您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识
(医院病历保存多久)-病历保存30年是哪年规定的
数据,医疗,安全(医院病历保存多久)-病历保存30年是哪年规定的
发布时间:2016-12-08加入收藏来源:互联网点击:
(三)原则之二:使用披露原则
《安全指南》共列出18条健康医疗数据使用披露原则,包含数据收集、使用、委托处理、提供、存储、汇聚融合、跨境传输、主体权利等方面,基本覆盖数据全生命周期环节。值得注意的是,由于健康医疗数据的特殊性,《安全指南》中提出的部分使用披露原则相对现有法律法规、标准具有一定特别之处,鉴于《安全指南》仅为推荐性标准,仍建议在实践中遵照现有生效的法律法规规定予以执行。对相关使用披露原则列举如下:
(1)数据授权同意的例外。《安全指南》明确了四种可以使用或披露相应个人健康医疗数据的授权同意例外情形,具体为:1)向主体提供其本人健康医疗数据;2)治疗、支付或保健护理;3)涉及公共利益或法律法规要求;4)受限制数据集用于科学研究、医学/健康教育、公共卫生目的。并指出控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露。
其中,受限制数据集是指“经过部分去标识化处理,但仍可识别相应个人并因此需要保护的个人健康医疗数据集”。《民法典》规定经过加工无法识别特定个人且不能复原的个人信息才可向他人提供,《个人信息安全规范》中规定在个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的,才可不必征得主体的授权同意。《安全指南》将可识别相应个人的受限数据集用于科学研究、医学/健康教育、公共卫生目的作为授权同意的例外,可以看出是在健康医疗数据的可用性与公共利益保护之间寻求平衡。此外,《安全指南》指出控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露,提出了一种具有一定操作性的豁免同意的实现路径,但鉴于健康医疗数据本身的复杂性、敏感性,依靠职业道德、伦理等判断是否可在未取得个人授权同意的情况下使用或披露存在较大不确定性,也有可能被司法、行政机关认定为非法提供数据行为而具有一定风险。因此,稳妥的做法仍然是遵照现有生效法律法规要求。
(2)限制使用或披露的主体权利。对于数据主体要求控制者限制使用或披露、限制向相关人员披露数据,《安全指南》明确控制者没有义务同意该限制请求,但一旦同意,除非法律法规要求以及医疗紧急情况下,控制者宜遵守约定的限制。《民法典》《网络安全法》《个人信息安全规范》等并未明确规定主体要求控制者限制使用、披露的权利,但主体有权撤回授权同意,控制者应提供撤回授权同意的方法并对主体提出的请求及时响应。《安全指南》规定控制者可以不响应数据主体的限制请求,很可能是基于健康医疗数据个体性与群体性相结合的特殊之处,出于维护公共安全、公共卫生等公共利益的考量,但结合现有规定,建议控制者在不同意主体限制请求时同时说明理由,且该理由应出于维护国家利益、公共利益等的需要。
(3)历史回溯查询的主体权利。《安全指南》规定,主体有权对控制者或处理者使用或披露数据的情况进行历史回溯查询,最短回溯期为6年。《民法典》《个人信息安全规范》等并未对主体的历史回溯查询的权利进行明确规定,且在《安全指南》中历史回溯查询的权利并不同于访问的权利。此外,最短回溯期的时间也不完全等同于数据存储时间,《个人信息安全规范》明确个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,但回溯期则要求了最短时限,并未限制健康医疗机构可存储数据的最长期限。主体可查询历史数据主要是基于对既往病史等健康医疗信息了解的需要,值得注意的是,《电子病历应用管理规范(试行)》规定门(急)诊电子病历保存时间自患者最后一次就诊之日起不少于15年,住院电子病历保存时间自患者最后一次出院之日起不少于30年。针对不同规定中的不同时限要求,建议在实际操作中同时结合现有法律法规的规定予以执行。
(4)健康医疗数据的跨境传输。根据《安全指南》,基于学术研讨需要的健康医疗数据跨境传输宜进行必要的去标识化处理,经数据安全委员会(关于“数据安全委员会”见五、(一)安全管理要求)讨论审批同意,且数量在250条以内的非涉密非重要数据可以提供。对于不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,宜经主体授权同意和数据安全委员会讨论审批同意,且累计数据量控制在250条以内。
关于重要数据的概念,《个人信息和重要数据出境安全评估办法(征求意见稿)》中规定,重要数据是指“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”但截至目前,国家尚未出台重要数据识别指南相关法律文件或标准,重要数据的概念和范围仍待明确。
健康医疗数据普遍具有重要性,对其是否可以跨境传输更需谨慎。根据《个人信息和重要数据出境安全评估办法(征求意见稿)》,出境数据中包含人口健康领域数据的,应报请行业主管或监管部门组织安全评估。《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定,“健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核”。《人口健康信息管理办法(试行)》明确要求“不得将人口健康信息存储于境外服务器,不得托管、租赁在境外的服务器”。《生物安全法》(尚未生效)和《人类遗传资源管理条例》均规定,将我国人类遗传资源信息向境外提供或者开放使用的,应当向国务院科学技术部门事先报告(或备案)并提交信息备份。
首先,健康医疗数据中的非涉密非重要数据认定本身就具有较大的不确定性,其次,将250条以内不涉及国家秘密、重要数据或者其他禁止或限制的数据允许跨境传输中“其他禁止或限制的数据”的兜底规定也给操作带来了困难。因此,在实践层面,完整执行《安全指南》关于健康医疗数据跨境传输的规定的可行性仍有待时间考验。
上一篇:(医用蛆虫)-医用蛆虫治疗妇科病
下一篇:返回列表
相关链接 |
||
| 网友回复(共有 0 条回复) |