王丽莎

2016年5月，国务院在《关于促进和规范健康医疗大数据应用发展的指导意见》中指出，“健康医疗大数据是国家重要的基础性战略资源”。发展健康医疗大数据应用，“将带来健康医疗模式的深刻变化，有利于提高健康医疗服务效率和质量，增加有效供给、满足群众需求，促进培育新业态、形成新的经济增长点”。美国麦肯锡公司在其报告中指出，排除体制障碍，大数据分析可以帮助美国医疗服务业一年创造3000 亿美元的附件价值，包括医疗服务业5 大领域的15项应用：（1）临床操作（比较研究、临床决策支持系统、医疗透明度、远程病人监控和对病人档案的先进分析）（2）付款/定价（自动化系统；②基于卫生经济学和疗效研究的定价计划）（3）研发（预测建模、提高临床试验设计的统计工具和算法、临床试验数据的分析、个性化治疗、疾病模式的分析）（4）新的商业模式（汇总患者的临床记录和医疗保险数据集、网络平台和社区）（5）公众服务（改善公众健康监控）。然而，在强调互联网医疗大数据的优势同时，我们更应当看到其中蕴含的个人信息权、隐私权可能受侵害的风险和数据安全存在的隐患。如何对互联网医疗大数据进行法律和伦理上的规制，已成为亟待解决的问题。

互联网医疗大数据法律和伦理规制的必要性

现有法律的不足

云计算、大数据、物联网等新技术融入到传统医疗行业中，不仅产生了如好大夫、春雨掌上医生和杏树林等新兴的互联网诊所，更是逐渐建立起来“云医院”，为各家医疗机构的医师提供了一个互联网诊疗、咨询平台，通过线上、线下联动，将现有医疗资源放大，向患者提供门诊、住院、检查、体检等诊疗、咨询及预约服务，为患者提供便利。然而，“互联网+”以无所不在的计算和数据，改变了我们的生产和生活方式，为人们提供便利的同时，共享的个人信息可能被不当收集、恶意使用、篡改，人类将生活在其“信息阴影”下。患者的个人信息在互联网医疗的“病历夹”（杏树林开发）、移动医疗APP中不断积累，虽然从医疗机构的角度可以“有效利用互联网数据传输过程中沉淀下来的极其宝贵的数据资料，去满足用户体验和用户需求”，但是，这些患者的信息却很容易积累形成人格的烙印。另外，健康数据越来越多地被收集在传统医疗机构之外，与第三方共享，不仅用于研究，而且也用于商业利益。“如何保护数据和限制访问”在互联网医疗大数据中产生新的问题，如“如果互联网软件中的缺陷允许个人恶意通过篡改远程接入的胰岛素泵来杀死某人，在这种情况下，胰岛素泵连接到互联网以允许远程控制，也可以将其数据作为大数据计划的一部分进行共享和分析。对糖尿病患者（和其他人）的益处是真实的，但它们是否值得让人们的生命处于危险之中呢？

全国人大常委会2012年《关于加强网络信息保护的决定》实际将个人信息视为用户的一种绝对利益，并以此简单立场来处理用户和网络经营者之间关于个人信息保护及其利用发生的利益关系。该规定不能适应复杂的现实调整的需要，特别是大数据经济爆发后，其局限性愈加明显。同年，最高人民法院出台的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中，第12条将“欠缺公开性”作为排除侵权的规定。在某种意义上重塑了用户个人信息保护关系，破除了个人信息人格权保护的绝对格局，赋予数据从业者一定的收集、加工和利用的空间。该规定在2015年6月“北京百度网讯科技公司与朱烨隐私权纠纷案”中得到应用。2017年3月出台的《民法总则》中虽然规定了个人信息权，但是立法虽然意识到个人信息和数据资产的区分性，但是如何确定二者的法律利益关系却存在严重分歧。二审稿曾将数据资产和网络虚拟财产作为一种新型知识产权课题，但是受到激烈反对未果。最后，《民法总则》第111条和第127条在区分规范个人信息与数据和网络虚拟财产的基础上，简单地做出了开窗式的立法授权规定，从而预留下继续研究的巨大空间。

英国医疗健康大数据旗舰平台care.data失败的教训

英国政府2016年被迫停止运行的医疗健康大数据旗舰平台care.data，为我国互联网医疗大数据的法律和伦理规则的制定敲响了警钟。care.data平台集中了最详尽的数据，包括全英国的家庭医生（General Practitioner, GP）和医院记录的病历，以及社会服务信息。英国国家医疗服务体系（National Health Service,NHS）期待通过数据资源的统一归口、共享、分析，能够更好地认识病患，研发药物和治疗方式；认识公共卫生和疾病的发展趋势，保障每个人享有高质量的服务；在有限预算中更好地分配医疗资源；监控药物和治疗的安全状况；比较全国各区域的医疗质量。但是，该平台从诞生之日起，便遭遇到隐私保护和数据安全方面的质疑。对医疗健康数据集中和统一归口过程中，英国政府强行推动计划，没有充分告知公众或与各利益相关方沟通；过于强调收集和共享的数据经过了匿名化或伪匿名化的处理，数据无法回溯到个人，试图破除大众对于隐私泄露的担忧。但实际上，在大数据环境下，数据很可能经过组合、挖掘，重新识别出个人。同时，数据集中存储反而导致遭破坏、窃取、泄露等安全风险的上升。更重要的是，英国政府因为没有做好相应的法律和伦理的规制，导致三年后停摆。

实际上，医疗数据的应用争议不仅发生在英国，荷兰和奥地利等其他欧洲国家，在尝试集中化处理医疗数据时，也存在大量质疑和反对的声音。因此，为了更好地促进我国互联网医疗大数据的健康稳定发展，必须为其提供充分的法律和伦理规则作为保障。

互联网医疗大数据中亟待规范的问题

元数据信息的泄露

2016年7月21日，有媒体报道我国30省份至少有275位艾滋病感染者个人信息遭泄露的事件。犯罪分子在诈骗电话中能准确地描述出病患的个人信息，包括真实姓名、身份证号、联系方式、户籍信息、确诊时间、随访的医院或区县疾控等等，并谎称能为病患办理补助而需要收取不菲的手续费。这是互联网医疗数据中元数据的泄露，涉及的是数据安全、个人信息权和隐私权的保护的问题。2016年6月21日国务院下发的《关于促进和规范健康医疗大数据应用发展的指导意见》中出现了33次“安全”，可见对数据安全的重视。数据安全问题中包含个人信息权和隐私权的保护，这是传统信息安全三要素之一的保密性(confidentiality)的要求；此外，还有完整性和可用性的要求。完整性(integrity)，指信息在存储或传输过程中保持未经授权不能改变的特性；可用性(availability)，指信息可被授权者访问并使用的特性。也就是说，数据安全保障的是信息或信息系统免受未经授权的访问、使用、披露、破坏、修改、销毁等。

1. 个人信息权和隐私权
   大数据具有价值密度低的特征，单一数据可能无法识别患者，信息泄露造成的危险不大，但是，多源数据聚合后多种数据信息相互重合、印证，便可能造成身份识别，进而导致个人信息权和隐私权受到侵害。大数据安全需求在互联网医疗大数据，较其他行业的数据更具有隐私相关性。健康医疗数据包含了患者或居民的个人身体健康状况的数据，大多数是“能够识别公民个人身份和涉及公民个人隐私的电子信息”，这样的数据一旦开放共享，必然伴随着个人身份和隐私信息泄露的风险，因此，对于互联网医疗大数据的法律和伦理规制要求更高。
2. 大数据存储、分析及应用安全
   数据集中存储增加了遭破坏、窃取、泄露的安全风险。分布式存储架构引发的安全问题：完整性校验难、密钥管理难、存储的可靠性难保证，数据难销毁；分布协同的计算模式引发的安全问题：纷繁杂乱的计算环境、安全需求不同、安全强度不同将引发更多的安全漏洞。非结构化数据的存储，依托非关系型数据库（NoSQL），具有存储灵活、可扩展性强等特点，但缺乏数据安全维护机制，如访问控制、身份认证和隐私管理等。

大数据的所有权

近期的新浪微博诉脉脉案虽然不是互联网医疗数据之争，但是该案对互联网数据权属争议的判决对于互联网医疗数据权利的归属问题极富借鉴意义。北京知识产权法院在判决中明确提出，新浪微博对于网站内的相关数据信息享有合法的权益，受到法律保护，他人不得未经授权和许可擅自使用相关数据信息，否则构成侵犯他人合法权益的行为。因此，互联网医疗数据的权利主体有三个，分别是患者个人、互联网医疗平台和政府。患者对于可以识别的个人信息享有个人信息权，互联网医疗平台和政府对于自身平台收集整理或自身建设数据库中的信息享有专有使用权，并对经过云计算等技术转化后形成的大数据享有专有使用权和收益权，这就是数据权。

龙卫球教授主张，应当对互联网数据经营者赋予数据经营权和数据资产权，数据经营权是一种经营限制权，通过对该权利的确认为数据经营者提供从事经营的结构性驱动力和保障。同时，他认为该权利是否必要设置主要有关国家对于数据经济的管理立场。而将数据资产权认为是一种近似于所有权的法律地位。作者认为，数据经营权是生产经营的行政许可，与数据资产权不可同日而语。数据资产权的概念刻意强调数据的资产属性，与物权、知识产权、人身权概念的表述方式明显不同，莫如承袭一贯的简单明了的权利表述，称之为数据权。

互联网医疗大数据法律和伦理原则

大数据革命正在被我们所认为的“大型元数据计算机”记录下来，其中包括有关该数据的人员和元数据。我们有一些法律规则和伦理原则来管理现有的个人信息流，但是我们缺乏管理数据新流量、新用途和从该数据导出的新决策的规则。我们所需要的是规范互联网医疗大数据的新规则，而不牺牲其不可否认的利益。这些新规则既需要法律层面的规范，又离不开伦理原则的引导。

规范互联网医疗大数据的伦理原则

发展互联网医疗大数据伦理，应该承认四个层次的原则：隐私、保密性、透明度和身份。

• 隐私
  数据流的保护应当开始于隐私的保护，而不是结束。此前不少互联网企业的高管宣称，互联网时代隐私将终结。如互联网创始人和谷歌“首席互联网宣传者”的领袖Vint Cerf表示，隐私可能是一个历史性的异常；Facebook创始人马克·扎克伯格（Mark Zuckerberg）更为直率，声称“隐私的时代结束了。”这种以技术为中心的观点，是值得商榷的。隐私在互联网时代并没有死亡，而是呈现出一种流动状态。如果将隐私或者个人信息视为信息量，我们可以保密，这种“隐私”肯定会缩小。因为互联网时代对个人资料的收集、使用和分析是不可避免的，如果将隐私视为关于使用个人信息的规则，那么隐私从未如此活跃。事实上，正如海伦·尼森鲍姆所说的那样，当我们谈论隐私时，我们是指管理信息流动的规则，而不仅仅是获取个人信息或数据的限制。
  现有的隐私权和个人信息权的重点是一套所谓“公平信息原则”，用于管理个人资料的收集、使用和披露。目标是为个人提供个人资料的控制权，以便在个人数据被收集、使用或披露时衡量利益和成本。“通知和选择”制度是我们目前的隐私权和个人信息权的基本框架。Daniel Solove教授将这种隐私管理方法描述为“隐私自我管理”。虽然隐私自我管理保证了微妙的隐私保护，但实际上大多数公司都提供一个结构性的通知，而个人就其通知做出决定是否同意。实际上，经验证据表明，这种隐私的自我管理模式通过阅读隐私政策和做出相应的决定，将使用户每年花费数百小时才能实现完成。现在的问题不在于隐私是否死亡，而是面对大数据产生的新用途和来源，需要重新审视个人信息流的管理系统，需要额外的原则来管理个人信息流。
• 对共享信息的保密原则
  过去几十年来，隐私权法的紧张态势，来自于隐私是一种二元的、要么私人要么开放的简单化观念。即一旦信息被得到同意并分享，它就不再是私人的。隐私的二元观很危险，可能会损害大数据和元数据时代的信任，因为大数据时代私有信息必须被设计共享才是有用的信息。实际上，法律一直保护中间状态的私人信息，如律师和医生对客户和患者个人信息的保密义务。这些信息本身也是客户对律师、患者对医生共享自己的个人信息，但是对于此类信息，不应仅仅因为它们处于中间状态而丧失被保护的能力。了解共享的私人信息可以更好地保密原则，有助于我们了解如何使我们的隐私期望与快速增长的大数据分析的次要用途保持一致。
• 透明度
  透明度长期以来一直是民间社会的基石，因为它能使政府，机构和个人作出明智的决策。大数据分析的许多二次使用，以及医疗机构、互联网医药公司和政府分享数据的激励措施，必须高度重视大数据时代的透明度。透明度可以帮助防止滥用机构权力，同时也鼓励个人安全地分享更多的相关数据，为社会做出更好的大数据预测。
• 身份识别
  “身份”和隐私一样，可能很难去定义。邱仁宗提出数字身份的概念，当从事在线活动时数字身份代表那个使用者特定的人，能为电子技术手段可及。数字身份不是唯一的、静态的或永久的，还有人使用的是假身份，或者匿名。有人界定数字身份为“在在线环境发展起来的，可通过电子或计算机装置或系统可及、使用、储存、转移或处理的身份。（ICBCEM2011）数字身份存在被盗用的风险，以及在可得数据及处理数据能力的几何级数的增长驱动下，数字身份越来越可追溯。因此，必须开始思考有关我们将允许的数据推理和数据决策的种类；必须规范或禁止对消费者或患者造成威胁性或冒犯性的身份识别。

规范互联网医疗大数据的法律原则

某种意义上，法律是大数据伦理学的重要组成部分，必须建立指导政府机构、企业行为者、数据经纪人、信息专业人员和患者个人的法律规则。我国《刑法修正案（七》第七条新增关于侵犯公民个人信息的犯罪，《电信和互联网用户个人信息保护规定》对电信和互联网用户个人信息进行保护，《网络安全法》第四章是对网络信息安全的规定，用了1+10条建立了“小总则+分则”的规范方式：先总括性规定了网络运营者应当对其手机的用户信息严格保密和用户信息保护制度，接着分别对网络运营者、个人等在使用网络、收集和使用个人信息时应当遵守的规则进行了具体规范。《民法总则》中对个人信息权的人格权属性进行了明确。不过，这里更多地规范的是数据安全问题，对于患者个人信息权是否包含财产属性、互联网医药企业和政府对于经过数据挖掘后产生的大数据是否享有权利，权利性质如何均没有涉及。

患者享有个人信息权的内容及限制

患者信息权的内容体现出患者作为信息权人对信息的控制权利。这是一种广义的控制，表现在患者有权了解谁在搜集其信息资料，搜集了怎样的信息资料，搜集这些信息资料从事何种用途，所搜集的信息资料是否客观全面，个人对信息资料是否有自我利用或允许他人利用的权利等。具体来说，信息权的内容包括信息专有权、信息支配权、信息维护权和被遗忘权。患者信息权在前三项权能中和其他民事主体没有区别，不过，被遗忘权不仅在内容上与一般民事主体有差异，在行使的时间上会受到病历保存时间规定的限制。

互联网平台和政府的数据权及其内容

数据权是一种财产性的权利，是指互联网医疗平台和政府对本平台内获得的患者授权的医疗相关信息的专有使用权，以及对于经过分析处理获得的数据材料的专有使用权和收益权。对数据信息的专有使用权是指互联网医疗平台和政府对于自身平台上收集、整理的信息，享有非经平台（政府）许可和患者许可不被他人非法获取，从而专有使用的权利。它是一种次生权利，是基于患者完全知情并授权之后，互联网医疗平台和政府才享有的权利。在行使该权利的同时，负有保护患者在该平台授权使用的个人信息不被第三方非法获取的义务。

互联网就是对信息资产进行加工、处理和流通的新型经济体。经过对数据信息日常、大规模的建模、关联、协同、并行、异构、聚类、分析、计算等复合处理，互联网平台和政府数据库中的一般信息形成具有一定附加值的数据资产。经过处理后的数据资产完全没有个人的印记，已经完全属于互联网医疗平台或政府数据库平台的智力劳动成果，理应享有排他的专有使用权。同时，为了促进大数据的共享，真正实现“互联网+”，允许这些平台转让其数据资产并获益是对他们的一种有力的激励。

本文已发表在《中国医学伦理学》2017年第11期

• 本文授權資料來源：医药健康报告

王丽莎

• 北京中医药大学法律系副教授，北京兰台律师事务所律师，中国社会科学院法学所博士后，中国人民大学民商法学博士。中国法学会卫生法学理事、中国医师协会医学人文专业委员会青年委员会委员。本科曾学习临床医学，从事医学法学交叉学科理论、实务工作11年。
• 电话/微信：15120007769
• 邮箱：liza52534@126.com