關于健康醫療大數據優良實踐的倫理共識(第一版)*

劉瑞爽，馮 瑤，李曉潔，張海洪，趙勵彥，叢亞麗**

(1 北京大學健康醫療大數據國家研究院，北京 100191，Irs1187@vip.sina.com,fengyao@bjmu.edu.cn；2 北京大學醫學人文研究院，北京 100191；3 北京大學受試者保護體系，北京 100191；4 北京大學醫學部科學研究處，北京 100191)

本共識所述健康醫療大數據,是指人們在疾病防治、健康管理等過程中產生的與健康醫療相關的數據，以及對數量巨大、來源分散、格式多樣的健康醫療相關數據進行采集、存儲和關聯分析，從中發現新知識、創造新價值、提升新能力的新一代健康醫療信息技術和健康醫療服務業態。

健康醫療數據(包括基因數據、生物識別數據、病歷資料數據等)屬于個人敏感數據，涉及個人敏感信息，是隱私保護的重要方面。對個人健康醫療數據保護不足，不僅會對公民的數據權利、隱私權利等產生巨大損害，也會導致公眾信任危機，損害公共衛生利益，不利于我國醫學科學水平的提高，嚴重阻礙健康醫療大數據領域的良性發展，影響廣大人民群眾的生命健康權益保障。

目前，我國在健康醫療大數據建設過程中涉及的倫理問題主要包括：①未經數據主體知情同意秘密竊取、非法竊取個人健康醫療數據；②超范圍收集個人健康醫療數據；③“霸王式”“一攬子”獲取授權或誘導、強迫數據主體提供授權；④未征得知情同意二次使用、數據流轉；⑤數據存儲、使用等處理失范；⑥健康醫療數據泄露或非法提供、出售；⑦對公共利益的界定不清晰，導致公權力對數據主體權利的威脅；⑧涉及健康醫療數據科學研究的倫理、法律規范欠缺，侵害受試者合法權益；⑨醫療數據資源分配不均，數據控制者缺乏合作觀念，數據共享障礙較大；⑩數據質量較差、利用率低，未有效應用于科研、公共衛生決策；等。

鑒于前述挑戰和問題，依據我國現行法律法規及個人信息保護相關規定，結合國際公認的倫理規范，參考國際立法，例如：歐盟一般數據保護條例(GeneralDataProtectionRegulation，GDPR)、美國健康保險攜帶和責任法案(HealthInsurancePortabilityandAccountabilityAct，HIPAA)等，我們在此提出倡議，旨在形成健康醫療大數據優良實踐的倫理共識(以下簡稱“共識”)，為相關方行為規范提供參考，更好地服務于國家健康醫療大數據發展戰略。

一、共識主旨

在充分保護個人(即本共識所稱數據主體)健康數據權利的前提下，對數據善加利用，推動數據使用規范治理，保障數據的自由流動，促進我國健康醫療大數據的良序發展，為保護公民健康、維護公共利益、增強國家競爭力創造有利的環境。

二、個人健康醫療數據處理原則

(一)尊重個人權利，禁止濫用個人數據

鑒于個人健康醫療數據屬于個人敏感數據，直接關系到自然人的基本權利與自由，依據中國現行法律和倫理規范，參照國際慣例和國外立法，原則上禁止對個人健康醫療數據進行處理，但以下符合(二)的情形除外。

(二)對個人健康醫療數據處理的合理情形

1. 數據主體明確同意基于一個或多個特定目的對其個人健康醫療數據進行處理。

2. 數據處理是為了重大公共利益，但仍應提供適當、具體的技術與組織措施以保障數據主體的基本權利與利益。

3. 數據處理是為了實現以下目的：預防醫學研究、職業病防治、勞動者工作能力評估、醫學診斷和治療、提供醫療保健服務或構建健康保障體系等。在處理過程中應履行法定及符合倫理規范的保密義務。

4. 為了公共利益而建檔、研究或統計的目的，應允許進行處理。但數據處理應符合國際公認倫理規范，不違反我國法律禁止性規定，采取適當且必要的技術及組織措施，符合最小必要原則。

5. 適當放寬科研目的數據處理的要求，保護科學自由，鼓勵技術創新，但應與商業目的數據處理嚴格區分。

6. 其他有法律依據或符合國際公認倫理規范的特殊數據處理活動，例如，涉及數據主體或者其他自然人基本權利和自由的數據處理情形。

(三)個人健康醫療數據處理應遵循的一般原則

1.個人權利保護原則。數據處理過程中，應充分保障數據主體的個人數據權利。

2. 知情同意原則。數據的收集、存儲、使用、分析、解釋等數據處理全過程均需獲取數據主體的知情同意，原則上應采取明示同意。特殊情況下，如采用默示同意，一般應保證數據主體隨時退出的權利。無論明示同意還是默示同意，一般情況下，撤回同意應當與作出同意同樣容易。

3. 公開透明原則。對個人健康醫療數據處理的相關事項應對數據主體公開透明。禁止秘密處理個人健康醫療數據。

4.限制原則。建立個人健康醫療數據庫應合法、目的特定，處理個人信息應遵循最小必要原則，個人健康醫療數據的收集、使用范圍、保存期限和銷毀應受到限制。涉及公共利益而建檔、科學研究、統計等目的時，可以適當放松限制。

5.數據質量原則。個人數據應當是準確的，如有必要，應及時更新；每一個步驟都應當是合理的，以確保不準確的個人數據及違反初始目的的個人數據及時得到更正或刪除。數據主體有權查詢其個人數據并予以合理修正。

6.責任與安全原則。數據控制者、處理者在數據處理過程中，應采取合理的技術手段(如數據加密、匿名化、訪問權限、差分隱私等)、數據保護政策與組織措施，以確保個人數據的安全。對此，數據控制者、數據處理者承擔舉證責任。

7. 公平與規范共享原則。促進數據的有序流動與公平、規范共享，防范數據壟斷、數據獨裁和數據濫用。

三、數據主體權利

1. 數據主體權利包括但不限于：知情權、數據訪問權、更正權、刪除權(被遺忘權)、限制處理權(凍結權)、對自動化決策(包括用戶畫像)的自主權、數據可攜帶權(復制權)、反對權、隨時退出權、申訴權。

2. 個人數據權利(尤其是健康醫療大數據所涉及的個人健康醫療數據等敏感數據受保護的權利)受現行法律及公認的倫理準則保護。

3. 個人數據權不是絕對的權利，應當考慮其在社會中的作用，并應當根據比例性原則與其他基本權利(包括數據控制者的合法權益)、公共利益相平衡。

4. 基于公共利益、法定義務、履行職責等數據處理活動，有法律明文規定的，應依法克減數據主體的某項或某幾項權利；沒有法律明文規定的，應遵守公認的倫理準則。不宜隨意作出沒有法律或倫理依據的擴大解釋，以免濫用權力，侵害自然人的基本權利。

四、數據控制者和處理者的權利和義務

1. 數據控制者(包括共同控制者)及數據處理者應當采取必要的技術與組織措施(包括數據保護政策)以保護數據主體權利，且應對這些技術與組織措施進行定期審查與及時更新。鼓勵依據現行法律規定及本共識建立數據控制者和數據處理者的行為準則或建立行業的認證機制。

2. 通過設計及默認方式，將個人數據保護的理念、隱私保護原則及數據主體的權利內化嵌合于技術及組織措施。

3.數據控制者應選用“稱職的”數據處理者，即數據處理者有能力采取足夠的技術與組織措施以充分保障數據主體權利。

4. 數據處理者以控制者的名義在授權范圍內進行數據處理。

5. 數據處理者應保障數據的安全，保護自然人的隱私。

6. 數據處理者應對數據處理全程進行記錄并存檔。

7. 原則上數據處理者在完成數據處理后應及時刪除數據。涉及公共利益、科研等情況除外，但應符合法律明文規定或國際公認倫理準則。

8. 經評估后，若數據處理存在高風險，應事先咨詢相關監管機構并進行充分論證，方可開展數據處理。

9. 發現個人數據泄露后，應及時進行風險評估。如果評估后認為存在高風險，數據控制者、處理者應及時通知數據主體進行風險防范，并在合理時間內及時報告有關監管機構。

10. 鼓勵機構設立數據保護專員，專項負責數據保護相關事宜。

11.數據控制者、數據處理者及其他相關人員應積極參加倫理培訓，了解相關倫理原則與法律制度。

12. 鼓勵數據控制者在健康醫療大數據方面投入、創新，按照誰使用、誰獲益、誰承擔數據安全等合規責任的權責利一致原則，保護數據控制者的數據使用合法權益。

五、個人健康醫療數據的跨境處理

1. 遵守國家關于健康醫療數據尤其是人類遺傳資源的管理規定。

2. 鼓勵本地化存儲和處理。

3. 告知數據主體跨境傳輸的事實，征得數據主體的知情同意。

4.數據跨境傳輸所至國家、地區或國際組織的數據保護水平應不低于中國法律的要求。

5. 機構層面，應制定在健康醫療數據跨境傳輸方面的有約束力的機構規則或采取適當的保障措施。

6. 鼓勵旨在推進能力建設的跨境合作與數據公平共享。

六、行業自律

1. 行業應制定關于健康醫療數據處理的自律規范。

2. 行業應開展相關培訓，建立數據保護認證機制。

3. 行業應反對并防范數據壟斷。采取適當的技術與組織措施，打破健康醫療大數據處理的“黑箱”，完善反壟斷制度，促進數據的自由流動與數據共享，避免數據壟斷和數據獨裁，推動行業健康有序發展，力爭健康醫療大數據的福利能夠公平公正分配。

4. 鼓勵企業設立數據專員，對數據收集、使用和存儲等處理進行監督。數據專員需接受專業培訓，熟悉相關倫理原則與法律制度。

七、完善立法

推動立法，保障數據主體的權利與健康醫療數據的自由流動，防止數據壟斷及數據獨裁。

八、附則

1.“個人數據”是指任何已識別或可識別的自然人(數據主體)的相關信息；一個可識別的自然人，是指通過姓名、身份編號、位置數據、在線身份標識或者通過自然人的一項或多項身體、生理、遺傳、心理、經濟、文化或社會身份等要素，能夠直接或間接被識別的個體。

2.“個人健康醫療數據”，即“和健康、醫療相關的個人數據”，指和自然人的身體、生理或精神健康相關的、顯示其個人健康狀況信息的個人數據，包括衛生保健服務相關數據。

3.“數據處理”是指針對個人數據或個人數據集合的任何一項或一系列操作，如收集、記錄、組織、建構、存儲、修改、恢復、檢索、咨詢、使用、披露、傳播或其他方式公開、利用、排列或組合、限制、刪除或銷毀，不論該操作是否采用自動化方式。

4.“匿名化”是指在采取某種方式對個人數據進行處理后，如果沒有額外的信息就不能識別數據主體的個人數據處理方式。此類額外信息應當被單獨存儲，并且憑已有技術與組織方式確保個人數據無法指向某個已識別或可識別的自然人。

5.“限制處理”(凍結)是指對存儲的個人數據進行標記，以限制未來對該數據的處理行為。

6.“用戶畫像”是指為了評估與自然人有關的特定方面而對個人數據進行的任何形式的自動化處理，特別是與自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、信譽、行為習慣、位置或行蹤相關的分析或預測。

7.“數據控制者”是指單獨或共同決定個人數據處理目的與方式的自然人、法人、公共機構、行政機關或其他組織。

8.“數據處理者”是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他組織。

9.數據主體的“同意”是指數據主體通過一個聲明，或者通過某項清晰的確定行動而自愿作出的、充分知悉的、明確的、表明同意對其相關個人數據進行處理的意愿。(注：歐盟和我國法律均采取明示同意的方式。)

10.“個人數據泄露”是指違反個人數據在傳輸、存儲或進行其他處理時的安全原則，導致個人數據被意外或非法破壞、丟失、篡改、未經授權的披露或訪問。

11.“基因數據”是指與自然人先天或后天的遺傳性特征相關的個人數據，這類數據能夠反映與該自然人生理機能或健康狀況相關的獨特性質，特別是通過對自然人的生物樣本進行分析而得出的數據。

12.“生物識別數據”是指對自然人的身體、生理或行為特征進行特定技術處理而得到的個人數據。這類個人數據能夠構成識別該自然人的獨特標識，例如臉部形象、虹膜、指紋或足紋數據等。

13.“比例性原則”，又稱狹義比例原則、合比例性原則、均衡原則、相稱性原則或法益相稱性原則，原指行政主體對相對人利益的限制或損害不得超過法定目的所欲追求的公共利益，兩者之間必須相稱或成比例；本文中，指公共利益的保護與個人權益的保障之間應形成合適的比例，以及根據數據敏感程度采取相適應的保密和安全措施。

14.“監管機構”是指依據我國現行法律所規定的負有監管職責的行政機關或主管部門。

15.“跨境處理”是指：

(1)個人數據處理發生在控制者或處理者在多個國家所設立的營業機構內；

(2)個人數據處理是在中國的控制者或處理者的單一營業機構內進行的，但其對不止一國的數據主體具有實質性影響。

16.“國際組織”是指依照國際公法，或根據兩個或多個國家協議所設立的組織及其下屬機構。

致謝：

本共識由北京大學健康醫療大數據國家研究院倫理與法律研究中心課題組起草并匯總相關領域專家意見。曾在北京健康醫療大數據論壇、中華醫學會醫學倫理學分會第二十屆學術年會與參會者進行討論。感謝所有為本共識提出寶貴意見和建議的專家學者，后續本文還將進一步更新和完善。

特別鳴謝以下專家學者在共識起草過程中所作出的貢獻(排名不分先后)：

段偉文 中國社會科學院哲學研究所

李 倫 大連理工大學人文與社會科學學部

劉銀良 北京大學法學院

田海平 北京師范大學哲學學院

張玲華 深圳市人口和計劃生育科學研究所