2020年3月，中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》明确提出数据作为生产要素对构建完善要素市场化配置体制机制的重要作用。4月，《关于构建更加完善的要素市场化配置体制机制的意见》进一步对推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护三方面提出了明确目标。随着互联网技术在医疗行业的逐渐普及，健康医疗数据的合理使用对于健康护理、医学治疗以及科学研究具有积极促进作用。

8月20日，山东省人民政府通过《山东省健康医疗大数据管理办法》，自2020年10月1日起施行，率先对山东省行政区域内的健康医疗大数据的采集、汇聚、存储、开发、应用及其监督管理等活动给出了明确规范，走在了全国前列。

一、健康医疗数据开放的机遇与挑战

（一）拥抱机遇

根据《信息安全技术健康医疗数据安全指南（征求意见稿）》（以下简称“《安全指南（征求意见稿）》”），健康医疗数据是指包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。而健康医疗大数据，是指在疾病防治、健康管理等过程中产生的，以容量大、类型多、存取速度快、应用价值高为主要特征的健康医疗数据集合，以及对其开发应用形成的新技术、新业态。

随着“互联网+医疗”应用的蓬勃发展，各种新兴业态不断涌现，健康医疗数据是支撑这些业态持续发展的关键。对患者而言，汇集分析其个人健康医疗数据可实现个性化的健康管理需求；对医生而言，健康医疗大数据可为医生制定个性化治疗方案提供临床决策支持；对医疗机构而言，健康医疗数据可应用于医学研究，有利于促进疾病治疗、新药研发等研究工作的进行；对保险公司而言，其可通过分析被保险人的健康医疗数据推算疾病风险从而更准确地预估保费；对全社会而言，健康医疗大数据可服务于公众健康，监管机构可据此监控疾病风险因素并进行响应，这一点在2019年新冠肺炎疫情防控期间得到了很好的体现。

（二）直面挑战

健康医疗大数据的健康发展离不开庞大的健康医疗数据的汇聚，推动健康医疗数据有序开放势在必行。然而，目前不同医疗机构间的信息系统接口并不统一，且医疗机构出于保护患者隐私或规避法律风险等理由而可能拒绝共享，数据孤岛现象普遍存在。

要推进健康医疗数据的有序开放，“隐私风险”和“安全风险”是必须直面的两大挑战。

个人健康医疗数据是指能够单独或者与其他信息结合识别特定自然人或者反映特定自然人生理或心理健康的相关数据，涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等。个人健康医疗数据属于个人信息，需符合个人信息保护的相关规定。同时，患者病情、病因信息、生理信息等往往属于患者不愿为他人知晓的私密信息，亦需符合隐私权保护的相应要求。医疗机构开放其所收集的个人健康医疗数据可能会存在违反保密义务和超出患者同意范围而构成滥用的风险。

而由于互联网技术在医疗行业的应用还处于探索阶段，很多医疗机构和医务人员缺乏充足的网络安全意识，未配备足够的网络安全人员，健康医疗数据安全风险大。而存在安全隐患的医疗信息系统间进行的健康医疗数据开放，往往会因为缺乏保障而进一步加剧医疗行业网络安全事件的发生风险。

二、健康医疗数据开放的合规应对

（一）数据分级分类管理

各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位（以下简称“责任单位”）。要应对健康医疗数据开放中的挑战，责任单位不仅需遵守目前已出台的健康医疗数据方面的法律规定，亦应按照个人信息保护、隐私权保护和网络安全管理等相关要求履行相应义务。

不同的健康医疗数据具有不同的敏感性，因而存在不同的开放要求。责任单位需建立数据分级分类制度规范健康医疗数据的开放范围、开放程度与开放方式。参考《安全指南（征求意见稿）》，可依据开放目的、数据属性、数据的重要程度和风险级别、接收者类型等不同要素对健康医疗数据开放场景中的数据进行分级分类管理。

《山东省健康医疗大数据管理办法》对山东省行政区划内健康医疗大数据提出分类管理要求，这也可为其他省份的责任单位提供参考：

第十条健康医疗大数据管理机构应当按照下列规定对健康医疗大数据进行分类管理：

（一）对涉及商业秘密、个人隐私或者依据法律、法规规定不得开放的健康医疗数据，列为不予开放数据；

（二）对数据安全和处理能力要求较高、时效性较强或者需要持续获取的健康医疗数据，列为有条件开放数据；

（三）其他健康医疗数据，列为无条件开放数据。对列为不予开放数据和有条件开放数据的，应当在相应的清单中列明法律、法规等依据。

（二）符合个人信息共享相关要求

个人健康医疗数据属于个人信息，开放该类信息亦需符合个人信息共享的相关要求。《信息安全技术个人信息安全规范》（GB/T 35273-2020）提出个人信息控制者的安全影响评估义务，同时要求个人信息控制者应向个人信息主体告知共享个人信息的目的、数据接收方类型，涉及个人敏感信息的，还应告知敏感信息的类型、数据接收方的身份和安全能力等，在事先征得个人信息主体明示同意后方可共享。此外，个人信息控制者需准确记录和保存个人信息共享情况，承担因共享个人信息对信息主体合法权益造成损害的法律责任。责任单位作为个人健康医疗数据的控制者，需承担上述义务。

针对个人生物识别信息，原则上该类信息不允许共享，但因业务需要，确需共享、转让的，应单独向患者告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得患者的明示同意。

为进一步降低健康医疗数据在开放中的风险和缓解获取患者同意的压力，建议责任单位在采取去标识化或匿名化技术消除数据的可识别性后再行开放。根据媒体报道，清华大学神经调控国家工程实验室利用Deepfake技术替换医疗视频中的患者面部数据，以期避免被第三方发现患者病情从而保护隐私，同时经过处理的医疗视频也可开放给相关研究者使用。[i]可见，技术的开发与应用亦可为隐私保护提供支持。

（三）采取安全保障措施

隐私风险与安全风险相互交织，安全管理制度的建立和安全保障措施的采取亦将降低隐私风险。

《国家健康医疗大数据标准、安全和服务管理办法（试行）》要求责任单位建立健全相关安全管理制度、操作规程和技术规范。责任单位应当按照国家网络安全等级保护制度要求，构建可信的开放环境。

责任单位应按照《网络安全法》的要求，建立严格的电子实名认证和数据访问控制，严格规范不同等级用户的数据接入和使用权限，并确保数据在授权范围内使用。任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据，不得使用非法手段获取数据。同时，需规范数据接入、使用和销毁过程的痕迹管理，确保健康医疗大数据访问行为可管、可控及服务管理全程留痕，可查询、可追溯，对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。

结 语

数据的价值和生命不在于保护，而在于使用。[ii]健康医疗数据汇聚而成的健康医疗大数据作为国家重要基础性战略资源，有利于激发深化医药卫生体制改革的动力和活力，带来健康医疗模式的深刻变化。但一旦健康医疗数据被泄露、篡改或滥用，不仅会影响患者的正常生活，亦可能对社会公共利益和国家安全带来严重后果。因此，需在采取适当安全保障措施尽可能降低风险的前提下，有序开放健康医疗数据，这不仅需要责任单位的自律，政府的职能履行，更需要立法对数据开放秩序的规范。

[i]郭一璞：《清华找到了Deepfake的正确打开方式：给医疗视频数据换脸，保护患者隐私》.[2020-07-25](2020-09-10)https://mp.weixin.qq.com/s/__GkGK_wEP2JEgBgESbaww.

[ii]高富平：《论医疗数据权利配置──医疗数据开放利用法律框架》.[2020-08-12](2020-09-10).https://mp.weixin.qq.com/s/V3UGJWrZsPJbgIknxPecOA.

作者：吴丹君律师 张振君律师助理

来源：微信公众号“大数据法律研究”