医疗机构构建数据合规组织架构的思路初探_北京转创国际管理咨询有限公司广东分公司

前言

早在1999年，我国即开始倡导医疗信息化建设，到2014年，互联网医疗开始出现，虽历经波折，但随着国家数字化转型战略发展，以及我国信息化技术的高速发展，近年来智慧医疗也迎来了更加稳健快速的发展。数字化在为百姓就医、医疗诊治、医疗数据应用等方面带来了极大的便利。但与此同时，医疗数据的安全问题也逐渐凸显。医疗机构掌握了大量的患者个人信息，且大部分是敏感个人信息，而不少医疗机构的数据安全意识和保护措施不足，数据合规组织架构混乱，导致很多医疗数据都处于“裸奔”状态，这也是这些年医疗健康数据频频出现泄露的主要原因。

随着《网络安全法》《民法典》《数据安全法》《个人信息保护法》等法律法规的陆续出台生效，数据安全保护的责任主体、法定义务和处罚标准都已逐步明确。面对复杂、庞大且分散的医疗数据资源，医疗单位需要建立一套行之有效的数据安全合规管理体系，才能形成对医疗数据的有效管理，而这套管理体系的有效运转，需要人来建立、维护、管理和落地实施，也就是我们所说的，首先应当建立一个数据合规管理组织。

本文将从我国的立法要求、国际相关经验，结合我国医疗机构组织架构的现状，从一般企业构建数据合规组织架构的思路着手，初步探讨国内医疗机构的数据合规组织架构的构建思路，希望给相关单位和从业人员在数据合规体系下的组织建设工作带来一些建议和思考。

一、我国相关法律对设置数据合规组织的相关要求

我国在《网络安全法》《数据安全法》《个人信息保护法》中，均将在满足相关条件的情形下设置相关数据安全管理机构及负责人作为运营者的法定义务。

法律法规	重点条款
《网络安全法》	第二十一条 ……（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；……
《网络安全法》	第三十四条 ……（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；……
《数据安全法》	第二十七条 ……重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。
《个人信息保护法》	第五十二条处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。
《个人信息保护法》	第五十八条 ……（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；……

医疗数据包含大量的一般个人信息和敏感个人信息，并可能包含大量的重要数据，一些大型的医疗数据平台还有可能被认定为关键信息基础设施。从上述各法律规定可以看出，医疗单位应当设置专门的数据合规管理组织，并确定数据安全负责人。

二、国际相关经验借鉴

我国虽然从法律层面上对设置相关数据安全管理机构及负责人做出了规定，但并未对其在行为、权责等方面给出更为具体的指引、规范等。这方面可以参考国外的相关指引和实践，例如欧洲数据保护委员会（EDPB）关于DPO职位的指引（Guidelines on Data Protection Officers ['DPOs'] [wp243rev.01]），以及国际标准ISO/IEC 27001中的“附录A 6.1内部组织”。

根据上述指引和标准，结合我国的立法和实践，我们认为可以对相关数据安全管理机构及负责人的职责做出如下安排：

（一）向服务的机构和机构员工提供数据保护方面的信息和建议；

（二）对机构在数据安全与合规方面所做的工作进行监管；

（三）参与和管理对机构数据安全风险及个人信息保护影响方面的评估工作；

（四）与监管部门建立通畅的沟通渠道，以确保在发生数据安全事故时及时向监管部门汇报；

（五）负责同数据主体沟通和联系，协助实现数据主体的数据权利；

（六）客观独立的履行职责，不应因受雇单位的要求而影响对客观事实和结论的判断；

（七）直接向机构最高管理决策层汇报工作；

（八）承担网络安全、数据安全和个人信息保护的管理责任。

三、关于医疗机构构建数据合规组织架构思路的探讨

（一）医疗机构组织架构的复杂性

医疗领域的主体单位类型较多，原有的组织结构和经营模式也可能有较大差异，有企业制运营的，如私立医院、药房、体检中心、线上医药平台等，也有事业制运营的，如公立医院、医保服务平台等，主体类型不同导致其自身组织架构差异较大，那么相对地，各主体在数据合规组织架构设计上的差异也会相差较大。

（二）目前我国企业构建数据合规组织架构的基本思路

目前我国企业在构建数据合规组织架构时，直接组建数据合规的管理委员会，在管理委员会的基础上，根据公司的发展战略和基本目标，直接任命管理委员会的负责人，也即数据合规安全负责人，一般负责人可直接由风控部门负责人担任。

在管理委员会之下设数据管理小组，并将相关执行部门纳入管理委员会的管辖范围内，如IT部门、风控部门、行政部门、人事部门等。在数据合规相关事项执行时，数据管理小组来负责承担企业数据合规管理事务的执行责任，并与各业务部门的部门代表之间做好沟通的桥梁，协助单位内部遵循数据合规的相关要求。

（三）对医疗机构构建数据合规组织架构的思路

如上文所述，医疗机构各主体在数据合规组织架构设计上的差异会相差较大，本文初步提出以下几个要点。

１、“集团式”单位，即拥有总部单元和多个分支单元的企事业单位，例如连锁医院，连锁药房，医疗集团等。为更好的将数据安全与合规管理政策落地到各个分支单元并得到有效执行，应当建立全方位、跨单位、跨层级的数据合规组织架构，我们认为在组织管理形式上采取“集中式管理+联盟式管理”是一种比较有效的模式。

（１）所谓集中式管理，是指以“总部”为核心搭建数据合规组织架构，并将各分支单元的相关职能负责人纳入到管理小组中。

（２）所谓联盟式管理，是指各分支单元的相关职能负责人在“总部”管理小组的管理框架下，结合各自单位的实际情况，分别设置符合自身特点和需求的下级数据安全与合规管理机构（以下简称“下级管理机构”），各下级管理机构相互独立但均受“总部”管理小组的整体管理。下级管理机构负责体系内各管理政策的落地实施，并向“总部”管理小组反馈意见和建议。

（３）在“集中式管理+联盟式管理”相结合的管理结构中，各分支单位的相关职能负责人将承担“承上启下”的重要作用，因此在该角色人员的选择任用上，应当慎重。

２、医院类单位与一般企业有所不同，直接大量接触患者个人信息的主要是各科室医护人员，而这类人员的工作特点是高专业性、高强度，很难分出精力参与数据安全与合规管理工作。因此，医院类单位数据安全与合规管理的落地实施方面需要更倚重于信息化系统的数据和隐私保护策略设计，尽可能减轻各科室医护人员负担。但这项工作的难度与投入都非常大，非常具有挑战性。

３、医疗数据价值最大且风险最高的部分是患者个人信息，因此在管理组织的资源配置上，应当向保护患者个人信息安全方向倾斜。

４、在“智慧医疗”的背景下，各医疗单位的医疗数据存在大量的共享、提供等需求，因此在管理组织中，还应当配备专门的职能人员进行供应商和合作伙伴的评估、审核、监督管理等。

结语

我们希望医疗单位建立数据合规组织，不应当仅是出于完成合规义务而采取的形式主义，而是为了使数据安全与合规管理体系能够有效运转，不断完善，进而实现有效保护患者和用户的个人信息安全，且实现医疗数据在合法基础上的价值最大化；我们亦希望医疗单位不要将合规投入仅仅看做一项成本，而应当将合规视为单位未来核心竞争力的一部分，让合规投入为单位带来更大价值。