第 23 期 个人信息保护法下健康医疗数据隐私保护新解读 The Latest Reinterpretation of Data Privacy Protection in Healthcare Under the Personal Information Protection Law 本期导读 随着信息化与经济社会持续深度融合，个人信息权益侵害事件频发，个人信息保护已成为 广大人民群众最关心、最直接、最现实的利益问题之一。制定个人信息保护法是进一步加强个 人信息保护法制保障的客观要求，也是促进数字经济健康发展的重要举措。“执其两端，用其 中于民”，个人信息保护法的立法目的是“保护个人信息权益”和“促进个人信息合理利用” 并行。保护是为了更好的利用，健康医疗数据生态参与者在面临政策环境变化带来规制挑战的 同时，更要看见制度完善带来的新发展机遇。 浙江数字医疗卫生技术研究院 李莹莹 周佳卉 张建楠 李莹莹 朱烨琳 杭州数钮科技有限公司 刘松林 钱远之 中伦律师事务所 陈方强 个人信息保护法下健康医疗数据隐私保护新解读 内容摘要 (一 ) 《个人信息保护法》概述 业者应当在原有健康医疗领域应用个人信息 保护要求的基础上，结合《个人信息保护法》 带来的新要求，对健康医疗数据进行全生命 周期的合规处理，需关注各环节各有其合规 要点。 随着信息化与经济社会持续深度融合， 个人信息权益侵害事件频发，个人信息保护 已成为广大人民群众最关心最直接最现实的 利益问题之一。制定个人信息保护法是进一 步加强个人信息保护法制保障的客观要求， 也是促进数字经济健康发展的重要举措。经 历二十载的发展历程，《中华人民共和国个 人信息保护法》（以下简称“《个人信息保 护法》”）自2021年11月1日起正式施行。 《个人信息保护法》的实施确认了个人信息 保护范围，确立了个人信息处理活动基本原 则，对个人在个人信息处理活动中的权利进 行充分的规定，明确了个人信息处理者的义 务、确定了职责部门与法律责任等。自此， 我国形成了以《网络安全法》、《数据安全 法》、《个人信息保护法》为核心的法律体 系，为数据应用和个人信息权益保护提供了 基础制度保障。 (三 ) 健康医疗领域个人信息保护现 状与进展 目前，区块链技术应用在健康医疗领域 个人信息保护研究热度增长最快，医疗大数 据、电子病历、电子健康档案、移动 /互联 网医疗、物联网等是个人信息保护研究热 点，近三年新增研究领域主要集中在疫情防 控、数据共享中的隐私保护研究。医院作为 患者个人信息处理的主要机构，尚未形成体 系性的个人信息保护的管理制度，不同医疗 机构对于隐私安全认识与处理能力的差异较 大。电子病历系统有待加强医护人员对电子 病历隐私保护意识，电子健康档案的进一步 共享开放需进一步加强数据传输和访问中的 隐私安全。互联网医疗、临床科研和疫情防 控作为重要的健康医疗领域个人隐私保护代 表性场景，均存在不同程度制度可操作性不 足及管理落实不到位问题。技术方面，传统 隐私保护技术主要包括数据扰乱技术、数据 加密技术、数据匿名化技术和访问控制技术， 不同的隐私保护技术均有各自适用性与局限 性。区块链技术和隐私计算是新型数据保护 技术未来发展方向。 (二 ) 个人信息保护法下健康医疗数 据管理新挑战 目前国内外对于健康医疗领域个人信息 保护均未有专门立法，健康医疗领域对于个 人信息的保护要求散见于法律、部委 /地方 性法规和部委/地方性规章当中。《个人信 息保护法》的实施对于产业内各类型企业的 数据处理活动将会有不同程度的影响，主要 包括要求企业需根据该法关于“个人信息” 和“个人敏感信息”的定义对所处理的健康 医疗数据进行识别并履行相应义务；采取相 应的安全和技术措施确保个人信息活动符合 法律、行政法规的规定，防止未经授权的访 问以及个人信息泄露、篡改、丢失；在发生 个人信息的安全事件后，依照过错推定原则， 企业需具备一定的举证能力。相关企业和从 (四 ) 个人信息保护法下健康医疗领 域隐私保护实践 日本通过创设国家认证制度认证认定匿 名加工医疗信息制作者推动数据匿名加工， 欧盟通过设立数据保护官统筹开展隐私保护 管理等对我国个人信息保护法在健康医疗领 1