|
|
“医疗个人数据保护合规优化”专题学术沙龙举办 |
11月1日起,《个人信息保护法》将正式施行,这标志着我国在个人信息保护方面制度更加完备。而医疗业作为与个人信息密切相关的行业,对数据保护有着更高的要求,如何实现医疗行业数据合规,是医疗机构要面对的重要课题。 10月26日下午,由广东省医院协会医院信息化专业委员会与广东智洋律师事务所联合举办的“医疗个人数据保护合规优化”专题学术沙龙顺利举办。广东省医院协会副秘书长兼评审评价办公室主任潘晓雷、广东智洋律师事务所数据合规委员会主任朱宝石律师、德国认证数据保护官法比安·海恩茨先生等专家学者齐聚一堂,就《个人信息保护法》对医疗行业数据保护的影响、医疗机构实现数据合规的意义等话题,进行了深入的探讨与交流。 ●数据合规重要性凸显 潘晓雷在致辞中表示:“《个人信息保护法》《网络安全法》《数据安全法》共同形成我国数据安全与治理的‘三驾马车’。我们有必要加强对‘医疗个人信息保护’专题的学习和交流。” 潘晓雷认为,智慧医疗、健康医疗大数据建设等都是当今医疗行业关注的重点课题,也是未来医疗行业的发展方向。然而医疗大数据建设越是深入,医疗机构对于患者信息的掌握也就越发详细,数据合规的重要性就越发凸显。 ●医疗数据合规迫在眉睫 会上,广东智洋律师事务所朱宝石律师以“《个人信息保护法》对医院的影响及应对——责任、风险及合规与防范”为主题进行了演讲。 朱宝石以多个国内外关于医疗数据泄露的热点事件切入,揭示了医疗行业数据保护存在的大量漏洞。他表示,与一般个人信息相比,医疗数据更加敏感,泄露所造成的影响也更大。因此,对于每个医疗机构而言,医疗数据合规都迫在眉睫。 随后,朱宝石对我国医疗个人数据保护现状及问题进行了深入分析。据他介绍,根据国标委发布的《健康医疗数据安全指南》,不同级别的医疗数据的保护要求有所区别。然而在具体的操作与标准层面,国内尚缺乏具体的指引性文件。而目前行业中的HIPPA、JCI等评审都利用了外国标准,可能涉及国家安全问题。不仅如此,我国健康医疗行业APP的安全性也十分堪忧,高危漏洞多、恶意程序危害严重。此外,我国医疗机构处理数据侵权投诉或纠纷时,缺乏系统性的处理和应对措施。因此,我国医疗数据合规任重而道远。朱宝石认为,医疗机构应当与技术公司以及法律服务机构共同合作,才能真正实现医疗数据合规。 最后,朱宝石对即将施行的《个人信息保护法》进行了介绍与展望。他认为,《个人信息保护法》对欧盟GDPR的许多内容有所借鉴,同时也有着自身的亮点,比如构建了以“告知——同意”为核心的个人信息处理规则、与营业额挂钩的处罚规则等等。未来,对于违反个人信息保护相关法规的机构或个人,将可能同时承担民事、行政、刑事方面的责任。 ●可借鉴欧洲医疗数据保护经验 “中国的数据保护法在数据主体权利或健康数据处理方面与GDPR类似。”德国数据保护专家法比安表示。 法比安以“欧盟GDPR框架下的医疗个人数据保护”为主题进行了专题演讲。他介绍,除原则性规定外,GDPR对医疗机构的数据保护会提出较为具体的要求。比如医疗机构在处理数据时哪些情形下必须告知患者,又比如每位员工所能访问的数据权限范围,这些问题在GDPR中都有所规定。目前,中国的数据保护法在保护原则等方面与GDPR类似,对违反数据保护法的处罚力度也大体相当,但对于合规的具体要求和标准,仍有进一步完善的空间。在这方面,中国可以借鉴医疗数据保护的欧洲经验。 ●智洋助力医疗数据合规优化 演讲结束后,与会来宾就医疗数据保护的相关法律问题开展了深入讨论,也有大量观众通过在线直播观看了此次沙龙。在互动环节,朱宝石对智洋数据合规业务进行了详细介绍。 智洋律所早在2016年GDPR正式通过之日起,就对个人数据合规工作高度关注并投入大量资源。目前,其团队已开发了完整的个人数据管理合规优化法律服务体系,并与欧洲多家律所、咨询公司、技术服务公司建立了友好合作关系。团队可以通过尽职调查、设计合规手册、开展员工培训、与技术团队共同对医疗机构规章制度、工作流程、信息系统进行优化再造等方式,为不同行业的企业、机构量身定做完整的数据合规管理体系。通过购买数据合规法律服务,企业不仅可以实现国内与欧盟个人数据保护的双重合规,也能确保自身的数据权益得到充分保护。(申飞雁)
