劉惠明,潘珺瑜

(河海大學(xué)法學(xué)院,江蘇 南京 210024)

隨著科學(xué)技術(shù)的不斷發(fā)展,醫(yī)療領(lǐng)域越來越智慧化,醫(yī)療數(shù)據(jù)也呈現(xiàn)井噴式增長(zhǎng)的趨勢(shì),當(dāng)前大部分機(jī)構(gòu)采用的都是集中式的數(shù)據(jù)共享方式,通過集中數(shù)據(jù)源來實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的共享[1]。但實(shí)踐表明,傳統(tǒng)集中式的數(shù)據(jù)共享方法并不能很好地適應(yīng)當(dāng)前復(fù)雜的醫(yī)療數(shù)據(jù)環(huán)境,由于沒有統(tǒng)一的方式與標(biāo)準(zhǔn),容易出現(xiàn)信息孤島化的現(xiàn)象,使得共享的目的難以實(shí)現(xiàn)。在信息化程度加深的當(dāng)下,公民個(gè)人也更注重個(gè)人電子信息的保護(hù),而傳統(tǒng)的集中式存儲(chǔ)方式容易導(dǎo)致數(shù)據(jù)丟失或者被篡改,并不能保證醫(yī)療數(shù)據(jù)的安全可靠。一方面,數(shù)據(jù)所有者希望能夠控制他們的數(shù)據(jù)以及隱私;另一方面,數(shù)據(jù)消費(fèi)者要求有方法來了解何時(shí)、如何以及誰產(chǎn)生了數(shù)據(jù)[2]。因此,需要引入基于區(qū)塊鏈技術(shù)和代理再加密的去中心化的數(shù)據(jù)治理框架。與傳統(tǒng)的數(shù)據(jù)儲(chǔ)存、傳遞方式相比,區(qū)塊鏈技術(shù)的去中心化以及不易被篡改的特征更符合醫(yī)療領(lǐng)域?qū)τ跀?shù)據(jù)存儲(chǔ)與傳遞的要求。但區(qū)塊鏈技術(shù)在運(yùn)用的過程中,現(xiàn)有的法律制度并不能很好地規(guī)制區(qū)塊鏈技術(shù)。本研究借助學(xué)校各類電子資源,包括中國(guó)知網(wǎng)以及ISI、Web of Science(SCI)等數(shù)據(jù)庫,以“醫(yī)療區(qū)塊鏈”“法律規(guī)制”“數(shù)據(jù)保護(hù)官”“監(jiān)管沙盒”等為關(guān)鍵詞進(jìn)行搜索,了解區(qū)塊鏈的結(jié)構(gòu)以及在醫(yī)療領(lǐng)域的實(shí)際運(yùn)用,了解現(xiàn)階段法律規(guī)定的滯后之處,從國(guó)內(nèi)外現(xiàn)有的解決方式中結(jié)合醫(yī)療領(lǐng)域的實(shí)際情況給出可行的法律規(guī)制途徑。并通過對(duì)現(xiàn)有法律規(guī)范進(jìn)行梳理,找出醫(yī)療區(qū)塊鏈技術(shù)在運(yùn)用過程中存在的法律規(guī)制缺陷,結(jié)合我國(guó)現(xiàn)有的立法模式以及英國(guó)在數(shù)據(jù)保護(hù)層面的法律經(jīng)驗(yàn),提出了針對(duì)醫(yī)療區(qū)塊鏈技術(shù)的法律規(guī)制途徑。

1 區(qū)塊鏈技術(shù)在醫(yī)療領(lǐng)域的運(yùn)用

1.1 區(qū)塊鏈結(jié)構(gòu)

區(qū)塊鏈技術(shù)運(yùn)用了密碼學(xué)中的哈希算法,即將任意長(zhǎng)度的字符串轉(zhuǎn)換成固定長(zhǎng)度的輸出,此輸出值被稱為哈希值。在區(qū)塊鏈中通常不保存原始數(shù)據(jù),而是保存該數(shù)據(jù)的哈希值。除了哈希算法,區(qū)塊鏈技術(shù)還利用了非對(duì)稱加密技術(shù),該技術(shù)需要密鑰的公鑰和私鑰成對(duì)出現(xiàn)。公鑰公開、私鑰保密,區(qū)塊鏈上公鑰加密的信息只有對(duì)應(yīng)的私鑰才能解密[3]。這種技術(shù)允許存儲(chǔ)在區(qū)塊鏈節(jié)點(diǎn)中的記錄和數(shù)據(jù)是不可破壞的,并允許來源跟蹤它,保持源信息的隱藏[4]。區(qū)塊長(zhǎng)鏈中的每一個(gè)區(qū)塊都由區(qū)塊頭和區(qū)塊交易記錄組成,每個(gè)區(qū)塊的區(qū)塊頭都是對(duì)上一區(qū)塊的區(qū)塊頭的區(qū)塊交易記錄計(jì)算哈希值而得到的。通過每個(gè)區(qū)塊存儲(chǔ)上一區(qū)塊的哈希值,將所有區(qū)塊按順序連接起來即可得到區(qū)塊鏈,具體如圖1所示。因?yàn)閰^(qū)塊鏈長(zhǎng)鏈?zhǔn)降慕Y(jié)構(gòu)讓其具有不可篡改的特性,對(duì)區(qū)塊鏈中任意一個(gè)區(qū)塊信息的修改,不僅需要修改該區(qū)塊中的交易記錄,還需要修改下一個(gè)區(qū)塊中區(qū)塊頭的哈希值。而上一區(qū)塊中區(qū)塊頭哈希值的改變必然導(dǎo)致下一區(qū)塊中哈希值的變化,故對(duì)任一區(qū)塊交易記錄的篡改,需要修改從該區(qū)塊到最后一個(gè)區(qū)塊所有的信息,這個(gè)工程的工作量巨大,且很難不被發(fā)現(xiàn)。

圖1 區(qū)塊鏈結(jié)構(gòu)

區(qū)塊鏈還具有“去中心化”的特征,其本質(zhì)是建立分布式群體共管結(jié)構(gòu)以及防止大規(guī)模數(shù)據(jù)擁塞的流通渠道,確保用戶可以平等并且便捷地加入?yún)^(qū)塊鏈鏈條之中[5]。要完成這一點(diǎn)運(yùn)用到了區(qū)塊鏈的“分布式賬本”“非對(duì)稱加密”“共識(shí)機(jī)制”“智能合約”技術(shù):分布式賬本是一種在網(wǎng)絡(luò)成員之間共享、復(fù)制和同步的數(shù)據(jù)庫;共識(shí)機(jī)制是指網(wǎng)絡(luò)中的所有節(jié)點(diǎn)間如何達(dá)成共識(shí)的認(rèn)證原則;智能合約是一種執(zhí)行合同的計(jì)算機(jī)協(xié)議,允許在沒有第三方的情況下進(jìn)行可追蹤的可信交易[6]。

1.2 區(qū)塊鏈技術(shù)在醫(yī)療領(lǐng)域的運(yùn)用

在醫(yī)療領(lǐng)域應(yīng)用區(qū)塊鏈技術(shù)是醫(yī)療領(lǐng)域發(fā)展的一個(gè)趨勢(shì),區(qū)塊鏈技術(shù)也將重塑醫(yī)療行業(yè)信息化的未來。區(qū)塊鏈技術(shù)不僅可以實(shí)現(xiàn)電子醫(yī)療病歷的共享,而且在藥品溯源、醫(yī)聯(lián)體等多個(gè)醫(yī)療領(lǐng)域都可以運(yùn)用該技術(shù)。區(qū)塊鏈技術(shù)在醫(yī)療行業(yè)的具體運(yùn)用如圖2所示。

圖2 醫(yī)療區(qū)塊鏈技術(shù)

1.2.1 電子病歷存儲(chǔ)與共享

區(qū)塊鏈技術(shù)在電子病歷中的應(yīng)用是醫(yī)療區(qū)塊鏈技術(shù)運(yùn)用的重點(diǎn)。2019年9月四川省委建委發(fā)布《關(guān)于推進(jìn)智慧醫(yī)療融合發(fā)展的指導(dǎo)意見》[7],該《意見》指出要建立基于區(qū)塊鏈的電子病歷系統(tǒng)以提升電子病歷共享的安全性以及及時(shí)性。通過區(qū)塊鏈技術(shù),醫(yī)院可以將患者的醫(yī)療信息保存在區(qū)塊鏈上,再利用非對(duì)稱加密技術(shù),醫(yī)生或者其他機(jī)構(gòu)可以通過公鑰訪問區(qū)塊鏈查看患者的醫(yī)療行為,而患者個(gè)人可以通過私鑰查看自己的醫(yī)療信息[8]。2019年,上海仁濟(jì)醫(yī)院通過區(qū)塊鏈技術(shù)初步實(shí)現(xiàn)異地電子病歷的共享,同年上海市人民醫(yī)院與安徽省立醫(yī)院共建區(qū)塊鏈電子病歷[9]。2021年,浙江大學(xué)醫(yī)學(xué)院附屬邵逸夫醫(yī)院正式上線了區(qū)塊鏈醫(yī)療應(yīng)用[10]?？梢哉f,基于區(qū)塊鏈的電子病歷研究和實(shí)踐應(yīng)用創(chuàng)新非?；钴S。

1.2.2 藥品溯源與防偽

傳統(tǒng)藥品在生產(chǎn)以及流通過程中,通常會(huì)存在數(shù)據(jù)被篡改的情況,這是因?yàn)閭鹘y(tǒng)數(shù)據(jù)是集中存儲(chǔ)于中心數(shù)據(jù)庫,數(shù)據(jù)在上傳以及共享的過程中均有被篡改的風(fēng)險(xiǎn)[11]。利用區(qū)塊鏈技術(shù)的可追溯性以及不可篡改性,構(gòu)建藥品溯源系統(tǒng),將藥品的來源出處、流轉(zhuǎn)歷史記錄、歸屬地都會(huì)被忠實(shí)地記錄在鏈,全程追蹤藥品信息,一旦出現(xiàn)違法操作都將有源可溯[12]。

1.2.3 醫(yī)保支付結(jié)算與監(jiān)督

醫(yī)療保險(xiǎn)種類繁多、報(bào)銷環(huán)節(jié)復(fù)雜致使醫(yī)保費(fèi)用清算時(shí)間過長(zhǎng),可借助區(qū)塊鏈智能合約技術(shù)完成醫(yī)保費(fèi)用自動(dòng)清算[13]。再將整個(gè)醫(yī)保支付結(jié)算過程關(guān)鍵信息上鏈,包括參保人身份信息、交易信息、結(jié)算信息以及清算信息等,醫(yī)保管理部門對(duì)整個(gè)過程進(jìn)行監(jiān)管,確保數(shù)據(jù)信息的可追溯性以及安全性,并且支持后期安全審計(jì)工作和司法存證[14]。

區(qū)塊鏈技術(shù)在醫(yī)療領(lǐng)域得到了迅速發(fā)展,但也存在一些問題。例如,與此相關(guān)的市場(chǎng)監(jiān)督以及政策監(jiān)督都還比較落后,缺乏頂層設(shè)計(jì);密鑰的管理存在安全隱患,如果密鑰丟失,用戶也將無法訪問區(qū)塊鏈。

2 醫(yī)療區(qū)塊鏈技術(shù)運(yùn)用的法律挑戰(zhàn)

醫(yī)療區(qū)塊鏈技術(shù)以其去中心化、不可篡改性、匿名性為醫(yī)療領(lǐng)域的信息互通、數(shù)據(jù)傳遞等提供了新的可能,但基于法律規(guī)定的滯后性,區(qū)塊鏈技術(shù)適用現(xiàn)行法律法規(guī)時(shí)往往存在沖突。

2.1 醫(yī)療區(qū)塊鏈技術(shù)運(yùn)用是否適用《個(gè)人信息保護(hù)法》存在爭(zhēng)議

我國(guó)現(xiàn)行《個(gè)人信息保護(hù)法》于2021年11月開始施行,為我國(guó)個(gè)人信息保護(hù)提供了法律依據(jù),但醫(yī)療區(qū)塊鏈技術(shù)的運(yùn)用是否適用個(gè)保法學(xué)界尚存在爭(zhēng)議?！秱€(gè)人信息保護(hù)法》規(guī)定個(gè)人信息是可識(shí)別的信息,不包括匿名化后的信息。但醫(yī)療區(qū)塊鏈中并不保存原始數(shù)據(jù),而只是保存該數(shù)據(jù)的哈希值,每一哈希值都是不固定的字符串,故就該字符串是否屬于法律所保護(hù)的可識(shí)別的個(gè)人信息的問題,學(xué)者之間的觀點(diǎn)也存在巨大分歧,法律也并未對(duì)此進(jìn)行規(guī)定。一方面,有學(xué)者認(rèn)為該字符串無法進(jìn)行逆向工程,不具有可追溯性,故而認(rèn)為其具有匿名性不屬于個(gè)人信息[15]。另一方面,有學(xué)者認(rèn)為雖然該字符串并不能進(jìn)行逆向工程,但數(shù)據(jù)信息與數(shù)據(jù)信息主體之間仍然存在固有聯(lián)系,可以通過“容易比照”或“暴力攻擊”來識(shí)別和追溯原始信息主體,所以認(rèn)為該字符串屬于個(gè)人信息[16]。

2.2 醫(yī)療區(qū)塊鏈技術(shù)帶來的監(jiān)管問題

2.2.1 監(jiān)管主體不具有針對(duì)性

《個(gè)人信息保護(hù)法》第五十八條規(guī)定提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的超大型互聯(lián)網(wǎng)平臺(tái)應(yīng)當(dāng)按照法律規(guī)定建立由外部成員組成的監(jiān)管機(jī)構(gòu)監(jiān)督個(gè)人信息保護(hù)情況。但是根據(jù)《個(gè)人信息保護(hù)法》以及互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南,運(yùn)用醫(yī)療區(qū)塊鏈技術(shù)的病患、醫(yī)療機(jī)構(gòu)以及衛(wèi)生監(jiān)管部門等都不符合超大型互聯(lián)網(wǎng)平臺(tái)的構(gòu)成條件,因此其監(jiān)管機(jī)構(gòu)只能是普通的個(gè)人信息處理監(jiān)管機(jī)構(gòu)即國(guó)家網(wǎng)信部門,而不能是專門的監(jiān)管主體。但是醫(yī)療數(shù)據(jù)運(yùn)用到不同的應(yīng)用場(chǎng)景,對(duì)數(shù)據(jù)質(zhì)量、安全的要求也不盡相同,國(guó)家網(wǎng)信部門不具備醫(yī)療的專業(yè)知識(shí),無法就不同應(yīng)用場(chǎng)景的醫(yī)療數(shù)據(jù)作出具有針對(duì)性的監(jiān)管。

2.2.2 缺乏監(jiān)管依據(jù)和義務(wù)主體

國(guó)家網(wǎng)信部門在監(jiān)管醫(yī)療區(qū)塊鏈技術(shù)的適用時(shí)不能超出《個(gè)人信息保護(hù)法》一般性規(guī)范,但醫(yī)療區(qū)塊鏈技術(shù)在適用《個(gè)人信息保護(hù)法》時(shí)存在內(nèi)源性沖突。

我國(guó)現(xiàn)行的《個(gè)人信息保護(hù)法》的本質(zhì)依舊是中心化的數(shù)據(jù)管理模式,采用的是讓特定的義務(wù)實(shí)體承擔(dān)法律責(zé)任的方式來進(jìn)行法律規(guī)制。但醫(yī)療區(qū)塊鏈本質(zhì)是群體性共管結(jié)構(gòu),目的是讓各醫(yī)療機(jī)構(gòu)等通過醫(yī)療區(qū)塊鏈來實(shí)現(xiàn)信息互通。鏈上主體繁雜,且對(duì)于區(qū)塊鏈技術(shù)中義務(wù)主體的認(rèn)定,截至目前仍未找到行之有效的解決方法,想要通過讓特定義務(wù)主體承擔(dān)法律責(zé)任的監(jiān)管方式難以得到有效落實(shí)。且就算找到特定的義務(wù)主體,但因?yàn)橥ㄟ^網(wǎng)絡(luò)即可加入?yún)^(qū)塊鏈,隨之而來管轄問題,也很容易造成司法資源的浪費(fèi)。

2.2.3 醫(yī)療區(qū)塊鏈技術(shù)對(duì)權(quán)利救濟(jì)的挑戰(zhàn)

《個(gè)人信息保護(hù)法》第六條以及第八條規(guī)定了收集、處理個(gè)人信息應(yīng)當(dāng)采用對(duì)個(gè)人影響最小的方式以及保證個(gè)人信息的質(zhì)量的原則。第十三條以及第十五條規(guī)定個(gè)人有權(quán)同意個(gè)人信息處理者處理其個(gè)人信息,也有權(quán)撤回其同意。以上條款規(guī)定了個(gè)人有權(quán)對(duì)自己的個(gè)人信息作出修改、刪除等權(quán)利。但是醫(yī)療區(qū)塊鏈技術(shù)的運(yùn)用是為了實(shí)現(xiàn)電子病歷的共享以及藥品溯源等,這就要求區(qū)塊鏈上的數(shù)據(jù)以全面具體為標(biāo)準(zhǔn),且需要具有不可篡改的特征以保證數(shù)據(jù)的全面性以及準(zhǔn)確性。醫(yī)療區(qū)塊鏈技術(shù)讓信息所有者已有的被遺忘權(quán)以及修改權(quán)等權(quán)利救濟(jì)途徑無法得到落實(shí),需要盡快確立全新的管理理念和立法要求。

2.2.4 對(duì)醫(yī)療區(qū)塊鏈技術(shù)的認(rèn)知不足

區(qū)塊鏈技術(shù)的去中心化是對(duì)傳統(tǒng)醫(yī)療數(shù)據(jù)共享方式的一種顛覆,在傳統(tǒng)集中式信息共享過程中,通常醫(yī)療機(jī)構(gòu)和保險(xiǎn)機(jī)構(gòu)等對(duì)于患者的數(shù)據(jù)信息處于壟斷地位。這種傳遞方式通常伴隨著信息不對(duì)等,但區(qū)塊鏈技術(shù)的分布式存儲(chǔ)結(jié)構(gòu)給予了患者個(gè)人對(duì)于自己的數(shù)據(jù)信息的決定權(quán),讓患者個(gè)人也參與到信息傳遞的過程中。但是,基于區(qū)塊鏈技術(shù)的數(shù)據(jù)傳遞與共享涉及密碼學(xué)、醫(yī)學(xué)、信息科學(xué)等多個(gè)學(xué)科,這對(duì)使用者提出了高要求,也導(dǎo)致了醫(yī)療機(jī)構(gòu)等對(duì)醫(yī)療區(qū)塊鏈技術(shù)的運(yùn)用存在諸多顧慮。

3 區(qū)塊鏈技術(shù)運(yùn)用于醫(yī)療領(lǐng)域的法律規(guī)制途徑展望

數(shù)據(jù)作為新型生產(chǎn)要素,是驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)。但不可否認(rèn)的是,隨著科技發(fā)展數(shù)據(jù)傳遞越來越便捷的同時(shí),數(shù)據(jù)安全問題也隨之而來。在醫(yī)療區(qū)塊鏈技術(shù)運(yùn)用帶來便捷的同時(shí),也應(yīng)該意識(shí)到具體的成文法規(guī)并不能一一規(guī)制隨著技術(shù)發(fā)展而不斷創(chuàng)新的新興技術(shù),對(duì)于醫(yī)療區(qū)塊鏈的法律規(guī)制應(yīng)當(dāng)依靠原則而非規(guī)則。

2022年12月2日國(guó)務(wù)院印發(fā)《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》要求充分發(fā)揮政府的引導(dǎo)作用,明確監(jiān)管紅線,但同時(shí)也要建立健全鼓勵(lì)創(chuàng)新、包容創(chuàng)新的容錯(cuò)糾錯(cuò)機(jī)制[17]。法律規(guī)范如何平衡數(shù)據(jù)安全與技術(shù)創(chuàng)新之間的張力,避免因監(jiān)管不力致使安全風(fēng)險(xiǎn)累積,或過度監(jiān)管制約創(chuàng)新,是當(dāng)前數(shù)據(jù)安全治理的重要課題[18]。從比較法視域觀察,起源于金融科技治理領(lǐng)域的監(jiān)管沙盒制度以及“多原則、少規(guī)則”的治理思路是有效平衡數(shù)據(jù)創(chuàng)新與安全的治理工具。例如,針對(duì)醫(yī)療區(qū)塊鏈技術(shù)對(duì)權(quán)利救濟(jì)帶來的挑戰(zhàn),可以在沙盒監(jiān)管模式下嘗試不同的規(guī)則,在比較中完善法律,也給技術(shù)發(fā)展留下空間。同時(shí),也可借鑒歐盟《一般數(shù)據(jù)條例》(以下簡(jiǎn)稱“GDPR”)中關(guān)于數(shù)據(jù)保護(hù)官的有關(guān)規(guī)定設(shè)立數(shù)據(jù)安全負(fù)責(zé)人制度[19]。當(dāng)然更主要的還是需要重塑基于醫(yī)療區(qū)塊鏈的價(jià)值認(rèn)知。

3.1 通過軟性規(guī)制實(shí)現(xiàn)技法共治

區(qū)塊鏈技術(shù)作為一個(gè)分布式的共享數(shù)據(jù)庫為醫(yī)療信息共享提供了技術(shù)基礎(chǔ),但權(quán)力的過度分散有時(shí)反而會(huì)造成分裂或者混亂,應(yīng)當(dāng)將法律與區(qū)塊鏈加以結(jié)合,實(shí)現(xiàn)技術(shù)與法律的效果均衡[20]。但現(xiàn)階段直接規(guī)制區(qū)塊鏈技術(shù)的法律法規(guī)只有國(guó)家網(wǎng)信辦發(fā)布的《區(qū)塊鏈信息服務(wù)管理規(guī)定》[21],但該規(guī)定只作出了籠統(tǒng)的規(guī)定,并未對(duì)區(qū)塊鏈技術(shù)的治理作出細(xì)致性的規(guī)定。除此以外,還可以通過《個(gè)人信息保護(hù)法》對(duì)區(qū)塊鏈技術(shù)進(jìn)行規(guī)制,但上文提到區(qū)塊鏈中的字符串是否屬于個(gè)保法所規(guī)制的個(gè)人信息尚存在爭(zhēng)議。另外,區(qū)塊鏈的去中心化以及不可篡改性等特點(diǎn)讓利用區(qū)塊鏈技術(shù)傳遞的數(shù)據(jù)可以擺脫地域甚至于國(guó)家的限制,并且基于區(qū)塊鏈的去中心化情況下將無法找到特定的義務(wù)主體。區(qū)塊鏈的這些特點(diǎn)與法律的強(qiáng)制性規(guī)定是矛盾的,用傳統(tǒng)硬性規(guī)范的管理模式來管理區(qū)塊鏈已然不合適,而是需要通過協(xié)商達(dá)成共識(shí)的機(jī)制,實(shí)現(xiàn)代碼治理與法理治理的高度統(tǒng)一、形式法治與實(shí)質(zhì)法治的統(tǒng)一,從而構(gòu)建智能社會(huì)的法律秩序[22]。關(guān)于區(qū)塊鏈治理模式,美國(guó)針對(duì)金融科技監(jiān)管提出了“多原則、少規(guī)則”的治理思路。美國(guó)商品期貨交易委員會(huì)提出針對(duì)數(shù)字資產(chǎn)的監(jiān)管應(yīng)當(dāng)以原則性規(guī)范為主,由企業(yè)自行設(shè)定滿足原則的內(nèi)部規(guī)范,以行業(yè)自律的形式完成自我管理[23],這種監(jiān)管方法可為大數(shù)據(jù)時(shí)代下產(chǎn)生的新型糾紛提供更加靈活的解決方式。

醫(yī)療區(qū)塊鏈技術(shù)可以借鑒以上治理模式,可以由法學(xué)學(xué)者、醫(yī)療從業(yè)人員、保險(xiǎn)機(jī)構(gòu)人員、政府部門人員等共同參與起草法律法規(guī),但主要應(yīng)以原則性規(guī)范為主,再由醫(yī)療機(jī)構(gòu)以及保險(xiǎn)機(jī)構(gòu)等具體制定既滿足原則又滿足需求的內(nèi)部規(guī)范以及行業(yè)標(biāo)準(zhǔn),通過行業(yè)自律和行業(yè)監(jiān)管的方式進(jìn)行自我管理。例如,可在法律法規(guī)中規(guī)定醫(yī)療信息上傳者的使用以及權(quán)限需要得到授權(quán),而具體的授權(quán)方式以及權(quán)限可以由機(jī)構(gòu)自行決定。并且法律法規(guī)可以對(duì)上傳的原始數(shù)據(jù)信息確立格式以及內(nèi)容上的要求,行業(yè)規(guī)范可以繼續(xù)進(jìn)行更細(xì)一步的規(guī)定。而在出現(xiàn)監(jiān)管問題時(shí),政府部門應(yīng)當(dāng)及時(shí)聯(lián)合法學(xué)學(xué)者、醫(yī)療、保險(xiǎn)機(jī)構(gòu)人員等多方主體就具體問題的解決進(jìn)行協(xié)商達(dá)成共識(shí)。這樣的管理模式,既可以應(yīng)對(duì)醫(yī)療區(qū)塊鏈技術(shù)在實(shí)際應(yīng)用中可能產(chǎn)生的多種可能,也促進(jìn)了醫(yī)療區(qū)塊鏈技術(shù)的不斷發(fā)展。

3.2 設(shè)立數(shù)據(jù)安全負(fù)責(zé)人制度

現(xiàn)階段采用的是找到特定義務(wù)主體來承擔(dān)法律責(zé)任的法律規(guī)制模式,但目前尚未有方法確定區(qū)塊鏈的義務(wù)主體。對(duì)此可參照歐盟GDPR那樣規(guī)定數(shù)據(jù)保護(hù)官制度,將監(jiān)管機(jī)構(gòu)對(duì)于特定義務(wù)主體的監(jiān)管責(zé)任內(nèi)化為醫(yī)療機(jī)構(gòu)等內(nèi)部數(shù)據(jù)安全負(fù)責(zé)人的數(shù)據(jù)安全保障義務(wù)。這樣便可以基于更加靈活的行業(yè)規(guī)范或者守則來進(jìn)行自律管理。

歐盟GDPR規(guī)定數(shù)據(jù)保護(hù)官是對(duì)數(shù)據(jù)控制者或數(shù)據(jù)處理者內(nèi)部的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督以及加強(qiáng)數(shù)據(jù)收集處理環(huán)節(jié)中的保護(hù)力度的人[24]。我國(guó)現(xiàn)行法律中并沒有像歐盟GDPR一樣直接規(guī)定數(shù)據(jù)保護(hù)官,但是也在相關(guān)法律法規(guī)中規(guī)定了類似個(gè)人數(shù)據(jù)管理職位。例如《中華人民共和國(guó)數(shù)據(jù)安全法》中規(guī)定:重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》中規(guī)定:制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。除了法律法規(guī)外,也有相關(guān)的國(guó)家標(biāo)準(zhǔn)規(guī)定了類似的職位,例如國(guó)標(biāo)《信息安全技術(shù)個(gè)人信息安全規(guī)范》規(guī)定:應(yīng)任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)[25]。盡管上述法律法規(guī)規(guī)定的個(gè)人數(shù)據(jù)管理職位的名稱各不相同,但是都表明了應(yīng)當(dāng)讓專業(yè)人士對(duì)數(shù)據(jù)處理的行為進(jìn)行監(jiān)督并確保數(shù)據(jù)信息安全的意圖。但是上述兩部法律也只是對(duì)此類崗位進(jìn)行了籠統(tǒng)性的規(guī)定,只有國(guó)標(biāo)《信息安全技術(shù)個(gè)人信息安全規(guī)范》就個(gè)人信息保護(hù)工作機(jī)構(gòu)以及相關(guān)人員的職責(zé)作出了具體的規(guī)定。國(guó)標(biāo)僅是國(guó)家以及行業(yè)標(biāo)準(zhǔn),且非強(qiáng)制性國(guó)家標(biāo)準(zhǔn),僅僅以國(guó)標(biāo)作為依據(jù)不是長(zhǎng)久之計(jì)。

法律法規(guī)應(yīng)確定設(shè)立數(shù)據(jù)安全負(fù)責(zé)人制度,并在制定時(shí)確定相應(yīng)的權(quán)利以及義務(wù)。第一,法律需要規(guī)定安全負(fù)責(zé)人的職責(zé),可以只是比較籠統(tǒng)的職責(zé),主要包括解答提供患者或者其他人員關(guān)于該技術(shù)的相關(guān)問題、確保醫(yī)療數(shù)據(jù)處理行為符合法律規(guī)定以及對(duì)醫(yī)療數(shù)據(jù)保護(hù)影響評(píng)估報(bào)告提出建議和意見并跟進(jìn)和監(jiān)管評(píng)估的實(shí)施等。第二,可以在法律法規(guī)中明確該崗位的任期,例如歐盟Regulation 45/2001中規(guī)定:數(shù)據(jù)保護(hù)官的任期是二至五年,可以連任,但最多不可超過十年;當(dāng)其不再滿足數(shù)據(jù)保護(hù)官的任職條件時(shí),經(jīng)過歐盟數(shù)據(jù)監(jiān)管局的同意可以被解雇[26]。第三,因?yàn)獒t(yī)療區(qū)塊鏈技術(shù)涉及多個(gè)學(xué)科,這不僅要求安全負(fù)責(zé)人對(duì)區(qū)塊鏈技術(shù)的工作原理以及醫(yī)療領(lǐng)域有一定了解,也需要了解相關(guān)的法律法規(guī),以便于監(jiān)督數(shù)據(jù)處理行為。法律法規(guī)中可以規(guī)定對(duì)安全負(fù)責(zé)人進(jìn)行定期有關(guān)醫(yī)療知識(shí)、法律知識(shí)以及數(shù)據(jù)安全知識(shí)相關(guān)的培訓(xùn),使與區(qū)塊鏈技術(shù)相結(jié)合的醫(yī)療數(shù)據(jù)處理行為更加具有專業(yè)性。第四,法律法規(guī)也需要規(guī)定安全負(fù)責(zé)人未完成本職工作的懲罰措施,例如可以按照結(jié)果進(jìn)行相應(yīng)的罰款,如果行為涉及犯罪應(yīng)及時(shí)報(bào)警。當(dāng)然,法律法規(guī)也需要留下空間給予相關(guān)機(jī)構(gòu)制定行業(yè)標(biāo)準(zhǔn)或者單位標(biāo)準(zhǔn)的自由。醫(yī)療以及保險(xiǎn)機(jī)構(gòu)等可以根據(jù)本單位的需求在法律法規(guī)的范圍內(nèi)對(duì)其進(jìn)行細(xì)化,例如負(fù)責(zé)人的職責(zé)以及任期都可以根據(jù)需求進(jìn)行細(xì)化,針對(duì)安全負(fù)責(zé)人有關(guān)知識(shí)的培訓(xùn)也應(yīng)該給出更加詳細(xì)的計(jì)劃與安排。

3.3 創(chuàng)新監(jiān)管理念,構(gòu)建沙盒監(jiān)管制度

2023年1月1日,國(guó)家發(fā)改委提出要著力建立數(shù)據(jù)要素治理制度,既要鼓勵(lì)企業(yè)發(fā)揮首創(chuàng)精神,又要建立有效的“數(shù)據(jù)沙箱”機(jī)制防范化解重大風(fēng)險(xiǎn)[27]。區(qū)塊鏈技術(shù)正是處于蓬勃發(fā)展的時(shí)期,對(duì)區(qū)塊鏈技術(shù)的運(yùn)用進(jìn)行規(guī)制要避免傳統(tǒng)法律規(guī)制下“一管就死,一亂就放”的零和陷阱,同時(shí)也要在法律框架下保留技術(shù)創(chuàng)新的空間,給法律法規(guī)的不斷完善留下空間。沙盒監(jiān)管是2015年英國(guó)金融監(jiān)管局率先提出的創(chuàng)新監(jiān)管理念[28]。該監(jiān)管模式具體是指面向金融創(chuàng)新產(chǎn)品或服務(wù)建立一個(gè)受監(jiān)督的安全測(cè)試區(qū),由監(jiān)管部門按照適度簡(jiǎn)化的準(zhǔn)入標(biāo)準(zhǔn)和流程,允許金融科技企業(yè)在有限業(yè)務(wù)牌照下,利用真實(shí)或模擬的市場(chǎng)環(huán)境開展業(yè)務(wù)測(cè)試,以此降低監(jiān)管的不確定性。在沙盒監(jiān)管模式下,可以在充分考慮區(qū)塊鏈特征的基礎(chǔ)上,制定符合區(qū)塊鏈特征的監(jiān)管方式,并在該模式下進(jìn)行嘗試并不斷完善監(jiān)管方式。例如,針對(duì)《個(gè)人信息保護(hù)法》第47條中的“刪除個(gè)人信息難以實(shí)現(xiàn)”這一點(diǎn),德國(guó)規(guī)定可以用限制處理替代刪除數(shù)據(jù)。除此以外法國(guó)的相關(guān)規(guī)定也提到控制者可以通過使數(shù)據(jù)難以接觸而達(dá)到刪除數(shù)據(jù)的效果?？梢栽谏澈斜O(jiān)管模式下嘗試不同的規(guī)則,在比較中完善法律,也給技術(shù)發(fā)展留下空間。

與傳統(tǒng)監(jiān)管模式不同的是,沙盒監(jiān)管模式下利益相關(guān)方被允許進(jìn)入監(jiān)管框架,各主體間的協(xié)商互動(dòng)更體現(xiàn)了包容審慎的原則,是對(duì)傳統(tǒng)嚴(yán)格管控型法律規(guī)制的解構(gòu),也弱化了政府機(jī)關(guān)集權(quán)治理和以政府為中心的治理理念,本質(zhì)上也是“去中心化”的過程[15]。

3.4 重塑基于醫(yī)療區(qū)塊鏈技術(shù)的價(jià)值認(rèn)知

在傳統(tǒng)醫(yī)療信息傳遞方式下,醫(yī)療機(jī)構(gòu)以及衛(wèi)生監(jiān)管部門等對(duì)于患者個(gè)人的醫(yī)療數(shù)據(jù)的掌控相較于患者個(gè)人而言處于領(lǐng)導(dǎo)地位,并且患者個(gè)人無法掌握電子化可放大的檢查信息,患者在跨區(qū)治療以及轉(zhuǎn)院時(shí)很多情況都需要再次進(jìn)行檢查。但隨著互聯(lián)網(wǎng)時(shí)代的到來以及區(qū)塊鏈技術(shù)的發(fā)展,平等以及共享成為當(dāng)前數(shù)據(jù)傳遞的主要特征。

為了適應(yīng)當(dāng)前社會(huì)以及醫(yī)療行業(yè)的發(fā)展趨勢(shì),一方面,應(yīng)當(dāng)打破傳統(tǒng)數(shù)據(jù)共享方式下相關(guān)部門對(duì)于醫(yī)療數(shù)據(jù)信息的壟斷,加強(qiáng)對(duì)醫(yī)療、保險(xiǎn)機(jī)構(gòu)以及患者個(gè)人等的價(jià)值引領(lǐng),強(qiáng)調(diào)數(shù)據(jù)信息的參與以及共享應(yīng)當(dāng)是平等的且面向未來的,將共享的觀念貫徹落實(shí)到實(shí)處;另一方面,應(yīng)當(dāng)鼓勵(lì)醫(yī)療、保險(xiǎn)等機(jī)構(gòu)的相關(guān)人員使用區(qū)塊鏈技術(shù),不僅僅要提升與自身行業(yè)有關(guān)的理論和技術(shù)實(shí)踐水平,而且要提高在新的技術(shù)層出不窮的背景下對(duì)新技術(shù)和醫(yī)療結(jié)合的敏感度,最大程度上實(shí)現(xiàn)科技改變生活的目的。相關(guān)政府機(jī)構(gòu)也應(yīng)該提供讓相關(guān)人員進(jìn)行系統(tǒng)性培訓(xùn)使用區(qū)塊鏈技術(shù)的機(jī)會(huì),可以開設(shè)區(qū)塊鏈技術(shù)培訓(xùn)的課程并確保各單位都接受到了專業(yè)且有針對(duì)性的培訓(xùn)。

4 結(jié)語

隨著大數(shù)據(jù)技術(shù)在醫(yī)療領(lǐng)域的運(yùn)用與發(fā)展,患者醫(yī)療數(shù)據(jù)的傳遞更加便捷是大數(shù)據(jù)技術(shù)的一個(gè)重要體現(xiàn),但是也容易引發(fā)數(shù)據(jù)泄漏問題。區(qū)塊鏈技術(shù)以其去中心化、不可篡改性等特點(diǎn)被運(yùn)用于醫(yī)療領(lǐng)域,可以在極大程度上解決數(shù)據(jù)共享的難題,但是區(qū)塊鏈技術(shù)作為新興技術(shù),與傳統(tǒng)法律規(guī)范的適用存在矛盾,故需要?jiǎng)?chuàng)新監(jiān)管理念、在現(xiàn)有的法律體系之上探索適用于區(qū)塊鏈技術(shù)的法律規(guī)范,不僅需要給新技術(shù)留有創(chuàng)新與發(fā)展的空間,同時(shí)也在技術(shù)發(fā)展過程中不斷完善法律規(guī)范、實(shí)現(xiàn)技法共治。