一
医疗大数据产生的场景概述
参照《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)(以下简称“《健康医疗数据指南》”)的相关定义,健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据,具体分类包括:(1)个人属性数据:是指单独或者与其他信息结合能够识别特定自然人的数据;(2)健康状况数据:是指能反映个人健康情况或同个人健康情况有着密切关系的数据;(3)医疗应用数据:是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据;(4)医疗支付数据:是指医疗或保险等服务中所涉及的与费用相关的数据,包括医疗交易信息、保险信息等;(5)卫生资源数据:是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据,包括医院基本数据、医院运营数据等;(6)公共卫生数据:是指关系到国家或地区大众健康的公共事业相关数据,包括环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。
考虑到《健康医疗数据指南》属于国家推荐性标准、无强制性效力,为便于区分医疗数据的不同产生场景、有利于理解医疗数据的形成过程和收集主体的区别,我们结合相关实践经验,对医疗大数据进一步作出如下分类:
1. 政府主管部门行政管理过程中收集沉淀的数据,包括但不限于:
a)公安、统计等部门定期开展的人口登记与普查过程中收集的人口统计信息;
b)疾控中心在传染病监测(如HIV、结核病)、疫苗接种、突发公共卫生事件(如疫情)监测过程中收集的信息;
c)卫健委在日常监管中收集的全国医疗机构信息(包括但不限于床位数、医务人员配置、医疗服务量等)和国民健康信息;
d)医保局在日常监管中收集的医保参保人群信息、医保费用报销明细、医保疾病信息、药品耗材集采信息等;
e)药监局在日常监管中收集的药品/医疗器械审批记录、不良反应监测、生产流通追溯信息等。
2. 个人就医过程中产生的数据(以下简称“个人就医数据”),包括但不限于:
a)个人挂号和就医过程中形成的个人身份信息;
b)个人在公立医院、私立医院、互联网医院等医疗机构中的问诊记录、处方数据、电子病历(EMR)、影像数据(CT/MRI)、病理报告、手术记录等结构化与非结构化数据;
c)个人在体检及健康管理服务过程中产生的体检报告、基因检测数据、可穿戴设备监测的血压/血糖/睡眠等动态健康指标数据;
d)个人在第三方检验/影像中心的专项检测检验信息。
3. 医药零售过程中产生的数据,包括但不限于:
a)线上线下渠道的销售记录、会员消费偏好、慢病用药复购周期等信息;
b)O2O送药(如美团买药)的即时需求数据等。
4. 医药、器械流通领域的数据,包括但不限于:
a)医药批发零售企业的进销存数据、终端医院采购量数据等;
b)医药线上平台的交易数据等。
5. 健康险相关数据,包括但不限于:
a)投保时收集的被保险人健康状况告知、家族病史、职业风险等核保信息;
b)健康管理服务中形成的体检服务数据;
c)理赔时收集的理赔申请记录、疾病诊断信息、医疗费用数据等;
6. 科研领域数据,包括但不限于:
a)科研院所和医疗机构基础研究所形成的科研数据;
b)在科研期刊等平台发表的论文与病例报告等医学文献数据;
c)医生互联网社区平台形成的社群数据;
d)医疗药械企业技术开发过程中形成的技术实验数据、药品器械临床试验数据等。
二
个人就医数据的商业化路径——医疗数据交易
早在2016年,国务院办公厅出台了《关于促进和规范健康医疗大数据应用发展的指导意见》(国办发〔2016〕47号),已明确提出促进健康医疗业务与大数据技术深度融合,加快构建健康医疗大数据产业链,同时也对规范健康医疗大数据应用领域的准入标准提出要求,严格规范大数据开发、挖掘、应用行为。个人就医过程中产生的数据链接了患者、疾病、治疗等各方面信息,是医疗大数据中最为关键和重要的数据来源,对于人工智能大模型的训练极具价值,由此形成的医疗数据库也率先成为医疗数据交易的标的上市交易。本篇谨就个人就医数据用于数据交易的合规路径作出探析,以供阅者讨论和参考。
(一)医疗数据的权属
医疗数据进行交易,首先需要明确的是医疗数据的权属问题,即,谁拥有将医疗数据进行转让或授权许可等使用权利?谁对于医疗数据的开发享有收益权?
1. 现行法规未对医疗数据的所有权归属予以明确规定
《中华人民共和国民法典》(“《民法典》”)在第五章“民事权利”章节中第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”即,《民法典》认可数据相关权利属于合法民事权利,受法律保护。尽管部分法律法规从侧面规定了数据的部分权利,例如,《中华人民共和国个人信息保护法》(“《个人信息保护法》”)规定了个人对其个人信息的处理享有知情权、决定权,有权进行查阅、复制或要求更正、补充、删除,任何组织、个人不得侵害自然人的个人信息权益;《医疗机构病历管理规定(2013年版)》规定了患者就诊医疗机构外的其他医疗机构及医务人员因科研、教学需要有权查阅、借阅病历数据。但截至目前,国内并未出台相关法律法规明确包括医疗数据在内的各类大数据的所有权归属问题。
从比较法的视角来看,不同国家/地区之间所采取的数据权属认定也大相径庭,或是单独赋权,或是通过反不正当竞争法角度予以保护:欧盟为激励在数据库上的投资而选择了强保护路径,即通过数据库指令(2001年)对于数据库进行单独的赋权性保护,但实质上赋予一种版权法以外的类版权保护,禁止擅自使用数据的实质性部分,赋予数据库所有者对数据库内数据的专有权,并最终创设数据访问权以代替数据生产者权。德国等欧盟成员国通过适用欧盟指令及商业秘密和反不正当竞争法,对数据和有价值的信息给予类财产权(property-like rights)的保护。而美国则对于数据权益采取的是弱保护态度,放弃了数据库保护的单独赋权立法,而是通过依照反不正当竞争法之下的侵占行为保护数据权益。[2]
2. 国内对于医疗数据的使用权利归属的探索
从国内的立法实践来看,目前采取的态度是尽量避开所有权归属的认定(学界亦尚未对此争论出颇具统一性的观点),转而从数据的管理和开发使用角度进行相关权利的授予和规制,以便鼓励企业进行数据开发和利用、促进大数据产业链发展。
例如,国家卫健委于2018年发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》(国卫规划发〔2018〕23号)第二条即明确:“我国公民在中华人民共和国境内所产生的健康和医疗数据,国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用。”
2022年,中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(“《数据二十条》”)根据数据生产、流通、使用过程中各参与方的不同属性,创设性地提出“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”。
以《数据二十条》的权利分置为基础,各地对于数据权属的分类作出了进一步探索。例如,深圳市响应数据知识产权地方试点工作,于2023年印发的《深圳市数据产权登记管理暂行办法》进一步明确登记主体对合法取得的数据资源或数据产品享有相应的数据资源持有、数据加工使用和数据产品经营等相关权利,具体而言:数据资源持有(并非“所有”)是指在相关法律法规或合同约定下,相关主体可对数据资源进行管理、使用、收益或处分等行为;数据加工使用是指在相关法律法规或合同约定下,相关主体以各种方式、技术手段对数据进行采集、使用、分析或加工等行为;数据产品经营是指在相关法律法规或合同约定下,相关主体可对数据产品进行占有、使用、收益或处分等行为。而甘肃省于2025年1月出台的《关于加快完善数据产权体系的意见》(甘政办发〔2025〕5号)进一步区分了数据链条不同主体的权利范围,尊重数据来源者的基本人格权益、法定在先权利,保障数据来源者对其生产经营活动中产生的、不涉及个人信息和公共利益的数据享有数据权益;支持数据处理者依法依规行使数据应用相关权利,充分保障数据处理者在数据处理过程中的劳动和其他要素贡献,保护数据处理者使用数据和获取收益的权利。
司法实践中,亦有法院通过采取反不正当竞争法下的救济手段认可数据处理主体对数据的权利。在某APP软件公司诉某科技公司不正当竞争纠纷案中,法院认为数据可以分为两种数据形态:一是单一原始数据个体,二是数据资源整体。就单一原始数据个体而言,数据控制主体只能依附于用户信息权益,依其与用户的约定享有原始数据的有限使用权。使用他人控制的单一原始数据只要不违反“合法、必要、征得用户同意”的原则,一般不应被认定为侵权行为,数据控制主体亦无赔偿请求权。就数据资源整体而言,因系网络平台方经过长期经营积累聚集而成,且能够给网络平台方带来开发衍生产品获取增值利润和竞争优势的机会,网络平台方应当就此享有竞争权益。如果未经数据控制主体许可,规模化破坏性使用其数据资源的,数据控制主体有权要求获得赔偿。
综上,尽管目前对于数据相关权利归属的相关法律法规体系尚在建立健全过程中,实践中亦可通过反不正当竞争法体系来寻求数据权利的救济。进一步地,对于数据持有人而言,其对于所持有的数据的权利应当在遵循数据来源者授权使用的前提下,就其通过劳动和其他要素贡献、经营取得的数据资源集合,拥有进行开发并获得相关利益的权利。在前述权利体系的框架下,国内对于医疗数据的开发使用方式主要为数据持有人的权利授权和权利转让模式,使用申请人通过数据持有人授权提供的数据源、API接口、数据托管等方式,取得对相应数据的使用和经营开发权利,具体的权利范围可以由双方自行商定。
(二)个人数据的收集和匿名化处理
《个人信息保护法》规定了个人信息处理者有权合规收集处理个人信息的情形。在应用于医疗数据商业开发的场景下,信息处理者应当取得个人的同意,限于实现处理目的的最小范围进行收集,并以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。
并且,根据《医疗卫生机构网络安全管理办法》(国卫规划发〔2022〕29号)的规定,各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,加强数据收集合法性管理,明确业务部门和管理部门在数据收集合法性中的主体责任,采取数据脱敏、数据加密、链路加密等防控措施,防止数据收集过程中数据被泄露。
但是,实践中个人就医数据通常采集于患者就诊过程中,而根据《个人信息保护法》,在仅为患者提供诊疗服务的场景下,医疗机构可以无需取得患者的个人同意而采集其个人信息。那么,对于采集时为提供诊疗服务之目的,但后续意欲进行进一步开发的个人数据,应当如何处理呢?
根据《个人信息保护法》的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。因此,进行个人数据的匿名化处理后,上述数据即不再属于《个人信息保护法》项下的个人信息,对该等信息的处理可以无需再取得个人对此单独的授权。国家发展改革委等6部门于2025年1月6日印发的《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》(“《实施方案》”)亦明确,对于个人数据流通,依法依规取得个人同意或经过匿名化处理两种方式均被认可。
在个人就医数据进行聚集、形成整体性的数据资源后,数据的个人性被弱化,在经过一定技术处理后,可以转化为无法被定向可识别到个人的数据,从而不再落入《个人信息保护法》项下的个人信息范畴。《健康医疗数据指南》亦对此作出了类似规定:“如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数据,该数据不再属于个人信息,但其使用和披露宜遵守国家其他相关法规要求。”
对于个人数据匿名化的处理标准,《实施方案》已提出将制定个人信息匿名化相关标准规范,明确匿名化操作规范、技术指标和流通环境要求。但截至目前,尚未形成统一性的匿名化处理标准。在《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)以及《健康医疗数据指南》列举的去标识化处理方式基础上,我们建议匿名化处理的主要流程至少应包括以下方面,并提示进一步跟进该领域的政策动态、及时适用新的法规标准:
1.去除个人属性数据中可唯一识别到个人的信息或披露后会给个人造成重大影响的信息,例a)如:姓名;身份证/驾照等证件号;电话号码、传真、电子邮件;医疗保险号、病历档案号、账户;生物识别信息(指纹、声音等与应用目的无关的信息);照片;爱好、信仰等。
2.个人属性数据中可间接关联到个人的信息,宜进行泛化、转换等处理,例如:单位、地址、邮政编码等信息泛化,具体年龄、生日及其他所有日期信息(出入院时间等)仅具体到年或进行时间漂移处理。
3.对需要追溯到患者的情况,仅在控制者内部建立患者代码索引。
4.匿名化处理过程中使用的各种参数配置,例如时间漂移范围、患者代码索引、各种个人代码生成规则等宜严格保密,仅限于控制者内部专人管理。如进行数据交易,不得将该等参数配置提供给数据使用方。
(三)医疗数据的产权登记与交易
医疗数据进行上市交易全流程一般包括登记、挂牌、签约、交付、结算、凭证发放等环节,具体交易流程相关内容详见下篇。
基于《数据二十条》提出的产权分置运行机制,国家知识产权局自2022年起分两批在北京、上海等17个地方确定为数据知识产权工作的试点地方。为保护数据权利的排他性、形成权利公示效果,数据知识产权登记应运而生。
以北京市于2023年5月出台的《北京市数据知识产权登记管理办法(试行)》为例,通过定义数据知识产权的登记对象,进一步明确受保护的数据权利范围为“数据持有者或者数据处理者依据法律法规规定或者合同约定收集,经过一定规则或算法处理的、具有商业价值及智力成果属性的处于未公开状态的数据集合”。登记主体依法持有数据,享有依法依规加工使用、获取收益等权益。
对于数据产权登记,北京、深圳、浙江等地为主流的审查模式均明确登记机构仅进行形式审查,在数据产权申请人提交的申请材料的申请材料齐全、符合规定要求的情况下,即可进行公示登记。深圳、贵州等地则进一步明确,数据登记由第三方服务机构进行实质性审查,并提供对于许可真实性和合法性的实质性审核材料。
对于数据产权登记的效力,基于各地主流的形式审查模式,目前各地的数据登记实践倾向于认可其为“初步证明”,具有一定的公示效力,但不排除相反证据推翻登记主体的权利。例如浙江省规定“登记证书可以作为持有相应数据的初步证明,用于数据流通交易、收益分配和权益保护”、江苏省规定“数据知识产权登记证书是申请人合法持有数据并对数据行使权利的初步证明,但有相反证据予以推翻的除外”、北京市规定“充分发挥登记证书证明效力”等。在合同成立且交付之后、登记之前,受让人为不完全权利人;如有多重交付,则各受领交付人均为不完全权利人,其对数据的加工使用均为合法行为,但因权利未经登记公示而相互之间不能对抗,同时无法排除其他受让人对数据的加工和使用;在受领交付的人中,率先完成登记的人享有的数据产权具有排他性,自登记时起可排除他人未经登记人授权对数据的加工使用。但是对于登记前已受领交付的其他受让人,仍应允许其继续在出让人授权的范围内加工使用数据[3]。
注释