医疗机构数据合规义务研究.pdf

内容摘要

医疗机构作为医疗数据的控制和处理者，对患者个人数据的保护负有不可推卸的义

务。伴随《网络安全法》、《个人信息保护法》、《数据安全法》等相关法律的施行，医疗

机构履行数据合规义务面临新的法律环境。基于医疗机构数据的自身特性，医疗机构所

面临的数据风险也与其他行业存在显著不同，这也决定了其在履行数据合规义务时会有

一系列特殊之要求。在医疗机构数据价值不断提升以及信息技术不断发展的背景下，大

数据技术与医疗行业进一步结合，医疗机构数据处理的风险贯穿于数据收集、使用、流

转的各个阶段。实践中，数据泄露是最常见的医疗数据安全风险之一，医疗机构系统的

技术防护措施不达标、医院工作人员主动泄露、医疗机构的网络遭到黑客入侵等情况都

有可能会造成医疗机构数据的泄露，进而危害公民的人身、财产安全。与此同时，医疗

机构数据也蕴含着巨大的经济价值和医学研究价值，在对医疗数据进行开发利用时，数

据主体的个人利益与公共利益之间存在着不可避免的矛盾。基于此，本文就医疗机构的

数据合规义务展开研究，在检视现有医疗机构的数据风险和合规依据的基础上，为医疗

机构在数据处理各环节如何更好地履行合规义务提出了完善建议，以期促进医疗机构数

据合规体系的进一步完善。

本文除引言和结语外，共分为五个部分：

第一部分为医疗机构数据合规义务的法理基础。本部分首先将医疗机构数据的内涵

界定为医疗机构在开展健康管理、疾病诊疗等业务活动时所产生或掌握的与健康医疗相

关的数据，其具有敏感性、价值性和公共利益性等法律特征。其次，从法律依据的变化、

医疗机构数据的发展、防范数据泄露等三个方面分析了医疗机构履行数据合规义务的必

要性所在。再次，阐释了医疗机构履行数据合规义务的基本理念，即利益平衡理念和数

据全程合规理念。

第二部分为医疗机构数据收集的风险预防义务研究。该部分从如下两方面进行阐

释：一是医疗机构在数据收集阶段所面临的风险点，诸如相关数据的隐秘收集、过度收

集和强制收集。二是医疗机构在该阶段应承担的具体合规义务有哪些。具体而言，医疗

机构在数据收集时，应当以最小化原则为基础，于适当和必要的范围内展开数据收集工

作，同时应取得数据主体的知情同意，并强调相关技术手段的规范使用。

1

第三部分为医疗机构数据使用合规的数据保护义务研究。该部分首先提出，医疗机

构在数据使用阶段所面临的风险点主要包括：医疗机构数据的权利归属不明确的风险、

医疗机构数据的应用场景复杂，以及医疗数据的使用与数据保护之间存在矛盾。其次，

该部分明晰了医疗机构在数据使用阶段应履行的具体合规义务，即应当明确医疗机构数

据的权利归属，平衡数据使用与数据保护的利益冲突，并保障个人数据被遗忘和删除权。

第四部分为医疗机构数据流通合规的风险控制义务研究。医疗机构在数据流通阶段

面临医疗机构数据泄露风险、医疗机构数据共享风险以及医疗机构数据跨境流通风险等

主要风险点。基于此，医疗机构应当限制数据的共享范围和条件，对数据的接收方进行

谨慎的审查，并进行数据风险评估。

第五部分为医疗机构违反数据合规义务的法律责任研究。该部分通过梳理医疗机构

违反数据合规所面临的民事责任、行政责任和刑事责任，明确了医疗机构不履行数据合

规义务所面临的不利后果，并建构起多元化的法律责任体系，以及完备的权利保护体系

与司法救济体系，旨在敦促医疗机构妥善履行数据合规义务。

关键词：医疗机构；数据风险；数据收集合规；数据使用合规；数据流通合规；数据合

规责任

2

Abstract

Medicalinstitutions,ascontrollersandprocessorsofmedicaldata,haveanunshirkable

obligationtoprotectpatientspersonaldata.WiththeimplementationoftheCybersecurity

Law,thePersonalInformationProtectionLaw,theDataSecurityLawandotherrelatedlaws,

medicalinstitutionsfaceanewl