2021年11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式施行。作为我国第一部针对个人信息保护的专门立法,《个人信息保护法》与《民法典》《网络安全法》《数据安全法》《电子商务法》等法律法规,共同围起我国个人信息保护的法网。由于个人信息与数据之间联系紧密,《个人信息保护法》毫无疑问也会对医疗大数据的利用规制产生深远影响。
规制原则对应三类数据
《个人信息保护法》出台后,数据合规成为医疗大数据利用的重点关注内容。但值得注意的是,医疗大数据不是一个模糊的整体概念,而是由不同性质、不同特点的医疗数据汇聚而成的合集。因此,在讨论医疗数据的利用和规制时,首先应厘清其内涵及类别,不同类别的医疗数据应适用的规制也是不同的。
本文采用2018年国家卫生健康委印发的《国家健康医疗大数据标准、安全和服务管理办法(试行)》中对于医疗大数据的界定,即在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。
根据分类依据,医疗大数据又可以被划分为不同的类别。在讨论《个人信息保护法》背景下医疗大数据的利用规制时,则可以相应根据个人信息、敏感个人信息以及医疗大数据的内涵,对其关系进行厘清,从而进行类别的划分。
在《个人信息保护法》中,个人信息的定义为“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”由此可见,《个人信息保护法》对于个人信息的认定采用“识别﹢关联”的标准,并将经匿名化处理后的信息排除在外。换言之,若要构成个人信息,受到《个人信息保护法》等相关法律法规的保护,必须同时符合识别性和关联性的前提条件。
同时,根据《个人信息保护法》,敏感个人信息是“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”所以,敏感个人信息是在个人信息的基础上,进一步增加了对于侵害后果的要求。
并非所有的信息都构成个人信息和敏感个人信息。同理,并非所有的医疗大数据都可以构成个人信息和敏感个人信息。当医疗大数据中的部分数据并不具备识别性或关联性时,就不应当以个人信息相关的法律法规对其进行规范。
综上,可以根据构成因素的不同,将医疗大数据划分为三类,分别是:构成个人信息的医疗大数据;构成敏感个人信息的医疗大数据;普通医疗大数据。
数据使用中的法律问题
根据《个人信息保护法》,医疗大数据的处理与利用大致可以分为收集、存储、使用、加工、传输、提供、公开、删除等环节。医疗机构、医药企业等数据处理者在每一个环节对于医疗大数据的处理与利用,均有可能产生法律问题。
数据多次利用易突破个人同意的范围。一旦对医疗大数据进行整合与多次利用,往往会突破数据最初收集时个人同意的范围,个人数据更容易被分析,数据多次利用背后的风险也会相应增加,个人信息更容易被暴露、被侵害。
医疗大数据传输中存在信息被非法处理的风险。医疗大数据的价值不仅体现在对于数据的分析与重复利用上,由于医学研究及实际诊疗的需求,还注重在不同主体之间的传输与共享,发挥医疗大数据在多方主体之间流转的价值。在传输过程中,任何一个节点有差池,都可能造成信息被非法处理。同时,医疗大数据一旦流转到第三方,数据收集者便很难对其进行有效监管。
个人欠缺信息保护的能力。个人因缺乏专业医学知识,信息不对称,往往无法判断风险发生的时间、危害后果及其严重程度,事后损害也难以认定。
医疗大数据利用的现有法律规制。医疗大数据的现有法律规制包括《个人信息保护法》《数据安全法》《民法典》《刑法》等,分别从民事层面、刑事层面以及行政层面等对医疗大数据的利用作出了规定。其中最具针对性的当属《个人信息保护法》,从四个方面基本搭建起了医疗大数据利用规制的框架:第一,确立了个人信息处理规则(包括个人信息跨境提供的规则);第二,明确个人在个人信息处理活动中的权利,以及个人信息处理者的义务;第三,划定履行个人信息保护职责的部门;第四,明确法律责任。
数据规制须形成合力
区分不同种类医疗大数据的规制程度。
由于医疗大数据类别不同,在现实中可能产生的风险便不同。因此,对其进行规制也应当区分对象,有所侧重。
构成个人信息的医疗大数据与构成敏感个人信息的医疗大数据的人身属性相对而言更强。因此,应当加强对其利用时的规制,对其利用主体施加更加严格的义务与责任要求。普通医疗大数据相对而言人身属性较低,而财产属性较高。为释放数据利用的活力,增强数据利用的积极效益,对其使用进行规制时,法律要求则可相应降低。由此,能够发挥法律规制在精准打击医疗大数据不当利用上的效果,同时适当降低执法与司法成本。
完善医疗大数据利用规制的权利基础。
对个人而言,医疗大数据的人身价值极为重要,需要防止其受到侵害。而对医疗机构、医药企业等数据处理者而言,医疗大数据所蕴含的财产价值则是追求的目标。因此,妥善解决医疗大数据利用规制的核心是如何化解各方主体在医疗大数据利用上的利益冲突,或潜在的利益冲突。就法律规制而言,则是如何进行医疗大数据的权利分配。
在当前的地方立法实践和学术讨论中,对权利分配的主要思路是如何将医疗大数据权利进行切分,是否将具有人身属性的权利赋予个人,将具备财产属性的权利赋予数据处理者;数据处理者可否因数据的加工、处理行为而取得数据的归属权;同时,对于匿名化处理后丧失人身属性的数据,是否将权利转而归属于数据处理者;此外,还有借助自物权—他物权和著作权—邻接权的权利分割思想,对数据权利进行划分。
但应当注意到的是,权利的分配会影响后续权利的行使及保护,若权利分配只进行书面上的切割,而不考虑现实可行性,则此种分配将不具有任何意义。若将医疗大数据上的相关人身利益分配给个人,财产权利分配给数据处理者,那么当数据处理者为追求自身的财产权利而侵害个人的人身利益时,将如何化解二者之间的利益冲突,都是需要考虑的问题。
健全医疗大数据的权利保护模式。
《个人信息保护法》虽然初步搭建起了医疗大数据权利保护的框架。但是由于医疗机构、医药企业等主体与个人之间的地位并未改变,若想进一步实现医疗大数据利用规制的目的,一方面,还需解决医疗大数据权利保护如何落地,个人如何有效、便捷地实现法律所赋予的知情权、决定权等相关权利等问题;另一方面,还需要加强公权力对于个人的支持与帮助。
加强公权力对医疗大数据利用的监管。
从《个人信息保护法》实施后的执法实践来看,已经有相当数量的企业与机构因个人信息保护问题而受到处罚,其中不乏与医疗大数据利用相关的企业。从执法效果上看,这对于促进医疗大数据利用行为规范化起到了积极作用,因此,可以考虑适当加强公权力机关对医疗大数据利用的常态化主动审查。另一方面,消极的惩罚措施并不能完全消除违法行为,适当配备激励措施也是实现医疗大数据利用规制的重要措施。
个人增强医疗信息自我保护意识。
个人应适当增强个人医疗信息的自我保护意识,在接受医疗机构或相关主体的服务时,对于相关软件读取信息的权限以及信息流转的权限应加以限定。例如,在下载使用应用软件时,若软件无需获取位置信息、摄像头等权限即能正常提供服务,则可以避免一律勾选同意授权选项。在个人医疗信息可能受到侵犯的情况下,可积极行使《个人信息保护法》所赋予的知情权、决定权等各项权利,以及寻求行政机关、司法机关的救助。