一、引言
医药产业是一个关系到国计民生的重要产业,小则可以保障提升国民生命健康,大则可以通过研究创新和普及推动国家科技和经济发展,甚至在如COVID-19这样的世界性疾病面前发挥关键作用。近些年,我国对医药产业的重视与日俱增,特别是在核心领域医疗大数据的建设方面,出台了一系列相关计划、政策和法律条例。因此,医疗信息化市场规模正在飞速扩大,大量资本及企业也涌入市场,推动了医疗大数据产业的快速建设与发展[1]。然而,不可否认,我国庞大、多变而复杂的医疗大数据产业还处于待成熟阶段,因此需要通过学习比对其他国家成熟的经验和策略,例如立法层面,从而达到对医疗大数据更好的保护与运用的效果。故,本文将从中国现况出发,比鉴欧美的相关政策条例并分析讨论潜在性建议,望起到抛砖引玉的效果。
二、中国健康医疗大数据发展及现状
我国关于医疗数据的采集和传输,最早可追溯到1998年6月,国务院发布的《人类遗传资源管理暂行办法》(现已于2019年6月更新为《人类遗传资源管理条例》),其中针对人类遗传资源(即,“含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA)构建体等遗传材料及相关的信息资料”[2])明确规定要严格把控出口、出境和对外提供,对采集、收集、买卖、出口、出境审批进行了阐释。2013至2015年,我国先后出台了《人口健康信息管理办法(试行)》、《全国医疗卫生服务体系规划纲要(2015-2020)》、《促进大数据发展行动纲要》等文件,对人口信息采集、利用和存储进行指引,规划未来5年实现人口、健康档案、电子健康档案/电子病历三大数据库的大范围覆盖建设及更新,并通过政府统一管理平台适度向社会开放公共数据资源。2016年6月,国务院发布了第一个针对医疗大数据产业的正式文件,《关于促进和规范健康医疗大数据应用发展的指导意见》[3],将健康医疗大数据纳入到国家大数据战略布局,提出到2020年建成100个区域临床医学数据示范中心。2016至2018年间,许多重要文件先后出台,如《网络安全法》、《“十三五”卫生与健康规划》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》和《互联网医院管理办法(试行)》《“健康2030”规划纲要》等,健全了信息系统并推动共享,研究制定了关于确权、开放、流通、交易和产权保护的法律法规,加强了监管工作并明确了与健康医疗大数据相关的责任体[4]。因此,有关健康医疗大数据的政策、法规、标准体系不断完善,产业链和产业体系逐渐形成并蓬勃发展,为之后的发展奠定良好基础。
表1:国家层面相关重要政策汇总
2019至2020年,政策虽并无明显更新,但医疗大数据产业受到的关注和投资却日益增加。随着市场需求、政策支持和技术进步,医疗大数据与互联网的结合得到了有力助推。例如兴起的互联网医疗产业,在新冠疫情的催化和政策利好的情况下,短期内各医疗平台流量迅速增长,开始崛起。[5]

表2:图表来源:36氪研究院 | 2020年中国互联网医疗研究报告(2020年4月23日)
三、中美医疗大数据对比
法规对比
【背景】
美国向来对隐私安全的保护意识极强,因此相关立法较早,1974年即通过《隐私权法》(The Privacy Act)达到保障公民个人信息隐私权的目的。1996年,美国通过了《健康保险携带与责任法》(Health Insurance Portability and Accountability Act,HIPAA),其中隐私规则(Privacy Rule)和安全规则(Security Rule)于2003年生效,并于2009年通过了医疗信息技术促进经济和临床健康法案(Health InformationTechnology for Economic and Clinical Health Act,HITECH Act),修正了隐私规则,加強执法力度,在美国全面进入电子病历时代的同时更好的在电子时代保护病人隐私。HIPAA法案已成为国际上关于医疗健康信息隐私保护的经典标准,对美国的医疗研发和数据市场具有深刻影响,意义深远。
HIPAA应用于所涵盖的实体(Covered Entities,CE),包括医疗健康服务提供方、保险提供方和数据清洗公司。HITECH Act 是对 HIPAA Privacy 和 Security Rule 的扩展,扩大了HIPAA遵从性规定下的隐私和安全保护的范围,增加了对违规行为的潜在法律责任,提高了对违反 HIPAA 的惩罚力度。HITECH Act同时规定,除CE外,Privacy 和Security Rule可扩展适用于业务伙伴 (Business Associates,BA),即通过CE获得患者受保护的健康信息(Protected Health Information,PHI)的第三方机构,并要求BA与CE受相同的法律准则。
HIPAA首次提出受保护的健康信息 (Protected Health Information, PHI)的概念,即患者过去、现在和未来身体或精神上的健康状况、对患者提供的医疗服务、患者过去、现在和未来的医疗支付情况,以及能够确定身份的信息,即标识符。而HITECH Act则更多将目光转向电子受保护健康信息 (Electronicprotected health information, EPHI),即以电子形式创建、接收、维护或传输的个人身份健康信息。HITECH法案期望医生,医院和其他存储EPHI的实体之间对电子保护健康信息(EPHI)进行更多共享,通过共享降低医疗成本。需要注意的是,Privacy Rule 适用于所有形式的 PHI(无论手写、打印、电子还是口头),而 Security Rule 只适用于 EPHI。
表3:中美相关法律对比
相关案例
1) 2014年7月,著名的约翰•霍普金斯医院向8000多名女性支付共1.9亿美元的赔偿。这些患者被该医院妇科医生尼基塔•利维做妇科检查时,利用钢笔型微型摄像机以及其他隐藏在检查室不同地方的微型摄像机偷拍及录像。警方在他的家里发现约1200个偷拍录像及140张照片,被偷拍患者脸部均未被拍到,且这些录像及照片未曾流出。因此,约翰•霍普金斯医院开除了该医生并向这8000多名女性患者交付了巨额赔款,而尼基塔•利维在事发后的第10天自杀身亡。这一和解案是美国历史上涉及医生不当行为赔偿金额最高的案件之一。[6]
2) 2018年10月15日,美国国家第二大医疗保险公司Anthem因违反《健康保险携带与责任法》(HIPAA)而被美国卫生和人类服务部民权办公室(OCR)罚款1600万美元。由于一系列网络攻击,Anthem暴露了将近7900万人的受电子保护的健康信息,泄露信息包括姓名,生日,社会保险号和医疗身份证。这成为目前美国历史上最大的健康数据泄露事件。[7]
四、中欧医疗大数据对比
法规对比
【背景】
2016年5月,《通用数据保护条例》(General DataProtection Regulation,GDPR)正式在欧盟官方公报发布生效,并自其生效后满两年,即2018年5月25日,直接适用于欧盟全体成员国,在欧盟内部建立起统一的个人信息保护和流动规则。最初GDPR的前身是《1981年个人数据保护公约》,之后发展成为《1995年个人数据保护指令》,接着,2012年1月GDPR草案正式发布,在经过长达四年的立法程序后在欧盟理事会和欧洲议会表决通过。[8]作为综合性的数据保护法,GDPR具有管辖范围大、详尽、严格的特点。GDPR在以数据主体“知情——同意”为基本框架,保留、细化并拓展了95指令中已有的查询、更正、删除、反对、免受完全自动化决定权等数据主体权利体系,并新增了被遗忘权、限制处理权和数据可携带权。[9]GDPR不但引入了一站式监管机制,通过设立欧盟数据保护委员会(European DataProtection Board,EDPB)以确保GDPR在欧盟各成员国内适用的统一性,更要求数据控制者、数据处理者内部建立完善的问责机制,如设置数据保护官、文档化管理、实行数据保护影响风险评估制度等。
为保证GDPR的落实、促进各成员国数据保护监管机构之间的合作,欧盟围绕GDPR建立了欧盟数据保护委员会(EDPB),出台指南、建议、意见及有约束力的决定。EDPB与各成员国相关监管机构采用一站式合作机制,联合对境内及跨境案件进行执行。各国监管机构的职能与权限由本国数据保护法赋予,其权限主要包括调查权和矫正权,可通过发出违规警告、开展审查、限期纠正、命令删除数据、暂停向第三国传输数据、罚款等行使其权力。[10]另外,欧盟数据保护监督官(European Data ProtectionSupervisor,EDPS)是欧盟独立的数据保护机构,可干预欧洲联盟法院(CJEU)和普通法院的案件。
再谈英国。英国全国普查的健康记录有着长达200多年的历史,且其拥有引以为豪的英国国民医疗服务系统,有着庞大而完备的医疗数据,包括病人的健康记录、疾病数据等。[11]在脱离欧盟后,英国仍以GDPR为主,2018年出台的《2018数据保护法》(Data Protection Act,DPA)为辅助进行数据保护。因为2018年GDPR对欧盟全体成员国生效(此时英国未脱欧),因此,GDPR早已成为英国法律的一部分。在监管机构方面,英国的信息委员会办公室(InformationCommissioner’s Office,ICO)是负责落实《2018年数据保护法》,GDPR,以及《2003年隐私和电子通信(EC指令)条例》的独立的监管机构(国家数据保护机构)。
相关案例
1) 2019年,谷歌被法国开出5000万欧元罚单。2018年5月,两家欧洲非营利性隐私和数字权利组织向法国国家信息与自由委员会投诉称谷歌在处理个人用户数据方面采用了“强制同意”政策,其收集的数据包含大量用户个人信息,且这些信息在用户不知情的情况下被用于商业广告用途。经过专门小组调查并依据《通用数据保护条例》的相关规定,确认谷歌在处理个人用户数据时存在缺乏透明度、用户获知信息不便、广告订制缺乏有效的自愿原则等问题,因此开出5000万欧元罚单。[12]
2) 2019年7月11日,英国航空和万豪集团被英国信息委员会办公室(ICO)分别开出2.3亿和1.23亿美元的罚单。2018年6月至9月,英航泄露了50万用户的隐私,而万豪集团则在2018年11月泄露了3.4亿条酒店住店记录。[13]
五、分析及建议
根据以上对比可知,中国法律在医疗数据方面与相对较为健全的欧美法律之间仍有较大差距。宏观来讲,虽然三方在信息安全相关基本原则方面十分相似,但欧美相关法律系统性强、涵盖面广且十分具体,而中国相关法律分布零散且规定较为笼统。例如,信息所属权不清晰。根据中国相关法律法规,医疗机构具有妥善保管患者医疗信息(如病历)的责任,患者仅被赋予病历资料的查阅和复制权,但并未明确阐释患者个人健康医疗信息的归属权。而在欧洲,GDPR明确规定健康医疗信息是完全属于用户,而非数据控制者的。这就导致我国患者在需要得到或使用自己的个人信息时无法顺利发挥自己的权利。例如金至宝与江苏省人民医院医疗服务合同纠纷一案,原告要求江苏省人民医院返还其住院期间产生的15项检查报告原件,经过二审却最终被驳回诉讼请求。因此,建议法律中明确阐释健康医疗信息归属权。
与中国类似,根据美国联邦和州的法律,患者拥有与其健康信息相关的合法隐私权,安全性和准确性权利,但一旦通过医疗健康服务提供者的媒体以书面或电子形式获取、记录和存储了该信息,则医疗健康服务提供者将获得该信息的所有权和保障权,成为患者信息的法律保管人,并被赋予与该医疗记录有关的特定法律权利和义务。
其次,除英国外,中国、美国、欧盟均暂无统一平台管理储存医疗大数据,其原因可能是因为医疗数据信息量大、错综复杂、变更快的特点不易收集管理。还有,目前中国尚无如美国的OCR、欧盟的EDPB/EDPS、英国的ICO一样针对数据保护的统一监管部门,且惩处力度显著低于西方国家,换言之,可能因为处罚力度太轻以致不足以威慑潜在违法者,未来医疗数据保护的效力和落实效果令人担忧。因此,基于以上分析并考虑到该行业的可持续发展,建议如下:
1.研究借鉴海外相关成熟经验,制定试行医疗数据保护及运用法律规范;
2.在法律规范中明确阐释健康医疗信息归属权;
3.加大违反相关法律的惩罚力度;
4.医疗数据政策及技术普及:通过成立监察普及小组和医疗大数据法律服务小组不定期去各地巡访和培训【如,如何运营、管理、维护数据库,如何合理合法共享数据,普及数据共享利用的理念和益处等】;
5.建立国家级和地方级医疗大数据处理机构部署【如:英国的ICO、美国的OCR】负责处理落实不到位、侵权等事务;
6.在医疗领域的重要组织和企业内部设立数据保护官,负责贯彻落实相关法律法规并推动数据共享工作;
7.通过特殊培育项目,培养跨专业技术型人才建设医疗数据相关系统创新和开发【如,医学-计算机、医学-工程学、医学-数学等医理人才】
83在医疗大数据法律法规建设之初,考虑设立奖励机制和策略以达到促进多方献策、法规落实、促进数据共享等目的【如,鼓励医疗大数据相关研究课题、创立数据共享优秀先锋等荣誉、前几年奖励落实优秀的主体,几年后再由奖励机制变为惩罚机制(可参考美国HIPAA的策略转变)】
六、结语及展望
中国在医疗大数据管理及法律层面起步晚于西方国家,但随着互联网的崛起,我国医疗大数据的电子化、开放和共享必将迅速发展。然而,良好的发展需要伴随完善的司法保护体制,否则会出现落实不到位、共享动力不足等问题。综上所述,我国已意识到此领域法律的重要性并且在不断的进行完善。通过与欧美的相关对比,许多问题诸如惩罚力度不够、相关法律规定笼统模糊且架构松散、无统一管理部门等也浮出水面。目前医疗大数据保护现状有很多不完善之处,因此,探讨相关议题,助推医疗数据领域有序、健康发展是时代赋予我们中国律师的历史使命。
◎引用:
[1] https://36kr.com/p/1725389832193
[2]https://baike.baidu.com/item/%E4%BA%BA%E7%B1%BB%E9%81%97%E4%BC%A0%E8%B5%84%E6%BA%90%E7%AE%A1%E7%90%86%E6%9A%82%E8%A1%8C%E5%8A%9E%E6%B3%95
[3]http://www.gov.cn/zhengce/content/2016-06/24/content_5085091.htm
[4] https://www.dx2025.com/wp-content/uploads/2019/11/eu-think-tank-2019-china-medical-big-data-research-report.pdf
[5] https://36kr.com/p/676303112844290
[6]约翰•霍普金斯医院1.9亿美元赔偿病患https://share.america.gov/zh-hans/johns_hopkins/
[7] Anthem:https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/agreements/anthem/index.html
[8]安全合规/GDPR--20--研究:GDPR的立法背景、要点概述、执法行动及评估https://blog.csdn.net/wutianxu123/article/details/93044780
[9]安全合规/GDPR--20--研究:GDPR的立法背景、要点概述、执法行动及评估https://blog.csdn.net/wutianxu123/article/details/93044780
[10]安全合规/GDPR--20--研究:GDPR的立法背景、要点概述、执法行动及评估https://blog.csdn.net/wutianxu123/article/details/93044780
[11]主要发达国家医疗健康大数据政策分析【2015 pdf】
[12]法国对谷歌开出5000万欧元罚单http://www.xinhuanet.com/world/2019-01/22/c_1124025321.htm
[13]欧盟GDPR将对万豪、英国航空收取上亿美元罚款https://www.sohu.com/a/326188644_114837?_f=index_chan08tech_dignews_5
[14]《中华人民共和国人类遗传资源管理条例》http://www.gov.cn/zhengce/content/2019-06/10/content_5398829.htm
[15]中国首部基本医疗法进入四审:医疗信息泄露处罚力度将加强https://med.sina.com/article_detail_103_1_75940.html
[16]个人健康医疗数据隐私安全法律法规研究https://www.medsci.cn/article/show_article.do?id=dc7715082404
[17]中国健康数据立法保护现状评析(上)-大成律师事务所http://www.ailab.cn/html/551338.html?origurl=yes
[18]「名人系列9」从李咏的案例再谈美国病人隐私保护HIPAA http://zgjkzxw.cndns.mobi/contents.asp?id=6011
[19]医疗大数据的网络安全与隐私保护简析-周洋 2017-10-26
[20]《WhoReallyOwnsYourHealthData?》
https://www.forbes.com/sites/forbestechcouncil/2018/04/23/who-really-owns-your-health-data/#3a2e57686d62
医药产业是一个关系到国计民生的重要产业,小则可以保障提升国民生命健康,大则可以通过研究创新和普及推动国家科技和经济发展,甚至在如COVID-19这样的世界性疾病面前发挥关键作用。近些年,我国对医药产业的重视与日俱增,特别是在核心领域医疗大数据的建设方面,出台了一系列相关计划、政策和法律条例。因此,医疗信息化市场规模正在飞速扩大,大量资本及企业也涌入市场,推动了医疗大数据产业的快速建设与发展[1]。然而,不可否认,我国庞大、多变而复杂的医疗大数据产业还处于待成熟阶段,因此需要通过学习比对其他国家成熟的经验和策略,例如立法层面,从而达到对医疗大数据更好的保护与运用的效果。故,本文将从中国现况出发,比鉴欧美的相关政策条例并分析讨论潜在性建议,望起到抛砖引玉的效果。
二、中国健康医疗大数据发展及现状
我国关于医疗数据的采集和传输,最早可追溯到1998年6月,国务院发布的《人类遗传资源管理暂行办法》(现已于2019年6月更新为《人类遗传资源管理条例》),其中针对人类遗传资源(即,“含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA)构建体等遗传材料及相关的信息资料”[2])明确规定要严格把控出口、出境和对外提供,对采集、收集、买卖、出口、出境审批进行了阐释。2013至2015年,我国先后出台了《人口健康信息管理办法(试行)》、《全国医疗卫生服务体系规划纲要(2015-2020)》、《促进大数据发展行动纲要》等文件,对人口信息采集、利用和存储进行指引,规划未来5年实现人口、健康档案、电子健康档案/电子病历三大数据库的大范围覆盖建设及更新,并通过政府统一管理平台适度向社会开放公共数据资源。2016年6月,国务院发布了第一个针对医疗大数据产业的正式文件,《关于促进和规范健康医疗大数据应用发展的指导意见》[3],将健康医疗大数据纳入到国家大数据战略布局,提出到2020年建成100个区域临床医学数据示范中心。2016至2018年间,许多重要文件先后出台,如《网络安全法》、《“十三五”卫生与健康规划》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》和《互联网医院管理办法(试行)》《“健康2030”规划纲要》等,健全了信息系统并推动共享,研究制定了关于确权、开放、流通、交易和产权保护的法律法规,加强了监管工作并明确了与健康医疗大数据相关的责任体[4]。因此,有关健康医疗大数据的政策、法规、标准体系不断完善,产业链和产业体系逐渐形成并蓬勃发展,为之后的发展奠定良好基础。
| 时间 | 政策名称 | 主要内容 |
| 2016.06 | 《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》 | 将健康医疗大数据纳入国家的大数据战略布局,提出加快对医疗健康大数据产业链的构建 |
| 2016.11 | 《中华人民共和国网络安全法》 | 提出网络运营者收集获取被收集者信息时,必须明示收集信息的目的和范围并征得被收集者同意;同时,不得未经被收集者同意向他人提供个人信息 |
| 2016.12 | 《“十三五”卫生与健康规划》 | 规划提出将深化健康大数据的应用,并加强对健康医疗数据和患者隐私信息的保障 |
| 2017.03 | 《基层医疗卫生服务能力提升年活动实施方案》 | 探索人工智能、移动健康监测、健康医疗大数据等信息技术在基层的应用,引导居民参与自我健康管理 |
| 2017.07 | “健康中国2030”规划纲要 | 研究制定健康医疗大数据在开放、流通、交易、产权保护等方面的法规 |
| 2017.12 | 第二批国家健康医疗大数据中心试点名单 | 启动第二批健康医疗大数据中心试点,开展“1+5+X”规划,即1个国家数据中心,7个区域数据中心和X个应用发展中心 |
| 2018.04 | 《关于印发进一步改善医疗服务行动计划(2018-2020年)》 | 应用互联网、物联网等新技术,实现配药发药、内部流程、患者安全管理等信息化、智能化 |
| 2018.07 | 《互联网医院管理办法(试行)》 | 规定互联网医院的信息安全保护等级为三级。互联网医院应当严格执行信息安全和医疗数据保密的有关法律法规,妥善保管患者信息,不得非法买卖、泄露患者信息 |
| 2018.08 | 《深化医药卫生体制改革2018年下半年重点工作任务》 | 推动重点地区医疗健康领域公共信息资源对外开放;推进健康医疗大数据中心与产业园建设国家试点 |
| 2018.08 | 关于进一步推进以电子病历为核心的医疗机构信息化建设工作的通知 | 提出通过电子病历信息化建设、探索建立健全健康大数据的管理规范,提升监管效能 |
| 2018.09 | 《国家健康医疗大数据标准、安全和服务管理办法(试行)》 | 首次对健康医疗大数据的适用范围、标准管理、安全管理和服务管理等方面进行了规制 |
表1:国家层面相关重要政策汇总
2019至2020年,政策虽并无明显更新,但医疗大数据产业受到的关注和投资却日益增加。随着市场需求、政策支持和技术进步,医疗大数据与互联网的结合得到了有力助推。例如兴起的互联网医疗产业,在新冠疫情的催化和政策利好的情况下,短期内各医疗平台流量迅速增长,开始崛起。[5]

表2:图表来源:36氪研究院 | 2020年中国互联网医疗研究报告(2020年4月23日)
三、中美医疗大数据对比
法规对比
【背景】
美国向来对隐私安全的保护意识极强,因此相关立法较早,1974年即通过《隐私权法》(The Privacy Act)达到保障公民个人信息隐私权的目的。1996年,美国通过了《健康保险携带与责任法》(Health Insurance Portability and Accountability Act,HIPAA),其中隐私规则(Privacy Rule)和安全规则(Security Rule)于2003年生效,并于2009年通过了医疗信息技术促进经济和临床健康法案(Health InformationTechnology for Economic and Clinical Health Act,HITECH Act),修正了隐私规则,加強执法力度,在美国全面进入电子病历时代的同时更好的在电子时代保护病人隐私。HIPAA法案已成为国际上关于医疗健康信息隐私保护的经典标准,对美国的医疗研发和数据市场具有深刻影响,意义深远。
HIPAA应用于所涵盖的实体(Covered Entities,CE),包括医疗健康服务提供方、保险提供方和数据清洗公司。HITECH Act 是对 HIPAA Privacy 和 Security Rule 的扩展,扩大了HIPAA遵从性规定下的隐私和安全保护的范围,增加了对违规行为的潜在法律责任,提高了对违反 HIPAA 的惩罚力度。HITECH Act同时规定,除CE外,Privacy 和Security Rule可扩展适用于业务伙伴 (Business Associates,BA),即通过CE获得患者受保护的健康信息(Protected Health Information,PHI)的第三方机构,并要求BA与CE受相同的法律准则。
HIPAA首次提出受保护的健康信息 (Protected Health Information, PHI)的概念,即患者过去、现在和未来身体或精神上的健康状况、对患者提供的医疗服务、患者过去、现在和未来的医疗支付情况,以及能够确定身份的信息,即标识符。而HITECH Act则更多将目光转向电子受保护健康信息 (Electronicprotected health information, EPHI),即以电子形式创建、接收、维护或传输的个人身份健康信息。HITECH法案期望医生,医院和其他存储EPHI的实体之间对电子保护健康信息(EPHI)进行更多共享,通过共享降低医疗成本。需要注意的是,Privacy Rule 适用于所有形式的 PHI(无论手写、打印、电子还是口头),而 Security Rule 只适用于 EPHI。
| 序号 | 对比项 | 中国 | 美国 |
| 1 | 相关法律 | 《中华人民共和国网络安全法》、《互联网医院管理办法(试行)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》 | HIPAA; HITECH Act |
| 2 | 法律法规适用涉及对象 | 政府、医疗机构、企业、教学及科研人员、个人 | 适用主体-实体(CE),包括医疗健康服务提供方、保险提供方和数据清洗公司;业务伙伴 (BA) |
| 3 | 法律法规相对具体程度 | 笼统、分散在《网络安全法》等法规中,缺乏系统性 | 较具体、综合、系统性高 |
| 4 | 信息安全相关基本原则 | 同意原则、最少够用(最小必要)原则等 | 同意原则、最少够用(最小必要)原则等 |
| 5 | 医疗数据的界定 | 我国法律体系中,有对“个人信息”和“个人敏感信息”明确定义并举例说明,但并无对医疗数据的明确定义。 | 受保护的健康信息(Protected Health Information,PHI):由适用主体或其商业伙伴持有或传输的以口头、书面和电子等任何形式或媒体存在的可识别的个人健康信息。- 可识别的个人健康信息(Individually Identifiable Health Information):PHI的子集,指个人过去,目前和未来的生理和心理健康状况、医疗护理状况及与医疗护理相关支付信息,且这些信息至少包含法律规定的能够识别出个人的18项身份识别信息中的一项。 |
| 6 | 医疗信息所属权 | 普通健康医疗信息:未明确规定,医疗数据归属不明(理论上为医患双方共同所有); | 每个州都有关于谁拥有病历的不同法律。新罕布什尔州是唯一明确授予患者健康数据所有权的州,而大多数州没有任何法律来界定记录的保管。 |
| 7 | 个人的个人信息知情及处理权 | - 个人信息主体对自己的个人信息有权访问、更正、删除、撤回同意和注销账户的权利,有清晰知晓个人健康医疗信息被披露和使用的内容、目的及主体的权利;- 根据个人信息主体的请求,信息控制者应提供含有个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息等信息副本给个人信息主体或者直接传给第三方。 | - 患者有获得、修改、个人健康医疗信息的权利;- 授权书中必须包括个人健康医疗信息被披露和使用的内容、目的及主体的内容并清晰告知患者;- 个人有权下载和传输个人的健康医疗信息。 |
| 8 | 负责惩处机构 | - 根据《基本医疗卫生与健康促进法(草案)》,医疗信息安全管理/处理不当,由县级以上人民政府卫生健康等主管部门处理;- 根据《中华人民共和国人类遗传资源管理条例》,涉及人类遗传资源的,视情节轻重处以行政处罚或移至司法机关处理,由省、自治区、直辖市人民政府科学技术行政部或国务院科学技术行政部门处理。 | 美国卫生及公共服务部( United States Department of Health & Human Services,HHS)的民权办公室(OCR)是负责实施HIPAA的部门,对违反隐私和安全规则的医疗机构征收了超过2510万美元的罚款。 |
| 9 | 惩罚力度 | - 根据《网络安全法》(信息泄露为主),违反相关规定处以最高50万元罚款,其他部门的规章行政处罚大都在5-20万元之间;- 根据《中华人民共和国基本医疗卫生与健康促进法(草案)》,医疗信息泄露情节严重的,可责令停止相应执业活动,并对直接负责的主管人员和其他直接责任人员依法追究法律责任;- 根据《人类遗传资源管理条例》,涉及人类遗传资源的,处50万元以上500万元以下罚款,违法所得在100万元以上的,处违法所得5倍以上10倍以下罚款。 | OCR处罚最高可达每年150万美元(若连续数年则位150万美元的数倍);但现实中很多情况,根据情节严重性,罚金动辄几百万甚至上亿美元。 |
| 10 | 有/无统一平台管理医疗大数据 | 无 | 无 |
表3:中美相关法律对比
相关案例
1) 2014年7月,著名的约翰•霍普金斯医院向8000多名女性支付共1.9亿美元的赔偿。这些患者被该医院妇科医生尼基塔•利维做妇科检查时,利用钢笔型微型摄像机以及其他隐藏在检查室不同地方的微型摄像机偷拍及录像。警方在他的家里发现约1200个偷拍录像及140张照片,被偷拍患者脸部均未被拍到,且这些录像及照片未曾流出。因此,约翰•霍普金斯医院开除了该医生并向这8000多名女性患者交付了巨额赔款,而尼基塔•利维在事发后的第10天自杀身亡。这一和解案是美国历史上涉及医生不当行为赔偿金额最高的案件之一。[6]
2) 2018年10月15日,美国国家第二大医疗保险公司Anthem因违反《健康保险携带与责任法》(HIPAA)而被美国卫生和人类服务部民权办公室(OCR)罚款1600万美元。由于一系列网络攻击,Anthem暴露了将近7900万人的受电子保护的健康信息,泄露信息包括姓名,生日,社会保险号和医疗身份证。这成为目前美国历史上最大的健康数据泄露事件。[7]
四、中欧医疗大数据对比
法规对比
【背景】
2016年5月,《通用数据保护条例》(General DataProtection Regulation,GDPR)正式在欧盟官方公报发布生效,并自其生效后满两年,即2018年5月25日,直接适用于欧盟全体成员国,在欧盟内部建立起统一的个人信息保护和流动规则。最初GDPR的前身是《1981年个人数据保护公约》,之后发展成为《1995年个人数据保护指令》,接着,2012年1月GDPR草案正式发布,在经过长达四年的立法程序后在欧盟理事会和欧洲议会表决通过。[8]作为综合性的数据保护法,GDPR具有管辖范围大、详尽、严格的特点。GDPR在以数据主体“知情——同意”为基本框架,保留、细化并拓展了95指令中已有的查询、更正、删除、反对、免受完全自动化决定权等数据主体权利体系,并新增了被遗忘权、限制处理权和数据可携带权。[9]GDPR不但引入了一站式监管机制,通过设立欧盟数据保护委员会(European DataProtection Board,EDPB)以确保GDPR在欧盟各成员国内适用的统一性,更要求数据控制者、数据处理者内部建立完善的问责机制,如设置数据保护官、文档化管理、实行数据保护影响风险评估制度等。
为保证GDPR的落实、促进各成员国数据保护监管机构之间的合作,欧盟围绕GDPR建立了欧盟数据保护委员会(EDPB),出台指南、建议、意见及有约束力的决定。EDPB与各成员国相关监管机构采用一站式合作机制,联合对境内及跨境案件进行执行。各国监管机构的职能与权限由本国数据保护法赋予,其权限主要包括调查权和矫正权,可通过发出违规警告、开展审查、限期纠正、命令删除数据、暂停向第三国传输数据、罚款等行使其权力。[10]另外,欧盟数据保护监督官(European Data ProtectionSupervisor,EDPS)是欧盟独立的数据保护机构,可干预欧洲联盟法院(CJEU)和普通法院的案件。
再谈英国。英国全国普查的健康记录有着长达200多年的历史,且其拥有引以为豪的英国国民医疗服务系统,有着庞大而完备的医疗数据,包括病人的健康记录、疾病数据等。[11]在脱离欧盟后,英国仍以GDPR为主,2018年出台的《2018数据保护法》(Data Protection Act,DPA)为辅助进行数据保护。因为2018年GDPR对欧盟全体成员国生效(此时英国未脱欧),因此,GDPR早已成为英国法律的一部分。在监管机构方面,英国的信息委员会办公室(InformationCommissioner’s Office,ICO)是负责落实《2018年数据保护法》,GDPR,以及《2003年隐私和电子通信(EC指令)条例》的独立的监管机构(国家数据保护机构)。
| 序号 | 对比项 | 中国 | 欧盟、英国 |
| 1 | 相关法律 | 《中华人民共和国网络安全法》、《互联网医院管理办法(试行)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》 | GDPR |
| 2 | 法律法规适用涉及对象 | 政府、医疗机构、企业、教学及科研人员、个人 | 数据主体(欧盟公民)、数据控制者和数据处理者 |
| 3 | 法律法规相对具体程度 | 笼统、分散在《网络安全法》等法规中,缺乏系统性 | 系统、具体、严格 |
| 4 | 信息安全相关基本原则 | 同意原则、最少够用(最小必要)原则等 | 善意合理、目的限制、最小必要原则等 |
| 5 | 医疗数据的界定 | 我国法律体系中,有对“个人信息”和“个人敏感信息”明确定义并举例说明,但并无对医疗数据的明确定义。 | GDPR对个人数据进行了定义,但无针对医疗数据的定义。 |
| 6 | 医疗信息所属权 | 普通健康医疗信息:未明确规定,医疗数据归属不明(理论上为医患双方共同所有); | GDPR强调数据是属于用户而非数据控制者,故用户还具备遗忘权和数据便携权等权利。 |
| 7 | 个人的个人信息知情及处理权 | - 个人信息主体对自己的个人信息有权访问、更正、删除、撤回同意和注销账户的权利,有清晰知晓个人健康医疗信息被披露和使用的内容、目的及主体的权利;- 根据个人信息主体的请求,信息控制者应提供含有个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息等信息副本给个人信息主体或者直接传给第三方。 | 个人信息主体拥有知情权、访问权、修正权及拒绝权(数据主体有权对有关数据的处理提出反对)等。 |
| 8 | 负责惩处机构 | - 根据《基本医疗卫生与健康促进法(草案)》,医疗信息安全管理/处理不当,由县级以上人民政府卫生健康等主管部门处理;- 根据《中华人民共和国人类遗传资源管理条例》,涉及人类遗传资源的,视情节轻重处以行政处罚或移至司法机关处理,由省、自治区、直辖市人民政府科学技术行政部或国务院科学技术行政部门处理。 | 欧盟层面的数据保护机构为欧盟数据保护委员会(EDPB),负责保证GDPR在欧盟所有国家的统一适用,并要求欧盟各成员国将其转化为国内法进行具体执法。欧盟数据保护监督官European Data Protection Supervisor (EDPS)是欧盟独立的数据保护机构,可干预欧洲联盟法院(CJEU)和普通法院的案件。 |
| 9 | 惩罚力度 | - 根据《网络安全法》(信息泄露为主),违反相关规定处以最高50万元罚款,其他部门的规章行政处罚大都在5-20万元之间;- 根据《中华人民共和国基本医疗卫生与健康促进法(草案)》,医疗信息泄露情节严重的,可责令停止相应执业活动,并对直接负责的主管人员和其他直接责任人员依法追究法律责任;- 根据《人类遗传资源管理条例》,涉及人类遗传资源的,处50万元以上500万元以下罚款,违法所得在100万元以上的,处违法所得5倍以上10倍以下罚款。 | GDPR规定对违法企业最高可处以2000万欧元或其全球营业额的4%,以高者为准。但事实上根据情节严重性,罚金会更高。【例:2019年谷歌被开出5000万欧元罚单】 |
| 10 | 有/无统一平台管理医疗大数据 | 无 | - 欧盟:无- 英国:英国国民医疗服务系统 |
相关案例
1) 2019年,谷歌被法国开出5000万欧元罚单。2018年5月,两家欧洲非营利性隐私和数字权利组织向法国国家信息与自由委员会投诉称谷歌在处理个人用户数据方面采用了“强制同意”政策,其收集的数据包含大量用户个人信息,且这些信息在用户不知情的情况下被用于商业广告用途。经过专门小组调查并依据《通用数据保护条例》的相关规定,确认谷歌在处理个人用户数据时存在缺乏透明度、用户获知信息不便、广告订制缺乏有效的自愿原则等问题,因此开出5000万欧元罚单。[12]
2) 2019年7月11日,英国航空和万豪集团被英国信息委员会办公室(ICO)分别开出2.3亿和1.23亿美元的罚单。2018年6月至9月,英航泄露了50万用户的隐私,而万豪集团则在2018年11月泄露了3.4亿条酒店住店记录。[13]
五、分析及建议
根据以上对比可知,中国法律在医疗数据方面与相对较为健全的欧美法律之间仍有较大差距。宏观来讲,虽然三方在信息安全相关基本原则方面十分相似,但欧美相关法律系统性强、涵盖面广且十分具体,而中国相关法律分布零散且规定较为笼统。例如,信息所属权不清晰。根据中国相关法律法规,医疗机构具有妥善保管患者医疗信息(如病历)的责任,患者仅被赋予病历资料的查阅和复制权,但并未明确阐释患者个人健康医疗信息的归属权。而在欧洲,GDPR明确规定健康医疗信息是完全属于用户,而非数据控制者的。这就导致我国患者在需要得到或使用自己的个人信息时无法顺利发挥自己的权利。例如金至宝与江苏省人民医院医疗服务合同纠纷一案,原告要求江苏省人民医院返还其住院期间产生的15项检查报告原件,经过二审却最终被驳回诉讼请求。因此,建议法律中明确阐释健康医疗信息归属权。
与中国类似,根据美国联邦和州的法律,患者拥有与其健康信息相关的合法隐私权,安全性和准确性权利,但一旦通过医疗健康服务提供者的媒体以书面或电子形式获取、记录和存储了该信息,则医疗健康服务提供者将获得该信息的所有权和保障权,成为患者信息的法律保管人,并被赋予与该医疗记录有关的特定法律权利和义务。
其次,除英国外,中国、美国、欧盟均暂无统一平台管理储存医疗大数据,其原因可能是因为医疗数据信息量大、错综复杂、变更快的特点不易收集管理。还有,目前中国尚无如美国的OCR、欧盟的EDPB/EDPS、英国的ICO一样针对数据保护的统一监管部门,且惩处力度显著低于西方国家,换言之,可能因为处罚力度太轻以致不足以威慑潜在违法者,未来医疗数据保护的效力和落实效果令人担忧。因此,基于以上分析并考虑到该行业的可持续发展,建议如下:
1.研究借鉴海外相关成熟经验,制定试行医疗数据保护及运用法律规范;
2.在法律规范中明确阐释健康医疗信息归属权;
3.加大违反相关法律的惩罚力度;
4.医疗数据政策及技术普及:通过成立监察普及小组和医疗大数据法律服务小组不定期去各地巡访和培训【如,如何运营、管理、维护数据库,如何合理合法共享数据,普及数据共享利用的理念和益处等】;
5.建立国家级和地方级医疗大数据处理机构部署【如:英国的ICO、美国的OCR】负责处理落实不到位、侵权等事务;
6.在医疗领域的重要组织和企业内部设立数据保护官,负责贯彻落实相关法律法规并推动数据共享工作;
7.通过特殊培育项目,培养跨专业技术型人才建设医疗数据相关系统创新和开发【如,医学-计算机、医学-工程学、医学-数学等医理人才】
83在医疗大数据法律法规建设之初,考虑设立奖励机制和策略以达到促进多方献策、法规落实、促进数据共享等目的【如,鼓励医疗大数据相关研究课题、创立数据共享优秀先锋等荣誉、前几年奖励落实优秀的主体,几年后再由奖励机制变为惩罚机制(可参考美国HIPAA的策略转变)】
六、结语及展望
中国在医疗大数据管理及法律层面起步晚于西方国家,但随着互联网的崛起,我国医疗大数据的电子化、开放和共享必将迅速发展。然而,良好的发展需要伴随完善的司法保护体制,否则会出现落实不到位、共享动力不足等问题。综上所述,我国已意识到此领域法律的重要性并且在不断的进行完善。通过与欧美的相关对比,许多问题诸如惩罚力度不够、相关法律规定笼统模糊且架构松散、无统一管理部门等也浮出水面。目前医疗大数据保护现状有很多不完善之处,因此,探讨相关议题,助推医疗数据领域有序、健康发展是时代赋予我们中国律师的历史使命。
◎引用:
[1] https://36kr.com/p/1725389832193
[2]https://baike.baidu.com/item/%E4%BA%BA%E7%B1%BB%E9%81%97%E4%BC%A0%E8%B5%84%E6%BA%90%E7%AE%A1%E7%90%86%E6%9A%82%E8%A1%8C%E5%8A%9E%E6%B3%95
[3]http://www.gov.cn/zhengce/content/2016-06/24/content_5085091.htm
[4] https://www.dx2025.com/wp-content/uploads/2019/11/eu-think-tank-2019-china-medical-big-data-research-report.pdf
[5] https://36kr.com/p/676303112844290
[6]约翰•霍普金斯医院1.9亿美元赔偿病患https://share.america.gov/zh-hans/johns_hopkins/
[7] Anthem:https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/agreements/anthem/index.html
[8]安全合规/GDPR--20--研究:GDPR的立法背景、要点概述、执法行动及评估https://blog.csdn.net/wutianxu123/article/details/93044780
[9]安全合规/GDPR--20--研究:GDPR的立法背景、要点概述、执法行动及评估https://blog.csdn.net/wutianxu123/article/details/93044780
[10]安全合规/GDPR--20--研究:GDPR的立法背景、要点概述、执法行动及评估https://blog.csdn.net/wutianxu123/article/details/93044780
[11]主要发达国家医疗健康大数据政策分析【2015 pdf】
[12]法国对谷歌开出5000万欧元罚单http://www.xinhuanet.com/world/2019-01/22/c_1124025321.htm
[13]欧盟GDPR将对万豪、英国航空收取上亿美元罚款https://www.sohu.com/a/326188644_114837?_f=index_chan08tech_dignews_5
[14]《中华人民共和国人类遗传资源管理条例》http://www.gov.cn/zhengce/content/2019-06/10/content_5398829.htm
[15]中国首部基本医疗法进入四审:医疗信息泄露处罚力度将加强https://med.sina.com/article_detail_103_1_75940.html
[16]个人健康医疗数据隐私安全法律法规研究https://www.medsci.cn/article/show_article.do?id=dc7715082404
[17]中国健康数据立法保护现状评析(上)-大成律师事务所http://www.ailab.cn/html/551338.html?origurl=yes
[18]「名人系列9」从李咏的案例再谈美国病人隐私保护HIPAA http://zgjkzxw.cndns.mobi/contents.asp?id=6011
[19]医疗大数据的网络安全与隐私保护简析-周洋 2017-10-26
[20]《WhoReallyOwnsYourHealthData?》
https://www.forbes.com/sites/forbestechcouncil/2018/04/23/who-really-owns-your-health-data/#3a2e57686d62
