健康医疗数据商业化运用法律问题研究

李伟群，郭宇

(华东政法大学 经济法学院,上海 200042)

党的十九届四中全会首次将数据作为第五大生产要素提出，与传统的土地、劳动力、资本、技术要素并列，旨在提升我国现代化治理能力。2020年4月国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，明确提出要加快培育数据要素市场。数据作为基础性战略资源，其经济价值得到了广泛认可。打造数据要素全价值链，促使数字经济与实体经济深度融合，将成为深化社会主义市场经济体制改革新的驱动力。健康医疗保障向来是民生之重，长期以来我国十分重视多层次医疗保障体系的构建。《“健康中国2030”规划纲要》《关于深化医疗保障制度改革的意见》等文件明确指出了我国健康医疗行业深化改革的方向，此次新冠疫情爆发更是体现出了构建多层次医疗保障体系的现实紧迫性。在这一背景下，将大数据与健康医疗资源结合已成为应对突发公共卫生事件、完善医疗保障体系的高效举措。2016年《关于促进和规范健康医疗数据应用发展的指导意见》指出，要健全健康医疗大数据开放制度，全面深化健康医疗大数据在疾病诊疗、健康管理、临床研究中的应用。因此，健康医疗大数据的应用和发展将带来相关行业的深刻变化，有利于提升健康医疗服务效率和质量，有利于不断满足人民群众多层次、多样化的健康需求，有利于培育新的业态和经济增长点。

一、健康医疗数据商业化运用的现状及问题

近年来，大数据、互联网和人工智能等新兴科技得到长足发展，为数据与医疗事业的深度融合提供了技术保障。健康医疗数据在患者就医或者健康管理过程中产生，随着医疗平台的搭建以及人们对健康事业的高度关注，相关医疗数据会源源不断地产生。健康医疗数字化建设已成为健康中国战略推进的重要路径，在政策落实过程中，不可避免地会涉及数据运用。目前，由于我国有关数据使用的法律规范散见在各部门法中，并未有专门的法律规范数据使用行为，对合法数据权益进行保护，因而，在健康医疗数据商业化运用过程中不免会出现问题。

(一)健康医疗数据商业化运用的现状

健康医疗数据运用将对传统医疗业产生重要影响，通过对数据的分析整合，能够挖掘出更多潜在价值。各国医疗事业开始向“健康管理”模式转变，从传统的发病治疗到注重疾病预防、病后康复，都将依赖健康医疗数据的广泛应用。大数据技术与医疗事业的融合将产生新的商业模式，可称之为颠覆医疗模式，其将全面颠覆现有的医疗认知[1]。

健康医疗数据的商业意义，在我国保险市场已引起了高度重视，太平洋保险等保险公司牵头发布了《大数据生态化的商业健康保险前沿发展模式研究白皮书》，明确指出数据技术将改变现有的保险业经营模式。事实上，数据与保险存在诸多内在联系，大数据可以在核算保费、预判事故发生率上发挥重要作用，有助于精算师更准确地算出保险产品的相关成本。作为我国多层次医疗保障的重要组成部分，健康保险在市场上的进一步发展，将更加依赖健康医疗数据。在后疫情时代，人们更加关注个人健康，不满足于基本医疗保险，金融就为保险需求提供了更加多元化的保障。健康险在我国保险业中占比有限，但近年来增长迅猛，2020年健康险业务原保费收入高达8172.7亿元(1)数据来源：中国银行保险监督管理委员会官网。。健康险需要大量的医疗数据支撑，不同于传统的寿险经营模式，需要在数据综合分析上，根据不同地区居民的健康医疗数据，推出产品结构非单一的险种。因此，在健康医疗数据商业化运用中，保险机构做出积极响应，数据技术的充分应用使得保险精算更为准确，保险机构从而能更好地控制风险，极大推进了保险产品的创新与发展。

(二)健康医疗数据商业化运用中存在的主要问题

1.数据商业化运用边界不清晰

患者在医院就诊或应用新型医疗平台远程问诊过程中会输入大量真实的个人信息，这些健康信息是识别自然人身份的标识，更是我国《民法典》第1034条关于个人信息保护内容的重要组成部分，是保障个人隐私和生活安宁的关键。健康医疗数据商业化运用更关注数据采集、加工和使用过程中的商业价值，将挖掘出的商业医疗数据加以利用。2016年欧盟颁布的《通用数据保护条例》将数据控制者明确规定在法律中，因其规定更符合互联网、云智能及大数据的发展形势，被国际所认可。数据控制者是指实际掌握并控制数据商业化运用的具体操作人，其核心特征在于对数据的控制[2]。根据是否为最初录入网络自然产生的数据，且未经过大数据算法进行筛选及整合，数据分为原始数据和衍生数据。衍生数据具有的商业价值是巨大的，数据控制者对原始数据投入时间、精力、金钱以及劳动成本，从而拥有了商业用途衍生数据的部分控制权[3]。健康医疗数据与医疗患者等原始数据所有人的生活安宁紧密相关，不同于其他数据，医疗数据具有更强的专业性和敏感性，其商业用途也更具指向性，如保险机构通过医疗数据对患者提供健康管理服务，对患病年龄、发病地区等数据进行系统分析后推出类型不同的产品；医疗数据运营商对数据挖掘后进行交易；医药公司根据健康医疗数据研发相关药品等。数据控制者基于天然的趋利性，不断挖掘和索取数据。随着大数据技术的提升，数据运用与原始数据所有者个人隐私的边界更加模糊，加剧了数据市场创新发展与个人信息保护二者间的冲突。个人健康医疗数据能在什么范围内或程度上被商业化运用，发挥数据价值，成为在最开始采集数据时就需要考虑的问题，医疗数据泄露成为隐患。2020年美国发生的医疗机构数据泄露事件数量暴增，造成130亿美元的损失，影响约2600万人。数据是基础性战略资源，在市场化进程中，商业化运用边界与个人隐私保护间的平衡，一定程度上决定了数据资源的商业化运用程度，是推进健康医疗数据全生态价值链建设亟待解决的问题。

2.健康医疗数据商业化运用不规范

健康医疗数据作为医疗事业的创新驱动资源，其商业价值是巨大的，医疗数据控制者在数据收集、加工和使用中，均表现出天然的趋利性。医疗数据收集是数据商业化运用的第一步，原始数据所有者将数据交给数据控制者后，对数据的掌控权就此丧失。收集医疗数据时需要数据主体知情被收集者的同意，《网络安全法》第41条、第44条明确规定，个人信息不得被以窃取或其他非法方式获取或出售，运营商在收集个人信息时，应当征得同意。大部分数据控制者采用明示知情同意的方式收集医疗数据，诊疗APP或医院小程序等类似平台会明示用户阅读用户隐私政策、使用协议的相关条款，且需要经数据主体同意后才可收集医疗数据。事实上，数据的价值往往表现在收集数据后的二次利用上。数据控制者将碎片化的个人健康医疗数据进行深度处理，凭借大数据技术使原本匿名化的数据更加“透明”。借助数据算法和模型，将海量数据分门别类，增强了医疗数据商业化运用的可预测性。当前，健康医疗逐渐转向疾病预防和术后康复，健康医疗数据的运用以及大数据技术的加持，为数据控制者提供了更为可靠的商业信息。由于数据资源的潜在价值巨大，数据控制者在对数据进行加工时，会突破或改变原有的授权范围，无法或不愿遵循最初的使用协议，使得数据主体的个人信息在数据流转过程中增加了被侵害的风险。同时，数据控制者将不断追求数据体量，投入大量人力、物力及智力成果，享有数据加工后的权益。资金越雄厚的数据控制者，相对越容易享有更多医疗数据衍生品的占有、使用、收益和处分权利。大体量数据控制者易占有医疗数据市场支配地位，存在为小体量数据控制者进入市场设立壁垒的风险[4]。事实上，当前不少大型数据机构利用已掌握的海量数据，通过算法进行大数据杀熟，根据不同数据对消费者提供同质不同价的商业产品。保险机构通过医疗大数据形成的风控系统，将被认为事故发生率较高的被保险人拒之门外，从而控制风险、获得盈利，这显然与通过掌握医疗数据提供更为精准的健康医疗服务的要求背道而驰。

3.健康医疗数据整合成本过高

数据对于医疗事业发展至关重要。就数据控制力大小来讲，医疗机构是数据的主要来源，且其数据较为详细，包含数据个体疾病信息、过敏及遗传病史等最为全面的医疗数据。人社部门、卫健部门、保险机构以及新型疾控小程序等均掌握部分医疗数据，这些数据不同于医疗机构掌握的数据，多是具有特定用途的数据。人社部门的数据主要侧重于医保结算数据，并不包含医疗中的自费数据；卫健部门获得数据是因其承担的监管职能；保险机构的数据积累量相对较少。不难看出，由于数据在采集时较为分散，医疗健康数据呈割裂状，这使得数据整合成本过高。相较于设施安装、维护等直接成本，数据控制者往往不愿意支付间接成本。健康医疗数据与其他数据相比，更具有敏感性，关系到个人隐私以及国家健康战略的实施，因此人社部门、卫健部门出于对健康数据保护的考虑，未能将商业医疗数据完全公开。《关于加快发展现代保险服务业的若干意见》《关于加快发展商业健康保险的若干意见》提出，鼓励保险机构积极发展管理式医疗(2)管理式医疗多见于美国。美国的商业健康险主要为管理型，保险机构将之区别于传统健康险，对控费机制、风险控制以及经营模式等进行转变，注重长期跟踪被保险人或患者的医疗数据。，为构建多层次医疗保障发挥应有作用。数据整合成本过高，一定程度上阻碍了健康医疗数据运用市场化的进程，影响了向管理式保险的转变。

二、健康医疗数据的法理认知

目前，由于我国数据运用法律规范散见在各部门法中，并未有专门的法律规范数据运用行为，保护数据合法权益，因此在健康医疗数据商业化运用过程中不免会出现问题。将商业化边界加以确定，是保障个人隐私和生活安宁的关键，更是健康医疗数据得以商业运用的开端；同时，整合现有较为分散的数据，规范数据主体和经营者对数据的商业化运用是使健康医疗数据业态得以长足发展所亟待解决的问题。从法律意义上认知健康医疗数据，对于规范数据运用以及立法都起着至关重要的作用。

(一)个人数据信息自决权

健康信息属于个人信息中比较敏感的一类信息，与隐私权相比，个人信息自决权内涵更为丰富，能够控制和决定个人信息的收集、保管和使用。对健康信息的保护，各国都出台了积极的措施。20世纪80年代德国一起人口普查案的判决书中较早提出了个人数据信息自决权问题，旨在保护个人信息免受公权力的过度干预，规范政府及其他社会组织收集、使用个人数据的行为[5]。近年来，随着互联网、云智能和大数据技术的蓬勃发展，数据逐渐与其他行业融合，并改变着人们的社会生活方式。就医疗业来讲，大数据成为深化医药卫生体制改革的创新驱动力，更是市场化的突破口。传统医疗数据的复制和查阅多数是由于发生医患纠纷，双方需要较为完整的医治流程信息来确定法律责任。基于患者的知情权，将医疗数据当作对自身疾病做进一步医治的依据，会使得患者的个人健康信息、医疗数据进行流通。商业化运用健康数据的实质在于数据在流通过程中所产生的商业价值，数据本身具有价值被越来越多的人认可和关注，大数据技术与金融活动的融合使得数据的商业价值得以充分发掘。健康信息作为个人信息的重要组成部分，系人格权保护的客体，是数据商业化运用的主要来源[6]。随着大数据技术和商品经济的发展，人格权被赋予了更多商品化属性，数据经济发展与数据财产属性密不可分，健康医疗数据的经济价值在流转过程中显现出来。因此，健康信息被侵害的风险随着对医疗数据的商业化运用与日俱增，个人信息数据自决权的重要性也更为凸显。

原始数据主体的信息数据自决权兼具物质性和精神性，个人医疗数据权是健康权的具体表现[7]。我国《民法典》第1032条、第1034条，《网络安全法》第41条、第44条，从明确个人信息保护的范围到使用信息数据需要“知情同意”，对我国个人信息数据权的私法保护进行了规范；《刑法》第253条规定了出售、非法提供公民个人信息罪，《刑法修正案(九)》对该罪进行了修订，从公法上保障了个人信息自决权的行使。然而，目前医疗数据商业化运用中的“知情同意”更多表现为形式主义，个人信息数据主体在原始数据收集、使用的情形下进行授权，经济人利用强大的数据技术，经过对医疗数据的挖掘和整合，使得数据的用途无限扩张[8]。医疗数据的价值伴随着数据市场化的进程愈发凸显，个人信息数据自决权的具体权利类型同样在不断衍生，欧盟《通用数据保护条例》中规定了个人对数据全价值链的动态知情权、数据算法加工后的及时更正权、个人强化对数据控制的携带权以及防止数据永久储存的遗忘权等权利。个人信息自决权的丰富对规范数据控制者采集、加工和使用医疗数据的行为起到了积极作用。医疗数据的采集、加工和使用被授权同意后，由于信息的不对称以及技术的支撑，提供医疗信息的个人处于弱势地位，自决权的衍生则赋予了个人更多的健康信息保护。

(二)财产权

数据要素作为基础性战略资源，经济价值巨大。《促进大数据发展行动纲要》对数据价值予以肯定，并提出将数据资源相关权益尽快立法的明确意见。20世纪末，哈佛大学教授劳伦斯·莱斯格就表示，数据具有财产性，主张将数据作为一种新型资源，应当以财产权形式保护数据主体的相关合法权益[9]。这种观点被世界各国所认可。数字经济的快速发展，使得将数据作为新型财产权予以保护的呼声愈发高涨[10]。《大数据白皮书(2020年)》明确指出了“数据驱动”的价值，且各国的数据战略都将数据价值放在核心位置，美国OMB发布的《联邦数据战略与2020年行动计划》、欧盟委员会发布的《欧洲数据战略》、英国DCMS发布的《国家数据战略》均提出要释放数据价值，数据的财产属性已成为共识。同时，数据资源与实体经济融合，必然会成为新的经济增长点。

健康医疗数据对医疗业而言具有重要意义，其财产权有别于传统意义上的财产权，主要在于医疗数据流转过程中的使用权和收益权等权益。商业用途数据的控制者在数据收集后，对原始数据进行脱敏处理，将能识别出自然人身份的信息进行加密和匿名化处理，对衍生数据进行挖掘和整合后使用。通常保险机构获得的医疗数据是经过匿名化处理的，保险机构根据自身具体的商业用途，对数据进行加工。对数据财产权的权属定性，目前存在多种观点：一种观点认为财产权属于数据业者，应属于对数据进行加工、传输等流转工作的数据业者[11]；另一观点认为应当以个人为中心建立数据财产权，数据不仅涉及加工和使用，还方便存储和携带，应注意其可携权及数据源头上的收集权，商业数据主体应当通过交易获得所需的数据资源，主张的具体财产权能不同，权利主体便有所差异[12]；还有观点认为数据的收集权属于个人，授权商业数据主体后，在符合相关法律规定的情形下，商业数据主体获得数据流转中的使用权和收益权。数据财产权为其商业化运用提供了强有力的支撑。数据有别于传统财产，我国《民法典》第127条将数据与虚拟财产相并列，并予以保护。正是由于其财产属性，数据引起了商业主体的广泛关注。不少数据控制者使用行为不规范，数据侵权时有发生，对数据财产权进行保护已成为立法亟待解决的事宜[13]。

(三)知识产权

对数据权利是否属于知识产权，法学界的观点并不一致。认为数据权利属于知识产权范畴的观点以“信息论”“无形性”和“创造性”肯定了数据的加工和使用衍生权利是知识产权的客体，通常智力成果的表现形式为信息，且数据信息蕴含着数据控制者对数据挖掘整合时的创造力和价值[14]；在“信息论”的基础上，进一步与法律属性结合，指出大数据是通过计算机技术对电子数据的重新排列，即数据整合，归属知识产权范畴，当前互联网已引起了人们社会生活方式的改变，并通过整合变为数据或信息[15]。部分观点认为数据具有无形性特征，这与知识产权的客体是一致的；通过算法以不同排列方式整合出的数据具有独创性，这与《著作权法》第15条数据的“独创性”保护相近；此外，经过加工整合的数据与数据库或汇编作品相似，应以邻接权方式加以保护[16]。

大数据与实体经济深度融合，海量信息被存储记录，经过对数据的匿名化处理、算法建模形成衍生数据。在我国，数据交易所也纷纷建立。中国保险信息技术管理有限责任公司(简称中信保)，是我国首家保险大数据公司。该公司的主要职能在于，将行业相关数据进行整合，为保险机构提供数据交换和技术保障服务。保险机构受益于健康医疗数据的商业化运用，推出健康险种的不同产品，有效控制了风险。与数据市场的蓬勃发展相比，相关监管存在缺位、空位现象，同时缺乏强有力的法律保障，医疗数据在采集、加工和使用过程中存在隐私泄露、数据错配、易产生垄断等问题。

三、健康医疗数据商业化运用规范体系的完善

近年来，随着我国多层次医疗保障体系的构建以及人们医疗保险意识的不断提高，医疗数据的商业化运用引起医疗机构、保险公司和医疗平台等商业主体的广泛关注。伴随数据要素市场的发展和健康中国战略的实施，既要使数据资源得以充分发展，成为健康医疗商业市场的创新驱动力，也要与监管相平衡，规范收集、加工和使用等阶段的医疗数据行为。

(一)平衡多元主体合法利益，规范数据运用行为

健康医疗数据商业化运用是深化医药卫生体制改革的助推器，也是数据市场发展的新活力。医疗数据商业化运用越规范，发展程度越高，意味着健康中国战略落实得越充分。健康医疗数据具有着私人属性，其流转首先需要取得原始数据主体的知情同意；在得到授权后，数据控制者对医疗数据进行加工和使用，推向数据市场，健康医疗数据兼具市场属性；数据市场治理与监管，与医疗数据存储的安全性、数据主体的隐私保护和市场的可持续性有着密切关系，健康医疗数据具有社会属性。因此，就其商业意义来说，健康医疗数据不仅涉及个体利益、数据控制者利益，更涉及数据治理的社会公共利益。各国在构建数据保护体系时也开始关注多重主体的需求。2016年欧盟颁布的《通用数据保护条例》对数据合理使用进行扩展，改变了1995年《数据保护指令》仅保护隐私权的目的性条款。这意味着，获得原始数据主体的知情同意不再是数据合法使用的唯一路径，要对原始数据主体提供全流程保护，通过访问权使得数据在加工、使用过程中更加“透明”，为数据主体设立更正权、被遗忘权，规范数据控制者的行为。对于“知情同意”原则适度扩张，同时增强数据主体权利，可以有效平衡各方数据主体的利益。

数据经济的活跃使得数据主体的权利不再单一，在适度扩张的情形下，边界的清晰显得尤为重要。医疗数据不同于其他数据，具有高度敏感性，且与原始数据主体的人格尊严紧密相关。由于医疗数据多来源于临床和医疗平台，信息准确度高，数据控制者对原始数据加工后所产生的衍生数据更具经济性。匿名化医疗数据在强大的数据技术面前，经过数据算法和建模处理变得更加透明。换言之，数据技术弱化了原始主体对数据的控制，个人信息数据的保护遭受到重大挑战。医疗数据市场化进程已渐成趋势，如保险机构以海量医疗数据为分析样本，分析潜在投保人的医疗需求，对保险成本进行控制，核算出保费和偿付标准，从而实现保险机构盈利；新型医疗诊断APP，既是医疗数据的提供者，又需要通过数据分析，结合医疗市场运营APP；医疗数据具有强有力的预测性，更是许多数据控制者提高竞争力、抢占市场的驱动力，医疗设备经营者需要借助医疗数据，洞悉市场需求。众所周知，数据的真正价值在于二次使用，数据控制者对海量数据进行整合、再次分配所带来的社会效用是巨大的，每一位患者都在成为智能医疗数据的收集端[17]。如何平衡健康医疗数据多方主体的利益需求，是我国医疗数据商业化运用必然面对的问题。应审慎对待知情同意权，在对医疗数据匿名化和去除自然人识别后，数据主体应获得全流程访问权，并规范数据控制者的商业行为。对原始数据的使用应尽量遵循最小损害、目的限制原则，这并非是对数据市场的限制，因为只有将海量数据采集端保护好，才能展开后续数据流转过程的价值。

(二)完善数据商业化运用相关立法

作为基础性战略资源，数据是我国未来市场发展的新型驱动力。当前国家主要以出台相关的指导意见等文件形式，促进数据经济与各行业的发展，但随着实体经济不断与数据相结合，数据控制者与金融活动紧密关联，在数据商业化运用过程中产生了诸多问题。医疗数据泄露事件时有发生，倒卖个人信息成为违法犯罪链条产业，数据犯罪已对个人和国家利益产生威胁，因此，对个人信息数据的收集，数据控制者的加工、使用，以及数据交易行为，应予以规范。目前，我国有关大数据的规范性文件主要以地方性法规为主，旨在促进数字产业的开发应用，并对数据安全提出明确要求，数据控制者自然成为数据使用过程中的数据安全责任人。这些规定使原始数据主体的权利得到保障，兼顾了公民个人隐私权。由于现有法律仅是单独赋予个人知情同意权，原始数据主体无法查证后续数据使用范围和情形，自然人的天然弱势和数据技术的强大，使得原始数据主体的权利难以保障。目前我国对健康医疗数据商业化运用的规制手段单一，并未形成系统性法律保护体系。医疗数据涉及多方主体，应明确各主体的法律责任，规制医疗数据流转行为。

原始数据主体在医疗数据商业化运用中长期处于较为弱势的地位，应使其积极参与到对个人健康医疗数据商业使用的规范和治理中来。不同于传统立法中的消极模式，应将知情同意权予以适度扩张，引入个人信息数据自决权理论[18]。海量医疗数据所产生的社会效用是巨大的，对其商业化运用进行规制需要强有力的技术支撑和成本投入。在不损害他人利益、社会公共利益情形下，数据主体有权授权商业主体采集医疗数据，同时承担数据流转所面临的风险。因此，对原始数据主体知情同意权应予以重新构造，可借鉴欧盟《通用数据保护条例》的做法赋予其访问权、更正权、被遗忘权等权利，使得个人能随时获知医疗数据流转时的具体使用情况，从而决定是否对数据进行更正或永久性删除。除了刑法对非法买卖公民个人信息罪的规范外，目前我国民法对原始数据主体的法律保护存在着诸多空位和缺位之处，对数据侵权纠纷案件的因果关系、举证责任、赔偿标准等并无规定，这无疑使数据控制者在数据采集、加工和使用等阶段的不规范行为无法得到规制，原始数据主体处在消极、被动的地位[19]。原始数据经过采集后，经过云计算和数据建模等方式加工产生了新的数据衍生品。这意味着数据正式脱离原始数据主体，数据控制者成为数据安全责任人。随着医疗数据市场的繁荣，医疗业的问诊方式也更为丰富，远程问诊APP逐渐成为更多人的选择。与APP相关联的业务随着用户医疗数据的运用也应运而生，医疗数据价值链得到延伸。在规制健康医疗数据商业化运用行为时，需要通过法律对数据控制者的主体资格进行限制，同时明确数据采集范围，清晰与个人信息的边界，这可以在一定程度上防范个人信息泄露。基于医疗数据的可篡改性和虚拟性，医疗数据控制者应当提供必要的技术支持，保证使原始数据主体可以对后续医疗数据的使用状况进行访问、更正和删除。此外，在拥有海量数据的前提下做样本分析，不免会导致市场主体间的竞争行为无序化。要警惕市场的盲目性和自发性，防止部分数据控制者占有较高市场份额，滥用优势地位。企业已将数据作为核心竞争力，应将数据控制者纳入《反垄断法》的调整范围，充分发挥数据资源的效能，保障市场的活力和竞争环境。

(三)构建“行业规制+政府监管”模式

我国有关数据商业化运用的监管职能较为分散，网信、工信、公安和市场监督管理等部门均有健康医疗数据监管职能，卫健部门、人社部门也承担部分健康医疗数据监管职能，各部门承担的监管职能只是侧重点不同(3)《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定，卫健部门是医疗数据安全发展的总统筹，主要负责对患者病历信息使用情况的监管，工信部门保障医疗数据安全，使用行为不当由公安部门和市场监督管理部门监管，多个监管部门在监管过程中不免会存在职能交叉和重叠问题。。这种分散的监管方式，与日趋多样化的数据经济形式并不相契合，且数据监管相关法律依据多间接散落在《网络安全法》《政府信息公开条例》以及《贵州省大数据安全保障条例》等地方性法规中。《“健康中国2030”规划纲要》提出，要消除健康医疗数据壁垒，建立跨部门、跨领域密切配合、统一的健康医疗数据共享机制，改变现有的分散监管模式，明确监管主体及权限，为数据市场的平稳运行提供应有的保障。

健康医疗数据商业化运用是对数据在采集、加工和使用全过程中的综合运用，涉及多方数据主体的权利和义务，单一的监管手段难以形成理想的监管效果。充分发挥数据资源市场的自我调节作用，加强数据控制者和经营者的自我规制，是监管数据商业化运用的重要途径。近些年来，凭借医疗数据应用而生的衍生市场得以蓬勃发展，远程就诊APP、智能医疗、健康管理等被越来越多的人认可。在这种情形下，完全依靠政府监管是难以实现医疗数据市场平稳运行的。政府监管不免会囿于法律的滞后性，医疗数据本身的专业敏感性以及数据技术的强大使得监管更为困难。日本对医疗数据进行立法保护采用了“基本法+专门法”的方式：以《个人信息保护法》作为基本法，平衡个人信息数据发展与个人权益保护之间的关系；通过《次世代医疗基础法》(又称《医疗大数据法》)，立足医疗行业发展来规范医疗数据的使用。此外，不同于欧盟对个人信息数据设立的较高保护标准，以及美国以数据经济发展为主的分散立法保护，日本采用在基本立法之上制定专门的法律并结合行业自律的模式，对医疗数据进行综合立法保护。我国可借鉴日本对医疗数据使用的法律监管模式，尽快颁布、实施《个人信息保护法》，在尊重国家对数据权利统一立法的基础上，充分发挥医疗行业的自律作用，来弥补政府规制的不足。选聘权威的医疗数据商业化运用第三方评估机构，对数据控制者或经营者的数据采集、存储、管理等保障医疗数据安全的措施，以及医疗数据加工和使用的行为规范，以行业标准来进行专业评估。同时，设立黑名单制度，将行为不规范的数据控制者在行业内部以黑名单形式公布，涉及违反法律的，予以除名。借助行业自律，可以更好地使用技术手段，从数据技术层面保护个人医疗数据的匿名化，减少对原始数据主体不必要的侵害。通过“行业自律+政府规制”的双重监管，解决行业自律的正外部性和政府规制的滞后性问题，最大限度地发挥行业自律和政府监管的效能，使健康医疗数据在行为规范的情况下更好地发挥商业价值[20]。