1.不当收集、过度利用甚至泄露个人信息现象屡见不鲜
近年来,大数据在医疗健康领域的不断应用和发展,为广大人民群众提供了优质、便捷的服务,也为医疗健康领域的科技发展带来动力。
健康医疗大数据带来新机遇,同样催生了众多以“采集数据”为名的可穿戴设备,例如智能手环、智能手表、智能眼镜、智能服装等,可以说是应有尽有。这些可穿戴设备不仅仅是一种硬件设备,而且可通过软件支持以及数据交互、云端交互,来实现强大的功能。
其实,理想化的健康医疗大数据是由可穿戴设备或其他终端,持续收集到人体健康数据,之后自动传入云端,进行数据分析与处理,云端数据库定期将结果发给专业人员,后者给出诊断或康复建议。由于这种模式可以使人们足不出户,就获得医疗健康管理服务,从而真正缩减了医疗服务的人、财、物等成本。
《“健康中国2030”规划纲要》中也明确指出,健康医疗大数据是国家重要的基础性战略资源,国家将积极促进大数据技术与健康医疗服务的深度融合与应用。然而,在实践中,因健康医疗大数据的应用造成的个人信息被不当收集、过度利用、甚至泄露的现象屡见不鲜。笔者认为,这不仅会导致公共信任危机,还可能阻碍健康医疗大数据发展进程,给公共卫生治理监管提出了极为迫切的个人隐私保护诉求。
2.隐私保护问题,掣肘我国健康医疗大数据纵深发展
面向国家战略、经济社会发展和人民生命健康等重大需求,结合物联网、人工智能、区块链、5G等新技术,推动大数据与医疗卫生事业融合发展,将对医学发展起到巨大的推动作用。
我国民法典在隐私权部分,对于侵害私密信息的行为作出了规定,即除法律另有规定或者经权利人明确同意,任何单位和个人不得处理自然人的私密信息,否则就构成对隐私权的侵害。在医疗健康大数据特别是个人敏感信息的收集、加工和使用过程中,个人信息与隐私权被侵犯的风险较为突出:
一是在采集原始数据中,存在未经同意秘密窃取、非法窃取或超范围窃取个人健康医疗信息等行为。
二是在收集了个人医疗健康信息后,“霸王式”“一揽子式”诱导强迫数据主体提供授权,或是非法提供出售给他人。
三是在数据加工过程中,未征得数据主体知情同意,就进行二次使用或数据流转,即使在获得授权的情况下,也不能保证使用数据范围的准确性。这些行为极大地降低了数据主体提供真实信息特别是个人隐私信息的意愿,进而影响到医学数据挖掘分析的有效性和真实性,对医疗健康产业数字化转型和医学大数据的整合利用造成极为消极的负面影响。
3.监管治理,应注重创新激励和个人隐私保护的平衡
大数据技术创新是一场革命性变革,个人隐私信息能否得到充分保护,直接影响到公共空间和私人空间的界限。因此,在对健康医疗大数据的监管治理模式上,需要探寻一条鼓励创新和保护个人隐私的允中之道。
笔者建议:治理原则上,在不违背民法典和近日公布的《个人信息保护法(草案)》立法宗旨的前提下,处理好个人信息合理利用和隐私保护之间的平衡关系。坚持自主原则,数据主体有权利决定个人数据被用到哪些地方、取得怎样的价值;坚持无害原则,在健康医疗大数据应用过程中,不能对数据主体造成损害;坚持知情同意原则,数据的收集、存储、使用、分析等行为应获得数据主体的知情同意,原则上应获得明示同意。治理规则上,坚持一般法与特别法协同、法律法规与部门规章呼应。基于医疗健康行业发展特点,出台健康医疗数据的行业法,如《健康医疗数据保护法》或《关于健康医疗个人敏感信息的保护指南》,对个人敏感信息保护制度加以细化:成立个人信息保护委员会;增设匿名加工制度,制定详细的匿名加工指南,明确匿名加工标准和方法、匿名加工准入资质、责任义务,并由个人信息保护委员会实施全程监管;创设匿名信息加工者国家认定制度,医疗信息仅提供给被国家认定的、具有安全处理数据资质的法人;通过书面告知、保障拒绝权利等方式维护数据主体权利等。治理手段上,在强化隐私保护技术对个人隐私保护效果支撑作用的同时,致力提升数据加工者合法合规使用数据的自觉意识,形成注重数据伦理安全的良性氛围;扩展行业协会发挥自律作用的空间,鼓励各行业协会积极参与数据保护行为规范的制定和执行,并能“自下而上”在行业自身客观需求的基础上形成自律机制,辅之以政府指导,实现政府适度监管与行业自律的有机结合;倡导公民形成正确的个人隐私观。