鄧明攀 劉春林

隨著互聯(lián)網(wǎng)技術的發(fā)展，大數(shù)據(jù)廣泛應用于健康醫(yī)療產(chǎn)業(yè)，特別是在“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展背景下，健康醫(yī)療大數(shù)據(jù)得到深度挖掘和廣泛應用，具有極大的社會價值和經(jīng)濟價值。據(jù)有關健康醫(yī)療預測報告顯示，中國13 億多人口的健康指標中，高血壓居首位。約達1.6～1.7 億人，高血脂近1 億多人，糖尿病患者達9240 萬人，肥胖癥或超重人口約0.7～2億人，脂肪肝病人將近1.2億人。[1]顯然，針對這些健康醫(yī)療大數(shù)據(jù)的研究和具體應用，必將促進大健康產(chǎn)業(yè)經(jīng)濟發(fā)展。按照國內學者相關研究估算，到2035 年，我國的健康產(chǎn)業(yè)潛在經(jīng)濟價值將超過百萬億元人民幣。[2]而美國麥肯錫公司曾在2013 年預測，美國醫(yī)療大數(shù)據(jù)的應用將大大減少醫(yī)療費用的投入，每年有望達到3000～4500億美元。[3]

然而，與此同時，健康醫(yī)療大數(shù)據(jù)的權屬模糊，一方面限制了信息企業(yè)對其開發(fā)和應用，另一方面也給患者個人信息權、隱私權保護提出難題，并因其流通性特點，在跨境傳輸中又為國家數(shù)據(jù)安全埋下了隱患。健康醫(yī)療大數(shù)據(jù)應用問題,既是如何解決市場需求和保障個人數(shù)據(jù)權利的問題，也是“互聯(lián)網(wǎng)+醫(yī)療健康”所產(chǎn)生的數(shù)據(jù)經(jīng)濟與現(xiàn)有監(jiān)管方式不足的問題，它不僅涉及權利應用的正當性問題，也關乎行政管理部門如何適應市場需求和回應社會創(chuàng)新管理的問題。因此，本文擬從健康醫(yī)療大數(shù)據(jù)權利歸屬及其應用行為所可能侵犯的權利對象和法律規(guī)制具體方法方面進行討論，期望在保障市場主體的數(shù)據(jù)權利基礎上，促進數(shù)據(jù)產(chǎn)業(yè)經(jīng)濟的有序發(fā)展，其涉及治理者和應用者多方面的問題，需要政府、行業(yè)、醫(yī)療機構、數(shù)據(jù)服務平臺（企業(yè)）和個人等多元主體的共同參與。

一、“健康醫(yī)療大數(shù)據(jù)概念”及其法律性質

（一）“健康醫(yī)療大數(shù)據(jù)”概念

“健康醫(yī)療大數(shù)據(jù)”概念界定的前提是明確數(shù)據(jù)、信息和大數(shù)據(jù)的關系。國內外不同領域的學者對數(shù)據(jù)、信息都進行了闡釋，總體而言，它們在本質上差異并不大。如對“數(shù)據(jù)”的界定，國際標準化組織（ISO）將其定義為：是指“對事實、概念或指令的一種特殊表達方式可以用人工的方式或者用自動化的裝置進行通信、翻譯轉換或者進行加工處理”[4]。有學者認為，“數(shù)據(jù)”是指原始的數(shù)字或客觀事實。[5]系統(tǒng)理論學者R.阿克奧夫認為“數(shù)據(jù)”是指對文本、圖像或聲音進行最原始、沒有目的性和未經(jīng)加工的表達，若不依賴于平臺就沒有任何意義。[6]也有學者認為，“數(shù)據(jù)”是指以計算機技術為支撐，通過符號、文字、數(shù)字等二進制形式表現(xiàn)客觀事物未經(jīng)信息加工的原始資料。[7]通過上述對數(shù)據(jù)的認識整理，筆者認為，“數(shù)據(jù)”是指通過文本、數(shù)字或符號等形式來對客觀事物或狀態(tài)的一種描述。信息方面，有學者認為，信息是經(jīng)過處理的數(shù)據(jù)。[8]信息是可利用的數(shù)據(jù)，用來回答“主體、時間、地點、內容”問題的文本。[9]總結學者對信息特征的描述，筆者認為，信息是數(shù)據(jù)加工處理后的結果，本身可以解決特定的問題。據(jù)此分析，大數(shù)據(jù)是通過信息處理技術對海量信息進行加工處理而生成的有價值的數(shù)據(jù)，具有容量大、類型豐富多樣、流通性強、存取速度快和應用價值高等特點。實際上，國內外政府的相關報告和政策文件中對大數(shù)據(jù)均有所揭示和體現(xiàn)，①“大數(shù)據(jù)”指的是運用數(shù)據(jù)的流通性和依賴性、支配性和客觀性，通過信息加工所形成的呈現(xiàn)規(guī)模性、流通性、多樣性特點的具有廣泛應用價值的數(shù)據(jù)集合資料。數(shù)據(jù)與信息之間存在層次關系，數(shù)據(jù)處于底層，是信息生成的源泉，而信息是數(shù)據(jù)挖掘、整合和開發(fā)應用的結果；數(shù)據(jù)包含信息，其所承載的內容包括信息和非信息。[10]大數(shù)據(jù)是數(shù)據(jù)的衍生品，是信息技術對數(shù)據(jù)池加工處理的結果，其與數(shù)據(jù)是包含關系，大數(shù)據(jù)包含數(shù)據(jù)，也包含信息。[11]綜上，數(shù)據(jù)、信息和大數(shù)據(jù)間的邏輯關系是：信息〈數(shù)據(jù)〈大數(shù)據(jù)。

大數(shù)據(jù)時代下，數(shù)據(jù)和信息的界限更為模糊。然而，區(qū)分“數(shù)據(jù)”和“信息”的意義仍然重要，這是健康醫(yī)療大數(shù)據(jù)法律屬性研究的基礎，也符合法學研究對象特定的要求。學術界對健康醫(yī)療大數(shù)據(jù)有不同的認識，有的學者認為健康醫(yī)療大數(shù)據(jù)包括醫(yī)療機構診療大數(shù)據(jù)、區(qū)域衛(wèi)生服務平臺醫(yī)療健康大數(shù)據(jù)、疾病監(jiān)測大數(shù)據(jù)、個體量化大數(shù)據(jù)、網(wǎng)絡大數(shù)據(jù)和生物大數(shù)據(jù)共六類。[12]有的學者則認為醫(yī)療健康大數(shù)據(jù)僅是診療數(shù)據(jù)，包括患者病史采集、檢查檢驗、病歷管理、可穿戴健康醫(yī)療移動應用等與自身免疫、日常健康檢查、門診、住院、康復等健康活動有關的數(shù)據(jù)。[13]根據(jù)國務院相關規(guī)定中的界定，“健康醫(yī)療大數(shù)據(jù)”是指在人們疾病防治、健康管理等過程中產(chǎn)生的與健康醫(yī)療相關的數(shù)據(jù)。②由此觀之，“健康醫(yī)療大數(shù)據(jù)”是指人從出生到死亡這一生命過程中所產(chǎn)生的與健康活動相關的，并被廣泛應用于臨床決策、醫(yī)藥研發(fā)、疾病監(jiān)控和健康管理等方面的數(shù)據(jù)，包括因疾病而產(chǎn)生的診療數(shù)據(jù)和因生活而產(chǎn)生的非診療健康數(shù)據(jù)，也包括因自然人參與健康醫(yī)療活動所產(chǎn)生的醫(yī)療管理、健康產(chǎn)業(yè)和行業(yè)監(jiān)管數(shù)據(jù)。

（二）健康醫(yī)療大數(shù)據(jù)的法律性質

學界對大數(shù)據(jù)的法律性質有不同的觀點，有的學者提出大數(shù)據(jù)法律屬性“四說”觀點，[14]即“知識產(chǎn)權說”“財產(chǎn)權說”“人格權說”和“商業(yè)秘密說”。那么健康醫(yī)療大數(shù)據(jù)的權利屬性是什么？在討論該問題前，數(shù)據(jù)是否屬于權利，學界對此具有爭議。持“否定說”[15]的學者認為數(shù)據(jù)本身不符合民事權利主體、客體和內容三要素內涵，即主體不特定，客體不具有確定性、無獨立性，亦不屬于無形物，其應用價值依賴于數(shù)據(jù)安全和控制主體自我保護，屬于非獨立財產(chǎn)，故數(shù)據(jù)本身不屬于民事權利范疇。反之，持“肯定說”[16]的學者認為，數(shù)據(jù)是一兼具人格性和財產(chǎn)性特點的復合型權利，其保護法益具有多樣性，權利主體包括個人、信息企業(yè)和政府而亦具有多元性，客體因受公法和私法共同調整而具有多元性。

筆者贊成“肯定說”觀點，認為健康醫(yī)療大數(shù)據(jù)屬于民事權利范疇，是兼具人身屬性、財產(chǎn)屬性和國家主權屬性的新型權利。首先，健康醫(yī)療大數(shù)據(jù)具有人格權屬性。健康醫(yī)療大數(shù)據(jù)源于自然人參與健康醫(yī)療活動所產(chǎn)生的原始數(shù)據(jù)，自然人的個人信息和健康信息體現(xiàn)其人格尊嚴和自由意志，[17]屬于權利人人身利益保護范疇。因此，健康醫(yī)療大數(shù)據(jù)如具有個人信息保護權和隱私權內容，則具有人格權屬性。其次，健康醫(yī)療大數(shù)據(jù)具有財產(chǎn)權利屬性。財產(chǎn)權是以具有經(jīng)濟價值和可轉移為特點、以財產(chǎn)利益為客體的民事權利。[18]基于財產(chǎn)權利特點分析，健康醫(yī)療大數(shù)據(jù)這一新型權利具有經(jīng)濟價值特點，大數(shù)據(jù)分析有利于提高醫(yī)療服務效率和質量，促進新業(yè)態(tài)產(chǎn)生，形成新的經(jīng)濟增長點——2018 年中國互聯(lián)網(wǎng)醫(yī)療服務在線咨詢量達37.2 千萬次，在線醫(yī)療市場規(guī)模達210 萬元人民幣；[19]同時，健康醫(yī)療大數(shù)據(jù)權利具有可轉移性特點。國家大健康產(chǎn)業(yè)發(fā)展政策明確促進大數(shù)據(jù)交易和發(fā)展，而實踐中多地多部門多機構合作建立健康醫(yī)療大數(shù)據(jù)服務平臺，形成產(chǎn)業(yè)鏈。健康醫(yī)療大數(shù)據(jù)已在實踐中被廣泛需求，醫(yī)藥企業(yè)基于此開發(fā)出多種信息化系統(tǒng)，并根據(jù)患者診療信息，研發(fā)醫(yī)療產(chǎn)品，精準發(fā)掘健康需求，降低運營成本，體現(xiàn)了大數(shù)據(jù)作為商品的交換價值。[20]其三，健康醫(yī)療大數(shù)據(jù)還具有國家主權屬性。數(shù)據(jù)主權屬性源于國家主權理論，健康醫(yī)療大數(shù)據(jù)方面的立法和政策是國家主權獨立的體現(xiàn)。以大數(shù)據(jù)為代表的數(shù)字經(jīng)濟是未來經(jīng)濟發(fā)展的著力點，健康醫(yī)療大數(shù)據(jù)資源的控制和利用能力對國家經(jīng)濟、政治領域產(chǎn)生將極大影響。發(fā)達國家在數(shù)據(jù)整合、提煉、分析、傳輸方面較發(fā)展中國家具有科技優(yōu)勢，將在未來健康產(chǎn)業(yè)經(jīng)濟競爭中占據(jù)有利地位，而發(fā)展中國家在健康醫(yī)療領域的自主權將受到限制或侵犯。沒有限制的大數(shù)據(jù)跨境流通，勢必在積累一定時間后危及其他領域，如政治和文化領域，進而威脅國家安全。[21]綜上所述，健康醫(yī)療大數(shù)據(jù)權利是兼具有人格權屬性、財產(chǎn)權屬性和國家主權屬性的新型權利。

二、健康醫(yī)療大數(shù)據(jù)中的權屬及其權利沖突

（一）健康醫(yī)療大數(shù)據(jù)的權屬問題

從數(shù)據(jù)權利的客體來看，被保護的主要是公民個人健康信息?，F(xiàn)行立法對健康醫(yī)療大數(shù)據(jù)的權利歸屬未作明確約定，對于數(shù)據(jù)權利究竟歸屬于個人還是醫(yī)院、企業(yè)或國家，學界和實務界均未形成統(tǒng)一的意見。有的學者認為，對于健康醫(yī)療大數(shù)據(jù)的信息權、隱私權歸個人所有，而對健康信息的收集處理及成果的使用權和所有權則需作區(qū)分。[22]有的學者認為，對于健康醫(yī)療大數(shù)據(jù)主體分為三類，包括數(shù)據(jù)來源主體、數(shù)據(jù)控制主體和數(shù)據(jù)繼受主體，具體而言包括個人、國家和信息業(yè)者（醫(yī)院、信息技術公司或其他組織）。[23]筆者認為，從數(shù)據(jù)利益的保護者和提供者的角度出發(fā)，健康醫(yī)療大數(shù)據(jù)權利主要包括公民所享有的個人信息保護權、隱私權以及數(shù)據(jù)使用權，數(shù)據(jù)控制和繼受主體即醫(yī)院或互聯(lián)網(wǎng)服務公司具有數(shù)據(jù)開發(fā)和應用權，國家對全國健康信息具有自主開發(fā)和應用權、行政管理權和數(shù)據(jù)主權等內容。[24]

1.公民個人信息權、隱私權。

“個人信息”，是指以電子或者其他方式記錄的、能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，如個人姓名、出生年月、證件號碼、生物識別信息、住址、聯(lián)系電話等。③從《中華人民共和國網(wǎng)絡安全法》關于個人信息的規(guī)定來看，個人信息并不包括個人身體狀況和健康狀況等內容。有的學者認為“個人信息權”是指自然人依法對其個人身份信息所享有的具有可支配性和排他性的人格權。健康醫(yī)療大數(shù)據(jù)個人信息權所保護的主體是自然人，而客體則是個人身份信息，權利內容則包括信息控制權、信息處分權、信息知情權、信息修改權、信息刪除權、個人信息保護權。[25]健康醫(yī)療大數(shù)據(jù)隱私權所保護的，則是公民個人在醫(yī)療機構或健康管理機構因診療行為或疾病篩查或管理活動所產(chǎn)生的有關健康狀況的信息，如艾滋病類的傳染性疾病、遺傳性疾病、避孕、墮胎、健康檢查等涉及個人敏感信息。而“健康醫(yī)療大數(shù)據(jù)隱私權”是指公民個人對涉及個人醫(yī)療健康信息具有公開或不公開的權利，即公民健康醫(yī)療敏感信息未經(jīng)其本人同意，不得公開。

2.數(shù)據(jù)開發(fā)和應用主體所享有的權利。

“數(shù)據(jù)開發(fā)和應用”是指數(shù)據(jù)開發(fā)和應用主體從醫(yī)療機構或非醫(yī)療機構獲取或受上述機構委托就所獲取的健康信息進行挖掘、加工處理生成具有經(jīng)濟或社會價值的信息并廣泛應用于生產(chǎn)生活中的過程。[26]數(shù)據(jù)開發(fā)和應用主體在充分保障數(shù)據(jù)權利人合法權益基礎上，享有數(shù)據(jù)收集權、制作數(shù)據(jù)庫權、數(shù)據(jù)維護權、數(shù)據(jù)開發(fā)應用權和數(shù)據(jù)財產(chǎn)權等權利。[27]

醫(yī)療機構或其他健康管理機構或經(jīng)授權委托的互聯(lián)網(wǎng)服務公司，對診療行為或非診療行為方面的健康數(shù)據(jù)具有收集、加工、處理和交易的權利。醫(yī)院或互聯(lián)網(wǎng)服務公司數(shù)據(jù)開發(fā)和應用權的適用邊界尚未明確，但關于健康醫(yī)療大數(shù)據(jù)安全的責任單位和網(wǎng)絡運營者信息收集、使用的規(guī)定，散見于網(wǎng)絡安全法及相關文件中，④顯然，這些基于數(shù)據(jù)安全、數(shù)據(jù)交易和需求的碎片化規(guī)定在實務中可操作性較差。

3.國家數(shù)據(jù)主權和行政管理權。

在健康醫(yī)療大數(shù)據(jù)領域，國家對公民個人健康醫(yī)療信息具有個人信息權、隱私權和知情同意權保護義務，并在保障公民個人信息權利基礎上，根據(jù)國家安全和社會公共利益需要，對其所獲取的個人健康醫(yī)療數(shù)據(jù)集進行管理、開發(fā)和應用，⑤并對其他權利主體的數(shù)據(jù)開發(fā)應用行為進行監(jiān)管，以確保數(shù)據(jù)應用安全。同時，數(shù)據(jù)具有無形性、流通性和不可逆轉性，發(fā)送即為到達，國家對數(shù)據(jù)境外傳輸實施安全評估前置，以有益于保障數(shù)據(jù)安全，確保國家數(shù)據(jù)主權地位，是其對數(shù)據(jù)安全進行監(jiān)管的具體表現(xiàn)。[28]

（二）健康醫(yī)療大數(shù)據(jù)應用中的權利沖突

1.數(shù)據(jù)應用與個人信息決定權沖突。

作為公民個人信息權的重要內容“信息決定權”，是指公民對其個人健康信息具有處分權，以決定個人健康信息使用目的、使用范圍和使用方式，數(shù)據(jù)應用主體需取得其同意方可收集、使用。⑥個人信息決定權是其他個人信息權利實現(xiàn)的先決條件，只有權利人同意公開其健康信息，才可能產(chǎn)生信息查閱、收益、變更、刪除等權利。信息業(yè)者⑦在獲取公民健康信息過程中，通常以其提供的服務，默認其自然享有使用公民個人健康醫(yī)療信息的權利，然而，法律尚未明確規(guī)定信息業(yè)者具有信息自決權，國家衛(wèi)生健康委員會大數(shù)據(jù)安全管理相關文件⑧顯示，醫(yī)療衛(wèi)生機構及相關企事業(yè)單位是健康醫(yī)療大數(shù)據(jù)安全和應用管理的責任主體，其對數(shù)據(jù)是否具有所有權，尚存爭議。除合法取得之外，數(shù)據(jù)應用主體通過各種間接或科技手段收集，或秘密獲取或將瑣碎信息整合生成具有適用價值的成果，嚴重侵犯了公民個人信息決定權。在技術支撐下，即使未取得公民個人同意，通過對話框設置，數(shù)據(jù)應用主體仍可獲得信息，侵犯了公民個人信息保護權。

2.數(shù)據(jù)應用與公民隱私權沖突。

互聯(lián)網(wǎng)服務公司對大健康產(chǎn)業(yè)領域的信息具有收集、處理和開發(fā)優(yōu)勢，但數(shù)據(jù)資源有限，而醫(yī)療機構中潛藏大量的健康醫(yī)療數(shù)據(jù)，但基于患者隱私權保護，多以保守態(tài)度處理數(shù)據(jù)資源，開發(fā)應用有限。在大數(shù)據(jù)產(chǎn)業(yè)發(fā)展迅猛和數(shù)據(jù)資源開發(fā)有限的背景下，企業(yè)信息自決權和患者隱私權邊界不清，產(chǎn)生沖突。[29]

3.數(shù)據(jù)交易與個人信息財產(chǎn)權沖突。

數(shù)據(jù)具有財產(chǎn)屬性，逐漸在我國立法實務中顯現(xiàn)，雖然《民法總則》未將“網(wǎng)絡虛擬財產(chǎn)”和“數(shù)據(jù)信息”納入物權和知識產(chǎn)權的客體范圍，但法律明確對數(shù)據(jù)財產(chǎn)的保護有規(guī)定，則依照其規(guī)定。⑨因此，數(shù)據(jù)具有財產(chǎn)權，已于立法上實現(xiàn)，數(shù)據(jù)應用主體通過挖掘、加工生成信息報告或建立行業(yè)數(shù)據(jù)庫，成果轉化和使用過程中，涉及著作權、商業(yè)秘密等知識產(chǎn)權內容，并在物權和債權法上有所表現(xiàn)，如大數(shù)據(jù)信息決策服務合同、數(shù)據(jù)庫使用合同。[30]因此，數(shù)據(jù)交易本身承載了財產(chǎn)法律關系，如何平衡個人信息財產(chǎn)權和數(shù)據(jù)應用主體的財產(chǎn)權，成為個人信息保護與大數(shù)據(jù)健康產(chǎn)業(yè)發(fā)展的關鍵。[31]

4.數(shù)據(jù)應用與數(shù)據(jù)安全沖突。

健康醫(yī)療大數(shù)據(jù)開發(fā)與應用主體有國家、醫(yī)療機構和互聯(lián)網(wǎng)服務公司，國家對數(shù)據(jù)應用和數(shù)據(jù)安全均有監(jiān)管職責，而醫(yī)療機構和互聯(lián)網(wǎng)服務公司分別作為數(shù)據(jù)應用管理責任單位和受委托單位，其在數(shù)據(jù)開發(fā)應用中的安全義務有所不同，數(shù)據(jù)開發(fā)應用主體偏重于數(shù)據(jù)開發(fā)和成果轉化，但健康醫(yī)療大數(shù)據(jù)關系國計民生，大數(shù)據(jù)本身具有規(guī)模性、流通性，若自我控制或安全防護義務未充分履行，將導致健康醫(yī)療領域國家、產(chǎn)業(yè)及個人信息泄露，影響國家數(shù)據(jù)安全，從而引發(fā)數(shù)據(jù)應用和數(shù)據(jù)主權的沖突。[32]

（三）健康醫(yī)療大數(shù)據(jù)權利沖突的原因分析

健康醫(yī)療大數(shù)據(jù)的廣泛應用，一方面，有利于國家精準規(guī)劃健康服務需求，降低健康醫(yī)療管理成本，增強健康產(chǎn)業(yè)政策可行性；另一方面，有利于降低企業(yè)決策和投資成本，提高健康市場服務水平，增加消費者的健康意識。然而，健康醫(yī)療大數(shù)據(jù)權利沖突日益顯現(xiàn)，法律風險和安全隱患日益突出。那么，引發(fā)健康醫(yī)療大數(shù)據(jù)權利沖突產(chǎn)生的緣由是什么呢?

1.健康醫(yī)療大數(shù)據(jù)產(chǎn)權歸屬不明，存在法律漏洞。

健康醫(yī)療大數(shù)據(jù)的所有權歸屬法律并未明確規(guī)定，相關保護性規(guī)定也未明確說明，個人、互聯(lián)網(wǎng)服務公司、醫(yī)療機構和國家或參與或主導數(shù)據(jù)開發(fā)和應用，但數(shù)據(jù)成果的所有權者不明，權利主體違法成本低，容易導致數(shù)據(jù)開發(fā)應用處于無序狀態(tài)，增加了維權成本和安全風險，不利于大健康產(chǎn)業(yè)的發(fā)展。如數(shù)據(jù)應用存在侵犯第三人合法權利的情形，則請求權基礎難以確認。[33]

2. 數(shù)據(jù)應用主體安全責任規(guī)定可操作性不足，安全技術壁壘突出。

我國《網(wǎng)絡安全法》規(guī)定了國家、網(wǎng)絡運營者和行業(yè)組織的數(shù)據(jù)安全義務，但監(jiān)管和安全方面存在漏洞。健康醫(yī)療大數(shù)據(jù)開發(fā)應用為社會提供便利的同時，在安全責任分配方面規(guī)定可操作性不足，受到安全技術限制，且權責不匹配，如行業(yè)組織的風險評估和風險警示義務履行不到位，未作責任規(guī)定，多為宣誓意義上的條款，安全防護不足。

3.對數(shù)據(jù)的外部性問題認識不足。

外部性是經(jīng)濟學中的重要術語，簡言之，外部性是指某個經(jīng)濟主體對另一個經(jīng)濟主體產(chǎn)生的外部影響，而這看種外部影響又不能通過市場價格進行買賣所產(chǎn)生的溢出效應。健康醫(yī)療大數(shù)據(jù)尚被置于數(shù)據(jù)控制主體，易因他人“搭便車”行為而產(chǎn)生外部性問題，[34]如數(shù)據(jù)因泄露或失竊而為第三人免費知曉，又如互聯(lián)網(wǎng)健康服務平臺免費使用用戶數(shù)據(jù)等。外部性問題在經(jīng)濟學上主要歸于產(chǎn)權界定和國家管制，科斯定理指出爭議雙方在產(chǎn)權明晰基礎上自行協(xié)商，以解決外部性問題。但就數(shù)據(jù)而言，產(chǎn)權明晰并不適用，在信息不對稱和不充分的情形下，數(shù)據(jù)產(chǎn)權界定成本和監(jiān)管成本以及參與人數(shù)的不確定性，使得權利界定遠遠超過數(shù)據(jù)控制主體因侵權所遭受的損失，加之數(shù)據(jù)本身的流動性，增加了數(shù)據(jù)應用行為的界定難度。[35]

4. 任由數(shù)據(jù)開發(fā)應用，很可能危及經(jīng)濟安全和社會穩(wěn)定。

健康醫(yī)療大數(shù)據(jù)開發(fā)和應用主體依托于互聯(lián)網(wǎng)技術，市場供需眾多，如不對數(shù)據(jù)開發(fā)和應用主體強化社會責任和確立法律底線，在缺乏自律和監(jiān)管的情形下，難以避免其不作出背離法律的行為，從而危及社會經(jīng)濟或數(shù)據(jù)安全，目前跨境醫(yī)療領域出現(xiàn)了海量國內健康醫(yī)療信息傳遞至國外的情形，數(shù)據(jù)共享和安全沖突引發(fā)社會關注。[36]

三、健康醫(yī)療大數(shù)據(jù)應用中的規(guī)制路徑與方式

如何規(guī)范和治理健康醫(yī)療大數(shù)據(jù)開發(fā)和應用帶來的各種問題，保障大健康產(chǎn)業(yè)有序發(fā)展已迫在眉睫。有效解決權益沖突，數(shù)據(jù)開發(fā)和應用主體應當與政府合作，履行社會責任和法定納稅義務以及行業(yè)治理責任，確立以政府主導，行業(yè)自律和公眾參與的綜合治理模式。

（一）健康醫(yī)療大數(shù)據(jù)的規(guī)制路徑選擇：基于大數(shù)據(jù)服務平臺中的法律結構關系

健康醫(yī)療大數(shù)據(jù)服務平臺，一般是指利用互聯(lián)網(wǎng)技術，將醫(yī)療機構或其他健康組織自動生成的公民健康信息進行加工，生成信息報告或其他智力成果，連接需求方和供給方，完成數(shù)據(jù)開發(fā)和應用的組織，包括營利或非營利性組織?；诮】滇t(yī)療大數(shù)據(jù)公益性和商業(yè)性特點，本文主要討論營利性數(shù)據(jù)服務平臺。在健康醫(yī)療大數(shù)據(jù)應用的各個環(huán)節(jié)中，供需方均存在，并扮演著不同的角色。健康醫(yī)療數(shù)據(jù)源于個人，而大數(shù)據(jù)控制權、管理權分屬于醫(yī)療機構和政府，第三方服務機構⑩需借助政府支持和醫(yī)療機構配合方能對其進行商業(yè)化開發(fā)和應用。這意味著個人、醫(yī)療機構和政府以及第三方服務機構在健康醫(yī)療大數(shù)據(jù)開發(fā)和應用中存在一個更為復雜的法律關系結構。如果把數(shù)據(jù)應用擴展成為數(shù)據(jù)產(chǎn)業(yè)經(jīng)濟，則衛(wèi)生健康部門和數(shù)據(jù)服務同行競爭者將參與其中。具體而言，健康醫(yī)療大數(shù)據(jù)服務平臺的法律結構由個人、醫(yī)療機構和第三方服務機構間形成的內部法律結構和大數(shù)據(jù)服務平臺、同類競爭者和衛(wèi)生健康行政監(jiān)管部門間形成的外部法律結構組成。衛(wèi)生健康行政監(jiān)管部門對健康醫(yī)療大數(shù)據(jù)具有應用和安全管理職責，但行政管理和被管理關系這一外部法律結構，仍將影響數(shù)據(jù)開發(fā)應用主體間的法律關系，甚至影響數(shù)據(jù)開發(fā)應用的法律限度。因此，我們有必要以醫(yī)療機構大數(shù)據(jù)服務為例，對其法律結構展開深入分析，以明確規(guī)制路徑的選擇。[37]

首先，是個人與醫(yī)院之間的醫(yī)療服務合同關系。醫(yī)療機構根據(jù)診療規(guī)范向患者提供診療服務，患者向醫(yī)療機構支付就診費用的醫(yī)療服務合同關系，其中醫(yī)療機構對患者個人信息和診療信息具有知情權和保管義務，如此，醫(yī)療機構存在大量患者的個人信息和健康信息，隨著大數(shù)據(jù)技術的發(fā)展，患者健康醫(yī)療信息形成數(shù)據(jù)池，具有重要研發(fā)價值。醫(yī)療機構基于診療行為屬性對數(shù)據(jù)具有控制權，可以處分、使用和收益，但其所有權歸屬則存在爭議。數(shù)據(jù)本身及加工數(shù)據(jù)財產(chǎn)屬性不同，但并不影響患者個人的人身屬性，因此，對其使用，不需取得患者同意，但需在合理范圍內使用，且不得侵犯患者的人身權益。[38]實踐中，因數(shù)據(jù)泄露或非法獲取擅自公開公民個人信息的事件常見報端，嚴重侵犯公民個人信息權和隱私權，甚至影響國家數(shù)據(jù)安全。

其次，是醫(yī)院與第三方服務機構之間的委托開發(fā)合同關系。醫(yī)院有巨大健康信息池，但開發(fā)成本高，如果委托第三方服務機構開發(fā)，則有利于降低成本，充分利用健康醫(yī)療大數(shù)據(jù)為臨床決策、醫(yī)療管理和科學研究提供指引和參考。委托開發(fā)合同是指當事人雙方就一方委托另一方進行一定的研究開發(fā)項目而訂立的由委托方向研究開發(fā)方提供研究開發(fā)經(jīng)費和報酬，研究開發(fā)方完成研究開發(fā)工作并向委托方交付成果的技術合同。委托開發(fā)中的成果歸屬及其實施和第三方轉讓等問題關系醫(yī)院和第三方服務機構切身利益，因此，如何理解技術成果的歸屬和原則規(guī)定，便成為數(shù)據(jù)開發(fā)應用中風險防范的關鍵節(jié)點。委托開發(fā)成果歸屬以意思自治為原則，如無約定，按公平原則分配，并遵循成果屬性確定權利義務內容。一般而言，醫(yī)療機構對委托開發(fā)的成果具有所有權，不限于專利形式，如商業(yè)秘密和經(jīng)營信息。但大數(shù)據(jù)不同于傳統(tǒng)知識產(chǎn)權無形物屬性，具有易傳播性和可復制性，在數(shù)據(jù)控制方面需要增強安全措施，以防范數(shù)據(jù)被非法識別或泄露的風險。對此，需厘清醫(yī)院和第三方服務機構數(shù)據(jù)安全責任，并且需要防范共謀損害社會公共利益和公民個人合法權益的行為。[39]

其三是同類競爭者之間的競爭關系。健康醫(yī)療大數(shù)據(jù)本身不具有知識產(chǎn)權所要求的信息壟斷性，第三方服務機構為了獲取市場優(yōu)勢和交易機會，在法律對個人信息保護尚未明確規(guī)定的情形下，數(shù)據(jù)應用主體可能以損害患者個人信息為代價換取交易機會，擾亂市場競爭秩序，侵犯消費者合法權益，故在數(shù)據(jù)服務機構之間或醫(yī)療機構之間依然存在不正當競爭可能。針對這類情況，數(shù)據(jù)服務平臺難以通過自律解決，需要政府介入規(guī)制這類競爭秩序，為第三方服務機構進行數(shù)據(jù)深度挖掘和技術改進提高行為規(guī)范，為醫(yī)院開發(fā)健康醫(yī)療數(shù)據(jù)池提供法律支撐，避免競爭成本內化。[40]

其四是衛(wèi)生健康行政部門?！盎ヂ?lián)網(wǎng)+醫(yī)療健康”發(fā)展模式預示著健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)具有強勁的創(chuàng)新和發(fā)展能力，這需要國家頂層設計保護和規(guī)范，而不是放任或禁止。[41]醫(yī)療機構和第三方服務機構對數(shù)據(jù)開發(fā)應用的權利邊界不清，一方面，促使醫(yī)院過分重視患者個人信息權和隱私權保護，忽視醫(yī)院數(shù)據(jù)池的開發(fā)和應用，間接影響衛(wèi)生健康事業(yè)發(fā)展；另一方面，第三方服務機構突破合同限制，謀取市場交易機會，損害公民個人信息方面的人身權利，不利于大數(shù)據(jù)產(chǎn)業(yè)健康有序發(fā)展。因此，國家對公民個人的醫(yī)療和健康數(shù)據(jù)具有安全保障職責，并在平衡公民個人信息保護、信息業(yè)者數(shù)據(jù)開發(fā)應用自由和社會公共利益基礎上，綜合考慮經(jīng)濟發(fā)展和社會公共服務需要，積極引導和監(jiān)管數(shù)據(jù)開發(fā)應用主體在合法合理范圍內開對健康醫(yī)療大數(shù)據(jù)進行開發(fā)和應用，實現(xiàn)健康醫(yī)療大數(shù)據(jù)開發(fā)應用效益最大化。[42]

（二）健康醫(yī)療大數(shù)據(jù)應用中的規(guī)制方式

健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)經(jīng)濟是互聯(lián)網(wǎng)技術發(fā)展基礎上形成的新型經(jīng)濟模式，具有良好的發(fā)展前景，同時法律空白也不容忽視。隨著互聯(lián)網(wǎng)技術的日新月異，有關行政監(jiān)管的規(guī)制方式呈現(xiàn)多樣化，如行政不作為、立法、協(xié)商、調解和訴訟?；诶嫫胶饫碚?，數(shù)據(jù)應用不同階段不同情況適用不同規(guī)制方式。因此數(shù)據(jù)應用中的法律規(guī)制建議應充分考慮規(guī)制對象的行業(yè)性質和法律結構，也要考慮不同規(guī)制方式適用的特性和效果。

第一，正確定位政府作用。首先，應加快個人信息保護立法進程，明確產(chǎn)權歸屬和數(shù)據(jù)應用主體使用數(shù)據(jù)開發(fā)成果的邊界。個人信息權利保護條款設置，可為公民主張健康醫(yī)療信息承載的人格權損害救濟提供請求權基礎，同時，為醫(yī)院和第三方服務機構使用范圍進行明確界定。醫(yī)療機構患者診療信息是醫(yī)務人員和患者共同參與的結果，醫(yī)院提供醫(yī)療服務的同時取得患者診療信息的使用權源于法律和行業(yè)管理規(guī)范賦予，具有使用正當性，即取得數(shù)據(jù)控制權，但其占有權、處分權和收益權則受到個人信息權、隱私權保護的限制?；卺t(yī)療服務合同的對等性和健康醫(yī)療數(shù)據(jù)應用的公益性，患者健康醫(yī)療數(shù)據(jù)歸患者個人所有，但大量患者健康醫(yī)療數(shù)據(jù)開發(fā)成果歸醫(yī)院所有，且其使用仍然受到個人信息權和隱私權保護限制。醫(yī)院和第三方服務機構在遵循意思自治基礎上，同樣適用上述情況。其次，綜合運用規(guī)制方式，發(fā)揮市場決定性作用。[43]政府可以采取購買公共服務方式，引導數(shù)據(jù)服務平臺向規(guī)劃目標發(fā)展；也可以通過約談等方式促使數(shù)據(jù)服務平臺合規(guī)運營；甚至借助數(shù)據(jù)服務平臺的作用力，政府可以完善政策建議聽取制度和行業(yè)協(xié)會自律監(jiān)管制度，[45]鼓勵數(shù)據(jù)服務平臺積極參與政策制定和承擔社會責任，切實履行納稅等法定義務，遵守數(shù)據(jù)產(chǎn)業(yè)安全和國家安全相關法律，確保合法使用信息。最后，慎用刑事規(guī)制條款。我國《網(wǎng)絡安全法》對網(wǎng)絡運營者收集個人信息的權利作出知情權約束，但未對其違法收集行為進行刑事規(guī)制，但在個人信息保護法中，應存在刑事規(guī)制條款，并根據(jù)社會危害性和主觀過錯確定刑事責任，細化相關條款，增強威懾，并增加條款可操作性。[46]

第二，充分發(fā)揮合同作用。健康醫(yī)療大數(shù)據(jù)應用中的法律結構以合同關系為主，以合同約定權利邊界，可有效降低政府規(guī)制成本和司法成本。如委托開發(fā)合同中，醫(yī)院基于意思自治原則可對第三方服務機構的成果使用權以及使用許可方式進行約定，避免因權屬和使用方式發(fā)生爭議，降低維權成本。

第三，注意發(fā)揮行業(yè)協(xié)會的自律作用，有條件地賦予其公共服務職能。行業(yè)組織在數(shù)據(jù)共享和安全方面可制定可操作性規(guī)則，在數(shù)據(jù)服務公司和政府之間架起合作橋梁，為制定健康產(chǎn)業(yè)政策和明確發(fā)展方向提供良性互動渠道，從而為合作監(jiān)管奠定基礎。[47]

第四，注意處理好大數(shù)據(jù)無界和安全保護的關系。數(shù)據(jù)應用依賴于網(wǎng)絡載體，數(shù)據(jù)應用主體需保護個人信息和隱私，這是法律賦予的最基本義務。健康醫(yī)療大數(shù)據(jù)可以通過網(wǎng)絡實現(xiàn)跨國傳輸和使用，涉及國家數(shù)據(jù)安全、經(jīng)濟安全和社會安全大局。因此，數(shù)據(jù)跨國傳輸前應履行安全審查，審查其運營資格和數(shù)據(jù)內容的合規(guī)性和涉密性，對可能危害國家安全、經(jīng)濟安全和社會安全等方面的數(shù)據(jù)服務公司的設立確立嚴格的審查制度和準入制度，并對其經(jīng)營過程進行動態(tài)監(jiān)管。此外，通過政府與行業(yè)協(xié)會、數(shù)據(jù)開發(fā)主體等其他組織或個人間的合作和充分發(fā)揮行業(yè)協(xié)會自治職能，將合作監(jiān)管和自律緊密結合，形成國家、行業(yè)組織、公民個人、醫(yī)療機構、數(shù)據(jù)服務平臺多元主體共同參與的健康醫(yī)療大數(shù)據(jù)開發(fā)應用規(guī)制的新路徑，確保健康醫(yī)療產(chǎn)業(yè)的發(fā)展有序推進。

綜上所述，面對健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)的迅猛發(fā)展，我們必須厘清數(shù)據(jù)應用主體間的法律關系，圍繞“市場在資源配置中起決定性作用和更好發(fā)揮政府作用”這一全面深化改革目標，正確定位政府的角色，充分發(fā)揮市場自律作用。通過創(chuàng)新監(jiān)管思維，綜合運用協(xié)商、約談、立法、執(zhí)法和司法等方式，規(guī)制健康醫(yī)療大數(shù)據(jù)應用主體的違法犯罪行為，確保政府監(jiān)管和行業(yè)自律的效用最大化，推動健康醫(yī)療產(chǎn)業(yè)可持續(xù)發(fā)展。(GDPR)[J].Irish Medical Journal,2018,111(5)：747.

注釋

①參見美國聯(lián)邦貿(mào)易委員會2016 年1 月的報告：“Big Data-A Tool for Inclusion or Exclusion?Understanding the Issues”；2015年國務院發(fā)布的《關于印發(fā)促進大數(shù)據(jù)發(fā)展行動綱要的通知》(國發(fā)〔2015〕50號)。

②參見《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法（試行）》第四條。

③參見《中華人民共和國網(wǎng)絡安全法》第七十六條。

④參見《中華人民共和國網(wǎng)絡安全法》第四十一條。

⑤參見《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法（試行）》第二條。

⑥參見《中華人民共和國網(wǎng)絡安全法》第四十一條，明確規(guī)定了信息決定權。

⑦“信息業(yè)者”是指可直接或間接獲取公民個人健康醫(yī)療信息的組織，如醫(yī)療機構、疾控中心、健康管理服務公司、醫(yī)療數(shù)據(jù)服務公司等。

⑧參見《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法（試行）》第六條。

⑨參見《民法總則》第一百二十七條。

⑩“第三方服務機構”是指受政府或醫(yī)療機構或其他健康組織委托開發(fā)應用健康醫(yī)療大數(shù)據(jù)的互聯(lián)網(wǎng)技術服務公司。