健康醫療數據權利歸屬制度構建:現狀、必要性與關注點

王 哲,鄧 勇

(北京中醫藥大學人文學院,北京 100029)

隨著健康醫療數據在我國醫療衛生事業中的廣泛應用,其臨床價值、科研價值以及經濟價值也不斷增長,探討健康醫療數據的權利歸屬制度對于維護參與者的正當利益具有重要意義。由于數據并非傳統的物權客體,傳統的物權觀念對于權能的有限劃分與數據上所存在的諸多權利主張的并不契合[1],為防止表達上的偏頗,本文將采用“權利歸屬”而非“所有權”的表述以方便更加彈性地描述不同的權益主張。為促進健康醫療數據的合理應用和數據主體權益的保護,本文將從現狀出發,分析健康醫療數據權利歸屬制度建立的必要性,并結合健康醫療數據的特征對健康醫療數據權利歸屬制度建立的關鍵要點進行探究,為推動健康醫療數據權利歸屬制度的落地提供參考。

1 健康醫療數據概述

健康醫療數據是人們在疾病防治、健康管理等過程中產生的與健康醫療相關的數據[2]。具體而言,健康醫療數據包括診療數據、生物數據、醫學文獻數據、運營管理數據和行業發展數據等內容[3]。健康醫療數據在優化醫療決策、促進科學研究、支持公共衛生決策、優化醫療資源配置以及個體健康管理與疾病預防等方面都已展示出了巨大潛力。

2 健康醫療數據現狀

2.1 市場利用方面

在電子病歷、健康監測設備等技術發展驅動及政策、市場需求等因素的影響下,健康醫療數據的規模不斷擴大,以此為基礎的健康醫療行業信息化建設也得以持續推進,相關市場也日益繁榮。2017年,我國互聯網醫院還不足百家,但到2021年底,全國互聯網醫院已超過1700家,遠程醫療服務平臺已覆蓋31個省份及新疆生產建設兵團,縣級遠程醫療覆蓋率90%以上[4]。前瞻產業研究院相關數據顯示[5],2012-2021年,我國醫療信息化行業市場規模逐年保持10%以上的增速,2021年我國醫療行業信息化市場規模約為728億元?？梢?在未來健康醫療數據的價值大有可觀。

2.2 法規政策方面

在政府政策方面,2016年國務院辦公廳印發的《關于促進和規范健康醫療大數據應用發展的指導意見》(國辦發〔2016〕47號)中就已經明確鼓勵政府與社會力量合作進行健康醫療數據應用秩序建立以及“充分釋放數據紅利”等要點內容。2020年中共中央 國務院《關于構建更加完善的要素市場化配置體制機制的意見》(中發〔2020〕9號)發布,明確了“研究根據數據性質完善產權性質”的要求。2022年中央深改委第二十六次會議審議通過《關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱《意見》),要求“統籌推進數據產權、流通交易、收益分配、安全治理,加快構建數據基礎制度體系”?？偨Y主要政策內容可以看出,與法律規范重“安全”的基調不同,政府政策更加重視“利用”,并且明確根據數據性質建立相應的數據權利歸屬制度是數據利用秩序構建工作的首要問題。

法律規范層面,我國目前針對醫療數據領域的法律規范體系主要是由《數據安全法》《網絡安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等以保障信息安全為主旨的法律規范,以及《基本衛生與健康促進法》《人口健康信息管理辦法(試行)》《國家健康醫療大數據標準、安全和服務管理辦法(試行)》《全國公共衛生信息化建設標準與規范(試行)》等以保障健康醫療數據安全為主旨的法律規范組成。雖然以“信息”“數據”“健康醫療數據”作為規制對象的各級法律規范數量眾多,但這些法律規范的內容還是以數據安全為主,通過數據收集、存儲、傳輸、利用等各環節的責任劃分以及技術層面安全要求的明確,規避目前數據使用過程中存在的風險。

2.3 學術理論方面

2016年以來,針對“數據”“健康醫療數據”的學術研究日趨火熱,并成為近些年的學術熱點。學者們從不同層面對數據權利歸屬問題進行了探討:第一,數據權利歸屬的可行性,即數據能否作為民事權利的客體,數據的權利配置應當包括哪些內容。高富平、胡凌[6-8]等學者從數據的生產、流通以及經濟基礎發展等角度論證了數據權利配置必要性與可行性。第二,數據權利歸屬制度的構建。沈健州[9]提出通過在數據分類的前提下協調企業數據財產權、個人信息權益及公開數據合理使用的權利架構模式,馮曉青[10]提出在現行法律框架的基礎上通過權利法和行為法2個層面的體系構建實現數據財產化保護,龍衛球[11]提出將個人信息和數據資產加以區分,并在此基礎上分別配置相應的數據權利,實現數據財產權化的構建。

可見,學者們的研究或從基本法律關系出發論證制度建立的可行性,或從主體權益出發論證制度所應秉持的價值傾向,具有很強的宏觀指導意義,但這些研究大多處于宏觀的“數據”層面。對于健康醫療數據權利歸屬制度而言,這些研究成果解決了能否建立歸屬制度、制度建立所需基本理論、主體權益等基本問題,但在制度落地上尚需繼續研究。

3 權利歸屬制度建立的必要性

3.1 權利歸屬制度缺失導致的問題

從市場利用、法規政策、學術理論3個方面的現狀不難看出,由于健康醫療數據權利歸屬制度的缺失,健康醫療數據日益發展的經濟基礎與上層制度建設之間的矛盾已逐漸凸顯?，F行法律規范雖對數據安全義務作出了系統的規定,但現行規范的出發點多是從公共利益及公民人格利益保護的角度出發,對于數據所蘊含的經濟利益考慮不足。人格利益、經濟利益、公共利益三者于健康醫療數據之上密不可分,導致目前雖有初步的規范體系,但市場利用方面所涉及的患者、醫療機構、企業等利益主體,依然難以確定己方的權利客體及應承擔的義務,各利益主體的數據利用行為缺乏有效的規范指引。這一狀況導致數據利益分配以權利主體間的實力差距為依據,權利歸屬制度的缺失導致處于弱勢地位的其他利益主體只能依據人格權益或公共利益維護自身合法權益,舉證難度大大增加,難以有效維護自身權益。從政府政策也不難看出,“數據產權”問題被多次提及,建立數據權利歸屬制度已成為政府工作的重點內容,而梳理健康醫療數據有關的法律規范,目前法律規范的規制重點依然是健康醫療數據的安全問題,健康醫療數據權利歸屬制度始終沒有建立起來,政策的前瞻導向尚未得到法律規范層面的落實。

權利歸屬制度在民法體系中具有基礎地位,不僅關系到民事法律關系的確定和民事法律行為的有效性,還是監管制度的重要依據,監管本身便受限于法律,任何監管策略的應用都應當以法律為準繩,在法律制度尚未明確的情況下的監管不僅在效果上會抑制數據的合理利用和創新、影響數據的公平流動和價值的最大化,而且還會違反“法無授權不可為”的行政法原則。同時,數據的高技術門檻要求更全面、更高效的技術解決方案,但技術的屬性又是服務于目的,權利歸屬制度的缺失直接導致技術解決實現數據合理使用的方案成為無源之水,缺少制度指引的技術方案存在極大的濫用風險,如線上診療平臺的精準推送便屬此例。

3.2 權利歸屬制度的作用

健康醫療數據作為一種特殊的財產形式,其權利歸屬的落實直接影響到數據主體財產權益和人格權益的保護?，F實基礎的變化推動著健康醫療數據權利歸屬制度建設工作的開展。醫療信息化市場的繁榮證明了健康醫療數據的巨大經濟價值,但相關市場的持續健康發展必然需要穩定的市場秩序,穩定的市場秩序的構建則需要以明確健康醫療數據的權利歸屬為前提[12]。當下若想充分實現健康醫療數據的經濟價值,以法律規范的形式建立健康醫療數據的權利歸屬制度是必由之路。

3.3 小結

可見,健康醫療數據權利歸屬制度的缺失在“數據經濟”的背景下難以公平保障相關利益主體的合法權益,并且權利歸屬制度作為規范體系的基礎,與其配套的監管、技術路徑等策略也難有所為。健康醫療數據的有序利用,涉及醫療機構、患者、研究機構等多方利益主體。在各方合理權益得到公平保障的前提下,權利歸屬制度的明確可以實現各方合理權益的公平保障,為促進各方合作、發揮數據價值的過程保駕護航,成為數字經濟發展的壓艙石。這也是該問題如此吸引政策關注的重要原因,學界的探討也為構建符合我國國情的健康醫療數據權利歸屬制度提供了科學性保障?？傊?當下推動健康醫療數據權利歸屬制度的建立具有必要性與可行性。

4 健康醫療數據權利歸屬制度建設的關注要點

4.1 健康醫療數據的特征

數據權利是數據主體依法對特定數據享有的支配和控制的權利[13]。但需要承認的是,不同類型的數據具有其獨有的特征,數據特殊性的存在導致我們在對數據進行權利歸屬相關問題的研究時難免失當。因此,對不同類型數據進行權利歸屬研究時,不僅要遵從數據的一般性,也要對具體數據類型的特殊性進行具體分析,根據不同數據類型的特點提取具體類型權利歸屬制度構建的關鍵要素。而健康醫療數據作為健康醫療行業的信息化產物,也被該行業賦予了自身的特殊性。

4.1.1 強敏感性與隱私性

健康醫療數據內涵豐富,不過其原始數據通常包含如病歷、診斷結果和治療方案等個人私密信息?！睹穹ǖ洹返谝磺Я闳臈l第三款規定“個人信息中的私密信息,適用有關隱私權的規定”。相比之下,其他類型的數據并不具備如此強的敏感性和隱私性。因此,在建立健康醫療數據權利歸屬制度時,通過隱私保護和數據安全措施確保個人健康隱私的安全和保密是重中之重。

4.1.2 法律及倫理要求的特殊性

由于健康醫療數據的敏感性與隱私性特征,健康醫療數據的收集、使用和共享將受到更加嚴格的法律和倫理要求限制。如《基本醫療衛生與健康促進法》第一百零一條、一百零二條對醫療機構、醫護人員泄露醫療信息等行為都規定了相關的法律責任?？傊?與健康醫療數據有關的各參與者需要遵守包括知情同意、數據保護和隱私、機密性和匿名性,以及道德責任等嚴格的法律規定和倫理標準,這些特殊要求應當在權利歸屬制度建設的過程中進行充分考量,建立透明和可信的數據使用機制,確保合規性和保護各參與方的正當權益,促進可持續、負責任的健康醫療數據應用與研究。

4.1.3 參與者身份特定

患者、醫療機構、醫護人員、研究人員和第三方服務提供商等參與者在健康醫療數據處理過程中都有著特定的角色和責任,他們在數據的收集、使用、共享和保護方面承擔著各自的義務。相比其他類型數據,健康醫療數據的分布狀況與其所聯系的醫療健康行業有著同樣明顯的馬太效應,集中化程度高,大部分的數據為少數頭部主體所掌握。這一數據特征可縮小數據權利歸屬與控制的主體范圍,但同樣也需要更加謹慎地平衡相關方的利益訴求,確保各方權益得到平衡和保護。

4.1.4 數據排他性

應敏感性與隱私性及參與者身份特定特征的要求,健康醫療數據只得在特定主體之間流轉,作為健康醫療系統內部的非公開數據及受控網絡平臺的個人數據,健康醫療數據具有天然的封閉性[14]。除業務相關單位與個人外,其他主體獲取數據的難度大、成本高,故相較于其他類型數據,健康醫療數據具有天然的排他優勢。另外,由于健康醫療數據所具有的高價值特征,使其具有顯著的資產屬性,相關利益主體會采用如保密協議、內部局域網、多重驗證準入等制度和技術主動構建健康醫療數據的安全壁壘,強化排他性特征,進一步滿足成就健康醫療數據權利歸屬的排他性要求。被動封閉的內在特性與主動構建的外在壁壘,使健康醫療數據具有了較其他類型數據更加顯著的排他性特征,這也賦予其較其他類型數據建立權利歸屬制度有著得天獨厚的優勢條件。

制度建設應當充分考慮權利客體的特征,通過對健康醫療數據特征的總結不難得出其權利歸屬制度構建的要點。健康醫療數據的排他性是該類型數據實現權利歸屬制度構建的前提條件;其次,由于其內容的隱私性與敏感性,權利歸屬制度應當保障健康醫療數據所承載的隱私信息安全;再次,由于法律及倫理的特殊要求,在權利歸屬制度應當為實現透明和可信的數據使用機制打好基礎;最后,由于參與者身份特定,在制度構建中應當關注相關方的利益所在,明確數據歸屬的原則,同時促進利益相關方的合作與協商。

4.2 隱私與敏感信息保護

敏感性與隱私性是健康醫療數據的內在特征,健康醫療數據權利歸屬制度的構建應當注重健康醫療數據所承載的敏感與隱私信息保護以及數據利用之間的平衡。目前我國立法在《個人信息保護法》《民法典》等法律規范中作了概括規定,如《個人信息保護法》第二十八條的列舉中明確醫療健康信息作為敏感個人信息的屬性。不過伴隨數據開發程度的深化,健康醫療數據的內涵已不再局限于具有高度敏感性與隱私性個體數據、原始數據,經處理后不涉隱私的聚合數據也在不斷發展。有學者根據健康醫療數據來源將其分為提供型數據、觀察型數據以及派生型數據[15],伴隨數據處理程度的不斷加深,健康醫療數據一般性特征逐漸顯現,至派生型數據階段則無法再識別到個人。

在制度構建過程中,應充分考慮此類情況,防止對數據合理利用造成不利影響,故在制度建設中要通過明確權利客體范圍與違法責任兩方面入手實現隱私與敏感信息保護和數據利用的平衡。

在明確權利客體范圍方面,可根據數據內容,通過法律規范明確包括個人身份信息、個人醫療記錄、生物識別信息、關乎公共利益的生物數據、科研數據等各類個人隱私信息及敏感信息的范圍;通過技術規范明確如數據去標識化等隱私處理標準及存儲、傳輸和處理過程中符合嚴格的數據安全標準,根據隱私與敏感程度對不同健康醫療數據進行分級分類管理并進行定期審查與更新,及時調整規范以適應新的形勢和要求。明確的范圍和技術標準可以為開發利用活動提供明確的指導,進一步加強隱私與敏感數據的保護,建立公眾信任,促進更多個體數據持有者參與數據活動,為數據利用提供更廣泛的數據來源。

在明確違法責任方面,通過法律規范對不同類型健康醫療數據流通利用的條件、主體權限及責任進行明確,提供司法保護路徑,完善民事賠償、行政處罰、刑事追責的法律責任體系。同時,依法建立健全有效的監管機制,為執法活動加強技術保障,加強對違反隱私保護法律法規行為的審查能力。借助法律責任的設立與監管有效性的提高,劃定數據利用活動的紅線,可有效促進相關活動合法有序進行。

4.3 數據歸屬原則設計

建立包括個人患者、醫療機構、企業等其他可能主體在內的健康醫療數據權利歸屬制度,有助于確定數據的控制者和使用者,不僅可為數據的合法使用提供基礎保障,還可為監管工作提供方向。但健康醫療數據不僅所涉權益廣泛,實踐中數據表現形式也呈現多樣化特點,在制度設計中要充分考量參與主體的利益關注重點,促進利益相關方的合作與協商。在此背景下,明確數據歸屬原則這一首要任務就顯得至關重要。

個體勞動是財產歸個體所有的依據[16]。健康醫療數據作為由個人、醫療機構、企業等不同主體提供或處理,單獨或協同形成的勞動成果,其權利歸屬制度的構建也不僅要體現數據形成的貢獻程度,還應當體現“數據來源者”與“數據處理者”的主體類型所聯系非經濟權益。具體而言,在“數據來源者”與“數據處理者”的角色定位下,梳理健康醫療數據的要素范疇,考慮數據所承載角色的權益情況,若涉及隱私與敏感信息,則相關數據權利歸屬數據來源者或政府為宜;若數據已完成去標識化,可依照資金、技術、勞動(如數據的生產、處理)等貢獻要素進行權利歸屬的確認,實現“誰投入、誰貢獻、誰受益”,保障各相關主體的貢獻能夠獲得合理收益的權利,體現兼顧促進數據要素利用和平衡數據收益分配的理念。

由于技術的不斷發展以及健康醫療數據與臨床、科研、商業行為的密切關系,健康醫療數據的具體類型已然非常豐富,以主體角色為基礎、以貢獻要素為標準的歸屬原則的落地還需要更多來自法律及技術層面的研究和實踐經驗證,保障未來數據利用公平與效益的平衡。

4.4 數據利用機制建設

馬克思說:“法的利益只有當它是利益的法時才能說話”[17]。健康醫療數據價值巨大,但其價值往往是由企業等單位通過市場經營、科研共享等活動來實現,高準入門檻是這些“數據變現活動”的普遍特征。以貴陽大數據交易所推出的《貴陽大數據交易所702公約》交易規則為例,其所允許參與數據交易的主體被限制為法人,且在注冊資金、組織形式、技術風險等方面均作出了限制。如此限制誠然是出于對數據安全的考量,但卻使個人、中小型的醫療機構及企業等主體難以參與其中。健康醫療數據歸屬制度的目的就是通過權屬的明確建立正向激勵、健康穩定的市場秩序,而健康醫療數據收益獲取機制欠缺導致即使明確了健康醫療數據權利歸屬問題,權利主體也會因無法獲利而忽視其所擁有數據權利。所以要真正實現健康醫療數據歸屬機制的目的,必須完善與之配套的數據使用機制,形成有效的利益指引。

可參考各地大數據交易所的數據交易平臺模式,健康醫療數據各主體通過交易實現收益。首先,政府主導搭建以全國為范圍、去中心化的健康醫療數據市場交易平臺,個人、醫療機構、企業等主體在該平臺擁有平等地位,交易客體限定為健康醫療數據。其次,借鑒上海數據交易所的成功經驗,確立“無場景不交易”的原則,通過固定場景固定價格解決數據定價難的問題,交易平臺厘清診療、科研、商業應用等典型應用場景,在綜合評估市場價值和社會風險的基礎上依場景進行分級分類管理,探索標準明確、風險可控的數據交易秩序。最后,平臺及政府監管要做好交易“守夜人”的角色,做好技術升級提高監管能力,如北京國際大數據交易所提出探索央行法定數字貨幣在該交易所支付結算體系的做法[18],將數據交易與數字人民幣結合實現對數據流通、數據收益進行明確溯源。平臺還可發揮區塊鏈、人工智能等技術在增強數據隱私保護、防止內容篡改、固定違規證據、提高監管效率等方面的作用,探索新時代的數據監管體系,達到健康醫療數據交易的安全有序以及防止數據壟斷的監管效果,為開發健康醫療數據價值使其成為新的經濟增長點而努力。

5 結論

健康醫療數據權利歸屬制度的建設有其現實必要性所在,考慮到健康醫療數據的復雜內涵及多專業結合之特性,本文僅從法律制度的角度,根據其法律特征對其權利歸屬制度構建在隱私保護、制度原則設計以及配套利用機制3個方面的關注重點提出看法,為該領域的學術研究拋磚引玉。對于具體的制度構建,還有賴于學界結合實踐經驗,從法律、醫學、計算機科學等多個學科在數據去標識化、數據類別劃分、數據形成要素、數據追溯技術等方面繼續探索,共同推動健康醫療數據權利歸屬制度的建設和完善。