论医疗数据权利配置──医疗数据开放利用法律框架

【文章结构】

 

【本文旨在】

从医疗数据形成和实际控制的角度,提出新医疗数据权利配置方案。


【本文结论】

患者个人享有医疗数据上隐私利益;形成和管理医疗数据的医疗机构享有数据财产权;国家卫生健康管理委员会可以基于医疗数据的社会和公共性调用特定范围的医疗数据用于公共健康管理。


一、医疗数据资源的形成

(一)医疗数据的形成

医疗数据的形成建立在患者与医疗机构之间的医疗服务关系之上,医疗数据包括患者的基本信息、门诊记录、急诊记录、住院记录、医学影像记录、检验检查记录、处方记录、手术记录、随访记录和医保数据等。

(二)医疗数据资源化

在过去,医疗过程中形成的记录就一直是医疗机构实施诊疗服务必不可少的资源。当这些数据积累到一定规模后,就具有了广泛的再利用价值,成为医疗机构改进医疗水平的重要资源。

入电子化时代以后,信息化手段的应用改变了医疗记录的价值,电子病历的全面推行大大提升了医疗机构科研和改善医疗水平的能力。医疗数据的资源性开始凸显,尤其是进入到网络化、数据化和智能化时代,各种智能化分析工具的研发和应用,使医疗数据成为医疗机构的核心资源。

医疗数据对医疗机构的资源价值主要体现在以下三个方面:第一,智能仪器和设备在医疗中的广泛应用,提升了医疗机构的管理效率,改善了医疗机构的医疗水平。例如,通过海量的数据分析,形成最佳的诊疗方案,实现精准检查、精准用药、精准治疗。第二,医疗数据可应用于医学和医药研究,提升医疗机构的科研能力,使得医疗机构不仅在重大疑难疾病的治疗上有所突破,也在新药的研发等方面上具有重大进步,形成领先于同行的竞争力。第三,大数据分析能够辅助判断疾病的影响因素,在特定疾病的预防等科研项目中起到重要作用。

(三)医疗数据资源的社会性

医疗数据上存在两个利益主体,即患者个人和医疗机构。每个人都是社会群体的一员,是社会整体的组成部分;每个人的健康都与社会公共健康息息相关,每个人的健康都是社会公共健康的组成部分。因此,医疗数据具有很强的社会性和公共性,其上存在社会和公共利益。倘若每个医疗机构只能使用自己管理的数据,或者大量患者不同意自己的医疗数据进入“公共健康数据池”,那么基于医疗数据的分析就缺失可信的样本,将降低疾病预防及诊疗的科学性与准确性,制约公共卫生健康管理部门对疾病的防控能力,妨碍人类健康的改善与生活水平的提高。


二、医疗数据上的患者权益

(一)医疗数据隐私权:  患者隐私权的延伸

鉴于诊疗的需要,患者须向医务人员陈述家族和自己的疾病史、展现自己的隐私部位、讲述自己情感的变迁、介绍自己的工作人际关系及心理状况等不愿意对外公开的个人资料和秘密,享有隐私权;同时,医生和医疗机构对此具有保护患者隐私的义务。

患者的隐私权只是防御性权利,患者有权要求在医疗机构泄露或不法披露其医疗信息时,停止该行为并赔偿相应的损失。

患者的查询和复制权并不会导致患者对医疗数据完全控制。首先,《民法典》第1225条规定,患者享有查阅和复制病历资料的权利,该条中的查阅、复制权主要是为患者知悉自己的病情、处理保险理赔、医疗事故纠纷等提供的法律保障。该条并不赋予患者取回所有病历资料,排除医疗机构保存和使用病历的权利。其次,在实践中肯定患者享有查阅和复制权,但不支持患者取回所有病历资料,或是要求拷贝全部数字资料并要求删除数据的权利【(2014)鼓民初字第5432号民事判决】。

另需提及的是,尽管病历是医疗数据的基础,但受制于病历的特殊功能定位(尤其是医患纠纷解决的依据),基于病历规范管理的一套规则不能直接适用于医疗数据,或作为医疗数据权利配置的依据。

(二)个人信息保护法下患者对医疗数据的权利

医疗数据属于个人数据的范畴,应纳入个人数据(或个人信息)保护法予以保护。我国现行法律关于个人信息保护的基本核心是知情同意规则,但是不能推论出未经个人同意使用收集、使用个人信息便是侵权。医疗数据的收集、使用亦然,未经同意使用医疗数据也并不一定构成侵权,个人对医疗数据并没有一般意义上的控制权。

个人信息保护的法律定性还得看《个人信息保护法》,纵观各国的个人数据保护立法,难以得出个人对个人数据享有控制权的结论。例如,在欧洲个人数据主体的权利表现为防范个人数据处理侵害主体尊严的消极权利,而不是积极权利。

本文作者认为,适用个人信息保护法的一个后果主要是,如果超越医疗目的的医疗数据的使用(处理)可能需要征得患者个人的同意。同意是建立在利用医疗数据识别个人或者直接针对个人进行的数据分析处理,而不是泛泛的医疗数据利用行为。

(三)个人对医疗数据管控力问题

本文作者认为,患者对于自己的医疗数据并无管控能力。尽管患者可以复制病历甚至取得原始数据,但没有一个患者可以妥当地持续地保管自己的医疗数据。因此,患者不需要实际控制医疗数据,也就不需要给予患者医疗数据的控制权,同时也不需要给予患者医疗数据开发利用的决定权。无论从法律赋权的可行性还是操作的角度,让医疗机构作为医疗数据控制者,赋予其开发利用权利(财产权),同时让患者间接甚至直接分享其利益,是一种最佳的制度安排。


三、医疗机构对医疗数据的财产权

(一)医疗机构数据资源财产权的必要性和正当性

是否具有可以脱离医疗机构管控而存在和运营的医疗数据资源?本文作者认为,单就作为医药医学研究意义上的医疗数据资源开放一定是基于各医疗机构对医疗数据控制权的开放。具体而言,第一,医疗数据是一种动态变化的资源。医疗数据需要保持一定的连续性和时效性才具有价值,医疗数据的更新、维护和持续供给只有医疗机构做得到。第二,医疗数据需要大量的处理才能转化为一定质量的可用数据。每名患者的医疗数据是分散的、碎片化的,若要形成有机的患者医疗档案和可供医学和医药研究使用的医疗数据,离不开医疗机构信息化建设和数据治理体系的形成。第三,医疗数据存在隐私和安全风险,  需要持续管理。这种数据事务管理和风险的防范并未一己之力可以做到。

(二)医疗机构的医疗数据财产权:  基于事实控制的赋权

医疗数据是医疗机构在提供医疗服务过程中产生并经系统的数据治理形成的资源。医疗机构对医疗数据具有天然的管控能力,具有管控义务。医疗数据属于可复制、易获取的无形资产,如果缺失事实控制能力,就难以对抗第三人的不法占用。单纯依赖法律赋予医疗数据排除他人支配的力量,也很难防范他人未经授权的取得和使用。数据安全义务本质上是法律要求对数据实施必要的控制,不仅防止泄露,而且要防止未经授权的访问、获取等行为。

医疗数据赋权要解决两个核心问题:第一,让医疗机构可以对抗第三人不法获取和使用问题;第二,激励医疗机构向社会提供医疗数据,促进数据开放和共享利用,构建医疗数据社会化利用秩序。

(三)医疗数据赋权与公共健康管理

公共卫生健康管理部门如何获得医疗机构所掌握的医疗数据,可以获得哪些数据呢?本文作者认为,相关部门仅有权基于特定目的、在特定情形下从医疗机构处收集、调取医疗机构掌握的医疗数据,以满足社会公共利益为限度。除非是应对特殊的危害公共健康事件,否则,医疗机构向国家卫生健康管理部门提供的数据应当是有常规清单的。

2009年,我国开始推行居民健康档案,并以此为基础建立公共卫生健康数据。居民健康档案主要来源于各类卫生服务记录,其中最为重要的是医疗机构的诊疗服务。2019年,国家卫生健康委发文对全国医院报送的数据作出全面的规范。卫生健康管理部门为实施公共健康管理对个人医疗数据的采集应仅限于公共卫生和健康管理的需要。为实现公共卫生管理,满足公共利益目的,医疗机构有义务向公共医疗管理机构提供必要的数据。

(四)有效的医疗数据开放框架

公共健康管理部门在从事公共健康管理过程中,利用医疗机构的数据会形成关于公共健康事业的基础数据。此类数据是公共数据,具有两个基本特征:第一,多为统计或群体数据而不直接关联特定患者,不是也不应当包括医疗机构各种化验、影像资料等原始数据 第二,这些数据是可公开且可供任何主体使用的公共数据,可以纳入政府机构无条件数据开放的范畴。

由医疗机构生成和管理的医疗数据并不是天然地全部属于可公开和可自由使用的公共数据,不宜直接作为公共数据进行开放。未来的医疗数据开放的路径有二:其一,政府作为开放主体的公共医疗数据开放;其二,医疗机构作为开放主体的医疗数据开放。

四、代结论:  支撑医疗数据开放利用的权利配置

医疗数据源于患者,产生于医疗机构的投资和劳动,医疗机构具有取得财产权的正当性;而医疗数据成为医疗机构的竞争性资源决定了赋予医疗机构财产权的必要性。国家仍将健康医疗大数据安全和应用管理的责任落实在各级各类医疗机构身上,承认医疗机构在医疗数据上的财产权,如此,才能构筑医疗数据开放利用的法律基础。在赋予医疗机构对医疗数据享有财产权的同时,必须能够确保患者个人权益和公共利益的实现,否则这样的赋权也会缺失正当性。

医疗数据的社会性体现在两个方面,第一,由医疗机构主导的数据利用,提升全社会的疾病诊疗与医药医学研究水平,使整个社会分享医疗数据带来的社会福利。第二,医疗数据支撑国家公共健康管理,促成政府形成公共健康数据并向社会开放。

本文作者认为,只有清晰地区分以政府作为主体的公共性健康医疗数据开放和医疗机构作为主体的医疗数据共享开放,才能够最大化的发挥医疗数据的社会和公共价值。具体而言,首先,不能将医疗数据直接视为公共数据。医疗数据应在合理、必要的限度内服务于公共健康目的或公共利益,但不因此而变为任何人可以使用的公共产品。其次,政府在医疗数据开放利用中应当正确履行职责义务。在确认各医疗机构享有数据控制者权的前提下,构建标准,建设专业共享或开放平台,让医疗机构实现数据的对接、交换、共享,促进大数据分析和智能应用。

良好的数据治理体系是医疗数据开放、利用的前提,在平衡好患者个人、社会和公共利益之下提倡将医疗数据的财产权配置给医疗机构(医疗数据控制者权)。即使没有法律明确赋权,也可从“法无禁止即自由”的私法基本原则使数据控制者权得到正当解释。

 

责任编辑:马小涵