作者 | 董宏伟,国家计算机网络与信息安全管理中心江苏分中心;
王 琪,东南大学;
2020年11月25日,欧盟委员会于布鲁塞尔通过了《欧洲数据治理法案》(Data Governance Act)的提案。《欧盟数据治理法案》是2020年《欧洲数据战略》(A European Strategy for Data)中宣布的一系列措施中的第一项,旨在“为欧洲共同数据空间的管理提出立法框架”。
本次《欧盟数据治理法案》是《欧洲数据战略》的第一步骤,旨在增加对数据中介的信任和加强整个欧盟的数据共享机制,增强数据可用性。
《欧盟数据治理法案》的主体内容是对三个数据共享制度的构架。第一个制度是公共部门数据再利用机制,旨在于一定条件下开放公共部门数据供经济主体利用;第二个制度是数据中介机构及通知制度,旨在增加对共享个人以及非个人数据的信任,降低与B2B和C2B数据共享相关的交易成本;第三个制度是数据利他主义制度,旨在提高欧盟数据共享度。除上述三个制度之外,该法案还对欧洲数据创新委员会(用以确保法案的贯彻执行,并在必要情况下提供咨询与建议)、主管机关的执法程序等内容加以明确。
《欧盟数据治理法案》的出台将创建汽车工业、支付服务提供商、智能计量信息、智能运输系统、环境信息、空间信息以及公共医疗卫生等领域的新型数据共享模式,为欧洲内部数据空间的构建与发展提供规范化路径。下文,笔者将尝试就《欧盟数据治理法案》对公共医疗卫生领域的影响进行解读,并分析该法案在5G时代下给予我国健康数据治理的相关启示。
一、解读:充分共享的欧洲卫生数据空间
一《欧盟数据治理法案》有关卫生数据的规定
《欧盟数据治理法案》所提出的是一套普适于各个行业的数据治理方案,并未就医疗卫生领域的数据治理做出专章规定。然而,与法案一同提交的解释性备忘录中却多次以“卫生领域”为例,解释法案的立法背景及具体条款。法案本身也在公共部门数据再利用机制一章中提及“卫生数据”。在第二章第5条,法案明确列举了13项“再使用条件”,其中第11项允许各国在向第三国转让具有高度敏感性的公共卫生数据时附加条件,如转让需在安全的环境中进行、限制向第三国传输数据等。当然,在这种限制应当具有必要性、相称性,并且无歧视。[1]《欧盟数据治理法案》的上位文件《欧洲数据战略》对于医疗卫生领域的数据治理也多有提及。例如在论及数据对经济社会的重要性时,《欧洲数据战略》以医疗为例:“个性化医疗可以让医生基于数据进行决策从而更好地满足患者需求。这将有可能在正确的时间根据正确的人的需要制定正确的治疗策略,确定疾病的易感性和提供及时地针对性的预防。”
可见,公共卫生领域是立法者所倡想的《欧盟数据治理法案》的典型适用领域,该法案将大力推动欧盟于2011年就已提出的欧洲卫生数据共享空间的建立。[2]根据相关立法计划可知,欧盟预计于2021年第四季度提出一项关于欧洲医疗数据的立法提案[3],作为《欧盟数据治理法案》在医疗数据领域的具体细则。
二突出共享:法案的进步之处
如上所述《欧盟数据治理法案》由三项制度构成。这三项制度都有助于医疗卫生领域的数据共享,助力欧洲卫生数据共享空间的构建。
公共部门数据再利用机制方面,公共数据库中的某些类别的卫生数据(如商业机密数据、受保密限制的数据、受第三方知识产权保护的数据,无法获取的商业秘密和个人数据等)往往难以流通,甚至无法用于研究或创新活动。数据的本质是信息,信息的价值在交换中得以体现。公共部门投入大量成本获取却不使用上述数据,由是造成资源浪费。为此,《欧盟数据治理法案》规定了公共部门数据再利用机制。毫无疑问的是,这将扩充医疗卫生数据的来源。
如果说公共部门数据再利用机制旨在建立更为开放的G2B数据共享模式,那么数据中介机构及其通知义务制度和数据利他主义制度则将重点放在了B2B数据共享的推广上。在医疗卫生数据领域,数据中介机构将促进卫生数据规模化、产业化、有序化地被收集、储存、转运和使用。同时,数据中介机构的通知义务和中立性特点将有效加强公民和相关组织对其所持有卫生数据的控制力,从而增强数据共享信心,形成数据共享良性循环。数据利他主义制度的作用与数据中介机构及其通知义务制度类似。法案将制定数据利他主义同意书,降低同意成本,促进卫生数据的可移植性,推动欧洲卫生数据空间的构建。
三法益平衡:法案的待解之处
概览《欧盟数据治理法案》,可以发现该法案的主要目的是提高数据流通共享,打造欧盟数据单一市场。围绕该目的,法案进行了制度架构。然而,该法案也存在薄弱之处。
例如,如何在数据共享与保障既有权利人的合法权益之间达成平衡是值得思考的问题。这一矛盾在公共部门数据再利用机制下格外突出。尽管法案强调采取如完全匿名处理、在安全的处理环境中使用等技术措施保护原权利人的合法权利,但明令禁止数据持有者和数据再使用者之间的排他性协议以及其他做法或安排[4]明显构成限制。换一个角度,法案提到:“公共部门机构在相关时应根据数据主体的同意或法人通过适当技术手段再使用与他们有关的数据的许可,促进数据的再使用。在这方面,公共部门机构应在可行的情况下,通过建立允许转交再使用者同意请求的技术机制,支持潜在的再使用者寻求这种同意。”由此而言,数据持有人的同意是公共部门数据再利用的重要前提条件。如此一来,公共部门将充当类似于数据中介机构的角色,那么本机制的独特性何在,公共部门数据再利用的可执行性是否大打折扣?除此之外,在不设立任何激励措施的情况下,如何确保数据利他主义制度的贯彻执行也需相关有权机关于后续立法中进一步明确。
二、反思:5G时代下我国卫生数据治理现状
一5G赋能:5G与医疗卫生行业
健康医疗大数据是指与健康医疗相关,满足大数据基本特征的数据集合,是国家重要的基础性战略资源,正快速发展为新一代信息技术和新型健康医疗服务业态。[5]欧盟于2011年提出建立欧洲卫生数据空间的相关指令,旨在整合区域卫生数据,释放数据发展动能。我国在此方面也行动较早。从2006年开始,我国开始建立区域卫生信息平台,整合区域范围内医院,基层卫生机构,公共卫生各类数据,形成以个人为中心的电子健康档案库。[6]
2019年6月,工信部向中国移动等四家企业颁发5G牌照,开启我国“5G商用元年”,5G赋能千行百业成为5G时代的响亮口号。医疗行业一直被认为是5G时代大发展的行业之一。依托于以大带宽、高可靠、低时延及大连接为关键技术指标的5G网络,个性化医疗、远程诊断、远程治疗、突发事件指挥等技术成为可能。而这一切都以一个体量庞大、读取迅速地医疗卫生数据信息库为基础。医疗卫生数据也是5G助力医疗行业的关键发力点之一。
二成就:我国卫生数据建设成就
我国在医疗卫生数据建设方面成果显著。10月25日,中共中央、国务院印发了《“健康中国2030”规划纲要》。《纲要》明确指出要推进将康医疗大数据应用,加强健康医疗大数据应用体系建设,推进基于区域人口健康信息平台的医疗健康大数据开放共享、深度挖掘和广泛应用。消除数据壁垒,建立跨部门跨领域密切配合、统一归口的健康医疗数据共享机制,实现公共卫生、计划生育、医疗服务、医疗保障、药品供应、综合管理等应用信息系统数据采集、集成共享和业务协同。[7]
近年来,卫健委在全国建立了国家数据中心、区域数据中心和应用发展中心,与11个省份签订了协议。在全国建成900多家互联网医院,2200多家三级医院实现院内信息共享,超过7000家二级医院提供线上服务。前不久,还表彰了50家先进单位,助力应用创新,形成上下左右整体联动态势。[8]尤其是本次新冠疫情当中,医疗卫生大数据技术在病毒溯源、疫情防控等方面发挥关键性作用。
5G时代下,5G网络将会承载大量的物联网数据,为海量数据的产生、储存、运算提供可能性。可想而见的是,我国的医疗卫生数据将在规模上和质量上迎来新的飞跃。
三不足:我国卫生数据治理缺陷
然而,尽管我国在卫生数据建设上取得显著成就,但在对其治理上,也遇到了许多问题。这些问题中,有的与欧盟类似,有的则具有中国特色。
首先,卫生数据共享程度与利用程度不足。在第五届中国医院临床专科建设与发展论坛上,HIMSS副总裁兼大中华区总监、JCI首席顾问兼大中华区咨询主任刘继兰指出:“中国电子病历的发展速度很可能会超过美国,当务之急是实现信息和数据的互联互通,以及在使用中医务人员的获得感。”[9]武汉大学人民医院副院长万军在接受采访时说道:“我们医院每天的数据量应该超过深交所。”他认为,医疗行业的数据与AI有高度的契合,目前这些数据还在沉睡,正在被唤醒,有待进一步挖掘。[10]可见,卫生数据只有在互联互通、充分共享的情况下才能释放发展动能,助力中国卫生事业进步。然而在这一步上,我国还有很大的进步空间。
其次,卫生数据与5G技术的结合不足。目前,通信行业对5G 的研究热情高涨,集中资源优先发展 5G 通讯技术,但是医疗、教育、制造业等领域并没有同通信行业一样全力投入到 5G 技术的应用实现与发展中。[11]
再次,医疗数据产权不明确。根据《欧盟数据治理法案》可知,欧盟明确区分数据持有人与数据使用人等概念,有着较为明确的数据主体体系。我国在这方面却尚未明确,这会给后续医疗卫生数据的共享、利用施加障碍,带来司法纠纷。
最后,数据隐私保护有待进一步完善。随着互联网与医疗的结合,世界各国医疗数据泄露的事件屡见不鲜,我国公民也深受医疗卫生数据泄露的困扰。尽管《关于促进和规范健康医疗大数据应用发展的指导意见》明确指出加强健康医疗数据安全保障。国家卫生健康委也发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》,但成效甚微。
三、启示:保卫数据安全,促进数据共享
结合《欧盟数据治理法案》的相关内容以及我国医疗卫生数据治理现状的分析,笔者从公民、企业、政府三个层面提出以下建议。
一公民层面:提高维权意识,建立数据信任
公民应当提高维权意识,坚决抵制非法获取、转移个人卫生数据的行为,运用法律武器保卫自身合法权益。与此同时,也无需过于紧张,变为惊弓之鸟。公民应当及时关注国家在个人信息方面的相关政策动向,建立数据信任,在合理的情况下允许他人基于公共利益使用自身数据;坚信国家的治理能力,坚信自己作为数据用户提供数据的成本将被更广泛地获取和使用数据所产生的价值以及新服务的市场所抵消。
二行业层面:加快5G融合,促进数据共享
医疗卫生行业应当加快行业与5G的融合,积极利用5G技术提高数据收集、储存、转移、分析的能力。其次,行业内各医疗卫生机构应当积极主动共享数据,在数据的互联互通中,提高对我国医疗卫生数据的利用效率。再次,各医疗卫生机构应当尊重公民隐私,建立用户的数据信任,在以合理的方式用户征得同意的基础之上为公共利益而使用用户数据。最后,医疗卫生行业可以发展行业内医疗卫生数据中介机构,促进我国医疗卫生数据规模化、体系化的手机、储存、转移、共享与使用。
三政府层面:重视数据安全,营造共享环境
5G时代下,数据已经成为经济发展的命脉。国家与政府应当把握时代机遇,大力发展5G技术,促使5G技术赋能千行百业,带来发展新动能。在医疗卫生数据领域,国家与政府应当坚持以人为本、创新驱动,有效保护信息安全与个人隐私;应当坚持规范有序、安全可控,建立健全医疗卫生数据开放与保护等相关制度,维持行业平稳业态;应当坚持开放融合、共建共享,鼓励公民、企业及其他组织基于社会公益而分项数据,释放数据红利,促进我国医疗卫生事业的蓬勃发展。同时,国家与政府应当坚持改革开放,及时学习借鉴域外经验(如欧盟的数据治理经验),参与区域数据治理建设(如亚太经合组织隐私框架),位我国医疗卫生数据事业的光明未来努力奋斗。
数据安全专题回顾
对《数据安全法》的理解和认识之 ( 一 ) | 立法思路
对《数据安全法》的理解和认识之 ( 二 ) | 数据分级分类
对《数据安全法》的理解和认识之 ( 三 ) | 中国版的封阻法令
对《数据安全法》的理解和认识之 ( 四 ) | 重要数据如何保护
转载请注明来源:网络安全应急技术国家工程实验室
本文始发于微信公众号(网络安全应急技术国家工程实验室):数据安全之 ( 五 ) | 5G时代下《欧盟数据治理法案》的解读与启示:卫生数据篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论