引言
随着云计算、物联网技术的持续发展,互联网日益加深对医疗健康产业的渗透乃至重塑。在此契机下,医院的信息化建设得到有效推进,移动医疗产业也呈现出迅猛发展的势头。互联网技术与医疗健康产业的日益融合,空前扩大了医疗数据的规模,于是越来越多的企业开始关注并积极探索健康医疗大数据的深度挖据和应用。
在此背景下,2016年10月25日中共中央、国务院印发了《“健康中国2030”规划纲要》。“健康中国2030”是我国未来15年推进健康中国建设的行动纲要,其中特别强调发展健康产业和医疗大数据、培育健康医疗大数据应用新业态。由此可见,在国家政策的引导和激励下,医疗大数据有潜力成为未来健康医疗产业发展新的增长极。但与此同时,纲要也明确指出,需加强健康医疗大数据相关法规和标准体系建设。
目前,健康医疗大数据领域的法律法规存在明显的滞后性,因缺乏全面、细致、明确的指引和规则,健康医疗大数据的发展受到严重制约。虽然很多民营企业和外资企业都已迫不及待投身该领域并希望进行深耕布局,但受制于市场准入和产业政策的不确定性,目前尚在摸着石头过河,市场热情和活力并未得到充分、有效的释放。
本文旨在对健康医疗大数据领域可能涉及到的相关政策和法律问题进行了简要梳理和探究,供业界人士参考、拍砖。
1、健康医疗大数据的概念
“大数据”与“云计算”、“物联网”一样,均是近些年来伴随着新一轮产业革命的深入发展而涌现出来的新名词。根据2015年8月国务院《促进大数据发展行动纲要的通知》,“大数据”是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合。“健康医疗大数据”无非是“大数据”下属的一个分支,专注于“健康医疗数据”的集成和应用。
国家卫计委2014年在《人口健康信息管理办法(试行)》对“人口健康信息”进行了定义:人口健康信息是指依据国家法律法规和工作职责,各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。参照前述“人口健康信息”的定义,“健康医疗数据”应该主要是指个人免疫、体检、门诊、住院等健康活动所产生的数据。不过,随着可穿戴设备等物联网智能产品的普及,广义上的“健康医疗数据”还可延伸至个人使用健康医疗移动应用而产生的数据。
2、健康医疗大数据的价值和国家宏观政策
健康医疗大数据是一种高附加值的信息资产,虽然个体健康医疗数据对于医疗技术革新的价值有限,但通过对海量、来源分散、格式多样的数据进行采集、存储、深度学习和开发,可以从中发现新知识、创造新价值、提升新能力,从而进一步反哺健康医疗服务产业。因此,健康医疗大数据的发展关乎国计民生,具有重大的战略性意义。
目前,国家已陆续出台关于扶持医疗大数据发展的相关政策,初步做好顶层设计并构建出医疗大数据发展的宏伟蓝图:
2014年国家卫计委制定“46312”工程,即建设国家级、省级、地级市、县级4级卫生信息平台,依托于电子健康档案和电子病历,支撑公共卫生、医疗服务、医疗保障、药品管理、计划生育、综合管理等6项业务应用,构建电子监控档案数据库、电子病历数据库、全员人口个案数据库3个数据库,建立一个安全的卫生网络,加强卫生标准体系和安全体系建设。
2015年,第十二届全国人民代表大会上李克强总理提出制定“互联网+”行动计划,“互联网+医疗行业”进一步推动互联网与传统医疗行业的融合。
2016年6月,国务院办公厅关于《促进和规范健康医疗大数据应用发展的指导意见》中指出,将推动健康医疗大数据资源共享开放。
2016年10月22日,为推进和规范健康医疗大数据的应用发展,福建省、江苏省及福州、厦门、南京、常州被确定为健康医疗大数据中心与产业园建设国家试点工程第一批试点省市。
2016年10月25日,中共中央、国务院印发了《“健康中国2030”规划纲要》,其中特别提到加强健康医疗大数据应用体系建设,推进基于区域人口健康信息平台的医疗健康大数据开放共享、深度挖掘和广泛应用。
3、发展健康医疗大数据面临的现实障碍
虽然在宏观政策层面国家对于发展健康医疗大数据是鼓励和扶持的,但是具体到政策落地和具体操作,尚有多项现实性难点和障碍需要攻克和破除,主要包括:
健康医疗大数据的共享和开放程度不高
医疗卫生机构无疑是采集和存储健康医疗大数据的主力军,而且相比较基于移动医疗应用所产生的数据,源自医疗卫生机构的数据特别是电子病历数据(EMR),具有更高的准确度和商业开发价值。但是在目前的医疗体制下,医疗卫生机构很难有动力去共享这些数据,医疗卫生机构和医疗卫生机构之间、医疗卫生机构和社会公众领域之间,均存在不同程度的数据壁垒。数据孤岛效应一方面造成了患者数据重复采集和医疗资源浪费,另一方面也阻碍了健康医疗大数据的系统性开发和建设。
随着医疗体制改革的深入和医院信息化程度的提升,院际之间的数据壁垒有望被进一步打破。国务院办公厅在《促进和规范健康医疗大数据应用发展的指导意见》中指出,建立跨部门密切配合、统一归口的健康医疗数据共享机制;《“健康中国2030”规划纲要》提到,要消除数据壁垒,建立跨部门跨领域密切配合、统一归口的健康医疗数据共享机制,实现公共卫生、计划生育、医疗服务、医疗保障、药品供应、综合管理等应用信息系统数据采集、集成共享和业务协同。
由此可见,未来在政府牵头和多部门协调配合下,健康医疗大数据的应用会得到系统性开发和建设,院内数据孤岛状况有望进一步改善甚至根本性破除。但是,未来该等医疗数据资源是否会向民营企业和外资企业开放以及可能开放的程度,目前尚未可知。另外,建设全国健康医疗数据资源集成和共享平台涉及多方监管部门和参与主体,实施起来存在较大难度,距离平台最终建设完成乃至进一步开发和利用可能还有很长一段路要走。在此期间,民营企业和外资企业可能只能通过开展双边合作的形式使医疗卫生机构共享数据资源,小心翼翼的探索健康医疗大数据的开发和应用。
健康医疗大数据领域的法律体系亟待完善
关于健康医疗数据的权属:目前的法律体系尚不能很好的解释和界定健康医疗数据的权属问题,特别是医疗数据的所有权,导致实践中存在健康医疗数据的所有权到底属于患者个人还是医院的争议。有观点认为,医院和患者均参与到医疗数据的形成,因此理论上健康医疗数据是属于大家的;还有观点认为,医疗数据的所有权在于患者个人、控制权在于医院、管理权在于政府,第三方机构需借助政府支持和医院配合方能对其进行商业化开发和利用。健康医疗数据权属的模糊性,一方面掣肘着健康医疗数据的授权使用,另一方面也给患者的个人信息权保护提出难题并埋下了隐患。
健康医疗大数据作为一种信息资产,在现行的法律框架下,如果医疗机构或经授权的第三方机构对数据进行了合法处理从而使其具有了智力成果或经济价值属性,那么该等数据可以在知识产权或商业秘密的框架下予以保护;对于医疗机构和移动医疗运营商采集的与个人医疗健康相关的原始信息和数据,主要还是属于个人信息和隐私的范畴,可从人身权维度进行保护。
关于个人数据的法律保护:目前围绕个人信息保护的立法正稳步开展并趋向完善:目前尚在审议中的《民法总则》草案有望将个人信息权从隐私权中独立出来,专门进行保护;随着公民个人信息权利意识的提高,立法机关可能会加快制定和出台个人信息保护单行法的进程;《网络安全法》三审稿已于今年10月公布,有望年底或明年出台。
值得注意的是,《网络安全法》二审稿第四十一条规定,“网络运营者不得泄露、篡改、毁损其收集的公民个人信息;未经被收集者同意,不得向他人提供公民个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。根据本条但书的规定,大数据应用必须对公民个人信息进行无法识别特定个人处理。换句话说,数据控制人只要能对合法收集的个人信息进行脱敏处理以达到无法识别个人且不能复原的程度,那么对该等数据的处理和使用可不受公民个人信息保护规则的制约。由此可见,立法者有意从制度设计层面为大数据的应用留下可行性空间,以取得个人信息保护和公众利益之间的平衡。
4、发展健康医疗大数据的法律合规性建议
虽然在宏观政策层面健康医疗大数据的发展是受引导和鼓励的,但由于法律的滞后性目前尚缺乏系统、细致的规则给与指引和规范。尽管如此,我们基于对行业实践的观察并结合当前的立法趋势,简要梳理总结了如下法律合规性建议以供参考:
规范健康医疗数据的采集活动:(1) 如是通过自身或关联公司开发的平台收集健康医疗数据,总体上须遵循合法、正当、必要的原则,并通过Privacy Policy或其他方式明示收集、使用信息的目的、方式和范围,且经被收集者同意; (2) 如是依赖医疗卫生机构共享医疗数据,则需设置患者数据保护防火墙,通过有效的脱敏措施,使收集到的数据无法识别特定个人且不能复原。
值得关注的是,欧盟于2016年4月通过了《一般数据保护条例》(General Data Protection Regulation),在这部堪称史上最严格的数据保护条例中,规定了个人数据处理的透明性(Transparency)、最少数据收集(Data Minimization)原则,并赋予数据主体随时撤销同意权(Right to Withdraw Consent)、被遗忘权(Right to Erasure)、可携带权(Right to Portability)等权利。
虽然目前中国法下尚未明确规定该些原则和创设该些权利,但是随着个人信息保护立法进程的深入推进和经济全球化进程的日益加深,相信中国会越来越多的借鉴和参照发达国家在个人信息立法方面的经验和水平,所以在此提示关注并建议合规标准较高的跨国企业可以考虑比照适用。
数据本地化存储及境外传输:在目前强调网络空间主权的形势下,须做到在中国本地化存储健康医疗大数据,并在无法肯定对外输出数据明显不构成危害国家安全、国计民生和公共利益的情况下,尽量避免向境外传输具有一定敏感度的健康医疗数据。
目前在法律层面,尚不存禁止向境外输出健康医疗大数据甚至是个人信息数据的规定。之前在制定《反恐怖主义法》时,草案曾试图要求电信和互联网服务提供者应当将相关设备和境内用户数据留存在境内的要求,但因争议较大,2015年12月27日正式颁布的版本中最终删除了该项规定。不过需要注意的是,目前公布的《网络安全法》二审稿中引入了“关键信息基础设施”的概念,并限制关键信息基础设施的运营者将在中国境内存储在运营中收集和产生的“公民个人信息”和“重要业务数据”传输至境外。如果健康医疗数据处理平台属于关键信息基础设施的范围,则向境外输出该平台上收集和存储的“公民个人信息”需经相应的安全评估方能实施,而且即便能通过技术手段可以做到数据不再具有“公民个人信息”的特征,但该类数据还是有可能落入“重要业务数据”的范畴,从而在向境外输出时将受到同样严格的限制。
在规章层面,国家卫计委在其颁布的《人口健康信息管理办法(试行)》明确禁止将人口健康信息存储在境外服务器上。但严格意义上说,该等限制应仅局限于人口健康信息,即各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息,应该不适用于基于健康医疗移动应用而采集到的一般个人健康信息和对人口健康信息进行脱敏处理后而产生的数据。
完善安全保护技术措施:健康医疗大数据平台运营商应采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的涉及公民个人信息发生数据泄露、毁损、丢失的情况。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。此外,数据安全保护措施还需达到相应标准。《网络安全法》二审稿规定国家将实行网络安全等级保护制度。网络运营者应当建立内部合规系统,根据不同的安全等级履行安全保护义务。
其实,建立安全等级保护制度并非是《网络安全法》首次提出的新要求,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委在2007年制定《信息安全等级保护管理办法》第七条将信息系统的安全保护等级分为五级,信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作;信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合该办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评,并履行相应备案手续。
在此基础之上,卫生部于2011年在《卫生行业信息安全等级保护工作的指导意见》的通知中指出,国家信息安全等级保护制度将信息安全保护等级分为五级:第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。重要卫生信息系统安全保护等级原则上不低于第三级。
鉴于健康医疗大数据平台处理数据的范围和在此基础之上的应用开发主要涉及或着眼于医疗卫生行业,建议参照卫生部在《卫生行业信息安全等级保护工作的指导意见》的相关规定和标准建立和落实相关数据安全等级保护制度。
健康医疗大数据领域的外资限制:目前政策层面尚不存在限制或禁止外资参与健康医疗大数据领域的直接规定。但如果采集和处理的数据涉及人类遗传资源,则按照《人类遗传资源管理暂行办法(1998)》以及《人类遗传资源采集、收集、买卖、出口、出境审批行政许可事项服务指南(2015)》,与外方或外商投资企业合作采集人类遗传资源或将其传输至境外需由科技部批准之后方能实施。
医疗健康大数据领域的外资限制还可能体现在健康医疗大数据平台的运行方式和具体的业务结构层面,例如跨国公司通过设立专业医疗机构方式布局健康医疗大数据领域,则会受到外商投资医疗机构的政策限制;如果跨国公司通过云平台、物联网平台或是基于区块链技术的BaaS平台采集和处理健康医疗大数据,可能还会涉及外商投资增值电信领域的限制;此外,跨国公司拟与医疗卫生机构就健康医疗大数据开展合作时,也可能遇到医疗卫生机构倾向和非外资方开展合作的隐性商业壁垒。
总而言之,从事健康医疗大数据开发和应用是否存在以及存在何种外资限制,目前尚不能一概而论,需在具体项目中综合所涉及的数据范围、数据平台的运作方式以及具体的业务结构进行分析和判断。