健康醫療大數據共享時代 切勿將公衆變成“透明人”
大數據時代,數據無處不在。《中共中央關於制定國民經濟和社會發展第十四個五年規劃和二��三五年遠景目標的建議》提出,推動數字經濟和實體經濟深度融合,打造具有國際競爭力的數字產業集羣。
健康醫療大數據是國家重要的基礎性戰略資源,但隨着新技術的出現,健康醫療大數據在應用過程中,常涉及對基因信息、生物識別數據等個人敏感信息的收集、使用和加工等行爲,由此帶來的與個人隱私保護之間的衝突越發凸顯。
我們身邊處處都有大數據,小到在互聯網上的每一個操作,都是會被記錄下來的。而健康醫療大數據是隨着近幾年數字浪潮和信息現代化而出現的新名詞,是指無法在可承受的時間範圍內,用常規軟件工具進行捕捉、管理和處理的健康數據的集合。將這些醫療健康數據進行專業化處理和再利用,對於身體狀況監測、疾病預防和健康趨勢分析等都具有積極意義。
但與此同時,新的挑戰隨之而來:你是誰?你在哪?你的身體狀況甚至家人的身體狀況如何?有何隱疾?種種……當把每個人的小數據匯聚在一起時,可能你將不再有秘密。有人形象地稱,大數據時代,每個人都是“透明人”。
近年來,大數據在醫療健康領域的不斷應用和發展,爲廣大人民羣衆提供了優質、便捷的服務,也爲醫療健康領域的科技發展帶來動力。
健康醫療大數據帶來新機遇,同樣催生了衆多以“採集數據”爲名的可穿戴設備,例如智能手環、智能手錶、智能眼鏡、智能服裝等,可以說是應有盡有。這些可穿戴設備不僅僅是一種硬件設備,而且可通過軟件支持以及數據交互、雲端交互,來實現強大的功能。
其實,理想化的健康醫療大數據是由可穿戴設備或其他終端,持續收集到人體健康數據,之後自動傳入雲端,進行數據分析與處理,雲端數據庫定期將結果發給專業人員,後者給出診斷或康復建議。由於這種模式可以使人們足不出戶,就獲得醫療健康管理服務,從而真正縮減了醫療服務的人、財、物等成本。
《“健康中國2030”規劃綱要》中也明確指出,健康醫療大數據是國家重要的基礎性戰略資源,國家將積極促進大數據技術與健康醫療服務的深度融合與應用。然而,在實踐中,因健康醫療大數據的應用造成的個人信息被不當收集、過度利用、甚至泄露的現象屢見不鮮。筆者認爲,這不僅會導致公共信任危機,還可能阻礙健康醫療大數據發展進程,給公共衛生治理監管提出了極爲迫切的個人隱私保護訴求。
2.隱私保護問題,掣肘我國健康醫療大數據縱深發展
面向國家戰略、經濟社會發展和人民生命健康等重大需求,結合物聯網、人工智能、區塊鏈、5G等新技術,推動大數據與醫療衛生事業融合發展,將對醫學發展起到巨大的推動作用。
我國民法典在隱私權部分,對於侵害私密信息的行爲作出了規定,即除法律另有規定或者經權利人明確同意,任何單位和個人不得處理自然人的私密信息,否則就構成對隱私權的侵害。在醫療健康大數據特別是個人敏感信息的收集、加工和使用過程中,個人信息與隱私權被侵犯的風險較爲突出:
一是在採集原始數據中,存在未經同意秘密竊取、非法竊取或超範圍竊取個人健康醫療信息等行爲。
二是在收集了個人醫療健康信息後,“霸王式”“一攬子式”誘導強迫數據主體提供授權,或是非法提供出售給他人。
三是在數據加工過程中,未徵得數據主體知情同意,就進行二次使用或數據流轉,即使在獲得授權的情況下,也不能保證使用數據範圍的準確性。這些行爲極大地降低了數據主體提供真實信息特別是個人隱私信息的意願,進而影響到醫學數據挖掘分析的有效性和真實性,對醫療健康產業數字化轉型和醫學大數據的整合利用造成極爲消極的負面影響。
3.監管治理,應注重創新激勵和個人隱私保護的平衡
大數據技術創新是一場革命性變革,個人隱私信息能否得到充分保護,直接影響到公共空間和私人空間的界限。因此,在對健康醫療大數據的監管治理模式上,需要探尋一條鼓勵創新和保護個人隱私的允中之道。
筆者建議:治理原則上,在不違背民法典和近日公佈的《個人信息保護法(草案)》立法宗旨的前提下,處理好個人信息合理利用和隱私保護之間的平衡關係。堅持自主原則,數據主體有權利決定個人數據被用到哪些地方、取得怎樣的價值;堅持無害原則,在健康醫療大數據應用過程中,不能對數據主體造成損害;堅持知情同意原則,數據的收集、存儲、使用、分析等行爲應獲得數據主體的知情同意,原則上應獲得明示同意。治理規則上,堅持一般法與特別法協同、法律法規與部門規章呼應。基於醫療健康行業發展特點,出臺健康醫療數據的行業法,如《健康醫療數據保護法》或《關於健康醫療個人敏感信息的保護指南》,對個人敏感信息保護制度加以細化:成立個人信息保護委員會;增設匿名加工制度,制定詳細的匿名加工指南,明確匿名加工標準和方法、匿名加工准入資質、責任義務,並由個人信息保護委員會實施全程監管;創設匿名信息加工者國家認定製度,醫療信息僅提供給被國家認定的、具有安全處理數據資質的法人;通過書面告知、保障拒絕權利等方式維護數據主體權利等。治理手段上,在強化隱私保護技術對個人隱私保護效果支撐作用的同時,致力提升數據加工者合法合規使用數據的自覺意識,形成注重數據倫理安全的良性氛圍;擴展行業協會發揮自律作用的空間,鼓勵各行業協會積極參與數據保護行爲規範的制定和執行,並能“自下而上”在行業自身客觀需求的基礎上形成自律機制,輔之以政府指導,實現政府適度監管與行業自律的有機結合;倡導公民形成正確的個人隱私觀。
(作者:劉 影 管仲軍,分別爲中國科學院科技戰略諮詢研究院副研究員,首都醫科大學副校長)
延伸閱讀:
國家衛生健康委負責建立醫療大數據開放共享機制
網上掛號、在線問診、線上答疑……隨着民衆藉助互聯網看病就醫越來越普遍,海量醫療數據如何管理成了一大問題。國家衛生健康委員會2018年9月發佈了《國家健康醫療大數據標準、安全和服務管理辦法(試行)》(以下簡稱《試行辦法》),加強健康醫療大數據管理,明確由國家衛健委負責建立健康醫療大數據開放共享機制。
健康醫療大數據,是指在人們疾病防治、健康管理等過程中產生的與健康醫療相關的數據。辦法提出,國家衛健委負責按照國家信息資源開放共享有關規定,建立健康醫療大數據開放共享的工作機制,加強健康醫療大數據的共享和交換,統籌建設健康醫療大數據上報系統平臺、信息資源目錄體系和共享交換體系。
如何保障海量個人數據不被泄露?在數據利用方面,辦法明確,責任單位應堅持包容審慎的態度,加強數據的規範應用和服務,推動部分健康醫療大數據在線查詢,同時,不得泄露國家秘密、商業秘密和個人隱私,切實保障各相關方合法權益。根據辦法,健康醫療大數據的應用將有標準可循。國家衛生健康委員會負責統籌規劃、組織制定全國健康醫療大數據標準,監督指導評估標準的應用工作,在已有的基礎性通用性大數據標準基礎上組織制定健康醫療大數據標準體系規劃,負責制定、組織實施年度健康醫療大數據標準工作計劃。
(據新華社)
《試行辦法》如何界定主體責任和監管責任
健康醫療大數據是國家重要的基礎性戰略資源,健康醫療大數據的安全關係到國家戰略安全、國家生物安全、人民生命安全和公民個人隱私安全。《試行辦法》既突出了健康醫療大數據安全和應用管理責任單位的主體責任,又突出了監管單位的監管責任。
關於責任單位的主體責任方面:一是責任單位要落實“一把手”負責制,建立健全健康醫療大數據相關管理與使用制度,強化統籌管理和協調監督。二是責任單位要嚴格落實網絡安全等級保護制度,建立健全實名認證訪問控制機制、網絡安全通報機制和應急處置聯動機制,切實加強容災備份、加密認證、準確恢復等安全保障措施,定期對相關信息系統開展定級、備案和測評工作。三是人才培養方面,責任單位應建立健全安全管理人才培養機制,爲相關從業人員培訓安全管理所需的知識和技能,爲健康醫療大數據應用發展提供人才保障。關於監管單位的監管責任方面,監管單位要建立健全健康醫療大數據安全管理工作責任追究制度,完善軟件評價和安全審查保密制度,定期開展健康醫療大數據應用的安全監測評估,切實保障健康醫療大數據安全。
對數據採集、存儲、利用、共享等環節提出哪些明確要求
《試行辦法》明確,在推動健康醫療大數據應用發展過程中,嚴格遵守相關法律法規和文件規定,在強化標準管理和安全管理的基礎上,寓管理於服務之中,爲提升健康醫療大數據的服務能力和管理水平奠定基礎。在數據採集方面,責任單位要嚴格執行國家和行業相關標準和程序,要做到標準統一、術語規範、內容準確,並嚴格實行信息複覈終審程序,確保數據質量。在數據存儲方面,健康醫療大數據應當存儲在境內,因業務需要向境外提供時,應按相關法律法規和要求進行安全評估審覈。在服務提供方面,要確保服務提供商具備履行相關法規制度、落實相關標準和確保數據安全的能力,並建有安全管理、隱私保護等管理制度。在數據利用方面,責任單位應堅持包容審慎的態度,加強數據的規範應用和服務,推動部分健康醫療大數據在線查詢,同時,不得泄露國家秘密、商業秘密和個人隱私,切實保障各相關方合法權益。在數據共享方面,國家衛生健康委負責建立健康醫療大數據開放共享機制,統籌建設資源目錄體系和數據共享交換體系,強化對健康醫療大數據全生命週期的服務與管理。