健康醫(yī)療數(shù)據(jù)治理體系建構的困境及對策

屈 佳

浙江大學光華法學院，浙江杭州，310008

健康醫(yī)療數(shù)據(jù)是指個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的與健康醫(yī)療相關的電子數(shù)據(jù)[1]。“智慧醫(yī)療”為人們帶來了全新的健康保障體驗,也使網(wǎng)絡上流通的健康醫(yī)療數(shù)據(jù)數(shù)量急劇上升。海量健康醫(yī)療數(shù)據(jù)在為人類社會謀求更多福祉的同時,也導致了諸如數(shù)據(jù)泄漏、網(wǎng)絡勒索、侵犯公民隱私和擾亂社會秩序等問題。從Greenbone Networks輕松獲取數(shù)千個在線醫(yī)療系統(tǒng)內(nèi)2400多萬份不同國家的患者數(shù)據(jù),到近年來國內(nèi)醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)庫頻頻被入侵,健康信息數(shù)字化時代的數(shù)據(jù)處理與安全保障成為全球普遍關注的熱點問題[2]。

現(xiàn)有研究主要從技術與制度兩個層面出發(fā)。①探索開發(fā)與利用健康醫(yī)療數(shù)據(jù)(包括捕獲、管理與處理數(shù)據(jù))的科學方法。技術創(chuàng)新與應用研究在審視技術發(fā)展基礎之上推進技術革新,利用PAC-GRA-BK算法、瀏覽器/服務器架構設計或基于樣本數(shù)據(jù)驅(qū)動優(yōu)化臨床療效等方法來提升數(shù)據(jù)資源管理效率和醫(yī)療服務質(zhì)量[3]。②研究主要從衛(wèi)生事業(yè)管理或醫(yī)學倫理的視角展開,旨在明確健康醫(yī)療數(shù)據(jù)的含義、結構化數(shù)據(jù)元素的路徑、數(shù)據(jù)使用的道德準則以及評估數(shù)據(jù)質(zhì)量的統(tǒng)一標準[4]。只有少量研究注意到了治理過程中出現(xiàn)的法律問題,包括隱私權保護、數(shù)據(jù)主體控制權、個人信息保護以及數(shù)據(jù)跨境流動規(guī)則發(fā)展方向等[5]。鮮有研究系統(tǒng)性地思考如何推動體系的完善,導致健康醫(yī)療數(shù)據(jù)治理體系發(fā)展的邏輯思路不清晰。例如,有研究分析了數(shù)據(jù)的權利內(nèi)容,卻沒有明確數(shù)據(jù)屬性與權利主體[6]。 數(shù)據(jù)屬性是一個數(shù)據(jù)字段,代表一個數(shù)據(jù)對象的特征或功能[7]。數(shù)據(jù)權利主體是指個人數(shù)據(jù)保護法中規(guī)定的數(shù)據(jù)主體,也是數(shù)據(jù)的來源主體,即一般自然人[8]。

本研究將在詳細分析健康醫(yī)療數(shù)據(jù)實踐與理論發(fā)展現(xiàn)狀的前提下,對當前數(shù)據(jù)治理體系建構過程中面臨的一系列重要問題進行整體性思考,以為如何建構治理體系提出具有針對性的建議。

1 健康醫(yī)療數(shù)據(jù)治理的現(xiàn)狀分析

1.1 健康醫(yī)療數(shù)據(jù)治理的實踐發(fā)展狀況

國務院于2016年發(fā)布的《國務院辦公廳 關于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應用發(fā)展的指導意見》中提到要使健康醫(yī)療數(shù)據(jù)的開發(fā)利用邁入規(guī)范化階段。國家衛(wèi)生健康委于2018年頒布的《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法(試行)》對數(shù)據(jù)安全監(jiān)管作出了詳細規(guī)定,進一步提升了“AI+醫(yī)療”發(fā)展的規(guī)范性。除了推行治理健康醫(yī)療數(shù)據(jù)的專門性行政法規(guī)和部門規(guī)章,我國相繼發(fā)布的《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》),建立了個人健康醫(yī)療數(shù)據(jù)保護、數(shù)據(jù)分類分級與安全合規(guī)評估等制度,完善了醫(yī)療健康行業(yè)配套規(guī)則體系。在此基礎上,國家市場監(jiān)督管理總局于2021年制定的《信息安全技術-健康醫(yī)療數(shù)據(jù)安全指南》(以下簡稱“國家標準GB/T 39725”)將健康醫(yī)療數(shù)據(jù)安全保障標準具體化,指導行業(yè)開展數(shù)據(jù)管理能力成熟度評估工作體系建構,增強數(shù)據(jù)質(zhì)量和機構的數(shù)據(jù)管控能力。在國際上,健康醫(yī)療數(shù)據(jù)的開發(fā)利用與保護問題受到各國政府、研究機構乃至社會的廣泛關注。歐盟委員會于2022年發(fā)布了《歐洲健康數(shù)據(jù)空間條例(提案)》。該提案旨在全面完善治理體系并建立起特定的數(shù)據(jù)共享框架,標志著歐盟健康醫(yī)療數(shù)據(jù)治理體系建構正式進入3.0階段。在致力于促進醫(yī)療信息化行業(yè)發(fā)展的美國,自1996年起,衛(wèi)生與人類服務部持續(xù)完善的《健康保險可移植性和責任法》(Health Insurance Portability and Accountability Act,HIPAA)明確規(guī)定了個人健康醫(yī)療數(shù)據(jù)的權利和醫(yī)療保健服務提供者的義務,從而建立了相對完善的數(shù)據(jù)安全保障體系。

然而,存儲大量數(shù)據(jù)的醫(yī)院、公共機構與醫(yī)療保健服務供應商始終是全球黑客們反復攻擊的對象,形成了健康醫(yī)療數(shù)據(jù)安全保障的外部風險。此外,健康醫(yī)療數(shù)據(jù)安全保障的內(nèi)部風險也不容忽視。2023年3月,我國最高人民檢察院發(fā)布了一批個人信息保護公益訴訟的典型案例,其中一例涉及醫(yī)療機構違規(guī)泄露患者健康信息[9]。另一項回顧2009-2017年美國健康醫(yī)療數(shù)據(jù)泄漏事故的研究顯示,將數(shù)據(jù)放入個人賬號、隨意共享加密數(shù)據(jù)、將數(shù)據(jù)發(fā)送給錯誤的人或未經(jīng)授權即訪問等內(nèi)部工作人員的不當操作行為是引發(fā)數(shù)據(jù)外泄的主要原因[10]。健康醫(yī)療數(shù)據(jù)安全保障中存在的內(nèi)外部風險威脅著數(shù)據(jù)的保密性、完整性與可用性,要求數(shù)據(jù)治理體系提供解決方案。我國健康醫(yī)療數(shù)據(jù)治理體系雖初具雛形,但尚缺乏獨立完整的體系設計,并未制定對數(shù)據(jù)收集、處理、監(jiān)管以及流通等各個環(huán)節(jié)作出整體設計的專門性法律。總的來說,健康醫(yī)療數(shù)據(jù)治理進入發(fā)展期,有必要針對實踐中出現(xiàn)的新問題完善相關制度。主要包括以下問題:應對外部風險時,個人對健康醫(yī)療數(shù)據(jù)享有的權益邊界;如何強化對數(shù)據(jù)處理的監(jiān)督以降低數(shù)據(jù)安全保障的內(nèi)部風險;如何通過化解健康醫(yī)療數(shù)據(jù)安全保護與數(shù)據(jù)開放共享之間的矛盾打通數(shù)據(jù)流通壁壘。結合現(xiàn)實風險與規(guī)范現(xiàn)狀,擬從梳理相關理論入手,以奠定深入分析上述問題及其成因的基礎。

1.2 健康醫(yī)療數(shù)據(jù)治理的理論發(fā)展情況

1.2.1 引導治理方向的原則。19世紀80年代,經(jīng)濟合作與發(fā)展組織(Organisation for Economic Co-operation and Development,OECD)在《關于保護隱私和個人數(shù)據(jù)跨國流通指導原則》中提出了關于個人數(shù)據(jù)保護必須遵循的八大原則,包括公開原則、個人參與原則、責任原則、使用限制原則、數(shù)據(jù)質(zhì)量原則、收集限制原則、目的明確原則與安全保障原則。八大原則不僅是制定數(shù)據(jù)治理與信息保護法的國際標準,還是各國制定健康醫(yī)療數(shù)據(jù)治理的基礎[10]。例如,芬蘭社會事務與衛(wèi)生部于2012年頒發(fā)的《生物銀行法》第二章第五條第一款依據(jù)數(shù)據(jù)收集限制原則,要求生物銀行應當確保收集的樣本和信息與研究之間具有相關性。此外,2013年美國衛(wèi)生與人類服務辦公室發(fā)布了名為《協(xié)調(diào)性照顧和個人參與的障礙消除建議(2020)》的草案,以保障患者的隱私信息自主權。在OECD發(fā)布的《健康醫(yī)療數(shù)據(jù)治理》報告(Health Data Governance,HDG)中八大數(shù)據(jù)處理的基本原則同樣占據(jù)重要地位。2016年國務院發(fā)布的《關于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應用發(fā)展的指導意見》也提出了3項健康醫(yī)療數(shù)據(jù)應用應當堅持的原則:以人為本、驅(qū)動創(chuàng)新;規(guī)范有序、安全可控;開放融合、共建共享。這3項原則雖不夠細致,卻基本概括了OECD八大原則的主要內(nèi)容。

1.2.2 基于數(shù)據(jù)特點建構的理論。為解決數(shù)據(jù)利用與數(shù)據(jù)保護沖突問題提供理論,幾種代表性理論包括數(shù)據(jù)主權論、數(shù)據(jù)自由論、數(shù)據(jù)分級分類保護論和場景化理論。以上理論主張對現(xiàn)有健康醫(yī)療數(shù)據(jù)治理體系下行動方案的完善產(chǎn)生了積極影響[10]。健康醫(yī)療數(shù)據(jù)應用研究領域也涌現(xiàn)出了各種理論,包括數(shù)據(jù)生命周期論、區(qū)域醫(yī)療中心資源整合論。

健康醫(yī)療數(shù)據(jù)具有4個重要特點。①相較于其他類型的數(shù)據(jù),健康醫(yī)療數(shù)據(jù)更具商業(yè)價值;據(jù)國際商業(yè)機器公司發(fā)布的《2022年數(shù)據(jù)泄漏成本分析報告》顯示,醫(yī)療保健行業(yè)連續(xù)12年成為平均數(shù)據(jù)泄漏成本最高的行業(yè);高昂的數(shù)據(jù)泄漏成本意味著健康醫(yī)療數(shù)據(jù)的安全保護價值極高。②健康醫(yī)療數(shù)據(jù)詳細記錄了個人從出生至死亡全生命周期的健康情況,有很強的人身屬性。③健康醫(yī)療服務遠程化增強了健康醫(yī)療數(shù)據(jù)抓取的實時性[11],并且,小型可穿戴的物聯(lián)網(wǎng)設備每日監(jiān)測使用者的健康狀況生成了大量動態(tài)個人信息[2]。④健康醫(yī)療數(shù)據(jù)具有多樣性,其中包括生物識別數(shù)據(jù)(如指紋、虹膜、人臉識別等)、人類生物樣本(如血液、唾液、組織等)、遺傳數(shù)據(jù)(如基因組、遺傳突變等)與患者產(chǎn)生型健康醫(yī)療數(shù)據(jù)等[4]。以上特點決定了健康醫(yī)療數(shù)據(jù)具有對個人法益影響最大且易被不法分子侵襲的特征。

數(shù)據(jù)來源于不同地區(qū)和機構,為了協(xié)調(diào)數(shù)據(jù)多樣性與數(shù)據(jù)管控一致性之間的矛盾,在規(guī)范層面上管理數(shù)據(jù)要素并建立要素代碼集至關重要。我國健康醫(yī)療數(shù)據(jù)資源具有體量大的天然優(yōu)勢,但碎片化存儲方式導致產(chǎn)業(yè)體系化程度低,無法充分釋放數(shù)據(jù)要素價值[5]。Silva和Wittes在1999年臨床試驗中使用病例報告表時開發(fā)了通用數(shù)據(jù)元素,該元素的應用可以提高不同系統(tǒng)之間的互操作性、數(shù)據(jù)收集效率、數(shù)據(jù)收集質(zhì)量與數(shù)據(jù)使用收益[12]。2021年,歐洲健康數(shù)據(jù)空間發(fā)布的《健康醫(yī)療數(shù)據(jù)治理何以特殊》報告(Why Health is a Special Case for Data Governance)指明了有關歐洲數(shù)據(jù)再利用需要考慮的八大健康醫(yī)療數(shù)據(jù)要素,嘗試為通用數(shù)據(jù)元素的使用提供參考。

超越數(shù)據(jù)主權論與數(shù)據(jù)自由論之間的分歧,數(shù)據(jù)相對自由論旨在尋求數(shù)據(jù)安全保護與數(shù)據(jù)價值挖掘之間的平衡。美國和歐洲分別代表的“數(shù)據(jù)自由論”與“數(shù)據(jù)主權論”構成了跨境數(shù)據(jù)流通管理的兩大基本價值立場[13]。事實證明,堅持絕對自由主義會形成“數(shù)據(jù)霸權”“數(shù)字剝削”“數(shù)據(jù)壟斷”,而相對自由主義利于推動健康醫(yī)療數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。在“網(wǎng)絡自由”“全球公域”原則的要求下,健康醫(yī)療數(shù)據(jù)需要自由流動。還有研究指出個人數(shù)據(jù)權是協(xié)調(diào)權利人與他人意志沖突的工具,本質(zhì)上仍為“自由權”[14]。作為稀缺性資源,數(shù)據(jù)無法歸類為公共物品,確實具有公共屬性。健康醫(yī)療數(shù)據(jù)的公共屬性尤為突出,醫(yī)學研究、診療與公共衛(wèi)生服務都以數(shù)據(jù)作為支撐。相對自由意味著個人不享有絕對的健康醫(yī)療數(shù)據(jù)控制權[15]。

2 健康醫(yī)療數(shù)據(jù)治理體系建構的困境

2.1 數(shù)據(jù)屬性與權利主體不明

經(jīng)濟合作與發(fā)展組織認為數(shù)據(jù)的共享與使用利好于公共利益而不是個人或患者利益[15]。高價值的健康醫(yī)療數(shù)據(jù)開發(fā)利用帶來的好處包括:觀察具有不同背景和特征的患者群對現(xiàn)有療法的反應,快速找到最佳療法;與基因組信息結合,發(fā)現(xiàn)更顯著的治療效果差異;提高醫(yī)療保健服務質(zhì)量,更好地滿足個人的健康保障需求;提高醫(yī)療衛(wèi)生系統(tǒng)的運行效率,合理化醫(yī)療資源分配,產(chǎn)生積極的經(jīng)濟和社會效益[12]。然而,數(shù)據(jù)使用不當可能導致數(shù)據(jù)泄漏與數(shù)據(jù)濫用,帶來的風險如下:侵犯個人隱私和個人數(shù)據(jù)權益;在購買人身保險或求職時,個人可能遭受歧視或錯誤的差別對待;承受病史泄漏帶來的心理壓力以及壓力引發(fā)的不利后果;個人的社會評價明顯降低,名譽受損;醫(yī)療機構和政府的公信力降低,對我國社會的和諧與穩(wěn)定造成危害[10]。在數(shù)據(jù)使用過程中,健康醫(yī)療數(shù)據(jù)主體承擔了較大的數(shù)據(jù)應用風險,獲得了較少的數(shù)據(jù)應用好處。對此,有研究在總結各國應對公共衛(wèi)生事件經(jīng)驗的基礎上指出,應當確立優(yōu)先保障公共利益的健康醫(yī)療數(shù)據(jù)應用原則[16]。有研究指出有必要改變《個人信息保護法》呈現(xiàn)出的單向保護個人權利的傾向,因為健康醫(yī)療數(shù)據(jù)的應用保護了公共利益進而使個人受惠[17]。但是,在堅持個人權利優(yōu)先的美國哲學家Frances Kamm看來,為了拯救很多人的生命而允許僭越一個人的權利,善就不會存在[18]。以上研究都是從利益衡量的視角展開,堅持公共利益優(yōu)先論的學者贊成保障公共利益而豁免數(shù)據(jù)處理主體獲取患者同意的義務。主張個人權利優(yōu)先論的學者卻堅決反對未經(jīng)個人同意而處理個人健康數(shù)據(jù)的行為[15]。在健康醫(yī)療數(shù)據(jù)治理體系建構過程中,優(yōu)先保障個人權利還是社會利益?兩派爭論不下。

國外一些研究從判斷數(shù)據(jù)權利主體的視角切入,進行健康醫(yī)療數(shù)據(jù)確權[12,15]。健康醫(yī)療數(shù)據(jù)是私人所有還是公共所有?同樣形成了兩種觀點。有學者希望健康醫(yī)療數(shù)據(jù)私有化,保障個人擁有健康醫(yī)療數(shù)據(jù)的所有權[19]。個人實際上是數(shù)據(jù)的生產(chǎn)者、控制者。私有化后市場在健康醫(yī)療數(shù)據(jù)流通過程中占據(jù)主導地位。數(shù)據(jù)收集者在向個人付費后取得數(shù)據(jù)使用權,個人可以在數(shù)據(jù)流通過程中獲得實際收益[15]。私有化賦予了個人更大的權利自由,個人享有同意撤回權和數(shù)據(jù)刪除權。這兩項權利又被稱為被遺忘權,是數(shù)據(jù)主體可以要求數(shù)據(jù)控制者(如搜索引擎)更新、刪除個人數(shù)據(jù)的權利[20]。支持健康醫(yī)療數(shù)據(jù)公有化的學者認為政府或機構擁有健康醫(yī)療數(shù)據(jù)的某些要素或權利[21]。另外,私有化會導致健康醫(yī)療數(shù)據(jù)完全掌握在市場少部分人手中,形成數(shù)據(jù)壟斷。數(shù)據(jù)由少數(shù)大型科技公司掌控,真正的數(shù)據(jù)生產(chǎn)者在中心化的網(wǎng)絡結構下淪為被“數(shù)據(jù)剝削”的對象[19]。即使歐洲建立了全球最嚴密的數(shù)據(jù)治理體系,也面臨著對大型科技公司執(zhí)法不力的問題,而現(xiàn)行關于數(shù)據(jù)屬性和數(shù)據(jù)權利歸屬的法律法規(guī)并不多。國務院2022年發(fā)布的《關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出了建立公共數(shù)據(jù)、企業(yè)數(shù)據(jù)與個人數(shù)據(jù)的分類確權授權制度的要求,卻沒有說明具體的分類、確權和授權方法。再結合上述學術界的爭論,可以得出結論:確認健康醫(yī)療數(shù)據(jù)的屬性以及個人是否是健康醫(yī)療數(shù)據(jù)權利的享有者,這些都是亟待解決的問題。

2.2 對數(shù)據(jù)處理者的監(jiān)管不嚴

歐盟數(shù)據(jù)保護委員會2020年通過了《GDPR下數(shù)據(jù)控制者及數(shù)據(jù)處理者概念的指南》,認為在數(shù)據(jù)處理過程中存在控制者、共同控制者和處理者等多方主體參與的情況?？刂普吲c處理者之間最大的區(qū)別在于處理者獨立于控制者,并享有一定程度的自主決策權。根據(jù)歐盟的做法,有研究將數(shù)據(jù)主體劃分為數(shù)據(jù)來源者(數(shù)據(jù)元發(fā)者)、數(shù)據(jù)處理者(服務提供者)和數(shù)據(jù)控制者[22]。然而,依據(jù)《個人信息保護法》第四條規(guī)定,“處理”一詞已經(jīng)包含了“控制”的含義,因此數(shù)據(jù)控制者也被稱為數(shù)據(jù)處理者。健康醫(yī)療數(shù)據(jù)處理者是指對復雜數(shù)據(jù)進行采集、預處理、存儲、管理、挖掘、分析、展示與應用的自然人、法人和其他組織,在助推數(shù)字醫(yī)療與大健康產(chǎn)業(yè)發(fā)展方面發(fā)揮著重要作用[18]?！秱€人信息保護法》對“處理”一詞作最廣義的理解,使得該術語涵蓋了多種開發(fā)與利用數(shù)據(jù)的手段,導致分析健康醫(yī)療數(shù)據(jù)處理者受監(jiān)管情況的必要性顯著提升。另外,健康醫(yī)療領域是一個重要的數(shù)據(jù)處理場景,健康醫(yī)療數(shù)據(jù)處理者是重要的數(shù)據(jù)處理參與者,其數(shù)據(jù)處理行為的受管控程度也應當加強[20]。

目前,限制健康醫(yī)療數(shù)據(jù)處理者的主要方法是明確數(shù)據(jù)處理各個環(huán)節(jié)的邊界、責任主體和具體要求,進一步規(guī)范其合規(guī)義務[18]。例如,國家衛(wèi)生健康委2019年發(fā)布的《關于落實衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全責任的通知》以及國家互聯(lián)網(wǎng)信息辦公室2021年發(fā)布的《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》都要求數(shù)據(jù)處理者由消極防御轉(zhuǎn)向積極預防。再如,國家互聯(lián)網(wǎng)信息辦公室2022年發(fā)布的《數(shù)據(jù)出境安全評估辦法》明確了向境外提供數(shù)據(jù)的數(shù)據(jù)處理者需承擔的報告義務、風險自評估義務以及數(shù)據(jù)安全保護責任義務。此外,國家衛(wèi)生健康委還結合醫(yī)療行業(yè)的發(fā)展狀況和數(shù)據(jù)特征,發(fā)布了多項部門規(guī)章,通過績效考核的方法對健康醫(yī)療數(shù)據(jù)處理者的監(jiān)管提出了更科學化和精細化的要求。國家衛(wèi)生健康委2019年發(fā)布的《全國基層醫(yī)療衛(wèi)生機構信息化建設標準與規(guī)范(試行)》確立了與信息安全相關的1項一級指標、10項二級指標和38項三級指標,并將各項指標與醫(yī)院級別掛鉤。國家衛(wèi)生健康委2022年發(fā)布的《公立醫(yī)院高質(zhì)量發(fā)展評價指標(試行)操作手冊》將數(shù)據(jù)應用與管理水平分為八級,并作為智慧醫(yī)院建設成效的定量指標之一。對健康醫(yī)療數(shù)據(jù)處理者可以采取的主要監(jiān)管手段包括數(shù)據(jù)責任清單制、定期績效考核制和行業(yè)自律[23]。法律責任機制是一種很好的事后監(jiān)管和權利救濟手段,能夠發(fā)揮法律的威懾作用,但對于不當處理健康醫(yī)療數(shù)據(jù)的行為不能作出快速反應[24]。考慮到健康醫(yī)療數(shù)據(jù)處理不當?shù)母呶：π耘c傷害的難修復性,有必要加強對健康醫(yī)療數(shù)據(jù)處理者的事前、事中和事后全鏈條監(jiān)管。我國健康醫(yī)療數(shù)據(jù)處理者監(jiān)管規(guī)范體系還存在監(jiān)管范圍過窄的問題。部門規(guī)章通常只適用于提供診療服務的機構,卻不適用于收集了大量個人健康數(shù)據(jù)的科技公司或研發(fā)型企業(yè)[25]。相關法律法規(guī)也僅規(guī)定了針對醫(yī)療機構及其醫(yī)務人員故意泄漏數(shù)據(jù)的后果,例如《中華人民共和國民法典》第一千二百二十六條。健康醫(yī)療數(shù)據(jù)安全保障的外部風險防控主要依賴于技術提升,而內(nèi)部風險防控更依賴于制度保障[26]。相關法律法規(guī)必須建立更健全的健康醫(yī)療數(shù)據(jù)處理者監(jiān)管制度,以科學防控內(nèi)外部風險,保障數(shù)據(jù)安全。

2.3 境內(nèi)外數(shù)據(jù)要素流通受阻

根據(jù)全國信標委大數(shù)據(jù)標準工作組發(fā)布的《數(shù)據(jù)要素流通標準化白皮書》(2022版),數(shù)據(jù)要素是指為使用者或所有者帶來經(jīng)濟效益、以電子方式記錄的數(shù)據(jù)資源。數(shù)據(jù)要素流通是實現(xiàn)數(shù)據(jù)分析和數(shù)據(jù)價值的前提。OECD于2015年發(fā)布的《解決老阿爾茨海默病》(Addressing Dementia)報告指出,當基礎醫(yī)學研究提供幫助的數(shù)據(jù)、提升醫(yī)療服務質(zhì)量的數(shù)據(jù)、管理健康系統(tǒng)的行政數(shù)據(jù)以及公共健康數(shù)據(jù)與其他數(shù)據(jù)鏈接時,健康醫(yī)療數(shù)據(jù)的價值將成倍增長[24]。然而,由于技術依賴、保護和激勵不足等原因,部分政府部門、醫(yī)療機構和私營企業(yè)不進行數(shù)據(jù)共享,導致信息孤島現(xiàn)象加劇[27]。

2.3.1 數(shù)據(jù)實際持有者往往不敢、不愿共享數(shù)據(jù)。由于數(shù)據(jù)泄漏和數(shù)據(jù)再識別風險的存在,不同地區(qū)、公共機構之間以及公共機構與私營主體之間缺乏充分信任。當前,沒有辦法完全去除健康醫(yī)療數(shù)據(jù)的標識信息,通過與其他數(shù)據(jù)進行交叉比對以及大數(shù)據(jù)畫像技術,可能會對個人醫(yī)療隱私造成嚴重的侵害[6]。雖然數(shù)據(jù)在傳輸過程中會充分暴露,但為了保護數(shù)據(jù)而限制其流通這種因噎廢食的行為不能被肯定。在成熟的技術保障體系和完善的法治框架內(nèi),數(shù)據(jù)保護與數(shù)據(jù)共享的沖突問題迎刃而解。技術為健康醫(yī)療數(shù)據(jù)共享創(chuàng)造了安全的外部環(huán)境,構建起科學、有序的數(shù)據(jù)共享方案,實現(xiàn)安全基礎上的數(shù)據(jù)共享[19]。

2.3.2 健康醫(yī)療數(shù)據(jù)共享面臨機構間障礙、區(qū)際障礙與法律障礙。由于數(shù)據(jù)申請人和數(shù)據(jù)所在地區(qū)、國家可能不允許共享某些核心數(shù)據(jù)或提出了較為嚴苛的數(shù)據(jù)共享法律要求,健康醫(yī)療數(shù)據(jù)共享項目的審批周期通常很長,且批準可能性不大。例如,瑞士、芬蘭和丹麥等國家的法律禁止統(tǒng)計局和其他政府機構共享可識別的數(shù)據(jù)[23-24]。此外,根據(jù)《數(shù)據(jù)安全法》第三十八條,國家機關對個人隱私和個人信息等數(shù)據(jù)應當依法予以保密,不得泄漏或非法向他人提供。在規(guī)范層面上,涉及個人權益的健康醫(yī)療數(shù)據(jù)能否在政府部門、醫(yī)療機構、科研機構和醫(yī)藥企業(yè)之間共享,目前尚無定論[27]。

2.3.3 數(shù)據(jù)的標準化與融合困難。健康醫(yī)療數(shù)據(jù)來自世界各地的不同機構,而這些機構的數(shù)據(jù)格式和記錄方式各不相同。我國全民健康信息平臺的標準化建設正在積極推進,醫(yī)療機構被要求執(zhí)行國家衛(wèi)生健康委制定的信息化建設標準。然而,由于國際尚未形成統(tǒng)一標準,健康醫(yī)療數(shù)據(jù)跨境共享仍然存在阻礙[25]。

3 優(yōu)化健康醫(yī)療數(shù)據(jù)治理體系建構的對策

3.1 明確數(shù)據(jù)屬性與權利主體

數(shù)據(jù)治理體系建構過程中,需要對諸如自由、平等、正義與民主等價值進行取舍[27]。權衡過程中,僵化的價值位階理論提出了一種相對簡單的沖突解決方案,將價值按照重要程度進行排序并作為一種具有普適性的依據(jù),優(yōu)先級較高的基本權利應當?shù)玫絻?yōu)先保障[25]。相對的價值位階理論認為價值排序不存在穩(wěn)定性,需根據(jù)個案具體情況進行價值衡量[26]。既不能說某項價值一定勝過其他價值,也不能說兩項價值具有相同的重量。需要結合具體情況來考慮哪項更重要,而不是將注意力完全集中在抽象層面的價值優(yōu)先級爭論上[27]。例如,不使用健康醫(yī)療數(shù)據(jù)會嚴重威脅公共衛(wèi)生安全。此時,社會群體保障公共利益的需求是如此強烈,法律可以豁免公共機構在特定時期內(nèi)獲取個人同意的義務[24]。再如,私營企業(yè)使用個人健康數(shù)據(jù)進行科學研究以牟取企業(yè)利益。雖然企業(yè)的行為可能促進醫(yī)學進步,但在這種情況下公共利益不是必須被維持[15]。法律需要優(yōu)先保障個人權利,并要求私營企業(yè)在處理個人健康數(shù)據(jù)之前獲得個人同意。

公共利益與個人利益并不總是對立關系。開發(fā)與利用健康醫(yī)療數(shù)據(jù)通常不僅保障了公共衛(wèi)生利益,還保障了個人生命安全[28]。在COVID-19防控期間,社會群體成員會批評違反常態(tài)化健康信息收集與監(jiān)測規(guī)則的行為,因為違規(guī)行為會將個人與整個社會群體置于危險地帶。另外,在為公民提供充足醫(yī)療保障的國家,每個人都會從醫(yī)學研究的進步中獲利?；趫F結與互惠的正義要求,公民如果享受了科學進步的成果,那么他也有義務通過提供個人健康數(shù)據(jù)為科學研究的進一步發(fā)展作出貢獻[27]。因此,基于保障公共利益的需要,相關法律法規(guī)應當確定健康醫(yī)療數(shù)據(jù)具有公共屬性。另外,考慮到健康醫(yī)療數(shù)據(jù)使用過程中公共利益與個人利益的高度一致性以及數(shù)據(jù)相對自由論的要求,法律不應當賦予個人絕對的健康醫(yī)療數(shù)據(jù)控制權[24]。但是,這不意味著個人作為健康醫(yī)療數(shù)據(jù)的生產(chǎn)者,不享有其他數(shù)據(jù)相關的權利,如知情權、訪問權以及被遺忘權等。法律法規(guī)的制定需要謹慎地平衡來自不同數(shù)據(jù)利益相關者的合法主張,并根據(jù)變化的技術和環(huán)境不斷調(diào)整。數(shù)據(jù)的積極利用主義者也必須采取一些措施來盡可能實現(xiàn)公益與私益的最大化,包括建立健康醫(yī)療數(shù)據(jù)訪問委員會或嚴格化健康醫(yī)療數(shù)據(jù)訪問程序;承認健康醫(yī)療數(shù)據(jù)的產(chǎn)權屬性,由私營企業(yè)向推動衛(wèi)生事業(yè)發(fā)展的數(shù)據(jù)主體提供經(jīng)濟補貼;限制“知情—同意”豁免原則的使用場景,允許非營利性公益機構與其他組織以概括式同意的方式獲取個人健康數(shù)據(jù)使用權[19]。

3.2 建立全程監(jiān)管數(shù)據(jù)處理者機制

數(shù)據(jù)處理者在數(shù)據(jù)處理的每一個環(huán)節(jié)都應該受到監(jiān)管,內(nèi)部監(jiān)管需要多學科人員共同參與,外部監(jiān)管更應強調(diào)“全程”和“開放”。

3.2.1 內(nèi)部監(jiān)管。 盡管上下級監(jiān)管、機構間相互監(jiān)督與績效考核等監(jiān)管手段在保障健康醫(yī)療數(shù)據(jù)處理安全方面發(fā)揮著重要作用,但由于不同地區(qū)和層級機構之間信息不對稱的問題,相對單一的監(jiān)管方式往往受監(jiān)管信息壁壘的限制[15]。因此,需要建立一個一站式、動態(tài)的、跨學科人員參與的監(jiān)管機制,以便于規(guī)范數(shù)據(jù)處理者和項目審批人的行為。①實施一站式監(jiān)管需要法律推行健康醫(yī)療數(shù)據(jù)的集中化管理政策。這種做法已經(jīng)在全球許多國家得到了廣泛應用。即使在沒有推行數(shù)據(jù)中心化政策的國家,也建立了由統(tǒng)一的公共機構管理的數(shù)據(jù)庫。例如,冰島已經(jīng)建成了全國性的健康醫(yī)療數(shù)據(jù)倉庫[28]。②動態(tài)監(jiān)管需要允許第三方機構參與監(jiān)管,以打破單向的、靜態(tài)的監(jiān)管模式。建立專門的隱私監(jiān)管機構,擴大監(jiān)管范圍,保證個人隱私的安全。在健康醫(yī)療數(shù)據(jù)監(jiān)管體系之下還能再設置研究倫理委員會、數(shù)據(jù)保管人與數(shù)據(jù)保護監(jiān)管機構等職位與機構[23]。在健康醫(yī)療科學研究項目的審批方面,可以由以上人員或機構層層把關。在數(shù)據(jù)獲取與使用方面,安全港(Health Related Safe Havens)與遠程數(shù)據(jù)訪問管理系統(tǒng)提供數(shù)據(jù)鏈接服務,并向獲批的項目成員提供數(shù)據(jù)訪問機會[29]。第三方機構監(jiān)管在降低成本之余還可以消弭上下級監(jiān)管帶來的巨大信息差,形成“相互制約、共同治理”的局面。最后,法律專家、信息技術專家、統(tǒng)計專家、患者和研究員等人員組成的多學科小組參與監(jiān)管的決定,增強了社會力量對數(shù)據(jù)處理者的監(jiān)督,發(fā)揮出不同專業(yè)背景人才的作用[27]。

3.2.2 外部監(jiān)管。增加數(shù)據(jù)處理的透明度不僅可以保障公民的知情權,也便于公民行使監(jiān)督權。雖然健康醫(yī)療數(shù)據(jù)承載的內(nèi)容具有私密性,但是有關數(shù)據(jù)的處理決定卻不涉密,可以公開[12]。荷蘭、英國、西班牙、韓國、芬蘭以及瑞典等國家都建立了一個整體的政府戰(zhàn)略來提高健康醫(yī)療數(shù)據(jù)處理系統(tǒng)的開放性和透明度[30]。這些國家還建立了與健康醫(yī)療數(shù)據(jù)處理活動有關的網(wǎng)站,并向公眾開放。公民可以通過訪問這些網(wǎng)站來了解數(shù)據(jù)集的負責人、研究項目的審批進程以及數(shù)據(jù)使用的具體情況。

3.3 構建安全有序的數(shù)據(jù)共享環(huán)境

健康醫(yī)療數(shù)據(jù)共享為科研發(fā)展帶來了新機會,數(shù)據(jù)紅利滿足了人民日益增長的健康需求。甚至,公眾反對嚴重阻礙健康醫(yī)療數(shù)據(jù)流通的法律[28-29]。例如,1998年美國緬因州出臺了一項隱私保護法案,規(guī)定個人或機構在使用個人健康數(shù)據(jù)之前必須獲得本人書面同意。并且,傳輸健康醫(yī)療數(shù)據(jù)必須再次獲得本人書面同意[31]。這項法案引發(fā)了公眾的強烈不滿。公眾雖然希望保護個人健康數(shù)據(jù)安全、知曉數(shù)據(jù)動向,但更期待政府可以建成更高質(zhì)量的醫(yī)療保健系統(tǒng)。在公眾看來,相較于知情權、數(shù)據(jù)所有權等權益,個人生命安全顯然更具有重要性。因此,法律不能以保障數(shù)據(jù)安全為由對健康醫(yī)療數(shù)據(jù)共享設置諸多限制。打破數(shù)據(jù)流通阻礙,堅持開放共享,是健康醫(yī)療數(shù)據(jù)治理體系建構的基本原則。建成安全有序的數(shù)據(jù)共享環(huán)境則是破除數(shù)據(jù)要素流通壁壘和支持關鍵數(shù)據(jù)集鏈接的基本要求。

常見的流通數(shù)據(jù)為不可識別的微觀健康醫(yī)療數(shù)據(jù)。但是,數(shù)據(jù)去標識化也不可能消滅數(shù)據(jù)再識別的風險。流通中的去識別數(shù)據(jù)仍然承載了足夠詳細的信息,若與其他可識別數(shù)據(jù)集或間接識別符鏈接,這些健康醫(yī)療數(shù)據(jù)仍然可以與現(xiàn)實生活中的具體個人聯(lián)系起來。例如,美國的Sweeney教授就曾通過生日、性別與郵政編碼等識別符準確識別了馬塞諸塞州87%的選民,甚至獲取了時任州長的健康記錄[32]。在構建數(shù)據(jù)共享機制時,不能完全依賴于去識別或匿名化處理技術。國家標準GB/T 39725第六條第二款規(guī)定個人信息控制者在收集信息后宜立即進行去標識化處理,但該規(guī)定僅提供了針對數(shù)據(jù)處理環(huán)節(jié)之一在技術運用方面的建議。因此,還需要為數(shù)據(jù)脫敏、數(shù)據(jù)加密、去識別化以及匿名化等技術的運用提供更詳細的指引。

至于可識別的健康醫(yī)療數(shù)據(jù),HIPAA允許除私營企業(yè)之外的機構為了研究或統(tǒng)計目的再利用或共享它們。治理體系有必要在確立健康醫(yī)療數(shù)據(jù)“可識別性”標準的前提下明確可識別健康醫(yī)療數(shù)據(jù)的共享目的、共享范圍和限制條件。另外,為了促進科學研究進步,保障數(shù)據(jù)安全與個人權益,也可以采取如下措施[31]。①設置數(shù)據(jù)集保管人,全程管控數(shù)據(jù)流通,保障數(shù)據(jù)共享的安全性和可靠性。②經(jīng)過多機構、多程序?qū)徟?確定數(shù)據(jù)共享的必要性,并進行倫理審查。③進行數(shù)據(jù)安全控制,評估數(shù)據(jù)傳輸風險,簽訂數(shù)據(jù)使用協(xié)議,考察數(shù)據(jù)傳輸方、接收方與傳輸方式的安全性。換言之,必須確認數(shù)據(jù)接收方是否具有足夠的能力來保持數(shù)據(jù)的機密性,這是相關機構是否批準數(shù)據(jù)共享所需考量的關鍵因素。④維持信任,防止因信任缺失阻礙數(shù)據(jù)共享?？茖W的共享機制可以維持信任,采取有效的個人激勵、透明化健康醫(yī)療數(shù)據(jù)治理體系以及增強信息保護等措施才能夠?qū)崿F(xiàn)配享信任。⑤基于具體化的健康醫(yī)療數(shù)據(jù)基礎要素,通過改進數(shù)據(jù)標準化和加快建設全民健康信息基礎設施標準化的方法,提升不同醫(yī)療衛(wèi)生系統(tǒng)之間的互操作性。⑥打破數(shù)據(jù)共享的機構間壁壘、區(qū)域壁壘和法律壁壘。根據(jù)歐洲議會和理事會2022年通過的《數(shù)據(jù)治理法》,為了支持醫(yī)藥企業(yè)開展針對性研發(fā),歐盟將通過立法促進醫(yī)療機構共享經(jīng)過匿名化處理的患者數(shù)據(jù)。對中小企業(yè)而言,這項政策可大幅減輕其數(shù)據(jù)采集負擔。堅持開放數(shù)據(jù)共享政策,并建立起公共機構與私營企業(yè)之間、地區(qū)之間與國家之間的數(shù)據(jù)安全共享機制,是健康醫(yī)療數(shù)據(jù)治理體系發(fā)展的必然趨勢。此外,依據(jù)HDG,歐洲、以色列和新西蘭等自2015年起就在考慮同意來自本國以外的健康醫(yī)療數(shù)據(jù)訪問申請,但前提是該國家的隱私立法提供了與本國相當?shù)谋Ｗo。鑒于此,我國有必要不斷嚴格化隱私與數(shù)據(jù)保護政策,向健康醫(yī)療數(shù)據(jù)保護的國際標準靠攏。