健康医疗数据治理体系建构的困境及对策

2023-02-14屈佳

医学与社会 2023年12期

屈佳

浙江大学光华法学院，浙江杭州，310008

健康医疗数据是指个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的与健康医疗相关的电子数据[1]。“智慧医疗”为人们带来了全新的健康保障体验,也使网络上流通的健康医疗数据数量急剧上升。海量健康医疗数据在为人类社会谋求更多福祉的同时,也导致了诸如数据泄漏、网络勒索、侵犯公民隐私和扰乱社会秩序等问题。从Greenbone Networks轻松获取数千个在线医疗系统内2400多万份不同国家的患者数据,到近年来国内医院内网数据库频频被入侵,健康信息数字化时代的数据处理与安全保障成为全球普遍关注的热点问题[2]。

现有研究主要从技术与制度两个层面出发。①探索开发与利用健康医疗数据(包括捕获、管理与处理数据)的科学方法。技术创新与应用研究在审视技术发展基础之上推进技术革新,利用PAC-GRA-BK算法、浏览器/服务器架构设计或基于样本数据驱动优化临床疗效等方法来提升数据资源管理效率和医疗服务质量[3]。②研究主要从卫生事业管理或医学伦理的视角展开,旨在明确健康医疗数据的含义、结构化数据元素的路径、数据使用的道德准则以及评估数据质量的统一标准[4]。只有少量研究注意到了治理过程中出现的法律问题,包括隐私权保护、数据主体控制权、个人信息保护以及数据跨境流动规则发展方向等[5]。鲜有研究系统性地思考如何推动体系的完善,导致健康医疗数据治理体系发展的逻辑思路不清晰。例如,有研究分析了数据的权利内容,却没有明确数据属性与权利主体[6]。数据属性是一个数据字段,代表一个数据对象的特征或功能[7]。数据权利主体是指个人数据保护法中规定的数据主体,也是数据的来源主体,即一般自然人[8]。

本研究将在详细分析健康医疗数据实践与理论发展现状的前提下,对当前数据治理体系建构过程中面临的一系列重要问题进行整体性思考,以为如何建构治理体系提出具有针对性的建议。

1 健康医疗数据治理的现状分析

1.1 健康医疗数据治理的实践发展状况

国务院于2016年发布的《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》中提到要使健康医疗数据的开发利用迈入规范化阶段。国家卫生健康委于2018年颁布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》对数据安全监管作出了详细规定,进一步提升了“AI+医疗”发展的规范性。除了推行治理健康医疗数据的专门性行政法规和部门规章,我国相继发布的《中华人民共和国网络安全法》《中华人民共和国数据安全法》(以下简称《数据安全法》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),建立了个人健康医疗数据保护、数据分类分级与安全合规评估等制度,完善了医疗健康行业配套规则体系。在此基础上,国家市场监督管理总局于2021年制定的《信息安全技术-健康医疗数据安全指南》(以下简称“国家标准GB/T 39725”)将健康医疗数据安全保障标准具体化,指导行业开展数据管理能力成熟度评估工作体系建构,增强数据质量和机构的数据管控能力。在国际上,健康医疗数据的开发利用与保护问题受到各国政府、研究机构乃至社会的广泛关注。欧盟委员会于2022年发布了《欧洲健康数据空间条例(提案)》。该提案旨在全面完善治理体系并建立起特定的数据共享框架,标志着欧盟健康医疗数据治理体系建构正式进入3.0阶段。在致力于促进医疗信息化行业发展的美国,自1996年起,卫生与人类服务部持续完善的《健康保险可移植性和责任法》(Health Insurance Portability and Accountability Act,HIPAA)明确规定了个人健康医疗数据的权利和医疗保健服务提供者的义务,从而建立了相对完善的数据安全保障体系。

然而,存储大量数据的医院、公共机构与医疗保健服务供应商始终是全球黑客们反复攻击的对象,形成了健康医疗数据安全保障的外部风险。此外,健康医疗数据安全保障的内部风险也不容忽视。2023年3月,我国最高人民检察院发布了一批个人信息保护公益诉讼的典型案例,其中一例涉及医疗机构违规泄露患者健康信息[9]。另一项回顾2009-2017年美国健康医疗数据泄漏事故的研究显示,将数据放入个人账号、随意共享加密数据、将数据发送给错误的人或未经授权即访问等内部工作人员的不当操作行为是引发数据外泄的主要原因[10]。健康医疗数据安全保障中存在的内外部风险威胁着数据的保密性、完整性与可用性,要求数据治理体系提供解决方案。我国健康医疗数据治理体系虽初具雏形,但尚缺乏独立完整的体系设计,并未制定对数据收集、处理、监管以及流通等各个环节作出整体设计的专门性法律。总的来说,健康医疗数据治理进入发展期,有必要针对实践中出现的新问题完善相关制度。主要包括以下问题:应对外部风险时,个人对健康医疗数据享有的权益边界;如何强化对数据处理的监督以降低数据安全保障的内部风险;如何通过化解健康医疗数据安全保护与数据开放共享之间的矛盾打通数据流通壁垒。结合现实风险与规范现状,拟从梳理相关理论入手,以奠定深入分析上述问题及其成因的基础。

1.2 健康医疗数据治理的理论发展情况

1.2.1 引导治理方向的原则。19世纪80年代,经济合作与发展组织(Organisation for Economic Co-operation and Development,OECD)在《关于保护隐私和个人数据跨国流通指导原则》中提出了关于个人数据保护必须遵循的八大原则,包括公开原则、个人参与原则、责任原则、使用限制原则、数据质量原则、收集限制原则、目的明确原则与安全保障原则。八大原则不仅是制定数据治理与信息保护法的国际标准,还是各国制定健康医疗数据治理的基础[10]。例如,芬兰社会事务与卫生部于2012年颁发的《生物银行法》第二章第五条第一款依据数据收集限制原则,要求生物银行应当确保收集的样本和信息与研究之间具有相关性。此外,2013年美国卫生与人类服务办公室发布了名为《协调性照顾和个人参与的障碍消除建议(2020)》的草案,以保障患者的隐私信息自主权。在OECD发布的《健康医疗数据治理》报告(Health Data Governance,HDG)中八大数据处理的基本原则同样占据重要地位。2016年国务院发布的《关于促进和规范健康医疗大数据应用发展的指导意见》也提出了3项健康医疗数据应用应当坚持的原则:以人为本、驱动创新;规范有序、安全可控;开放融合、共建共享。这3项原则虽不够细致,却基本概括了OECD八大原则的主要内容。

1.2.2 基于数据特点建构的理论。为解决数据利用与数据保护冲突问题提供理论,几种代表性理论包括数据主权论、数据自由论、数据分级分类保护论和场景化理论。以上理论主张对现有健康医疗数据治理体系下行动方案的完善产生了积极影响[10]。健康医疗数据应用研究领域也涌现出了各种理论,包括数据生命周期论、区域医疗中心资源整合论。

健康医疗数据具有4个重要特点。①相较于其他类型的数据,健康医疗数据更具商业价值;据国际商业机器公司发布的《2022年数据泄漏成本分析报告》显示,医疗保健行业连续12年成为平均数据泄漏成本最高的行业;高昂的数据泄漏成本意味着健康医疗数据的安全保护价值极高。②健康医疗数据详细记录了个人从出生至死亡全生命周期的健康情况,有很强的人身属性。③健康医疗服务远程化增强了健康医疗数据抓取的实时性[11],并且,小型可穿戴的物联网设备每日监测使用者的健康状况生成了大量动态个人信息[2]。④健康医疗数据具有多样性,其中包括生物识别数据(如指纹、虹膜、人脸识别等)、人类生物样本(如血液、唾液、组织等)、遗传数据(如基因组、遗传突变等)与患者产生型健康医疗数据等[4]。以上特点决定了健康医疗数据具有对个人法益影响最大且易被不法分子侵袭的特征。

数据来源于不同地区和机构,为了协调数据多样性与数据管控一致性之间的矛盾,在规范层面上管理数据要素并建立要素代码集至关重要。我国健康医疗数据资源具有体量大的天然优势,但碎片化存储方式导致产业体系化程度低,无法充分释放数据要素价值[5]。Silva和Wittes在1999年临床试验中使用病例报告表时开发了通用数据元素,该元素的应用可以提高不同系统之间的互操作性、数据收集效率、数据收集质量与数据使用收益[12]。2021年,欧洲健康数据空间发布的《健康医疗数据治理何以特殊》报告(Why Health is a Special Case for Data Governance)指明了有关欧洲数据再利用需要考虑的八大健康医疗数据要素,尝试为通用数据元素的使用提供参考。

超越数据主权论与数据自由论之间的分歧,数据相对自由论旨在寻求数据安全保护与数据价值挖掘之间的平衡。美国和欧洲分别代表的“数据自由论”与“数据主权论”构成了跨境数据流通管理的两大基本价值立场[13]。事实证明,坚持绝对自由主义会形成“数据霸权”“数字剥削”“数据垄断”,而相对自由主义利于推动健康医疗数据产业的健康发展。在“网络自由”“全球公域”原则的要求下,健康医疗数据需要自由流动。还有研究指出个人数据权是协调权利人与他人意志冲突的工具,本质上仍为“自由权”[14]。作为稀缺性资源,数据无法归类为公共物品,确实具有公共属性。健康医疗数据的公共属性尤为突出,医学研究、诊疗与公共卫生服务都以数据作为支撑。相对自由意味着个人不享有绝对的健康医疗数据控制权[15]。

2 健康医疗数据治理体系建构的困境

2.1 数据属性与权利主体不明

经济合作与发展组织认为数据的共享与使用利好于公共利益而不是个人或患者利益[15]。高价值的健康医疗数据开发利用带来的好处包括:观察具有不同背景和特征的患者群对现有疗法的反应,快速找到最佳疗法;与基因组信息结合,发现更显著的治疗效果差异;提高医疗保健服务质量,更好地满足个人的健康保障需求;提高医疗卫生系统的运行效率,合理化医疗资源分配,产生积极的经济和社会效益[12]。然而,数据使用不当可能导致数据泄漏与数据滥用,带来的风险如下:侵犯个人隐私和个人数据权益;在购买人身保险或求职时,个人可能遭受歧视或错误的差别对待;承受病史泄漏带来的心理压力以及压力引发的不利后果;个人的社会评价明显降低,名誉受损;医疗机构和政府的公信力降低,对我国社会的和谐与稳定造成危害[10]。在数据使用过程中,健康医疗数据主体承担了较大的数据应用风险,获得了较少的数据应用好处。对此,有研究在总结各国应对公共卫生事件经验的基础上指出,应当确立优先保障公共利益的健康医疗数据应用原则[16]。有研究指出有必要改变《个人信息保护法》呈现出的单向保护个人权利的倾向,因为健康医疗数据的应用保护了公共利益进而使个人受惠[17]。但是,在坚持个人权利优先的美国哲学家Frances Kamm看来,为了拯救很多人的生命而允许僭越一个人的权利,善就不会存在[18]。以上研究都是从利益衡量的视角展开,坚持公共利益优先论的学者赞成保障公共利益而豁免数据处理主体获取患者同意的义务。主张个人权利优先论的学者却坚决反对未经个人同意而处理个人健康数据的行为[15]。在健康医疗数据治理体系建构过程中,优先保障个人权利还是社会利益?两派争论不下。

国外一些研究从判断数据权利主体的视角切入,进行健康医疗数据确权[12,15]。健康医疗数据是私人所有还是公共所有?同样形成了两种观点。有学者希望健康医疗数据私有化,保障个人拥有健康医疗数据的所有权[19]。个人实际上是数据的生产者、控制者。私有化后市场在健康医疗数据流通过程中占据主导地位。数据收集者在向个人付费后取得数据使用权,个人可以在数据流通过程中获得实际收益[15]。私有化赋予了个人更大的权利自由,个人享有同意撤回权和数据删除权。这两项权利又被称为被遗忘权,是数据主体可以要求数据控制者(如搜索引擎)更新、删除个人数据的权利[20]。支持健康医疗数据公有化的学者认为政府或机构拥有健康医疗数据的某些要素或权利[21]。另外,私有化会导致健康医疗数据完全掌握在市场少部分人手中,形成数据垄断。数据由少数大型科技公司掌控,真正的数据生产者在中心化的网络结构下沦为被“数据剥削”的对象[19]。即使欧洲建立了全球最严密的数据治理体系,也面临着对大型科技公司执法不力的问题,而现行关于数据属性和数据权利归属的法律法规并不多。国务院2022年发布的《关于构建数据基础制度更好发挥数据要素作用的意见》提出了建立公共数据、企业数据与个人数据的分类确权授权制度的要求,却没有说明具体的分类、确权和授权方法。再结合上述学术界的争论,可以得出结论:确认健康医疗数据的属性以及个人是否是健康医疗数据权利的享有者,这些都是亟待解决的问题。

2.2 对数据处理者的监管不严

欧盟数据保护委员会2020年通过了《GDPR下数据控制者及数据处理者概念的指南》,认为在数据处理过程中存在控制者、共同控制者和处理者等多方主体参与的情况。控制者与处理者之间最大的区别在于处理者独立于控制者,并享有一定程度的自主决策权。根据欧盟的做法,有研究将数据主体划分为数据来源者(数据元发者)、数据处理者(服务提供者)和数据控制者[22]。然而,依据《个人信息保护法》第四条规定,“处理”一词已经包含了“控制”的含义,因此数据控制者也被称为数据处理者。健康医疗数据处理者是指对复杂数据进行采集、预处理、存储、管理、挖掘、分析、展示与应用的自然人、法人和其他组织,在助推数字医疗与大健康产业发展方面发挥着重要作用[18]。《个人信息保护法》对“处理”一词作最广义的理解,使得该术语涵盖了多种开发与利用数据的手段,导致分析健康医疗数据处理者受监管情况的必要性显著提升。另外,健康医疗领域是一个重要的数据处理场景,健康医疗数据处理者是重要的数据处理参与者,其数据处理行为的受管控程度也应当加强[20]。

目前,限制健康医疗数据处理者的主要方法是明确数据处理各个环节的边界、责任主体和具体要求,进一步规范其合规义务[18]。例如,国家卫生健康委2019年发布的《关于落实卫生健康行业网络信息与数据安全责任的通知》以及国家互联网信息办公室2021年发布的《网络数据安全管理条例(征求意见稿)》都要求数据处理者由消极防御转向积极预防。再如,国家互联网信息办公室2022年发布的《数据出境安全评估办法》明确了向境外提供数据的数据处理者需承担的报告义务、风险自评估义务以及数据安全保护责任义务。此外,国家卫生健康委还结合医疗行业的发展状况和数据特征,发布了多项部门规章,通过绩效考核的方法对健康医疗数据处理者的监管提出了更科学化和精细化的要求。国家卫生健康委2019年发布的《全国基层医疗卫生机构信息化建设标准与规范(试行)》确立了与信息安全相关的1项一级指标、10项二级指标和38项三级指标,并将各项指标与医院级别挂钩。国家卫生健康委2022年发布的《公立医院高质量发展评价指标(试行)操作手册》将数据应用与管理水平分为八级,并作为智慧医院建设成效的定量指标之一。对健康医疗数据处理者可以采取的主要监管手段包括数据责任清单制、定期绩效考核制和行业自律[23]。法律责任机制是一种很好的事后监管和权利救济手段,能够发挥法律的威慑作用,但对于不当处理健康医疗数据的行为不能作出快速反应[24]。考虑到健康医疗数据处理不当的高危害性与伤害的难修复性,有必要加强对健康医疗数据处理者的事前、事中和事后全链条监管。我国健康医疗数据处理者监管规范体系还存在监管范围过窄的问题。部门规章通常只适用于提供诊疗服务的机构,却不适用于收集了大量个人健康数据的科技公司或研发型企业[25]。相关法律法规也仅规定了针对医疗机构及其医务人员故意泄漏数据的后果,例如《中华人民共和国民法典》第一千二百二十六条。健康医疗数据安全保障的外部风险防控主要依赖于技术提升,而内部风险防控更依赖于制度保障[26]。相关法律法规必须建立更健全的健康医疗数据处理者监管制度,以科学防控内外部风险,保障数据安全。

2.3 境内外数据要素流通受阻

根据全国信标委大数据标准工作组发布的《数据要素流通标准化白皮书》(2022版),数据要素是指为使用者或所有者带来经济效益、以电子方式记录的数据资源。数据要素流通是实现数据分析和数据价值的前提。OECD于2015年发布的《解决老阿尔茨海默病》(Addressing Dementia)报告指出,当基础医学研究提供帮助的数据、提升医疗服务质量的数据、管理健康系统的行政数据以及公共健康数据与其他数据链接时,健康医疗数据的价值将成倍增长[24]。然而,由于技术依赖、保护和激励不足等原因,部分政府部门、医疗机构和私营企业不进行数据共享,导致信息孤岛现象加剧[27]。

2.3.1 数据实际持有者往往不敢、不愿共享数据。由于数据泄漏和数据再识别风险的存在,不同地区、公共机构之间以及公共机构与私营主体之间缺乏充分信任。当前,没有办法完全去除健康医疗数据的标识信息,通过与其他数据进行交叉比对以及大数据画像技术,可能会对个人医疗隐私造成严重的侵害[6]。虽然数据在传输过程中会充分暴露,但为了保护数据而限制其流通这种因噎废食的行为不能被肯定。在成熟的技术保障体系和完善的法治框架内,数据保护与数据共享的冲突问题迎刃而解。技术为健康医疗数据共享创造了安全的外部环境,构建起科学、有序的数据共享方案,实现安全基础上的数据共享[19]。

2.3.2 健康医疗数据共享面临机构间障碍、区际障碍与法律障碍。由于数据申请人和数据所在地区、国家可能不允许共享某些核心数据或提出了较为严苛的数据共享法律要求,健康医疗数据共享项目的审批周期通常很长,且批准可能性不大。例如,瑞士、芬兰和丹麦等国家的法律禁止统计局和其他政府机构共享可识别的数据[23-24]。此外,根据《数据安全法》第三十八条,国家机关对个人隐私和个人信息等数据应当依法予以保密,不得泄漏或非法向他人提供。在规范层面上,涉及个人权益的健康医疗数据能否在政府部门、医疗机构、科研机构和医药企业之间共享,目前尚无定论[27]。

2.3.3 数据的标准化与融合困难。健康医疗数据来自世界各地的不同机构,而这些机构的数据格式和记录方式各不相同。我国全民健康信息平台的标准化建设正在积极推进,医疗机构被要求执行国家卫生健康委制定的信息化建设标准。然而,由于国际尚未形成统一标准,健康医疗数据跨境共享仍然存在阻碍[25]。

3 优化健康医疗数据治理体系建构的对策

3.1 明确数据属性与权利主体

数据治理体系建构过程中,需要对诸如自由、平等、正义与民主等价值进行取舍[27]。权衡过程中,僵化的价值位阶理论提出了一种相对简单的冲突解决方案,将价值按照重要程度进行排序并作为一种具有普适性的依据,优先级较高的基本权利应当得到优先保障[25]。相对的价值位阶理论认为价值排序不存在稳定性,需根据个案具体情况进行价值衡量[26]。既不能说某项价值一定胜过其他价值,也不能说两项价值具有相同的重量。需要结合具体情况来考虑哪项更重要,而不是将注意力完全集中在抽象层面的价值优先级争论上[27]。例如,不使用健康医疗数据会严重威胁公共卫生安全。此时,社会群体保障公共利益的需求是如此强烈,法律可以豁免公共机构在特定时期内获取个人同意的义务[24]。再如,私营企业使用个人健康数据进行科学研究以牟取企业利益。虽然企业的行为可能促进医学进步,但在这种情况下公共利益不是必须被维持[15]。法律需要优先保障个人权利,并要求私营企业在处理个人健康数据之前获得个人同意。

公共利益与个人利益并不总是对立关系。开发与利用健康医疗数据通常不仅保障了公共卫生利益,还保障了个人生命安全[28]。在COVID-19防控期间,社会群体成员会批评违反常态化健康信息收集与监测规则的行为,因为违规行为会将个人与整个社会群体置于危险地带。另外,在为公民提供充足医疗保障的国家,每个人都会从医学研究的进步中获利。基于团结与互惠的正义要求,公民如果享受了科学进步的成果,那么他也有义务通过提供个人健康数据为科学研究的进一步发展作出贡献[27]。因此,基于保障公共利益的需要,相关法律法规应当确定健康医疗数据具有公共属性。另外,考虑到健康医疗数据使用过程中公共利益与个人利益的高度一致性以及数据相对自由论的要求,法律不应当赋予个人绝对的健康医疗数据控制权[24]。但是,这不意味着个人作为健康医疗数据的生产者,不享有其他数据相关的权利,如知情权、访问权以及被遗忘权等。法律法规的制定需要谨慎地平衡来自不同数据利益相关者的合法主张,并根据变化的技术和环境不断调整。数据的积极利用主义者也必须采取一些措施来尽可能实现公益与私益的最大化,包括建立健康医疗数据访问委员会或严格化健康医疗数据访问程序;承认健康医疗数据的产权属性,由私营企业向推动卫生事业发展的数据主体提供经济补贴;限制“知情—同意”豁免原则的使用场景,允许非营利性公益机构与其他组织以概括式同意的方式获取个人健康数据使用权[19]。

3.2 建立全程监管数据处理者机制

数据处理者在数据处理的每一个环节都应该受到监管,内部监管需要多学科人员共同参与,外部监管更应强调“全程”和“开放”。

3.2.1 内部监管。尽管上下级监管、机构间相互监督与绩效考核等监管手段在保障健康医疗数据处理安全方面发挥着重要作用,但由于不同地区和层级机构之间信息不对称的问题,相对单一的监管方式往往受监管信息壁垒的限制[15]。因此,需要建立一个一站式、动态的、跨学科人员参与的监管机制,以便于规范数据处理者和项目审批人的行为。①实施一站式监管需要法律推行健康医疗数据的集中化管理政策。这种做法已经在全球许多国家得到了广泛应用。即使在没有推行数据中心化政策的国家,也建立了由统一的公共机构管理的数据库。例如,冰岛已经建成了全国性的健康医疗数据仓库[28]。②动态监管需要允许第三方机构参与监管,以打破单向的、静态的监管模式。建立专门的隐私监管机构,扩大监管范围,保证个人隐私的安全。在健康医疗数据监管体系之下还能再设置研究伦理委员会、数据保管人与数据保护监管机构等职位与机构[23]。在健康医疗科学研究项目的审批方面,可以由以上人员或机构层层把关。在数据获取与使用方面,安全港(Health Related Safe Havens)与远程数据访问管理系统提供数据链接服务,并向获批的项目成员提供数据访问机会[29]。第三方机构监管在降低成本之余还可以消弭上下级监管带来的巨大信息差,形成“相互制约、共同治理”的局面。最后,法律专家、信息技术专家、统计专家、患者和研究员等人员组成的多学科小组参与监管的决定,增强了社会力量对数据处理者的监督,发挥出不同专业背景人才的作用[27]。

3.2.2 外部监管。增加数据处理的透明度不仅可以保障公民的知情权,也便于公民行使监督权。虽然健康医疗数据承载的内容具有私密性,但是有关数据的处理决定却不涉密,可以公开[12]。荷兰、英国、西班牙、韩国、芬兰以及瑞典等国家都建立了一个整体的政府战略来提高健康医疗数据处理系统的开放性和透明度[30]。这些国家还建立了与健康医疗数据处理活动有关的网站,并向公众开放。公民可以通过访问这些网站来了解数据集的负责人、研究项目的审批进程以及数据使用的具体情况。

3.3 构建安全有序的数据共享环境

健康医疗数据共享为科研发展带来了新机会,数据红利满足了人民日益增长的健康需求。甚至,公众反对严重阻碍健康医疗数据流通的法律[28-29]。例如,1998年美国缅因州出台了一项隐私保护法案,规定个人或机构在使用个人健康数据之前必须获得本人书面同意。并且,传输健康医疗数据必须再次获得本人书面同意[31]。这项法案引发了公众的强烈不满。公众虽然希望保护个人健康数据安全、知晓数据动向,但更期待政府可以建成更高质量的医疗保健系统。在公众看来,相较于知情权、数据所有权等权益,个人生命安全显然更具有重要性。因此,法律不能以保障数据安全为由对健康医疗数据共享设置诸多限制。打破数据流通阻碍,坚持开放共享,是健康医疗数据治理体系建构的基本原则。建成安全有序的数据共享环境则是破除数据要素流通壁垒和支持关键数据集链接的基本要求。

常见的流通数据为不可识别的微观健康医疗数据。但是,数据去标识化也不可能消灭数据再识别的风险。流通中的去识别数据仍然承载了足够详细的信息,若与其他可识别数据集或间接识别符链接,这些健康医疗数据仍然可以与现实生活中的具体个人联系起来。例如,美国的Sweeney教授就曾通过生日、性别与邮政编码等识别符准确识别了马塞诸塞州87%的选民,甚至获取了时任州长的健康记录[32]。在构建数据共享机制时,不能完全依赖于去识别或匿名化处理技术。国家标准GB/T 39725第六条第二款规定个人信息控制者在收集信息后宜立即进行去标识化处理,但该规定仅提供了针对数据处理环节之一在技术运用方面的建议。因此,还需要为数据脱敏、数据加密、去识别化以及匿名化等技术的运用提供更详细的指引。

至于可识别的健康医疗数据,HIPAA允许除私营企业之外的机构为了研究或统计目的再利用或共享它们。治理体系有必要在确立健康医疗数据“可识别性”标准的前提下明确可识别健康医疗数据的共享目的、共享范围和限制条件。另外,为了促进科学研究进步,保障数据安全与个人权益,也可以采取如下措施[31]。①设置数据集保管人,全程管控数据流通,保障数据共享的安全性和可靠性。②经过多机构、多程序审批,确定数据共享的必要性,并进行伦理审查。③进行数据安全控制,评估数据传输风险,签订数据使用协议,考察数据传输方、接收方与传输方式的安全性。换言之,必须确认数据接收方是否具有足够的能力来保持数据的机密性,这是相关机构是否批准数据共享所需考量的关键因素。④维持信任,防止因信任缺失阻碍数据共享。科学的共享机制可以维持信任,采取有效的个人激励、透明化健康医疗数据治理体系以及增强信息保护等措施才能够实现配享信任。⑤基于具体化的健康医疗数据基础要素,通过改进数据标准化和加快建设全民健康信息基础设施标准化的方法,提升不同医疗卫生系统之间的互操作性。⑥打破数据共享的机构间壁垒、区域壁垒和法律壁垒。根据欧洲议会和理事会2022年通过的《数据治理法》,为了支持医药企业开展针对性研发,欧盟将通过立法促进医疗机构共享经过匿名化处理的患者数据。对中小企业而言,这项政策可大幅减轻其数据采集负担。坚持开放数据共享政策,并建立起公共机构与私营企业之间、地区之间与国家之间的数据安全共享机制,是健康医疗数据治理体系发展的必然趋势。此外,依据HDG,欧洲、以色列和新西兰等自2015年起就在考虑同意来自本国以外的健康医疗数据访问申请,但前提是该国家的隐私立法提供了与本国相当的保护。鉴于此,我国有必要不断严格化隐私与数据保护政策,向健康医疗数据保护的国际标准靠拢。