盧劍峰

（1.浙大寧波理工學(xué)院傳媒與法學(xué)院，浙江寧波 315100；2.寧波法治化營(yíng)商環(huán)境研究院，浙江寧波 315100）

一、問(wèn)題的提出

《個(gè)人信息保護(hù)法》的三大立法目的之一，是“促進(jìn)個(gè)人信息合理利用”；醫(yī)療健康信息在該法中被定性為“敏感個(gè)人信息”。本文所指稱的“醫(yī)療健康信息”與“健康醫(yī)療數(shù)據(jù)”的內(nèi)涵基本一致，二者都兼具財(cái)產(chǎn)利益和人格利益的屬性。①近年來(lái)“信息”與“數(shù)據(jù)”成為學(xué)術(shù)熱詞，但也成為一組糾纏不清的概念。一般觀點(diǎn)認(rèn)為，信息側(cè)重于人格利益，數(shù)據(jù)側(cè)重于財(cái)產(chǎn)利益，但在大多數(shù)場(chǎng)景下，二者兼而有之，個(gè)人信息可以轉(zhuǎn)化為數(shù)據(jù)財(cái)產(chǎn)，數(shù)據(jù)財(cái)產(chǎn)中也有人格利益。本文認(rèn)為，信息是數(shù)據(jù)的一種形式，數(shù)據(jù)也是信息的一種形式，二者難以清晰區(qū)分。根據(jù)2020年國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)所發(fā)布的《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》（以下簡(jiǎn)稱《安全指南》）的界定，“健康醫(yī)療數(shù)據(jù)”是指?jìng)€(gè)人健康醫(yī)療數(shù)據(jù)以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理而得到的與健康醫(yī)療相關(guān)的電子數(shù)據(jù)；其中所謂“個(gè)人健康醫(yī)療數(shù)據(jù)”同《個(gè)人信息保護(hù)法》中的“醫(yī)療健康信息”同義。在比較法視野下，歐盟GDPR 第4 條第15 款將“與健康有關(guān)的數(shù)據(jù)”界定為“與自然人身體或精神健康有關(guān)的個(gè)人數(shù)據(jù)”，且被歸類為“特殊類別數(shù)據(jù)”。

我國(guó)《個(gè)人信息保護(hù)法》采納“基本權(quán)利高侵害風(fēng)險(xiǎn)”標(biāo)準(zhǔn)，對(duì)“敏感個(gè)人信息”從人格尊嚴(yán)與人身財(cái)產(chǎn)安全的不利后果方面予以認(rèn)定。醫(yī)療健康信息具有高度敏感性以及結(jié)構(gòu)復(fù)雜性特點(diǎn)，在商業(yè)利用上強(qiáng)調(diào)“特別告知”并獲得“書(shū)面同意”?！案叨让舾行浴保庵?jìng)€(gè)人醫(yī)療健康信息不同于個(gè)人一般信息，以“侵權(quán)后果的容易性”為特征，即使經(jīng)過(guò)匿名化處理，其內(nèi)在特殊的“權(quán)益侵害程度”與“風(fēng)險(xiǎn)兌現(xiàn)概率”亦未能完全降低，該類數(shù)據(jù)處理全過(guò)程存在高風(fēng)險(xiǎn)。“結(jié)構(gòu)復(fù)雜性”，意指醫(yī)療健康信息來(lái)源的多元性以及主體的多樣性，從而形成結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，且不同的管理系統(tǒng)又采用不同的技術(shù)手段而加劇其復(fù)雜性。

《安全指南》對(duì)“個(gè)人健康醫(yī)療數(shù)據(jù)”的界定與《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息所采用的“識(shí)別+關(guān)聯(lián)說(shuō)”保持一致，“健康醫(yī)療數(shù)據(jù)”涵蓋個(gè)人健康醫(yī)療數(shù)據(jù)以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理而得到的健康醫(yī)療相關(guān)的電子數(shù)據(jù)。健康醫(yī)療數(shù)據(jù)可分類為：個(gè)人屬性數(shù)據(jù)，健康狀況數(shù)據(jù)，醫(yī)療應(yīng)用數(shù)據(jù)，醫(yī)療支付數(shù)據(jù)，衛(wèi)生資源數(shù)據(jù)，公共衛(wèi)生數(shù)據(jù)等。這便提出了健康醫(yī)療數(shù)據(jù)的重要應(yīng)用場(chǎng)景，但也留有完善的空間。按照《個(gè)人信息保護(hù)法》的規(guī)定，醫(yī)療健康信息作為敏感個(gè)人信息要給予嚴(yán)格的保護(hù)，但同時(shí)強(qiáng)調(diào)要促進(jìn)醫(yī)療健康信息的“合理利用”。《數(shù)據(jù)安全法》同樣要求在保障數(shù)據(jù)安全的基礎(chǔ)上促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用。數(shù)字經(jīng)濟(jì)時(shí)代如何處理健康醫(yī)療數(shù)據(jù)的“合理利用”與個(gè)人信息權(quán)益與隱私保護(hù)之間的平衡關(guān)系，成為一個(gè)緊迫且具挑戰(zhàn)性的課題。

健康醫(yī)療數(shù)據(jù)的開(kāi)發(fā)利用已得到西方發(fā)達(dá)國(guó)家及地區(qū)的重視，也在醫(yī)療健康服務(wù)體系以及產(chǎn)業(yè)發(fā)展等方面得到相當(dāng)程度的發(fā)展。我國(guó)所發(fā)布的《“健康中國(guó)2030”規(guī)劃綱要》將健康醫(yī)療大數(shù)據(jù)列為國(guó)家重要的基礎(chǔ)性戰(zhàn)略資源，對(duì)健康醫(yī)療數(shù)據(jù)在相關(guān)領(lǐng)域的應(yīng)用及治理提出了要求。健康醫(yī)療數(shù)據(jù)的泄露或者非法使用會(huì)造成對(duì)個(gè)人隱私以及人格尊嚴(yán)的侵害，疫情管控期間醫(yī)療健康信息濫用案件頻發(fā)即是例證。

二、醫(yī)療健康信息的“非合理利用”

現(xiàn)行法律框架對(duì)醫(yī)療健康信息處理者、控制者、使用者賦予嚴(yán)格的法定義務(wù)，但是，基于疾病診療、醫(yī)保管理、科學(xué)研究、公共衛(wèi)生事件應(yīng)對(duì)等典型場(chǎng)景下健康醫(yī)療信息的應(yīng)用現(xiàn)狀，在醫(yī)療健康信息的“非合理利用”的客觀現(xiàn)實(shí)與“合理利用”的規(guī)范期待之間，還是存在較大落差。

（一）疾病診療場(chǎng)景下的信息使用不合規(guī)

疾病診療分為急救、門診、住院以及互聯(lián)網(wǎng)醫(yī)院等場(chǎng)景，人們?cè)谠\療過(guò)程中會(huì)記錄或生成電子病歷信息、醫(yī)學(xué)影像、用藥記錄等，合理利用醫(yī)療健康信息能創(chuàng)造社會(huì)高價(jià)值。但大部分醫(yī)療機(jī)構(gòu)的數(shù)字化基礎(chǔ)設(shè)施以及管理機(jī)制建設(shè)滯后，傳統(tǒng)業(yè)務(wù)操作流程及隱私協(xié)議等管理措施不符合數(shù)據(jù)合規(guī)要求，致信息安全保障能力低下。[1]醫(yī)療健康信息的高價(jià)值和信息安全的低保障現(xiàn)實(shí)，使醫(yī)療健康信息被黑客攻擊與販賣成為新的違法犯罪類別。故黑客攻擊行為被描述為：如果有50%的利潤(rùn)，黑客就會(huì)鋌而走險(xiǎn)；為了100%的利潤(rùn)，黑客就敢踐踏一切人間法律。[2]據(jù)報(bào)道，自2009年10月以來(lái)，美國(guó)醫(yī)療健康信息外泄總量達(dá)2.6678 億條，信息覆蓋美國(guó)當(dāng)前人口總數(shù)的八成以上。[3]2016年我國(guó)30個(gè)省級(jí)行政發(fā)生了275 位艾滋病感染者信息泄露事件，患者真實(shí)姓名、確診時(shí)間、隨訪醫(yī)院等敏感信息被竊取作為實(shí)施詐騙活動(dòng)的信息源。新冠疫情期間，國(guó)內(nèi)AI醫(yī)療公司匯醫(yī)慧影“新冠”AI輔助系統(tǒng)和所積累的“‘新冠’訓(xùn)練數(shù)據(jù)”被黑客竊取出售。[4]此外，信息系統(tǒng)管理員、醫(yī)務(wù)人員、運(yùn)營(yíng)維護(hù)人員非授權(quán)訪問(wèn)、披露等操作不合規(guī)，也致信息泄露的風(fēng)險(xiǎn)普遍存在。珠海一社區(qū)醫(yī)生利用職務(wù)之便，販賣約9.8萬(wàn)條珠海市患者個(gè)人信息，法院認(rèn)定其構(gòu)成侵犯公民個(gè)人信息罪。②珠海市香州區(qū)人民法院（2017）粵0402 刑初159號(hào)刑亊判決書(shū)。基于醫(yī)生及患者半結(jié)構(gòu)式訪談的一份研究認(rèn)為，“互聯(lián)網(wǎng)”+醫(yī)療背景下患者隱私泄露風(fēng)險(xiǎn)主要包括人員風(fēng)險(xiǎn)、平臺(tái)風(fēng)險(xiǎn)和政策風(fēng)險(xiǎn)。[5]大多數(shù)醫(yī)療機(jī)構(gòu)的信息系統(tǒng)由第三方供應(yīng)商提供運(yùn)營(yíng)維護(hù)，但沒(méi)有開(kāi)展相關(guān)信息安全風(fēng)險(xiǎn)評(píng)估，致數(shù)據(jù)處理環(huán)節(jié)存在安全漏洞。上述種種風(fēng)險(xiǎn)，根本原因在于疾病診療系統(tǒng)尚未全面建立“以患者為中心”的敏感信息保護(hù)制度和防護(hù)技術(shù)體系，醫(yī)療機(jī)構(gòu)對(duì)患者信息源頭質(zhì)控的能力不強(qiáng)。

（二）醫(yī)保管理場(chǎng)景下的信息泄露

我國(guó)業(yè)已建成國(guó)家醫(yī)保信息平臺(tái)，以推進(jìn)公共服務(wù)便捷化與監(jiān)督管理智能化。為解決醫(yī)保管理中的問(wèn)題，國(guó)家部委聯(lián)合開(kāi)展打擊欺詐騙保專項(xiàng)行動(dòng)，國(guó)家醫(yī)保局會(huì)同財(cái)政部聯(lián)合印發(fā)了《欺詐騙取醫(yī)療保障基金行為舉報(bào)獎(jiǎng)勵(lì)暫行辦法》，但非法利用醫(yī)療健康信息以及內(nèi)部數(shù)據(jù)管理漏洞仍沒(méi)有得到根本治理。醫(yī)保部門與衛(wèi)健、藥監(jiān)等部門實(shí)現(xiàn)醫(yī)療健康信息共享的前提，是平臺(tái)、系統(tǒng)以及數(shù)據(jù)安全管理措施到位。2015 年4 月23 日《北京青年報(bào)》刊發(fā)一篇題為《拿什么保護(hù)我們的社保信息》的文章，稱社保系統(tǒng)已成個(gè)人信息泄露的“重災(zāi)區(qū)”，重慶、上海、山西、沈陽(yáng)、貴州、河南等省市衛(wèi)生和社保系統(tǒng)先后出現(xiàn)大量高危漏洞，致社保信息泄漏達(dá)5279.4 萬(wàn)條。[6]從事醫(yī)療數(shù)據(jù)統(tǒng)計(jì)、傳輸、維護(hù)等信息管理工作的人員，非法收受醫(yī)藥營(yíng)銷人員財(cái)物，違法提供手中掌所握的大量醫(yī)療健康信息。2021 年最高人民法院發(fā)布7 起依法懲處醫(yī)保騙保犯罪典型案例，其中盜用他人醫(yī)療健康信息非法牟利的，普遍涉及醫(yī)保工作人員失職瀆職以及醫(yī)療等單位工作人員違法違規(guī)操作等問(wèn)題。如“王韜貪污案”中，被告人利用職務(wù)便利進(jìn)入醫(yī)保系統(tǒng)查詢患者42 人（次）的住院醫(yī)療信息，非法使用同事網(wǎng)銀U 盾和密碼進(jìn)入醫(yī)保內(nèi)網(wǎng)系統(tǒng)，套取醫(yī)?；?32萬(wàn)元人民幣。[7]2022年1月國(guó)家醫(yī)保局通報(bào)跨國(guó)藥企阿斯利康的員工涉嫌篡改腫瘤患者基因檢測(cè)結(jié)果以騙取醫(yī)?；鸢?。[8]上述案例與醫(yī)保部門數(shù)據(jù)碎片化管理，數(shù)字化、集成化和智能化管理水平低，未能實(shí)現(xiàn)同步預(yù)警及同步審核等，均不無(wú)關(guān)系。[9]

（三）醫(yī)學(xué)研究場(chǎng)景下的個(gè)人信息侵權(quán)

醫(yī)學(xué)研究倫理要求保護(hù)隱私和人格尊嚴(yán)。我國(guó)《民法典》第1009 條作出原則性規(guī)定：“從事人體基因、人體胚胎等有關(guān)醫(yī)學(xué)和科研活動(dòng)，應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定，不得危害人體健康，不得違背倫理道德，不得損害公共利益?！?018年科技部以《行政處罰法》《人類遺傳資源管理暫行辦法》為依據(jù)，以違規(guī)采集、收集、買賣、出口、出境人類遺傳資源為由，對(duì)復(fù)旦大學(xué)附屬華山醫(yī)院、華大基因、藥明康德、昆皓睿誠(chéng)、廈門艾德生物、阿斯利康等多家單位未經(jīng)許可將DNA 數(shù)據(jù)轉(zhuǎn)移出境的行為作出行政處罰，涉事單位在通過(guò)數(shù)據(jù)隱私審查之前均被禁止參與使用人類遺傳資源的國(guó)際合作。科研機(jī)構(gòu)通過(guò)對(duì)醫(yī)療健康信息深度挖掘以取得數(shù)據(jù)內(nèi)在價(jià)值，為疾病診斷、藥物研發(fā)、健康產(chǎn)業(yè)發(fā)展提供新動(dòng)力，但在收集及處理醫(yī)療健康信息的過(guò)程中卻存在泄露的風(fēng)險(xiǎn)。由于匿名化技術(shù)沒(méi)有統(tǒng)一的衡量和評(píng)價(jià)標(biāo)準(zhǔn)，這類敏感信息存儲(chǔ)在云平臺(tái)上或者共享時(shí)被泄露的風(fēng)險(xiǎn)高。在美國(guó)，任何用于研究的健康醫(yī)療數(shù)據(jù)都受研究倫理和法規(guī)的約束，其“共同規(guī)則”45CFR46 規(guī)定，由美國(guó)聯(lián)邦機(jī)構(gòu)或接受聯(lián)邦資助的機(jī)構(gòu)所進(jìn)行的研究，必須由機(jī)構(gòu)審查委員會(huì)審查和批準(zhǔn)——該委員會(huì)負(fù)責(zé)評(píng)估人體研究的范圍、價(jià)值和守規(guī)。我國(guó)《生物安全法》第56 條規(guī)定：采集、保存人類遺傳資源，以及攜帶出境，利用我國(guó)人類遺傳資源開(kāi)展國(guó)際科學(xué)合作，都要取得科技部的批準(zhǔn)?！秱€(gè)人信息保護(hù)法》第32條明確規(guī)定，處理敏感個(gè)人信息應(yīng)當(dāng)取得相關(guān)行政許可。2019年通過(guò)的《中華人民共和國(guó)人類遺傳資源管理?xiàng)l例》規(guī)定，采集遺傳資源應(yīng)當(dāng)符合所列舉的條件并經(jīng)過(guò)國(guó)務(wù)院科學(xué)技術(shù)行政部門批準(zhǔn)。除非獲得個(gè)人基于利他主義的捐贈(zèng)來(lái)滿足公共利益，科學(xué)研究中，對(duì)健康醫(yī)療數(shù)據(jù)需要經(jīng)過(guò)數(shù)據(jù)合規(guī)審查機(jī)構(gòu)的審查或經(jīng)過(guò)數(shù)據(jù)出境安全評(píng)估。另外，使用健康醫(yī)療數(shù)據(jù)進(jìn)行研究時(shí)，可能會(huì)存在選擇性收集或分析數(shù)據(jù)的情況，從而導(dǎo)致偏見(jiàn)性結(jié)果。一些研究并沒(méi)有獲得患者知情同意，醫(yī)學(xué)研究人員不當(dāng)使用個(gè)人醫(yī)療健康信息，存在侵權(quán)風(fēng)險(xiǎn)，有違人格權(quán)保護(hù)及維護(hù)生命尊嚴(yán)的職業(yè)倫理和法定義務(wù)。

（四）公共衛(wèi)生事件應(yīng)對(duì)場(chǎng)景下的個(gè)人信息非法使用

2020年以來(lái)“新冠”疫情肆虐，醫(yī)療健康信息有助于政府了解病毒及其傳播，對(duì)于追蹤感染人群，采取隔離措施等決策起到重要作用。然而，在疫情防控中也存在醫(yī)療健康信息被泄露、被濫用的情況?！班嵵荨x紅碼’事件”就是一個(gè)典型案例?！叭嗽诩抑凶?，紅碼天上來(lái)”，河南村鎮(zhèn)銀行廣大儲(chǔ)戶“健康碼”被賦紅碼而禁足在家，鄭州多個(gè)在建樓盤業(yè)主遭遇“健康碼”莫名變紅被限制行動(dòng)自由。[10]濫用醫(yī)療健康信息，將“健康碼”用于防疫之外的其他目的，對(duì)民眾任意“賦紅碼”，限制人身自由，侵犯公民基本權(quán)利，產(chǎn)生惡劣的社會(huì)影響。2020 年2 月中央網(wǎng)信辦發(fā)布了《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，明確規(guī)定：“為疫情防控、疾病防治收集的個(gè)人信息，不得用于其他用途。”同年國(guó)家衛(wèi)健委等三部門聯(lián)合發(fā)布《關(guān)于深入推進(jìn)“互聯(lián)網(wǎng)＋醫(yī)療健康”“五個(gè)一”服務(wù)行動(dòng)的通知》，強(qiáng)調(diào)“加強(qiáng)防疫‘健康碼’數(shù)據(jù)規(guī)范使用，強(qiáng)化數(shù)據(jù)安全管理，切實(shí)保護(hù)個(gè)人隱私”。保障個(gè)人敏感信息不受侵犯本是政府法定之責(zé)任，因而政府濫用或違法使用個(gè)人信息的行為危害性更大，不可不慎。

三、醫(yī)療健康信息“合理利用”的規(guī)范基礎(chǔ)

醫(yī)療健康信息的“合理利用”應(yīng)在兩個(gè)層面理解。其一，基于嚴(yán)格且周延保護(hù)基礎(chǔ)上的開(kāi)發(fā)利用。決策者的認(rèn)識(shí)是逐步提升的。2015 年國(guó)務(wù)院發(fā)布《關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見(jiàn)》，提出醫(yī)療健康信息利用的基礎(chǔ)設(shè)施與標(biāo)準(zhǔn)建設(shè)；2018年國(guó)家衛(wèi)生健康委員會(huì)出臺(tái)《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》，2019年通過(guò)的《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》提出建立健全醫(yī)療衛(wèi)生信息交流和信息安全制度。《民法典》將醫(yī)療健康信息歸為私密信息，適用有關(guān)隱私權(quán)保護(hù)的規(guī)定?！秱€(gè)人信息保護(hù)法》將醫(yī)療健康信息列入“敏感個(gè)人信息”，規(guī)定在符合“特定目的”、符合“充分的必要性”、符合“采取嚴(yán)格的保護(hù)措施”這“三條件”下處理。其二，醫(yī)療健康信息的“合理利用”實(shí)質(zhì)是出于數(shù)據(jù)向善目的的規(guī)范利用。在《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律所確立的“權(quán)益保護(hù)與促進(jìn)利用”原則指導(dǎo)下的數(shù)據(jù)合規(guī)管理，其規(guī)范內(nèi)涵包括：通過(guò)制度與信息技術(shù)的完善，確保充分保護(hù)人格尊嚴(yán)、人身安全、財(cái)產(chǎn)安全，在此基礎(chǔ)上推動(dòng)健康醫(yī)療數(shù)據(jù)在產(chǎn)業(yè)發(fā)展、科學(xué)研究以及普惠應(yīng)用上的合規(guī)利用；立足個(gè)人信息自決權(quán)的實(shí)現(xiàn)，強(qiáng)調(diào)行政機(jī)關(guān)的審查義務(wù)，健全和創(chuàng)新監(jiān)管機(jī)制，在數(shù)據(jù)可用性和私密性之間平衡，實(shí)現(xiàn)數(shù)據(jù)開(kāi)發(fā)利用過(guò)程的合法性。

（一）醫(yī)療健康信息主體的人格尊嚴(yán)保障

1.醫(yī)療健康信息的核心價(jià)值

《聯(lián)合國(guó)憲章》《世界人權(quán)宣言》都強(qiáng)調(diào)人的尊嚴(yán)是人與生俱來(lái)的。許多國(guó)家及地區(qū)將人格尊嚴(yán)寫(xiě)入本國(guó)憲法。我國(guó)憲法將人格尊嚴(yán)保護(hù)規(guī)定于其第38 條：“中華人民共和國(guó)公民的人格尊嚴(yán)不受侵犯?！睉椃ù_立一般人格權(quán)，公民對(duì)其權(quán)利行使自治與自決權(quán)。個(gè)人信息權(quán)是人格權(quán)的下位權(quán)利，具有普遍性；人一出生就享有個(gè)人信息權(quán)，不需要實(shí)施特定的行為。[11]個(gè)人醫(yī)療健康信息以高敏感的形態(tài)存在，泄露或非法使用都會(huì)直接侵害隱私權(quán)、健康權(quán)乃至生命權(quán)，侵害公民人格尊嚴(yán)。醫(yī)療健康信息直接關(guān)聯(lián)個(gè)體的人格存在與自我發(fā)展，在數(shù)字時(shí)代也勾連著社會(huì)正義，蘊(yùn)涵著社會(huì)性特質(zhì)。[12]人格尊嚴(yán)成為醫(yī)療健康信息“合理利用”的邏輯起點(diǎn)。盡管我國(guó)并沒(méi)有將其明確為憲法性權(quán)利，“醫(yī)療健康信息”概念所蘊(yùn)涵的人格尊嚴(yán)以及公法上的權(quán)利和利益是確定的，要求國(guó)家以及社會(huì)主體不得非法侵害，社會(huì)共同體有義務(wù)維護(hù)其核心價(jià)值。

2.信息主體人格權(quán)的實(shí)定法保護(hù)

理論上，人格尊嚴(yán)成為醫(yī)療健康信息的價(jià)值核心符合康德著名的“人格法則”[13]，但是如果沒(méi)有實(shí)定法的具體規(guī)定，醫(yī)療健康信息權(quán)益的實(shí)現(xiàn)與維護(hù)便面臨各種挑戰(zhàn)。我國(guó)《民法典》將其納入“隱私權(quán)”和“私密信息”概念的涵蓋范圍，《個(gè)人信息保護(hù)法》則將其納入“敏感個(gè)人信息”的范疇。數(shù)字時(shí)代，醫(yī)療健康信息高度關(guān)聯(lián)人格尊嚴(yán)，權(quán)利人享有對(duì)其醫(yī)療健康信息的知情權(quán)、決定權(quán)和支配權(quán)。保障醫(yī)療健康信息權(quán)益，應(yīng)當(dāng)被視為國(guó)家和信息控制主體的義務(wù)，一方面要求公權(quán)力和平臺(tái)權(quán)力采取嚴(yán)格的保護(hù)措施，另一方面權(quán)利人在受到不法侵害時(shí)可以請(qǐng)求司法救濟(jì)。

（二）醫(yī)療健康信息主體“權(quán)利束”中的“決定權(quán)”

1.醫(yī)療健康信息“權(quán)利束”

“權(quán)利束”作為一種替代性權(quán)利理論，可以有效描述和解釋數(shù)據(jù)上的多元權(quán)利交融并存現(xiàn)象。[14]歐盟《一般數(shù)據(jù)保護(hù)條例》規(guī)定數(shù)據(jù)主體享有訪問(wèn)權(quán)、更正權(quán)、清除權(quán)、限制處理權(quán)、拒絕權(quán)等，對(duì)健康數(shù)據(jù)等特殊類型數(shù)據(jù)作一般性的禁止處理規(guī)定。我國(guó)《個(gè)人信息保護(hù)法》第4章采用“概括性權(quán)利-實(shí)體性具體權(quán)利-程序性具體權(quán)利”的結(jié)構(gòu)形式，覆蓋個(gè)人信息處理全周期，包括決定權(quán)、知情權(quán)、查詢權(quán)、更正權(quán)、復(fù)制權(quán)、攜帶權(quán)、刪除權(quán)等。從權(quán)利性質(zhì)看，個(gè)人信息“權(quán)利束”是國(guó)家履行積極保護(hù)義務(wù)，通過(guò)制度性保障對(duì)個(gè)人進(jìn)行賦權(quán)；從功能上看，個(gè)人信息“權(quán)利束”既是個(gè)人制衡信息處理者的工具，也是國(guó)家對(duì)數(shù)據(jù)處理者的規(guī)制策略。[15]國(guó)家機(jī)關(guān)有義務(wù)對(duì)醫(yī)療健康信息的收集、處理活動(dòng)予以更嚴(yán)格監(jiān)督，保障信息主體的相關(guān)權(quán)益。

2.主體“權(quán)利束”中的“決定權(quán)”

在醫(yī)療健康信息主體“權(quán)利束”中，“決定權(quán)”是概括性權(quán)利，也是基礎(chǔ)性權(quán)利。我國(guó)《個(gè)人信息保護(hù)法》第44 條所規(guī)定的個(gè)人決定權(quán)，不等同于德國(guó)法律中的自決權(quán)，在德國(guó)法律中信息自決權(quán)是個(gè)人信息公法保護(hù)的理論基礎(chǔ)，旨在防范信息化時(shí)代“監(jiān)控國(guó)家”的可能風(fēng)險(xiǎn)[16]；也不應(yīng)理解為一些學(xué)者所主張的一種矯正信息主體與信息處理者關(guān)系失衡的工具性權(quán)利[17]，因?yàn)榉少x予信息主體知情同意、自主選擇、撤回同意以及拒絕處理等權(quán)利，地方性法規(guī)、部門規(guī)章、規(guī)范性文件都無(wú)權(quán)限縮。對(duì)醫(yī)療健康信息決定權(quán)的扣減應(yīng)設(shè)定采用更為嚴(yán)格的限制條件，如國(guó)家機(jī)關(guān)履行法定職責(zé)之需應(yīng)當(dāng)限于事先處理目的的最小范圍，不得過(guò)度處理敏感信息；如用于疫情防控的醫(yī)療健康信息，在疫情結(jié)束后應(yīng)當(dāng)予以刪除。即使合法公開(kāi)的個(gè)人醫(yī)療健康信息，信息主體仍有選擇權(quán)，可以通知處理者刪除。信息主體有權(quán)拒絕他人處理個(gè)人醫(yī)療健康信息。在處理目的、方式發(fā)生變更時(shí)，應(yīng)當(dāng)重新取得個(gè)人同意。自然人可以隨時(shí)撤回其同意。

四、醫(yī)療健康信息“合理利用”的法律規(guī)則

依據(jù)利用主體的不同類型，對(duì)醫(yī)療健康信息合理利用規(guī)則可分為一般利用規(guī)則和特殊利用規(guī)則。

（一）一般利用規(guī)則：“書(shū)面同意”+“單獨(dú)告知”

我國(guó)《個(gè)人信息保護(hù)法》對(duì)醫(yī)療健康等敏感信息的利用設(shè)置了嚴(yán)謹(jǐn)周密的規(guī)則。對(duì)于商業(yè)、科研等主體利用醫(yī)療健康信息，應(yīng)當(dāng)遵循“書(shū)面同意+單獨(dú)告知”規(guī)則，這應(yīng)成為醫(yī)療健康信息合理利用的一般規(guī)則。一般利用規(guī)則下，醫(yī)療健康信息的利用主體是非國(guó)家機(jī)關(guān)，主要是醫(yī)院、藥企、健康機(jī)構(gòu)、保險(xiǎn)公司、研究機(jī)構(gòu)等，其出于正當(dāng)目的收集使用個(gè)人醫(yī)療健康信息。

1.“書(shū)面同意”

《個(gè)人信息保護(hù)法》第29 條規(guī)定了處理敏感個(gè)人信息的“單獨(dú)同意”規(guī)則，“單獨(dú)同意”是指相對(duì)于“概括同意”的一種特別同意，反對(duì)“一攬子同意”，信息處理者要以單獨(dú)展示的方式告知，信息主體在此基礎(chǔ)上自主作出清晰真實(shí)的意思表示。但“單獨(dú)同意”對(duì)于醫(yī)療健康信息合理利用是不夠的，故立法者實(shí)際上作了“補(bǔ)強(qiáng)”規(guī)定——該條第2 款規(guī)定：“法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書(shū)面同意的，從其規(guī)定?！睉?yīng)當(dāng)說(shuō)，通過(guò)補(bǔ)充立法規(guī)定取得個(gè)人的“書(shū)面同意”是信息收集處理的基礎(chǔ)性條件，提高醫(yī)療健康信息保護(hù)強(qiáng)度。任何企業(yè)、社會(huì)組織和個(gè)人在處理醫(yī)療健康信息前，應(yīng)當(dāng)書(shū)面告知信息主體處理的目的、方式，獲得信息主體“書(shū)面同意”后才可收集處理。歐盟《一般數(shù)據(jù)保護(hù)條例》將“有關(guān)健康的數(shù)據(jù)”歸入“特殊類型數(shù)據(jù)”，強(qiáng)調(diào)對(duì)于特殊類別的個(gè)人數(shù)據(jù)應(yīng)當(dāng)出于特定目的而對(duì)處理給予“明示同意”；在第9條第4款還明確授權(quán)“成員國(guó)可以維持或者引入更進(jìn)一步的限制條件”。我國(guó)對(duì)醫(yī)療健康信息的“書(shū)面同意”標(biāo)準(zhǔn)可能將加大信息處理者的成本，但符合比例原則，不應(yīng)當(dāng)動(dòng)搖這個(gè)底線。

2.“單獨(dú)告知”

《個(gè)人信息保護(hù)法》第30 條對(duì)敏感個(gè)人信息規(guī)定了“特別告知”，提升了“告知義務(wù)”標(biāo)準(zhǔn)。“特別告知”包括：第一，“必要性告知”，提請(qǐng)信息主體的注意，增強(qiáng)其維權(quán)的主動(dòng)性。醫(yī)療健康信息處理者有義務(wù)告知其處理行為是否合法正當(dāng)，是否采取了對(duì)信息主體影響最小的措施和形式。第二，“個(gè)人權(quán)益影響告知”，包括對(duì)信息主體人格尊嚴(yán)、人身安全、財(cái)產(chǎn)安全所造成的侵害，以及告知信息主體合法權(quán)益可能受到的影響和風(fēng)險(xiǎn)發(fā)生的概率。如，醫(yī)療單位將患者醫(yī)療信息用來(lái)攻克疑難雜癥案例研究，應(yīng)對(duì)患者告知該研究對(duì)信息主體所帶來(lái)的權(quán)益影響。對(duì)醫(yī)療健康信息的告知應(yīng)以“單獨(dú)告知”為基本形式。“單獨(dú)告知”有利于信息處理行為的透明化，保障信息主體的知情權(quán)和決定權(quán)落地，避免處理者概括告知而給信息主體造成理解困惑、出現(xiàn)意思表達(dá)錯(cuò)誤。

（二）特殊利用規(guī)則：法定職責(zé)的范圍與限度

所謂“特殊利用規(guī)則”，是指國(guó)家機(jī)關(guān)履行法定職責(zé)收集處理醫(yī)療健康信息的適用規(guī)則，主要包括突發(fā)事件中以及一般行政執(zhí)法過(guò)程中處理個(gè)人信息所應(yīng)遵守的規(guī)則。除《個(gè)人信息保護(hù)法》對(duì)國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定外，其他行政法規(guī)也有相應(yīng)規(guī)定。

1.公共衛(wèi)生事件過(guò)程中醫(yī)療健康信息的處理

《傳染病防治法》《突發(fā)公共衛(wèi)生事件條例》規(guī)定，政府有權(quán)及時(shí)公布疫情信息，相對(duì)人有配合行政機(jī)關(guān)采集醫(yī)療健康信息的義務(wù)；行政機(jī)關(guān)獲得法律授權(quán)，處理相對(duì)人醫(yī)療健康信息無(wú)須取得相對(duì)人同意，也不必提前告知，但告知義務(wù)的豁免不是絕對(duì)的，以告知可能妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)為限度。依據(jù)2020 年由中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室頒發(fā)的《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，收集聯(lián)防聯(lián)控所必需的個(gè)人信息原則上限于確診者、疑似者、密切接觸者等重點(diǎn)人群，而不是無(wú)差別針對(duì)所有人群。國(guó)家機(jī)關(guān)是醫(yī)療健康信息最大的處理者，國(guó)家機(jī)關(guān)處理個(gè)人信息的法律控制是一個(gè)遠(yuǎn)未完成的命題，需要嚴(yán)格依照個(gè)人信息保護(hù)法的基本規(guī)制框架作必要反思。[18]對(duì)公共衛(wèi)生事件中醫(yī)療健康信息的處理，應(yīng)當(dāng)建立合法性分析框架，對(duì)行政機(jī)關(guān)利用醫(yī)療健康信息的權(quán)限、內(nèi)容、程序、方式設(shè)置規(guī)范機(jī)制；法定職責(zé)上，防止行政機(jī)關(guān)“自我賦權(quán)”、擴(kuò)大醫(yī)療健康信息采集范圍及作不必要處理；內(nèi)容上，關(guān)注對(duì)醫(yī)療健康信息的處理是否符合法定目的、是否存在濫用職權(quán)、是否符合比例原則等。例如，疫情控制期間的“健康碼”等應(yīng)用程序，在疫情結(jié)束后應(yīng)當(dāng)及時(shí)刪除相關(guān)診療、疫苗注射、核酸記錄信息；行政執(zhí)法免于告知-同意，但應(yīng)當(dāng)符合程序正義原則，對(duì)處理信息行為作必要解釋說(shuō)明，以獲取相對(duì)人的支持理解；行政機(jī)關(guān)出于疫情防控需要公布流調(diào)等信息的，應(yīng)當(dāng)經(jīng)過(guò)嚴(yán)格匿名化處理，同時(shí)還應(yīng)防范涉疫人員醫(yī)療健康信息的過(guò)度披露和非法使用。

2.行政執(zhí)法過(guò)程中醫(yī)療健康信息的處理

醫(yī)療健康信息行政執(zhí)法場(chǎng)景的相關(guān)法律規(guī)范并不健全。如《道路安全法》《機(jī)動(dòng)車駕駛證申領(lǐng)和使用規(guī)定》授權(quán)行政機(jī)關(guān)可以采集醫(yī)療健康信息，但關(guān)于采集范圍、采集程序等缺乏明確規(guī)定。在龐雜的行政法規(guī)范體系中，對(duì)行政機(jī)關(guān)處理醫(yī)療健康信息普遍缺少統(tǒng)一性程序規(guī)范。應(yīng)依循行政行為合法性分析框架，將《個(gè)人信息保護(hù)法》第5條“合法、正當(dāng)、必要和程序原則”落實(shí)為具體規(guī)則，對(duì)處理主體、權(quán)限、內(nèi)容、程序等作詳盡規(guī)定；行政機(jī)關(guān)基于公共利益處理醫(yī)療健康信息，應(yīng)當(dāng)限于實(shí)現(xiàn)行政目的的合理范圍，過(guò)度收集個(gè)人醫(yī)療健康信息應(yīng)被制止；尊重公民的合理信賴，個(gè)人醫(yī)療健康信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必需的最短時(shí)間，執(zhí)法機(jī)關(guān)在完成行政任務(wù)或者不再需要時(shí)應(yīng)即使刪除相關(guān)個(gè)人信息。

對(duì)于細(xì)分領(lǐng)域的醫(yī)療健康信息，期待分別出臺(tái)關(guān)于醫(yī)療健康信息合理利用的“軟法”，包括信息處理行為指南、標(biāo)準(zhǔn)規(guī)范、程序辦法等，明確分層管理的合理標(biāo)準(zhǔn)，建立嚴(yán)格的管理標(biāo)準(zhǔn)和細(xì)則，落實(shí)告知-同意特殊規(guī)則，防止醫(yī)療健康信息被惡意利用。

五、醫(yī)療健康信息“合理利用”的行政監(jiān)管

與歐盟《一般數(shù)據(jù)保護(hù)條例》相似，我國(guó)《個(gè)人信息保護(hù)法》強(qiáng)調(diào)行政監(jiān)管在個(gè)人信息保護(hù)中的作用；更有特色的是，我國(guó)《個(gè)人信息保護(hù)法》對(duì)行政監(jiān)管設(shè)專章，分別對(duì)監(jiān)管機(jī)制、監(jiān)管職責(zé)、監(jiān)督檢查措施、舉報(bào)投訴機(jī)制等作出明確規(guī)定。對(duì)醫(yī)療健康信息的合理利用強(qiáng)調(diào)行政監(jiān)管渠道而不是民事訴訟渠道，在于行政監(jiān)管有助于形成一般性規(guī)則，對(duì)同類問(wèn)題進(jìn)行一體規(guī)制，個(gè)人信息保護(hù)的效率有所優(yōu)化。[19]面對(duì)數(shù)字時(shí)代風(fēng)險(xiǎn)，行政監(jiān)管有意解決信息主體和信息控制者二者實(shí)力不對(duì)等問(wèn)題，政府從公共利益立場(chǎng)支持處于弱勢(shì)的權(quán)利人，引導(dǎo)醫(yī)療健康產(chǎn)業(yè)發(fā)展方向，把實(shí)現(xiàn)人的尊嚴(yán)和福祉作為產(chǎn)業(yè)發(fā)展的出發(fā)點(diǎn)。

（一）行政監(jiān)管的社會(huì)目標(biāo)與經(jīng)濟(jì)目標(biāo)

醫(yī)療健康信息的利用有助于促進(jìn)醫(yī)療系統(tǒng)的轉(zhuǎn)型和提升高質(zhì)量的醫(yī)療服務(wù)。2020 年歐盟將歐洲健康數(shù)據(jù)空間建設(shè)作為“歐洲數(shù)據(jù)戰(zhàn)略”的重要一環(huán)，意在健康數(shù)據(jù)高水平保護(hù)的基礎(chǔ)上加強(qiáng)健康數(shù)據(jù)的流轉(zhuǎn)和開(kāi)發(fā)利用，積極支持醫(yī)療保健服務(wù)（數(shù)據(jù)的首次使用），實(shí)現(xiàn)健康研究和健康政策制定之目的（數(shù)據(jù)的二次使用）。[20]我國(guó)《“十四五”全民健康信息化規(guī)劃》首次提出“培育數(shù)字健康經(jīng)濟(jì)產(chǎn)業(yè)新業(yè)態(tài)”，倡導(dǎo)發(fā)展基于數(shù)字技術(shù)的健康服務(wù)，同時(shí)指出在基礎(chǔ)設(shè)施、共享應(yīng)用、投入保障、網(wǎng)絡(luò)安全等方面存在短板，法規(guī)標(biāo)準(zhǔn)建設(shè)滯后，存在“數(shù)字鴻溝”“數(shù)據(jù)壁壘”等問(wèn)題。[21]因此，關(guān)于醫(yī)療健康信息的合理利用，行政監(jiān)管的主要目標(biāo)是平衡信息主體的合法權(quán)益與醫(yī)療健康產(chǎn)業(yè)發(fā)展之間的關(guān)系。

1.行政監(jiān)管的社會(huì)目標(biāo)

我國(guó)《個(gè)人信息保護(hù)法》規(guī)定，行政監(jiān)管采取“國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)+行業(yè)主管部門分工監(jiān)管”模式，醫(yī)療健康信息的監(jiān)管部門是各級(jí)網(wǎng)信部門和衛(wèi)生健康主管部門，以防控個(gè)體風(fēng)險(xiǎn)和社會(huì)風(fēng)險(xiǎn)的發(fā)生為目標(biāo)。所謂“個(gè)體風(fēng)險(xiǎn)”，指對(duì)個(gè)體醫(yī)療健康信息權(quán)的侵害所帶來(lái)的人格尊嚴(yán)和財(cái)產(chǎn)權(quán)等基本權(quán)利的損害。所謂“社會(huì)風(fēng)險(xiǎn)”，是指醫(yī)療健康信息被大量泄露、倒賣、侵權(quán)的事實(shí)所造成之廣泛的社會(huì)影響及輿論風(fēng)險(xiǎn)。Verizon2020 年數(shù)據(jù)泄露調(diào)查報(bào)告顯示，醫(yī)療保健領(lǐng)域發(fā)生泄露事件521起，在15個(gè)行業(yè)中位居榜首，是內(nèi)部惡意行為數(shù)量最多的行業(yè)。[22]醫(yī)療健康信息利用屬于高風(fēng)險(xiǎn)行業(yè)和領(lǐng)域，從目前醫(yī)療健康互聯(lián)網(wǎng)平臺(tái)隱私保護(hù)實(shí)踐來(lái)看，醫(yī)療健康信息的保護(hù)制度還遠(yuǎn)未落實(shí)到位。[23]故有必要將社會(huì)風(fēng)險(xiǎn)控制作為醫(yī)療健康信息行政監(jiān)控的重點(diǎn)。

2.行政監(jiān)管的經(jīng)濟(jì)目標(biāo)

2018年7月國(guó)家衛(wèi)生健康委員會(huì)和國(guó)家中醫(yī)藥管理局組織制定了3份規(guī)章，即《互聯(lián)網(wǎng)診療管理辦法（試行）》《互聯(lián)網(wǎng)醫(yī)院管理辦法（試行）》《遠(yuǎn)程醫(yī)療服務(wù)管理規(guī)范（試行）》，都有促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”產(chǎn)業(yè)發(fā)展的經(jīng)濟(jì)目標(biāo)；2022年2月國(guó)家衛(wèi)健委發(fā)布《互聯(lián)網(wǎng)診療監(jiān)管細(xì)則（試行）》，確定監(jiān)管目標(biāo)是促進(jìn)互聯(lián)網(wǎng)診療健康發(fā)展。以上法律性文件中行政監(jiān)管經(jīng)濟(jì)目標(biāo)的表述較為含蓄，《“十四五”全民健康信息化規(guī)劃》則直接明確地提出“培育數(shù)字健康經(jīng)濟(jì)產(chǎn)業(yè)”“增強(qiáng)產(chǎn)業(yè)鏈關(guān)鍵環(huán)節(jié)競(jìng)爭(zhēng)力”“完善數(shù)字健康產(chǎn)業(yè)鏈、供應(yīng)鏈和創(chuàng)新鏈”等經(jīng)濟(jì)目標(biāo)。具有數(shù)據(jù)優(yōu)勢(shì)的經(jīng)營(yíng)者具有“贏者通吃”的優(yōu)勢(shì)，如一些平臺(tái)企業(yè)搶占先機(jī)獲取醫(yī)療健康數(shù)據(jù)流量后，采取不正當(dāng)手段阻礙其他企業(yè)獲取數(shù)據(jù)流量；一些大公司利用數(shù)據(jù)優(yōu)勢(shì)識(shí)別潛在競(jìng)爭(zhēng)威脅，通過(guò)扼殺式收購(gòu)等手段消除競(jìng)爭(zhēng)，扼殺具有潛力的初創(chuàng)企業(yè)。從培育和支持醫(yī)療健康產(chǎn)業(yè)可持續(xù)發(fā)展的視角，行政監(jiān)管部門應(yīng)積極防治數(shù)據(jù)壟斷和不正當(dāng)競(jìng)爭(zhēng)行為；且對(duì)于醫(yī)療健康產(chǎn)業(yè)的行政監(jiān)管，主要在于防止數(shù)據(jù)壟斷和商業(yè)濫用。

（二）行政監(jiān)管的有效實(shí)現(xiàn)機(jī)制

個(gè)人信息保護(hù)應(yīng)重視行政監(jiān)管已經(jīng)基本形成共識(shí)，但關(guān)于醫(yī)療健康信息合理利用的行政監(jiān)管的研究仍方興未艾。[24]有學(xué)者提出對(duì)個(gè)人信息的行政監(jiān)管應(yīng)當(dāng)采用市場(chǎng)準(zhǔn)入、安全審查以及監(jiān)管沙箱等綜合手段，構(gòu)建信息處理全生命周期的保護(hù)體系。[25]醫(yī)療健康信息合理利用的行政監(jiān)管應(yīng)重點(diǎn)探索全程敏捷監(jiān)管，實(shí)施合規(guī)監(jiān)管常規(guī)機(jī)制，完善科技監(jiān)管應(yīng)用，包括事前預(yù)防、事中制止、事后處罰。

1.敏捷監(jiān)管

國(guó)家支持構(gòu)建健康醫(yī)療領(lǐng)域數(shù)據(jù)開(kāi)發(fā)利用的場(chǎng)景，以進(jìn)一步提升數(shù)據(jù)資源價(jià)值，鼓勵(lì)專業(yè)化大數(shù)據(jù)服務(wù)企業(yè)發(fā)展。依照《“十四五”醫(yī)藥工業(yè)發(fā)展規(guī)劃》《“十四五”全民健康信息化規(guī)劃》的安排，醫(yī)療健康公共服務(wù)資源數(shù)字化供給和網(wǎng)絡(luò)化服務(wù)將加快推進(jìn)，互聯(lián)網(wǎng)醫(yī)療覆蓋面將進(jìn)一步擴(kuò)大?！笆奈濉逼陂g健康醫(yī)療產(chǎn)業(yè)將實(shí)現(xiàn)全面突破與發(fā)展，作為大數(shù)據(jù)來(lái)源的醫(yī)療健康信息將廣泛深入地應(yīng)用于相關(guān)產(chǎn)業(yè)。如醫(yī)藥工業(yè)領(lǐng)域探索醫(yī)療機(jī)構(gòu)、生產(chǎn)經(jīng)營(yíng)企業(yè)、保險(xiǎn)及信息技術(shù)服務(wù)商等主體共同形成“互聯(lián)網(wǎng)+醫(yī)藥”新生態(tài)，構(gòu)建貫穿醫(yī)療行業(yè)全流程的數(shù)字化管理體系。隨著可穿戴設(shè)備、物聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，醫(yī)療大數(shù)據(jù)應(yīng)用更為普遍。健康監(jiān)測(cè)智能化終端產(chǎn)品支持公共衛(wèi)生機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)數(shù)據(jù)共享。“對(duì)于未來(lái)的市場(chǎng)，幾乎所有的經(jīng)濟(jì)活動(dòng)都具有不確定性風(fēng)險(xiǎn)”，大數(shù)據(jù)時(shí)代傳統(tǒng)行政監(jiān)管方式受到挑戰(zhàn)。敏捷監(jiān)管就是針對(duì)這種不確定風(fēng)險(xiǎn)——數(shù)字經(jīng)濟(jì)活動(dòng)的混亂、數(shù)據(jù)壟斷以及大量侵權(quán)行為的發(fā)生——而采取的一種監(jiān)管方式。不同于傳統(tǒng)監(jiān)管模式，敏捷監(jiān)管追求過(guò)程的動(dòng)態(tài)性和工具的靈活性[26]，在《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》規(guī)則之下運(yùn)行，以公民權(quán)利的實(shí)現(xiàn)為基礎(chǔ)和依歸，對(duì)醫(yī)療健康信息的各類處理者的信息處理行為予以有效率的規(guī)制，面對(duì)時(shí)?？赡馨l(fā)生的市場(chǎng)失靈，以迅捷有效的積極姿態(tài)及時(shí)約束市場(chǎng)主體的行為?！丁笆奈濉睌?shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》明確了發(fā)展數(shù)字經(jīng)濟(jì)對(duì)隱私信息的行政監(jiān)管重點(diǎn)領(lǐng)域，即：強(qiáng)化個(gè)人信息保護(hù)，規(guī)范身份信息、隱私信息、生物特征信息的采集、傳輸和使用，加強(qiáng)對(duì)收集使用個(gè)人信息的安全監(jiān)管能力。需要正視的是，在政府錯(cuò)綜復(fù)雜的等級(jí)組織中，向敏捷監(jiān)管的轉(zhuǎn)型并不那么容易，分層官僚機(jī)構(gòu)出于自身利益考量可能會(huì)阻礙敏捷方法的應(yīng)用。顯然這是一個(gè)需要持續(xù)探索的課題。

2.合規(guī)監(jiān)管

合規(guī)監(jiān)管是醫(yī)療健康行業(yè)可持續(xù)發(fā)展的前提，合規(guī)能力是產(chǎn)業(yè)競(jìng)爭(zhēng)力的體現(xiàn)，監(jiān)管能力是醫(yī)療健康行業(yè)治理水平的必要保障?！栋踩改稀肥潜O(jiān)管部門所遵循的標(biāo)準(zhǔn)，然而，其對(duì)從醫(yī)療健康信息的利用并沒(méi)有提供全面的分類，也沒(méi)有能跟進(jìn)醫(yī)療健康產(chǎn)業(yè)發(fā)展的新方向。其對(duì)醫(yī)療健康信息的利用及合規(guī)監(jiān)管應(yīng)當(dāng)拓展醫(yī)療信息化與產(chǎn)業(yè)化的應(yīng)用范圍，著重對(duì)互聯(lián)網(wǎng)醫(yī)療、平臺(tái)企業(yè)、醫(yī)療人工智能等領(lǐng)域所涉數(shù)據(jù)來(lái)源的合法性、數(shù)據(jù)內(nèi)部管理、數(shù)據(jù)的使用與處理等進(jìn)行合規(guī)監(jiān)管。為了防范平臺(tái)型企業(yè)發(fā)生數(shù)據(jù)壟斷和侵害個(gè)人隱私，首先，應(yīng)確立數(shù)據(jù)合規(guī)標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)處理行為進(jìn)行合法性規(guī)范?！痘ヂ?lián)網(wǎng)診療監(jiān)管細(xì)則（試行）》《數(shù)據(jù)出境安全評(píng)估辦法》對(duì)醫(yī)療健康行業(yè)提出若干數(shù)據(jù)合規(guī)要求，但比較碎片化，缺少協(xié)調(diào)性，故根據(jù)具體場(chǎng)景應(yīng)進(jìn)一步制定細(xì)分領(lǐng)域的合規(guī)標(biāo)準(zhǔn)。其次，穩(wěn)步推進(jìn)合規(guī)監(jiān)管激勵(lì)機(jī)制。復(fù)雜的監(jiān)管現(xiàn)實(shí)對(duì)傳統(tǒng)監(jiān)管模式提出變革要求，推動(dòng)數(shù)據(jù)控制者自覺(jué)落實(shí)數(shù)據(jù)規(guī)則，鼓勵(lì)行業(yè)協(xié)會(huì)深度參與監(jiān)管過(guò)程，培育數(shù)據(jù)合規(guī)第三方機(jī)構(gòu)，促進(jìn)監(jiān)管機(jī)構(gòu)之間互通信息、監(jiān)管協(xié)同，推行檢查結(jié)果互認(rèn)，在此基礎(chǔ)上建立醫(yī)療健康信息協(xié)調(diào)型監(jiān)管框架。再次，應(yīng)形成合規(guī)監(jiān)管合力。“互聯(lián)網(wǎng)+醫(yī)療健康”的興起，必然要求行政監(jiān)管升級(jí)，因?yàn)橛筛骷?jí)衛(wèi)生健康主管部門實(shí)施屬地化監(jiān)管難以實(shí)現(xiàn)有效監(jiān)管，故先應(yīng)在省一級(jí)建立統(tǒng)一監(jiān)管平臺(tái)，推動(dòng)形成“合作監(jiān)管”格局，健全由機(jī)構(gòu)自治、行業(yè)自律、政府監(jiān)管相結(jié)合的綜合監(jiān)管體系。只有從區(qū)域性監(jiān)管升級(jí)為全國(guó)統(tǒng)一監(jiān)管，才可改變碎片化監(jiān)管的現(xiàn)狀。

3.技術(shù)監(jiān)管

數(shù)字時(shí)代技術(shù)、產(chǎn)業(yè)組織和商業(yè)模式的重要變化對(duì)市場(chǎng)秩序和制度秩序發(fā)揮作用產(chǎn)生了強(qiáng)大的約束力量[27]；隨著人工智能深度介入醫(yī)療保健和藥物提供領(lǐng)域，可能加劇醫(yī)療健康信息的不道德使用，鑒此世界衛(wèi)生組織提出確保人工智能為公眾利益服務(wù)的六項(xiàng)原則——保護(hù)人類自主權(quán)；促進(jìn)人類福祉、安全和公共利益；確保透明度、可解釋性和可理解性；培養(yǎng)責(zé)任感和促進(jìn)問(wèn)責(zé)制；確保包容性和公平；促進(jìn)具有響應(yīng)性和可持續(xù)性的人工智能[28]。上述指導(dǎo)原則可以作為我國(guó)醫(yī)療健康產(chǎn)業(yè)行政監(jiān)管的理念基礎(chǔ)，在具體監(jiān)管工具方面實(shí)現(xiàn)突破。監(jiān)管科技是行政監(jiān)管與科技的有機(jī)結(jié)合，通過(guò)有效利用平臺(tái)以及諸多技術(shù)手段，包括數(shù)據(jù)存儲(chǔ)的安全審計(jì)和檢測(cè)技術(shù)，數(shù)據(jù)安全分類、分級(jí)、分量、分領(lǐng)域的分析技術(shù)，數(shù)據(jù)資源被侵犯和違規(guī)操作的檢測(cè)和記錄技術(shù)，數(shù)據(jù)違規(guī)違法出境的檢測(cè)和控制技術(shù)，有針對(duì)性地增強(qiáng)監(jiān)管效果。運(yùn)用數(shù)字化技術(shù)分析問(wèn)題產(chǎn)生的原因，改善健康醫(yī)療數(shù)據(jù)共享環(huán)境的有效性。推動(dòng)搭建國(guó)家級(jí)醫(yī)療健康企業(yè)信息數(shù)據(jù)平臺(tái)和統(tǒng)一的綜合監(jiān)管平臺(tái)，實(shí)現(xiàn)不同層級(jí)監(jiān)管數(shù)據(jù)的互聯(lián)互通。

醫(yī)療健康信息作為敏感個(gè)人信息具有高標(biāo)準(zhǔn)的保護(hù)要求，但不應(yīng)忽視個(gè)人醫(yī)療健康信息的合理利用的現(xiàn)實(shí)困難，尤其需要在制度措施上尋求充分保護(hù)與合理使用之間的協(xié)調(diào)與平衡。醫(yī)療健康信息合理利用的基本模式，即“賦權(quán)+責(zé)任+監(jiān)管”的三元保護(hù)模式，應(yīng)成為數(shù)字時(shí)代醫(yī)療健康產(chǎn)業(yè)發(fā)展的基礎(chǔ)性條件。醫(yī)療健康信息合理利用還需要符合數(shù)字經(jīng)濟(jì)發(fā)展規(guī)律的高效能的行政監(jiān)管，處理醫(yī)療健康信息的各方主體都應(yīng)接受公法上的嚴(yán)格約束與制衡。