数据合规 | 医疗器械企业的数据合规管理实操

（一）医疗设备数据

1. 大型医用设备数据

大型医用设备是各级医疗机构必不可少的临床诊断与治疗工具。鉴于甲类大型医用设备操作技术含量高、临床使用风险高等特点，国务院卫生计生行政部门规定只有三级甲等医疗机构在功能定位、相应的工作量指标、医技人员配置和学科建设情况符合要求后，才能允许配置使用。投入使用的大型医用设备会生成运行数据，以及借助于设备显示器图像采集患者个人信息数据。

2. 智能可穿戴设备数据

智能可穿戴设备（ Wearable Devices）是指将传感器、无线通信、多媒体等技术嵌入人们直接穿戴在身上的便携式医疗或健康电子设备中，其利用可穿戴电子设备内置的各传感器监测佩戴人的心率、呼吸、体温等健康参数，将监测结果发送到佩戴人已安装对应APP的便携式终端/PC端，便于佩戴人对自身的健康状况有一个全面的监测和管理。智能可穿戴设备更多是对个人生物信息的收集、处理和储存。

（二）临床试验数据

许多医疗器械的研发创新与临床数据关联密切，一般包括医疗器械临床文献资料、临床试验数据、受试者个人生物信息、安全性数据，存储的是个人生物信息和健康信息。根据全球医疗器械协调组织指导文件GHTF/SG5（PD）N1R7《临床评价》规定，临床评价分为临床数据收集、临床数据评估和临床数据分析三个阶段。临床数据可以从三个不同的来源获得，分别是通过文献搜索产生的数据、通过临床经验产生的数据和临床试验的数据。

随着电子病历报告表（eCRF）和临床试验远程电子数据采集系统（EDC 系统）的兴起，临床试验数据正在逐渐结构化，但目前还尚未完全解决临床试验过程中管理成本高、项目管理信息不透明等问题。将病例入组、项目管理、数据获取、数据处理和数据分析等环节智能化与数字化，是未来临床试验项目管理的发展趋势。

（三）医疗器械平台数据

根据《医疗器械网络销售监督管理办法》，医疗器械网络交易服务第三方平台提供者，是指在医疗器械网络交易中仅提供网页空间、虚拟交易场所、交易规则、交易撮合、电子订单等交易服务，供交易双方或者多方开展交易活动，不直接参与医疗器械销售的企业。医疗器械平台会收集很多第三方数据和个人信息。

（四）企业商业数据

1. 产品申请注册类数据

除了上述数据外，医疗器械企业的商业数据通常包括产品注册资料数据和生产、经营、使用数据以及利益相关者数据。产品注册数据包括监管信息、综述资料、非临床资料、临床评价资料、产品说明书和标签样稿、质量管理体系文件等。产品注册数据是企业最重要的商业数据，关乎企业的商业秘密和产品功能的介绍，所以商业数据更多也是商业秘密数据，医疗器械企业应该注意对商业数据的保存。

2. 医疗器械生产、经营与使用数据

医疗器械说明书、标签：通用名称、型号、规格；医疗器械注册人、备案人；受委托生产企业的名称、地址及联系方式、生产日期、使用期限或者失效日期；产品性能、主要结构、适用范围、禁忌、注意事项以及其他需要警示或者提示的内容；安装和使用说明或者图示、维护和保养方法；特殊运输、贮存的条件、方法、产品技术要求规定应当标明的其他内容。

医疗器械销售数据包括销售记录、进货查验记录：医疗器械的名称、型号、规则、数量；医疗器械的生产批号、使用期限或者失效日期、销售日期；医疗器械注册人、备案人和受托生产企业的名称、供货者或者购货者的名称、地址以及联系方式、相关许可证明文件编号等。

3. 企业客户数据和消费者数据

医疗器械企业的利益相关者，如供应链合作方、分子公司等提供的一些交易数据，例如付款信息、开户信息、对方企业信息等也属于医疗器械企业的商业数据。

针对上述医疗器械企业的数据，国家和地方行政监管部门持续加大对医疗器械数据的真实性在内违规事项的监管力度，监管整体“宽进严出”趋势。国家法律法规、行业规章和各省规制是医疗器械企业合规经营的依据，也是医疗器械数据合规性的参照标准。医疗器械企业应遵守各项医疗器械及数据的法律法规及地方监管部门的规定，不断提升和规范合规管理。

首先，在刑民法律领域，《中华人民共和国刑法》第253条规定了侵犯公民个人信息罪、非法获取公民个人信息罪，规定了行政机关针对侵犯个人信息的刑事犯罪量刑标准。《中华人民共和国民法典》单列第四编第六章，对隐私权和个人信息保护予以规范，其中第1038条，信息处理者不得泄漏或者篡改其收集、存储的个人信息。此外，民法典第六章还规定了侵害隐私权的行为、个人信息处理的原则和处理个人信息的免责事由等内容。

其次，在特别法领域，《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及《中华人民共和国生物安全法》、《中华人民共和国基本医疗卫生与健康促进法》等对数据安全和个人信息保护做出框架性的规范。

最后，在医疗器械数据监管方面，《条例》强化了医疗器械临床试验数据造假等违规行为的法律责任。医疗器械临床试验数据的真实性、合法性是监管部门审查医疗器械安全有效的重要参考资料，如果医疗器械临床试验机构因趋利性出具虚假报告，将导致监管机关对该医疗器械的安全性、风险性没有良好的预测，进而无法采取有效的管控措施。对此，2021年版《条例》第95条和2017年版《条例》第69条第2款相比，整体强化了医疗器械临床试验机构前述违规行为的法律后果，包括：（1）罚款金额起点由5万变更为10万，（2）罚款金额上限由10万变更为30万，以及（3）相关责任人除了予以相应处分外，还将面临“没收违法收入、并处所获收入0.3-3倍的罚款”等行政处罚。另外，《医疗器械临床试验质量管理规范》也对医疗器械临床试验数据合规管理提出了要求并给予指导。

需要特别注意，2017年4月，首席大法官、最高人民法院院长周强主持召开最高人民法院审判委员会全体会议，审议并原则通过《最高人民法院、最高人民检察院关于办理药品、医疗器械注册申请数据造假刑事案件适用法律若干问题的解释》。

2018年11月，国家药品监督管理局（NMPA）专门出台了《医疗器械临床试验检查要点及判定原则》，明确列举了编造受试者信息、主要试验过程信息、研究数据、检测数据等临床试验数据。检查要点包含6大项：临床试验前准备、受试者权益保障（伦理审查和知情同意）、临床试验方案、临床试验过程、记录与报告（临床试验记录、临床试验报告）和试验用医疗器械管理。

2021年11月，国家药品监督管理局组织制定了《医疗器械临床试验数据递交要求注册审查指导原则》《体外诊断试剂临床试验数据递交要求注册审查指导原则》。疗器械临床试验数据和体外诊断试剂临床试验数据是评价医疗器械安全有效性的重要支持性资料之一。规范地收集、整理、分析和递交医疗器械临床试验数据有助于提高临床试验实施和管理质量，同时有利于监管机构快速、高效地掌握临床试验的开展情况，提高审评效率。

2024年3月22日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》（以下简称《规定》），自公布之日起施行。国家互联网信息办公室有关负责人表示，数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。为了促进数据依法有序自由流动，激发数据要素价值，扩大高水平对外开放，针对医疗器械数据出海业务，《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。

伴随着医疗器械数据数量的增加，数据违规风险扩大，医疗器械企业应通过合规的途径提前做好违规风险防范，以个人信息保护和数据网络安全两个基本视角，展开医疗器械数据合规全场景模拟。

（一）医疗器械个人信息数据的处理

医疗器械企业在应对数据合规法律风险方面，应该首要关注的是患者个人信息数据的收集、使用、加工、储存、销毁等全生命周期是否合规。

1. 医疗器械企业个人信息处理规则

《中华人民共和国个人信息保护法》第6条规定了处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。具体的处理规则如下：

（1）医疗器械企业收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息；

（2）医疗器械企业依据产品或者服务的功能明确所需的个人信息，以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等，以及拒绝处理个人信息对个人的影响；

（3）医疗器械企业应明确个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式；

（4）医疗器械企业针对个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法；

（5）医疗器械企业以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息第三方代码、插件的名称，以及第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机；

（6）医疗器械企业向明确第三方提供个人信息情形及其目的、方式、种类、频次或者时机；

（7）医疗器械企业应明确个人信息安全风险及保护措施；

（8）医疗器械企业应明确个人信息安全问题的投诉、举报渠道及解决途径，个人信息保护负责人联系方式。

2. 医疗器械个人信息数据知情同意规则

特别提醒，医疗器械企业收集个人信息应遵循最小必要原则，并且获得个人信息持有者的知情同意。个人信息知情同意规则可以参考以下标准：

（1）按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意;

（2）处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;

（3）处理不满十四周岁未成年人的个人信息，应当取得其监护人同意;

（4）不得以改善服务质量、提升用户体验、研发新产品为由，强迫个人信息同意其个人信息;

（5）不得通过误导、欺诈、斜坡等方式获得个人的信息;

（6）不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;

（7）不得超出个人授权同意的范围处理个人信息;

（8）不得在个人明确表示不同意后，频繁征求同意，干扰正常使用服务。

3. 医疗器械个人信息数据的脱敏

医疗器械企业收集的个人信息，有些是涉及到敏感个人信息，需要做脱敏加工处理，例如根据使用目的去标识化或者匿名化处理（具体操作技术参考《信息安全技术个人信息去标识化指南》），数据交付之前，去除健康数据所附带的身份信息，是提高保密性的重要手段。但去除标识会降低数据的可追溯性。另外，如果收集到未经过知情同意的个人信息，医疗器械企业在使用该个人信息之前，需要经过数据确权和授权，并将已经明晰主体做好数据知识产权登记。

（二）医疗器械数据安全措施

根据《中华人民共和国数据安全法》，医疗器械数据处理者应当采取备份、加密、访问控制等必要措施，保障数据免遭泄漏、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性。

1. 加强医疗器械网络安全

医疗器械网络安全是指保持医疗器械相关数据的保密性、完整性、可得性、真实性、可核查性、抗抵赖性以及可靠性等特性。

医疗器械数据处理者应当建立数据安全应急处置机制，建立网络安全突发事件的应急组织体系和管理机制，加强防勒索病毒攻击应对统筹管理，开展防勒索病毒专项应急演练。发生数据安全事件时，及时启动应急响应机制，采取措施防止伤害扩大，消除安全隐患。

另外，医疗器械数据处理者在采用自动化工具访问、收集数据时，应当评估对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能。符合申报网络安全审查的医疗器械企业应开展审查申报工作。

2. 设置医疗器械数据保密措施

    健康数据的明文存储会降低产品的保密性，对数据存储予以加密有利于降低数据泄露相关的风险。国家对商用密码产品的科研、生产、销售、使用等都有相应的管理规定。医疗器械数据存储和传输加密时，使用商用密码应遵守相关的法律法规要求。

3. 医疗器械数据安全举报

医疗器械数据处理者应当建立便捷的数据安全投诉举报渠道，及时受理、处置数据安全投诉举报。投诉的员工可以联系企业数据安全团队，也可以联系当地人力资源部门或主管报告任何投诉。公司将对其从员工和客户处收到的有关数据安全、数据泄漏的投诉作出回应，并记录此类投诉，采取应对措施。

（三）医疗器械数据交易安全

医疗器械数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守以下规定：

（1）向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点，并取得个人单独同意，符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外。

（2）与数据接收方约定处理数据的目的、范围、处理方式，数据安全保护措施等，通过合同等形式明确双方的数据安全责任义务，并对数据接收方的数据处理活动进行监督。

（3）留存个人同意记录及提供个人信息的日志记录，共享、交易、委托处理重要数据的审批记录、日志记录至少五年。

（四）医疗器械数据跨境流通

部分医疗设备仍存在不同程度连接互联网和开启远程控制的现象，尤其很多医疗设备为进口，通过跨境服务器可能导致医疗数据出境，具有较高安全隐患。

医疗器械企业处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，应充分做好风险评估合规性审查工作。涉及到的风险评估内容包括出境申报风险评估和签订个人信息出境标准合同风险评估。

（五）医疗器械平台数据治理

医疗器械互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保保障平台规则、隐私政策、算法公平公正。

医疗器械互联网平台应当对接入其平台的第三方平台和服务承担数据安全管理责任，通过合同等形式明确第三方的数据安全责任义务，并督促第三方加强数据安全管理，采取必要的数据安全保护措施。

医疗器械互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的，应当对推送信息的真实性、准确性以及来源合法性负责。

医疗器械互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的，应当按照国家有关规定进行安全评估。

（六）医疗器械数据真实有效

医疗器械企业应当保持商业数据真实有效，医疗器械注册申请人、备案人应当确保提交的资料合法、真实、准确、完整和可追溯。

进货查验记录和销售记录应当真实、准确、完整和可追溯。医疗器械使用单位应当按照产品说明书的要求进行检查、检验、校准、保养、维护并予以记录；对使用期限长的大型医疗器械，应当逐台建立使用档案，记录其使用、维护、转让、实际使用时间等事项。

整体而言，医疗器械企业处理数据应保障数据安全，通过采取必要的措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。因此，医疗器械企业有必要构建内部数据合规体系，分别从数据合规制度建设、数据合规流程建设以及数据合规文化建设三个维度，开展医疗器械数据全方位体制搭建。

（一）数据合规制度建设

1. 构建数据合规标准制度

医疗器械企业应参照 ISO/IEC 27701 : 2019 隐私信息管理体系、ISO/IEC 27001 : 2013 信息安全管理体系以及GB/T22239-2019 信息安全技术网络安全等级保护基本要求，根据自身的行业特点和实际经营情况，制定书面数据合规标准，将数据合规标准嵌入到公司章程中，企业员工行为规范中，甚至可以作为绩效考核之一，避免因数据问题踩红线。信息安全政策可以参考下图资生堂的信息安全规章图。

2. 构建数据分级分类制度

医疗器械企业应尽快将自身数据资料按照《中华人民共和国数据安全法》及各地区、各部门制定的主要数据目录开展分类分级，或者按照企业已有的数据类型归类整理，将各类别的数据分成1-5级，针对不同级别的数据特点，制定相应的管理和安全保障措施，并提示安全风险。

3. 构建数据合规审计制度

医疗器械企业应开展数据合规审计工作，构建数据风险监测系统，及时预警数据泄漏。对于重要数据，无论是处于数据全生命周期的任一环节，只要其数据处理活动可能涉及重要数据，都需要进行定期的风险评估，并将评估报告包送给主管部门。

数据合规审计的要点至少包括以下：

（1）常见的数据处理风险场景及企业应对措施

（2）数据合规管理架构的运营情况及问责制

（3）数据保护影响评估和风险管理

（4）数据合规意识与合作伙伴管理等

4. 构建数据安全合规负责人制度

医疗器械重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构，数据安全管理机构在数据安全负责人的领导下，负责各部门实施有关信息安全的各项措施，制定和履行数据安全相关重大决策建议等。

5. 构建数据监管部门应对制度

医疗器械企业在涉嫌数据违规被展开调查的情形下，应积极协商沟通，配合行政机关，并做好证据保存，及时联系律师展开配合应对工作，以最小损害原则，争取宽大处理。

（二）数据合规流程建设

数据合规流程是对数据风险、数据管理开展的合规性、真实性、有效性验证。医疗器械企业数据合规体系的建设流程如下：

（1）识别风险：针对数据严监管，发现数据潜在隐患，发现数据合规管理实践薄弱。

（2）审视数据资产：系统梳理数据资产的来源、类型等，分级分类整理。

（3）设计数据合规管理架构：部署数据合规管理组织、权责清晰。

（4）制定或者完善数据合规管理制度：结合业务情况，制定数据安全措施。

（5）维护数据平稳运行：时刻监督数据风险，开展数据安全意识培训，持续改进组织框架。

医疗器械企业构建完成熟的数据合规体制之后，针对日益增多的数据，应遵循以下数据合规管理全生命周期流程实施操作：

（1）收集数据：目的、方法、分级分类、管控措施。

（2）存储数据：存储位置、管控措施

（3）使用数据：方式、公开形式、管控措施。

（4）对外提供数据：接收主体、管控措施。

（5）销毁数据：管控措施。

医疗器械企业除了数据操作过程中保障数据管理安全之外，也要通过网络安全系统管理流程加强防范数据泄漏风险，具体操作流程可以参照下图资生堂的信息安全管理系统图。

（三）数据合规文化建设

医疗器械企业应增强员工的个人信息保护和数据安全合规意识，及时开展员工数据安全教育培训、应急演练等活动，培训相关人员了解、知悉、掌握最新的法律法规及监管动态。应当制定数据安全培训计划，每年组织开展全员数据安全合规教育培训，数据安全相关的技术和管理人员以及数据合规人员每年教育培训时间不得少于二十小时。

另一方面，医疗器械企业应当将数据安全意识以领导层邮件通知的方式贯彻到各个岗位，让员工意识到数据合规的重要性，具备数据管理能力，确保员工知悉企业内部的管理规定。

最后，医疗器械企业也要重视上下游供应链数据的管理，对利益相关的第三方开展数据合规培训，确保接收的数据是合法且明确授权的数据。

【参考文献】

[1]《北京市大型医用设备配置与使用管理白皮书》，北京市卫计委，2021年。

[2] 余耿楠、许佳锐：《大数据时代下医疗器械产业的数字化应用及趋势》，中国食品药品监管，2022 年第 10 期。

[3] 孔祥钧、张晓晨、刘婷婷：《医疗器械监督管理条例(2021修订)》专题性解读之五-加强医疗器械临床试验合规监管，世辉律师事务所，2021年。

[4] Jessica Davis，ZOLL Medical notifies 1M patients of data breach tied to LifeVest device，March 14, 2023。

https://www.scmagazine.com/news/privacy/zoll-medical-notifies-1m-patients-data-breach-lifevest-device

[5] 谭健、程铭、贾志刚等：《某大型公立医院医疗设备数据安全管理实践与思考》，中国医院，2023年2月刊。

[6] 上海市杨浦区检察院联合市信息服务业⾏业协会、市数据合规与安全产业发展专家⼯作组、区⼯商业联合会《企业数据合规指引》第十七条。

[7] 株式会社资生堂官网：https://corp.shiseido.com/jp/sustainability/compliance/