编者按
作为国家最早布局和推动数据应用的领域之一,健康医疗大数据一直是我国数字经济建设顶层设计的重要组成部分。伴随着中国《个人信息保护法》、《数据安全法》等一系列法规的实施,如何处理好健康医疗数据领域的发展和安全的关系,成为了行业内必须认真研究和回答的焦点问题。
今日,《互联网法律评论》刊发特约专家曲晓琨律师以及环球律师事务所王旖璞、王筱东律师的一篇研究文章,为科技创新企业健康医疗大数据的利用提出合规框架及考量。
健康医疗数据的创新应用,将提升健康医疗服务的效率和质量,并带来健康医疗模式的深刻变化。
然而,健康医疗数据既涉及敏感个人信息,健康医疗大数据也是国家重要的基础性战略资源,随着《数据安全法》(“《数安法》”)、《个人信息保护法》(“《个保法》”)及配套法规的出台,健康医疗数据的共享利用面临诸多合规挑战。
日前,Google及其子公司DeepMind因其于年与RoyalFreeLondonNHSFoundationTrust1(“RoyalFree”)达成的关于患者医疗数据共享的合作而陷入集体诉讼。该合作一直饱受质疑,还曾招致英国数据监管机构(InformationCommissionerOffice,“ICO”)的调查。
本文将对该案涉及的个人数据处理问题进行解析,进而结合我国有关监管规定就健康医疗数据共享利用涉及的相关法律问题进行探讨。
一、RoyalFree与DeepMind的医疗数据共享
年Google收购了一家名为DeepMind的英国人工智能科技公司。
DeepMind于年与RoyalFree达成一项关于共享患者医疗数据的合作。合作的内容为,RoyalFree向DeepMind提供相关患者的医疗数据,用于开发一款供RoyalFree医护人员使用的名为Streams的手机软件(“Streams项目”)。Streams可通过分析患者过去12个月的血液检测数据,在患者可能发生急性肾损伤(acutekidneyinjury,“AKI”)时,及时向医护人员发出警报并提供患者的历史医疗数据,以供医护人员及时有效地对患者进行诊治。
年,Streams及其运营团队转移到了英国GoogleHealth。除RoyalFree外,其他几家NHStrust/NHSfoundationtrust也使用了Streams软件。
据了解,AKI每年导致英格兰约4万人死亡,NHS为此每年需花费约10亿英镑。Streams投入使用后,医护人员对其评价十分积极。这是因为以前患者的检测结果、历史医医院不同的系统内,医护人员需登录不同的系统才能获取所需数据。而通过Streams,医护人员可以仅从这一个渠道直接获得全部数据,而且Streams可以通过算法分析在患者病情恶化时自动向医护人员发出警报,以便医护人员积极采取诊疗措施。
就目前公开披露的信息来看,RoyalFree与DeepMind共享患者医疗数据开发使用Streams所依赖的处理个人数据的合法性基础并非同意。根据当时适用的英国数据保护法以及欧盟通用数据保护条例(GDPR;当时正值英国脱欧,英国将GDPR的相关规定纳入了其数据保护法),Streams项目适用的合法性基础为:“保护患者的重大利益所必需”(GDPR第6(1)(d)条)或“履行法定职责”(GDPR第6(1)(e)条);以及就特殊种类个人数据(如患者健康数据)的处理而言,“医护人员进行医疗诊疗所必需”(GDPR第9(2)(h)条和第9(3)条)。
RoyalFree与DeepMind签订了《服务协议》以及相对完善的《信息处理协议》等法律文本,尤其是《信息处理协议》对DeepMind施加了诸多数据保护义务,主要包括以下内容:
DeepMind仅可根据RoyalFree的指示处理患者医疗数据;
没有RoyalFree的书面同意,DeepMind不得向境外提供数据;
在RoyalFree要求时,DeepMind应删除相关数据;
DeepMind应仅在必需时才向接受过培训并且负有保密义务的人员、合同方披露相关数据;
没有RoyalFree的同意,DeepMind不得委托次级处理者或向第三方披露相关数据;
DeepMind要采取广泛的安全措施保护数据安全,并在出现数据泄露时通知RoyalFree等。
基于这些规定,在Streams项目中,RoyalFree是患者医疗数据的控制者,其决定了数据的处理目的和处理方式,即仅能为Streams的开发使用目的对患者医疗数据进行处理;DeepMind是数据处理者,即仅代表RoyalFree并依其指示进行数据处理。而且,Streams使用的数据分析算法是来源于NHS的技术,DeepMind并未使用AI技术。此外,Streams还通过了英国医药监管部门审查并被批准注册为医疗器械。
尽管从法律角度,RoyalFree和DeepMind已很大程度上满足数据处理的法律要求,包括采取了适当的组织和技术措施(如包括设置数据保护负责人、制定数据保护制度、组织相关培训等)保护个人数据的安全等,然而,Streams项目因DeepMind的AI公司背景、牵涉美国科技巨头Google、涉及对大量不同来源的敏感的患者健康医疗数据的处理而引起公众的广泛质疑,进而招致ICO的全面审查。
年中,ICO完成了历时近一年的调查,其调查结论主要包括:
RoyalFree与DeepMind之间的协议内容不够充分;
RoyalFree在合作开始前未事先进行隐私影响评估;
以及RoyalFree未向患者进行充分告知等。
但ICO并未否定Streams项目,尤其没有质疑RoyalFree与DeepMind共享利用患者医疗数据的合法性基础、双方之间的数据处理法律关系等基础性问题。
基于ICO调查结果,RoyalFree进行了整改,委托律师事务所对Streams项目进行了审计,并获得了ICO的认可。但经历了这次调查,DeepMind亦曾坦陈其低估了NHS系统以及患者医疗数据处理的复杂性。
尽管整改获得了ICO的认可,但Google还是于年重组了其健康部门后陆续终止了与NHStrusts/foundationtrusts的合作并关停了Streams。
可见,即使是全球顶尖的科技公司,哪怕在一个以个人信息保护法律为主的相对较为单一且相对成熟的监管体系下,科技与健康医疗数据的互动还是涉及了盘根错节的考量因素与合规要求。
那么,在一个不仅仅存在个人信息保护法律监管,还存在网络数据安全保护法律体系的比较复杂且仍处于快速动态发展的监管环境中,科技与健康医疗数据的互动会产生怎样的火花呢?
二、我国对健康医疗数据共享利用的监管
1.个人信息保护方面的考量
(1)处理健康医疗数据的合法性基础
确定处理个人信息的合法性基础应是个人信息处理活动的起点,涉及敏感个人信息处理的健康医疗数据的共享利用更应如此。与GDPR类似,除取得同意外,我国《个保法》第13条还规定了多种处理个人信息的合法性基础2,包括:“为订立、履行合同所必需”、“人力资源管理所必需”、“为履行法定职责或法定义务所必需”、“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”、“为公共利益[...]在合理范围内处理个人信息”、“法律、行政法规的特殊规定”等。它们为个人信息处理者应对实践中复杂的个人信息处理需求与处理场景,提供了丰富合法性途径。
根据《个保法》和GDPR的有关规定,对于以同意作为处理个人信息/个人数据(为行文方面,以下统一表述为“个人信息”)的合法性基础的情形,个人信息主体有权随时撤回同意,同意一旦被撤回,尽管撤回同意前进行的个人信息处理活动的效力不受影响,但是后续个人信息处理活动应当停止,并且在没有其他法律依据就个人信息进行留存的情况下应当将其删除或作匿名化处理。有鉴于此,基于“同意”的处理实则十分被动。
医疗救助不仅仅是对某个人的救助,而是通过积累对人类的整体救助。医疗的宗旨救死扶伤,尊重和保障人的生命权、身体权和健康权,也不仅仅是对某个个人而言的。医疗及相关活动中处理个人信息所依赖的合法性基础并非仅局限于患者的同意,倘若如此,某些医疗活动将可能会陷入无法开展的窘境。而且,特定医疗场景(比如药物临床试验)下的“知情同意”可能并非仅仅是《个保法》的要求3,而是有行业监管、伦理规范等其他意义。
如同Streams项目依赖“保护患者的重大利益所必需”或“履行法定职责”作为处理个人数据的合法性基础,根据具体医疗活动亦可考虑视具体场景适用《个保法》项下“为订立、履行合同所必需”、“为履行法定职责或法定义务所必需”、“紧急情况下为保护自然人的生命健康和财产安全所必需”、“为公共利益[...]在合理范围内处理个人信息”等合法性基础。随着科技进步,“互联网+医疗健康”场景越来越多样化,健康医疗数据的共享利用可能涉及患者/受试者、医疗机构、政府部门、医药企业、科研机构、科技企业等多方主体的不同价值追求和权益的交织与平衡,特定场景下处理个人信息可依赖的合法性基础需依法就具体情况进行个案评估。
(2)处理个人信息的不同主体,及其之间的个人信息处理法律关系
与GDPR类似,根据《个保法》,处理个人信息的主体可分为个人信息的处理者(自主决定处理目的、处理方式的一方)、共同处理者(共同决定个人信息处理目的、处理方式的各方)、受个人信息处理者委托处理个人信息的受托人。进而,根据处理个人信息的多个主体在某一处理活动中的地位,个人信息处理者之间的法律关系可分为共同处理、委托处理、对外提供(提供方和接收方均系独立的个人信息处理者,各自决定各自处理个人信息的处理目的和处理方式)等。
需要注意的是,个人信息处理者之间的信息处理法律关系并不必然与其之间的商事合同关系相一致。比如,某一服务合同中的采购方与供应方之间的委托关系并不意味双方在《个保法》项下的个人信息处理关系也必然是委托处理关系。具体到健康医疗数据共享利用的某一特定场景,应当按照“实质重于形式”的标准,结合“谁决定收集个人信息、收集哪些人的信息、收集哪些信息”、“谁决定处理个人信息的目的和方式”、“谁决定处理个人信息的合法性基础”等因素进行综合判断。换言之,参与个人信息处理的各方主体亦不能通过协议等方式任意地分配乃至逃避其本应承担的法定义务和责任。
2.网络安全和数据安全方面的考量
国务院办公厅于年出台了《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》,此后,国家卫健委于年出台了《国家健康医疗大数据标准、安全和服务管理办法(试行)》(简称“《健康医疗大数据管理办法》”)以顺应新兴信息技术发展趋势,规范和推动健康医疗大数据融合共享、开放应用,但上述文件同时强调健康医疗大数据是国家重要基础性战略资源。因此,除个人信息保护方面的考量外,健康医疗数据共享利用还需考量网络安全和数据安全问题,尤其是参与共享利用各方的网络环境等级保护水平、关键信息基础设施认定和重要数据保护水平,以及网络安全审查必要性等。
年6月1日开始实施的《网络安全法》(“《网安法》”)提出关键信息基础设施以及重要数据的概念和总体保护要求。
年9月1日起实施的《数安法》提出国家将制定重要数据目录,加强对重要数据的保护。最新版的《信息安全技术重要数据识别规则(征求意见稿)》将“健康医疗资源数据”、“批量人口的诊疗与健康管理数据”等数据列为重要数据。重要数据识别指南/规则、重要数据目录以及医药领域的具体目录指日可待,可以预见健康医疗大数据因其“国家重要基础性战略资源”属性,行业监管在认定重要数据时极有可能将采取宽松的大范围认定方式。
此外,国家网信办于年11月14日还出台了《网络数据安全管理条例(征求意见稿)》,除一般性的有关重要数据保护的规定外(例如处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求等),还特别以专章规定了“重要数据安全”相关制度,其中包括共享、交易、委托处理、向境外提供重要数据应当进行安全评估、经主管部门同意等要求。相关要求一旦落地,无疑将对涉及重要数据处理的医疗健康数据共享利用项目产生实质性影响,值得密切
转载请注明:http://www.louisfeny.net/hlhpx/9696.html
