医疗数据合规观察：敏感个人信息合规要求高，相关配套细则亟需完善 让数据资产不再“沉睡”，神州数码打造“入表+融资”范本

医疗数据合规观察：敏感个人信息合规要求高，相关配套细则亟需完善 让数据资产不再“沉睡”，神州数码打造“入表+融资”范本， 

医疗数据合规观察：敏感个人信息合规要求高，相关配套细则亟需完善

南方财经全媒体记者 李润泽子 实习生 罗天恩 广州报道

编者按：医疗大数据产业作为国家最早布局和推动数据要素市场的行业，正进入飞速发展时期。与此同时，去年以来，《个人信息保护法》《数据安全法》等数据立法框架搭建并落地执行，给医疗健康行业的数据处理带来了压力。

21世纪经济报道长期关注数据合规议题，伴随着法律法规实施，我们希望能从垂直领域了解行业动态，故推出“守护医疗数据安全”系列报道，详解宏观政策、产业发展，探讨不同场景、细分行业的合规难点，以期提升整个行业的数据合规水位线。

随着电子病历、互联网医疗、AI医疗影像等应用的普及，医疗数字化浪潮袭来。

然而，患者就医的个人信息安全管理却面临着前所未有的巨大挑战。数据显示，医疗保健行业在2020年已确认的数据泄露事件同比增加了58%。

与此同时，随着《数据安全法》、《个人信息保护法》的实施，个人医疗健康数据保护法律体系逐渐搭建，国内医疗健康行业面临更高的合规要求。

受访专家表示，医疗数据与生命健康息息相关，具备复杂性及高度敏感性，强监管属性。未来，医疗数据使用应注意在维护个人隐私的基础上，充分利用社会资源，促进数据价值的有效转化。

监管趋严行业合规成本增加

病人隐私被侵犯、患者信息遭泄露、医疗数据被贩卖……医疗健康信息侵害事件屡屡发生，让个人医疗健康信息保护成为了行业数据合规的关注重点。

在2021年11月1日正式实施的《个人信息保护法》中，对个人信息的收集、使用、传输等各个环节提出明确的合规要求。

北京世辉律师事务所合伙人卢璟告诉21世纪经济报道记者，《个人信息保护法》将“医疗健康”信息视为敏感信息，医疗行业中的大量患者相关信息均会因其“医疗健康”的属性落入敏感个人信息的范畴。

“医疗健康行业中有非常多的应用场景会涉及个人敏感信息。”中伦律师事务所合伙人蔡鹏介绍，在医院诊疗活动中，从挂号问诊到病例保存，无不涉及个人敏感数据。而从医疗企业角度来看，在进行新医疗器械或药品研发时的临床试验或者临床验证中，会使用到大量的个人敏感信息。此外，此类信息在医疗医药企业的市场活动中也有可能涉及。

《个人信息保护法》对个人信息处理提出了一系列合规要求。医疗机构及企业在处理健康医疗数据时，应当取得合法性基础之上，遵守处理的基本原则，更加谨慎地对待个人敏感数据，以解决医疗数据所具有的复杂性和高度敏感性特征。

与此同时，由于医疗行业涉及大量敏感个人信息处理等情形，医疗机构及企业正面临较高的合规义务和成本。据了解，已有企业为此制定了上千万元人民币的预算。

在杭州数钮科技CEO钱远之看来，《个人信息保护法》对企业在各个层面均提出了严格要求，处罚依据明确。例如，对违法行为情节严重的“责没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款”。

中伦律师事务所律师陈方强认为，对医疗机构和企业而言《个保法》的实施会提升其合规成本。但从遵守法规和增进社会福祉的角度，这种合规投入是必要且有利于行业健康发展的。

目前，我国的医疗行业尚处于发展阶段，不论是医疗机构改善其医疗水平，还是药品、医疗器械企业研发创新产品，都需要投入大量的资金。卢璟表示，如何平衡数据合规成本与创新研发的资金需求，值得思考。

医疗数据应用场景拓展风险提升

医疗数据的共享开放与隐私安全，是一组难解的矛盾。

医疗健康数据处理涉及政府、医院、企业、个人等多个主体。目前，医疗数据主要产生并存储于医疗机构及政府平台之中。但大多数情况下，医院或者政府不具备单独处理、研究分析医疗数据的能力与精力。实践中，部分机构往往会与第三方展开合作。

蔡鹏介绍，当前医疗机构与第三方企业围绕医疗健康数据合作的常见模式包括但不限于科研合作、在制产品试用、委托临床验证、多种方式诊断（如 AI 诊断）、信息核验、技术开发、市场活动等。

“科研合作的数据流向一般是从医院到企业，由企业提供技术研发力量、设备资源，由医院提供病患数据以及临床经验。”蔡鹏说。

陈方强指出，医疗机构一方面需要遵守卫健委对医疗机构规范诊疗和病历监管的要求，仅在特定目的下对相关数据进行开发和利用，另一方面也要根据个人信息保护法和数据安全法对敏感个人信息、重要数据以及健康医疗数据进行识别，采取相应的安全措施和技术化手段，确保该等数据涉及的患者隐私不受侵犯，相关重要数据不应发生泄露。

从企业方面来看，各类上下游尤其是和互联网结合的互联网大健康商业模式中，医疗数据共享的安全值得关注。

国家卫健委统计数据显示，截至2021年6月，我国互联网医院数量已超1600家，仅2021年上半年就新增约500家。在疫情的倒逼之下，互联网医疗发展迅速，相关企业的数据合规建设、个人医疗健康信息保护的重要性凸显。

据了解，互联网医疗可能涉及包括主诉、患者病史、患者影像数据（CT、MR、PET-CT等）和健康体检数据在内的多种个人健康数据。

值得注意的是，由于互联网医疗平台建设一般需多方合作，数据可能会存在多个传输节点。

而包含患者医疗信息的数据应用场景将由原来的医疗机构调阅及管理部门监测向互联互通、远程医疗、移动应用等领域延伸，这也扩大了个人医疗数据隐私信息的分布场景及泄露渠道。

北京中医药大学法律系教授邓勇教授提到，在互联网医疗场景之中共享个人健康数据时应当确保数据提供者提供的个人健康医疗数据已获得数据主体明确同意。对于共享的个人健康数据，还应当要求数据提供者说明数据来源，并对来源合规合法性进行确认。

卢璟认为，互联网医疗平台涉及的个人健康数据其实与传统医疗机构基本是相同的。不同的是，互联网医疗平台的系统与网络相连，并且很可能会对接其他网络系统（如医药电商平台等）。这对互联网医疗平台的网络系统提出更高的安全要求。

寻求数据开发应用与保护的平衡

近年来，在国家政策与医院实际需求的推动下，大数据、人工智能等技术在医疗领域的应用探索成为市场关注重点，AI+医疗场景步入快速发展期。

目前，AI技术在医疗行业中有着广泛的应用前景，例如具有影像辅助分诊功能的 AI 技术能够应用于新冠肺炎的检测，而AI 辅助诊断技术可以应用于特定诊疗（骨折、靶向等）项目。

邓勇介绍，对个人用户而言，目前AI医疗主要应用于智能问诊和健康管理两项服务。对医院来说，AI目前主要应用在医院管理、医学研究和医疗影像等方面，其中医疗AI影像产业发展最为突出。

蔡鹏认为，作为深度学习算法的 AI 技术，其区别于传统算法的一个重要特质就是“吃数据”。即通过接触不同维度的、大量的数据来训练及优化算法。由于AI算法需要吸收大量数据，各方在使用AI技术处理数据前，信息匿名化这一环节则显得更为重要。

“尽管《个人信息保护法》定义了‘匿名化’的概念，但是并未明确具体标准。”卢璟期待，《个人信息保护法》的配套实施细则可以制定一个合理、有效的“匿名化”标准（如相对的匿名化标准），从而有利于相关各方有效利用数据的最大价值。

事实上，如何在发挥数据最大价值之下合规使用数据，已成为医疗健康行业整体所需思考的问题。受访专家普遍认为，医疗健康领域数据监管不能“因噎废食”。

蔡鹏建议，出台对政务数据、医院数据的利用规则，在维护个人隐私的基础上，做到对社会资源的充分利用，促进数据价值的有效转化。

此外，多位专家在接受采访时都呼吁，尽快完善围绕着《网络安全法》、《个保法》、《数据安全法》等法律的配套实施细则。

“应就重要数据及健康医疗数据的识别，在现行法律框架基础上制定具有强制性和可操作性的规范和指南．”陈方强提出，执法机关应当对发展现状中存在有关乱象进行预警并采取必要的监管措施。

浙江数字医疗卫生技术研究院战略咨询与研究中心提到，不同场景的数据开放所导致的隐私安全问题不同，因此建立适应于多场景下的隐私安全管理制度与技术保障体系至关重要。可借鉴国外用例管理思路，形成具体场景的数据安全管理指南，为行业落实数据安全和隐私保护提供最佳实践指导。

对于企业及医疗机构而言，蔡鹏提到其应树立合规意识，强化安全管理，落实分类分级制度，积极运用国内外认可的安全技术措施，强化对患者隐私及个人信息的保护，避免医患纠纷。同时，“强化社会整体的数据保护以及隐私安全意识，将能有效避免数据主体轻易将个人信息泄露的风险。”


让数据资产不再“沉睡”，神州数码打造“入表+融资”范本

神州数码案例为更多企业实现数据资产入表及融资探索出新路径，助力企业提升企业规模、优化决策、提高融资能力和信用评级，打造企业在数字时代的核心竞争力。

文｜吕笑颜

ID | BMR2004

对于那些拥有数据资产但缺乏足够有形资产的科创企业而言，传统的融资业务可能难以满足其资金需求，亟需融资业务思路的创新，以允许它们利用数据资产作为质押物获得资金支持，助力企业实现数据资产价值最大化。

2024年6月下旬，神州数码成功将“神州数码金服云”数据产品作为数据资产，纳入企业财务报表并获得建设银行深圳分行授信融资3000万元，成为深圳市数据资产质押融资的首个案例，也是全国首笔大中型数据资产质押融资案例。

数据资产融资需要经历数据资产确权登记、入表、质押、评估等环节。如何实现数据资产化，让数据变为真正的企业资产，是行业关注的热门话题。神州数码或为企业探索数据资产化的新路径提供范本。

01

神州数码实现数据资产“入表+融资”

无论是数交所还是第三方评估公司，都会有一整套评估模型和流程，但如何能被不同银行所接受，还需要磨合。

数据资产入表，是指将符合资产确认条件的数据资源纳入企业资产负债表中“资产”项下，有利于凸显企业数据资源价值，助力企业数据资源开发利用。

对于如何实现数据资产入表，中审众环会计师事务所（特殊普通合伙）合伙人郝国敏介绍，这需要企业各部门以及各家中介机构合力完成。先是数据服务技术专家对数据盘点，并进行梳理、分类；再是律师对数据进行确权。“当下数据交易所成立了，数据局也成立了，从挂牌交易的数据来看，只有盘点、确权的数据才能入表登记。”郝国敏说。

而审计机构负责入表入账，评估机构则负责数据资产价值评估，完成价值重构，最终实现价值化。

此次深圳数据交易所与神州数码达成战略合作协议，对神州数码现有的数据资源进行梳理，确定对旗下“神州数码金服云”数据产品先行入表。神州数码在深圳数据交易所指导下，先后完成数据商认证和“神州数码金服云”数据产品的上市工作。

据悉，这期间完成数据确权与数据合规等审查工作，并通过相关成本归集完成与会计账目的符合性检测，最终将“神州数码金服云”数据产品列入“无形资产－数据资源”会计科目。

据郝国敏介绍，在数据资产入表后，如果企业有质押融资的需求，数据交易所会联合第三方评估机构，依托企业入表的数据资产，根据场内企业的交易数据等对企业的资产价值进行评估。

在取得深圳数据交易所数据（商品）上市证书后，建设银行深圳分行成功为神州数码提供授信额度3000万元，并经中国人民银行动产融资统一登记公示系统完成数据资产质押登记，打通了数据资产与金融服务对接的“最后一公里”。

无论是数交所还是第三方评估公司，都会有一整套评估模型和流程，但如何能被不同银行所接受，还需要磨合，因为银行内部有一套自己的评估体系。

同时，值得注意的是，由于数据资产评估在行业内缺乏足够的案例支撑，因此，相关机构在评估的过程中会更加审慎，整个评估流程相较传统资产的评估耗时更长。

02

如何释放数据价值

若想释放数据中的内涵价值，需要将原始数据“资源化”再“资产化”然后进一步“产品化”。

郝国敏认为，数据资产入表能够显现数据资源的价值，进一步凸显企业的价值和核心竞争力，同时，也能降低资产负债率，改善企业财务报表。通过数据产品的流通交易，让企业更赚钱；通过数字资产的估值融资，让企业更值钱。

神州数码数据资产“入表+融资”不仅是成功个案，也是一整套可复制、可推广的数据资产入表融资解决方案。这套方案涵盖了数据产品从规划到落地的全过程，例如精准的数据产品规划，以市场需求为导向，确保产品设计贴合实际应用场景；严谨的数据治理机制，通过数据清洗与标准化流程，保障数据的准确性和合规性；创新的数据产品打造，利用先进算法挖掘数据深层价值，提升数据产品的市场竞争力，以及多元化的融资渠道开发，与金融机构深度合作，搭建顺畅的资金对接桥梁，解决企业融资痛点等，为后续企业场景下的数据资产入表提供有效路径和方法。

郝国敏指出，若想释放数据中内涵的价值，需要将原始数据通过汇聚、清洗等“资源化”形成数据资源，再“资产化”形成数据资产，进一步“产品化”形成数据产品，通过数据交易、数据质押、数据信托及数据入股等方式，实现数据资产的价值转化。

其中，神州数码此次采用的数据资产质押融资方式，系最为常见的融资模式。

据德勤咨询金融行业整合服务主管合伙人、德勤中国人工智能研究院主管合伙人尤忠彬介绍，数据资产质押模式一般指数据资产质押融资允许企业将其数据资产作为担保物，从金融机构获得贷款。目前工商银行、建设银行、光大银行等超过20家银行均有基于数据资产的抵押贷款案例。

03

融资模式有待探索

除了数据资产质押融资贷款，截至目前，市场上已经进行了很多金融意义下的数据资产管理探索。

随着数据交易流通不断扩面增量，数据资产化后开始出现流动性、收益性、风险性、波动性等特征，逐渐衍生出金融属性。各地金融机构围绕数据资产“入表+融资”正积极开展创新实践，通过数据资产增信、授信、担保、质押融资等金融手段，帮助企业实现数据资产增值和变现。截至2024年6月末，公开报道的银行数据资产融资或授信总额已达4.7亿元。

尤忠彬认为，相比其他模式，数据资产质押的业务逻辑简单，潜在可提供相关服务的金融机构数量庞大，最有可能在未来全面铺开。另一方面，对于那些“轻资产、重数据”的科技型和小微企业，是最具竞争力的融资渠道，可以显著激活这类企业的活力，带来较大的社会价值贡献。

不过，尤忠彬也指出，数据资产质押模式仍潜存挑战，目前存在数据资产属权确认问题，无法保证风险发生后，金融机构是否拥有对质押资产的充分处置权；另外，由于缺乏明确的交易规范、交易市场，数据资产的估值、处置也存在较大难度。这些挑战都可能导致数据资产的质押价值远小于其实际价值。

除了数据资产质押融资贷款，截至目前，市场上已经进行了很多金融意义下的数据资产管理探索，包括数据信托、无质押数据资产增信贷款、发行包含数据知识产权的证券化产品、数据资产作价入股签约等。目前探索仅具有尝试性，尚未形成普遍模式。

尤忠彬认为，从目前金融行业的实践看，围绕数据资产的金融创新，除了作为信用补充为企业提供增信支持外，其他积累实践模式基本处于从试点向深化推广阶段发展的过程中，且面临挑战，并有共通性。

04

更多问题待解及对策

不同行业的数据资产差别巨大，经营模式和数据利用的不同也对数据资产的价值产生巨大影响。

当前，我国的数据要素资产化仍处于初期阶段，针对现存问题，北京国融兴华资产评估有限责任公司高级副总裁黄立才指出，数据资产发展的宏观环境尚待完善。目前还比较缺乏在法律层面对数据资产的内涵、外延做出明确界定，数据资产的标准化研究还不成熟，对数据资产的所有权与使用权、产权内涵与登记、产权交易与过户、数据资产安全、公民隐私保护等需要进一步得到法律明确与法律保护。

同时，各行业数据资产的特征研究亟待加强。互联网企业、商业零售企业、金融科技企业、电商企业等不同行业的数据资产差别巨大，经营模式和数据利用的不同也对数据资产的价值产生巨大影响，如何比较合理地评估数据资产的价值仍是很大考验。

在黄立才看来，未来在进一步丰富应用场景的情况下，各行业结合数据资产的不同商业模式，将场景应用与价值评估紧密结合起来，才能推动数据资产更充分的发展和应用。

尤忠彬指出，对于当前的数据资产金融积累实践模式，现在面临的挑战主要包括：一是数据资产价值不具备公允的计量方法，在涉及到估值、定价、精算的环节存在较多挑战；二是数据资产没有成熟的、稳定的交易市场，资产的处置、交易流转难度大，难以确定价值锚点；三是数据资产本身的来源合法性、真实度和可靠性难以保障；四是数据资产在运作过程中的隐私保护和风险管理体系尚不成熟；五是个人数据资产的所有权、加工权、收益权的确认方式、管理模式还有待进一步细化。

针对上述挑战，尤忠彬提出以下建议：一是数据资产的定义与确权问题需要优先得到解决，为数据资产运作提供法理基础。建议行业、监管部门进一步深化相关问题的讨论，推动制定和完善数据资产相关的监管政策，定义数据资产的范畴，明确数据所有权、收益权、使用权、隐私权的管理要求和边界。

二是数据资产的相关技术解决方案需要进一步完善。建议在数据安全保护、数据隐私、数据加密等领域充分实践，确保质押、评估过程的安全性；完善区块链技术在数据资产中的使用，确保数据来源合法、真实可信。

三是数据资产的交易流转机制需要进一步完善，为数据资产的金融创新提供价值锚点。建议完善数据资产交易流转的市场，提升数据价值交易、流转的可行性，并围绕市场机制建立起成熟的、公允的价值评估方法，为数据资产的金融创新提供价值锚点。

来源 | 《商学院》杂志9月刊[db:内容]?