据，享有《数据二十条》规定的“数据资源持有权”（需对合法采集数据采取加密存储、权限控制等安全措施）与“加工使用权”（可清洗、整合数据，但不得超出授权范围，去标识化处理需单独存储对应关系表并限制访问）。

（三）第三方机构权利：数据产品经营权（双重授权）

第三方机构获取数据经营权需同时取得患者二次授权（明确场景化用途）与医疗机构/卫生健康部门授权（公共数据需取得《公共数据授权运营资质证书》），且不得超范围使用或转让数据。

三、数据处理：以脱敏技术规范为核心

数据处理（清洗、整合、分析、脱敏）需严格区分“去标识化”与“匿名化”，避免个人信息泄露。

（一）去标识化处理：保留可恢复识别的合规边界

去标识化数据仍属个人信息，处理需删除直接标识符（姓名、身份证号等），模糊化间接标识符（如年龄区间化），并单独存储对应关系表（加密存储、限制访问）。使用时不得向第三方提供原始数据，需在授权范围内使用，并每季度进行可识别性测试。

（二）匿名化处理：实现资产化的核心路径

匿名化数据（无法识别特定个人）不属于个人信息，可自由使用。处理需彻底删除所有标识符，采用“k-匿名化”“差分隐私”等技术验证，并由第三方机构出具《匿名化合规报告》。资产化应用包括开发数据产品、授权科研及挂牌交易，需动态维护以应对外部数据更新导致的可识别性变化。

（三）全流程安全保护

无论脱敏状态，均需采取技术措施（防火墙、加密传输）、人员管理（签订保密协议、定期培训）及审计日志（保存5年）保障数据安全。

四、数据管理：分类分级与可信空间双保障

数据管理需结合《数据安全法》分类分级保护要求与《数据二十条》可信数据空间建设，构建安全可控体系。

（一）分类分级管理

医疗数据分为三级：

一级（普通数据）：完全匿名化统计数据，科室负责人审批，基础加密存储。

二级（敏感数据）：去标识化电子病历等，数据管理部门审批，专用服务器加密存储，双因素认证访问。

三级（核心数据）：可识别个人的电子病历等，卫生健康部门备案+院领导审批，物理隔离存储，双人双锁管理。

（二）可信数据空间建设

依托“联邦学习”“数据沙箱”“区块链”等技术，实现“数据可用不可见”。第三方机构仅能通过API接口调用计算结果，数据流转日志不可篡改，应用于AI训练、跨院共享及公共卫生数据上报场景。

五、数据使用：AI训练与临床应用的合规边界

（一）AI训练场景

完全匿名化数据：无需单独授权，但需在产品说明书注明数据来源，保留《匿名化合规报告》，禁止反向识别患者。

去标识化数据：需专项授权，训练在可信数据空间内进行，AI公司签订保密协议，定期提交使用报告。

混合数据训练：对去标识化数据部分单独授权，明确数据占比及贡献，分别备案核查。

（二）临床辅助应用

AI辅助系统需遵循“辅助性”原则，界面标注“建议仅供参考”，医生人工复核并记录，每半年评估准确性（误诊率超5%暂停使用），定期更新数据并合规审核。

六、数据交易：审批与利益分配双平衡

（一）交易前提：明确范围与流程

可交易数据包括完全匿名化数据产品、匿名化数据服务及去标识化数据使用权（可信空间内调用）；禁止交易可识别个人数据、未授权去标识化数据及公共卫生核心数据。交易需经医院内部审批（科室→数据管理部门→院领导），涉及公共数据需卫生健康部门备案，在官方平台完成交易并存档。

（二）利益分配：兼顾三方权益

依据《数据二十条》“谁投入、谁贡献、谁受益”原则，交易收益按三级分配：

患者层面：提取不低于5%的“患者权益基金”（医疗补贴、隐私保护研发）。

医疗机构层面：主要用于数据管理、医疗服务提升及科研投入（禁止股东分红）。

公共层面：公共卫生数据交易提取30%以上纳入“公共卫生基金”（传染病防控、基层医疗建设）。

（三）交易后管理

通过区块链追踪数据流向，每季度核查使用情况，若匿名化失效需立即停止使用并重新处理。

七、核心风险与应对策略

结语

医疗数据资产合规管理是法律定性、技术处理与管理机制协同的系统工程，核心在于平衡个人信息保护与资产价值释放。通过细化脱敏后授权规则（完全匿名化数据自由使用、去标识化数据单独授权、动态脱敏按最终状态判断），构建“脱敏评估-授权匹配-交易审核-事后审计”全流程机制，依托分类分级与可信数据空间，可确保数据在安全范围内流转，推动医疗健康产业数字化转型。

 【责任编辑：北京迈伟律师事务所 顾问 李峰峰】