中國健康醫療數據政策法規現狀及域外立法模式借鑒*

張宇清

(湖北中醫藥大學衛生健康與中醫藥法治研究中心 武漢 430065)

1 引言

健康醫療數據作為國家基礎性戰略資源，是新生事物，推動其應用發展是一項創新性工作，未知大于已知。雖然中國在夯實數據基礎、深化數據應用和加強數據保障等方面已有所突破[1]，但在健康醫療數據應用發展中還存在安全保障需求，因此，亟需加強法治建設，不斷完善法律法規，以確保健康醫療數據安全、可靠和可持續發展。

2 健康醫療數據的概念

健康醫療數據法律上的概念并不明晰。理論與實務界對健康醫療數據的認識差異性首先體現在健康醫療數據的稱謂及界定上，目前有“健康數據”“健康醫療數據”“醫療數據”“健康醫療”“大數據醫療信息”“個人醫療信息”“個人醫療數據”“醫療資料”等稱謂。各級各類法律規范、政策文件以及國家標準中，對“健康醫療數據”的概念也界定不一。地方層面立法對健康醫療數據的界定較為詳細：共性方面，大多以“健康醫療大數據”命名，既包括電子數據也包括其他形式數據；個性方面，有的在概念中列明了健康醫療數據的特征，有的除了數據內涵外，還增加了新技術和新業態的內涵，有的指明了責任主體。

立法名稱和內涵爭議背后的實質是健康醫療數據是新興事物，發展時間相對較短，存在立法經驗不足、基礎理論研究不夠成熟等客觀限制。本文將健康醫療數據界定為：覆蓋人的全生命周期，在疾病防治、健康管理等過程中產生的高應用價值的健康醫療相關數據的集合。

3 中國健康醫療數據的政策法規現狀

3.1 國家層面

近年來，國家層面逐步形成了以總體國家安全觀為指導，以《民法典》《數據安全法》《個人信息保護法》為核心驅動，以《關鍵信息基礎設施安全保護條例》等為抓手的數據安全法律體系。尚無健康醫療數據專門立法，但陸續出臺了一些規范性文件以及支撐上述法律規范落地實施的國家標準，見圖1。

圖1 中國健康醫療數據法律體系

3.2 地方層面

中國在2016、2017年先后啟動了兩批健康醫療大數據中心與產業園建設試點工程，確定福建省(福州市、廈門市)、江蘇省(南京市、常州市)、山東省、安徽省、貴州省5省7個試點區域。各省尤其是試點省市以數字經濟發展為要義，圍繞“大數據”“數據”的立法步伐不斷加快。通過搜索各省人大官網、省級政府相關網頁，以及北大法寶數據庫，以“數據”“大數據”為關鍵詞，以“現行有效”為條件檢索，只統計省(自治區、直轄市)級層面，得到以下數據：截至2022年12月31日，19個省(自治區、直轄市)出臺了地方性法規，22個省(自治區、直轄市)出臺了地方政府規章，其中近3年的占70.7%，地方數據立法繼 2020、2021 年快速升溫后，2022 年立法量達到峰值。以“健康醫療數據”“健康醫療大數據”為關鍵詞檢索，省級地方性法規數量為0，僅有一個設區的市地方性法規《貴陽市健康醫療大數據應用發展條例》(2021修正)，地方政府規章僅有《山東省健康醫療大數據管理辦法》，地方規范性文件中四川省和福建省福州市出臺了管理辦法，另有9個省(自治區、直轄市)出臺了健康醫療大數據應用實施意見。

全國首部健康醫療大數據應用地方性法規《貴陽市健康醫療大數據應用發展條例》作為創制性立法，有不少特色和亮點。一是明確適用范圍。即接入市級全民健康信息平臺的醫療衛生機構、健康醫療服務企業。二是健康醫療大數據應用發展誠信檔案制度。記錄相關機構及其從業人員的違法失信行為，并納入統一的信用信息共享平臺管理[2]。三是明確和細化安全監督管理職責。避免權責不清、各自為政、效率低下等問題?！渡綎|省健康醫療大數據管理辦法》規范健康醫療大數據的生產匯聚、共享開放、安全管理等行為，提出管理機構應當對大數據按照不可開放數據、有條件開放數據和無條件開放數據分類管理?！端拇ㄊ〗】滇t療大數據應用管理辦法(試行)》用較大篇幅規定安全管理，內容涉及事前審核評估、事中安全管控、事后責任追究，強調保護合法權益、保護個人隱私。

4 中國健康醫療數據立法存在的問題

4.1 立法進程較為緩慢

健康醫療數據是一種敏感的個人信息載體，其數據挖掘、開放、交易和共享需要法律指引[3]。當前中國實施健康醫療大數據國家戰略的障礙已不在于政策扶持和引導，而在于缺乏全面、細致、明確的指引和規制，難以滿足當前健康中國和數字中國建設中健康醫療數據產業高速發展的現實需求?！稊祿踩ā冯m然規定了數據安全與數據利用并舉等問題，但很多內容較為原則和籠統，依其規制具有專業性、隱私性的健康醫療數據缺乏具體操作標準和實施細則?！毒W絡安全法》沒有數據留存、數據本地化等方面的明確規定，使運營商、互聯網服務平臺的數據安全責任意識淡薄，造成數據權利保護不全面[4]。

立法進程緩慢一方面是因為健康醫療數據應用場景廣泛，產業鏈復雜，觸及許多法律空白地帶；另一方面健康醫療數據產業的高速發展離不開創新應用，對法律秩序會產生一定沖擊，而相對寬松的監管環境有利于試錯。立法進程緩慢對某些新興行業的發展是一個次優選項，若是被國家相關部門采用嚴格的管控措施，或者過度監管，就可能會使行業出現萎縮或者停滯不前的情況。當然，這絕不意味著默許突破社會倫理、醫療倫理的底線，更不允許違反既有的法律規范[5]。

4.2 效力層級有待提高

國家層面針對健康醫療數據以行政規章、規范性文件和推薦性標準為主，法律、法規欠缺，立法層級較低，與立法制度設計不完全匹配，須要制定效力層級較高的法律法規。同時，也呈現了地方立法先行態勢，由地方先摸索制定地方性法規和規章，為國家立法積累經驗。雖然地方立法不乏部分創新性和實效性規定，但并不能取代高位立法在健康醫療數據法治保障中的重要地位，也不能取代地方性法規在整體立法中的連接點作用。雖然各省(自治區、直轄市)在數據立法方面步伐加快，但針對健康醫療數據立法普遍缺位，只有一個設區地方性法規和一個地方政府規章，其他都是地方規范性文件。地方規范性文件由地方政府或相關部門制定，目的是落實國家法律和政策，或者解決地方上的具體問題。因此，地方規范性文件并不具備法律的獨立性和權威性，且只能在其所轄范圍生效。

4.3 法律制度亟待完善

法律概念與權屬方面，雖然《民法典》《網絡安全法》等法律中規定了健康醫療數據的相關內容，但是對其概念、屬性及權屬界定并不清晰。健康醫療數據包括原始數據和衍生數據。確權是確定健康醫療原始數據共享主體的前提，是共享行為的基礎。衍生數據來源于原始數據，但經過算法加工處理，已經形成新的數據集系統。這些健康醫療數據是具備新價值的財產，符合財產性權利產生的法律基礎，其法律屬性和權屬問題事關健康醫療數據產業的安全有序發展。本質來說，數據產權是個人、企業和國家三方主體的權利配置問題。當前法律上還沒有明確數據產權中權利內容和保護的傾斜程度，在客觀上妨礙了數據的正常流動以及數據要素的價值釋放。2022年發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》雖然提出了“三權分置”產權制度框架，但權利內涵并不明確，亟須建立具體的法律制度保護各方主體權益。

公法與私法銜接方面，健康醫療數據兼具私法與公法屬性?！睹穹ǖ洹芬幎穗[私權與個人信息權益的保護規則，為健康醫療數據提供了強有力的私法保護?！秱€人信息保護法》中的私法規則與《民法典》構成特別法與一般法的關系[6]?！秱€人信息保護法》將“醫療健康信息”視為敏感信息，醫療實踐中大量患者相關信息均會因其“醫療健康”的屬性落入個人敏感信息范疇。健康醫療數據還具有很強的社會性和公共性，某些情形下也應受到公法的規制，但并不意味著其等同于公共數據?！睹穹ǖ洹反_立了“以不公開為原則，公開為例外”的個人信息保護規則；《政府信息公開條例》則明確以公開信息為原則，以“涉及商業秘密、個人隱私等公開會對第三方合法權益造成損害的政府信息”不予公開為例外。二者基本價值取向不同，也缺乏明確銜接，處理具體案件時可能會出現矛盾結果。一是《民法典》中對于“公共利益”并無清晰界定。政府信息公開制度以維護公共利益為目的，但并非每一次公開都會涉及公共利益。關于是否可以在政府信息公開中任意公開個人健康醫療數據以及有哪些限制條件，《政府信息公開條例》中并無銜接規定。二是《民法典》強調即使是為了“公共利益”，對個人信息的處理也應是“合理實施的其他行為”，而《政府信息公開條例》卻未作要求，缺乏方式上的銜接。

法律責任體系方面，首先，數字經濟背景下，建立了“保護+使用”原則。但是，到底是由誰使用，使用過程中需要承擔什么權利和義務，如果違反了有關授權該如何擔責，責任是由控制者承擔還是使用者承擔，承擔責任的界限如何確定等問題還未明確。其次，由于沒有健康醫療數據專門立法，而是一些規定、管理辦法、指南等“軟約束”，某些條款的表述甚至更接近道德規范，實質性的約束效果不足，使本該得到法律強制性保護的個人權益要依靠相關行業及人員自覺遵循。三是對違法行為的處罰力度較小且分散?！稊祿踩ā分灰幎肆P款和停止業務等，沒有明確規定其他法律責任形式。如果沒有具有威懾力的“違規成本”，就無法有力約束相關主體，無法有效降低隱私信息被侵犯的風險。

5 域外健康醫療數據的立法模式

5.1 一般數據立法模式

5.1.1 歐盟 2018年5月歐盟出臺《通用數據保護條例》(General Data Protection Regulation，GDPR)，是維護數據主體權利的“大憲章”。GDPR除序言外有10章，對健康信息等具有敏感特性的個人數據予以高等級保護。第3章界定了“個人敏感數據”，規定禁止處理敏感數據的例外情形。GDPR要求企業必須獲得數據提供者關于某明確合法用途的授權[7]。數據保護上，數據供應鏈自上而下的各方都會被問責。GDPR還規定了對違規行為的嚴厲處罰，以行政罰款的形式，罰款1 000萬～2 000萬歐元，或企業全球年營業額的2%～4%?？梢蕴幜P任何類型的違反GDPR行為，包括純粹程序性的違規行為。

5.1.2 俄羅斯 (1)俄羅斯聯邦《個人信息保護法》。2006 年7月發布，共6章25條。該法將個人數據分為一般數據、特殊類型數據和生物識別數據，第2章第6條明確處理一般意義上個人數據的9個條件。而涉及醫療健康大數據的處理和利用被特別規定在第10條第2款和第2.1款。(2)俄羅斯聯邦《公民健康保護基本原則法》。2011年11月施行，是俄羅斯衛生“基本法”，共14章101條，內容涉及醫療健康管理各個方面。俄羅斯未采用制定專門法的方式，而是充分發揮衛生基本法律在醫療健康大數據保密與開放利用方面的法定管理職能，將涉及醫療數據的開放利用條件放在“健康保護的基本原則”這一章的“醫療秘密”中予以說明。第13條明確該法律限制的數據范圍是“在醫療檢查、治療過程中獲得的健康、診斷情況信息”[3]。

5.2 專門立法模式——奧地利

2012 年奧地利頒布了專門法《使用電子健康數據時的數據保障措施聯邦法》，共6章。第2章規定了健康服務提供者的健康數據保障義務及提供限制；第3章要求聯邦健康機構應運營電子健康索引服務；第4章明確了相關主體的權利義務，規定健康服務提供者的健康數據存儲權、特定類型數據的存儲時間限制以及電子健康記錄系統參加者提供數據時的安全保障義務等。

5.3 “基本法+專門法”模式——日本

日本采取的是“基本法+特別法”雙重規制架構，即《個人信息保護法》+《次世代醫療基礎法》(也稱《醫療大數據法》)。2003年5月頒布的《個人信息保護法》試圖在“個人權益保護”與“個人信息使用”之間求得平衡。該法核心目的是更好地實現個人信息開發與利用，強調對個人信息處理的透明性以及對個人信息的知情權和控制權。該法規定，醫療數據除作為“個人身份標識符”外，還應納入“需要關注的個人信息”范疇。除特殊情形外，“需要關注的個人信息”必須取得本人同意方能向第三方提供，數據提供者還負有“確認、記錄、保存義務”。2018年5月1日實施《次世代醫療基礎法》，共7章50條(不含附則)，旨在推動醫療研發活動，嚴格規制匿名加工醫療信息，細化醫療數據的流通保護規則。涉及醫療數據的章節主要是第2、3、4章，通過對國家責任、基本方針制定，對匿名加工醫療信息制造業者的認定以及醫療信息及匿名加工醫療信息的交易規定等[1]，實現健康醫療領域尖端研究等目標，推動健康長壽社會的形成[8]。

5.4 醫事法模式——芬蘭等

部分國家有關健康醫療數據的法律規定在醫事法律中。芬蘭1992年的《患者地位及權利法》規定了醫療記錄、保健及治療資料、信息保密等；荷蘭1994年的《醫療合同法》規定了信息取得權、信息拒絕權、治療文書刪除權、患者記錄接觸權、數據保護及保密、基于統計或科研目的而使用患者信息；立陶宛1996年的《患者權利及保健相關的損害賠償法》規定了患者記錄中的信息保密，患者記錄中的信息在研究、教育中的使用等。

6 構建和完善中國健康醫療數據法律體系的建議

6.1 確定立法原則

6.1.1 數據安全與個人隱私保護并重原則 數據安全是健康醫療數據立法的根本目的，而個人隱私保護是健康醫療數據立法的重要價值。個人隱私保護和健康醫療數據保護之間并不是非此即彼的關系，是可以相互轉化的。從立法價值的角度來說，保護個人隱私是為了最大限度地實現公共利益和公民個人利益的平衡，而保護健康醫療數據則是為了更好地實現公民個人利益與社會公共利益的平衡。在健康醫療數據立法中，應當將二者相結合，將保護個人隱私作為優先目標，在確保個人隱私得到有效保護的前提下實現對健康醫療數據的合理利用。

6.1.2 發展與安全并重原則 數據安全是健康醫療數據立法的重要價值追求，而安全又是發展的前提。從某種意義上說，健康醫療數據的安全就是健康醫療數據的發展。在立法中應當將發展與安全并重作為優先目標，除了制訂專門法以外，還應積極出臺管理辦法、管理規范和便于落地執行的操作規程，將個人隱私保護放在優先位置。按照“最小必要”原則，確保數據使用目的、使用方式、使用期限和使用范圍符合法律法規要求。利用數據沙箱、隱私保護計算、國產密碼等技術手段，打造可信計算環境，構建一整套業務流、數據流和監管流“三流疊加”的綜合治理體系。

6.1.3 開放與共享并重原則 醫療數據的開放與共享，是實現大數據發展，創造社會價值的前提，也是保障醫療機構開展醫療衛生服務、科研和基因工程等領域研究與開發的重要保障。過去的大數據是信息孤島，未來的大數據將真正實現信息共享，為醫學科研服務。首先，應搭建數據共享基本原則框架。在盡可能遵循國際數據共享活動的普遍原則下搭建適應國情的健康醫療數據共享基本原則框架。醫療機構、科研院校及企業組織基于基礎原則框架可在各自領域內結合具體場景建立相應共享行為準則，并將場景適應性原則框架嵌套至健康醫療數據共享系統流程，指導健康醫療數據共享實踐。其次，應當明確數據開放共享的原則、要求，嚴格定義數據共享的對象、形式和邊界。最后，應鼓勵健康醫療數據共享和流動。在立法中明確規定健康醫療數據屬于公共信息資源的范疇，鼓勵和支持健康醫療大數據的共享和流動，提高健康醫療數據資源的利用率。

6.2 修訂《基本醫療衛生與健康促進法》

《基本醫療衛生與健康促進法》已于2020年起施行。健康醫療數據作為法律關系客體屬于該法調整的對象，但目前該法缺少規范健康醫療數據處理的條文。建議未來修訂時應明晰醫療數據利用的條件和權責，注意與《個人信息保護法》的銜接，使健康醫療數據的加工、共享、交易等環節都有法可依，有據可循。

6.3 構建“基本法+專門法”模式的健康醫療數據法律體系

由于健康醫療數據本身法律屬性復雜，且是超越行政區劃的存在，數據相關風險防范與應對的基礎性制度，如市場準入、公平競爭審查制度、個人信息保護等更適宜由國家立法承擔[9]。以法律或行政法規的形式量身定制規則體系，方能顯示國家對健康醫療數據的審慎態度。一是結合本國實際、借鑒域外經驗，可采用“基本法+專門法”模式構建。用“基本法”確立“個人信息保護”的基本原則，以“專門法”規制健康醫療數據的發展應用?！秱€人信息保護法》已施行，下一步應積極制訂《健康醫療數據條例》，以解決健康醫療數據的界定、權責、收集、加工、共享、交易等問題[10]，使健康醫療數據的價值在流動中充分實現；二是地方立法成功經驗反哺國家層面立法。將一些先進、有效、操作性強的條款納入其中，增強立法的針對性、適用性和可操作性，提升立法質量。

7 結語

健康醫療數據應用領域的法治建設是中國衛生健康事業發展的重要保障，對于促進衛生健康事業健康發展、維護公民身心健康具有重要意義。要在充分考慮中國醫療數據保護現狀和問題的基礎上，汲取地方立法及域外有益經驗，堅持總體國家安全觀，從保障公民健康出發，完善中國健康醫療數據保護法律體系，確保數據安全、個人信息安全和公共利益得到充分保護，為人民群眾提供更加優質、高效、便捷的健康醫療服務。

利益聲明：所有作者均聲明不存在利益沖突。