健康医疗大数据共享下的授权模式探讨

高玉玲，徐咏军

(皖南医学院 人文与管理学院，安徽 芜湖 241001)

数据共享是数据产业发展的重要基础，也是数据流通和使用的重要途径，如何进一步完善数据共享中的授权规则是法治建设的重要课题。健康医疗大数据作为国家重要的基础性战略资源，其共享使用是深化医药卫生体制改革的必由路径。如何在健康医疗大数据促进的政策视野下，构建符合信息社会发展授权机制是数据共享的法治保障，是规范健康医疗大数据流动过程中采集者、储存者、传输者、控制者、使用者、信息加工者及信息主体间对信息享有、利用等所产生的权责关系的法治路径。

一、健康医疗大数据共享运用的特点

健康医疗大数据是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。健康医疗大数据的使用具有强监管性、应用场景多样性、非营利使用性等特征。

(一)强监管性

健康医疗大数据的运用，将带来诊断治疗、临床研发、医疗体系、医疗管理、个人生活方式的变革。目前正在使用和研发的医疗人工智能产品正是通过学习海量的医疗数据和专业知识，模拟医生的诊断方式开展疾病的诊疗。高质量的健康医疗大数据是医疗人工智能产品质量的重要保障，如原始医疗健康数据少、质量差、数据不具有代表性、更换不及时等将导致医疗人工智能产品的设计和研发因缺乏高质量结构化的数据而产出低质量的人工智能产品，而这些低质量的医疗人工智能产品一旦运用于医疗活动，将给患者生命健康权带来无法预计的损害。将低质量的医学影像人工智能产品、辅助诊断人工智能产品用于疾病的诊断和筛查中可能导致漏诊、误诊和错诊；医生依赖有瑕疵的医疗人工智能器械,可能会产生错误的医疗决策和诊疗。可见健康医疗大数据的运用与人身健康与生命安全紧密相连，数据本身的完整性和准确性将直接影响患者的生命健康安全。健康医疗大数据不仅承载通常数据主体的医疗信息和隐私信息，还会产生重大的医疗安全问题，其与一般的大数据相比，应具有更强的监管性。

(二)应用场景的多样性

目前的健康医疗大数据在终端运用上，既有运用于C端的健康管理、慢病管理、消费基因、在线问诊，也有运用于B端的精准营销、医疗控费、供应链管理，还有运用于B-B-C端的精准治疗、辅助诊断、随诊服务、分级诊疗等领域。其既可为个人提供健康服务，也可用于企业药品研发或为药店管理、诊断、保险提供智能化服务，还可以通过辅助诊断、基因诊断而促进精准医疗。应用场景的多样性和复杂性，适用对象的差异性，体现了健康医疗大数据在不同场域下运用的不同价值，也因而引发健康医疗大数据共享授权规制特殊性、复杂性和多样性。

(三)非营利公权使用性

数据的使用一般应遵循数据收集时的目的，但并非只要与收集时的目的不符，就违反了法律的规定，各国法律及政策在这方面表达虽然不同，但法律价值的选择是一致的。欧洲委员会2012年《个人数据处理中的个人保护公约》第九条规定了“为了保护国家安全、公共安全、重要的国家利益和金融利益、防止和打击犯罪方面”以及“为了科学研究目的，对数据主体的权利和自由没有受到明显侵害时”可以不受采集时目的限制。健康医疗大数据往往是基于疾病治疗的目的而收集，医疗机构作为数据的控制者和持有者，其将数据共享使用往往是基于国家制度的安排，不具有商业目的，具有非营利公权使用性。如在推行分级诊疗制度的实施过程中，基于双向转诊、上下联动分诊诊疗以及急慢分治的需要，各医疗机构之间应实行健康信息的共享流通；在区域医疗信息化过程中，远程医疗、电子病历共享可以更好地实现上下级医疗机构间的联动，实现医疗资源的优化配置。健康医疗大数据不仅是在医疗机构间共享使用，还可以在医疗机构与司法机关或政府管理部门间为了国家利益和公共安全共享使用，如打击刑事犯罪领域，某精神病人是否构成犯罪，是否具有精神病的判断常涉及犯罪嫌疑人及家属的健康医疗大数据、家族遗传史等数据；醉酒的人犯罪，使用刀枪伤人的犯罪可能涉及被害人和被告人的某些医疗数据资料。在卫生行政领域，将一些健康医疗大数据应用于公共卫生执法、卫生监督活动中，如在食品、药品等与人体健康相关产品行业的就业人员有严格要求，其从业人员不得患有乙肝等传染性疾病，故为了公共卫生安全，对这些从业人员的健康医疗数据信息存在一定范围的共享使用。此外，涉及器官移植及捐献的相关当事人可以共享当事人间的特定数据信息；以医疗研究、公共卫生的统计和预防为目的，预防、调查和起诉违反职业道德规范行为也存在医疗健康大数据共享使用情形。

二、健康医疗大数据共享下授权制度的变革

由于健康医疗大数据共享使用的强监管性、使用场景的多样性、非营利性，患者对自身健康数据信息保护呈现被动性特征。为保护健康医疗数据主体的权益，应改变传统数据收集阶段数据主体的授权制度，转向对数据控制者在共享环节授权的规制，从单一授权转向多重授权，从单一场景使用授权转向多场景使用授权，建立有效的共享授权制度，在促进健康医疗大数据利用的同时，更大限度地保护健康医疗大数据主体的权利。

(一)从传统的数据主体授权转向数据控制者授权

健康医疗大数据既有来自于医疗机构内，也有来自于医疗机构外。来自于医疗机构的数据主要是基于患者就医诊疗行为或是基于体检而产生的医疗健康数据，目前主要是以电子病历为载体；来自于医疗机构外的数据主要是健康档案以及智能化硬件检测、监测或是网络问诊、网络咨询、移动医疗APP产生的数据以及技术公司通过基因测序所得的基因数据。数据既有来源于健康人群，也有来源于慢病人群、患者、体检机构、医院和第三方诊疗机构。尽管数据主体对其数据具有自决权，但对于健康医疗大数据的主体来说，其对其个人的信息保护具有被动性，患者就医行为的健康数据为医疗机构所控制，作为数据主体的患者所享有的数据更正权、擦除权、数据携带权受到限制。故要对数据主体的权益加以保护，应将重心放在对数据控制者方面，规范数据控制者的保存、共享使用等行为。随着互联网+医疗的发展，分级诊疗制度的实施，要改变各医疗机构间信息不流通造成的信息孤岛现象，必须规范健康医疗信息共享的授权机制，改变传统的数据采集阶段数据主体同意制度，转向建立有效共享模式下数据控制者的授权机制，通过区域医疗信息共享实现医疗机构间资源的优化配置，增加人民健康福祉。目前法律从保护数据主体利益角度规定了医疗机构和医务人员对健康信息具有保密义务。但共享中，共享的人员复杂且难以确定，很难采取患者直接授权的模式，且由于“互联网+”的运用，患者即使授权，也很难评估其可能面临或将来面临的风险；在共享应用中，患者也无法把控被授权主体的实际应用情况。故健康医疗大数据促进中，应构建数据共享使用环节授权的规定，建立数据共享使用阶段授权制度，规范数据控制者对数据的再使用。目前国家在相关规章中明确赋予了“责任单位的安全管理义务”，这里的责任单位应主要是数据控制者，而数据控制者要管理好收集来的数据，应确定法定的授权利用机制。

(二)从单一授权转向多重授权

共享改变了原有的健康医疗数据的权属状态，授权主体由一个转向多个或不确定的数个。个人健康数据通常认定是影响个人隐私的医疗健康数据信息，其一般作为信息性隐私权加以保护，即权利人享有对其能够被识别的个人信息的获取、披露、使用有控制的权利。在纸质病历、纸质健康档案的非信息化时代，个人医疗健康数据一般具有独占性，一般为患者预防治疗的医疗机构持有和控制，控制方式相对单一。而在健康医疗大数据共享时代，电子病历或电子档案被多人或多个机构共享，隐私权凭借电子病历所有权的限制在逻辑上已经成为一个问题。在共享时代，个人数据信息具有非独占性，其产生时就存在与他人或其他服务系统共享的情形，这种共享性使其在开始时便具有共有性，而共有性使得私权的权属和边界的划分及权利内容的确定都非常困难。就医疗机构因就医行为所取得的健康医疗大数据来说，存在医院内共享、区域内上下级医疗机构共享、卫生行政部门共享以及司法或其他行政部门基于履行法定职责需要共享等情形，作为最初的医疗机构一旦收集医疗健康信息后，由于共享使用使该类数据为两个或两个以上的单位控制，而不同的控制者之间基于不同目的使用将会存在多重授权的情形。

(三)从单一场景目的使用授权转向多场景目的使用授权

医疗机构是院内患者医疗健康数据的主要收集者和使用者，也是患者医疗健康数据的最初持有者、储存者和控制者，非信息化时代，患者的医疗健康信息使用的场景相对单一，主要是出于防病治病的目的，故目前我国民法典及医疗卫生法中主要规定了医疗机构和医务人员未经患者授权，不得泄露患者隐私和公布患者病历资料，即患者对其个人信息具有控制权和自决权。但在健康医疗大数据共享时代，健康医疗大数据除了在原有的防病治病场域使用外，已经被广泛运用到精准医疗、疾病早筛、健康管理、慢病管理、在线问诊、预防预警、保险控费、精准营销、患者管理、医学影像、病理影像、医疗智能化等各种应用场景中，院内数据在大数据技术中广泛应用于提升诊疗及管理效率；院外数据也广泛应用于提升在线医疗企业的服务规模及能力，增加企业收入，降低成本，通过提升用户健康去创造商业价值等领域。

在互联网+医疗下，个人医疗健康数据信息可能会存在无限的使用方式，而在这不可控的使用方式中，个人健康信息权如何保障？原有基于单一目的单一场景下使用的授权机制在大数据共享时代已然失灵，原有的授权机制可能成为阻碍技术发展的障碍，难以适应互联网+医疗社会的发展，因此构建多场景下的授权机制是时代发展的法治保障路径。

三、健康医疗大数据共享下授权模式的构建

健康医疗大数据最大的运用价值在于数据共享的二次甚至多次运用，但由于健康医疗数据的生产具有被动性，作为健康医疗大数据主要来源的院内数据，是基于患者疾病治疗的目的而收集，至于治疗疾病以外的信息使用原则上需要患者授权。但在“互联网+”时代，数据的权利主体与数据控制者相分离，作为未来的共享使用者无法得到数据的权利主体直接授权。法律如积极回应健康医疗大数据积极利用与数据主体知情同意之间的冲突和协调，应重构新的授权模式，规范数据控制者的行为，建构共享使用环节的授权，建立以法定授权为主、委托授权为辅，总括授权为主、特别授权为辅，默式授权为主、明示授权为辅的模式。

(一)在权利的来源上，构建法定授权为主、委托授权为辅模式

在大数据时代，许多有价值且具有创新性的数据在收集时其用途是已知的或未知的，基于某一个目的收集的数据往往会因为其对社会产生巨大的效益而被重新设定目的。健康医疗大数据也是如此，虽然是基于疾病治疗的目的而收集，但特殊种类的医疗健康数据的共享使用有利于遗传性疾病、癌症早期诊断和疾病预防检测方面的应用，推动精准医疗技术发展。为顺应新兴信息技术发展趋势，促进健康医疗大数据融合共享，如果对这些数据的采用仍采取委托授权的模式，一味强调数据主体的私权保护，过度强调数据主体的同意，不仅加重了社会的负担，也不符合现有的经济考量和技术创新；不仅阻碍了数据的快速共享融通，各医疗机构间的信息孤岛效应难以破除，也阻碍了数字经济的发展，有时可能会影响数据主体福祉的实现。因为“共建共享是健康中国的基本路径”，健康医疗大数据的共享使用主要是为了公共健康安全需要，促进健康医疗行业的发展，此时的个人数据信息应作为公共物品予以保护，是为了公共利益和公共安全性质的使用，共享中的使用应具有公权性，所以应采取法定的授权方式，规范数据控制者对数据的处理，明确规定数据控制者使用健康医疗大数据的条件、范围和对象。目前我国法律中虽然没有规定，但在相关部委规章中已有体现，如《人口健康信息管理办法(试行)》第十四条规定：“责任单位应当建立人口健康信息综合利用工作制度，授权利用有关信息。利用单位或者个人不得超出授权范围利用和发布人口健康信息。”《国家健康医疗大数据标准、安全和服务管理办法(试行)》第二十二条也规定：“ 责任单位应当按照《中华人民共和国网络安全法》的要求，严格规范不同等级用户的数据接入和使用权限，并确保数据在授权范围内使用。”可见应采取法定的授权方式建立责任单位对健康医疗大数据信息进行处理应。在2018年国务院办公厅印发的《促进“互联网+医疗健康”发展的意见》中，也将相关机构准入标准、最大限度减少准入限制以及加快建设数据访问控制信息系统作为强化医疗质量监管的重要内容。2013年经合组织(OECD)通过的《关于隐私保护和个人数据跨境流动〈指南〉的修正案》中将保护数据的责任从个人转移到数据收集者和数据使用者身上，并在法律中明确规定了数据收集者和数据使用者的法定授权及使用方式。我国医疗机构及卫生行政部门作为健康医疗大数据的持有者、控制者、使用者和监管者，同时也是健康医疗大数据平台的建设者和维护者，应设置一个有效的受法律认可的共享系统，为共享者、运营者和技术服务单位确定明确的行为准则和界限，规定明确共享范围和方式，从而有效地协调个人健康信息保护和信息自由流动之间的平衡，避免过分强调数据隐私而制约了科技创新。

在共享使用中，基于公益目的法定授权也不是绝对的，当相关机构和个人存在识别分析行为，可能对数据主体的利益造成影响时，仍需要数据主体的同意，即数据主体的委托授权。否则数据主体可以随时拒绝其使用，除非数据控制者或使用者能够证明其使用的合法依据优于数据主体利益的保护，我国《人口健康信息管理办法》第十三条规定：“人口健康信息的利用应当以提高医学研究、科学决策和便民服务水平为目的。”但“涉及保密信息和个人隐私信息，不得对外提供。”

因而在共享使用中建立法定授权为主、委托授权为辅的方式，可以协调公权性使用和数据主体私权保护之间矛盾，契合健康中国发展目标，促进医疗领域的技术发展，增进群众福祉。

(二)在授权内容上，构建以概括授权为主、特别授权为辅模式

医疗机构基于疾病治疗的目的采集患者个人健康信息，一般会取得患者的明示或默示的授权同意，但在共享使用中，鉴于人口的规模，共享者和数据主体难以直接联系，使用患者个人健康信息要取得每个患者的授权实际上也不可能，基于个人权益和社会公益保护的促进，数据持有者应在数据采集时或采集前，建立广泛授权同意模式，即概括授权同意模式。该授权模式是在电子病历、电子档案建立和修改完成时就应取得患者授权同意，患者同意将其个人健康医疗信息应用于将来的研究或非特定的使用。即使患者个人不知道将来可能的使用情况，但医疗机构作为数据控制者和将来的处理者、利用者，要在保证患者知情权和信息权的基础上，让患者作出概括的授权同意，即患者个人能够知道和理解所有的情况和将来可能的使用。尽管医疗机构在当时还不能披露和列举将来具体的使用情形，但数据收集者和数据控制者应该提供将来使用方面的足够信息概括告知患者，取得患者的概括授权。这些信息一般应包括：使用的目的(是否包括商业目的使用)；患者个人的何种数据信息将会共享；控制者将来是否将数据链接给其他网络；如果要共享的话，在何种情况下、基于什么目的共享；在共享中，何种第三方可能存在潜在的访问；患者的何种个人数据信息将被匿名化使用，匿名化到什么程度；该数据信息库由谁管理，管理中将采取何种措施保护以及将面临隐私和安全风险的情形；使用结果将多大范围内使用或报导；何种情形下患者有退出共享的权利。这种概括授权同意的模式在国外利用电子病历信息进行科学研究中，是学者推崇使用的模式。

概括授权同意有利于医疗健康信息的共享，有利于健康医疗大数据的发展，有利于医疗卫生事业的发展及法律治理。但概括授权同意只能限定在匿名状态下和没有危险的情形下才可以使用，如果不能保证，则需要患者特定的授权同意。如对于特定的涉及患者重大隐私和个人权利的健康数据，应取得患者的特别授权，否则可能涉及侵权。特别是将带有患者个人身份的信息进行共享，或将某些艾滋病、传染病的信息等敏感或危险信息共享，将对患者的权益产生重大的影响。

概括的授权模式符合“互联网+医疗”的发展，符合我国健康医疗大数据的促进和相关产业的发展；特别授权的方式契合个人私权保护的法律要求。建立以概括授权为主、特别授权模式为辅模式，公私权协同保护，公私法共用的治理方式，推进医疗体制的改革和医疗技术的创新。

(三)在授权方式上，建立以默示授权为主、明示授权为辅模式

在现有的法律制度下，医疗健康信息的传输在很大程度上依赖于隐含或默示的同意，信息的最初采集是基于疾病治疗为目的默示授权，数据采集后的储存、使用、处理实践中也常隐含数据主体和数据控制者的默示同意。默示授权的方式有利于健康医疗大数据的建设，减少了个人对数据信息的不合理限制，符合我国相关法律的规定。《民法典》第一百四十条第二款规定：“行为人可以明示或者默示作出意思表示；沉默只有在有法律规定、当事人约定或者符合当事人之间的交易习惯时，才可以视为意思表示。”健康医疗大数据的共享主要应用于医疗卫生研究、公共卫生治理等目的，与健康医疗大数据最初采集的目的并不冲突，我国《人口健康信息管理办法(试行)》第十三条规定：“人口健康信息的利用实行分类管理，逐步实现互联共享。人口健康信息的利用应当以提高医学研究、科学决策和便民服务水平为目的。依法应当向社会公开的信息应当及时主动公开。”共享使用一般是基于非营利性的公益目的使用，在最大限度地保护信息权利人利益的基础上，法律应该明确可以通过默示同意方式使用，该方式有利于健康医疗大数据的流通和使用，有利于公共利益的保护和促进，同时符合法治价值。我国著作权法中就规定了默示的法定许可方式，在国外的法律中也有相关规定。

但是当健康医疗数据的共享使用可能造成数据主体权利的侵犯时，应经过其明示授权。如果数据使用单位或个人确需使用可识别个人身份和隐私内容等个案信息的，即使是出于科学研究、公共卫生等利益的需要，也应向数据控制者提出应用服务申请，在征得数据主体明示授权后，才能使用。此外对于基于赢利目的使用，应经明示授权。数据控制者与数据主体之间应签订授权合同，决定何种健康数据信息可以商业共享，共享的范围，何种信息共享时需被授权，何种信息共享没有进一步同意不被授权，以及采取何种措施保护健康信息的安全。数据控制者被授权后，其可以基于与数据主体间的合同对数据处理者进行再授权，但该授权必须在原授权范围内，不得超越数据主体的授权，如数据处理者是“用于直接营销的目的，数据主体有权随时拒绝为此类营销目的而处理个人数据的行为，一旦拒绝后，数据处理者就不能就该类目的再行处理”。大数据时代，“明示”和“默示”授权规则区分日益模糊，授权的方式如何，应区分数据的类型是一般个人数据还是个人敏感数据。如果是一般数据，采用默示同意方式，“隐私规则不禁止披露不是个人身份的信息，如果医疗信息去除姓名、地址、电话号码、社会安全号码以及其他识别病人身份的信息，这样的信息不构成个人健康信息。”如果是个人敏感数据，应适用“明示授权规则”。共享中的数据如果是匿名数据，则可以采取默示同意的方式，但如果“涉及保密信息和个人隐私信息”，必须经相关主体明示授权。数据控制者、共享使用者应采取适当的技术和组织措施保证数据主体的权益，在采取匿名化和保密保护机制的基础上，还应遵循数据使用的最小化义务原则，最大限度保护患者的隐私权，尤其是在默认状态下。当涉及基因、艾滋病、性病等敏感信息可能对数据主体产生重大风险的健康数据共享时，应事前进行风险评估。对于哪些数据应进行评估，法律中应予以具体明晰，对健康医疗大数据的使用应设立专门管理机构和专门管理人员，对数据共享中可能存在的风险进行监管，当出现风险时，应及时进行通知数据主体。政府作为大数据平台的建设者和维护者，在大数据平台建设过程中应以信息权保护为核心在健康医疗大数据清洗、数据脱敏、数据分析使用中充分发挥监管者的作用，即使是基于法律目的共享使用。

利用健康医疗大数据推进医疗行业治理、健康管理，推进临床医疗、公共卫生大数据应用，培育健康医疗大数据应用新业态是时代发展所趋，在健康医疗大数据的促进中，如何构建私权保护与公益促进的共享合作共赢机制，是数据共享和相互融合下国际社会所关切的共同话题，也是健康医疗大数据促进中急需回应的问题。一方面，临床医学、医疗行业治理等需要促进健康医疗大数据的应用，另一方面，个人健康医疗数据信息由于涉及个人的隐私权、财产权保护而受到限制使用。有效的共享授权机制的建立将为健康医疗数据在个人私权保护和公共卫生事业发展的良性运行中提供法治保障和支撑。

注释：

①《国家健康医疗大数据标准、安全和服务管理办法(试行)》第四条。国务院办公厅《关于促进和规范健康医疗大数据应用发展的指导意见》(国办发〔2016〕47号)将“坚持规范有序、安全可控”作为基本原则，并提出要强化安全管理责任。2018年国家卫健委制定的《国家健康医疗大数据标准、安全和服务管理办法》将“强化监督”作为健康医疗大数据标准化管理的基本原则之一，并明确规定了卫生健康行政部门作为监督管理的主体。

②《电子病历应用管理规范》第十七条规定：“电子病历归档后原则上不得修改，特殊情况下确需修改的，经医疗机构医务部门批准后进行修改并保留修改痕迹”。第十九条规定了门(急)诊电子病历应保存不少于15年；住院电子病历不少于30年保存时间。

③数据的控制者是指决定个人数据处理目的与方式的自然人、法人或其他实体。(参见欧盟数据保护条例：第4条(7))。院内数据的控制者一般为医疗机构；院外数据(主要是网络在线服务获取)一般是云服务商或者网络服务的提供者。由于健康医疗大数据主要来源于医疗机构，所以本文也主要以此作为讨论范围。

④《国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》第三条规定了健康医疗大数据要“坚持以人为本、创新驱动，规范有序、安全可控，开放融合、共建共享”的原则，同时要加强健康医疗大数据的安全管理。第二十一条规定了“责任单位应当依法依规使用健康医疗大数据有关信息，提供安全的信息查询和复制渠道，确保公民隐私保护和数据安全”。可见在健康医疗大数据使用中，关键是要加强对责任单位的管理，这里的责任单位应主要是数据控制者或持有者。

⑤国务院办公厅《关于促进和规范健康医疗大数据应用发展的指导意见》(国办发〔2016〕47号)，提出了“坚持规范有序、安全可控”原则，该原则中将“建立健全健康医疗大数据开放、保护等法规制度”“妥善处理应用发展与保障安全的关系，有效保护个人隐私和信息安全”作为健康医疗大数据的重要内容。即在健康医疗大数据的开发、应用发展中，应妥善处理好公共权益促进和私人权益保护的关系。

⑥所谓匿名数据是指以非个人形式存在并没有任何个人身份特征的数据。(参见：杨高明等.半监督聚类的匿名数据发布[J]. 哈尔滨工程大学学报,2011年第11期)。也有学者认为匿名信息是经过处理无法识别特定个人身份且不能复原的信息。(参见：韩旭至.大数据时代下匿名信息的法律规制[J]. 大连理工大学学报(社会科学版)，2018年第4期)。共享中的医疗健康数据如果涉及到商业秘密、个人隐私应当进行脱密脱敏后使用。