医疗大数据研究的风险管控和知情同意问题探析*

张如意，彭迎春

(首都医科大学医学人文学院，北京 100069，ruyi_zhang97@163.com)

随着互联网大数据时代的来临，相关部门对于互联网医疗的发展支持力度持续加大。2016年，国务院办公厅发布《关于促进和规范健康医疗数据应用发展的指导意见》(国办发〔2016〕47号)，首次把医疗大数据作为国家基础战略资源，纳入国家大数据的战略布局，指出将“大力推动政府健康医疗信息系统和公众健康医疗数据互联融合、开放共享，消除信息孤岛，积极营造促进健康医疗大数据安全规范、创新应用的发展环境”。2017年原国家卫计委发布《“十三五”全国人口健康信息化发展规划》(国卫规划发〔2017〕6号)，提出探索“互联网+健康医疗”服务新模式；2018年国务院办公厅发布《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号)，再次为健康医疗大数据产业化发展开拓了新局面。但与此同时，各类健康相关机构拥有的庞大的医疗大数据也为临床研究带来诸多伦理问题。如何既准确高效又安全合理地发挥医疗大数据的价值，是摆在政策制定者和科研工作者面前亟待解决的问题。

为了解医疗大数据在应用中可能引发的相关伦理问题，本研究对医疗大数据的实践应用和发展困境进行梳理分析，进一步为探究如何规范使用医疗大数据及研究中如何获取知情同意等提供借鉴。

1 医疗大数据的内涵及发展机遇

1.1 医疗大数据的内涵与特性

2008年9月，Nature杂志第一次正式提出“big data”的概念，但关于什么是大数据，截至目前尚未有统一的定义。2011 年5月，麦肯锡研究所的研究报告给大数据下了一个相对清晰的定义，即大数据是一个数据集，其大小超过了传统数据库工具获取、存储、管理和分析的能力，数据规模巨大，数据交换率高，数据类型涵盖范围广，同时保持了低数值密度，之后该定义被广泛采用。通常意义上，大数据是指数量巨大的和全景的以数据电文形式被记录、处理和传播的信息[1]。

医疗大数据通常具有六个特性，即6V——大量性(volume)、多样性(variety)、快速性(velocity)、易变性(variability)、准确性(veracity)和价值性(value)[2]。医疗大数据的实践应用可以通过资源、技术和社会三个维度来理解。首先，数据作为一种资源，它随着医疗机构信息化的进程，已经积累并且仍在持续积累的海量数据，具有容量大、产生快、可信度高和隐私性强的特点[3]；其次，作为一种技术，它也是一种处理上述数据的技术群；最后，作为一种社会影响因素，它对临床医学领域现有的数据管理政策、制度乃至观念都提出了变革性的要求。医疗大数据应该是基于医学检测技术、临床诊断记录、“互联网+医疗”的发展，对相关的健康数据类型和规模加以分析管理，可以创建有用的健康指导的信息集合，从而达到改善人群健康水平的目的。与此同时，随着生命科学和信息技术的进步，临床医学领域的数据规模还将继续扩大，其影响不容低估。医疗大数据领域中的患者数据是临床医学数据中最具有价值的部分，是患者健康和医疗相关的电子资料，也是有助于公共卫生管理、个性化治疗和医学研究的关键部分[4]。

1.2 医疗大数据的发展机遇

随着信息技术的迅速发展，对医疗大数据通过智能分析和整合并对数据进行二次挖掘，也能发现更有价值的信息，对健康管理及健康干预具有极为重要的意义。美国罗切斯特大学的一个数据挖掘团队曾利用自己开发的文本分析工具，在一个月内收集60余万人的440万条Twitter信息，借此挖掘群体的身体健康状态。结果表明，研究人员可以提前8天预报流感对个体的侵袭状况，而且准确率高达90%[5]。

医疗大数据也能够在将患者的数据进行储存、处理以及分析，给医生的临床诊断提供全面的数据支持，提高诊疗效率和准确率。大数据技术也能够使医疗卫生事业各方面的数据得到专业化的分工处理，在未来更广泛、更全面的数据开发及应用的基础上，最终实现优化资源配置的目标[6]。

除了对临床医学具有重要意义外，医疗大数据在公共卫生服务领域亦发挥着重要作用，通过开展基因组学及组学间研究能够更加准确地预测患病风险；利用大而广的数据信息可以快速筛查未知的病原，并找出可疑致病微生物，从而采取有效的流行病学防治措施等。在大数据时代，医疗卫生服务领域紧追科学技术的前进步伐，打破传统医疗中的数据孤岛，更好地实现医疗机构之间的合作互动，为广大患者提供更优质的医疗服务[7]。

2 医疗大数据研究中的风险与困境

2.1 医疗数据存储中的扩散及篡改风险

随着健康医疗数据的暴发式增长，医疗数据的安全形势也十分严峻。医疗机构作为数据的采集者、使用者和存储者，有保护数据安全的关键责任。美国HIPAA(Health Insurance Portability and Accountability Act)法案的实施代表医疗服务进入电子化时代，相关规定表明医疗机构不能擅自泄露患者的医疗记录，并且允许患者浏览和纠正自己的医疗记录[8]。HIPAA法案对多领域医疗健康产业发挥着引导与规范作用，其中包含医疗信息安全、医疗隐私保护等诸多方面。尽管如此，2015年5月，美国独立研究机构波莱蒙研究所发布的一份研究报告显示，65%的医疗机构没有为已经丢失的数据或者数据已经被盗窃的患者提供任何保护服务；只有50%的医疗机构依据HIPAA Final Rule 的要求，对每一件可能发生的安全事件进行风险评估。由此可见，医疗机构自身对于患者医疗数据的保护存在疏忽和不重视[9]。当前我国尚未掌握有关数据保护的处理、分析等核心技术，医疗机构的关键信息基础设施或软件严重依赖发达国家[10]，数据保护技术能力有限。医疗大数据的研究离不开大量医疗数据的存储，互联网时代云端数据的汇集方便了医疗大数据研究的多主体参与，然而扩散速度不易控制、传播痕迹难以消除，数据泄露以及被篡改风险大大增加，医疗数据的安全受到了较大威胁。

2.2 医疗数据泄露后的患者隐私侵犯风险

据美国卫生部统计，仅在2015年的第一个季度，全美国就发生了87起数据泄露事件，这其中涉及医疗机构500余家，共导致9230万条个人信息泄露[6]。国内媒体也曾曝光医疗信息泄露的恶性事件，如2016年媒体报道我国至少有275位艾滋病病毒感染者个人信息被泄露[11]。在医疗数据逐渐实现信息化、电子化的背景下，医疗大数据愈加完善及完整。患者的医疗数据一旦被窃取，某些非法的医疗机构就可以根据不同患者的病情，“定制”拨打营销电话或者推送广告，同样可能利用这些信息进行网络诈骗，这对公众造成的信息价值损失无法估量。

2.3 医疗数据挖掘后的基因歧视风险

基因领域是大数据最早诞生的领域之一，由于人类和各类生物基因自身的复杂性、多样性决定了“基因”是数据库的一大丰富宝藏[1]，分子生物学、基因测序技术的不断发展又从更深、更广的层面加深了人类对于基因精细化的认识，促进了医学大数据研究的进步。随着基因研究的不断深入和技术的持续发展，越来越多有价值的信息被挖掘出来，“个体的基因信息不仅可以揭示致病基因、缺陷基因与个人疾病、个体缺陷之间的内在关系，而且可用于揭示个人的品格、智力尤其是某种潜在的素质[12]。”目前对于基因检测的技术已经相对成熟，即便是一块很小的生理组织都有可能追踪到个人，会给基因存在缺陷的人群可能带来健康歧视，影响其在社会中公平生活、工作的基本权利。企业雇主可能通过个人的健康医疗信息对员工进行分类[10]，损害员工本应获取的正常工作生活的权利，破坏了社会的公平正义。

2.4 医疗数据研究时知情同意的获取困境

患者始终是医疗大数据的主体，具有信息自决权和参与权[10]，因此在研究开始前的知情同意阶段显得尤为关键。知情同意(informed consent)是医学研究中最核心的伦理原则，有效的知情同意不仅能够使患者清楚地了解研究的目的、方法，在一定程度上解决医患双方信息不对称的问题，同时也是对研究者利益的一种保护。传统意义上的知情同意主要存在于医生-患者、研究者-受试者之间，通过书面知情同意书的方式，授权相对明确。同时具有面对面交流、书面文件签字确认以及患者本人有意愿的直接参与三大特点[13]。

在文献研究中，论及知情同意有两大关键点，其一，明确潜在的可能研究是什么，并且能够向患者提供相关信息来为他们决定是否要参与其中作支持；其二，由于考虑到适当的信息总是不能被完全地给予，所以一些“津贴”需要被提供[14]，此即考虑到研究存在一定的风险以及不确定性，需要给患者一定的经济上或非经济上的补偿。

由于医疗大数据的研究分析通常是在海量数据收集之后进行的，多数时候研究者对未确定的研究及可能需要获取的患者数据在取得知情同意上存在困难。一份同意在不可预知研究结果以及研究可能性时被获得，其是否有意义或者是否具有法律效力存在争议[15]。在大数据时代，医疗数据的很大一部分价值体现在其被二次利用之后的研究意义和结果，然而在采集阶段可能患者并不知道自己的数据将会被谁所用，可能研究者自身也不知道这些数据何时会被使用、会使用在哪项研究上。从此角度来看，传统的受试者与研究者之间面对面签署书面知情同意，并有研究者向其讲解研究目的、意义等场景难以实现。“主体逐一授权数据使用显然是不现实的，即使是在主体授权下使用个人数据的组织，有时也不能保证应用中语境的完整性，很多数据在收集的时候并无意用于其他用途，而最终却产生了很多创新的用途”[16]。使用数据库的研究者们没有办法实现对不明确的数据挖掘征得个人同意，并且由于医疗大数据的数据量之大，逐一向数据提供者获得使用授权也不具有可操作性[17]。因此，在医疗大数据的研究中，如何获取患者的知情同意成为亟待解决的问题。

3 医疗大数据的风险防范举措

3.1 相关部门完善隐私保护的法律监管体系

目前“互联网+医疗”发展迅速，医疗大数据时代已经来临，数据库也愈加丰富，但我国配套的法律法规体系仍不够健全。国家卫健委在2018年印发《国家健康医疗大数据标准、安全和服务管理办法(试行)》(国卫规划发〔2018〕23号)，提出对医疗大数据的采集、存储、利用及共享等服务加强安全管理，突出责任单位主体责任，强化监管部门监管职责；国务院在2019年颁布《中华人民共和国人类遗传资源管理条例》(国令第717号)，将生物医学大数据上升至国家战略资源进行管理，规范了人类遗传资源信息材料的使用和限制出境，但目前在医疗大数据研究使用以及二次挖掘如何保护患者隐私方面仍有较大的空白。我国应尽快完善配套的隐私保护法律法规、标准来消除隐患，从根本上规范数据使用和研究行为。除此之外，应当充分发挥相关部门的监管责任，与相关的医疗大数据存储使用平台签署保密协议，并积极引入社会监督机制，提高违规成本，加强隐私保护。

3.2 医疗相关机构充分应用区块链技术加强数据保护

哈佛大学遗传学教授George Church将区块链技术带到了基因组学革命的中心[18]。区块链本质是一个去中心化的分布式数据库[19]，可以无须集中控制地创建数字化的交易块。医疗数据本身存在孤岛化、数据质量不高等问题，应用区块链技术可以确保医疗数据来源的透明化，保障数据来源可追溯，去向可追踪，能够建立相对透明的医疗大数据库[20]。一方面可以使得医疗大数据库数据资源更加丰富、数据内容更加可信；另一方面能够解决单一数据孤岛化的困境，充分挖掘医疗大数据的潜能。尽管基于开放的区块链系统构建了医疗大数据库，但是采用环签名技术可以通过一定的规则用公钥集代替特定的公钥签名进行有效性验证，签名者可以用自己的私钥和环里其他成员的公钥进行签名，从而确保区块链整体中只有私钥持有者有资格查看数据的安全性[21]，公钥集的认证方式对数据存储和所有权双方的隐私保护提供了一种新的技术可能性。除此之外，区块链技术还可以对信息设置权限，增加保密措施，将患者个人姓名、年龄等模糊化[12]，从而加强隐私保护。

电子健康档案的数据管理采用区块链技术实现数据交换，借助区块链最核心的优势和特征——“去中心化”，不设立中心管理机构，当医疗信息输入到患者的健康记录中时，数据由区块链进行验证并加时间戳，当患者把诊疗记录在转诊时呈现给另一位医生时，区块链可以验证记录是否被修改，从而实现电子健康数据能被多方授权建立、追加、分享[22]。这意味着患者的健康数据存储更加安全，需要保护的隐私信息也更难被挖掘和篡改。

医疗机构间应用区块链技术有利于在保护患者隐私的前提下实现数据资源的共享、构建医疗大数据库、促进医学科研事业的发展。

3.3 研究人员加强行为规范与行业自律

从伦理角度来看，当数据研究者在采集数据或进行数据研究阶段时，如果发现数据产生者存在危害社会公众安全的风险隐患，如，当数据产生者有吸毒、患有某种未知的强传染性疾病或对社会有仇视心理并有攻击等行为时，应当及时向相关管理部门公开患者信息，而不再需要隐瞒患者的相关个人信息，但仅限于向相关政府机构进行披露。从数据的应用管理来看，涉及患者个人的隐私信息，信息所有权一定是归患者所有，要取得数据一定要经过患者的知情同意。即便是隐去了个人信息之后形成的大数据的使用，也是一种公共资源，医疗机构、医务人员没有随意处置数据的权力，只能根据公共的授权进行使用[9]。研究者不仅要关注医疗大数据库的优势，更要对伦理问题持严谨态度，加强自我行为规范、行业自律，做好风险管控工作，对数据资源进行合理使用。

4 大数据时代新型知情同意方式的探索

4.1 采用泛知情同意实现现有医疗数据的未来研究

泛知情同意是知情同意的一种特殊形式，是指健康数据或生物样本在将来研究的范围内受制于告知内容和/或过程的非特定知情同意[23]。在以下三种情况中，是使用泛知情同意的最佳状态：其一是可以大致地划分研究范围，并告知数据提供者，其数据可能会被哪些研究人员以及研究机构使用；其二是数据的收集者和储存者能够对未来发生的相关研究进行批准和监管，在管理层面具有严格的治理体系，确保研究的科学性和有效性；其三是无法确保可持续地与数据提供者保持联系，并定期与提供者交流研究的进展[24]。2015年Carrison的一项研究显示，泛知情同意通常优于分层知情同意或特定研究知情同意，特别是在泛知情同意成为唯一选择或样本去除识别信息、样本库的交流、保护隐私的情况下，广泛同意的优势凸显[25]。

泛知情同意能够在一定程度上解决难以实现的逐一知情同意，但是也因为缺乏提供给患者全面准确的研究信息而饱受争议。目前来看，泛知情同意应该明确划分出哪些信息可能会被二次使用，并且使用者也应当被局限在医疗机构附属大学或者能够被相关监督机构监督的研究所或医疗机构中[26]。泛知情同意也意味着同意了未来任何可能的研究形式，包括研究可能产生的伦理问题以及伦理审查。我国有学者曾在2009年探索了用泛知情同意签署临床诊疗剩余样本用于研究，但仍有许多伦理学家认为泛知情同意阻碍了受试者获取必要知情权的权利和自由，具有较多潜在隐患可能给受试者带来损害[27]。

泛知情同意意味着向参与者表明非常细化的未来研究难以实现，探索如何保障参与者的权益有四个关键因素：数据的共享具有潜在收益、这些数据将会被“去标识”、建立能够将对参与者的危害降到最小化的机制、参与者不会因为分享了这些数据而感到不安和压力[28]。

4.2 借助动态知情同意实现受试者和研究者之间的持续互动

为了改善泛知情同意存在的问题，“动态知情同意”的概念被提出，即在初次知情同意后，进行后续研究的时候，需再次获得受试者的同意，且受试者有权利且能够随时退出研究[23]。

相较于泛知情同意，动态知情同意首先需要更活跃、更有潜力、能够参与更多互动交流过程的医疗大数据贡献者。英国进行的确保同意和撤销研究项目，旨在使个人对个人信息有更多的控制权，同时提出了对动态知情同意的见解，认为这是在网络平台基础上实现参与者可以与研究机构保持联系。同时强调，这样一个动态过程是持续性地与数据提供者保持联络并向他们提供关于研究的实时信息[29]。

动态知情同意强调“同意”不仅仅是沟通，更是一种数据提供者和研究者之间双向的、持续的互动过程[30]，这将有利于最大限度地提高数据利用的透明度，改善研究者和参与者的交流，达成对数据价值挖掘的最大共识。动态知情也并不像特定知情那样有固定的形式，而是可以根据研究目的和内容去建立相应的同意方式[31]，例如生物银行研究的参与者可以通过动态知情的平台向研究项目提供知情同意，此后依旧可以通过平台就新的研究活动向数据使用者表示是否给出新的同意。

动态知情同意可以提升参与者决策能力和参与度，可以让参与者根据研究者告知的实质信息，按照自己的真实价值观理性作出决策，在一定程度上保护了参与者权利；但同样存在的问题是，一旦参与者失去联系，已经采集并储存的大数据信息会因无法获取知情同意导致后续研究无法开展。

在“互联网+”时代，医疗大数据具有强大的生命力和广阔的应用前景，但是仍存在不完善的方面，如何充分利用医疗大数据进行数据挖掘，同时保护患者个人隐私不受侵犯，这是开展医学研究和推动医学发展必须面对的问题。完善隐私保护的法律监管体系与提高研究者行业自律是医疗大数据应用挖掘与开发的必要前提，区块链技术的发展是医疗大数据研究开展强有力的技术保障。而使用患者的医疗数据进行研究，知情同意是不可或缺的关键环节。如何获取数据所有者知情同意需与时俱进，不仅要适应大数据研究的技术特征，做到尽可能的高效和便捷；还需确保患者的隐私权益，秉承生命伦理学尊重、不伤害、有利、公正的基本原则。泛知情同意以及动态知情同意的提出，为“互联网+医疗”时代获取知情同意的方式提供了新的可能。科技的发展推动时代的进步，带来人文理念与信息素养的飞跃，期待大数据研究借此跨越隐私保护的鸿沟，充分让利于民，造福民众。

利益冲突：所有作者均声明不存在利益冲突。