李忠民 王思慧 陳先來 劉 莉 安 瑩 左懿靜 景雅桐

（1.中南大學(xué)生命科學(xué)學(xué)院 長沙 410013； 2.中南大學(xué)大數(shù)據(jù)研究院 長沙 410083）

1 引言

在信息時代，我們可以足不出門而知天下事，各種各樣的信息與數(shù)據(jù)充斥著我們的世界。數(shù)據(jù)的共享使得各個行業(yè)能為人們提供更加精準(zhǔn)的個性化服務(wù)，大幅提高了工作的效率和可靠性。人類社會正由信息時代逐漸步入“大數(shù)據(jù)”時代。

隨著醫(yī)療行業(yè)信息化建設(shè)的不斷推進，醫(yī)學(xué)數(shù)據(jù)呈爆炸性增長，如何進一步推進醫(yī)學(xué)數(shù)據(jù)開放，深化共享合作是醫(yī)學(xué)大數(shù)據(jù)發(fā)展應(yīng)用必須突破的瓶頸。由于醫(yī)學(xué)數(shù)據(jù)具有特殊價值，其不僅關(guān)乎公民自身，更與社會、國家的利益息息相關(guān)[1-3]。在醫(yī)學(xué)數(shù)據(jù)的生產(chǎn)、存儲、提供和利用中，不合規(guī)行為層出不窮，利益糾紛案件數(shù)量不斷攀升[4-5]，醫(yī)學(xué)數(shù)據(jù)的安全治理成為了一個日益嚴(yán)峻的問題。開放是共享的前提，而安全是開放的基礎(chǔ)。近幾年，我國對醫(yī)學(xué)數(shù)據(jù)安全問題高度關(guān)注，推動并制定了一系列相關(guān)法律法規(guī)。本文立足國內(nèi)頒發(fā)的法律條文，從國家層面和地區(qū)層面進行分析，提出目前我國醫(yī)學(xué)數(shù)據(jù)治理中存在的問題及相關(guān)解決辦法，以期進一步釋放醫(yī)學(xué)大數(shù)據(jù)紅利。

2 國家層面法制建設(shè)現(xiàn)狀

醫(yī)學(xué)數(shù)據(jù)可被劃分為以下兩種：一是就診數(shù)據(jù)，即在醫(yī)療機構(gòu)就診過程中產(chǎn)生的各項數(shù)據(jù)，如生化檢驗報告、影像檢查結(jié)果等；二是個人生物數(shù)據(jù)，一般指通過第三方機構(gòu)或者設(shè)備產(chǎn)生的數(shù)據(jù)，如指紋、基因序列等[6]。國內(nèi)有關(guān)醫(yī)學(xué)數(shù)據(jù)安全的法律法規(guī)也是圍繞上述兩種醫(yī)學(xué)數(shù)據(jù)逐漸進行精細(xì)化管理。

2.1 制定整體戰(zhàn)略規(guī)劃，完善醫(yī)學(xué)數(shù)據(jù)法制建設(shè)

國家戰(zhàn)略上，2010 年十七屆五中全會通過的《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十二個五年規(guī)劃的建議》（以下簡稱《建議》）[7]首次提出健全衛(wèi)生行業(yè)覆蓋全行業(yè)的衛(wèi)生信息網(wǎng)絡(luò)，推動居民健康卡建設(shè)，加強信息化標(biāo)準(zhǔn)和信息安全體系建設(shè)。該方案是國家層面第一次在醫(yī)療衛(wèi)生行業(yè)提出信息安全這個概念，填補了我國針對醫(yī)院信息化建設(shè)中數(shù)據(jù)安全的研究空白。2011 年衛(wèi)生部發(fā)布《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》（以下簡稱《指導(dǎo)意見》）[8]，該《指導(dǎo)意見》在《建議》的基礎(chǔ)上推行了具體的執(zhí)行措施，醫(yī)療衛(wèi)生行業(yè)信息安全的監(jiān)管體系得以正式形成。在醫(yī)院信息化建設(shè)的過程中，《指導(dǎo)意見》為保護數(shù)據(jù)安全發(fā)揮了重要的作用。在其后較長的一段時間內(nèi)，我國針對醫(yī)學(xué)數(shù)據(jù)安全的法律法規(guī)沒有明顯的變化。

隨著大數(shù)據(jù)和人工智能在全球迅猛發(fā)展，我國政府將大數(shù)據(jù)發(fā)展作為國家戰(zhàn)略進行布局。2015 年，國務(wù)院發(fā)布《促進大數(shù)據(jù)行動綱要》[9]，提出完善法規(guī)制度和標(biāo)準(zhǔn)體系建設(shè)，科學(xué)規(guī)范利用大數(shù)據(jù)，切實保障數(shù)據(jù)安全的指導(dǎo)思想；構(gòu)建民生服務(wù)新體系，發(fā)展健康醫(yī)療、養(yǎng)老服務(wù)，培育產(chǎn)業(yè)發(fā)展新生態(tài)；建設(shè)醫(yī)療健康服務(wù)大數(shù)據(jù)，構(gòu)建電子健康檔案，形成規(guī)范、共享、互信的診療流程，加快民生服務(wù)普惠化；強調(diào)解決網(wǎng)絡(luò)安全問題，落實信息安全等級保護、風(fēng)險評估等制度，明確各環(huán)節(jié)的范圍邊界、責(zé)任主體；提升安全可信產(chǎn)品和服務(wù)，加強監(jiān)測、預(yù)警、控制和應(yīng)急能力。該文件指出我國“法律法規(guī)建設(shè)滯后”的問題，需要加快法規(guī)制度建設(shè)的步伐。2016 年，國務(wù)院辦公廳印發(fā)《關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》[10]，全面推動“互聯(lián)網(wǎng)+健康醫(yī)療”，共部署了14 項健康醫(yī)療大數(shù)據(jù)重點任務(wù)和重大工程，強化標(biāo)準(zhǔn)和安全體系建設(shè)，完善安全管理責(zé)任，提供安全有效的技術(shù)支撐；促進醫(yī)療平臺的分級開放、數(shù)據(jù)融合，建立臨床醫(yī)學(xué)數(shù)據(jù)示范中心，不斷完善應(yīng)用標(biāo)準(zhǔn)體系；深化健康醫(yī)療臨床和科研數(shù)據(jù)應(yīng)用，加強基因信息安全管理，明確信息使用權(quán)限，推進網(wǎng)絡(luò)可信體系建設(shè)，重視確保安全的原則。該文件是對《促進大數(shù)據(jù)發(fā)展行動綱要》的一個具體落實，極大地推進了醫(yī)學(xué)大數(shù)據(jù)安全保護。同年，國務(wù)院印發(fā)《“十三五”國家戰(zhàn)略性新興產(chǎn)業(yè)發(fā)展規(guī)劃》[11]，點明加快數(shù)據(jù)資源開放共享，強化大數(shù)據(jù)與網(wǎng)絡(luò)信息安全保障并推動人工智能在醫(yī)學(xué)領(lǐng)域的應(yīng)用，試點建立居民健康影像檔案。2016 年，工信部也發(fā)布了《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016—2020 年）》[12]，將醫(yī)療健康大數(shù)據(jù)研究與應(yīng)用設(shè)為重要任務(wù)。這是在“十二五”的基礎(chǔ)上，全力推動醫(yī)學(xué)大數(shù)據(jù)及相關(guān)產(chǎn)業(yè)的發(fā)展，推進其標(biāo)準(zhǔn)體系建設(shè)，保障醫(yī)學(xué)大數(shù)據(jù)的安全可靠性。2018 年，國務(wù)院辦公廳印發(fā)《科學(xué)數(shù)據(jù)管理辦法》[13]，明確了對科學(xué)數(shù)據(jù)的采集、匯交與存儲，共享與利用，保密與安全等相關(guān)規(guī)定。同年，互聯(lián)網(wǎng)醫(yī)院的發(fā)展得以推進，進一步開放了醫(yī)學(xué)數(shù)據(jù)的共享交流。

由上述文件發(fā)布的時間可以看到，“十二五”期間，隨著我國信息產(chǎn)業(yè)的飛速發(fā)展，醫(yī)療衛(wèi)生行業(yè)逐漸向信息化轉(zhuǎn)型，醫(yī)療衛(wèi)生領(lǐng)域的信息技術(shù)不斷革新，積累了豐富的醫(yī)學(xué)數(shù)據(jù)資源，為“十三五”時期我國醫(yī)學(xué)大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展奠定了堅實基礎(chǔ)。也是在這個背景下，我國根據(jù)各個時期的國情制定了不同的數(shù)據(jù)安全保護政策。

相較于西方發(fā)達國家2003 年已經(jīng)形成的較為完整的醫(yī)學(xué)數(shù)據(jù)隱私保護法，如：美國的《健康保險攜帶和責(zé)任法案》（Health Insurance Portability and Accountability Act,HIPAA），我國針對醫(yī)學(xué)數(shù)據(jù)的安全規(guī)范起步較晚，在2011 年才形成了可行的監(jiān)督機制。2015 年以后，隨著大數(shù)據(jù)戰(zhàn)略成為國家戰(zhàn)略，在醫(yī)學(xué)數(shù)據(jù)的安全治理上我國與國際上的差距明顯縮小，并在2018 年針對醫(yī)學(xué)大數(shù)據(jù)形成了具體的管理辦法。

2.2 就診數(shù)據(jù)建設(shè)情況分析

隨著對醫(yī)學(xué)數(shù)據(jù)安全治理的推進，我國相關(guān)的法律規(guī)范逐漸細(xì)化，從整體模糊性管理逐漸轉(zhuǎn)為按照醫(yī)學(xué)數(shù)據(jù)不同分類進行具體落實。針對就診數(shù)據(jù)，2014 年原國家衛(wèi)計委印發(fā)了《人口健康信息管理辦法（試行）》，規(guī)范人口健康信息的收集、管理和共享利用，保障信息安全，支撐衛(wèi)生計生事業(yè)科學(xué)發(fā)展。該辦法明確了人口健康信息的定義，對全員人口信息、電子健康檔案、電子病歷內(nèi)容進行了規(guī)定；對信息收集、信息管理、信息利用、信息安全與隱私保護進行規(guī)范闡述。2017 年原國家衛(wèi)計委和國家中醫(yī)藥管理局聯(lián)合發(fā)布的《電子病歷應(yīng)用管理規(guī)范（試行）》中規(guī)定：對電子病歷數(shù)據(jù)進行存儲保護，并提供數(shù)據(jù)使用的追蹤溯源手段[14]。這極大提高了就診數(shù)據(jù)的數(shù)據(jù)安全及可靠性，在保證患者隱私的同時，使醫(yī)院對就診數(shù)據(jù)的使用共享更具規(guī)范性。有關(guān)醫(yī)療就診數(shù)據(jù)的安全治理，除了針對電子病歷管理的專門條例外，在醫(yī)院、醫(yī)師和醫(yī)療事故管理的條例中也有相關(guān)規(guī)定，如《醫(yī)療機構(gòu)病歷管理規(guī)定（2013 年版）》第14 條規(guī)定：醫(yī)療機構(gòu)應(yīng)當(dāng)嚴(yán)格病歷管理，任何人不得隨意涂改病歷，嚴(yán)禁偽造、隱匿、銷毀、搶奪、竊取病歷。《中華人民共和國執(zhí)業(yè)醫(yī)師法》第23 條規(guī)定：醫(yī)師不得隱匿、偽造或者銷毀醫(yī)學(xué)文書及有關(guān)資料?！夺t(yī)療事故處理條例》第9 條規(guī)定：嚴(yán)禁涂改、偽造、隱匿、銷毀或者搶奪病歷資料。這些條例都對如何管理、使用和保存病歷做了嚴(yán)格說明，多方保護患者就診數(shù)據(jù)的安全。

2.3 個人生物數(shù)據(jù)建設(shè)情況分析

針對個人生物數(shù)據(jù)，由于第三方檢測機構(gòu)的介入，有效的監(jiān)管更加難以執(zhí)行。全國信息標(biāo)準(zhǔn)化技術(shù)委員會在這方面發(fā)揮了重要作用，它于2017 年發(fā)布《信息安全技術(shù) 個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》），并于2018 年5 月1 日起正式實施。該標(biāo)準(zhǔn)的發(fā)布使得《網(wǎng)絡(luò)安全法》有了具體的操作標(biāo)準(zhǔn)，填補了國內(nèi)個人信息安全保護實踐操作上的空白。該標(biāo)準(zhǔn)將個人生物識別信息、健康生理信息歸于個人敏感信息中，并對個人信息和個人敏感信息定義進行了完善，同時對個人信息存儲模塊進行了弱化處理，強化了敏感數(shù)據(jù)的加密或去標(biāo)識化、數(shù)據(jù)保存時長最小化等[15]。該標(biāo)準(zhǔn)在2018年10 月啟動了第一次修訂并于2019 年6 月發(fā)布征求意見稿[16]。本次修訂主要是針對在第一版規(guī)范中個人信息收集、使用原則方面存在的欠缺，以及第三方收集使用個人信息的明確監(jiān)管標(biāo)準(zhǔn)的補充。針對個人生物數(shù)據(jù)主要增加“不得強迫收集個人信息”的要求。2019 年10月，《個人信息安全規(guī)范》最新版征求意見稿對外發(fā)布。相比 6 月份的征求意見稿，新版征求意見稿新增一些規(guī)定，如手機應(yīng)用軟件App 應(yīng)提供簡便易操作的注銷功能，核驗身份時不得要求用戶提供超過注冊、使用時收集的個人信息，個人生物數(shù)據(jù)得到進一步的保護。2020 年3月，該規(guī)范發(fā)布2020 年新版本，相較于第一版和征求意見稿發(fā)布的版本，新版本對個人生物信息的收集、儲存及使用做出了更加嚴(yán)格的要求，明確規(guī)定第三方收集個人生物識別信息不僅需滿足在第一版中提及的“單獨告知”，同時還需“取得用戶明示同意”，這對第三方收集個人生物數(shù)據(jù)做出了更大的限制，進一步提高了用戶個人生物數(shù)據(jù)的安全性。同時，新版規(guī)范還明確了個人生物信息不共享，個人生物識別信息要與個人身份信息分開存儲等。2020 年新版本的《個人信息安全規(guī)范》對個人信息安全保護工作的落實操作有著重大意義，代表我國在個人生物數(shù)據(jù)安全治理上的一個重大突破[17]。

基因測序數(shù)據(jù)是個人生物數(shù)據(jù)中最難監(jiān)管的一塊，其特點在于科技含量高，不僅關(guān)乎個人安全，與國家安全也息息相關(guān)。2018 年，國內(nèi)幾家知名醫(yī)院與公司因未經(jīng)倫理審核便與國外機構(gòu)合作開展中國人的基因測序研究而受到處罰[18]，引起公眾的擔(dān)憂。基因數(shù)據(jù)的外泄極易引起針對個人或地區(qū)基因?qū)用娴钠缫暋?019 年6 月10 日，李克強總理簽署《中華人民共和國人類遺傳資源管理條例》，該條例于同年7 月1 日正式實施，明確了人類遺傳資源的采集、保藏、利用和對外提供的行為規(guī)范，服務(wù)和監(jiān)督以及相應(yīng)的法律責(zé)任。該條例的主要內(nèi)容是系統(tǒng)強化對人類遺傳資源的規(guī)范管理、鼓勵對人類遺傳資源的合理利用、積極提升人類遺傳資源政務(wù)的服務(wù)能力。主要工作包括加強監(jiān)管，對我國人類遺傳資料活動各環(huán)節(jié)進行監(jiān)督檢查，發(fā)現(xiàn)違反條例規(guī)定的行為，及時予以處理并向社會公布檢查、處理結(jié)果[19]。該條例的實施，填補了我國在遺傳資源安全保護方面的法律空白，通過有效的監(jiān)管，使得基因測序等遺傳資源數(shù)據(jù)能在保障數(shù)據(jù)安全的前提下開放共享。

由圖1 可以比較清楚地看到，我國針對醫(yī)學(xué)數(shù)據(jù)安全治理的法律法規(guī)建設(shè)在2014 年以前是比較遲緩的，僅有兩份綱領(lǐng)性文件，難以落到實處。而隨著大數(shù)據(jù)的興起，國家愈加重視醫(yī)療數(shù)據(jù)安全，并在2015 年將大數(shù)據(jù)戰(zhàn)略定為國家戰(zhàn)略，極大推動了我國醫(yī)學(xué)數(shù)據(jù)安全治理的法律法規(guī)建設(shè)進程。建設(shè)內(nèi)容的重點由電子健康檔案、電子病歷數(shù)據(jù)庫建設(shè)等方面逐漸轉(zhuǎn)向建立健全醫(yī)學(xué)數(shù)據(jù)開放、保護制度，加強對標(biāo)準(zhǔn)和安全體系的建設(shè)，明確安全管理責(zé)任，在應(yīng)用發(fā)展共享與安全之間平衡協(xié)調(diào)發(fā)展。同時，醫(yī)學(xué)數(shù)據(jù)安全治理也呈現(xiàn)逐漸細(xì)化管理的趨勢，由最初的建立衛(wèi)生行業(yè)信息安全等級，到電子病歷管理規(guī)范，再到個人生物數(shù)據(jù)安全，再到最后的遺傳資源保護。隨著醫(yī)學(xué)數(shù)據(jù)安全治理的法制建設(shè)不斷細(xì)化與明確，操作更具有可行性，醫(yī)學(xué)數(shù)據(jù)的安全性保障大大提高。

圖1 國家層面醫(yī)學(xué)數(shù)據(jù)安全治理法律建設(shè)進程

3 地區(qū)層面法制建設(shè)情況現(xiàn)狀

在地區(qū)層面，除個別地區(qū)會作為國家政策和法規(guī)的先導(dǎo)試驗區(qū)外，大多數(shù)地區(qū)都是緊隨國家步伐，以國家意志為指導(dǎo)，結(jié)合各省特點，制定適合本地區(qū)的相關(guān)法律法規(guī)。

由于各省市的經(jīng)濟發(fā)展不平衡，在醫(yī)學(xué)大數(shù)據(jù)安全治理的發(fā)展進程上有快有慢，但整體均呈現(xiàn)積極發(fā)展的態(tài)勢。其中以上海為代表的東部地區(qū)和以貴州為代表的西部地區(qū)最為典型。

3.1 東部地區(qū)代表——上海

上海是我國對外交流的一個極為重要的窗口，也是我國的經(jīng)濟中心，在醫(yī)學(xué)大數(shù)據(jù)安全治理上的規(guī)范辦法具有代表性。早在2006 年上海市就啟動了以跨醫(yī)院臨床信息共享為目標(biāo)的市級醫(yī)院臨床信息共享項目（即：醫(yī)聯(lián)工程），該項目在2008 年正式落地運行，使得全市范圍內(nèi)的醫(yī)療機構(gòu)得以共享數(shù)據(jù)，為建立居民全程式的健康服務(wù)奠定了基礎(chǔ)。該項目吸收了國外醫(yī)療信息系統(tǒng)的隱私保護經(jīng)驗，限定醫(yī)師只能在接診狀態(tài)下才能借閱患者的病歷資料，同時提供了對調(diào)閱患者病歷的追蹤功能，提高了患者就診數(shù)據(jù)的安全性[20]。2009 年，上海市下發(fā)《醫(yī)療機構(gòu)信息系統(tǒng)安全等級保護基本要求》，這是我國第一個針對醫(yī)院信息化進程中信息安全的具體保護辦法[21]。上海的醫(yī)院信息化及信息安全建設(shè)走在了全國的前列，對國家醫(yī)療行業(yè)的信息安全建設(shè)有著重要的推動作用，對國家于2011 年提出的《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》具有重要借鑒意義[22]。2013 年，上海市政府發(fā)布《上海市進一步深化公立醫(yī)院體制機制改革三年行動計劃（2013—2015 年）》，該行動計劃進一步強調(diào)了加快衛(wèi)生信息化建設(shè)，建設(shè)以電子病歷系統(tǒng)和電子健康檔案為核心的區(qū)域衛(wèi)生信息網(wǎng)，實現(xiàn)醫(yī)療衛(wèi)生機構(gòu)互聯(lián)互通、業(yè)務(wù)數(shù)據(jù)源頭采集、監(jiān)測數(shù)據(jù)自動生成，確保數(shù)據(jù)的客觀真實[23]。2014 年，上?；窘ǔ伞吧虾＝】翟破脚_”，包括數(shù)據(jù)資源管理、服務(wù)資源管理、應(yīng)用服務(wù)支撐、綜合管理及決策支持4 個子平臺和1 個知識庫，該平臺的建設(shè)標(biāo)志著上海市基本完成醫(yī)院信息化建設(shè)，逐漸向醫(yī)學(xué)大數(shù)據(jù)轉(zhuǎn)型。2018 年，上海市政府發(fā)布《關(guān)于推進本市健康服務(wù)業(yè)高質(zhì)量發(fā)展加快建設(shè)一流醫(yī)學(xué)中心城市的若干意見》。該意見提出要建立跨部門密切配合、統(tǒng)一歸口的健康相關(guān)數(shù)據(jù)共享機制，消除數(shù)據(jù)壁壘，探索社會化健康醫(yī)療數(shù)據(jù)信息互通機制；建立“分級授權(quán)、分類應(yīng)用、權(quán)責(zé)一致”的管理制度，加快健康醫(yī)療數(shù)據(jù)安全體系建設(shè)，建立數(shù)據(jù)安全管理責(zé)任制度，制定科學(xué)分類、風(fēng)險分級的信息安全審查制度和個人隱私保護制度；嚴(yán)格規(guī)范大數(shù)據(jù)開發(fā)、挖掘、應(yīng)用，穩(wěn)步推動健康大數(shù)據(jù)開放，發(fā)展健康大數(shù)據(jù)資源服務(wù)全產(chǎn)業(yè)鏈。該意見的發(fā)布是上海對醫(yī)學(xué)大數(shù)據(jù)的進一步探索，在保障醫(yī)學(xué)數(shù)據(jù)安全的前提下，積極尋求醫(yī)學(xué)大數(shù)據(jù)的開放共享，具有前瞻性[24]。

3.2 西部地區(qū)代表——貴州

貴州是我國西部地區(qū)大數(shù)據(jù)發(fā)展較好的省份。在2011 年和2012 年貴州省人民政府辦公廳分別發(fā)布《關(guān)于印發(fā)貴州省2011 年公立醫(yī)院改革試點工作方案的通知》[25]和《關(guān)于印發(fā)貴州省“十二五”期間深化醫(yī)藥衛(wèi)生體制改革規(guī)劃暨實施方案的通知》[26]。兩個通知均提到要加快和全面推進醫(yī)院信息化建設(shè)，逐步完善以電子病歷建設(shè)和醫(yī)院管理為重點的醫(yī)院信息化網(wǎng)絡(luò)，但都沒有提及醫(yī)學(xué)數(shù)據(jù)的安全保護。相較于上海2006 年就提出建設(shè)“醫(yī)聯(lián)工程”，2009 年就推出《醫(yī)療機構(gòu)信息系統(tǒng)安全等級保護基本要求》等醫(yī)學(xué)數(shù)據(jù)安全保護辦法，貴州明顯滯后。2014 年，貴州省人民政府印發(fā)《關(guān)于加快大數(shù)據(jù)產(chǎn)業(yè)發(fā)展應(yīng)用若干政策的意見》和《貴州省大數(shù)據(jù)產(chǎn)業(yè)發(fā)展應(yīng)用規(guī)劃綱要（2014—2020 年）》（以下簡稱《綱要》）[27]。這是貴州省對大數(shù)據(jù)建設(shè)的重要探索，明確指出了要建立集中統(tǒng)一的信息安全保障管理體制，由貴州省數(shù)據(jù)資源管理辦公室統(tǒng)籌信息安全保障體系建設(shè)，但是這兩份文件并沒有形成具體的大數(shù)據(jù)安全保護辦法，也沒有明確指出醫(yī)學(xué)大數(shù)據(jù)的安全保護。直到2016 年，貴州省人民政府辦公廳印發(fā)《貴州省應(yīng)急平臺體系數(shù)據(jù)管理暫行辦法》[28]，將數(shù)據(jù)分為靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)兩大類進行保護，其中動態(tài)數(shù)據(jù)包含了醫(yī)學(xué)診療數(shù)據(jù)。該辦法明確了對數(shù)據(jù)的采集、更新、應(yīng)用、存儲和備份、安全和保密的具體方法，相比2014 年發(fā)布的《綱要》更具可執(zhí)行性，但該辦法仍然沒有專門針對醫(yī)學(xué)數(shù)據(jù)進行保護，只是將其劃分為應(yīng)急平臺體系數(shù)據(jù)中的一部分。2017 年對于大數(shù)據(jù)在貴州的發(fā)展是至關(guān)重要的一年，2017 年2 月貴州省大數(shù)據(jù)發(fā)展管理局成立，標(biāo)志著貴州正式將大數(shù)據(jù)發(fā)展提升到全省發(fā)展中的重要位置[29]。同年，《關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的實施意見》發(fā)布，從加強標(biāo)準(zhǔn)規(guī)范體系建設(shè)、加強健康醫(yī)療數(shù)據(jù)安全保障、加強健康醫(yī)療信息化人才隊伍建設(shè)三個方面全面加速推進健康醫(yī)療大數(shù)據(jù)安全保障體系的建成。該意見是貴州第一份專門針對醫(yī)學(xué)大數(shù)據(jù)安全保護的條例，標(biāo)志著醫(yī)學(xué)大數(shù)據(jù)的安全治理在貴州步入正軌[30]。

地區(qū)層面有關(guān)醫(yī)學(xué)數(shù)據(jù)安全治理的法制建設(shè)雖不斷發(fā)展，但存在區(qū)域差異。由上文可以看出，以上海為代表的東部沿海城市的發(fā)展速度明顯優(yōu)于以貴州為代表的西部內(nèi)陸城市，最主要的原因是經(jīng)濟發(fā)展水平和信息化發(fā)展水平不一。東部地區(qū)城市信息化基礎(chǔ)設(shè)施完備，信息化程度高，在醫(yī)學(xué)大數(shù)據(jù)的整合上有著天然的優(yōu)勢，因此能更早推動醫(yī)學(xué)大數(shù)據(jù)的安全治理。其次，受國家政策影響，相當(dāng)一部分高新技術(shù)產(chǎn)業(yè)都集中于東部沿海地區(qū)，這也使得東部沿海地區(qū)在發(fā)展醫(yī)學(xué)大數(shù)據(jù)的安全治理上更加便捷。

4 存在的問題及改進方向

過去十年，尤其是2016 年以來，我國國家層面和地區(qū)層面為保障數(shù)據(jù)安全、釋放數(shù)據(jù)紅利出臺了一系列政策法規(guī)和標(biāo)準(zhǔn)指南，為醫(yī)學(xué)數(shù)據(jù)的安全治理提供了堅實的法理依據(jù)。在進一步完善醫(yī)學(xué)數(shù)據(jù)安全治理的法律法規(guī)建設(shè)中，仍然存在一些急需改進的問題。

4.1 醫(yī)學(xué)數(shù)據(jù)安全治理概念不清晰，需獨立定義醫(yī)學(xué)數(shù)據(jù)

我國已出臺的法律法規(guī)條文基本上都將醫(yī)學(xué)數(shù)據(jù)視為個人信息的一部分。如，在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會制定的相關(guān)標(biāo)準(zhǔn)中，個人信息是指以電子或其他方式記錄的能夠單獨或與其他信息結(jié)合識別自然人身份的各種信息。個人信息包括醫(yī)學(xué)數(shù)據(jù)，例如指紋、虹膜、生物特征識別數(shù)據(jù)等。進行醫(yī)學(xué)數(shù)據(jù)安全治理，必須獨立、清晰地在法律法規(guī)中對醫(yī)學(xué)數(shù)據(jù)的內(nèi)涵和外延進行界定，而不是籠統(tǒng)地包含在個人信息中。醫(yī)學(xué)數(shù)據(jù)的獨立定義，不僅能提升相關(guān)法律的針對性，同時也能推動專門的醫(yī)學(xué)數(shù)據(jù)安全治理部門的成立，這對醫(yī)學(xué)數(shù)據(jù)的采集、傳輸、存儲、共享、使用、銷毀等工作有極大的促進作用。

4.2 醫(yī)學(xué)數(shù)據(jù)安全保障機制不完善，需加強多方監(jiān)管責(zé)任

眾多個人就診數(shù)據(jù)和生物數(shù)據(jù)的集合，蘊含著巨大的商業(yè)價值。這些數(shù)據(jù)在采集、存儲、傳輸、交互、使用過程中會涉及多方機構(gòu)和多類人員，因此，醫(yī)學(xué)數(shù)據(jù)安全治理，需加強對所有涉及醫(yī)學(xué)數(shù)據(jù)的機構(gòu)和人員的監(jiān)管。醫(yī)療機構(gòu)、第三方檢測機構(gòu)、醫(yī)學(xué)數(shù)據(jù)平臺運維方、醫(yī)學(xué)數(shù)據(jù)采集設(shè)備提供商、醫(yī)學(xué)數(shù)據(jù)使用者等等，都是醫(yī)學(xué)數(shù)據(jù)安全監(jiān)管的對象，同時，他們也都負(fù)有保護醫(yī)學(xué)數(shù)據(jù)安全的責(zé)任。只有在數(shù)據(jù)安全有保障的情況下，才可能進行醫(yī)學(xué)數(shù)據(jù)的開放共享，實現(xiàn)數(shù)據(jù)紅利。

4.3 醫(yī)學(xué)數(shù)據(jù)安全技術(shù)方案較陳舊，需及時補充新興技術(shù)

我國現(xiàn)有的國家層面和地方層面的法律法規(guī)條文中，有關(guān)醫(yī)學(xué)數(shù)據(jù)安全治理的技術(shù)方案仍停留在采用安全可靠的產(chǎn)品和服務(wù)，做好數(shù)據(jù)分級分類、數(shù)據(jù)去標(biāo)識化、數(shù)據(jù)脫敏、數(shù)據(jù)備份、身份認(rèn)證、訪問授權(quán)、行為追溯等方面，以防止數(shù)據(jù)被攻擊、篡改和泄露。最近幾年，各國加大了數(shù)據(jù)安全技術(shù)的研發(fā)投入，大量新的成果涌現(xiàn)并被應(yīng)用于實踐中。在我國有關(guān)數(shù)據(jù)安全治理的法律條文中，應(yīng)及時補充這些新興技術(shù)，如采用區(qū)塊鏈技術(shù)[31]存儲數(shù)據(jù)，建立可信執(zhí)行環(huán)境[32]，利用聯(lián)邦學(xué)習(xí)、安全多方計算等方式對醫(yī)學(xué)數(shù)據(jù)進行分析挖掘。

4.4 醫(yī)學(xué)數(shù)據(jù)安全治理實施難到位，需制定專項法律法規(guī)

由于我國沒有醫(yī)學(xué)數(shù)據(jù)安全治理的專項法律法規(guī)，在實踐中，通常參照綜合性的各項指南、意見、條例、辦法執(zhí)行，而這些文件對于醫(yī)學(xué)數(shù)據(jù)安全治理只是進行了原則性規(guī)定，可操作性不強，難以執(zhí)行到位。而且，這些文件對于造成醫(yī)學(xué)數(shù)據(jù)安全事故的機構(gòu)和個人也缺乏相應(yīng)的法律問責(zé)。因此，我國迫切需要針對醫(yī)學(xué)行業(yè)特色，出臺醫(yī)學(xué)數(shù)據(jù)安全治理的專項法律，規(guī)定違法行為應(yīng)當(dāng)承擔(dān)的公法責(zé)任和私法責(zé)任，增強法律的強制約束性。

5 結(jié)語

隨著醫(yī)學(xué)數(shù)據(jù)泄露事件的不斷曝光，以及醫(yī)療機構(gòu)、科研人員、保險公司、衛(wèi)生行政主管部門等對醫(yī)學(xué)數(shù)據(jù)開放共享的迫切需求，我國醫(yī)學(xué)數(shù)據(jù)安全治理法制建設(shè)取得了快速發(fā)展。目前我國尚未建立完整的醫(yī)學(xué)數(shù)據(jù)安全治理法律體系，多數(shù)涉及醫(yī)學(xué)數(shù)據(jù)安全治理的內(nèi)容常散見于法律、行政法規(guī)以及司法解釋中。近些年來雖出臺了醫(yī)學(xué)數(shù)據(jù)安全治理的相關(guān)政策，但離建立一套完整成熟的體系還存在一定的距離。醫(yī)學(xué)數(shù)據(jù)安全治理是一個長期、系統(tǒng)、復(fù)雜的工程。我國的醫(yī)學(xué)數(shù)據(jù)安全治理法制建設(shè)之路以中央牽頭的指導(dǎo)性文件或法規(guī)為中心，各地區(qū)緊隨其后，制定符合地區(qū)實際情況的法規(guī)，更好地維護醫(yī)學(xué)數(shù)據(jù)安全。在保持我國現(xiàn)有特色的基礎(chǔ)上，可以借鑒美國《健康保險攜帶和責(zé)任法案》（Health Insurance Portability and Accountability Act，HIPAA），將法律和行業(yè)自律結(jié)合起來，比如醫(yī)療保險行業(yè)、大型醫(yī)院、醫(yī)療商業(yè)機構(gòu)等，使其更有針對性[33-34]。在未來的發(fā)展中，一套完整成熟的醫(yī)學(xué)數(shù)據(jù)安全治理法律體系可以為我國衛(wèi)生行業(yè)信息化發(fā)展提供完備的國家保障，從而釋放醫(yī)學(xué)大數(shù)據(jù)的龐大紅利，促進我國健康事業(yè)和國民經(jīng)濟發(fā)展。