醫(yī)療區(qū)塊鏈技術(shù)運用的法律規(guī)制探究

劉惠明,潘珺瑜

(河海大學(xué)法學(xué)院,江蘇 南京 210024)

隨著科學(xué)技術(shù)的不斷發(fā)展,醫(yī)療領(lǐng)域越來越智慧化,醫(yī)療數(shù)據(jù)也呈現(xiàn)井噴式增長的趨勢,當前大部分機構(gòu)采用的都是集中式的數(shù)據(jù)共享方式,通過集中數(shù)據(jù)源來實現(xiàn)醫(yī)療數(shù)據(jù)的共享[1]。但實踐表明,傳統(tǒng)集中式的數(shù)據(jù)共享方法并不能很好地適應(yīng)當前復(fù)雜的醫(yī)療數(shù)據(jù)環(huán)境,由于沒有統(tǒng)一的方式與標準,容易出現(xiàn)信息孤島化的現(xiàn)象,使得共享的目的難以實現(xiàn)。在信息化程度加深的當下,公民個人也更注重個人電子信息的保護,而傳統(tǒng)的集中式存儲方式容易導(dǎo)致數(shù)據(jù)丟失或者被篡改,并不能保證醫(yī)療數(shù)據(jù)的安全可靠。一方面,數(shù)據(jù)所有者希望能夠控制他們的數(shù)據(jù)以及隱私;另一方面,數(shù)據(jù)消費者要求有方法來了解何時、如何以及誰產(chǎn)生了數(shù)據(jù)[2]。因此,需要引入基于區(qū)塊鏈技術(shù)和代理再加密的去中心化的數(shù)據(jù)治理框架。與傳統(tǒng)的數(shù)據(jù)儲存、傳遞方式相比,區(qū)塊鏈技術(shù)的去中心化以及不易被篡改的特征更符合醫(yī)療領(lǐng)域?qū)τ跀?shù)據(jù)存儲與傳遞的要求。但區(qū)塊鏈技術(shù)在運用的過程中,現(xiàn)有的法律制度并不能很好地規(guī)制區(qū)塊鏈技術(shù)。本研究借助學(xué)校各類電子資源,包括中國知網(wǎng)以及ISI、Web of Science(SCI)等數(shù)據(jù)庫,以“醫(yī)療區(qū)塊鏈”“法律規(guī)制”“數(shù)據(jù)保護官”“監(jiān)管沙盒”等為關(guān)鍵詞進行搜索,了解區(qū)塊鏈的結(jié)構(gòu)以及在醫(yī)療領(lǐng)域的實際運用,了解現(xiàn)階段法律規(guī)定的滯后之處,從國內(nèi)外現(xiàn)有的解決方式中結(jié)合醫(yī)療領(lǐng)域的實際情況給出可行的法律規(guī)制途徑。并通過對現(xiàn)有法律規(guī)范進行梳理,找出醫(yī)療區(qū)塊鏈技術(shù)在運用過程中存在的法律規(guī)制缺陷,結(jié)合我國現(xiàn)有的立法模式以及英國在數(shù)據(jù)保護層面的法律經(jīng)驗,提出了針對醫(yī)療區(qū)塊鏈技術(shù)的法律規(guī)制途徑。

1 區(qū)塊鏈技術(shù)在醫(yī)療領(lǐng)域的運用

1.1 區(qū)塊鏈結(jié)構(gòu)

區(qū)塊鏈技術(shù)運用了密碼學(xué)中的哈希算法,即將任意長度的字符串轉(zhuǎn)換成固定長度的輸出,此輸出值被稱為哈希值。在區(qū)塊鏈中通常不保存原始數(shù)據(jù),而是保存該數(shù)據(jù)的哈希值。除了哈希算法,區(qū)塊鏈技術(shù)還利用了非對稱加密技術(shù),該技術(shù)需要密鑰的公鑰和私鑰成對出現(xiàn)。公鑰公開、私鑰保密,區(qū)塊鏈上公鑰加密的信息只有對應(yīng)的私鑰才能解密[3]。這種技術(shù)允許存儲在區(qū)塊鏈節(jié)點中的記錄和數(shù)據(jù)是不可破壞的,并允許來源跟蹤它,保持源信息的隱藏[4]。區(qū)塊長鏈中的每一個區(qū)塊都由區(qū)塊頭和區(qū)塊交易記錄組成,每個區(qū)塊的區(qū)塊頭都是對上一區(qū)塊的區(qū)塊頭的區(qū)塊交易記錄計算哈希值而得到的。通過每個區(qū)塊存儲上一區(qū)塊的哈希值,將所有區(qū)塊按順序連接起來即可得到區(qū)塊鏈,具體如圖1所示。因為區(qū)塊鏈長鏈式的結(jié)構(gòu)讓其具有不可篡改的特性,對區(qū)塊鏈中任意一個區(qū)塊信息的修改,不僅需要修改該區(qū)塊中的交易記錄,還需要修改下一個區(qū)塊中區(qū)塊頭的哈希值。而上一區(qū)塊中區(qū)塊頭哈希值的改變必然導(dǎo)致下一區(qū)塊中哈希值的變化,故對任一區(qū)塊交易記錄的篡改,需要修改從該區(qū)塊到最后一個區(qū)塊所有的信息,這個工程的工作量巨大,且很難不被發(fā)現(xiàn)。

圖1 區(qū)塊鏈結(jié)構(gòu)

區(qū)塊鏈還具有“去中心化”的特征,其本質(zhì)是建立分布式群體共管結(jié)構(gòu)以及防止大規(guī)模數(shù)據(jù)擁塞的流通渠道,確保用戶可以平等并且便捷地加入?yún)^(qū)塊鏈鏈條之中[5]。要完成這一點運用到了區(qū)塊鏈的“分布式賬本”“非對稱加密”“共識機制”“智能合約”技術(shù):分布式賬本是一種在網(wǎng)絡(luò)成員之間共享、復(fù)制和同步的數(shù)據(jù)庫;共識機制是指網(wǎng)絡(luò)中的所有節(jié)點間如何達成共識的認證原則;智能合約是一種執(zhí)行合同的計算機協(xié)議,允許在沒有第三方的情況下進行可追蹤的可信交易[6]。

1.2 區(qū)塊鏈技術(shù)在醫(yī)療領(lǐng)域的運用

在醫(yī)療領(lǐng)域應(yīng)用區(qū)塊鏈技術(shù)是醫(yī)療領(lǐng)域發(fā)展的一個趨勢,區(qū)塊鏈技術(shù)也將重塑醫(yī)療行業(yè)信息化的未來。區(qū)塊鏈技術(shù)不僅可以實現(xiàn)電子醫(yī)療病歷的共享,而且在藥品溯源、醫(yī)聯(lián)體等多個醫(yī)療領(lǐng)域都可以運用該技術(shù)。區(qū)塊鏈技術(shù)在醫(yī)療行業(yè)的具體運用如圖2所示。

圖2 醫(yī)療區(qū)塊鏈技術(shù)

1.2.1 電子病歷存儲與共享

區(qū)塊鏈技術(shù)在電子病歷中的應(yīng)用是醫(yī)療區(qū)塊鏈技術(shù)運用的重點。2019年9月四川省委建委發(fā)布《關(guān)于推進智慧醫(yī)療融合發(fā)展的指導(dǎo)意見》[7],該《意見》指出要建立基于區(qū)塊鏈的電子病歷系統(tǒng)以提升電子病歷共享的安全性以及及時性。通過區(qū)塊鏈技術(shù),醫(yī)院可以將患者的醫(yī)療信息保存在區(qū)塊鏈上,再利用非對稱加密技術(shù),醫(yī)生或者其他機構(gòu)可以通過公鑰訪問區(qū)塊鏈查看患者的醫(yī)療行為,而患者個人可以通過私鑰查看自己的醫(yī)療信息[8]。2019年,上海仁濟醫(yī)院通過區(qū)塊鏈技術(shù)初步實現(xiàn)異地電子病歷的共享,同年上海市人民醫(yī)院與安徽省立醫(yī)院共建區(qū)塊鏈電子病歷[9]。2021年,浙江大學(xué)醫(yī)學(xué)院附屬邵逸夫醫(yī)院正式上線了區(qū)塊鏈醫(yī)療應(yīng)用[10]。可以說,基于區(qū)塊鏈的電子病歷研究和實踐應(yīng)用創(chuàng)新非?；钴S。

1.2.2 藥品溯源與防偽

傳統(tǒng)藥品在生產(chǎn)以及流通過程中,通常會存在數(shù)據(jù)被篡改的情況,這是因為傳統(tǒng)數(shù)據(jù)是集中存儲于中心數(shù)據(jù)庫,數(shù)據(jù)在上傳以及共享的過程中均有被篡改的風險[11]。利用區(qū)塊鏈技術(shù)的可追溯性以及不可篡改性,構(gòu)建藥品溯源系統(tǒng),將藥品的來源出處、流轉(zhuǎn)歷史記錄、歸屬地都會被忠實地記錄在鏈,全程追蹤藥品信息,一旦出現(xiàn)違法操作都將有源可溯[12]。

1.2.3 醫(yī)保支付結(jié)算與監(jiān)督

醫(yī)療保險種類繁多、報銷環(huán)節(jié)復(fù)雜致使醫(yī)保費用清算時間過長,可借助區(qū)塊鏈智能合約技術(shù)完成醫(yī)保費用自動清算[13]。再將整個醫(yī)保支付結(jié)算過程關(guān)鍵信息上鏈,包括參保人身份信息、交易信息、結(jié)算信息以及清算信息等,醫(yī)保管理部門對整個過程進行監(jiān)管,確保數(shù)據(jù)信息的可追溯性以及安全性,并且支持后期安全審計工作和司法存證[14]。

區(qū)塊鏈技術(shù)在醫(yī)療領(lǐng)域得到了迅速發(fā)展,但也存在一些問題。例如,與此相關(guān)的市場監(jiān)督以及政策監(jiān)督都還比較落后,缺乏頂層設(shè)計;密鑰的管理存在安全隱患,如果密鑰丟失,用戶也將無法訪問區(qū)塊鏈。

2 醫(yī)療區(qū)塊鏈技術(shù)運用的法律挑戰(zhàn)

醫(yī)療區(qū)塊鏈技術(shù)以其去中心化、不可篡改性、匿名性為醫(yī)療領(lǐng)域的信息互通、數(shù)據(jù)傳遞等提供了新的可能,但基于法律規(guī)定的滯后性,區(qū)塊鏈技術(shù)適用現(xiàn)行法律法規(guī)時往往存在沖突。

2.1 醫(yī)療區(qū)塊鏈技術(shù)運用是否適用《個人信息保護法》存在爭議

我國現(xiàn)行《個人信息保護法》于2021年11月開始施行,為我國個人信息保護提供了法律依據(jù),但醫(yī)療區(qū)塊鏈技術(shù)的運用是否適用個保法學(xué)界尚存在爭議?！秱€人信息保護法》規(guī)定個人信息是可識別的信息,不包括匿名化后的信息。但醫(yī)療區(qū)塊鏈中并不保存原始數(shù)據(jù),而只是保存該數(shù)據(jù)的哈希值,每一哈希值都是不固定的字符串,故就該字符串是否屬于法律所保護的可識別的個人信息的問題,學(xué)者之間的觀點也存在巨大分歧,法律也并未對此進行規(guī)定。一方面,有學(xué)者認為該字符串無法進行逆向工程,不具有可追溯性,故而認為其具有匿名性不屬于個人信息[15]。另一方面,有學(xué)者認為雖然該字符串并不能進行逆向工程,但數(shù)據(jù)信息與數(shù)據(jù)信息主體之間仍然存在固有聯(lián)系,可以通過“容易比照”或“暴力攻擊”來識別和追溯原始信息主體,所以認為該字符串屬于個人信息[16]。

2.2 醫(yī)療區(qū)塊鏈技術(shù)帶來的監(jiān)管問題

2.2.1 監(jiān)管主體不具有針對性

《個人信息保護法》第五十八條規(guī)定提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的超大型互聯(lián)網(wǎng)平臺應(yīng)當按照法律規(guī)定建立由外部成員組成的監(jiān)管機構(gòu)監(jiān)督個人信息保護情況。但是根據(jù)《個人信息保護法》以及互聯(lián)網(wǎng)平臺分類分級指南,運用醫(yī)療區(qū)塊鏈技術(shù)的病患、醫(yī)療機構(gòu)以及衛(wèi)生監(jiān)管部門等都不符合超大型互聯(lián)網(wǎng)平臺的構(gòu)成條件,因此其監(jiān)管機構(gòu)只能是普通的個人信息處理監(jiān)管機構(gòu)即國家網(wǎng)信部門,而不能是專門的監(jiān)管主體。但是醫(yī)療數(shù)據(jù)運用到不同的應(yīng)用場景,對數(shù)據(jù)質(zhì)量、安全的要求也不盡相同,國家網(wǎng)信部門不具備醫(yī)療的專業(yè)知識,無法就不同應(yīng)用場景的醫(yī)療數(shù)據(jù)作出具有針對性的監(jiān)管。

2.2.2 缺乏監(jiān)管依據(jù)和義務(wù)主體

國家網(wǎng)信部門在監(jiān)管醫(yī)療區(qū)塊鏈技術(shù)的適用時不能超出《個人信息保護法》一般性規(guī)范,但醫(yī)療區(qū)塊鏈技術(shù)在適用《個人信息保護法》時存在內(nèi)源性沖突。

我國現(xiàn)行的《個人信息保護法》的本質(zhì)依舊是中心化的數(shù)據(jù)管理模式,采用的是讓特定的義務(wù)實體承擔法律責任的方式來進行法律規(guī)制。但醫(yī)療區(qū)塊鏈本質(zhì)是群體性共管結(jié)構(gòu),目的是讓各醫(yī)療機構(gòu)等通過醫(yī)療區(qū)塊鏈來實現(xiàn)信息互通。鏈上主體繁雜,且對于區(qū)塊鏈技術(shù)中義務(wù)主體的認定,截至目前仍未找到行之有效的解決方法,想要通過讓特定義務(wù)主體承擔法律責任的監(jiān)管方式難以得到有效落實。且就算找到特定的義務(wù)主體,但因為通過網(wǎng)絡(luò)即可加入?yún)^(qū)塊鏈,隨之而來管轄問題,也很容易造成司法資源的浪費。

2.2.3 醫(yī)療區(qū)塊鏈技術(shù)對權(quán)利救濟的挑戰(zhàn)

《個人信息保護法》第六條以及第八條規(guī)定了收集、處理個人信息應(yīng)當采用對個人影響最小的方式以及保證個人信息的質(zhì)量的原則。第十三條以及第十五條規(guī)定個人有權(quán)同意個人信息處理者處理其個人信息,也有權(quán)撤回其同意。以上條款規(guī)定了個人有權(quán)對自己的個人信息作出修改、刪除等權(quán)利。但是醫(yī)療區(qū)塊鏈技術(shù)的運用是為了實現(xiàn)電子病歷的共享以及藥品溯源等,這就要求區(qū)塊鏈上的數(shù)據(jù)以全面具體為標準,且需要具有不可篡改的特征以保證數(shù)據(jù)的全面性以及準確性。醫(yī)療區(qū)塊鏈技術(shù)讓信息所有者已有的被遺忘權(quán)以及修改權(quán)等權(quán)利救濟途徑無法得到落實,需要盡快確立全新的管理理念和立法要求。

2.2.4 對醫(yī)療區(qū)塊鏈技術(shù)的認知不足

區(qū)塊鏈技術(shù)的去中心化是對傳統(tǒng)醫(yī)療數(shù)據(jù)共享方式的一種顛覆,在傳統(tǒng)集中式信息共享過程中,通常醫(yī)療機構(gòu)和保險機構(gòu)等對于患者的數(shù)據(jù)信息處于壟斷地位。這種傳遞方式通常伴隨著信息不對等,但區(qū)塊鏈技術(shù)的分布式存儲結(jié)構(gòu)給予了患者個人對于自己的數(shù)據(jù)信息的決定權(quán),讓患者個人也參與到信息傳遞的過程中。但是,基于區(qū)塊鏈技術(shù)的數(shù)據(jù)傳遞與共享涉及密碼學(xué)、醫(yī)學(xué)、信息科學(xué)等多個學(xué)科,這對使用者提出了高要求,也導(dǎo)致了醫(yī)療機構(gòu)等對醫(yī)療區(qū)塊鏈技術(shù)的運用存在諸多顧慮。

3 區(qū)塊鏈技術(shù)運用于醫(yī)療領(lǐng)域的法律規(guī)制途徑展望

數(shù)據(jù)作為新型生產(chǎn)要素,是驅(qū)動數(shù)字經(jīng)濟發(fā)展的基礎(chǔ)。但不可否認的是,隨著科技發(fā)展數(shù)據(jù)傳遞越來越便捷的同時,數(shù)據(jù)安全問題也隨之而來。在醫(yī)療區(qū)塊鏈技術(shù)運用帶來便捷的同時,也應(yīng)該意識到具體的成文法規(guī)并不能一一規(guī)制隨著技術(shù)發(fā)展而不斷創(chuàng)新的新興技術(shù),對于醫(yī)療區(qū)塊鏈的法律規(guī)制應(yīng)當依靠原則而非規(guī)則。

2022年12月2日國務(wù)院印發(fā)《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》要求充分發(fā)揮政府的引導(dǎo)作用,明確監(jiān)管紅線,但同時也要建立健全鼓勵創(chuàng)新、包容創(chuàng)新的容錯糾錯機制[17]。法律規(guī)范如何平衡數(shù)據(jù)安全與技術(shù)創(chuàng)新之間的張力,避免因監(jiān)管不力致使安全風險累積,或過度監(jiān)管制約創(chuàng)新,是當前數(shù)據(jù)安全治理的重要課題[18]。從比較法視域觀察,起源于金融科技治理領(lǐng)域的監(jiān)管沙盒制度以及“多原則、少規(guī)則”的治理思路是有效平衡數(shù)據(jù)創(chuàng)新與安全的治理工具。例如,針對醫(yī)療區(qū)塊鏈技術(shù)對權(quán)利救濟帶來的挑戰(zhàn),可以在沙盒監(jiān)管模式下嘗試不同的規(guī)則,在比較中完善法律,也給技術(shù)發(fā)展留下空間。同時,也可借鑒歐盟《一般數(shù)據(jù)條例》(以下簡稱“GDPR”)中關(guān)于數(shù)據(jù)保護官的有關(guān)規(guī)定設(shè)立數(shù)據(jù)安全負責人制度[19]。當然更主要的還是需要重塑基于醫(yī)療區(qū)塊鏈的價值認知。

3.1 通過軟性規(guī)制實現(xiàn)技法共治

區(qū)塊鏈技術(shù)作為一個分布式的共享數(shù)據(jù)庫為醫(yī)療信息共享提供了技術(shù)基礎(chǔ),但權(quán)力的過度分散有時反而會造成分裂或者混亂,應(yīng)當將法律與區(qū)塊鏈加以結(jié)合,實現(xiàn)技術(shù)與法律的效果均衡[20]。但現(xiàn)階段直接規(guī)制區(qū)塊鏈技術(shù)的法律法規(guī)只有國家網(wǎng)信辦發(fā)布的《區(qū)塊鏈信息服務(wù)管理規(guī)定》[21],但該規(guī)定只作出了籠統(tǒng)的規(guī)定,并未對區(qū)塊鏈技術(shù)的治理作出細致性的規(guī)定。除此以外,還可以通過《個人信息保護法》對區(qū)塊鏈技術(shù)進行規(guī)制,但上文提到區(qū)塊鏈中的字符串是否屬于個保法所規(guī)制的個人信息尚存在爭議。另外,區(qū)塊鏈的去中心化以及不可篡改性等特點讓利用區(qū)塊鏈技術(shù)傳遞的數(shù)據(jù)可以擺脫地域甚至于國家的限制,并且基于區(qū)塊鏈的去中心化情況下將無法找到特定的義務(wù)主體。區(qū)塊鏈的這些特點與法律的強制性規(guī)定是矛盾的,用傳統(tǒng)硬性規(guī)范的管理模式來管理區(qū)塊鏈已然不合適,而是需要通過協(xié)商達成共識的機制,實現(xiàn)代碼治理與法理治理的高度統(tǒng)一、形式法治與實質(zhì)法治的統(tǒng)一,從而構(gòu)建智能社會的法律秩序[22]。關(guān)于區(qū)塊鏈治理模式,美國針對金融科技監(jiān)管提出了“多原則、少規(guī)則”的治理思路。美國商品期貨交易委員會提出針對數(shù)字資產(chǎn)的監(jiān)管應(yīng)當以原則性規(guī)范為主,由企業(yè)自行設(shè)定滿足原則的內(nèi)部規(guī)范,以行業(yè)自律的形式完成自我管理[23],這種監(jiān)管方法可為大數(shù)據(jù)時代下產(chǎn)生的新型糾紛提供更加靈活的解決方式。

醫(yī)療區(qū)塊鏈技術(shù)可以借鑒以上治理模式,可以由法學(xué)學(xué)者、醫(yī)療從業(yè)人員、保險機構(gòu)人員、政府部門人員等共同參與起草法律法規(guī),但主要應(yīng)以原則性規(guī)范為主,再由醫(yī)療機構(gòu)以及保險機構(gòu)等具體制定既滿足原則又滿足需求的內(nèi)部規(guī)范以及行業(yè)標準,通過行業(yè)自律和行業(yè)監(jiān)管的方式進行自我管理。例如,可在法律法規(guī)中規(guī)定醫(yī)療信息上傳者的使用以及權(quán)限需要得到授權(quán),而具體的授權(quán)方式以及權(quán)限可以由機構(gòu)自行決定。并且法律法規(guī)可以對上傳的原始數(shù)據(jù)信息確立格式以及內(nèi)容上的要求,行業(yè)規(guī)范可以繼續(xù)進行更細一步的規(guī)定。而在出現(xiàn)監(jiān)管問題時,政府部門應(yīng)當及時聯(lián)合法學(xué)學(xué)者、醫(yī)療、保險機構(gòu)人員等多方主體就具體問題的解決進行協(xié)商達成共識。這樣的管理模式,既可以應(yīng)對醫(yī)療區(qū)塊鏈技術(shù)在實際應(yīng)用中可能產(chǎn)生的多種可能,也促進了醫(yī)療區(qū)塊鏈技術(shù)的不斷發(fā)展。

3.2 設(shè)立數(shù)據(jù)安全負責人制度

現(xiàn)階段采用的是找到特定義務(wù)主體來承擔法律責任的法律規(guī)制模式,但目前尚未有方法確定區(qū)塊鏈的義務(wù)主體。對此可參照歐盟GDPR那樣規(guī)定數(shù)據(jù)保護官制度,將監(jiān)管機構(gòu)對于特定義務(wù)主體的監(jiān)管責任內(nèi)化為醫(yī)療機構(gòu)等內(nèi)部數(shù)據(jù)安全負責人的數(shù)據(jù)安全保障義務(wù)。這樣便可以基于更加靈活的行業(yè)規(guī)范或者守則來進行自律管理。

歐盟GDPR規(guī)定數(shù)據(jù)保護官是對數(shù)據(jù)控制者或數(shù)據(jù)處理者內(nèi)部的數(shù)據(jù)處理活動進行監(jiān)督以及加強數(shù)據(jù)收集處理環(huán)節(jié)中的保護力度的人[24]。我國現(xiàn)行法律中并沒有像歐盟GDPR一樣直接規(guī)定數(shù)據(jù)保護官,但是也在相關(guān)法律法規(guī)中規(guī)定了類似個人數(shù)據(jù)管理職位。例如《中華人民共和國數(shù)據(jù)安全法》中規(guī)定:重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu),落實數(shù)據(jù)安全保護責任?！吨腥A人民共和國網(wǎng)絡(luò)安全法》中規(guī)定:制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負責人,落實網(wǎng)絡(luò)安全保護責任。除了法律法規(guī)外,也有相關(guān)的國家標準規(guī)定了類似的職位,例如國標《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定:應(yīng)任命個人信息保護負責人和個人信息保護工作機構(gòu)[25]。盡管上述法律法規(guī)規(guī)定的個人數(shù)據(jù)管理職位的名稱各不相同,但是都表明了應(yīng)當讓專業(yè)人士對數(shù)據(jù)處理的行為進行監(jiān)督并確保數(shù)據(jù)信息安全的意圖。但是上述兩部法律也只是對此類崗位進行了籠統(tǒng)性的規(guī)定,只有國標《信息安全技術(shù)個人信息安全規(guī)范》就個人信息保護工作機構(gòu)以及相關(guān)人員的職責作出了具體的規(guī)定。國標僅是國家以及行業(yè)標準,且非強制性國家標準,僅僅以國標作為依據(jù)不是長久之計。

法律法規(guī)應(yīng)確定設(shè)立數(shù)據(jù)安全負責人制度,并在制定時確定相應(yīng)的權(quán)利以及義務(wù)。第一,法律需要規(guī)定安全負責人的職責,可以只是比較籠統(tǒng)的職責,主要包括解答提供患者或者其他人員關(guān)于該技術(shù)的相關(guān)問題、確保醫(yī)療數(shù)據(jù)處理行為符合法律規(guī)定以及對醫(yī)療數(shù)據(jù)保護影響評估報告提出建議和意見并跟進和監(jiān)管評估的實施等。第二,可以在法律法規(guī)中明確該崗位的任期,例如歐盟Regulation 45/2001中規(guī)定:數(shù)據(jù)保護官的任期是二至五年,可以連任,但最多不可超過十年;當其不再滿足數(shù)據(jù)保護官的任職條件時,經(jīng)過歐盟數(shù)據(jù)監(jiān)管局的同意可以被解雇[26]。第三,因為醫(yī)療區(qū)塊鏈技術(shù)涉及多個學(xué)科,這不僅要求安全負責人對區(qū)塊鏈技術(shù)的工作原理以及醫(yī)療領(lǐng)域有一定了解,也需要了解相關(guān)的法律法規(guī),以便于監(jiān)督數(shù)據(jù)處理行為。法律法規(guī)中可以規(guī)定對安全負責人進行定期有關(guān)醫(yī)療知識、法律知識以及數(shù)據(jù)安全知識相關(guān)的培訓(xùn),使與區(qū)塊鏈技術(shù)相結(jié)合的醫(yī)療數(shù)據(jù)處理行為更加具有專業(yè)性。第四,法律法規(guī)也需要規(guī)定安全負責人未完成本職工作的懲罰措施,例如可以按照結(jié)果進行相應(yīng)的罰款,如果行為涉及犯罪應(yīng)及時報警。當然,法律法規(guī)也需要留下空間給予相關(guān)機構(gòu)制定行業(yè)標準或者單位標準的自由。醫(yī)療以及保險機構(gòu)等可以根據(jù)本單位的需求在法律法規(guī)的范圍內(nèi)對其進行細化,例如負責人的職責以及任期都可以根據(jù)需求進行細化,針對安全負責人有關(guān)知識的培訓(xùn)也應(yīng)該給出更加詳細的計劃與安排。

3.3 創(chuàng)新監(jiān)管理念,構(gòu)建沙盒監(jiān)管制度

2023年1月1日,國家發(fā)改委提出要著力建立數(shù)據(jù)要素治理制度,既要鼓勵企業(yè)發(fā)揮首創(chuàng)精神,又要建立有效的“數(shù)據(jù)沙箱”機制防范化解重大風險[27]。區(qū)塊鏈技術(shù)正是處于蓬勃發(fā)展的時期,對區(qū)塊鏈技術(shù)的運用進行規(guī)制要避免傳統(tǒng)法律規(guī)制下“一管就死,一亂就放”的零和陷阱,同時也要在法律框架下保留技術(shù)創(chuàng)新的空間,給法律法規(guī)的不斷完善留下空間。沙盒監(jiān)管是2015年英國金融監(jiān)管局率先提出的創(chuàng)新監(jiān)管理念[28]。該監(jiān)管模式具體是指面向金融創(chuàng)新產(chǎn)品或服務(wù)建立一個受監(jiān)督的安全測試區(qū),由監(jiān)管部門按照適度簡化的準入標準和流程,允許金融科技企業(yè)在有限業(yè)務(wù)牌照下,利用真實或模擬的市場環(huán)境開展業(yè)務(wù)測試,以此降低監(jiān)管的不確定性。在沙盒監(jiān)管模式下,可以在充分考慮區(qū)塊鏈特征的基礎(chǔ)上,制定符合區(qū)塊鏈特征的監(jiān)管方式,并在該模式下進行嘗試并不斷完善監(jiān)管方式。例如,針對《個人信息保護法》第47條中的“刪除個人信息難以實現(xiàn)”這一點,德國規(guī)定可以用限制處理替代刪除數(shù)據(jù)。除此以外法國的相關(guān)規(guī)定也提到控制者可以通過使數(shù)據(jù)難以接觸而達到刪除數(shù)據(jù)的效果?？梢栽谏澈斜O(jiān)管模式下嘗試不同的規(guī)則,在比較中完善法律,也給技術(shù)發(fā)展留下空間。

與傳統(tǒng)監(jiān)管模式不同的是,沙盒監(jiān)管模式下利益相關(guān)方被允許進入監(jiān)管框架,各主體間的協(xié)商互動更體現(xiàn)了包容審慎的原則,是對傳統(tǒng)嚴格管控型法律規(guī)制的解構(gòu),也弱化了政府機關(guān)集權(quán)治理和以政府為中心的治理理念,本質(zhì)上也是“去中心化”的過程[15]。

3.4 重塑基于醫(yī)療區(qū)塊鏈技術(shù)的價值認知

在傳統(tǒng)醫(yī)療信息傳遞方式下,醫(yī)療機構(gòu)以及衛(wèi)生監(jiān)管部門等對于患者個人的醫(yī)療數(shù)據(jù)的掌控相較于患者個人而言處于領(lǐng)導(dǎo)地位,并且患者個人無法掌握電子化可放大的檢查信息,患者在跨區(qū)治療以及轉(zhuǎn)院時很多情況都需要再次進行檢查。但隨著互聯(lián)網(wǎng)時代的到來以及區(qū)塊鏈技術(shù)的發(fā)展,平等以及共享成為當前數(shù)據(jù)傳遞的主要特征。

為了適應(yīng)當前社會以及醫(yī)療行業(yè)的發(fā)展趨勢,一方面,應(yīng)當打破傳統(tǒng)數(shù)據(jù)共享方式下相關(guān)部門對于醫(yī)療數(shù)據(jù)信息的壟斷,加強對醫(yī)療、保險機構(gòu)以及患者個人等的價值引領(lǐng),強調(diào)數(shù)據(jù)信息的參與以及共享應(yīng)當是平等的且面向未來的,將共享的觀念貫徹落實到實處;另一方面,應(yīng)當鼓勵醫(yī)療、保險等機構(gòu)的相關(guān)人員使用區(qū)塊鏈技術(shù),不僅僅要提升與自身行業(yè)有關(guān)的理論和技術(shù)實踐水平,而且要提高在新的技術(shù)層出不窮的背景下對新技術(shù)和醫(yī)療結(jié)合的敏感度,最大程度上實現(xiàn)科技改變生活的目的。相關(guān)政府機構(gòu)也應(yīng)該提供讓相關(guān)人員進行系統(tǒng)性培訓(xùn)使用區(qū)塊鏈技術(shù)的機會,可以開設(shè)區(qū)塊鏈技術(shù)培訓(xùn)的課程并確保各單位都接受到了專業(yè)且有針對性的培訓(xùn)。

4 結(jié)語

隨著大數(shù)據(jù)技術(shù)在醫(yī)療領(lǐng)域的運用與發(fā)展,患者醫(yī)療數(shù)據(jù)的傳遞更加便捷是大數(shù)據(jù)技術(shù)的一個重要體現(xiàn),但是也容易引發(fā)數(shù)據(jù)泄漏問題。區(qū)塊鏈技術(shù)以其去中心化、不可篡改性等特點被運用于醫(yī)療領(lǐng)域,可以在極大程度上解決數(shù)據(jù)共享的難題,但是區(qū)塊鏈技術(shù)作為新興技術(shù),與傳統(tǒng)法律規(guī)范的適用存在矛盾,故需要創(chuàng)新監(jiān)管理念、在現(xiàn)有的法律體系之上探索適用于區(qū)塊鏈技術(shù)的法律規(guī)范,不僅需要給新技術(shù)留有創(chuàng)新與發(fā)展的空間,同時也在技術(shù)發(fā)展過程中不斷完善法律規(guī)范、實現(xiàn)技法共治。