从法律层面认识健康医疗大数据

  • 2020-02-25 15:24
  • 作者:魏俊璟
  • 来源:中国食品药品网

  新冠肺炎疫情期间,大数据应用在社区人员流动的动态监测和管理,密切接触者的排查,"健康码"、行动轨迹等健康状况排查等领域,让人们真切感受到大数据的力量。同时,健康医疗大数据在本次疫情防控中也开始作用显现,应用在医疗用品和药品溯源、医疗数据管理、病例数据分析、流行病学调查、帮助药物筛选、疫苗研发等医疗领域。大数据和人工智能技术与医学相互融合,为疾病诊疗提供新的思路与途径。对未来医学模式带来更大的冲击和变革。这些先进技术在不断被应用的同时,也必须考虑数据采集、保护、使用的规则,平衡好保护和开发利用的关系。我们需要从法律层面认识健康医疗大数据,以进一步完善健康医疗大数据在医药领域的运用规则。


  一、健康医疗大数据政策脉络


  从战略层面肯定健康医疗大数据的价值,并从国家层面开始推动。2016年发布的《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》指出健康医疗大数据是国家重要的基础性战略资源,首次从战略层面肯定了健康医疗大数据的价值,并指明了开发利用政策方向。同年公布的《"健康中国2030"规划纲要》《国家创新驱动发展战略纲要》《国家信息化发展战略纲》均从不同层面提出了要促进和规范健康医疗大数据应用发展、加强健康医疗大数据应用体系建设、促进组学和健康医疗大数据研究。拉开了健康医疗大数据研究和应用的大幕。


  从法律层面研究规范健康医疗大数据。2018年4月国务院办公厅发布的《关于促进"互联网+医疗健康"发展的意见》要求严格执行信息安全和健康医疗数据保密规定,建立完善个人隐私信息保护制度,严格管理患者信息、用户资料、基因数据等,对非法买卖、泄露信息行为依法依规予以惩处,从立法规范层面对健康医疗大数据的利用和保护提出了要求。随后,国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》加强了大数据的管理。2019年,12月《基本医疗卫生与健康促进法》经人大常委会审议通过,将于2020年6月开始实施,该法规定国家推进全民健康信息化,推动健康医疗大数据、人工智能等的应用发展,加快医疗卫生信息基础设施建设,制定健康医疗数据采集、存储、分析和应用的技术标准,运用信息技术促进优质医疗卫生资源的普及与共享。


  尚未建立完善的利用和保护机制。从现有的法律法规看,与其他相关的法律法规形成了一定应用和保护机制,分散在《传染病防治法》《民法总则》《刑法》《侵权责任法》《网络完全法》《人口健康信息管理办法(试行)》《人类遗传资源管理条例》《电子病历应用管理规范》等法律法规中。但目前尚未完全建立健康医疗大数据产权制度,也尚未形成明确的应用体系和机制。


  二、健康医疗大数据相关概念及规定


  在健康医疗大数据概念的形成和固定过程中,在各类文件中出现了医疗健康大数据、健康大数据、中医药健康大数据等不同的提法。在健康医疗大数据的形成、保护、利用、管理等环节,与个人信息、个人敏感信息、人类遗传资源信息、患者隐私、真实世界数据、电子病历、人口健康信息等现有的法律概念之间的出现了不同层度的交叉,需要逐一梳理。


  健康医疗大数据。2018年出台的《国家健康医疗大数据标准、安全和服务管理办法》中规定了健康医疗大数据的定义,是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。从数据来源看并不仅限于医疗机构产生,而是既包括了医疗机构诊疗活动产生的符合定义的数据,又包括个人健康管理、其他机构或组织防治、健康管理过程中产生的符合定义的数据。应用涵盖范围较广,包括健康医疗行业治理、健康医疗临床和科研大数据应用、公共卫生大数据应用、研制数字化健康医疗智能设备和药物筛选研发、医疗产品物流追溯等领域。


  健康大数据。2015年《国务院关于印发促进大数据发展行动纲要的通知》提出鼓励和规范有关企事业单位开展医疗健康大数据创新应用研究,构建综合健康服务应用。《国务院办公厅关于印发全国医疗卫生服务体系规划纲要(2015-2020年)的通知》在信息资源配置中提出了推动健康大数据的应用之后出台的《健康产业统计分类表》讲与之相关的产业称为"健康大数据与云计算服务"。2019年出台的《健康中国行动(2019-2030年)》提出运用健康大数据提高大众自我健康管理能力。从文件本意看,健康大数据既有类似于健康医疗大数据的范围,又有仅限于健康管理,不包括医疗行为的内涵。可以说,还未形成单独的法律概念,需要根据文件的要求和上下文的语境来理解。


  医疗健康大数据。2016年,《国务院关于印发"十三五"国家战略性新兴产业发展规划的通知》提出构建生物大数据、医疗健康大数据共享平台。《"健康中国2030"规划纲要》提出加强健康医疗大数据应用体系建设,推进基于区域人口健康信息平台的医疗健康大数据开放共享、深度挖掘和广泛应用。2019年《国家卫生健康委员会、宁夏回族自治区人民政府关于印发宁夏回族自治区"互联网+医疗健康"示范区建设规划(2019年-2022年)的通知》提出,到2022年,建成适应居民多层次健康需求、上下联动、衔接互补的医疗健康大数据应用服务体系。可见,医疗健康大数据的提法主要见于规划类的文件,其内涵应与健康医疗大数据基本一致。


  三、健康医疗大数据中的个人信息与隐私保护


  数据与信息既有联系又有区别,个人隐私与个人信息呈交叉关系,数据是反映客观事物属性的记录,是信息的具体表现形式。数据、个人信息、隐私的客体分别体现为利益、法定利益、权利。在健康医疗大数据的管理和开发利用过程中必须注重对个人信息和隐私的保护。


  (一)个人信息与保护


  健康医疗大数据包含了个人信息。《网络安全法》规定了对个人信息的保护规定。《互联网个人信息安全保护指南》中定义了个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。并进一步明确个人信息还包括行踪轨迹、住宿信息、健康生理信息、交易信息等。《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》指出国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用。必须注重个人信息个隐私保护。


  个人信息在民法领域已有保护规定,但权利性质未明确。我国《民法总则》第一百一十一条确立了个人信息受到法律保护制度。明确自然人的个人信息受法律保护。我国《民法总则》虽然规定了个人信息应当依法收集和利用,但没有对合法和非法的情形作出规定。以何种方式进行保护学界存在着争议,学界普遍存在大数据背景下个人无法以私权为制度工具对个人数据信息的产生、存储、转移和使用进行符合自己意志的控制的担忧。王利明教授建议个人信息权作为独立的人格权来规定。但也有专家指出并不适合作为独立的人格权来保护。从目前的立法实践看,个人信息作为隐私权的一部分来保护的趋势。


  个人信息在刑事领域已有保护规定,但对健康生理信息的定义未明确。《刑法》第二百五十三条之一规定了侵犯公民个人信息罪,在《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确了"公民个人信息",是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。并进一步明确非法获取、出售或者提供健康生理信息等其他可能影响人身、财产安全的公民个人信息五百条以上属于;"情节严重"的情形。但在司法实践中,对于健康生理信息的认识不完全清晰,阐述应当是涉及公民身体、心理等方面具有个体特征,此类信息的敏感内容应当表现在所获取的信息本身。


  (二)个人敏感信息的脱敏保护。


       以敏感信息与非敏感信息的区分保护层次是通行做法。《互联网个人信息安全保护指南》)规定公开披露个人敏感信息前,除涉及公共安全、国家秘密外,还应向个人信息主体告知涉及的个人敏感信息的内容。但并未明确个人敏感信息包括的内容。在健康医疗大数据领域,卫生相关部门的日常表述中,认为个人的健康医疗信息最为敏感,属于隐私保护范围。在大数据运用领域,比较惯常的做法是"脱敏""去标识化",对个人隐私产生影响的内容一定要去掉。GB/T35273-2017《信息安全技术个人信息安全规范》规定个人敏感信息是一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。包括个人生物识别信息、健康生理信息等。在个人敏感信息举例中列举了个人健康生理信息:个人因生病医治产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、传染病史等,以及与个人身体健康状况产生的相关信息等。该标准于2019年6月修订后公开向社会征求意见,目前仍在修订过程中。


  (三)个人健康信息、人口健康信息与保护


  《基本医疗卫生与健康促进法》第九十二条明确了个人健康信息的保护机制。规定医疗卫生人员有泄露公民个人健康信息的根据相关规定予以处罚。也规定如果非法收集、使用、加工、传输公民个人健康信息,非法买卖、提供或者公开公民个人健康信息等,构成违反治安管理行为的,依法给予治安管理处罚。健康信息的认定标准。但目前尚未在法律法规层面对个人健康信息做出界定,从标准层面看,有ISO27799《健康信息信息安全管理在医疗中的使用》、ISO/TS17975《健康信息学个人健康信息收集、使用或披露中的许可原则和数据要求》ISO/TS21547《健康信息电子健康档案的安全要求和原则》对个人健康信息保护做了相应规范。


  2014年颁布的《人口健康信息管理办法(试行)》规定了人口健康信息的概念,是指依据国家法律法规和工作职责,各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。这是一个大人群的信息,而非仅仅针对个体的信息。上述个人健康信息和人口健康信息都属于健康医疗大数据的范围。


  (四)人类遗传资源信息与保护


  2019年发布的《遗传资源管理条例》规定人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。健康医疗大数据中一部分就属于人类遗传资源信息,如基因信息等。对这类的信息,我国规定的整套的保护机制,包括采集、储存、运用的要求。并规定的相应的处罚机制。


  (五)基于知情同意制度设计下的信息收集制度仍然比较粗糙


  《民法典各分编(草案)》第817条规定,"未经被收集者同意,不得向他人提供个人信息",信息收集的知情同意制度已经在制度中予以规定,如《遗传资源管理条例》规定,采集我国人类遗传资源,并征得人类遗传资源提供者书面同意。《信息安全技术个人信息安全规范》收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。


  对于信息收集的知情同意规则,尚未在法律层面完全明确,如对于是否仅限于第一次收集时,就有学者提出信息收集的知情同意规则应当适用于所有个人信息收集的行为,而不仅限于个人信息的初次收集行为对个人隐私数据二次利用普遍存在,应理清二次利用边界。对于撤回、被遗忘权,也有学者建议我国应学习欧盟通过严格限制模式对个人敏感数据进行保护,应具有撤回权、被遗忘权。但具体怎么来实现和保护这些权利还存在着巨大的争议和困难。


  四、健康医疗大数据中的财产属性规则未确定


  从免费商业模式变为数据资产,虽然在法律制度构建和学术理论层面有关大数据的讨论仍处于酝酿阶段,但在实践层面,大数据产业发展已经起步并初显成效。在大数据时代,数据财产权已然成为一种新型的和被广泛认可的基本民事权利(或财产权利),学界的主要观点包括邻接权客体说、财产权客体说、数据的非客体性和非财产性说、数据资产说等,均显示出大数据的可交易性。而数据的开放与流通是其价值体现的前提和基础,且交易存在着,交易标的确权前置,安全问题等特殊属性。大数据法律属性直接关系到大数据开发利用的正常进行。虽然2016年《国务院办公厅关于促进"互联网+医疗健康"发展的意见》要求研究制定健康医疗大数据确权、开放、流通、交易和产权保护的法规。但由于健康医疗大数据来源的复杂性、多样性,使得确权工作困难重重。


  如电子病历归属问题仍未明确。《病历应用管理规范(试行)》规定,电子病历是指医务人员在医疗活动过程中,使用信息系统生成的文字、符号、图表、图形、数字、影像等数字化信息,并能实现存储、管理、传输和重现的医疗记录,是病历的一种记录形式,包括门(急)诊病历和住院病历。作为健康医疗大数据的重要组成部分,电子病历的归属、保护、利用等相关法律问题受到广泛关注。笔者认为将病历分为智力成果和非智力成果。加以区分利用。


  五、结论和建议


  大数据在中国健康医疗领域的研究和应用正处于起步阶段。应从法律、法规、规范性文件、标准等层面统一各个概念的内涵和外沿,为健康医疗大数据收集、使用规制铺平道路。如《信息安全技术个人信息安全规范》中个人健康生理信息应与《基本医疗卫生与健康促进法》中的个人健康信息,《刑法》领域健康生理信息等相统一。


  界定健康医疗大数据中各项数据的性质、来源,分级分类确定使用规则是目前应当完善的基础性工作。在此基础上,需要从法律和制度层面分类明确各项健康医疗大数据的权利属性,可以从公益和非公益的角度,为其确权。形成公共部门数据和可交易的数据。(作者系上海市食品药品安全研究会秘书长


(责任编辑:申杨)

分享至

×

右键点击另存二维码!

网民评论

{nickName} {addTime}
replyContent_{id}
{content}
adminreplyContent_{id}