《“十四五”全民健康信息化规划》《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)等政策的陆续出台,建立健全健康医疗数据管理制度,培育健康医疗数据要素市场,激发数据要素价值,推动健康医疗大数据在疾病预防、健康管理、辅助决策、药物研发、医疗保险、精准医疗等方面产业化、规模化应用已经是大势所趋。传统的医疗数据应用场景,已逐步从医院内部运营管理的视角,拓展衍生至医疗数据资产化的维度。然而,由于医疗数据具有不同于其他行业的特征,鉴于数据量庞大、异构数据繁杂、隐私保护性强等特点,将医疗数据作为资产进行管理并实现资产流通甚至交易,面临着巨大的现实困难和挑战。其中,医疗机构缺乏成熟的医疗数据管理制度体系、尚未形成科学合理的数据分类分级等,已成为阻碍医疗数据资产化路径实务性探索的重要因素。
数据分类分级的意义
从法律与规章制度的视角审视,医疗数据的分类分级已获得了相应的法律支撑。依据《中华人民共和国数据安全法》的第二十一条与《中华人民共和国个人信息保护法》的第五十一条,明确指令组织需实施数据的分类分级保护措施,并对个人信息执行分类保护策略。因此,对医疗数据执行分类分级管理,不仅是遵循当前数据相关法律法规的必要举措,也是推进数据资产化进程中的合法性与合规性保障。
医疗数据的分类分级,是根据其特性、敏感度及价值等多重因素,将医疗数据细分为不同的类别与层级,以便于实施高效的数据管理。无论是从确保数据安全的角度,还是从深度挖掘医疗数据价值的层面来看,构建医疗机构所收集、存储数据的分类分级体系均显得至关重要。其重要性主要体现在以下两方面:
一是可以提高医疗数据的安全性:通过对医疗数据进行分类分级,可以明确哪些数据需要重点保护,哪些数据可以开放共享,以及如何保护和共享。这样可以有效防止数据的泄露、篡改、丢失等安全风险,保障数据的保密性、完整性和可用性。
二是可以促进医疗数据的有效利用,是实现医疗数据资产化的重要前提和基础:通过对医疗数据进行分类分级,可以更好地识别数据的价值和潜力,以及满足不同业务场景和需求的数据。这样可以有效提升数据的开发利用和共享交换效率和效果,支持医疗质量、创新应用等方面的发展。
分类分级的难点和挑战
随着全国数据要素市场建设的推进,各地数据交易所及政府公共数据平台在医疗数据共享开放上积极探索,但成效未及预期,医疗数据产品与应用尚未规模化。这主要归因于医疗数据的隐私敏感性和高合规要求,以及医疗机构对数据产品化的困惑和系统互操作性问题。数据分类分级体系被视为解决这些难题的关键途径,但多数医疗机构对此认识尚浅,体系建设滞后。
调研发现,医疗数据分类分级面临的主要挑战包括:
1、法律法规和标准规范的不完善:缺乏针对医疗数据的具体分类分级要求和细则,导致实操困难;现有标准侧重数据安全保护,忽视数据价值评估,需建立更全面的评估机制;
2、缺乏有效的医疗数据分类分级工具和平台:人工操作效率低下;
3、数据质量和可信度不高:数据质量和可信度问题,源于异构系统间的不一致性,需通过数据治理提升;
4、专业领域的技术人员缺乏:尤其是具备医学、信息技术、法律等多领域知识的复合型人才,以确保数据分类分级的科学性和合规性。
数据分类分级的参考规范现状
尽管当前医疗数据分类分级工作可参照《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020)、《广东省健康医疗数据安全分类分级管理技术规范》(T/GDWJ 013-2022)及《信息安全技术 个人信息安全规范》(GB/T 35273-2020)等标准,但这些指南仍存在一定的局限性,未能全面指导医疗数据的流通利用与价值挖掘。具体不足体现在以下四个方面:
一、缺乏从医疗数据价值和潜力的评估和挖掘的角度给出指引性建议
它们主要依据数据的重要性、敏感性和风险等级进行分类分级,却未从推动医疗业务发展、提升医疗质量及促进医疗创新的角度,提供具体的数据价值评估方法和应用指导,也未明确各类别和等级数据在不同应用场景下的价值评估和应用策略。
二、缺乏对医疗数据开放共享利用的具体规范和要求
关于医疗数据的开放共享利用,现有标准虽强调了合法合规、隐私保护和国家安全等原则,却未提供详尽的操作规范和要求。例如,数据共享机制、使用者资格认证、使用目的和范围限制、使用效果监测等方面缺乏具体指导,也未明确不同类别和等级数据在不同场景下的开放条件和限制。
三、缺乏对医疗数据分类分级工具和平台的推荐和引导
这些标准在医疗数据分类分级工具和平台的推荐方面存在空白。它们仅从理论层面构建了分类分级框架,却未提供具体的实施步骤和方法,也未推荐或引导使用智能化工具,如人工智能、大数据、云计算技术,以实现医疗数据的自动化或半自动化管理。同时,对于分类分级工具和平台的评估认证标准也未予明确。
四、缺乏与地方性数据立法文件中关于公共数据管理内容的衔接指引
现有标准与地方性数据立法中关于公共数据管理的衔接不足。尽管地方性法规对“公共数据”的定义趋于一致,但医疗机构在识别公共数据、编制数据目录、分类管理等方面仍面临法律空白。例如,哪些数据属于公共服务或依法履职过程中收集的数据、如何判断和识别公共数据、如何制作公共数据资源目录、如何分类管理这些数据等问题,在法律法规和标准文件层面缺乏明确指引。
数据分类分级的实施原则
数据管理能力成熟度模型(DCMM)作为我国数据管理领域的首个国家标准,为各类组织提供了一个系统性的数据管理能力评估框架。该模型详尽地涵盖了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准以及数据生命周期这八大核心能力领域,并进一步细化为28个具体的能力项。评估时,DCMM从组织结构、规章制度、操作流程和技术应用这四个关键维度出发,全面审视组织在数据管理方面的实力与成熟度。
在这一框架下,数据分类分级被视为数据管理过程中的一个核心步骤,其重要性在DCMM的第2级(受管理级)至第5级(优化级)中得到了明确体现,被视为这些级别的一项基本要求。因此,当组织着手进行数据分类分级工作时,可以DCMM所确立的数据管理标准与规范为参照,同时紧密结合自身的业务需求和实际情况,精心打造一套贴合自身特色的数据分类分级方案。这一过程不仅有助于组织精准识别自身在数据管理上的长处与短板,还能为后续的改进与提升提供明确的指引。
《广东省健康医疗数据安全分类分级管理技术规范》(T/GDWJ 013-2022)为医疗机构提供了全面的分类分级原则参考,包括合法合规性、综合性、规范性、可执行性、稳定性、时效性、明确性、自主性、就高不就低以及关联叠加效应等原则。然而,这些原则更多聚焦于安全性和数据质量。本文尝试从数据流通利用和资产化的新视角,提出以下补充原则,以期为医疗机构提供参考:
1、价值最大化原则:基于医疗数据的价值特征和潜力,进行科学评估与划分,旨在促进数据的有效利用和高效流通,推动医疗数据向资产化转型,实现数据价值的最大化利用。
2、安全与发展并重原则:在确保医疗数据安全和个人隐私得到充分保护的前提下,推动数据的开放共享。遵循最小化、必要性和适当性原则,对不同级别的数据实施差异化保护措施,平衡数据安全与数据利用的需求。
3、跨界融合创新原则:鼓励各类主体在遵守法律法规、尊重知识产权、保护商业秘密和维护公平竞争的基础上,通过合作共建、联合研发、资源共享等模式,打破壁垒,实现医疗数据的跨界融合与创新应用,激发数据的新价值。
最后
临研通致力于深耕数字经济领域,为企业数字化转型注入强劲动力。其创新采用去中心化的现场管理组织服务模式,这一模式犹如一股强劲的破壁之力,有效打破横亘在数据要素流通与交易之间的数据孤岛壁垒。通过促进数据资源的自由流动与规模化应用,成功激发了数据要素的乘数效应,让数据价值呈几何级数增长,为企业发展带来前所未有的数据红利。
此外,临研通的私有化部署系统堪称企业数字化转型的“加速器”。该系统能够迅速完成功能部署,使企业在极短时间内搭建起一套全面且合规化的管理系统。这不仅大幅削减了企业在系统开发与后期维护方面的成本开支,还为整个行业的数字化生态建设注入了活力。在临研通的推动下,数据要素市场化配置进程加快,行业数据资源得到更高效、合理的利用,为数字经济的蓬勃发展提供了有力支撑。
