医疗器械数据收集合规问题研究——以企业IPO为视角
2024-01-15
导语���:
随着科技的不断发展���,医疗行业呈现出日益数字化���、信息化���、智能化的趋势���,这为医疗行业带来了效率和便利���,也给数据保护���、个人信息保护带来了新的挑战。
本文以企业IPO为视角���,从医疗器械数据收集的概况及法律法规���、相关案例及规范建议等方面���,简要分析医疗器械数据收集的合规要点。
一���、医疗器械数据收集的概况
根据《医疗器械监督管理条例(2021年修订)》的相关规定���,医疗器械是指直接或者间接用于人体的仪器���、设备���、器具���、体外诊断试剂及校准物���、材料以及其他类似或者相关的物品���,包括所需要的计算机软件。
医疗器械数据收集从收集主体的角度通常可以分为两类���,一是医疗器械企业通过医疗器械收集相关个人信息及其他数据;二是使用医疗器械的医疗机构及医疗机构工作人员在通过医疗器械进行检查���、诊断等过程中收集个人信息及其他数据。本文将着重讨论前者。
经查询相关法律法规���、部门规章及规范性文件等���,涉及医疗器械数据收集的主要数据名词及定义如下���:
一般而言���,医疗器械企业存在基于医疗器械维护的目的而收集医疗器械设备运行的相关数据的需要���,但是一般不存在收集患者个人信息���、个人健康医疗数据等的需要及必要性。特殊情况下���,部分医疗器械企业基于提升医师的个性化及针对性医疗服务���、分析用户使用习惯以指导医疗器械性能改进���、进行临床案例分析和总结���,发现新的治疗方法和疾病趋势���,推进医学研究的发展等目的而存在收集患者个人信息���、个人健康医疗数据的需要。因此���,如何确保通过医疗器械收集数据的合规性成为一个值得探讨的问题。同时���,在医疗器械企业IPO过程中���,对数据收集和使用的合规性的审查也是基于行业和业务的关注要点之一。
二���、相关监管体系与处罚规则
(一)监管体系
截至目前���,尚无明确的法律法规等对医疗器械数据收集的监管作出明确规定���,医疗器械的数据收集行为与个人信息及相关数据收集处于同一监管体系之下。相关法律法规等主要如下���:
(二)处罚规则
结合上述法律法规���、部门规章及规范性文件的规定���,医疗器械企业若存在数据收集违法违规等行为���,可能需要承担的法律责任主要如下���:
三���、IPO过程中医疗器械数据收集的审核关注要点
(一)IPO相关规则
根据《首次公开发行注册管理办法》第二章“发行条件”第十二条的规定���,发行人应业务完整���,具有直接面向市场独立持续经营的能力���:(三)不存在涉及主要资产���、核心技术���、商标等的重大权属纠纷���,重大偿债风险���,重大担保���、诉讼���、仲裁等或有事项���,经营环境已经或者将要发生重大变化等对持续经营有重大不利影响的事项。
根据《首次公开发行注册管理办法》第二章“发行条件”第十三条的规定���,发行人生产经营应符合法律���、行政法规的规定���,符合国家产业政策。最近三年内���,不得存在贪污���、贿赂���、侵占财产���、挪用财产或者破坏社会主义市场经济秩序的刑事犯罪���,不存在欺诈发行���、重大信息披露违法或者其他涉及国家安全���、公共安全���、生态安全���、生产安全���、公众健康安全等领域的重大违法行为。
结合本文“二���、相关监管体系与处罚规则”部分相关法律法规的规定���,拟IPO的医疗器械企业若存在通过医疗器械收集数据的行为���,应确保其数据收集的行为与数据主体之间不存在影响其持续经营的重大诉讼���、仲裁。同时���,数据收集的行为应合法合规���,不存在重大违法违规的情况。
(二)IPO问询关注要点
经查询���,部分拟上市/已上市的医疗器械企业及相关企业IPO申报时被问询数据收集相关问题主要系因其数据收集涉及个人信息或个人健康医疗信息。主要关注为获取相关数据信息���、个人信息的方式是否合法合规���,是否存在违法违规收集个人信息情形以及是否做好保密措施���、如何保证患者的隐私安全等。具体如下���:
四���、拟IPO医疗器械企业数据收集规范建议
根据《医疗器械网络安全注册审查指导原则》的分类���,医疗器械数据收集的内容一般为医疗数据和设备数据。根据上述相关数据是否涉及个人信息可以进一步分为含个人信息类的敏感医疗数据及不含个人信息类的设备数据���、非敏感医疗数据。具体主要场景及可能涉及的主要数据如下���:
因此���,我们通过区分是否涉及个人信息类数据提供如下相应建议���:
(一)非个人信息类数据的收集
结合相关IPO案例���,医疗器械企业对于非个人信息类数据的收集行为及合规性不属于IPO审核过程中重点关注的问题。但是鉴于IPO发行条件的要求���,若医疗器械企业存在收集非个人信息类数据的行为���,其同样应注意数据收集的行为合法合规���、不存在重大违法违规���、重大诉讼或仲裁的情况。
1.遵循合法性���、正当性原则
根据《网络安全法》《数据安全法》等法律法规的相关规定���,收集不涉及个人信息的设备数据���、非敏感医疗数据需满足合法性���、正当性的基本原则。
合法性���、正当性原则要求医疗器械企业收集数据的目的���、收集的范围及方式等均符合法律的规定且明确���、正当���、合理���,不得违背公序良俗等。不得隐瞒医疗器械数据收集的功能���,亦不得窃取或通过误导���、欺诈���、胁迫等非法方式收集数据。例如医疗器械企业若存在基于合理目的在医疗器械上安装通信模块以实现远程识别设备ID���、设备运行次数���、运行时长���、维修情况或其他设备数据的���,其应在设备使用说明书或软件的设备信息栏目中明示相关数据收集的目的���、范围���、频次���、方式等���,确保医疗器械使用方的知情同意。若医疗器械具备通过电子弹窗方式提示使用方注意的���,可以在使用方使用该医疗器械前明确告知数据收集的情况���,并由使用方点击确认。
若医疗器械企业仅存在基于升级���、完善医疗器械功能等目的收集设备数据���、非敏感医疗数据的���,则不应将数据收集的范围扩大至涉及个人信息的其他数据。
2.遵循安全控制原则
医疗器械企业应对数据收集的环境���、设施���、技术采取必要的安全管控措施���,确保数据收集过程中不会受到病毒攻击或非授权访问���、泄密等情况。
医疗器械企业应对收集的数据进行分类分级标识���,对不同的类别和重要性级别的数据实施相应的加密���、去标识化等安全管理策略和保障措施。如根据是否涉及医疗数据将非个人信息数据进一步分为设备数据���、非敏感医疗数据等类别。数据的分类可以根据医疗器械企业的主营业务及数据的实际使用需求进行划分。同时���,根据相关数据的重要程度以及风险级别对数据进行分级。例如���,同样作为设备数据的设备类型���、设备ID���、运行时长���、使用次数���、维修及校准信息���、故障代码���、故障时间���、开/关机时间等���,设备类型���、设备ID的重要性水平及风险程度较低���,可以向相对较大范围的人员授权访问;运行时长���、使用次数可以向相对中等范围的人员授权访问;而维修及校准信息���、故障代码���、故障时间等与前述数据相比更为重要���,则只能向相对较小范围的人员授权访问。
医疗器械企业应对收集的不同等级���、类别的数据设置不同的访问和使用控制机制。如维修人员仅存在基于定期监测医疗设备运行情况的目的查看医疗设备运行时长���、使用次数���、维修及校准信息���、故障代码等设备数据信息;销售或市场人员基于市场推广的目的仅可以查看设备使用次数���、患者数量等设备信息或非敏感医疗数据信息。同时���,相关数据的访问���、使用均需履行严格的内部审批程序���,且根据需求设置访问期限限制并记录存档。
收集后的数据应确保能够进行定期的安全漏洞检查及风险评估���,对于超出授权处理期限或不再满足处理目的等的数据应予以及时删除。
3.完善数据收集的内部管理制度
医疗器械企业应根据数据收集的实际情况制定包括数据收集及其他数据全生命周期(包括数据存储���、数据使用���、数据分发���、数据删除等)的内部数据管理制度和操作规程���,明确数据收集的目的及用途等���,确保数据收集的合法性���、正当性。同时���,配备与企业数据收集等行为相适应的数据安全管理的技术措施。根据数据管理制度设置专门的数据合规机构及管理人员���,做好数据的风险识别���、风险评估与处置等工作。同时���,确保数据管理制度与企业实际情况的良好衔接���,保障制度的有效性和可操作性。
(二)个人信息类数据的收集
通常情况下���,一般的医疗器械研发���、生产���、销售企业仅存在基于及时排除设备故障���、提升设备维修效率���,优化���、升级产品���,为用户提供个性化服务等目的收集设备数据���、非敏感医疗数据的需求���,而实现该等目的一般无需收集包含个人信息的敏感医疗数据。但是���,部分医疗器械企业存在基于其医疗器械发展形成的小规模医疗服务业务���,通过录入���、收集敏感医疗数据以给患者提供更加个性化���、精细化的医疗服务���,同时也指导医疗器械的改进和升级。
结合相关IPO案例���,医疗器械企业对于个人信息类数据的收集行为及合规性属于IPO过程中重点关注的问题。同时���,我国法律法规对于个人信息收集的监管力度较大���,个人信息类的数据收集行为更容易引发医疗器械企业与数据主体的诉讼���、仲裁或导致违法违规的情况。因此���,医疗器械企业确保收集个人信息类数据行为的合规性更为重要。
1.遵循合法性���、正当性原则
如涉及个人信息的收集���,除出现《个人信息保护法》第十三条规定的无需征得个人同意的情况���,如为订立���、履行个人作为一方当事人的合同所必需���、为履行法定职责或者法定义务所必需等情况(通常不会涉及)外���,医疗器械企业收集个人信息前应取得相关主体在充分知情的前提下自愿���、明确的同意。涉及个人信息的医疗数据属于敏感个人信息���,应取得数据主体的单独同意或取得未成年人的父母或者其他监护人的同意。同时���,应当向个人告知收集敏感个人信息的必要性以及对个人权益的影响。
如小型家用诊断设备���,可以通过使用前的弹窗明确告知使用者存在个人信息收集的情况;如使用者需在医疗机构或医疗器械企业提供的场所使用医疗器械���,可由相关工作人员明确告知其个人信息收集的情况并签署书面知情同意书���,或同样通过使用前的弹窗明确告知并由使用者同意确认。基于单独同意的要求���,可以对涉及敏感个人信息收集的相关说明字体加粗���、加下划线等���,或由使用者���、监护人朗读���、抄写相关内容并确认同意。使用者完全知情并授权后再通过使用者/工作人员填写相关个人信息���、设备检测���、生成并保存检测/诊断结果等的方式收集所需数据。
需要注意的是���,若医疗器械企业直接向使用者提供医疗服务���,可直接征得使用者的同意���、授权。若医疗器械企业向医疗机构等销售医疗器械���,而后想要收集医疗机构通过医疗服务形成的个人敏感医疗数据的���,需要医疗机构在使用者使用医疗器械前明确告知后续相关数据处理的具体情况并征得使用者的同意���、授权。但是如上文所述���,除医疗器械企业同时为使用者提供医疗服务外���,医疗器械企业一般不具备收集个人信息的合理���、必要性。因此���,该种情况下的个人信息数据收集不太常见���,且需要医疗机构���、使用者的双重配合���,难度���、风险较大。
2.遵循最小必要性原则
若医疗器械涉及收集个人信息的情况���,还需遵循最小必要性原则���,医疗器械收集的个人信息的类型应与实现医疗器械的功能有直接关联���,不收集相关个人信息则医疗器械的功能会受到影响或无法实现。同时���,医疗器械收集个人信息应确保在满足���、实现收集目的的最小范围内���,确保自动收集个人信息的频率保持在满足���、实现收集目的的最低频率。
如常见的血糖���、血压检测仪器���,其功能在于检测使用者的血糖���、血压数据���,是否收集个人信息对于血糖���、血压检测的结果没有影响���,不收集个人信息也不会影响其功能的实现。因此���,该等设备���、仪器不具备收集个人信息的最小必要性。但是对于某些治疗计划软件而言���,该软件的功能为对于特定患者不同阶段的特定健康情况进行分析并制定治疗方案���,收集患者的个人基本信息及医疗健康信息属于该软件输出治疗方案的前提���,那么该种软件具备为实现其基本功能而收集个人信息的必要性。但是���,该等个人信息的收集也应控制在满足其功能实现的最小范围内。
若后续存在收集个人信息数据范围及使用目的���、方式等发生变更的���,应及时告知数据主体且重新取得数据主体的知情同意。
3.履行事前个人信息保护影响评估
根据《个人信息保护法》第五十五条���、五十六条的规定���,若医疗器械企业涉及收集敏感个人信息的���,应当事前进行个人信息保护影响评估。具体评估应当包括���:(一)个人信息的处理目的���、处理方式等是否合法���、正当���、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法���、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
一般而言���,企业可以指定内部专门岗位的人员负责事前的个人信息保护影响评估���,也可以委托外部专业机构进行评估。评估人员通过访谈���、检查���、测试等评估方式对法定的评估内容开展评估���,最终形成评估报告等文件。
4.遵循安全控制原则及制定内部管理制度
医疗器械收集个人信息类的数据更应注重遵循收集过程的安全控制原则���、建立并有效执行内部数据的管理制度���,具体规范建议参见本文“四���、拟IPO医疗器械企业数据收集规范建议”之“(一)非个人信息类数据的收集”部分所述。
结语���:
综上所述���,笔者认为���,拟IPO的医疗器械企业若存在通过医疗器械收集数据的行为���,应确保其数据收集的行为满足合法性���、正当性及安全控制等的基本要求。同时���,应建立健全内部数据合规管理体系并有效执行���,避免因此发生诉讼���、仲裁或行政处罚的情形。若涉及收集个人信息的情况���,医疗器械企业应根据医疗器械的实际使用功能确保个人信息收集的最小必要性���、取得数据主体的知情同意���,并于事前进行个人信息保护影响的评估工作。
此外���,数据收集仅为数据合规的第一步���,数据存储���、处理等亦涉及较多合规要求���,建议医疗器械企业在开展数据收集工作前提前了解相关规定或咨询专业人士。
本文作者���:
指导合伙人���:
声明���:
本文由k8凯发天生赢家·一触即发律师事务所律师原创���,仅代表作者本人观点���,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容���,请注明出处。
