鄭閩 魏振華

近年來有涉醫(yī)療數(shù)據(jù)的侵權(quán)糾紛日益增多，該數(shù)據(jù)的權(quán)利利用、患者信息保護(hù)等問題成為社會熱點(diǎn)；而該數(shù)據(jù)的匿名化是對個(gè)人信息進(jìn)行技術(shù)處理，以達(dá)成在不借助額外信息的情況下使特定自然人無法被識別的過程，并且處理后的信息不能被復(fù)原。由于匿名化處理后的個(gè)人信息無法識別特定自然人，且無法與特定的個(gè)人信息主體進(jìn)行關(guān)聯(lián)，因此不再將其認(rèn)定為個(gè)人信息。將數(shù)據(jù)進(jìn)行匿名化，主要是為了兼顧個(gè)人信息利用與個(gè)人隱私保護(hù)。

一、我國醫(yī)療數(shù)據(jù)匿名化中存在的問題

我國現(xiàn)有法律法規(guī)，雖有涉及對公民醫(yī)療數(shù)據(jù)保護(hù)的規(guī)定，但卻缺乏統(tǒng)一的標(biāo)準(zhǔn)和模式，并且沒有明確界定醫(yī)療數(shù)據(jù)的性質(zhì)。[1]正因?yàn)獒t(yī)療數(shù)據(jù)的界限不清，所以個(gè)人醫(yī)療健康信息受到侵害的現(xiàn)象頻繁發(fā)生，給患者帶來困擾，嚴(yán)重影響居民幸福感和社會穩(wěn)定[2]，也使對醫(yī)療數(shù)據(jù)的匿名化技術(shù)處理很難進(jìn)行。這些醫(yī)療大數(shù)據(jù)泄露事件應(yīng)該引起我們高度的警覺和深刻反思。[3]

法律雖然賦予了患者知情同意權(quán)，但其醫(yī)療數(shù)據(jù)的自主決定權(quán)存在被架空的風(fēng)險(xiǎn)。醫(yī)療數(shù)據(jù)的主體很難通過冗長的隱私聲明意識到自己提供了哪些信息，甚至無法理解聲明的內(nèi)容。[4]患者在提供了醫(yī)療數(shù)據(jù)后，卻沒有對后續(xù)醫(yī)療數(shù)據(jù)之利用和流轉(zhuǎn)的控制權(quán)，也無法查證數(shù)據(jù)如何被使用。在現(xiàn)代科技面前人類個(gè)體顯得十分渺小，患者的權(quán)利更難以得到有效的保障。[5]

如何利用既有規(guī)范更好地保護(hù)個(gè)人醫(yī)療數(shù)據(jù)，如何利用匿名化制度更好地保護(hù)患者隱私權(quán)益，成為醫(yī)療數(shù)據(jù)利用開發(fā)過程中必須要面對的重要問題。

二、“場景”理論在醫(yī)療數(shù)據(jù)匿名化中的應(yīng)用

根據(jù)《民法典》第一千零三十八條、第一千零三十九條之規(guī)定，信息處理者應(yīng)當(dāng)對所收集的個(gè)人信息采取必要的技術(shù)措施，確保個(gè)人信息的安全；國家機(jī)關(guān)及其工作人員對個(gè)人信息也負(fù)有保密義務(wù)，不得泄露或向他人非法提供。匿名化就是信息處理者應(yīng)當(dāng)采取的技術(shù)措施之一，這也是法律要求信息處理者必須負(fù)起的強(qiáng)制性技術(shù)安全義務(wù)。

（一）“場景”理論的基本概念

“場景”理論源于新聞傳播領(lǐng)域，也被廣泛應(yīng)用于保護(hù)個(gè)人隱私數(shù)據(jù)的收集、處理、使用的規(guī)制當(dāng)中?！睹绹M(fèi)者隱私權(quán)利法案（草案）》的主要起草人之一尼森鮑姆教授提出了信息保護(hù)中的“場景”理論，[6]并闡述了“場景”理論就是尊重?cái)?shù)據(jù)收集的原始場景，不能超出初始“場景”利用數(shù)據(jù)[7]?！皥鼍啊毕碌膫€(gè)人信息、信息“場景”則通常用于指代可以反映用戶接受程度、對信息利用敏感程度等的要素。[8]同一個(gè)信息會隨著“場景”的變化而發(fā)生變化。

（二）“場景”理論在數(shù)據(jù)匿名化中的初步引入

數(shù)據(jù)匿名化逐漸成為數(shù)據(jù)自由流通的前提條件。法律規(guī)定數(shù)據(jù)匿名化要與當(dāng)前的技術(shù)水平相當(dāng)，同時(shí)要保護(hù)數(shù)據(jù)主體的權(quán)益，這是合理性原則在《個(gè)人信息保護(hù)法》中的體現(xiàn)。但是隨著信息技術(shù)不斷發(fā)展，將數(shù)據(jù)完全匿名化是幾乎不可能實(shí)現(xiàn)的，特別是成本過高并且對數(shù)據(jù)的利用造成困難，這不符合合理性原則的要求。因?yàn)閮H通過一個(gè)細(xì)胞中的基因就可以識別到特定的一個(gè)人，進(jìn)一步識別到所有可以識別到的其他信息?！皥鼍啊崩碚撜J(rèn)為，個(gè)人信息具有動態(tài)性，數(shù)據(jù)匿名化也要呈現(xiàn)動態(tài)性，在不同“場景”有不同的要求，并且與“場景”緊密相連。所以，“場景”理論可以促進(jìn)醫(yī)療數(shù)據(jù)法律制度的構(gòu)建。[9]

《美國消費(fèi)者隱私權(quán)利法案（草案）》最先沖破了傳統(tǒng)思維，在保護(hù)醫(yī)療數(shù)據(jù)的過程中應(yīng)用“場景”理論，將隱私保護(hù)與“場景”相結(jié)合。[10]同時(shí)隱私權(quán)的保護(hù)模式也出現(xiàn)了變化，在利用和收集醫(yī)療數(shù)據(jù)時(shí)，最初是獲得患者同意就可以，現(xiàn)已轉(zhuǎn)變?yōu)槌鲎畛鯌?yīng)用“場景”時(shí)需要征求患者同意，并且如果在利用信息的過程中又重新獲得敏感信息時(shí)，應(yīng)用這類數(shù)據(jù)也應(yīng)當(dāng)征求患者的同意，否則就要承擔(dān)侵權(quán)責(zé)任。由此，對于是否侵犯患者醫(yī)療數(shù)據(jù)隱私，就從靜態(tài)判斷轉(zhuǎn)變?yōu)楦鶕?jù)不同的情形承擔(dān)不同責(zé)任的動態(tài)判斷。[11]

（三）“場景”理論在數(shù)據(jù)匿名化中的主要體現(xiàn)

1.目的限制原則。

運(yùn)用匿名化技術(shù)處理后的隱私信息，仍然存在再標(biāo)識的風(fēng)險(xiǎn)。醫(yī)療數(shù)據(jù)一旦不當(dāng)使用，將會給患者帶來巨大的傷害。因此對醫(yī)療數(shù)據(jù)進(jìn)行匿名化處理時(shí)，目的限制原則尤為重要。目的限制原則就是要根據(jù)商業(yè)利用最初的目的，對醫(yī)療數(shù)據(jù)進(jìn)行收集和利用。[12]“場景”理論體現(xiàn)了目的限制的要求，一旦超出最初目的，“場景”就會改變，新“場景”出現(xiàn)的各種信息，可能會給數(shù)據(jù)匿名化的程度帶來很大的不確定性，也不利于對公眾權(quán)益的維護(hù)。

2.“場景一致”理論。

在醫(yī)療數(shù)據(jù)的流轉(zhuǎn)、利用過程中，根據(jù)“場景一致”理論，如果對醫(yī)療數(shù)據(jù)進(jìn)行商業(yè)利用的“場景”是一致的，那么第三方對該醫(yī)療數(shù)據(jù)的應(yīng)用就不需要再經(jīng)過數(shù)據(jù)主體的授權(quán)。[13]《個(gè)人信息保護(hù)法》第十四條在某種程度上也體現(xiàn)了“場景”理論在個(gè)人信息處理中的適用。隨著不同“場景”的變化，醫(yī)療數(shù)據(jù)的敏感程度也會隨之改變，評估數(shù)據(jù)在不同“場景”下的敏感程度，對保護(hù)患者隱私權(quán)益等至關(guān)重要。

3.數(shù)據(jù)分類分級動態(tài)化。

區(qū)分醫(yī)療數(shù)據(jù)的利用“場景”，對醫(yī)療數(shù)據(jù)使用的各個(gè)環(huán)節(jié)進(jìn)行更加細(xì)致的劃分，根據(jù)醫(yī)療數(shù)據(jù)不同敏感程度建立動態(tài)的醫(yī)療數(shù)據(jù)分類分級，就顯得尤為必要。我國當(dāng)前數(shù)據(jù)領(lǐng)域立法體現(xiàn)了分類、分級理念，并提出了分類、分級的標(biāo)準(zhǔn)。2021 年通過的《數(shù)據(jù)安全法》規(guī)定，國家建立數(shù)據(jù)分類、分級保護(hù)制度；對數(shù)據(jù)分類、分級的標(biāo)準(zhǔn)，為數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及對合法權(quán)益造成的危害程度。但這些標(biāo)準(zhǔn)并非動態(tài)性標(biāo)準(zhǔn)，不符合“場景”理論的理念。

醫(yī)療數(shù)據(jù)具有專業(yè)性、特殊性等特征[14]，我國還未制定醫(yī)療數(shù)據(jù)分類、分級的標(biāo)準(zhǔn)，醫(yī)療數(shù)據(jù)保護(hù)法律制度也尚待完善[15]。雖然中國現(xiàn)行法律沒有明確規(guī)定“場景”理論，但在對醫(yī)療數(shù)據(jù)的規(guī)制當(dāng)中可以看到“場景”理論應(yīng)用的影子，如《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》第七條規(guī)定：“健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)管理工作遵循政策引領(lǐng)、強(qiáng)化監(jiān)督、分類指導(dǎo)、分級管理的原則?！?017 年由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會、大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組發(fā)布的《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書》指出，將醫(yī)療數(shù)據(jù)所可能面臨的風(fēng)險(xiǎn)分為動態(tài)、靜態(tài)兩類，這樣的劃分標(biāo)準(zhǔn)和“場景”理論有著異曲同工之妙。醫(yī)療數(shù)據(jù)作為一項(xiàng)對公民有著重要影響的數(shù)據(jù)，應(yīng)當(dāng)對其進(jìn)行重點(diǎn)保護(hù)，結(jié)合其專業(yè)特點(diǎn)，進(jìn)一步規(guī)定動態(tài)性分類、分級標(biāo)準(zhǔn)，以更加高效地保護(hù)醫(yī)療數(shù)據(jù)所涉及的患者隱私權(quán)。

三、“場景”理論下醫(yī)療數(shù)據(jù)匿名化制度的完善

個(gè)人信息的收集和利用，仍然需要結(jié)合具體“場景”細(xì)化，落實(shí)個(gè)人信息保護(hù)制度。[16]有學(xué)者提出構(gòu)建“功能性匿名化”，即數(shù)據(jù)的匿名化程度取決于數(shù)據(jù)與“場景”之間的聯(lián)系?！肮δ苄阅涿庇蓴?shù)據(jù)環(huán)境和匿名化決策組成，其中數(shù)據(jù)環(huán)境，就是醫(yī)療數(shù)據(jù)應(yīng)用的具體“場景”。[17]“功能性匿名化”的提出，實(shí)際上也是“場景”理論的應(yīng)用。在不同的“場景”中，醫(yī)療數(shù)據(jù)的敏感程度不同，對其匿名化的程度要求也不同。根據(jù)“場景”理論的要求，應(yīng)從醫(yī)療數(shù)據(jù)匿名化的合理性標(biāo)準(zhǔn)以及醫(yī)療數(shù)據(jù)的分類、分級制度入手，建立動態(tài)匿名化制度，并制定監(jiān)督保障措施以保證匿名化制度順利實(shí)施，保護(hù)患者隱私權(quán)。

（一）健全醫(yī)療數(shù)據(jù)匿名化的合理性標(biāo)準(zhǔn)

“醫(yī)療場景”，就是“醫(yī)療社會場景”，指包括技術(shù)場景、商業(yè)場景和行業(yè)場景在內(nèi)的三個(gè)部分。在技術(shù)場景中，不同隱私保護(hù)等級的醫(yī)療數(shù)據(jù)所采取的處理技術(shù)不同；在商業(yè)場景中，利用醫(yī)療數(shù)據(jù)要符合最初的商業(yè)目的；在“行業(yè)場景”中，要遵守醫(yī)療領(lǐng)域不同行業(yè)所制定的規(guī)則。[18]在醫(yī)療場景中，利用“場景”理論對數(shù)據(jù)進(jìn)行匿名化，就是將醫(yī)療數(shù)據(jù)中關(guān)于患者的敏感隱私進(jìn)行“脫敏”處理，使其符合《網(wǎng)絡(luò)安全法》第四十二條及《民法典》第一千零三十八條所規(guī)定的“無法識別且不能恢復(fù)”的要求。如果是可以直接識別到的醫(yī)療數(shù)據(jù)，就可以落入敏感信息的范疇，當(dāng)作隱私權(quán)進(jìn)行保護(hù)；如果醫(yī)療數(shù)據(jù)可以結(jié)合其他的個(gè)人信息識別到特定個(gè)人，也應(yīng)當(dāng)受到法律的保護(hù)。在間接識別中，醫(yī)療數(shù)據(jù)還沒有和其他個(gè)人信息結(jié)合，沒有識別到特定的患者，所以暫時(shí)不會侵犯信息主體的合法權(quán)益，對這類數(shù)據(jù)進(jìn)行合理的商業(yè)利用、醫(yī)學(xué)實(shí)驗(yàn)也是合法的。[19]

《個(gè)人信息保護(hù)法》第六條規(guī)定，個(gè)人信息處理需要合理、符合最初的目的。醫(yī)療數(shù)據(jù)匿名化的標(biāo)準(zhǔn)，是合理性標(biāo)準(zhǔn)，因?yàn)椴豢蓮?fù)原這個(gè)標(biāo)準(zhǔn)過于理想化，所以這個(gè)標(biāo)準(zhǔn)不是絕對性的。[20]不斷發(fā)展的科學(xué)技術(shù)是“雙刃劍”，破解者可以利用新技術(shù)將匿名醫(yī)療數(shù)據(jù)復(fù)原，保護(hù)者也可以利用新技術(shù)強(qiáng)化匿名化保護(hù)措施?；卺t(yī)療數(shù)據(jù)（個(gè)人信息）的動態(tài)性，合理性標(biāo)準(zhǔn)應(yīng)當(dāng)是動態(tài)性標(biāo)準(zhǔn)，即根據(jù)醫(yī)療數(shù)據(jù)具體“場景”和初始目的來進(jìn)行使用；一旦偏離初始目的，就會導(dǎo)致數(shù)據(jù)利用的具體“場景”發(fā)生改變，不利于保障患者的合法權(quán)益。[21]

基于“醫(yī)療場景”對醫(yī)療數(shù)據(jù)的處理進(jìn)行限制。對于符合醫(yī)療數(shù)據(jù)處理主體最初利用目的的醫(yī)療數(shù)據(jù)，在進(jìn)行商業(yè)利用時(shí)可以保留，而其他的個(gè)人信息要完全進(jìn)行匿名化處理。并且要設(shè)置更多的“場景”，根據(jù)不同的“場景”對合理性標(biāo)準(zhǔn)進(jìn)行不同的解釋，使得數(shù)據(jù)主體可以在不同的“場景”中都不會被識別出來。

合理性標(biāo)準(zhǔn)還體現(xiàn)在，對醫(yī)療數(shù)據(jù)的保護(hù)必須建立在實(shí)現(xiàn)公共利益的基礎(chǔ)上?！秱€(gè)人信息保護(hù)法》第十三條規(guī)定，對醫(yī)療數(shù)據(jù)進(jìn)行利用，前提是征得個(gè)人同意，或者為了應(yīng)對突發(fā)公共衛(wèi)生事件等情況，在合理范圍內(nèi)對醫(yī)療數(shù)據(jù)進(jìn)行處理。因此即使是敏感個(gè)人信息也需要將一部分權(quán)利讓渡給公共利益。但是公共利益并不是豁免責(zé)任的萬能理由，仍需要受到社會監(jiān)督和法律監(jiān)督。[22]

（二）完善醫(yī)療數(shù)據(jù)分類分級保護(hù)制度

有學(xué)者以敏感程度為參考，將個(gè)人信息劃分為無指向性個(gè)人信息、一般個(gè)人信息和敏感個(gè)人信息。[23]無指向性的個(gè)人信息，信息不會指向特定個(gè)人，即使利用這類信息，也不會產(chǎn)生不利影響。一般個(gè)人信息的敏感程度介于其他兩種個(gè)人信息之間，具有一定的敏感性，只有在特定的場景中結(jié)合其他信息才會顯現(xiàn)出來。[24]醫(yī)療數(shù)據(jù)就屬于敏感信息，如果不能及時(shí)將其匿名化，就會在利用信息時(shí)對數(shù)據(jù)主體產(chǎn)生不利影響。針對敏感性較高的醫(yī)療數(shù)據(jù)，匿名化的程度也要比其他的個(gè)人信息更高。

根據(jù)醫(yī)療數(shù)據(jù)的敏感程度并結(jié)合學(xué)者對個(gè)人信息的分類、分級，可以將醫(yī)療數(shù)據(jù)進(jìn)一步分類、分級。首先，是患者的一般個(gè)人信息，包含患者的姓名、年齡、職業(yè)等。其次，是患者的重要信息，包括身份證號碼、通訊地址等能夠直接識別到特定個(gè)人的信息，以及患者其他較為私密的信息。最后，是患者在診療活動中產(chǎn)生的信息，比如患者的基因、疾病情況、檢查報(bào)告等，這類信息泄露會給患者的生活帶來極大的困擾和影響。

在診療活動中的醫(yī)療數(shù)據(jù)主要包含了患者的電子病歷、醫(yī)學(xué)影像、用藥劑量等在治療中產(chǎn)生的數(shù)據(jù)。不同的醫(yī)療數(shù)據(jù)，可以繼續(xù)細(xì)分，如影像數(shù)據(jù)中還有X 光片、CT 影像等。在完善醫(yī)療數(shù)據(jù)分類、分級的條件下，針對不同分類、分級的醫(yī)療數(shù)據(jù)制定不同的匿名化標(biāo)準(zhǔn)和程序，并隨著科技的發(fā)展而不斷更新，才能保護(hù)好患者的隱私權(quán)。

在認(rèn)識到個(gè)人信息動態(tài)性的同時(shí)，也需要進(jìn)一步完善匿名化的技術(shù)手段，尤其是基于動態(tài)數(shù)據(jù)的匿名化技術(shù)。美國通過《健康保險(xiǎn)攜帶與責(zé)任法案》（HIPAA）等一系列法律規(guī)范來構(gòu)建美國醫(yī)療大數(shù)據(jù)患者隱私權(quán)保護(hù)體系，確立了保護(hù)患者隱私權(quán)的相關(guān)制度。[25]由于醫(yī)療數(shù)據(jù)的原始數(shù)據(jù)和匿名化的算法都是由醫(yī)療機(jī)構(gòu)掌控的，剝奪醫(yī)療機(jī)構(gòu)去匿名化能力，才能使其醫(yī)療數(shù)據(jù)匿名化具有合法性。白皮書針對不同形態(tài)的風(fēng)險(xiǎn)制定了不同的應(yīng)對措施，具有較強(qiáng)的靈活性。[26]

（三）建立醫(yī)療數(shù)據(jù)匿名化監(jiān)督制度

在構(gòu)建患者醫(yī)療數(shù)據(jù)分類、分級制度和匿名化合理性標(biāo)準(zhǔn)的基礎(chǔ)上，仍要進(jìn)一步完善對匿名化的監(jiān)督制度。將醫(yī)療數(shù)據(jù)匿名化處理工序集中于經(jīng)過行政許可的特定機(jī)構(gòu)，并對匿名化進(jìn)行事前、事中和事后監(jiān)督。

1.事前監(jiān)督。

首先，通過法律法規(guī)對匿名化處理者進(jìn)行授權(quán)并作出相應(yīng)限制。根據(jù)《個(gè)人信息保護(hù)法》第二十八條規(guī)定，醫(yī)療數(shù)據(jù)作為患者重要的敏感個(gè)人信息，一旦被泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害。因此，只有在具有特定目的和必要性，并采取嚴(yán)格保護(hù)措施的情形下，醫(yī)療數(shù)據(jù)處理者才可以處理醫(yī)療數(shù)據(jù)。這也要求醫(yī)療數(shù)據(jù)處理者能夠利用最新的匿名化技術(shù)對醫(yī)療數(shù)據(jù)進(jìn)行匿名化處理，并保證其結(jié)果不會被現(xiàn)有的去匿名化技術(shù)破解。

其次，由醫(yī)療數(shù)據(jù)處理機(jī)構(gòu)制定統(tǒng)一的《知情同意書》，并報(bào)衛(wèi)生行政管理部門備案?！吨橥鈺芬?guī)定醫(yī)療數(shù)據(jù)利用者、患者的權(quán)利義務(wù)，匿名化的操作過程和注意事項(xiàng)等。其余具體事項(xiàng)，例如利用醫(yī)療數(shù)據(jù)的目的、方式和范圍等，可以根據(jù)不同的情況進(jìn)行約定。規(guī)范文本應(yīng)盡量減少醫(yī)療數(shù)據(jù)利用者對醫(yī)療數(shù)據(jù)利用的“自由裁量”，減少口頭同意的數(shù)量。將醫(yī)療數(shù)據(jù)匿名化處理集中在經(jīng)過行政許可的信息處理機(jī)構(gòu)，機(jī)構(gòu)負(fù)責(zé)擬定并分發(fā)規(guī)范的《知情同意書》給醫(yī)療數(shù)據(jù)采集者，再由醫(yī)療數(shù)據(jù)采集者根據(jù)醫(yī)療數(shù)據(jù)利用者的要求分發(fā)給患者簽署，這也給“取得患者單獨(dú)同意”提供了便捷途徑。

最后，對匿名化處理過程進(jìn)行詳細(xì)的規(guī)定和監(jiān)督。根據(jù)《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，對醫(yī)療數(shù)據(jù)的處理規(guī)則，應(yīng)當(dāng)明示處理的目的、方式和范圍。處理規(guī)則首先可以在《知情同意書》中詳細(xì)展示給患者，并將相關(guān)處理規(guī)則制作成海報(bào)展示在醫(yī)療數(shù)據(jù)處理機(jī)構(gòu)的大廳中，并報(bào)給衛(wèi)生行政管理部門備案。

此外，醫(yī)療數(shù)據(jù)處理機(jī)構(gòu)還可以建立專家組，吸納醫(yī)務(wù)、科研、倫理學(xué)專家，一方面審查醫(yī)療數(shù)據(jù)是否合法合規(guī)獲取，如是否簽署了《知情同意書》，是否充分履行了說明義務(wù)；另一方面審核診療過程內(nèi)容是否真實(shí)準(zhǔn)確，信息的處理是否合乎科學(xué)性和倫理要求、《知情同意書》是否合規(guī)等。[27]

2.事中監(jiān)督。

醫(yī)療數(shù)據(jù)處理機(jī)構(gòu)應(yīng)做好醫(yī)療數(shù)據(jù)匿名化處理的過程記錄，并在后臺形成數(shù)據(jù)備份存檔，保留下每一份醫(yī)療數(shù)據(jù)匿名化的過程，以便衛(wèi)生行政管理部門進(jìn)行檢查監(jiān)督，督促醫(yī)療數(shù)據(jù)處理機(jī)構(gòu)嚴(yán)格按照處理規(guī)則、步驟和醫(yī)療數(shù)據(jù)分類、分級制度進(jìn)行匿名化處理。

對于委托醫(yī)療數(shù)據(jù)處理機(jī)構(gòu)進(jìn)行匿名化處理的委托人，應(yīng)當(dāng)對受托人醫(yī)療數(shù)據(jù)的匿名化處理活動進(jìn)行監(jiān)督，嚴(yán)格按照約定處理醫(yī)療數(shù)據(jù)，不得超出利用醫(yī)療數(shù)據(jù)的最初目的、處理方式。同時(shí)，委托人也應(yīng)當(dāng)監(jiān)督受托人保護(hù)好醫(yī)療數(shù)據(jù)，避免醫(yī)療數(shù)據(jù)泄露損害患者的合法權(quán)益。委托合同終止，委托人應(yīng)當(dāng)監(jiān)督受托人返還醫(yī)療數(shù)據(jù)或者刪除，不得保留。

在應(yīng)對公共衛(wèi)生事件等涉及重大公共利益的情形中，由衛(wèi)生行政管理部門嚴(yán)格監(jiān)督醫(yī)療數(shù)據(jù)的采集與匿名化處理，遵照國家有關(guān)規(guī)定，不得將醫(yī)療數(shù)據(jù)用于其他目的。如果要將醫(yī)療數(shù)據(jù)用作其他目的，需要再次取得患者單獨(dú)同意。

3.事后監(jiān)督。

衛(wèi)生行政管理部門對醫(yī)療數(shù)據(jù)匿名化過程中產(chǎn)生的《知情同意書》、醫(yī)療數(shù)據(jù)匿名化后臺數(shù)據(jù)等過程性的文件、數(shù)據(jù)進(jìn)行定期檢查，確保醫(yī)療數(shù)據(jù)處理機(jī)構(gòu)能夠嚴(yán)格按照規(guī)定對醫(yī)療數(shù)據(jù)進(jìn)行匿名化處理。對應(yīng)當(dāng)主動刪除醫(yī)療數(shù)據(jù)的處理者，在合理期限沒有刪除的，應(yīng)當(dāng)由衛(wèi)生行政管理部門監(jiān)督刪除，患者個(gè)人也有權(quán)請求醫(yī)療數(shù)據(jù)處理者刪除數(shù)據(jù)。同時(shí)，衛(wèi)生行政管理部門要加強(qiáng)對自身的監(jiān)督，定期發(fā)布社會責(zé)任報(bào)告，接受社會監(jiān)督，防止用于應(yīng)對公共衛(wèi)生事件的醫(yī)療數(shù)據(jù)被用作其他目的。

對動態(tài)匿名化進(jìn)行監(jiān)督，建立動態(tài)化風(fēng)險(xiǎn)評估制度。主管部門應(yīng)重點(diǎn)監(jiān)督醫(yī)療數(shù)據(jù)處理機(jī)構(gòu)是否遵循“場景理論”，僅將醫(yī)療數(shù)據(jù)用作最初目的。匿名化處理后的醫(yī)療數(shù)據(jù)導(dǎo)致患者無法識別出數(shù)據(jù)是否有泄露的風(fēng)險(xiǎn)，無法對匿名醫(yī)療數(shù)據(jù)的具體應(yīng)用以及后續(xù)處理過程進(jìn)行風(fēng)險(xiǎn)評估。因此應(yīng)建立動態(tài)化風(fēng)險(xiǎn)評估制度，監(jiān)測在特定的場景下，醫(yī)療數(shù)據(jù)是否有泄露的風(fēng)險(xiǎn)，以及是否存在新的去匿名化技術(shù)可以將匿名化數(shù)據(jù)破解。[28]完善“禁止再識別”制度，從法律入手盡可能阻卻匿名化數(shù)據(jù)再識別的可能性。[29]

四、結(jié)語

醫(yī)療數(shù)據(jù)屬于敏感個(gè)人信息，對醫(yī)療數(shù)據(jù)的不規(guī)范利用，會侵犯患者的隱私權(quán)。由于醫(yī)療數(shù)據(jù)是近年來新興的大數(shù)據(jù)種類，我國對醫(yī)療數(shù)據(jù)中的隱私權(quán)保護(hù)并不完善，存在規(guī)范不健全、患者知情同意制度被架空等問題。在科學(xué)技術(shù)發(fā)達(dá)的今天，除了利用醫(yī)療數(shù)據(jù)創(chuàng)造價(jià)值之外，還要兼顧對患者的隱私保護(hù)。將“場景”理論引入醫(yī)療數(shù)據(jù)的匿名化制度構(gòu)建之中，運(yùn)用“場景”理論完善匿名化的合理性標(biāo)準(zhǔn)以及構(gòu)建動態(tài)匿名化制度，不斷細(xì)化醫(yī)療數(shù)據(jù)分類、分級，對保護(hù)患者隱私權(quán)具有重要的意義。保護(hù)好患者的醫(yī)療數(shù)據(jù)不僅僅需要國家制定相關(guān)政策、完善匿名化制度，還需要行業(yè)協(xié)會、公民個(gè)人的共同參與。