健康醫療數據治理體系建構的困境及對策

屈 佳

浙江大學光華法學院，浙江杭州，310008

健康醫療數據是指個人健康醫療數據以及由個人健康醫療數據加工處理之后得到的與健康醫療相關的電子數據[1]。“智慧醫療”為人們帶來了全新的健康保障體驗,也使網絡上流通的健康醫療數據數量急劇上升。海量健康醫療數據在為人類社會謀求更多福祉的同時,也導致了諸如數據泄漏、網絡勒索、侵犯公民隱私和擾亂社會秩序等問題。從Greenbone Networks輕松獲取數千個在線醫療系統內2400多萬份不同國家的患者數據,到近年來國內醫院內網數據庫頻頻被入侵,健康信息數字化時代的數據處理與安全保障成為全球普遍關注的熱點問題[2]。

現有研究主要從技術與制度兩個層面出發。①探索開發與利用健康醫療數據(包括捕獲、管理與處理數據)的科學方法。技術創新與應用研究在審視技術發展基礎之上推進技術革新,利用PAC-GRA-BK算法、瀏覽器/服務器架構設計或基于樣本數據驅動優化臨床療效等方法來提升數據資源管理效率和醫療服務質量[3]。②研究主要從衛生事業管理或醫學倫理的視角展開,旨在明確健康醫療數據的含義、結構化數據元素的路徑、數據使用的道德準則以及評估數據質量的統一標準[4]。只有少量研究注意到了治理過程中出現的法律問題,包括隱私權保護、數據主體控制權、個人信息保護以及數據跨境流動規則發展方向等[5]。鮮有研究系統性地思考如何推動體系的完善,導致健康醫療數據治理體系發展的邏輯思路不清晰。例如,有研究分析了數據的權利內容,卻沒有明確數據屬性與權利主體[6]。 數據屬性是一個數據字段,代表一個數據對象的特征或功能[7]。數據權利主體是指個人數據保護法中規定的數據主體,也是數據的來源主體,即一般自然人[8]。

本研究將在詳細分析健康醫療數據實踐與理論發展現狀的前提下,對當前數據治理體系建構過程中面臨的一系列重要問題進行整體性思考,以為如何建構治理體系提出具有針對性的建議。

1 健康醫療數據治理的現狀分析

1.1 健康醫療數據治理的實踐發展狀況

國務院于2016年發布的《國務院辦公廳 關于促進和規范健康醫療大數據應用發展的指導意見》中提到要使健康醫療數據的開發利用邁入規范化階段。國家衛生健康委于2018年頒布的《國家健康醫療大數據標準、安全和服務管理辦法(試行)》對數據安全監管作出了詳細規定,進一步提升了“AI+醫療”發展的規范性。除了推行治理健康醫療數據的專門性行政法規和部門規章,我國相繼發布的《中華人民共和國網絡安全法》《中華人民共和國數據安全法》(以下簡稱《數據安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》),建立了個人健康醫療數據保護、數據分類分級與安全合規評估等制度,完善了醫療健康行業配套規則體系。在此基礎上,國家市場監督管理總局于2021年制定的《信息安全技術-健康醫療數據安全指南》(以下簡稱“國家標準GB/T 39725”)將健康醫療數據安全保障標準具體化,指導行業開展數據管理能力成熟度評估工作體系建構,增強數據質量和機構的數據管控能力。在國際上,健康醫療數據的開發利用與保護問題受到各國政府、研究機構乃至社會的廣泛關注。歐盟委員會于2022年發布了《歐洲健康數據空間條例(提案)》。該提案旨在全面完善治理體系并建立起特定的數據共享框架,標志著歐盟健康醫療數據治理體系建構正式進入3.0階段。在致力于促進醫療信息化行業發展的美國,自1996年起,衛生與人類服務部持續完善的《健康保險可移植性和責任法》(Health Insurance Portability and Accountability Act,HIPAA)明確規定了個人健康醫療數據的權利和醫療保健服務提供者的義務,從而建立了相對完善的數據安全保障體系。

然而,存儲大量數據的醫院、公共機構與醫療保健服務供應商始終是全球黑客們反復攻擊的對象,形成了健康醫療數據安全保障的外部風險。此外,健康醫療數據安全保障的內部風險也不容忽視。2023年3月,我國最高人民檢察院發布了一批個人信息保護公益訴訟的典型案例,其中一例涉及醫療機構違規泄露患者健康信息[9]。另一項回顧2009-2017年美國健康醫療數據泄漏事故的研究顯示,將數據放入個人賬號、隨意共享加密數據、將數據發送給錯誤的人或未經授權即訪問等內部工作人員的不當操作行為是引發數據外泄的主要原因[10]。健康醫療數據安全保障中存在的內外部風險威脅著數據的保密性、完整性與可用性,要求數據治理體系提供解決方案。我國健康醫療數據治理體系雖初具雛形,但尚缺乏獨立完整的體系設計,并未制定對數據收集、處理、監管以及流通等各個環節作出整體設計的專門性法律。總的來說,健康醫療數據治理進入發展期,有必要針對實踐中出現的新問題完善相關制度。主要包括以下問題:應對外部風險時,個人對健康醫療數據享有的權益邊界;如何強化對數據處理的監督以降低數據安全保障的內部風險;如何通過化解健康醫療數據安全保護與數據開放共享之間的矛盾打通數據流通壁壘。結合現實風險與規范現狀,擬從梳理相關理論入手,以奠定深入分析上述問題及其成因的基礎。

1.2 健康醫療數據治理的理論發展情況

1.2.1 引導治理方向的原則。19世紀80年代,經濟合作與發展組織(Organisation for Economic Co-operation and Development,OECD)在《關于保護隱私和個人數據跨國流通指導原則》中提出了關于個人數據保護必須遵循的八大原則,包括公開原則、個人參與原則、責任原則、使用限制原則、數據質量原則、收集限制原則、目的明確原則與安全保障原則。八大原則不僅是制定數據治理與信息保護法的國際標準,還是各國制定健康醫療數據治理的基礎[10]。例如,芬蘭社會事務與衛生部于2012年頒發的《生物銀行法》第二章第五條第一款依據數據收集限制原則,要求生物銀行應當確保收集的樣本和信息與研究之間具有相關性。此外,2013年美國衛生與人類服務辦公室發布了名為《協調性照顧和個人參與的障礙消除建議(2020)》的草案,以保障患者的隱私信息自主權。在OECD發布的《健康醫療數據治理》報告(Health Data Governance,HDG)中八大數據處理的基本原則同樣占據重要地位。2016年國務院發布的《關于促進和規范健康醫療大數據應用發展的指導意見》也提出了3項健康醫療數據應用應當堅持的原則:以人為本、驅動創新;規范有序、安全可控;開放融合、共建共享。這3項原則雖不夠細致,卻基本概括了OECD八大原則的主要內容。

1.2.2 基于數據特點建構的理論。為解決數據利用與數據保護沖突問題提供理論,幾種代表性理論包括數據主權論、數據自由論、數據分級分類保護論和場景化理論。以上理論主張對現有健康醫療數據治理體系下行動方案的完善產生了積極影響[10]。健康醫療數據應用研究領域也涌現出了各種理論,包括數據生命周期論、區域醫療中心資源整合論。

健康醫療數據具有4個重要特點。①相較于其他類型的數據,健康醫療數據更具商業價值;據國際商業機器公司發布的《2022年數據泄漏成本分析報告》顯示,醫療保健行業連續12年成為平均數據泄漏成本最高的行業;高昂的數據泄漏成本意味著健康醫療數據的安全保護價值極高。②健康醫療數據詳細記錄了個人從出生至死亡全生命周期的健康情況,有很強的人身屬性。③健康醫療服務遠程化增強了健康醫療數據抓取的實時性[11],并且,小型可穿戴的物聯網設備每日監測使用者的健康狀況生成了大量動態個人信息[2]。④健康醫療數據具有多樣性,其中包括生物識別數據(如指紋、虹膜、人臉識別等)、人類生物樣本(如血液、唾液、組織等)、遺傳數據(如基因組、遺傳突變等)與患者產生型健康醫療數據等[4]。以上特點決定了健康醫療數據具有對個人法益影響最大且易被不法分子侵襲的特征。

數據來源于不同地區和機構,為了協調數據多樣性與數據管控一致性之間的矛盾,在規范層面上管理數據要素并建立要素代碼集至關重要。我國健康醫療數據資源具有體量大的天然優勢,但碎片化存儲方式導致產業體系化程度低,無法充分釋放數據要素價值[5]。Silva和Wittes在1999年臨床試驗中使用病例報告表時開發了通用數據元素,該元素的應用可以提高不同系統之間的互操作性、數據收集效率、數據收集質量與數據使用收益[12]。2021年,歐洲健康數據空間發布的《健康醫療數據治理何以特殊》報告(Why Health is a Special Case for Data Governance)指明了有關歐洲數據再利用需要考慮的八大健康醫療數據要素,嘗試為通用數據元素的使用提供參考。

超越數據主權論與數據自由論之間的分歧,數據相對自由論旨在尋求數據安全保護與數據價值挖掘之間的平衡。美國和歐洲分別代表的“數據自由論”與“數據主權論”構成了跨境數據流通管理的兩大基本價值立場[13]。事實證明,堅持絕對自由主義會形成“數據霸權”“數字剝削”“數據壟斷”,而相對自由主義利于推動健康醫療數據產業的健康發展。在“網絡自由”“全球公域”原則的要求下,健康醫療數據需要自由流動。還有研究指出個人數據權是協調權利人與他人意志沖突的工具,本質上仍為“自由權”[14]。作為稀缺性資源,數據無法歸類為公共物品,確實具有公共屬性。健康醫療數據的公共屬性尤為突出,醫學研究、診療與公共衛生服務都以數據作為支撐。相對自由意味著個人不享有絕對的健康醫療數據控制權[15]。

2 健康醫療數據治理體系建構的困境

2.1 數據屬性與權利主體不明

經濟合作與發展組織認為數據的共享與使用利好于公共利益而不是個人或患者利益[15]。高價值的健康醫療數據開發利用帶來的好處包括:觀察具有不同背景和特征的患者群對現有療法的反應,快速找到最佳療法;與基因組信息結合,發現更顯著的治療效果差異;提高醫療保健服務質量,更好地滿足個人的健康保障需求;提高醫療衛生系統的運行效率,合理化醫療資源分配,產生積極的經濟和社會效益[12]。然而,數據使用不當可能導致數據泄漏與數據濫用,帶來的風險如下:侵犯個人隱私和個人數據權益;在購買人身保險或求職時,個人可能遭受歧視或錯誤的差別對待;承受病史泄漏帶來的心理壓力以及壓力引發的不利后果;個人的社會評價明顯降低,名譽受損;醫療機構和政府的公信力降低,對我國社會的和諧與穩定造成危害[10]。在數據使用過程中,健康醫療數據主體承擔了較大的數據應用風險,獲得了較少的數據應用好處。對此,有研究在總結各國應對公共衛生事件經驗的基礎上指出,應當確立優先保障公共利益的健康醫療數據應用原則[16]。有研究指出有必要改變《個人信息保護法》呈現出的單向保護個人權利的傾向,因為健康醫療數據的應用保護了公共利益進而使個人受惠[17]。但是,在堅持個人權利優先的美國哲學家Frances Kamm看來,為了拯救很多人的生命而允許僭越一個人的權利,善就不會存在[18]。以上研究都是從利益衡量的視角展開,堅持公共利益優先論的學者贊成保障公共利益而豁免數據處理主體獲取患者同意的義務。主張個人權利優先論的學者卻堅決反對未經個人同意而處理個人健康數據的行為[15]。在健康醫療數據治理體系建構過程中,優先保障個人權利還是社會利益?兩派爭論不下。

國外一些研究從判斷數據權利主體的視角切入,進行健康醫療數據確權[12,15]。健康醫療數據是私人所有還是公共所有?同樣形成了兩種觀點。有學者希望健康醫療數據私有化,保障個人擁有健康醫療數據的所有權[19]。個人實際上是數據的生產者、控制者。私有化后市場在健康醫療數據流通過程中占據主導地位。數據收集者在向個人付費后取得數據使用權,個人可以在數據流通過程中獲得實際收益[15]。私有化賦予了個人更大的權利自由,個人享有同意撤回權和數據刪除權。這兩項權利又被稱為被遺忘權,是數據主體可以要求數據控制者(如搜索引擎)更新、刪除個人數據的權利[20]。支持健康醫療數據公有化的學者認為政府或機構擁有健康醫療數據的某些要素或權利[21]。另外,私有化會導致健康醫療數據完全掌握在市場少部分人手中,形成數據壟斷。數據由少數大型科技公司掌控,真正的數據生產者在中心化的網絡結構下淪為被“數據剝削”的對象[19]。即使歐洲建立了全球最嚴密的數據治理體系,也面臨著對大型科技公司執法不力的問題,而現行關于數據屬性和數據權利歸屬的法律法規并不多。國務院2022年發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》提出了建立公共數據、企業數據與個人數據的分類確權授權制度的要求,卻沒有說明具體的分類、確權和授權方法。再結合上述學術界的爭論,可以得出結論:確認健康醫療數據的屬性以及個人是否是健康醫療數據權利的享有者,這些都是亟待解決的問題。

2.2 對數據處理者的監管不嚴

歐盟數據保護委員會2020年通過了《GDPR下數據控制者及數據處理者概念的指南》,認為在數據處理過程中存在控制者、共同控制者和處理者等多方主體參與的情況。控制者與處理者之間最大的區別在于處理者獨立于控制者,并享有一定程度的自主決策權。根據歐盟的做法,有研究將數據主體劃分為數據來源者(數據元發者)、數據處理者(服務提供者)和數據控制者[22]。然而,依據《個人信息保護法》第四條規定,“處理”一詞已經包含了“控制”的含義,因此數據控制者也被稱為數據處理者。健康醫療數據處理者是指對復雜數據進行采集、預處理、存儲、管理、挖掘、分析、展示與應用的自然人、法人和其他組織,在助推數字醫療與大健康產業發展方面發揮著重要作用[18]。《個人信息保護法》對“處理”一詞作最廣義的理解,使得該術語涵蓋了多種開發與利用數據的手段,導致分析健康醫療數據處理者受監管情況的必要性顯著提升。另外,健康醫療領域是一個重要的數據處理場景,健康醫療數據處理者是重要的數據處理參與者,其數據處理行為的受管控程度也應當加強[20]。

目前,限制健康醫療數據處理者的主要方法是明確數據處理各個環節的邊界、責任主體和具體要求,進一步規范其合規義務[18]。例如,國家衛生健康委2019年發布的《關于落實衛生健康行業網絡信息與數據安全責任的通知》以及國家互聯網信息辦公室2021年發布的《網絡數據安全管理條例(征求意見稿)》都要求數據處理者由消極防御轉向積極預防。再如,國家互聯網信息辦公室2022年發布的《數據出境安全評估辦法》明確了向境外提供數據的數據處理者需承擔的報告義務、風險自評估義務以及數據安全保護責任義務。此外,國家衛生健康委還結合醫療行業的發展狀況和數據特征,發布了多項部門規章,通過績效考核的方法對健康醫療數據處理者的監管提出了更科學化和精細化的要求。國家衛生健康委2019年發布的《全國基層醫療衛生機構信息化建設標準與規范(試行)》確立了與信息安全相關的1項一級指標、10項二級指標和38項三級指標,并將各項指標與醫院級別掛鉤。國家衛生健康委2022年發布的《公立醫院高質量發展評價指標(試行)操作手冊》將數據應用與管理水平分為八級,并作為智慧醫院建設成效的定量指標之一。對健康醫療數據處理者可以采取的主要監管手段包括數據責任清單制、定期績效考核制和行業自律[23]。法律責任機制是一種很好的事后監管和權利救濟手段,能夠發揮法律的威懾作用,但對于不當處理健康醫療數據的行為不能作出快速反應[24]。考慮到健康醫療數據處理不當的高危害性與傷害的難修復性,有必要加強對健康醫療數據處理者的事前、事中和事后全鏈條監管。我國健康醫療數據處理者監管規范體系還存在監管范圍過窄的問題。部門規章通常只適用于提供診療服務的機構,卻不適用于收集了大量個人健康數據的科技公司或研發型企業[25]。相關法律法規也僅規定了針對醫療機構及其醫務人員故意泄漏數據的后果,例如《中華人民共和國民法典》第一千二百二十六條。健康醫療數據安全保障的外部風險防控主要依賴于技術提升,而內部風險防控更依賴于制度保障[26]。相關法律法規必須建立更健全的健康醫療數據處理者監管制度,以科學防控內外部風險,保障數據安全。

2.3 境內外數據要素流通受阻

根據全國信標委大數據標準工作組發布的《數據要素流通標準化白皮書》(2022版),數據要素是指為使用者或所有者帶來經濟效益、以電子方式記錄的數據資源。數據要素流通是實現數據分析和數據價值的前提。OECD于2015年發布的《解決老阿爾茨海默病》(Addressing Dementia)報告指出,當基礎醫學研究提供幫助的數據、提升醫療服務質量的數據、管理健康系統的行政數據以及公共健康數據與其他數據鏈接時,健康醫療數據的價值將成倍增長[24]。然而,由于技術依賴、保護和激勵不足等原因,部分政府部門、醫療機構和私營企業不進行數據共享,導致信息孤島現象加劇[27]。

2.3.1 數據實際持有者往往不敢、不愿共享數據。由于數據泄漏和數據再識別風險的存在,不同地區、公共機構之間以及公共機構與私營主體之間缺乏充分信任。當前,沒有辦法完全去除健康醫療數據的標識信息,通過與其他數據進行交叉比對以及大數據畫像技術,可能會對個人醫療隱私造成嚴重的侵害[6]。雖然數據在傳輸過程中會充分暴露,但為了保護數據而限制其流通這種因噎廢食的行為不能被肯定。在成熟的技術保障體系和完善的法治框架內,數據保護與數據共享的沖突問題迎刃而解。技術為健康醫療數據共享創造了安全的外部環境,構建起科學、有序的數據共享方案,實現安全基礎上的數據共享[19]。

2.3.2 健康醫療數據共享面臨機構間障礙、區際障礙與法律障礙。由于數據申請人和數據所在地區、國家可能不允許共享某些核心數據或提出了較為嚴苛的數據共享法律要求,健康醫療數據共享項目的審批周期通常很長,且批準可能性不大。例如,瑞士、芬蘭和丹麥等國家的法律禁止統計局和其他政府機構共享可識別的數據[23-24]。此外,根據《數據安全法》第三十八條,國家機關對個人隱私和個人信息等數據應當依法予以保密,不得泄漏或非法向他人提供。在規范層面上,涉及個人權益的健康醫療數據能否在政府部門、醫療機構、科研機構和醫藥企業之間共享,目前尚無定論[27]。

2.3.3 數據的標準化與融合困難。健康醫療數據來自世界各地的不同機構,而這些機構的數據格式和記錄方式各不相同。我國全民健康信息平臺的標準化建設正在積極推進,醫療機構被要求執行國家衛生健康委制定的信息化建設標準。然而,由于國際尚未形成統一標準,健康醫療數據跨境共享仍然存在阻礙[25]。

3 優化健康醫療數據治理體系建構的對策

3.1 明確數據屬性與權利主體

數據治理體系建構過程中,需要對諸如自由、平等、正義與民主等價值進行取舍[27]。權衡過程中,僵化的價值位階理論提出了一種相對簡單的沖突解決方案,將價值按照重要程度進行排序并作為一種具有普適性的依據,優先級較高的基本權利應當得到優先保障[25]。相對的價值位階理論認為價值排序不存在穩定性,需根據個案具體情況進行價值衡量[26]。既不能說某項價值一定勝過其他價值,也不能說兩項價值具有相同的重量。需要結合具體情況來考慮哪項更重要,而不是將注意力完全集中在抽象層面的價值優先級爭論上[27]。例如,不使用健康醫療數據會嚴重威脅公共衛生安全。此時,社會群體保障公共利益的需求是如此強烈,法律可以豁免公共機構在特定時期內獲取個人同意的義務[24]。再如,私營企業使用個人健康數據進行科學研究以牟取企業利益。雖然企業的行為可能促進醫學進步,但在這種情況下公共利益不是必須被維持[15]。法律需要優先保障個人權利,并要求私營企業在處理個人健康數據之前獲得個人同意。

公共利益與個人利益并不總是對立關系。開發與利用健康醫療數據通常不僅保障了公共衛生利益,還保障了個人生命安全[28]。在COVID-19防控期間,社會群體成員會批評違反常態化健康信息收集與監測規則的行為,因為違規行為會將個人與整個社會群體置于危險地帶。另外,在為公民提供充足醫療保障的國家,每個人都會從醫學研究的進步中獲利。基于團結與互惠的正義要求,公民如果享受了科學進步的成果,那么他也有義務通過提供個人健康數據為科學研究的進一步發展作出貢獻[27]。因此,基于保障公共利益的需要,相關法律法規應當確定健康醫療數據具有公共屬性。另外,考慮到健康醫療數據使用過程中公共利益與個人利益的高度一致性以及數據相對自由論的要求,法律不應當賦予個人絕對的健康醫療數據控制權[24]。但是,這不意味著個人作為健康醫療數據的生產者,不享有其他數據相關的權利,如知情權、訪問權以及被遺忘權等。法律法規的制定需要謹慎地平衡來自不同數據利益相關者的合法主張,并根據變化的技術和環境不斷調整。數據的積極利用主義者也必須采取一些措施來盡可能實現公益與私益的最大化,包括建立健康醫療數據訪問委員會或嚴格化健康醫療數據訪問程序;承認健康醫療數據的產權屬性,由私營企業向推動衛生事業發展的數據主體提供經濟補貼;限制“知情—同意”豁免原則的使用場景,允許非營利性公益機構與其他組織以概括式同意的方式獲取個人健康數據使用權[19]。

3.2 建立全程監管數據處理者機制

數據處理者在數據處理的每一個環節都應該受到監管,內部監管需要多學科人員共同參與,外部監管更應強調“全程”和“開放”。

3.2.1 內部監管。 盡管上下級監管、機構間相互監督與績效考核等監管手段在保障健康醫療數據處理安全方面發揮著重要作用,但由于不同地區和層級機構之間信息不對稱的問題,相對單一的監管方式往往受監管信息壁壘的限制[15]。因此,需要建立一個一站式、動態的、跨學科人員參與的監管機制,以便于規范數據處理者和項目審批人的行為。①實施一站式監管需要法律推行健康醫療數據的集中化管理政策。這種做法已經在全球許多國家得到了廣泛應用。即使在沒有推行數據中心化政策的國家,也建立了由統一的公共機構管理的數據庫。例如,冰島已經建成了全國性的健康醫療數據倉庫[28]。②動態監管需要允許第三方機構參與監管,以打破單向的、靜態的監管模式。建立專門的隱私監管機構,擴大監管范圍,保證個人隱私的安全。在健康醫療數據監管體系之下還能再設置研究倫理委員會、數據保管人與數據保護監管機構等職位與機構[23]。在健康醫療科學研究項目的審批方面,可以由以上人員或機構層層把關。在數據獲取與使用方面,安全港(Health Related Safe Havens)與遠程數據訪問管理系統提供數據鏈接服務,并向獲批的項目成員提供數據訪問機會[29]。第三方機構監管在降低成本之余還可以消弭上下級監管帶來的巨大信息差,形成“相互制約、共同治理”的局面。最后,法律專家、信息技術專家、統計專家、患者和研究員等人員組成的多學科小組參與監管的決定,增強了社會力量對數據處理者的監督,發揮出不同專業背景人才的作用[27]。

3.2.2 外部監管。增加數據處理的透明度不僅可以保障公民的知情權,也便于公民行使監督權。雖然健康醫療數據承載的內容具有私密性,但是有關數據的處理決定卻不涉密,可以公開[12]。荷蘭、英國、西班牙、韓國、芬蘭以及瑞典等國家都建立了一個整體的政府戰略來提高健康醫療數據處理系統的開放性和透明度[30]。這些國家還建立了與健康醫療數據處理活動有關的網站,并向公眾開放。公民可以通過訪問這些網站來了解數據集的負責人、研究項目的審批進程以及數據使用的具體情況。

3.3 構建安全有序的數據共享環境

健康醫療數據共享為科研發展帶來了新機會,數據紅利滿足了人民日益增長的健康需求。甚至,公眾反對嚴重阻礙健康醫療數據流通的法律[28-29]。例如,1998年美國緬因州出臺了一項隱私保護法案,規定個人或機構在使用個人健康數據之前必須獲得本人書面同意。并且,傳輸健康醫療數據必須再次獲得本人書面同意[31]。這項法案引發了公眾的強烈不滿。公眾雖然希望保護個人健康數據安全、知曉數據動向,但更期待政府可以建成更高質量的醫療保健系統。在公眾看來,相較于知情權、數據所有權等權益,個人生命安全顯然更具有重要性。因此,法律不能以保障數據安全為由對健康醫療數據共享設置諸多限制。打破數據流通阻礙,堅持開放共享,是健康醫療數據治理體系建構的基本原則。建成安全有序的數據共享環境則是破除數據要素流通壁壘和支持關鍵數據集鏈接的基本要求。

常見的流通數據為不可識別的微觀健康醫療數據。但是,數據去標識化也不可能消滅數據再識別的風險。流通中的去識別數據仍然承載了足夠詳細的信息,若與其他可識別數據集或間接識別符鏈接,這些健康醫療數據仍然可以與現實生活中的具體個人聯系起來。例如,美國的Sweeney教授就曾通過生日、性別與郵政編碼等識別符準確識別了馬塞諸塞州87%的選民,甚至獲取了時任州長的健康記錄[32]。在構建數據共享機制時,不能完全依賴于去識別或匿名化處理技術。國家標準GB/T 39725第六條第二款規定個人信息控制者在收集信息后宜立即進行去標識化處理,但該規定僅提供了針對數據處理環節之一在技術運用方面的建議。因此,還需要為數據脫敏、數據加密、去識別化以及匿名化等技術的運用提供更詳細的指引。

至于可識別的健康醫療數據,HIPAA允許除私營企業之外的機構為了研究或統計目的再利用或共享它們。治理體系有必要在確立健康醫療數據“可識別性”標準的前提下明確可識別健康醫療數據的共享目的、共享范圍和限制條件。另外,為了促進科學研究進步,保障數據安全與個人權益,也可以采取如下措施[31]。①設置數據集保管人,全程管控數據流通,保障數據共享的安全性和可靠性。②經過多機構、多程序審批,確定數據共享的必要性,并進行倫理審查。③進行數據安全控制,評估數據傳輸風險,簽訂數據使用協議,考察數據傳輸方、接收方與傳輸方式的安全性。換言之,必須確認數據接收方是否具有足夠的能力來保持數據的機密性,這是相關機構是否批準數據共享所需考量的關鍵因素。④維持信任,防止因信任缺失阻礙數據共享。科學的共享機制可以維持信任,采取有效的個人激勵、透明化健康醫療數據治理體系以及增強信息保護等措施才能夠實現配享信任。⑤基于具體化的健康醫療數據基礎要素,通過改進數據標準化和加快建設全民健康信息基礎設施標準化的方法,提升不同醫療衛生系統之間的互操作性。⑥打破數據共享的機構間壁壘、區域壁壘和法律壁壘。根據歐洲議會和理事會2022年通過的《數據治理法》,為了支持醫藥企業開展針對性研發,歐盟將通過立法促進醫療機構共享經過匿名化處理的患者數據。對中小企業而言,這項政策可大幅減輕其數據采集負擔。堅持開放數據共享政策,并建立起公共機構與私營企業之間、地區之間與國家之間的數據安全共享機制,是健康醫療數據治理體系發展的必然趨勢。此外,依據HDG,歐洲、以色列和新西蘭等自2015年起就在考慮同意來自本國以外的健康醫療數據訪問申請,但前提是該國家的隱私立法提供了與本國相當的保護。鑒于此,我國有必要不斷嚴格化隱私與數據保護政策,向健康醫療數據保護的國際標準靠攏。