研究简介

（一）研究背景

为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，该法已于2021年11月1日起施行。《个人信息保护法》的实施将会对于健康医疗领域内各类型企业的数据处理活动产生不同程度的影响，为此本期白皮书在imit白皮书第三期《如何保护个人健康医疗信息？》、imit白皮书第十期《促进健康医疗大数据规范化应用——开放数据的隐私安全保护》、imit白皮书第十六期《新冠肺炎疫情防控中个人信息保护手册》的基础上，对个人信息保护法下的健康医疗领域的隐私保护变化进行新解读。

（二）研究目标

了解《个人信息保护法》重点内容及对健康医疗领域数据合规利用带来的影响。分析《个人信息保护法》下健康医疗数据个人信息保护要求。梳理健康医疗领域个人信息保护现状及进展，为该法实施背景下的健康医疗数据应用个人信息保护实践提供参考借鉴。

（三）研究方法

本研究通过对国内外相关文献和资料进行检索和整理归纳分析，同时对国内有代表性的健康医疗数据处理企业开展调研，深入了解健康医疗领域个人信息保护发展状况；联合专业律师专家进行深入讨论，分析个人信息法施行对健康医疗领域的影响。

内容摘要

（一）《个人信息保护法》概述

随着信息化与经济社会持续深度融合，个人信息权益侵害事件频发，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求，也是促进数字经济健康发展的重要举措。经历二十载的发展历程，《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）自2021年11月1日起正式施行。《个人信息保护法》的实施确认了个人信息保护范围，确立了个人信息处理活动基本原则，对个人在个人信息处理活动中的权利进行充分的规定，明确了个人信息处理者的义务、确定了职责部门与法律责任等。自此，我国形成了以《网络安全法》、《数据安全法》、《个人信息保护法》为核心的网络法律体系，为数据应用和个人信息权益保护提供了基础制度保障。

（二）个人信息保护法下健康医疗数据管理新挑战

目前国内外对于健康医疗领域个人信息保护均未有专门立法，健康医疗领域对于个人信息的保护要求散见于法律、部委/地方性法规和部委/地方性规章当中。《个人信息保护法》的实施对于产业内各类型企业的数据处理活动将会有不同程度的影响案例化解析医疗机构场景下的数据合规和个人信息保护要点，主要包括要求企业需根据该法关于“个人信息”和“个人敏感信息”的定义对所处理的健康医疗数据进行识别并履行相应义务；采取相应的安全和技术措施确保个人信息活动符合法律、行政法规的规定，防止未经授权的访问以及个人信息泄露、篡改、丢失；在发生个人信息的安全事件后，依照过错推定原则，企业需具备一定的举证能力。相关企业和从业者应当在原有健康医疗领域应用个人信息保护要求的基础上，结合《个人信息保护法》带来的新要求，对健康医疗数据进行全生命周期的合规处理，需关注各环节各有其合规要点。

（三）健康医疗领域个人信息保护现状与进展

目前，区块链技术应用在健康医疗领域个人信息保护研究热度增长最快，医疗大数据、电子病历、电子健康档案、移动/互联网医疗、物联网等是个人信息保护研究热点，近三年新增研究领域主要集中在疫情防控、数据共享中的隐私保护研究。医院作为患者个人信息处理的主要机构，尚未形成体系性的个人信息保护的管理制度，不同医疗机构对于隐私安全认识与处理能力的差异较大。电子病历系统有待加强医护人员对电子病历隐私保护意识，电子健康档案的进一步共享开放需进一步加强数据传输和访问中的隐私安全。互联网医疗、临床科研和疫情防控作为重要的健康医疗领域个人隐私保护代表性场景，均存在不同程度制度可操作性不足及管理落实不到位问题。技术方面，传统隐私保护技术主要包括数据扰乱技术、数据加密技术、数据匿名化技术和访问控制技术，不同的隐私保护技术均有各自适用性与局限性。区块链技术和隐私计算是新型数据保护技术未来发展方向。

（四）个人信息保护法下健康医疗领域隐私保护实践