大数据时代,数据无处不在。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》提出,推动数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。
健康医疗大数据是国家重要的基础性战略资源,但随着新技术的出现,健康医疗大数据在应用过程中,常涉及对基因信息、生物识别数据等个人敏感信息的收集、使用和加工等行为,由此带来的与个人隐私保护之间的冲突越发凸显。
我们身边处处都有大数据,小到在互联网上的每一个操作,都是会被记录下来的。而健康医疗大数据是随着近几年数字浪潮和信息现代化而出现的新名词,是指无法在可承受的时间范围内,用常规软件工具进行捕捉、管理和处理的健康数据的集合。将这些医疗健康数据进行专业化处理和再利用,对于身体状况监测、疾病预防和健康趋势分析等都具有积极意义。
但与此同时,新的挑战随之而来:你是谁?你在哪?你的身体状况甚至家人的身体状况如何?有何隐疾?种种……当把每个人的小数据汇聚在一起时,可能你将不再有秘密。有人形象地称,大数据时代,每个人都是“透明人”。
1.不当收集、过度利用甚至泄露个人信息现象屡见不鲜
近年来,大数据在医疗健康领域的不断应用和发展,为广大人民群众提供了优质、便捷的服务,也为医疗健康领域的科技发展带来动力。
健康医疗大数据带来新机遇,同样催生了众多以“采集数据”为名的可穿戴设备,例如智能手环、智能手表、智能眼镜、智能服装等,可以说是应有尽有。这些可穿戴设备不仅仅是一种硬件设备,而且可通过软件支持以及数据交互、云端交互,来实现强大的功能。
其实,理想化的健康医疗大数据是由可穿戴设备或其他终端,持续收集到人体健康数据,之后自动传入云端,进行数据分析与处理,云端数据库定期将结果发给专业人员,后者给出诊断或康复建议。由于这种模式可以使人们足不出户,就获得医疗健康管理服务,从而真正缩减了医疗服务的人、财、物等成本。
《“健康中国2030”规划纲要》中也明确指出,健康医疗大数据是国家重要的基础性战略资源,国家将积极促进大数据技术与健康医疗服务的深度融合与应用。然而,在实践中,因健康医疗大数据的应用造成的个人信息被不当收集、过度利用、甚至泄露的现象屡见不鲜。笔者认为,这不仅会导致公共信任危机,还可能阻碍健康医疗大数据发展进程,给公共卫生治理监管提出了极为迫切的个人隐私保护诉求。
2.隐私保护问题,掣肘我国健康医疗大数据纵深发展
面向国家战略、经济社会发展和人民生命健康等重大需求,结合物联网、人工智能、区块链、5G等新技术,推动大数据与医疗卫生事业融合发展,将对医学发展起到巨大的推动作用。
我国民法典在隐私权部分,对于侵害私密信息的行为作出了规定,即除法律另有规定或者经权利人明确同意,任何单位和个人不得处理自然人的私密信息,否则就构成对隐私权的侵害。在医疗健康大数据特别是个人敏感信息的收集、加工和使用过程中,个人信息与隐私权被侵犯的风险较为突出:
一是在采集原始数据中,存在未经同意秘密窃取、非法窃取或超范围窃取个人健康医疗信息等行为。
二是在收集了个人医疗健康信息后,“霸王式”“一揽子式”诱导强迫数据主体提供授权,或是非法提供出售给他人。
三是在数据加工过程中,未征得数据主体知情同意,就进行二次使用或数据流转,即使在获得授权的情况下,也不能保证使用数据范围的准确性。这些行为极大地降低了数据主体提供真实信息特别是个人隐私信息的意愿,进而影响到医学数据挖掘分析的有效性和真实性,对医疗健康产业数字化转型和医学大数据的整合利用造成极为消极的负面影响。
3.监管治理,应注重创新激励和个人隐私保护的平衡
大数据技术创新是一场革命性变革,个人隐私信息能否得到充分保护,直接影响到公共空间和私人空间的界限。因此,在对健康医疗大数据的监管治理模式上,需要探寻一条鼓励创新和保护个人隐私的允中之道。
笔者建议:治理原则上,在不违背民法典和近日公布的《个人信息保护法(草案)》立法宗旨的前提下,处理好个人信息合理利用和隐私保护之间的平衡关系。坚持自主原则,数据主体有权利决定个人数据被用到哪些地方、取得怎样的价值;坚持无害原则,在健康医疗大数据应用过程中,不能对数据主体造成损害;坚持知情同意原则,数据的收集、存储、使用、分析等行为应获得数据主体的知情同意,原则上应获得明示同意。治理规则上,坚持一般法与特别法协同、法律法规与部门规章呼应。基于医疗健康行业发展特点,出台健康医疗数据的行业法,如《健康医疗数据保护法》或《关于健康医疗个人敏感信息的保护指南》,对个人敏感信息保护制度加以细化:成立个人信息保护委员会;增设匿名加工制度,制定详细的匿名加工指南,明确匿名加工标准和方法、匿名加工准入资质、责任义务,并由个人信息保护委员会实施全程监管;创设匿名信息加工者国家认定制度,医疗信息仅提供给被国家认定的、具有安全处理数据资质的法人;通过书面告知、保障拒绝权利等方式维护数据主体权利等。治理手段上,在强化隐私保护技术对个人隐私保护效果支撑作用的同时,致力提升数据加工者合法合规使用数据的自觉意识,形成注重数据伦理安全的良性氛围;扩展行业协会发挥自律作用的空间,鼓励各行业协会积极参与数据保护行为规范的制定和执行,并能“自下而上”在行业自身客观需求的基础上形成自律机制,辅之以政府指导,实现政府适度监管与行业自律的有机结合;倡导公民形成正确的个人隐私观。
延伸阅读:
国家卫生健康委负责建立医疗大数据开放共享机制
网上挂号、在线问诊、线上答疑……随着民众借助互联网看病就医越来越普遍,海量医疗数据如何管理成了一大问题。国家卫生健康委员会2018年9月发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》(以下简称《试行办法》),加强健康医疗大数据管理,明确由国家卫健委负责建立健康医疗大数据开放共享机制。
健康医疗大数据,是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。办法提出,国家卫健委负责按照国家信息资源开放共享有关规定,建立健康医疗大数据开放共享的工作机制,加强健康医疗大数据的共享和交换,统筹建设健康医疗大数据上报系统平台、信息资源目录体系和共享交换体系。
如何保障海量个人数据不被泄露?在数据利用方面,办法明确,责任单位应坚持包容审慎的态度,加强数据的规范应用和服务,推动部分健康医疗大数据在线查询,同时,不得泄露国家秘密、商业秘密和个人隐私,切实保障各相关方合法权益。根据办法,健康医疗大数据的应用将有标准可循。国家卫生健康委员会负责统筹规划、组织制定全国健康医疗大数据标准,监督指导评估标准的应用工作,在已有的基础性通用性大数据标准基础上组织制定健康医疗大数据标准体系规划,负责制定、组织实施年度健康医疗大数据标准工作计划。
(据新华社)
《试行办法》如何界定主体责任和监管责任
健康医疗大数据是国家重要的基础性战略资源,健康医疗大数据的安全关系到国家战略安全、国家生物安全、人民生命安全和公民个人隐私安全。《试行办法》既突出了健康医疗大数据安全和应用管理责任单位的主体责任,又突出了监管单位的监管责任。
关于责任单位的主体责任方面:一是责任单位要落实“一把手”负责制,建立健全健康医疗大数据相关管理与使用制度,强化统筹管理和协调监督。二是责任单位要严格落实网络安全等级保护制度,建立健全实名认证访问控制机制、网络安全通报机制和应急处置联动机制,切实加强容灾备份、加密认证、准确恢复等安全保障措施,定期对相关信息系统开展定级、备案和测评工作。三是人才培养方面,责任单位应建立健全安全管理人才培养机制,为相关从业人员培训安全管理所需的知识和技能,为健康医疗大数据应用发展提供人才保障。关于监管单位的监管责任方面,监管单位要建立健全健康医疗大数据安全管理工作责任追究制度,完善软件评价和安全审查保密制度,定期开展健康医疗大数据应用的安全监测评估,切实保障健康医疗大数据安全。
对数据采集、存储、利用、共享等环节提出哪些明确要求
《试行办法》明确,在推动健康医疗大数据应用发展过程中,严格遵守相关法律法规和文件规定,在强化标准管理和安全管理的基础上,寓管理于服务之中,为提升健康医疗大数据的服务能力和管理水平奠定基础。在数据采集方面,责任单位要严格执行国家和行业相关标准和程序,要做到标准统一、术语规范、内容准确,并严格实行信息复核终审程序,确保数据质量。在数据存储方面,健康医疗大数据应当存储在境内,因业务需要向境外提供时,应按相关法律法规和要求进行安全评估审核。在服务提供方面,要确保服务提供商具备履行相关法规制度、落实相关标准和确保数据安全的能力,并建有安全管理、隐私保护等管理制度。在数据利用方面,责任单位应坚持包容审慎的态度,加强数据的规范应用和服务,推动部分健康医疗大数据在线查询,同时,不得泄露国家秘密、商业秘密和个人隐私,切实保障各相关方合法权益。在数据共享方面,国家卫生健康委负责建立健康医疗大数据开放共享机制,统筹建设资源目录体系和数据共享交换体系,强化对健康医疗大数据全生命周期的服务与管理。