原創(chuàng) 健康報 健康報 收錄于合集 #健康與法 7個

2021年11月1日，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）正式施行。作為我國第一部針對個人信息保護的專門立法，《個人信息保護法》與《民法典》《網絡安全法》《數據安全法》《電子商務法》等法律法規(guī)，共同圍起我國個人信息保護的法網。由于個人信息與數據之間聯系緊密，《個人信息保護法》毫無疑問也會對醫(yī)療大數據的利用規(guī)制產生深遠影響。

規(guī)制原則對應三類數據

《個人信息保護法》出臺后，數據合規(guī)成為醫(yī)療大數據利用的重點關注內容。但值得注意的是，醫(yī)療大數據不是一個模糊的整體概念，而是由不同性質、不同特點的醫(yī)療數據匯聚而成的合集。因此，在討論醫(yī)療數據的利用和規(guī)制時，首先應厘清其內涵及類別，不同類別的醫(yī)療數據應適用的規(guī)制也是不同的。

本文采用2018年國家衛(wèi)生健康委印發(fā)的《國家健康醫(yī)療大數據標準、安全和服務管理辦法（試行）》中對于醫(yī)療大數據的界定，即在人們疾病防治、健康管理等過程中產生的與健康醫(yī)療相關的數據。

根據分類依據，醫(yī)療大數據又可以被劃分為不同的類別。在討論《個人信息保護法》背景下醫(yī)療大數據的利用規(guī)制時，則可以相應根據個人信息、敏感個人信息以及醫(yī)療大數據的內涵，對其關系進行厘清，從而進行類別的劃分。

在《個人信息保護法》中，個人信息的定義為“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！庇纱丝梢?，《個人信息保護法》對于個人信息的認定采用“識別﹢關聯”的標準，并將經匿名化處理后的信息排除在外。換言之，若要構成個人信息，受到《個人信息保護法》等相關法律法規(guī)的保護，必須同時符合識別性和關聯性的前提條件。

同時，根據《個人信息保護法》，敏感個人信息是“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息?！彼?，敏感個人信息是在個人信息的基礎上，進一步增加了對于侵害后果的要求。

并非所有的信息都構成個人信息和敏感個人信息。同理，并非所有的醫(yī)療大數據都可以構成個人信息和敏感個人信息。當醫(yī)療大數據中的部分數據并不具備識別性或關聯性時，就不應當以個人信息相關的法律法規(guī)對其進行規(guī)范。

綜上，可以根據構成因素的不同，將醫(yī)療大數據劃分為三類，分別是：構成個人信息的醫(yī)療大數據；構成敏感個人信息的醫(yī)療大數據；普通醫(yī)療大數據。

數據使用中的法律問題

根據《個人信息保護法》，醫(yī)療大數據的處理與利用大致可以分為收集、存儲、使用、加工、傳輸、提供、公開、刪除等環(huán)節(jié)。醫(yī)療機構、醫(yī)藥企業(yè)等數據處理者在每一個環(huán)節(jié)對于醫(yī)療大數據的處理與利用，均有可能產生法律問題。

數據多次利用易突破個人同意的范圍。一旦對醫(yī)療大數據進行整合與多次利用，往往會突破數據最初收集時個人同意的范圍，個人數據更容易被分析，數據多次利用背后的風險也會相應增加，個人信息更容易被暴露、被侵害。

醫(yī)療大數據傳輸中存在信息被非法處理的風險。醫(yī)療大數據的價值不僅體現在對于數據的分析與重復利用上，由于醫(yī)學研究及實際診療的需求，還注重在不同主體之間的傳輸與共享，發(fā)揮醫(yī)療大數據在多方主體之間流轉的價值。在傳輸過程中，任何一個節(jié)點有差池，都可能造成信息被非法處理。同時，醫(yī)療大數據一旦流轉到第三方，數據收集者便很難對其進行有效監(jiān)管。

個人欠缺信息保護的能力。個人因缺乏專業(yè)醫(yī)學知識，信息不對稱，往往無法判斷風險發(fā)生的時間、危害后果及其嚴重程度，事后損害也難以認定。

醫(yī)療大數據利用的現有法律規(guī)制。醫(yī)療大數據的現有法律規(guī)制包括《個人信息保護法》《數據安全法》《民法典》《刑法》等，分別從民事層面、刑事層面以及行政層面等對醫(yī)療大數據的利用作出了規(guī)定。其中最具針對性的當屬《個人信息保護法》，從四個方面基本搭建起了醫(yī)療大數據利用規(guī)制的框架：第一，確立了個人信息處理規(guī)則（包括個人信息跨境提供的規(guī)則）；第二，明確個人在個人信息處理活動中的權利，以及個人信息處理者的義務；第三，劃定履行個人信息保護職責的部門；第四，明確法律責任。

數據規(guī)制須形成合力

區(qū)分不同種類醫(yī)療大數據的規(guī)制程度。

由于醫(yī)療大數據類別不同，在現實中可能產生的風險便不同。因此，對其進行規(guī)制也應當區(qū)分對象，有所側重。

構成個人信息的醫(yī)療大數據與構成敏感個人信息的醫(yī)療大數據的人身屬性相對而言更強。因此，應當加強對其利用時的規(guī)制，對其利用主體施加更加嚴格的義務與責任要求。普通醫(yī)療大數據相對而言人身屬性較低，而財產屬性較高。為釋放數據利用的活力，增強數據利用的積極效益，對其使用進行規(guī)制時，法律要求則可相應降低。由此，能夠發(fā)揮法律規(guī)制在精準打擊醫(yī)療大數據不當利用上的效果，同時適當降低執(zhí)法與司法成本。

完善醫(yī)療大數據利用規(guī)制的權利基礎。

對個人而言，醫(yī)療大數據的人身價值極為重要，需要防止其受到侵害。而對醫(yī)療機構、醫(yī)藥企業(yè)等數據處理者而言，醫(yī)療大數據所蘊含的財產價值則是追求的目標。因此，妥善解決醫(yī)療大數據利用規(guī)制的核心是如何化解各方主體在醫(yī)療大數據利用上的利益沖突，或潛在的利益沖突。就法律規(guī)制而言，則是如何進行醫(yī)療大數據的權利分配。

在當前的地方立法實踐和學術討論中，對權利分配的主要思路是如何將醫(yī)療大數據權利進行切分，是否將具有人身屬性的權利賦予個人，將具備財產屬性的權利賦予數據處理者；數據處理者可否因數據的加工、處理行為而取得數據的歸屬權；同時，對于匿名化處理后喪失人身屬性的數據，是否將權利轉而歸屬于數據處理者；此外，還有借助自物權—他物權和著作權—鄰接權的權利分割思想，對數據權利進行劃分。

但應當注意到的是，權利的分配會影響后續(xù)權利的行使及保護，若權利分配只進行書面上的切割，而不考慮現實可行性，則此種分配將不具有任何意義。若將醫(yī)療大數據上的相關人身利益分配給個人，財產權利分配給數據處理者，那么當數據處理者為追求自身的財產權利而侵害個人的人身利益時，將如何化解二者之間的利益沖突，都是需要考慮的問題。

健全醫(yī)療大數據的權利保護模式。

《個人信息保護法》雖然初步搭建起了醫(yī)療大數據權利保護的框架。但是由于醫(yī)療機構、醫(yī)藥企業(yè)等主體與個人之間的地位并未改變，若想進一步實現醫(yī)療大數據利用規(guī)制的目的，一方面，還需解決醫(yī)療大數據權利保護如何落地，個人如何有效、便捷地實現法律所賦予的知情權、決定權等相關權利等問題；另一方面，還需要加強公權力對于個人的支持與幫助。

加強公權力對醫(yī)療大數據利用的監(jiān)管。

從《個人信息保護法》實施后的執(zhí)法實踐來看，已經有相當數量的企業(yè)與機構因個人信息保護問題而受到處罰，其中不乏與醫(yī)療大數據利用相關的企業(yè)。從執(zhí)法效果上看，這對于促進醫(yī)療大數據利用行為規(guī)范化起到了積極作用，因此，可以考慮適當加強公權力機關對醫(yī)療大數據利用的常態(tài)化主動審查。另一方面，消極的懲罰措施并不能完全消除違法行為，適當配備激勵措施也是實現醫(yī)療大數據利用規(guī)制的重要措施。

個人增強醫(yī)療信息自我保護意識。

個人應適當增強個人醫(yī)療信息的自我保護意識，在接受醫(yī)療機構或相關主體的服務時，對于相關軟件讀取信息的權限以及信息流轉的權限應加以限定。例如，在下載使用應用軟件時，若軟件無需獲取位置信息、攝像頭等權限即能正常提供服務，則可以避免一律勾選同意授權選項。在個人醫(yī)療信息可能受到侵犯的情況下，可積極行使《個人信息保護法》所賦予的知情權、決定權等各項權利，以及尋求行政機關、司法機關的救助。

文：北京中醫(yī)藥大學 霍增輝 牛荔

原標題：《醫(yī)療大數據背后的個人信息保護》