医疗数据的隐私保护令人担忧：从新型冠状病毒肺炎疫情治理谈起

近日，疫情在部分城市出现小范围的扩散，在公布患者行程时，出现了泄露患者个人信息的案例。为保护患者隐私，北京市卫健委在公布新增病例时，隐去了患者的年龄和性别。

在新型冠状病毒肺炎疫情（简称“新冠肺炎”）的应对中，医疗大数技术体现了多方面的价值，但也产生了数据风险的新问题与新挑战，完善数据规制从而协调数据保护与数据使用之间的冲突成为制度设计的难点。

信息数据已成为当下最重要的战略资源之一。

作为“互联网+健康医疗”命题下的核心构成，无论是对医疗服务效率、质量的提高，还是对传统医疗服务模式的转变，抑或是在未来通过智慧医疗模式惠及全民，医疗大数据在医疗卫生事业中的价值与日俱增。

重大疫情治理中大数据的价值体现

这次新冠肺炎疫情期间，大数据不仅助力政府在疫情的科学管理和资源优化配置上发挥作用，也让公众及时了解了疫情的发展情况，积极参与科学防疫，其价值主要表现在以下几个维度：

通过大数据实现对医疗资源的有效调度。

医疗大数据能够实现人力物力成本降低的新型数据应用模式，有助于政府了解各地医疗物资的供需现状从而作出精准决策，保障物资供应、防止疫情扩散。

此外，政府也可以及时掌握医疗物资的落实情况，确保政策执行的有效性。

基于大数据的机器人诊疗，能够降低医护人员的工作风险。

AI+大数据可以提前干预人体健康，降低发病概率，以及对治疗路径进行预测。

此外，以大数据为基础的机器人诊疗还能应对“人传人”的病毒传播风险。

通过对数据的挖掘，预测疫情的暴发、防患于未然。

大数据不仅可以分析人员的流动轨迹，实现对病例的及时追踪，更能对高危人群提供健康宣教和精准管理，防止疫情扩散。

此外，如果能够借助大数据提前预测疫情暴发，疫情的形势必然得到有效改善。

医疗大数据运用所存在的数据风险

伴随着医疗大数据的高速发展，医疗数据的风险愈发暴露，医疗数据的隐私保护令人担忧。

随着医疗信息共享的开展，数据量将不断增加，隐私保护的难度也在逐步提高，这是现阶段发展卫生医疗大数据的主要障碍之一。

大数据在治理重大疫情中所能发挥的水平高低与医疗数据的多寡与质量息息相关。

数据量的增加提高了隐私保护的难度，数据的集中存储会增加数据被泄露、破坏、盗窃的安全风险，网络传播病毒、非授权访问等会造成大数据基础设施的安全威胁并阻碍其运行。

在个人数据已成为大数据时代重要驱动力的同时，以隐私为核心的个人数据保护日益受到关切。

一方面，不充分的隐私保护会诱使大数据运用进行监管套利，损害公民个人的合法权益；另一方面，过于严苛的数据保护又会制约技术创新与经济社会的发展。

目前大数据应用主要集中于对个人数据的分析加工，多源数据聚合后可能会存在身份识别的风险。

海量医疗数据的挖掘和使用也引发了涉及个人信息的获取、扩散等一系列问题。

在大数据的运用中，传统数据法律保护机制无法充分发挥作用，如何加强对数据的保护且不抑制其自由流通将成为数据规制应对技术变革带来的新问题的关键。

个人医疗数据法律规制的现状

与疫情相关数据的披露对于重大疫情的治理具有无法估量的价值。

但数据的使用难免触及患者个人信息的私密性问题。

如何兼顾个人医疗数据的利用与保护成为各国一直以来探索和改进的重点，医疗数据在隐私权的领域内较之于一般个人数据应居于更为重要的地位。

目前，世界上已有120个国家或地区制定了有关个人数据保护与使用的专门法律。

新版《国际卫生条例》在疫情治理的问题上强化了世界卫生组织的活动权力，但往往难以约束成员国在数据使用方面的具体行为。

欧盟不仅在区域组织层面制定并不断完善指导欧盟整体的通用数据保护条例，还敦促其内部的成员国相继颁布有关个人数据保护的立法。

发达国家相继建立了较为完善的政策法规体系以加强个人数据的保护。

美国卫生及公共服务部于2000年依据《健康保险可携性与责任法案》授权制定《个人可识别健康信息的隐私标准》，为保护患者医疗隐私构建起一个完整且具有可操作性的法律体系。

加拿大的《个人信息保护及电子文档法案》对跨省或跨国商业机构使用个人健康信息的行为予以禁止。

澳大利亚的《健康档案法案》对隐私保护利益相关者的义务、权限和法律责任等内容做出了严格规定。

中国现有法律对个人数据也提供了一定的保护。

《中华人民共和国民法典》明确宣告了司法对个人隐私、个人信息的保护；《政府信息公开条例》第25条确立了个人数据主体知悉“与其自身相关的政府信息”的权利以及要求更正错误信息的权利；严重侵犯他人数据、隐私的行为，还可能构成犯罪。

但要在大数据时代兼顾数据保护与数据资源的流通，当前的顶层设计仍值得反思。

现状下数据规制存在的问题

1）现有的法律针对的只是部分个人数据行为。当前法律较为关注的是数据的非法收集或泄露，但对收集后的滥用行为几乎没有涉及。

2）中国现有的数据规制以知情同意原则为基础架构，以数据主体的同意阻止对个人数据的违法使用。但对于数据使用者而言，每次行为都需征得数据主体的同意严重加大了数据使用的合法成本。

3）数据脱敏规则的标准有待明确。敏感数据的去识别化有利于对个人隐私的保护和对侵犯个人隐私的救济。目前国内外还没有形成任何成熟的数据脱敏方案，能否通过技术的升级实现数据的完全脱敏尚具有很大的不确定性，实现后是否会导致数据价值的下跌又是值得深思的问题。

中国数据规制的理性建构

中国数据规制建构的基础逻辑

数据规制的基础逻辑应以社会整体利益作为考量，基于利益关系的平衡，进行合目的、合比例、低成本的制度设计。

数据合理使用与侵犯隐私界限绝不能以静态的视角对其进行一刀切的划分，必须报以动态的场景视角。

中国数据规制的发展

数据滥用行为应纳入数据规制。

在制度的设计上，应注重民法、行政法、刑法的配合。

数据保护的刑法规制主要体现于侵犯公民个人信息罪，为了保证民事责任、行政责任与刑事责任的衔接，同样需要在行政法规中明确数据滥用行为的具体特征。

同时，为了保证数据流通与数据保护的平衡，应以“情节严重”保证刑事责任启动的谦抑。

引入场景理念修正较为僵硬的同意规则。

中国个人数据保护规制的设计应转变传统框架中知情同意的固化思维，认识到个人信息合理使用的判断标准取决于是否符合用户的合理隐私期待，以及是否造成了不合理的隐私风险。

引入场景理念的合理内核，有赖于对个人信息的风险评估，当评估结果为对个人信息造成影响极小时，可不经个人同意采取相应处理，从而弱化数据使用合法性对用户同意的过度依赖。

推动数据去识别化标准的形成。

数据去识别化标准的明确有助于将个人数据安全地运用于经济社会，真正意义上地实现数据保护和数据使用的双赢。

中国的数据去识别化标准应以数据类型的不同而有所区分，对于敏感性的个人数据，对匿名化的要求必须达到不再识别个人的标准，彻底断开数据与具体对象之间的连接。

对于个人关联性较弱的数据，匿名化的程度若能达到无法通过与其他数据的对比、分析识别出数据主体的身份即可。

结论

大数据技术在医疗领域的价值无可估量，但在其赋能健康医疗的同时，围绕数据使用与保护的议题所呈现的是公共利益和个人利益糅合与冲突的现实图景。

中国的个人信息法律保护机制方兴未艾，患者隐私保护立法更是处于初级阶段，如何解决数据使用与个人隐私保护之间的紧张关系进而释放数据的潜在价值，是大数据时代医疗领域不可回避的挑战，也是中国信息立法亟待应对的现实问题。

对此，必须建构适宜大数据时代背景的数据法律规制，在理性定位医疗大数据的基础上，弥合现行数据规制的不完备性，引入开放灵活的数据使用规则并推动数据去识别化标准的形成，既要保证数据使用的前景，也要维护公民个人隐私等合法权益的神圣不可侵犯。