首页 > 论文范文 > 医药卫生论文 > 医院管理论文 > 医院安全管理论文 > 医疗健康大数据对外合作中的法律风险分析

医疗健康大数据对外合作中的法律风险分析

2022-03-11 184 上传者：管理员

摘要：医疗健康大数据有着巨大的开发利用价值，但是政府部门在与第三方合作开发时需要注意一些法律问题，包括：数据的所有权、患者隐私权、数据开发利用的安全性、合作第三方的资质等。要在法律允许的框架内开展数据开发利用工作，从而避免开发利用医疗健康大数据而可能带来侵权责任风险、舆论风险以及数据失实等风险。

关键词：
健康数据
医疗健康
大数据开发
开发利用
法律风险
加入收藏

一、与第三方合作开发大数据可能遇到的法律问题

（一）数据所有权问题

对数据进行开发利用的首要前提是拥有数据所有权。目前我国法律没有明确规定健康数据权属问题。经查阅有关理论文献，笔者认为当前卫生行政主管部门信息平台上的健康数据可分为两类。第一类是原始数据，指终端用户所存储的数据。目前卫生行政主管部门信息平台上较多的是采集自医疗卫生机构的诊疗相关数据，这类数据的所有权应属于其生产者――医疗机构（也有观点认为应由医疗机构和患者共有）[1]，行政部门不具有所有权，如果提供第三方使用，理论上应得到医疗机构的同意。第二类是卫生行政主管部门在管理过程中产生的大数据。经过了对原始数据大规模的建模、关联、分析、计算等复合处理，形成具有一定附加值的数据资产，对此行政部门享有所有权和使用权。

2018年出台的《关于印发国家健康医疗大数据标准、安全和服务管理办法（试行）的通知》（国卫规划发[2018]23号）第六条规定“卫生健康行政部门是本行政区域内健康医疗大数据安全和应用管理的监管单位。各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位”。该文件虽然也回避了数据权属问题，但是把数据应用的责任单位确定为医疗卫生机构，行政部门则是作为监管单位。

（二）患者隐私权问题

按照法理学解释，患者隐私权可以理解为患者在接受医疗服务时应当享有的、要求医疗机构及相关人员对其记录、保存的涉及患者的个人信息未经当事人同意，不得向外界泄露的权利。一般理解人格权是高于财产权的，因此诊疗过程中涉及的患者个人数据信息，非经患者本人同意，不能提供给第三方。

《中华人民共和国民法典》对个人信息的保护有着明确规定，同时明确个人信息包括健康信息；处理个人信息的，应当“征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”；“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外”。《上海市政务数据资源共享管理办法》（沪府发[2016]14号）第五条规定“政务数据资源的共享与应用，不得泄露国家秘密、商业秘密和个人隐私”。《关于印发国家健康医疗大数据标准、安全和服务管理办法（试行）的通知》第三十五条规定“责任单位向社会公开健康医疗大数据时，不得泄露国家秘密、商业秘密和个人隐私”。

（三）数据安全问题

医疗健康大数据在使用和合作开发的过程中，不可避免地会遇到数据接触者增多的情况，因此必须注意数据安全问题。《人口健康信息管理办法（试行）》第十六条规定“责任单位应当按照国家信息安全等级保护制度要求，加强建设人口健康信息相关系统安全保障体系，制定安全管理制度、操作规程和技术规范，保障人口健康信息安全”。

（四）合作第三方的资格问题

一是对合作方选择的总体要求。《关于印发国家健康医疗大数据标准、安全和服务管理办法（试行）的通知》第三十一条规定“责任单位选择健康医疗大数据服务提供商时，应当确保其符合国家和行业规定及要求，具备履行相关法规制度、落实相关标准、确保数据安全的能力，建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度”。《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》（国办发[2016]47号）提出“开展大数据平台及服务商的可靠性、可控性和安全性评测以及应用的安全性评测和风险评估，建立安全防护、系统互联共享、公民隐私保护等软件评价和安全审查制度”。

二是关于合作方为外资企业的情形。《关于印发国家健康医疗大数据标准、安全和服务管理办法（试行）的通知》第三十条规定“健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核”。这一条是对向境外提供的规定，虽没有说不能提供给外企，但外企的身份决定其母公司或投资方在境外。无论从国家战略安全，还是产业关键竞争力的视角，都需加强对健康数据境外传输的监管，因此与外企合作需慎重：一是需注意数据提供形式，二是若条件允许，要开展安全评估。

二、可能导致的风险

目前法规、政策对公民健康数据的公开及使用存在一些限制内容，强调相关数据信息的安全性、公民隐私保护、安全审查制度等，这些规定较为笼统和原则，在未得到充分细化及保障前，相关数据信息对外提供存在风险。

（一）侵权责任风险

这在向第三方提供原始数据时有可能发生。一是侵犯医疗卫生机构对原始数据的所有权，二是侵犯患者隐私权。侵权责任带来的后果有可能是行政诉讼或民事诉讼的败诉。

目前卫生行政主管部门信息平台上收集的数据主要产生于公立医疗卫生机构，存在行政管理上的约束，因此被诉讼的可能性不大。但随着平台数据的丰富，今后社会办医机构数据增多的话，除行政管理需要以外的开发利用，尤其是将数据提供给第三方使用，需得到社会办医机构的授权。

从保护患者隐私的角度，不建议提供原始数据。尽管可以匿名化，但在大数据环境下，数据很可能经过组合、挖掘，重新分析出个人敏感信息。

（二）舆论风险

舆论风险在英国医疗健康大数据平台（care.data）被迫停止运行的案例中可以充分显示。care.data平台集中了全英国的家庭医生（GP）和医院记录的病历以及社会服务信息，NHS期待通过数据资源的统一归口、共享、分析，更好地认识疾病发展趋势、研发药物和治疗方式、在有限预算中更好地分配医疗资源、比较各区域的医疗质量等。但是，该平台从诞生之日起便遭遇到隐私保护和数据安全方面的质疑，英国政府因为没有做好相应的法律和伦理的规制，导致该项目在建设3年后于2016年停止[2]。这提示我们在当前法律规制尚不健全的阶段，与第三方合作开发的风险客观存在。

（三）其他风险

还有一些风险也需要加以关注。例如：1．由于原始数据失实而导致大数据模型结果失实。卫生行政主管部门信息平台上相当一部分数据是向医疗卫生机构采集，不排除医疗卫生机构原始数据存在失实的可能，由此会带来我委向第三方提供的数据失实的风险。2．如果收费可能带来争议，卫生行政部门下属信息平台运营单。经物价、财政部门审批，可以收费。但不建议以“数据提供”作为收费项目名称，否则在数据所有权不明晰的情况下，可能带来买卖数据的争议。3．与外资合作可能带来的政策风险。如前所述，相对于与内资机构合作而言，与外资机构合作的政策风险增加。

三、有关建议

合作的第三方可以分为两类：一类是仅提供技术支持服务的第三方，另一类是以获得数据运用的成果产出为合作目标的第三方。

（一）对于第一类合作

1．所选择的合作方应具备履行相关法规制度、落实相关标准、确保数据安全的能力，并建有数据安全管理、个人隐私保护、应急响应管理等方面管理制度。

2．要从制度和技术两方面入手，建立数据开发使用的全程痕迹可追溯机制。包括电子实名认证和数据访问控制、规范数据接入、使用和销毁过程的痕迹管理，确保对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。

（二）对于第二类合作

1．不建议提供采集自医疗卫生机构的原始数据和患者个案数据，以提供在卫生行政主管部门所建设的平台上的模型运行产出数据为好。

2．在与合作方的合同中增加免责条款，注明所提供数据仅作为参考。

（三）合作合同的签署

合作开发使用数据必须签署相关合同。合同内容要尽可能包含目前所知的所有风险的免责和规避连带责任的条款，明确合作第三方的责任、义务和第三方的违约赔偿责任。

（四）关于收费

1．按照《行政事业性收费标准管理办法》（发改价格规[2018]988号）。行政部门所属事业单位如拟就数据相关服务收取费用，应经市价格、财政部门按规定权限审批，纳入行政事业性收费目录清单。