中国健康医疗数据政策法规现状及域外立法模式借鉴*

张宇清

(湖北中医药大学卫生健康与中医药法治研究中心 武汉 430065)

1 引言

健康医疗数据作为国家基础性战略资源，是新生事物，推动其应用发展是一项创新性工作，未知大于已知。虽然中国在夯实数据基础、深化数据应用和加强数据保障等方面已有所突破[1]，但在健康医疗数据应用发展中还存在安全保障需求，因此，亟需加强法治建设，不断完善法律法规，以确保健康医疗数据安全、可靠和可持续发展。

2 健康医疗数据的概念

健康医疗数据法律上的概念并不明晰。理论与实务界对健康医疗数据的认识差异性首先体现在健康医疗数据的称谓及界定上，目前有“健康数据”“健康医疗数据”“医疗数据”“健康医疗”“大数据医疗信息”“个人医疗信息”“个人医疗数据”“医疗资料”等称谓。各级各类法律规范、政策文件以及国家标准中，对“健康医疗数据”的概念也界定不一。地方层面立法对健康医疗数据的界定较为详细：共性方面，大多以“健康医疗大数据”命名，既包括电子数据也包括其他形式数据；个性方面，有的在概念中列明了健康医疗数据的特征，有的除了数据内涵外，还增加了新技术和新业态的内涵，有的指明了责任主体。

立法名称和内涵争议背后的实质是健康医疗数据是新兴事物，发展时间相对较短，存在立法经验不足、基础理论研究不够成熟等客观限制。本文将健康医疗数据界定为：覆盖人的全生命周期，在疾病防治、健康管理等过程中产生的高应用价值的健康医疗相关数据的集合。

3 中国健康医疗数据的政策法规现状

3.1 国家层面

近年来，国家层面逐步形成了以总体国家安全观为指导，以《民法典》《数据安全法》《个人信息保护法》为核心驱动，以《关键信息基础设施安全保护条例》等为抓手的数据安全法律体系。尚无健康医疗数据专门立法，但陆续出台了一些规范性文件以及支撑上述法律规范落地实施的国家标准，见图1。

图1 中国健康医疗数据法律体系

3.2 地方层面

中国在2016、2017年先后启动了两批健康医疗大数据中心与产业园建设试点工程，确定福建省(福州市、厦门市)、江苏省(南京市、常州市)、山东省、安徽省、贵州省5省7个试点区域。各省尤其是试点省市以数字经济发展为要义，围绕“大数据”“数据”的立法步伐不断加快。通过搜索各省人大官网、省级政府相关网页，以及北大法宝数据库，以“数据”“大数据”为关键词，以“现行有效”为条件检索，只统计省(自治区、直辖市)级层面，得到以下数据：截至2022年12月31日，19个省(自治区、直辖市)出台了地方性法规，22个省(自治区、直辖市)出台了地方政府规章，其中近3年的占70.7%，地方数据立法继 2020、2021 年快速升温后，2022 年立法量达到峰值。以“健康医疗数据”“健康医疗大数据”为关键词检索，省级地方性法规数量为0，仅有一个设区的市地方性法规《贵阳市健康医疗大数据应用发展条例》(2021修正)，地方政府规章仅有《山东省健康医疗大数据管理办法》，地方规范性文件中四川省和福建省福州市出台了管理办法，另有9个省(自治区、直辖市)出台了健康医疗大数据应用实施意见。

全国首部健康医疗大数据应用地方性法规《贵阳市健康医疗大数据应用发展条例》作为创制性立法，有不少特色和亮点。一是明确适用范围。即接入市级全民健康信息平台的医疗卫生机构、健康医疗服务企业。二是健康医疗大数据应用发展诚信档案制度。记录相关机构及其从业人员的违法失信行为，并纳入统一的信用信息共享平台管理[2]。三是明确和细化安全监督管理职责。避免权责不清、各自为政、效率低下等问题。《山东省健康医疗大数据管理办法》规范健康医疗大数据的生产汇聚、共享开放、安全管理等行为，提出管理机构应当对大数据按照不可开放数据、有条件开放数据和无条件开放数据分类管理。《四川省健康医疗大数据应用管理办法(试行)》用较大篇幅规定安全管理，内容涉及事前审核评估、事中安全管控、事后责任追究，强调保护合法权益、保护个人隐私。

4 中国健康医疗数据立法存在的问题

4.1 立法进程较为缓慢

健康医疗数据是一种敏感的个人信息载体，其数据挖掘、开放、交易和共享需要法律指引[3]。当前中国实施健康医疗大数据国家战略的障碍已不在于政策扶持和引导，而在于缺乏全面、细致、明确的指引和规制，难以满足当前健康中国和数字中国建设中健康医疗数据产业高速发展的现实需求。《数据安全法》虽然规定了数据安全与数据利用并举等问题，但很多内容较为原则和笼统，依其规制具有专业性、隐私性的健康医疗数据缺乏具体操作标准和实施细则。《网络安全法》没有数据留存、数据本地化等方面的明确规定，使运营商、互联网服务平台的数据安全责任意识淡薄，造成数据权利保护不全面[4]。

立法进程缓慢一方面是因为健康医疗数据应用场景广泛，产业链复杂，触及许多法律空白地带；另一方面健康医疗数据产业的高速发展离不开创新应用，对法律秩序会产生一定冲击，而相对宽松的监管环境有利于试错。立法进程缓慢对某些新兴行业的发展是一个次优选项，若是被国家相关部门采用严格的管控措施，或者过度监管，就可能会使行业出现萎缩或者停滞不前的情况。当然，这绝不意味着默许突破社会伦理、医疗伦理的底线，更不允许违反既有的法律规范[5]。

4.2 效力层级有待提高

国家层面针对健康医疗数据以行政规章、规范性文件和推荐性标准为主，法律、法规欠缺，立法层级较低，与立法制度设计不完全匹配，须要制定效力层级较高的法律法规。同时，也呈现了地方立法先行态势，由地方先摸索制定地方性法规和规章，为国家立法积累经验。虽然地方立法不乏部分创新性和实效性规定，但并不能取代高位立法在健康医疗数据法治保障中的重要地位，也不能取代地方性法规在整体立法中的连接点作用。虽然各省(自治区、直辖市)在数据立法方面步伐加快，但针对健康医疗数据立法普遍缺位，只有一个设区地方性法规和一个地方政府规章，其他都是地方规范性文件。地方规范性文件由地方政府或相关部门制定，目的是落实国家法律和政策，或者解决地方上的具体问题。因此，地方规范性文件并不具备法律的独立性和权威性，且只能在其所辖范围生效。

4.3 法律制度亟待完善

法律概念与权属方面，虽然《民法典》《网络安全法》等法律中规定了健康医疗数据的相关内容，但是对其概念、属性及权属界定并不清晰。健康医疗数据包括原始数据和衍生数据。确权是确定健康医疗原始数据共享主体的前提，是共享行为的基础。衍生数据来源于原始数据，但经过算法加工处理，已经形成新的数据集系统。这些健康医疗数据是具备新价值的财产，符合财产性权利产生的法律基础，其法律属性和权属问题事关健康医疗数据产业的安全有序发展。本质来说，数据产权是个人、企业和国家三方主体的权利配置问题。当前法律上还没有明确数据产权中权利内容和保护的倾斜程度，在客观上妨碍了数据的正常流动以及数据要素的价值释放。2022年发布的《关于构建数据基础制度更好发挥数据要素作用的意见》虽然提出了“三权分置”产权制度框架，但权利内涵并不明确，亟须建立具体的法律制度保护各方主体权益。

公法与私法衔接方面，健康医疗数据兼具私法与公法属性。《民法典》规定了隐私权与个人信息权益的保护规则，为健康医疗数据提供了强有力的私法保护。《个人信息保护法》中的私法规则与《民法典》构成特别法与一般法的关系[6]。《个人信息保护法》将“医疗健康信息”视为敏感信息，医疗实践中大量患者相关信息均会因其“医疗健康”的属性落入个人敏感信息范畴。健康医疗数据还具有很强的社会性和公共性，某些情形下也应受到公法的规制，但并不意味着其等同于公共数据。《民法典》确立了“以不公开为原则，公开为例外”的个人信息保护规则；《政府信息公开条例》则明确以公开信息为原则，以“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息”不予公开为例外。二者基本价值取向不同，也缺乏明确衔接，处理具体案件时可能会出现矛盾结果。一是《民法典》中对于“公共利益”并无清晰界定。政府信息公开制度以维护公共利益为目的，但并非每一次公开都会涉及公共利益。关于是否可以在政府信息公开中任意公开个人健康医疗数据以及有哪些限制条件，《政府信息公开条例》中并无衔接规定。二是《民法典》强调即使是为了“公共利益”，对个人信息的处理也应是“合理实施的其他行为”，而《政府信息公开条例》却未作要求，缺乏方式上的衔接。

法律责任体系方面，首先，数字经济背景下，建立了“保护+使用”原则。但是，到底是由谁使用，使用过程中需要承担什么权利和义务，如果违反了有关授权该如何担责，责任是由控制者承担还是使用者承担，承担责任的界限如何确定等问题还未明确。其次，由于没有健康医疗数据专门立法，而是一些规定、管理办法、指南等“软约束”，某些条款的表述甚至更接近道德规范，实质性的约束效果不足，使本该得到法律强制性保护的个人权益要依靠相关行业及人员自觉遵循。三是对违法行为的处罚力度较小且分散。《数据安全法》只规定了罚款和停止业务等，没有明确规定其他法律责任形式。如果没有具有威慑力的“违规成本”，就无法有力约束相关主体，无法有效降低隐私信息被侵犯的风险。

5 域外健康医疗数据的立法模式

5.1 一般数据立法模式

5.1.1 欧盟 2018年5月欧盟出台《通用数据保护条例》(General Data Protection Regulation，GDPR)，是维护数据主体权利的“大宪章”。GDPR除序言外有10章，对健康信息等具有敏感特性的个人数据予以高等级保护。第3章界定了“个人敏感数据”，规定禁止处理敏感数据的例外情形。GDPR要求企业必须获得数据提供者关于某明确合法用途的授权[7]。数据保护上，数据供应链自上而下的各方都会被问责。GDPR还规定了对违规行为的严厉处罚，以行政罚款的形式，罚款1 000万～2 000万欧元，或企业全球年营业额的2%～4%。可以处罚任何类型的违反GDPR行为，包括纯粹程序性的违规行为。

5.1.2 俄罗斯 (1)俄罗斯联邦《个人信息保护法》。2006 年7月发布，共6章25条。该法将个人数据分为一般数据、特殊类型数据和生物识别数据，第2章第6条明确处理一般意义上个人数据的9个条件。而涉及医疗健康大数据的处理和利用被特别规定在第10条第2款和第2.1款。(2)俄罗斯联邦《公民健康保护基本原则法》。2011年11月施行，是俄罗斯卫生“基本法”，共14章101条，内容涉及医疗健康管理各个方面。俄罗斯未采用制定专门法的方式，而是充分发挥卫生基本法律在医疗健康大数据保密与开放利用方面的法定管理职能，将涉及医疗数据的开放利用条件放在“健康保护的基本原则”这一章的“医疗秘密”中予以说明。第13条明确该法律限制的数据范围是“在医疗检查、治疗过程中获得的健康、诊断情况信息”[3]。

5.2 专门立法模式——奥地利

2012 年奥地利颁布了专门法《使用电子健康数据时的数据保障措施联邦法》，共6章。第2章规定了健康服务提供者的健康数据保障义务及提供限制；第3章要求联邦健康机构应运营电子健康索引服务；第4章明确了相关主体的权利义务，规定健康服务提供者的健康数据存储权、特定类型数据的存储时间限制以及电子健康记录系统参加者提供数据时的安全保障义务等。

5.3 “基本法+专门法”模式——日本

日本采取的是“基本法+特别法”双重规制架构，即《个人信息保护法》+《次世代医疗基础法》(也称《医疗大数据法》)。2003年5月颁布的《个人信息保护法》试图在“个人权益保护”与“个人信息使用”之间求得平衡。该法核心目的是更好地实现个人信息开发与利用，强调对个人信息处理的透明性以及对个人信息的知情权和控制权。该法规定，医疗数据除作为“个人身份标识符”外，还应纳入“需要关注的个人信息”范畴。除特殊情形外，“需要关注的个人信息”必须取得本人同意方能向第三方提供，数据提供者还负有“确认、记录、保存义务”。2018年5月1日实施《次世代医疗基础法》，共7章50条(不含附则)，旨在推动医疗研发活动，严格规制匿名加工医疗信息，细化医疗数据的流通保护规则。涉及医疗数据的章节主要是第2、3、4章，通过对国家责任、基本方针制定，对匿名加工医疗信息制造业者的认定以及医疗信息及匿名加工医疗信息的交易规定等[1]，实现健康医疗领域尖端研究等目标，推动健康长寿社会的形成[8]。

5.4 医事法模式——芬兰等

部分国家有关健康医疗数据的法律规定在医事法律中。芬兰1992年的《患者地位及权利法》规定了医疗记录、保健及治疗资料、信息保密等；荷兰1994年的《医疗合同法》规定了信息取得权、信息拒绝权、治疗文书删除权、患者记录接触权、数据保护及保密、基于统计或科研目的而使用患者信息；立陶宛1996年的《患者权利及保健相关的损害赔偿法》规定了患者记录中的信息保密，患者记录中的信息在研究、教育中的使用等。

6 构建和完善中国健康医疗数据法律体系的建议

6.1 确定立法原则

6.1.1 数据安全与个人隐私保护并重原则 数据安全是健康医疗数据立法的根本目的，而个人隐私保护是健康医疗数据立法的重要价值。个人隐私保护和健康医疗数据保护之间并不是非此即彼的关系，是可以相互转化的。从立法价值的角度来说，保护个人隐私是为了最大限度地实现公共利益和公民个人利益的平衡，而保护健康医疗数据则是为了更好地实现公民个人利益与社会公共利益的平衡。在健康医疗数据立法中，应当将二者相结合，将保护个人隐私作为优先目标，在确保个人隐私得到有效保护的前提下实现对健康医疗数据的合理利用。

6.1.2 发展与安全并重原则 数据安全是健康医疗数据立法的重要价值追求，而安全又是发展的前提。从某种意义上说，健康医疗数据的安全就是健康医疗数据的发展。在立法中应当将发展与安全并重作为优先目标，除了制订专门法以外，还应积极出台管理办法、管理规范和便于落地执行的操作规程，将个人隐私保护放在优先位置。按照“最小必要”原则，确保数据使用目的、使用方式、使用期限和使用范围符合法律法规要求。利用数据沙箱、隐私保护计算、国产密码等技术手段，打造可信计算环境，构建一整套业务流、数据流和监管流“三流叠加”的综合治理体系。

6.1.3 开放与共享并重原则 医疗数据的开放与共享，是实现大数据发展，创造社会价值的前提，也是保障医疗机构开展医疗卫生服务、科研和基因工程等领域研究与开发的重要保障。过去的大数据是信息孤岛，未来的大数据将真正实现信息共享，为医学科研服务。首先，应搭建数据共享基本原则框架。在尽可能遵循国际数据共享活动的普遍原则下搭建适应国情的健康医疗数据共享基本原则框架。医疗机构、科研院校及企业组织基于基础原则框架可在各自领域内结合具体场景建立相应共享行为准则，并将场景适应性原则框架嵌套至健康医疗数据共享系统流程，指导健康医疗数据共享实践。其次，应当明确数据开放共享的原则、要求，严格定义数据共享的对象、形式和边界。最后，应鼓励健康医疗数据共享和流动。在立法中明确规定健康医疗数据属于公共信息资源的范畴，鼓励和支持健康医疗大数据的共享和流动，提高健康医疗数据资源的利用率。

6.2 修订《基本医疗卫生与健康促进法》

《基本医疗卫生与健康促进法》已于2020年起施行。健康医疗数据作为法律关系客体属于该法调整的对象，但目前该法缺少规范健康医疗数据处理的条文。建议未来修订时应明晰医疗数据利用的条件和权责，注意与《个人信息保护法》的衔接，使健康医疗数据的加工、共享、交易等环节都有法可依，有据可循。

6.3 构建“基本法+专门法”模式的健康医疗数据法律体系

由于健康医疗数据本身法律属性复杂，且是超越行政区划的存在，数据相关风险防范与应对的基础性制度，如市场准入、公平竞争审查制度、个人信息保护等更适宜由国家立法承担[9]。以法律或行政法规的形式量身定制规则体系，方能显示国家对健康医疗数据的审慎态度。一是结合本国实际、借鉴域外经验，可采用“基本法+专门法”模式构建。用“基本法”确立“个人信息保护”的基本原则，以“专门法”规制健康医疗数据的发展应用。《个人信息保护法》已施行，下一步应积极制订《健康医疗数据条例》，以解决健康医疗数据的界定、权责、收集、加工、共享、交易等问题[10]，使健康医疗数据的价值在流动中充分实现；二是地方立法成功经验反哺国家层面立法。将一些先进、有效、操作性强的条款纳入其中，增强立法的针对性、适用性和可操作性，提升立法质量。

7 结语

健康医疗数据应用领域的法治建设是中国卫生健康事业发展的重要保障，对于促进卫生健康事业健康发展、维护公民身心健康具有重要意义。要在充分考虑中国医疗数据保护现状和问题的基础上，汲取地方立法及域外有益经验，坚持总体国家安全观，从保障公民健康出发，完善中国健康医疗数据保护法律体系，确保数据安全、个人信息安全和公共利益得到充分保护，为人民群众提供更加优质、高效、便捷的健康医疗服务。

利益声明：所有作者均声明不存在利益冲突。