宁人法评
 
专题系列(二):医疗机构数据获取与应用模式
·时间:2019/11/22      ·点击:588

一、实体医疗机构


我国医疗机构分为省市县三级,与基层医疗卫生机构(社区卫生服务中心、乡镇卫生院)共同作为患者诊疗以及健康管理的主要医疗机构,掌握着全国绝大多数的患者医疗健康数据。按照2013年原卫计委《医疗机构病历管理规定》规定,各地医疗机构应当建立健全病历管理制度,设置病案管理部门或者配备专(兼)职人员,负责病历和病案管理工作[[1]]。病历是医疗健康数据的主要来源,2010年2月原卫生部曾发布《电子病历基本规范(试行)》(现已失效)第2条对医疗机构电子病历的建立、使用、保存和管理作出相应规定。《医疗机构病历管理规定》第7条要求纸质病历与电子病历相对接,要求医疗机构针对门(急)诊病历和住院病历必须实行编号制度,要求每一位患者要建立唯一的识别号码。对于实行电子病历管理的医疗机构,要求将患者的病例标识与患者身份信息相关联,实现患者的身份信息与标识可互相进行检索[[2]]。据调研,医疗机构作为直接接触患者最频繁的主体,在电子病历系统更新换代时主要是以直接收集的模式进行健康医疗数据的收集,具体如图3-1-1: 

     


                微信图片_20191122163553.jpg


                                                                                     图:3-1-1


如图3-1-1所示,实体医疗机构收集患者的信息是一种直接收集的模式,其依据是《医疗机构病历管理规定》规定医疗机构必须要建立患者病历管理制度。病历是宝贵的临床研究和查询资源,具有保障医疗质量与安全,维护医患双方合法权益的功能。实体医疗机构收集患者的病历是基于部门规章规定进行,无需征求患者同意。本报告的关注点之一在于医疗机构收集患者的病历后,向第三方提供研究或者商业利用时是否需要征求患者同意。《医疗机构病历管理规定》仅规定了患者病历的科研与教学的使用情况,并未规定病历信息的商业化利用。《医疗机构管理条例实施细则》第54条明确规定“标有医疗机构标识的病历本册及处方笺不得买卖、出借和转让”。而2014年《人口健康信息管理办法(试行)》明确提出“要实现人口健康信息的互联互通和共享利用”,并且在《人类遗传资源管理条例》也确立了人类遗传资源的“保护和利用”原则。针对遗传资源的采集、保藏、利用、对外提供规定了“应当尊重人类遗传资源提供者的隐私权,事先以书面的形式征求被采集对象同意的‘事先知情同意’的权利”。

 

在构造互联互通的医疗健康时代,医疗机构收集患者的病历、诊断证明等医疗信息之后不仅限于用于相关临床研究和查询,还用于医疗机构之间或者医疗机构与医药企业、医疗器械设备制造商之间的信息共享和沟通。2018年4月国务院办公厅发布《关于促进“互联网+健康医疗”发展的意见》明确“强化人口、公共卫生、医疗服务、医疗保障、药品供应、综合管理等数据采集,畅通部门、区域、行业之间的数据共享通道,促进全民健康信息共享应用。大力提升医疗机构信息化利用水平,健全基于互联网、大数据技术的分级诊疗信息系统,推动各级各类医院逐步实现电子健康档案、电子病历、检验检查结果的共享,以及在不同层级医疗卫生机构间的授权使用。”可见,未来医疗机构收集的健康医疗数据将会产生如图3-1-2所示的应用模式:


微信图片_20191122163605.jpg


图:3-1-2

医疗服务

《关于促进“互联网+健康医疗”发展的意见》明确要基于互联网、大数据技术推动各级各类医院之间逐步实现电子健康档案、电子病历、检验检查结果的共享。因此,医疗服务是指医疗机构依据健康医疗数据中的病历信息或者诊疗信息为患者诊疗提供更加专业的医疗服务。而健康医疗数据的医疗服务模式前提是医疗机构之间要实现健康医疗数据的互通共享,而实现医疗机构之间健康医疗数据的互联互通和共享利用就必须建立医疗机构之间良性的共享机制。

 

健康信息平台

2013年国家卫建委和国家中医药局联合下发《关于加快推进人口健康信息化建设的指导意见》,将国家人口健康信息建设提升到了国家信息化建设重要组成部分的高度,并确定了国家、省、地市和县四级人口健康信息平台。2014年《人口健康信息管理办法(试行)》为人口健康信息平台的构建提供了部门规章依据,人口健康信息平台收集的信息包括医疗机构的健康医疗数据,并将健康医疗数据纳入人口健康信息平台的重要的数据组成部分。

 

医保+商保

《关于促进“互联网+健康医疗”发展的意见》明确要加快医疗保障信息系统对接整合,实现医疗保障数据与相关部门数据联通共享,逐步拓展在线支付功能,推进“一站式”结算,为参保人员提供更加便利的服务。在互联网+健康医疗领域,部分区域健康医疗数据与医保数据的对接与共享,实现了线上看病与线上报销的新服务模式。仅有医保保险并不足以支付或者解决看病难、看病贵的问题,全国各地也都在积极探索线上医疗与商业保险相对接。总之,健康医疗数据也将成为医保+商业保险创新模式的重要组成部分,未来可期。

 

药品供应

《关于促进“互联网+健康医疗”发展的意见》明确要探索卫生机构处方信息与药品销售信息之间的互联互通,促进短缺药品的协同供应,促进药品网络销售与物流信息的对接。健康医疗数据作为医药行业的核心资源,不仅可以为药品供应提供数据支撑,还可以为药品的研发和临床应用提供重要的数据支撑。药品服务是整个医疗服务过程中最为重要,且贯穿始终关键一环,打通健康医疗数据和药品数据之间的互联互通有利于促进整个医疗行业资源的有效配置。

 

综合管理

完善综合管理应用信息系统,目的是为了提高人口健康数据采集的及时性和准确性,健康医疗数据上传至综合管理信息系统,通过对健康医疗数据的分析和挖掘应用可以极大的提高监管机构对公民健康水平的掌握,从而根据精确的健康医疗数据作出科学有效的人口健康政策。对于各级医疗机构根据掌握的健康医疗数据分析,也可以在业务规划、财务管理、内部管理等领域进行有效的内部结构调整和变化,从而更有利于医疗机构的服务改善和发展。

 

二、互联网医院

 

随着科学技术的发展,互联网医院作为新兴的医疗服务机构成为医疗资源下沉、平衡区域医疗资源不均衡问题的重要介质,互联网医院的发展一定程度上健全了公民的健康管理服务模式。根据《互联网诊疗管理办法(试行)》规定,互联网医院的业务领域主要围绕常见病、慢性病复诊和“互联网+”家庭医生签约服务开展,《互联网医院管理办法(试行)》中也规定互联网医院必须与实体医院进行合作。因此,互联网医院的数据收集有两种模式,一种是互联网医院在经营范围内对线上诊疗数据进行收集,此处称为直接获取模式(如图3-2-1);另一种是互联网医院通过与线下实体医院合作对健康医疗数据进行收集,此处称为间接获取模式(3-2-2)。

 


微信图片_20191122163615.jpg


图:3-2-1  

直接获取模式

互联网医院直接收集患者数据的方式分为两种,一种是直接通过互联网医院线上诊疗获取患者信息;另一种是未与线下实体医疗机构合作,也未在互联网医院线上平台进行诊疗,直接在诊疗现场向患者征求同意并收集患者的医疗信息。针对第一种直接从互联网医院线上平台收集患者医疗健康信息的情形,诸多互联网医院线上平台对首次接受线上诊疗活动的患者需要进行平台登记,登记内容主要是以患者的基本信息为主。但是直接获取模式的问题在于根据《网络安全法》第41条规定网络运营者收集用户个人信息时应当征求用户的同意,患者通过线上登记基本信息是否就代表征求患者同意收集其个人信息;《互联网医院基本标准(试行)》要求互联网医院要将线上诊疗行为全程留痕,是否可以作为收集患者基本信息的一个豁免;是否无需向患者履行征得患者同意的请求。

 

间接获取模式

间接获取模式是指互联网医院与线下实体医院合作获取健康医疗数据的模式,包括互联网医院与依托实体医院合作获取患者信息的模式,也包括互联网医院与合作医院或者科室获取患者医疗信息的行为。针对以上两种行为,具体分析如图3-2-2: 


微信图片_20191122163620.jpg


图:3-2-2


在互联网医院与依托实体医院合作间接获取医疗信息的第一种模式中,根据《互联网医院基本标准(试行)》要求,互联网医院要建立数据访问控制信息系统,确保系统稳定和服务全程留痕,并与实体医疗机构的HIS、PACS/RIS、LIS、CIS系统实现数据交换与共享,要想实现数据的全程留痕,互联网医院就必须收集整个线上的诊疗行为信息,以确保符合要求。如果患者在线下依托实体医院就诊,根据《互联网医院基本标准(试行)》要求,互联网医院与依托实体医院之间系统要进行数据交换与共享,允许互联网医院与依托实体医院之间互相共享患者的诊疗信息。

 

在第二种间接获取模式中,互联网医院与实体医院或者医院科室之间达成合作,互联网医院与实体医院或科室之间更加倾向于单向合作,在合作协议框架下仅倾向于实体医院或医院科室向互联网医院提供患者的健康医疗数据。在此种情形下,最为关注的法律问题是是否征求了患者的同意。医院或科室未经患者同意直接将医疗信息共享或者买卖给第三方主体是否触犯相应的法律法规。医院根据《医疗机构病历管理规定》收集患者的病历信息,目的在于为未来医院在相关疾病诊断过程中提供病历资料用于研究和利用。为了保护患者权益,病历作为最为原始的医疗信息,也可以帮助患者维权。

 

医疗机构有无权利共享数据。医疗机构有没有权利依据《医疗机构病历管理规定》将收集的患者转让或者共享给第三方?《医疗机构病历管理规定》明确禁止医疗机构及其医务人员以非医疗、教学、研究目的泄露患者的病历资料,也明确禁止将病历资料进行转让。现在互联网医院与实体医院合作绝大多是以研究为目的获取健康医疗数据,或者通过在医院投放设备,直接从医院的健康医疗数据系统中获取数据进行分析,将生成的数据模型产品予以市场化利用。互联网医院从医院系统中直接获取数据进行分析,带走处理后的数据分析结果模型予以市场化的利用是否合法?医院的电子病历系统是否应该允许第三方机构的数据处理系统接入?《电子病历应用管理规范(试行)》并未对系统进行明确规范,只是要求有健全的内部管理制度和分类分级授权管理制度。根据《人类遗传资源管理条例》第9条规定“采集、保藏、利用、对外提供我国人类遗传资源,应当尊重人类遗传资源提供者的隐私权,取得其事先知情同意,并保护其合法权益。”根据《网络安全法》第40条规定“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”,第41条规定收集、使用个人信息需要征求被收集者的同意。第42条规定“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。在此,我们需要明确第三方在医院信息系统中利用系统中的健康医疗数据形成模型的行为是一种什么性质的法律行为?形成的模型是由系统中无数个健康医疗数据形成的最大公约数值,本质上是一种数据处理的结果。形成模型的过程属于一种数据处理行为,将模型用于商业化的行为实质上是一种使用行为。《网络安全法》规定收集、使用个人信息需要征得被收集人的同意,第三方机构在医疗机构的信息系统中进行处理、使用的行为当然需要经过患者的同意,并且对医疗机构与第三方机构之间的合作行为也需要向患者披露。以上论述,仅限于未经处理,能识别特定个人且能复原的数据,经过处理不能识别特定主体,且不能复原的数据利用属于法定允许的范围内。

 

间接收集可否再次共享。部分互联网医院依托实体医疗机构获取患者病历信息等健康医疗数据,收集后又将收集到的健康医疗数据共享给其他互联网医疗机构或者数据企业。间接收集的健康医疗数据是否可以再次分享取决于患者是否授权初次收集或者间接收集者再次共享的权限。如果间接收集者依托的实体医疗机构未征求患者的同意擅自将患者的健康医疗数据授权给合作的互联网医疗机构则涉嫌违反《网络安全法》、《医疗机构病历管理规定》《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》,甚至是《刑法》相关规定,间接收集者再次共享未获得患者同意的亦同。


[[1]]参考《医疗机构病历管理规定》第5条;

[[2]]参考《医疗机构病历管理规定》第7条;

微信图片_20191122163649.jpg微信图片_20191122163652.jpg

 

电话:0951-5065711 传真:0951-5065708
宁夏银川市贺兰山路与虹桥南路交汇处天源财汇中心C座26层

 
版权所有:宁夏宁人律师事务所 宁ICP备05001789号  欢迎您第640464位访客