健康医疗数据泄露原因及其法律救济

李梓青

(湘潭大学，湖南 湘潭 411105)

医疗行业在大数据背景下产生了巨大变革，健康医疗数据的应用将传统的医疗模式彻底颠覆。随着国家“互联网+医疗”战略的推进，互联网背景下医疗领域的迅速发展引起了广泛关注，医疗行业的转型虽为社会带来了巨大的贡献，但网络安全形势日益复杂，由此引起的健康医疗数据的泄露事件不容小觑。虽然我国重视医疗行业的网络安全，国家层面密集出台政策法规建立网络等级保护制度、信息安全制度，防止数据的泄露，但医疗行业网络安全形势依然严峻，我国依然处在整体安全风险较高、医疗信息系统的安全防护水平相对落后的阶段。

医疗领域泄露事件的频繁发生也引发公众对健康医疗行业信息化的安全思考。本文将从医疗行业的数据保护现状入手，一步一步深入进行健康医疗数据泄露原因及其法律救济研究和剖析。本文首先考察健康医疗数据的业态发展，从中总结健康医疗数据存在的安全风险，根据风险剖析出导致其泄露的制度根源，最后针对制度根源提出解决相应问题的法律救济手段。本文讨论的健康医疗数据是指患者或个人在进行医疗健康活动时所产生的所有相关的信息数据，[1]包含生物识别数据和基因数据，《深圳经济特区数据条例》中有相关定义，是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据，包括自然人的基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等数据①。

一、 健康医疗数据的保护现状

为了改变数据流通困境，国家政策倾向推动数据互通共享，容易忽视数据的安全问题，在政策规章上，对健康医疗数据的保护不足。在管理模式上，医疗机构由封闭式变为半开放式或开放式，增加了与医疗行业对接的领域，给医疗机构的管理提升了难度。在防护技术层面上，传统的防护体系不能解决现有难题，而我国现阶段还处于网络安全风险较高、防护水平较为落后的状态，医疗领域缺乏对数据的技术保护措施。

(一) 大力推动数据共享而易忽视数据安全问题

目前我国没有针对健康医疗数据保护的法律法规，我国健康医疗数据保护制度的构建是以《网络安全法》为核心，以规范性文件、国家标准为主导。对这些规范性文件进行汇总分析，本文认为医疗行业信息化发展可以分为三个阶段。第一个阶段，信息化建设开始步入生活的方方面面，各个行业与科技成果相结合，医疗行业开始转型。我国早期注重将书面的医疗信息以数据的形式储存，致力于建构电子病历信息系统。单纯强调医疗信息的保存，以电子病历取代传统的手写病历，患者诊疗的全过程以信息化的方式记录。第二个阶段，“十二五”期间初步建立了电子信息档案、电子病历数据库，[2]47实现了医疗行业信息化，但电子病历信息系统的建设未遍布各级各类医疗机构，出现了医疗机构内部不同科室之间、医疗机构与医疗机构之间、不同地区之间的数据流通壁垒。数据的不流通导致信息孤岛现象，极大阻碍了数据的利用。第三个阶段，国家颁布规章政策推动医疗机构之间、跨区域的健康医疗数据互联互通，强调健康医疗数据的利用与共享，确定了“保护+利用”的健康医疗数据应用原则[2]11。

由于我国长期存在信息孤岛现象，出于迫切想要改变信息孤岛带来严重弊端局面的考虑，我国在致力于促进健康医疗数据的互通共享时，容易忽视数据的安全问题。虽然健康医疗数据的收集、储存、处理、运用、共享的规则不直接威胁数据的安全，但随着云储存、远程医疗、网络医院的出现，参与数据流转的主体增多，医疗机构与技术、设备提供商、医疗机构之间可能存在不平等或违反法律规定的现象，患者的个人权益遭到侵害。第三方技术、设备提供商有着利用医疗机构能依据规章合法收集患者信息的便利。未经患者的同意从医疗机构的信息化平台私自收集、利用其健康医疗数据，侵犯了患者的隐私权、个人信息权和知情权[2]9。国家卫健委于2018年下发的《国家健康医疗大数据标准、安全和服务管理办法(试行)》对“互联网+医疗健康”的发展进行了引导，遏制了当时部分企业的野蛮发展，但政策以及保护手段并不具体，不法分子依然恶意利用制度的空白侵犯患者的合法权益。

(二) 与医疗行业对接领域众多导致管控存在困难

大多数传统的医院采取独立且物理隔离的网络架构，但由于大数据时代网络医院、远程诊疗、医疗App的发展，医院网络架构从封闭走向开放。原本封闭式的管理机构，现在大多数变为半开放式或开放式的管理机构，导致医疗行业需要与众多领域进行对接。开放式的终端有着下列特点：1.数量多，管理复杂，导致成本增加；2.分布分散，提升了维护的难度；3.环境复杂，提高了安全服务保障的要求；4.使用不可控，容易引发数据泄露。医疗行业网络应用规模和复杂度的不断提高，网络中传输的数据量急剧上升，攻防对抗日趋激烈，越来越多的管理问题开始显现。

现实中在医疗行业与其他行业数据对接的管控方面存在大量死角和盲区。[3]这些对接可以划分为三类：一是医疗行业与医疗行业进行对接，不仅是与实体医疗机构，还存在与互联网医疗机构的对接，这些数据是否可以再次共享，数据共享是否应该征求患者同意。二是医疗行业与技术、设备提供商对接，第三方通过提供可穿戴式设备等医疗机械、提供云储存获取患者的健康医疗数据，设备收集的数据自动传输到第三方是否构成非法收集，医院与技术、设备提供商签订合同有无涉及数据的共享内容，合同是否有被迫无效的风险。三是医疗行业与政府对接，政府为了充分发挥健康医疗数据的作用，将获取的数据反作用于医疗行业和金融行业。上述这些复杂的对接情况都会影响数据的安全，管理不慎便容易引发数据泄露事件。

医疗行业与境外企业的对接提升了管理的难度，境外企业作为控制者、处理者或使用者参与了数据的流转，必然影响我国健康医疗数据的管理工作，不论数据的跨境传输是否经过了医疗数据主体的同意，将数据传输出境都必然有一定程度上的隐患风险。

(三) 医疗领域普遍缺乏对数据的技术保护措施

医疗领域普遍缺乏对健康医疗数据的技术保护措施主要表现在两方面。首先是现阶段绝大多数医院缺乏必要的网络安全防护设备和系统防护措施，其次是缺少有效的针对数据的脱敏保护措施。

网络安全观测报告中指出健康医疗行业总体还处于“较大”的安全风险级别。[2]医疗行业企业和机构的主要工作是进行医学研究或对患者进行诊疗，往往容易忽视敏感健康医疗数据的安全检测，或因资金有限，大多会选择将资金投入发展医疗诊疗、购买设备等等来提升医疗水平，安全技术措施自然成为短板。医疗行业的安全防护体系变革对医疗行业提出了更高的要求，但现实情况却不尽如人意。CHIMA《2018—2019 年度中国医院信息化状况调查报告》显示，仅采用防火墙保障网络安全，对网络进行 VPN/VLAN 划分和上网行为管理的医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于 50%。可见大部分医院缺乏必要的网络防护设备。[4]三级以下的医院更是缺失基础网络安全防护。大多数医疗单位缺少必要的网络准入机制，对接入网络的终端没有进行 IP 限制，也没有必要的认证机制，现阶段健康医疗数据的网络安全令人担忧。

国家互联网应急中心在2021年7月发布的《2020年中国互联网网络安全报告》显示， 2020年共发现境内医学影像数据通过网络出境497万余次，未脱敏医学影像数据出境近40万次，占出境总次数的7.9%。[5]数据的脱敏技术用于降低数据的泄露风险，未经脱敏的健康医疗数据就像是把患者赤裸裸地展现给外界，损害了患者的隐私权。医疗机构在这个问题上还没有完全意识到健康医疗数据脱敏的重要性。

二、 健康医疗数据泄露存在的安全风险

健康医疗数据存在的安全风险需从三方面剖析，首先是对患者个人的影响，影响了患者的正常生活，隐私权受到侵犯，甚至生命健康受影响；对社会层面而言，健康医疗数据泄露会打乱医疗行业原有秩序，容易形成非法产业链，医疗机构遭不法分子勒索；对国家层面而言，基因数据、与疫情相关的数据一旦泄露至境外，严重威胁国家的安全。

(一) 患者的隐私和生命健康易受侵犯

健康医疗数据泄露首先影响的是患者的权益，其隐私权、生命健康受到了侵犯。新型的医疗模式虽为社会做出了不少的贡献，但提供便利的同时带来了安全风险。云计算技术方便了数量巨大的健康医疗数据的储存和管理，促进了数据共享，但一旦云平台出现问题就会导致服务的中断，数据的丢失、泄露；当医疗与移动互联网技术组合衍生出医疗App，为患者提供线上诊断等服务时，由于平台的分散，移动终端难以集中控制，大量的健康医疗数据在公网上“裸奔”，患者的敏感数据就会遭到泄露；大数据技术用于对患者进行画像，为患者提供精准诊疗服务，但这些信息被广泛采集，隐私性强、可用价值高，容易被黑客攻击，导致敏感数据泄露。患者的健康医疗数据遭到泄露以后，不仅会影响正常的生活，也容易给罹患疾病的人带来心理压力。2016年中国发生了一起艾滋病病毒感染者的信息泄露事件，感染者接到的诈骗电话有417起，涉及全国的31个省份，至少有5人有财产损失，还有一些患有艾滋病的学生接到电话受到威胁要求汇款，被威胁的学生只能迫于无奈遭受财产的损失。在健康医疗数据泄露后，还可能会引起商家的精准推销，每天都有大量的广告和骚扰短信发至手机，扰乱人们的生活。疫情期间，大量的个人数据以及健康医疗数据在网上疯狂传播，严重侵害了患者的隐私权。

专属性极高的生物识别数据泄露，将导致个人生物特征数据无法使用。一个人的指纹、声纹、掌纹、面部识别特征是难以改变的，一旦遭遇泄露，无法被撤销，造成的结果是不可逆转的，或影响一个人一辈子的正常生活。

利用物联网技术帮助患者智能化诊疗也成为医疗领域的常态，可穿戴式设备或体内植入设备用于检测人体健康数据。但这些设备也存在安全隐患，容易被不法分子监听或攻击，2017 年美国 ABBOTT公司 46.5万个心脏起搏器因存在安全漏洞被召回。[6]这些物联网医疗设备时刻威胁着患者的生命健康。

(二) 医疗行业和社会秩序面临破坏

首先医疗行业会面临形成非法产业链，导致数据的不正当竞争问题。市场主体罔顾商业道德，不法获取健康医疗数据后，对数据进行清洗、加工，制造成能够处理、能用于分析的可用数据，有专门的企业对数据进行处理分析，将大量的数据变为可读的成果，这些成果通常能够应用于各种领域，如设备制造、医药研究、保健服务等，企业用这些数据做研究，或投放市场用于生产针对性的产品。也给不法商家带来了赚钱的机遇，针对数据反映的情况开发对他们更有利、盈利更多的商品。这些数据以一定的价格在黑市、暗网上出售，形成大规模的市场，买卖泛滥，在这样的黑色产业链中每个阶段环环相扣，参与的主体多，带来的经济利益大，买卖健康医疗数据的市场规模越发庞大，又会带来恶劣的影响，如此恶性循环。健康医疗数据的不正当竞争比其他类型的不正当竞争可能会带来更为恶劣的后果。[7]基因数据如果被黑市非法买卖，被大量滥用于各种场合，尤其是当这些基因信息和其他信息结合到一起时，数据衍生产品随之出现，造成医疗行业和社会的秩序紊乱。

其次健康医疗数据的泄露提升了犯罪率，为不法分子犯罪活动提供了可乘之机。黑客攻击医疗机构造成医疗系统的瘫痪，医疗机构无法正常访问这些医疗数据，迫使医疗机构不得不支付赎金以换取系统的正常运行。生物识别数据如被黑客掌握，他们可以盗用他人的面部识别、指纹等等访问特定的地域，进行某些犯罪活动而不会轻易被发现。

(三) 国家安全受到严重威胁

2018年10月，科技部官网公开了6份行政处罚单，处罚时间从2015年到2018年，涉及5家公司和1家医院，处罚原因均与遗传资源数据泄露有关[8]。2017年2月和7月，生物学预印本网站“bioRxiv”和《Science Data》分别发表文章，均基于目前规模最大的汉人基因组数据，对中国人群的遗传及进化特征进行了分析， 然而这项研究的研究人员并不主要为中国学者，后来被确认这批数据正是华大基因和华山医院与境外合作传输的数据资源，数据一旦出境，之后的利用难以被我们掌控。华大基因于2018年10月在国际顶级学术期刊《细胞》上发表了迄今为止最大规模的中国人基因组学大数据研究成果，研究历时两年，对14万余中国人无创产前基因检测数据进行深入研究后，首次揭秘中国人群基因遗传特征，[9]于是华大基因又陷入了“14万孕妇基因数据的泄露风波”，虽华大基因解释受检者也签署了知情同意书，且遗传资源数据没有出境，但鉴于之前对华大基因的处罚，公众还是对其发出了不少质疑。《2020年中国互联网网络安全报告》显示，自疫情暴发以来，新冠患者的信息泄露事件频频发生，仅2020年就有不少于10起发生，这些新冠肺炎病毒数据出境次数竟达99万余次[5]。

普通的健康医疗数据泄露主要是影响个人和社会。如果基因数据传输出境，影响的不仅是个人，国家安全也面临严重的威胁。涉及基因数据或是特殊情况下，如疫情严重时的数据的利用时，不对“利用”加以管制会侵害国家利益，造成严重的损害。轻则帮助跨国药企开发药物独占市场；重则危及国家安全，制造对付我国的基因武器。

三、 健康医疗数据泄露的制度根源

健康医疗数据保护的制度存在较多问题。首先以知情同意为原则的数据规制方式在大数据时代难以实现立法者设置此原则的初衷；其次健康医疗数据出境传输规则模糊，还需要进一步设定；再者缺陷型的监督制度加速了泄露事件的发生，最后对于责任主体的确定和责任的分配没有明悉，仅凭“一把手负责制”原则确定责任主体，存在一定的不足。

(一) 知情同意原则形同虚设

我国在信息采集中的选择与参与机制中，选择了择入为主的知情同意规则，当采集数据的主体获得了数据主体的授权，那就阻断了对数据收集、使用的违法可能性。以知情同意原则为数据规制构建框架的基本原则就意味着医院等医疗机构、医疗数据企业在收集数据主体的健康医疗数据之前应当告知数据主体将会收集哪些数据、这些数据将如何处理、用于哪些用途，得到数据主体的授权同意以后，即可对其健康医疗数据进行收集、处理、利用。知情同意原则设计的初衷是为了充分保护数据主体的独立自决权或者说是保护其个人隐私空间在数据信息视域中的自然延伸，[10]这样就能保证数据主体能够自主管理个人数据，从而维护数据主体的利益。

在规制原有的数据流通中，知情同意能发挥充分的作用，在传统的数据流通模型中，医院想要收集患者的健康医疗数据，经过患者的知情同意，医院对数据进行收集、处理、利用，将效果反作用于患者或者用于医学研究，最后将数据销毁。但大数据时代推进了数据的共享，强调数据的利用，数据的再利用和多次流转使得知情同意原则慢慢形同虚设，使得这样的基本原则能够发挥的效果愈发有限。数据流通链上的数据控制者、数据处理者、数据使用者数量越来越多，场景也越来越复杂，如每一个数据收集或共享的环节都需要经过数据主体的知情同意，那么数据使用的成本会愈来愈高，收集数据的主体不愿意承担这样的高成本，之后便容易出现未经授权的收集、不合规的利用。健康医疗数据一次授权多次利用已成为医疗界的常态，患者无法了解数据运转逻辑而无法完全行使法律制度赋予其的隐私控制权。[11]一旦数据的收集、处理、利用环节处于违法状态，就容易导致数据的泄露。目前大多数数据收集者为了方便提供格式条款供数据主体阅读，虽然以格式条款的形式能减少大量繁杂的工作，即便提供的格式条款通俗易懂，普通公众也不会仔细阅读，“知情”的质量大打折扣。即使用户阅读了隐私政策，也不见得能够理性地预测自己可能面临的风险，[12]这就加剧了健康医疗数据的安全风险。基于目前大数据时代的背景，将传统的“知情同意”原则一味地概括数据收集阶段，这样的原则显得比较僵硬。

(二) 出境传输规则较为模糊

医疗领域专门与健康医疗数据跨境传输相关的规章是《人类遗传资源管理条例》，第二十二条规定利用我国人类遗传资源开展国际合作科学研究的，应当符合下列条件，并由合作双方共同提出申请，经国务院科学技术行政部门批准：1.对我国公众健康、国家安全和社会公共利益没有危害；2.合作双方为具有法人资格的中方单位、外方单位，并具有开展相关工作的基础和能力；3.合作研究目的和内容明确、合法，期限合理；4.合作研究方案合理；5.拟使用的人类遗传资源来源合法，种类、数量与研究内容相符；6.通过合作双方各自所在国(地区)的伦理审查；7.研究成果归属明确，有合理明确的利益分配方案。②这些条件中有些能够经过简单的审查就能得知，而有些，如对我国公众健康、国家安全和社会公共利益没有危害这样的表述比较抽象，什么样的行为体现国家利益需要判断的，是需要经过一系列安全评估才能得出结论的。但《人类遗传资源管理条例》中没有对“安全评估”需要评估哪些方面进行规定。

《个人信息出境安全评估办法(征求意见稿)》(以下简称《办法》)中要求个人信息出境前，网络运营者与境外数据接收者签订合同。《办法》为了应对境内外法律不同的问题，提出网络运营者在与接收者签订的合同中，应当要求数据接收者在其所在国家或地区的法律发生变化而导致合同无法履行的情况时，主动告知网络运营者。对于境内监管者无法管辖境外数据的问题，《办法》要求网络运营者与接收者签订的合同中明确境内网络运营者“默认兜底”的角色；网信部门通过网络运营者的年度申报可以掌握单个网络运营者的整体数据出境情况，以此安排检查，所以在特殊的时候可以暂停数据的传输，并对网络运营者做出删除数据的要求；《办法》还要求境外网络运营者直接面向中国市场提供服务时，需要在境内安排法定代表人或者机构以履行《办法》规定的法律责任和义务。《办法》还确保个人信息主体能够在数据出境后维护自身合法权益，《办法》也没有将“宝”全押在网络运营者身上，还赋予了个人信息主体针对数据出境的特殊“查询权”。[13]但对于个人信息出境后的再次传输，《办法》中确定的规则是“个人选择退出”，那就意味着，敏感数据是否再次传输只需要个人的选择，但健康医疗数据不同于普通的个人数据，由其特殊的基因数据关乎国家安全，个人选择退出机制显有不妥。重要数据与个人信息有着显著的区别，健康医疗数据的出境传输规则可以借鉴《办法》，但不能照搬。

(三) 监督机制存在缺陷

缺陷型的监管制度存在于两方面，首先是监督机制本身不健全，其次是医疗领域的监管立法缺乏有效并统一的法律保障。

我国现有的关于健康医疗数据的政策数量繁多，也越来越凸显监管重要地位。传统的医疗卫生监管体系是以政府为主导，中国医院协会等社会组织发挥行业自律作用。[14]医疗行业与互联网融合成果对传统医疗行业产生了巨大影响，大数据背景下医疗行业的监督格局发生了变化，但现有制度对于监管主体和监管内容含糊不清。现有的健康医疗数据的监管主体有卫生健康委员会、工业和信息化部、食品药品监督管理局、发展和改革委员会、公安部等。虽然监管主体以卫健委为主，表面上有所分工，但在实践中健康医疗数据的监管，这些部门的职权存在交叉重叠的部分，对于每个部门在互联网领域发挥的作用应当进一步明确。不少监管制度中缺少执法细则，导致监督机关无从下手。同时监督机关内部还存在部门间缺乏协调、联系松散、单独执政的情况。我国的监管体系偏向自上而下，存在单向性，部门之间缺少合作与分工。一个监督机关对健康医疗数据的监督职权受到制度文件的制约，全方位地、系统性地管理健康医疗数据需要相互紧密配合。

地方上也接连出台一些政策，发挥着主要的作用。以福州市为例，《福州市健康医疗大数据资源管理暂行办法》和《福州市健康医疗大数据资源管理实施细则》[15]中规定了地方数字办需建立本地的健康医疗数据的应用制度，强调了主管部门在健康医疗数据的使用和发布等授权上的监督问题。各地的政策不统一导致不同地方健康医疗数据应用的发展情况存在较大差异。健康医疗数据泄露得不到防范与规制。医疗领域的监管立法缺乏有效并统一的法律保障时，监督机构往往表现为被动执法，总是等到数据泄露以后才有所行动，前期企业、机构内部落实统一的管理标准不力、内部等级保护工作不够，数据的脱敏保护缺失，尚未形成良好的防御机制，这些往往是在数据泄露已经发生后才调查得知，这样的监督机制不利于健康医疗数据的安全保障。

(四) 责任的分配方式与惩罚力度有待改善

从2014年发布的《人口健康新管理办法(试行)》到2016年的《健康中国2030》等政策都明确表明我国大力促进健康医疗数据的共享和利用。而共享和利用数据就会增加数据的流动性。贯彻数据的开放共享政策后责任分配复杂。数据流通从单一的模型——主体到控制者到处理者到使用者较为简单的单向数据流通，到多方使用者的加入，并且控制者、处理者、使用者由医院增加到可穿戴式医疗设备的服务商、提供远程监控诊疗技术的医疗机构、在线诊疗平台、云服务器提供商、软件开发商和维护人员等等，还有各大医疗机构或企业对数据再利用的相互传输。参与数据流通的主体变多，责任主体难以确定。《关于印发〈国家健康医疗大数据标准、安全和服务管理办法〉(试行)的通知》落实“一把手负责制”，但仅按照“一把手负责制”在现有的数据流通链中并不能很确切反映归责主体和责任的分配。后期的惩罚机制不完善，会导致前期的管理机制混乱，有碍数据安全保障工作的进行。

在惩罚机制上同时也可以看出我国对泄露健康医疗数据的责任主体存在惩罚力度不够的问题。首先是重行政、刑事责任，轻民事责任。我国《刑法》第253条规定了“侵犯公民个人信息罪”，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定对敏感个人信息非法获取、出售50条就可以定罪，《网络安全法》对侵犯个人信息类犯罪最高的行政处罚达50万元，其他部门规章行政处罚也大都在5万～20万元之间。但关于违反网络安全规定，造成数据泄露的公民个人应该承担什么民事责任并没有详细的规定，《民法典》仅从侧面肯定了保护公民个人信息权和数据的权利。[17]其次对于特殊敏感数据的泄露惩罚力度远远不够。科技部处理华大基因泄露基因数据的事件，给予华大基因的行政处罚是：1.停止该项研究工作的执行；2.销毁未出境的研究数据；3.停止国际合作，整改合格后再行展开。但在2018年华大基因又陷入了泄露国内14万孕妇的基因组至国外的风波，可见这样的行政处罚远远不能阻止类似行为的再次发生，数据泄露的责任太轻根本不足以警示公众数据泄露危害的严重性。对泄露健康医疗数据的打击力度不够，对将特殊的基因数据泄露至境外的打击力度更加不够。

四、 健康医疗数据泄露的法律救济

健康医疗数据在医疗领域不断的应用，是促进医疗行业发展的重要工具，对社会的发展有积极意义，但必须防止健康医疗数据的泄露造成的数据安全风险。

(一) 引入依托场景的风险理念补正较为僵硬的同意规则

世界经济论坛(WEF)联合微软研究团队发布的一份研究报告指出,由于缺乏实质意义上的用户控制及透明机制,传统个人信息保护架构在当下社会已经失灵。[16]学者鲁宾斯坦(Rubinstein IS.)进一步指出,知情同意机制在大数据时代已经“无可挽回地走向瓦解,超出了任何规制的修复能力”。[17]可见出自原信息时代的“知情同意”规则对大数据时代来说过于苛刻，亟须破旧立新。本文认为应引入依托场景的风险理念补正较为僵硬的同意规则，对传统的框架进行重构。

目的限定和信息最小化原则应被场景中合理的标准取代。目的限定原则，同一个操作对于不同的数据风险是不同的，同一个操作对于相同的数据在不同场景下风险也不同，以依托场景的风险理念取代目的限定原则使得规则变得更加灵活，可操作性更强。信息最小化原则也是个人信息保护的“帝王原则”，虽然依然是信息保护的核心理念，但在大数据时代我们应当赋予它不同的含义，大数据时代收集、传输、利用、再利用数据并不对数量、内容限定和最小必要的范围限定，更准确地说数据的收集、传输、利用、再利用应当将引发的风险控制在合理的水平内。

依托场景的风险理念也应当贯穿于用户控制与透明度机制。数据控制者可根据具体场景中评估的隐私风险等级,设计层级化的透明与用户控制机制。[16]评估风险等级划分为三级，当评估风险等级为低时，数据控制者无须主动向数据主体汇报风险，也无须提供用户控制机制；当评估风险为中等时，数据控制者可以主动向数据主体汇报风险，并提供用户控制机制——可供用户选择的择出机制；当评估风险为高时，数据控制者须立即主动向数据主体汇报风险，并提供用户控制机制——可供用户选择的择入机制，确保数据主体对数据的控制权力，主动降低安全风险。

不管是涉及第三方责任还是健康医疗数据的跨境传输，都应当遵从依托场景的理念，重视不同场景中数据的风险评估，僵硬的同意规则在某种程度上简单豁免了数据控制者、数据使用者的责任，在健康医疗数据的流通链条中引入依托场景的风险理念能更好保障数据的安全性。

(二) 建立健康医疗数据出境安全评估基本框架

早在2017年国家互联网信息办公室曾就《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见，而后来发布的为《个人信息出境安全评估办法(征求意见稿)》(后简称《办法》)与前者不同的是，后者仅仅是对个人信息的出境安全评估规定。评估的框架由“企业自评估、监管部门偶尔抽查、特定条件下报请监管部门评估相结合”变为“凡涉及个人信息出境的网络经营者，都要向监管部门申报评估”，增加了监管部门的负担和企业压力，《办法》第五条规定安全评估应当在15个工作日内完成，企业的扎堆申报容易给监管部门带来负担，而复杂情况下15日可以适当延长，过长的评估时间则又会让企业失去数据出境的机会，所以本文认为应当将个人信息与重要数据传输出境的规则区分开来。

如果将个人信息与重要数据区分开来，那么个人信息单单属于公民个人，关乎公民的隐私权，而重要数据关乎国家安全和公共利益。个人信息的传输出境更偏向于市场行为，所以能否出境应该是市场性的决策，而不是行政决策。[18]对于所有数据的出境首先都应该征得数据主体的同意，其次对于个人信息的出境评估形式应为行业组织和企业自评加一定期限内备案的机制，搭配监督执法。在备案后如未接到省级网信部门的禁止出境通知，则可以自行启动数据跨境业务。行业组织和企业自评的内容主要有出境数据的属性和数据出境发生安全事件的可能性。对于重要数据的出境传输都应当向监管部门申报，参照《办法》要求网络运营者与境外数据接收者签订合同，确保数据接收者能够持续对个人信息提供足够的保护，赋予数据接受者“通知-变更”的要求，赋予网络运营者“默认兜底”的责任，赋予了个人信息主体数据出境的特殊“查询权”。针对健康医疗数据出境后的再次传输，不仅仅是个人选择同意，本文认为依然需要向网信部门备案，汇报数据的走向，并与数据接收者签订再传输的合同，确定义务与责任。

(三) 确立以平台为中心，事前预警、事中控制和事后追溯的监管模式

医疗行业目前对信息的管理都是以健康医疗数据为基础，监管的领域主要在互联网领域，对于互联网医疗的监管主要应以监管平台为中心，实现地方监管平台与中央主要监管平台对接，既能实现健康医疗数据地方与中央的共享，平衡各地医疗资源的分配，同时也能全局性的监管掌握健康医疗数据的安全情况，最大化降低泄露的可能性。监管平台的运营由工业与信息化部、卫生健康委员会、食品药品监督管理局、发展和改革委员会以及公安筛选内部的工作人员负责，通过监管平台对互联网医疗、医疗App、远程医疗、可穿戴式设备进行全面监管。以监管平台为中心进行监管更有利于分配部门职权、合理分工合作，避免监管主体的混乱和职权划分的交错，进一步确立主要监管权力主体和辅助监管机构。且以平台为中心监管避免了讨论健康医疗数据到底是应当划分为公民信息还是医疗信息，是属于工业与信息化部还是属于卫生健康委员会监管的难题。

传统医疗模式下，监管方式主要为被动监管，由于新兴医疗行业发展迅速，更需一套主动监管机制应对数据安全挑战。对于医疗行业里数据控制者不合规的数据操作行为、未对数据进行脱敏处理的行为，监督部门更需要采取先进技术主动抓取，如设计“监管爬虫”技术，抓取监管机构的原始数据，[15]加大对医疗行业的监管力度，促进行业自律。对于企业、机构内部监督、管理、预警机制的建立，以及人才培养、定期风险评估、安全演练、应急预案，监督部门也应当主动审查。为了应对新产业的挑战还须对全过程进行监管，建立事前预警、事中控制和事后追溯的完备制度应对数据泄露的发生。利用主动抓取技术对健康医疗数据泄露事件实施预警干涉行为；当泄露事件发生时，应迅速对事态进行最大效力的控制，尽量挽回损失，保护数据主体权利；当泄露事件发生以后，调查泄露根本原因，对责任主体按照规定进行严格的惩治，对事发机构或企业也严格按照程序追责，并赔偿受影响数据主体的损失。

(四) 完善健康医疗数据泄露的惩罚机制

近期发布的《安徽省大数据发展条例》细化了数据安全保护规定，明确实行数据安全责任制，保障数据全生命周期安全。数据安全责任按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责的原则确定。我国数据的泄露责任偏向刑事和行政责任，忽视责任主体的民事责任，有关健康医疗数据的民事责任的规定应由法律详细规定。在健康数据流通链变长变得更复杂时，数据控制者与数据主体、数据控制者与数据使用者应当签订合同，规制数据的流通和使用行为，不管是医院使用了可穿戴式医疗设备或者进行了远程诊疗，数据流通至第三方的服务器中发生了泄露，还是医院与网络平台合作打造互联网医院导致数据泄露，都应当确立有过错的责任主体一律承担连带责任的原则，方便数据主体的追责维权工作，责任的分配应当由责任主体的过错大小确立。

美国在医疗行业领域有严格的立法，根据《健康保险可移植性和责任法案》(HIPAA)的规定，对健康医疗数据的泄露包括的惩罚有罚款和判刑，罚款的数额高达几千万美元。从现实中的美国判例中可以发现泄露健康医疗数据的罚款是巨额的：2015年美国健康保险公司国歌(Anthem)遭受违约，影响了7900万人，2018年该公司因违反HIPAA被美国卫生与公共服务部罚款1600万美元。[19]根据2021年9月1日开始施行的《数据安全法》的规定，对开展数据处理活动时不按规定履行数据安全保护义务的组织、个人最高处以200万元的罚款，部门和直接负责人都可能被处以罚款；违反规定向境外提供重要数据的，最高处以1000万元的罚款，相比以往的处罚程度有了大幅度提升。由于健康医疗数据的特殊性，更应该提升罚款数额，特别是针对敏感数据的泄露和传输至境外泄露的情况更应该严格把控，加大惩罚力度是必然的。不仅是规定健康医疗数据泄露的刑事责任和行政责任，国家也应当提供民事方面的法律救济，针对个人健康医疗数据泄露，为个人维护合法权益提供救济渠道。

健康医疗行业特殊性较高，严守健康医疗数据安全成为时代任务。共享数据对社会的发展必然重要，但平衡共享和隐私、公共利益的保护是更好共享数据的前提。当前行业已按照国家要求执行了国家信息安全等级保护的要求，独具医疗行业业务特色的信息安全保障指南2020年12月发布，开展安全防护工作未来还需要付出更多努力。

[注 释]

①2021年《深圳经济特区数据条例》第二条第四款。

②《中华人民共和国人类遗传资源管理条例》第二十二条。