医疗健康行业患者数据与商业秘密双重保护 - 保密网

医疗健康行业患者数据与商业秘密双重保护

医疗健康行业的信息保护，是所有行业里难度较高的。原因很简单，这个行业同时涉及两类高度敏感的信息：患者的个人隐私数据，和医疗机构的商业秘密。两者的保护体系、法律要求和管理手段都不一样，但又相互交叉。一个疏忽就可能同时触犯隐私保护法律和商业秘密泄露两条线。

先说医院。医院掌握的患者信息包括个人身份信息、病史、诊断结果、检查报告、用药记录，这些受个人信息保护法、医疗机构病历管理规定等法律法规的严格约束。但同时，医院也有大量的商业秘密，包括医院的管理模式、特色诊疗方案、专家技术专长分布、采购渠道和议价能力、科研项目的实验数据等。

矛盾点在哪里呢？举个例子。一家三甲医院开发了一套基于AI的辅助诊断系统，系统使用医院过往十多年的影像数据做训练。影像数据本身是患者隐私，需要脱敏处理后才能使用。训练出来的诊断模型是医院作为商业秘密保护的核心成果。问题在于，当医院跟第三方技术公司合作开发这个系统的时候，第三方公司同时接触了原始的影像数据和训练好的模型。影像数据的保护要求第三方必须做完善的数据脱敏，模型保护要求第三方不能私自留存或复现。这两个要求同时施加在同一家公司身上，监督的成本很高。

我们在服务一家省级肿瘤医院的时候，发现他们的病理切片数据库面临类似的问题。病理切片是患者的诊断依据，属于敏感个人信息。但这些切片同时是医院病理科的核心资产，是医生诊断能力的重要支撑。医院允许进修医生和研究生使用这些数据做课题研究，但在实际操作中，经常出现进修医生用个人U盘拷贝病理图片的情况。进修医生没有保密意识，也不清楚医院的信息分类标准。这就是典型的隐私保护和商业秘密保护双重缺失。

再说制药企业。药企的核心商业秘密是药品的配方、制备工艺、临床试验数据和商业策略。同时，药企在临床试验过程中也会接触大量受试者的个人信息。

药企的临床试验数据是一个很特殊的资产。一方面，这些数据是向药监部门申请新药注册的核心依据，属于药企的商业秘密。另一方面，临床试验数据包含了受试者的健康状况、用药反应、基因组信息等高度敏感的个人数据。这两层属性叠加在一起，让临床试验数据的管理变得异常复杂。

我们接触过一家做创新药研发的生物科技公司，他们的一个重点项目遇到了麻烦。项目的临床前数据包括化合物的结构信息、动物实验的结果，这些都是公司的核心商业秘密。但研究团队在发表学术论文时，为了让论文更有说服力，把部分实验数据做成了附图放进了论文。论文经过同行评审，一旦发表就意味着这部分数据进入了公共领域，不再受商业秘密保护。等到公司的法务团队发现并干预的时候，论文已经通过了预印本平台的审核。这就让自己失去了对核心数据的所有权和保护权。

还有医疗器械企业，情况也有其特殊性。医疗器械的商业秘密主要集中在这几个方面：产品设计图纸和结构参数、关键零部件的供应商信息和工艺要求、注册资料中未公开的技术数据、临床跟台过程中积累的临床经验数据。

医疗器械的研发有一个特点，就是需要跟医院的临床科室深度合作。医生提供临床需求和使用反馈，企业据此改进产品设计。这个交互过程中，企业不可避免地把部分技术信息暴露给医生。医生的保密意识通常不如企业内部员工强，一个口口相传或者在一个学术会议上分享个案例，就可能把企业的技术细节泄露出去。我们用过的一个方法是跟医院签署联合研发协议，在协议中明确约定双方对研发过程中产生的技术信息共同承担保密义务，并且对医生的对外交流做出口头约束。

给医疗健康行业做保护方案，有几个关键点必须注意。

第一，把隐私数据保护和商业秘密保护做体系化的融合，而不是分别做两套方案。两套方案在流程上打架的情况很常见。比如隐私保护要求数据使用必须经过充分授权，商业秘密保护要求数据访问必须最小化。两套规则需要合并在一个流程框架里，让员工只需要遵守一套访问规则，而不是两套矛盾的规则。

第二，医疗行业的数据分享场景特别多，包括科研合作、学术交流、多中心临床试验、跨院会诊、进修培训。每个分享场景都需要专门的保密协议和脱敏规则。能提前做的是建立标准化的信息分享模板，针对不同场景设定不同的分享规则和审批流程。

第三，数据脱敏是医疗行业的核心技术手段。不管是研究用的患者数据，还是对外合作时提供的内部数据，都要严格执行脱敏处理。脱敏不是简单地把姓名和身份证号抹掉，而是要确保无法通过关联分析反向识别出具体患者或个人。现在很多数据脱敏的方法其实不够彻底，需要真正专业的技术方案来保障。

第四，员工保密培训要渗透到每个业务场景。医生在写论文、参加学术交流、带教徒弟的时候，需要清楚什么能说什么不能说。药企的研究人员在国际会议上做报告，需要知道哪些实验数据可以公开，哪些属于商业秘密必须保留。这个培训不是一次性的，而是需要融入日常工作中，变成每个医疗从业者的职业习惯。

我们为多家医疗机构和药企提供过行业定制方案。如果你所在的医疗健康机构正在考虑完善信息保护体系，无论是患者隐私数据合规，还是核心商业秘密保护，我们都可以提供针对性的方案和培训支持。