随着大健康产业的蓬勃发展和大数据技术的广泛应用，海量的健康医疗数据应运而生并被运用在社会生活中的方方面面。通过对大量个体的健康医疗数据进行加工与分析，就能形成具有特定商业价值的信息资讯，这是健康医疗数据商业应用的核心价值所在[1]。

健康医疗数据的商业应用一方面促进了产业与技术的发展，另一方面健康医疗数据作为国家重要的战略资源，不当的商业化应用可能引发诸多合规性问题，甚至触犯法律。

一、 概念界定

广义上，健康医疗数据通常包括个人健康医疗数据以及对个人健康医疗数据进行处理加工之后得到的相关数据、卫生资源数据与公共卫生数据等。

个人健康医疗数据是指能够反映出特定个体的生理、心理状态或社会功能的相关数据[1]。个人健康医疗数据通常包括个人基本信息、遗传信息、生物特征、生理状态、心理状态、生活方式、就医信息、医疗支付信息及其衍生数据等。个人健康医疗数据通常被视为个人隐私，受到严格的法律保护[2]。

健康医疗数据的商业应用是指以营利为目的而开展的健康医疗数据运用（常见的有商业医疗保险、市场营销等活动）。在商业应用中，通常数据的颗粒度越细、个体辨识度越强，其商业价值就越大。因此如何平衡健康医疗数据的隐私性与透明性是一个较为棘手的问题[3]。

二、 法律现状

为了规范健康医疗数据的商业应用，加强对国家利益、公共安全、商业秘密与患者隐私的保护，平衡隐私性与透明性，相关主体必须参考的主要法律法规包括《刑法》、《民法典》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》、《信息安全等级保护管理办法》、《卫生行业信息安全等级保护工作的指导意见》、《中华人民共和国计算机信息系统安全保护条例》、《关于国家秘密载体保密管理的规定》、《关于促进和规范健康医疗大数据应用发展的指导意见》、《卫生工作中国家秘密范围的规定》、《国家健康医疗大数据标准、安全和服务管理办法》、《个人信息和重要数据出境安全评估办法》、《人类遗传资源管理暂行办法》、《人口健康信息管理办法（试行）》等[4]。

由于健康医疗数据产业规模大，产业链条长，涉及到数据的采集、存储、共享、管理、分析和使用等众多环节，利益相关者众多，任一环节或主体均有可能触碰合规红线，因此需要格外加强对相应合规义务的关注。

三、 合规分析

（一） 数据收集

对于个体健康医疗数据的收集，数据控制者应该根据《网络安全法》等法规的规定，遵循合法、正当、必要的原则，告知个体收集数据的目的、收集内容与收集方式，并且要取得有效的知情同意。

在该过程中，可能出现的合规风险包括：（1）数据控制者与个体沟通不充分，导致在后续活动中个体可能撤回知情同意。（2）数据控制者违规扩大信息收集范围，将无关的个人信息囊括在内。（3）数据控制者未能严格执行相关标准和程序，未能确保数据的质量等[5]。

（二） 数据存储

健康医疗数据由于其敏感性、隐私性与特殊性，因此对于数据的存储有众多要求，以确保数据的安全。《卫生行业信息安全等级保护工作的指导意见》要求存储单位的信息系统应获得相应的安全等级保护定级认证；《国家健康医疗大数据标准、安全和服务管理办法》要求存储单位建立加密认证、实名认证访问、数据容灾备份等工作机制，建立健全网络安全通报和应急处置联动机制等。同时，该管理办法特别强调，健康医疗数据应当存储在中国境内的服务器上。如需向境外传输数据，还需要满足《个人信息和重要数据出境安全评估办法（征求意见稿）》等文件的要求。未能达到上述要求的将承担相应的法律后果。

（三） 数据分析与应用

在数据分析与应用的过程中，国家秘密、社会公共利益及其他组织的合法权益是重要的考量。《卫生工作中国家秘密范围的规定》指明，健康医疗数据中的一类与二类高致病性病原微生物菌（毒）种及样本总体数据和保存情况、地市级及以上的卫生行政部门统计的引产数等内容属于国家秘密的范畴，需要按照《中华人民共和国保守国家秘密法》的相关规定进行处理。

同时，在健康医疗数据的商业应用中，个人隐私与个人信息必须得到严格的保护。目前国家为保护个人信息提供了从刑法、民事到行政监管的全方位保护。《民法典》设有专章规定“隐私权与个人信息保护”，明确任何组织或个人不得以刺探、侵扰、泄漏、公开等方式侵害他人隐私权。个人的公民身份号码、电话号码、电子邮件地址与住所信息等均属于个人信息，其中的私密信息适用隐私权的条款，其他个人信息适用个人信息保护的规定。严重侵害个人信息的行为，可能构成《刑法》上的侵犯公民个人信息罪，须接受刑事制裁。在信息监管方面，目前已经形成了《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》等为基础的法律架构。

在健康医疗数据的第三方服务中，《国家健康医疗大数据标准、安全和服务管理办法》指明，委托方与受托方均具有数据的管理和安全责任，并不存在一托了之的取巧方式。同时，委托方在遴选数据服务供应商之前，还需前置性地审查供应商是否具备确保数据安全的能力，是否建立数据安全管理、个人隐私保护、应急响应管理等方面的管理制度。数据控制者等利益相关方需特别注意在数据分析与应用的过程中这些合规义务。

（四） 数据的涉外服务

当健康医疗数据涉及到境外业务时，利益相关方还需要关注到境外到的法律法规。特别是欧盟与美国的相关法律。

在欧盟，2018年5月正式实施了《通用数据保护条例》（General Data Protection Regulation，GDPR）。该条例被称为史上最严格的数据保护条例，它也是个人隐私与数据保护领域的一次重大变革，并有可能成为全球范围内数据保护的参考标准[6]。该条例规定，对于欧盟以外的机构，只要其产品或者服务的过程中处理了欧盟境内个体的个人数据，都将纳入该条例的适用范围。换言之，任何健康医疗产品，甚至相关网站，只要能被欧盟境内的个人访问和使用，都被认定为该产品向欧盟境内用户开放，因而适用该条例。这也是该条例在全球范围内引起极大震动的核心原因。

该条例指出处理个人数据时必须征得数据主体的同意。“同意”必须是具体且清晰的，是在充分知情的条件下自由做出的，并且数据主体可以随时撤回该同意。在当前实践中，普遍存在的使用冗长、晦涩的知情同意书来获取数据主体的同意，或者让数据主体通过“打钩”的方式所作出的一揽子授权，在该条例中将失去其合法性。

该条例规定，数据主体享有绝对的反对权。一方面，数据主体随时可以拒绝数据控制者处理其个人数据。另一方面，数据主体可以随时拒绝用其个人数据开展的营销活动。数据控制者可以使用个人数据来开展营销活动，但是当数据主体提出反对时，数据控制者必须立即停止与该数据相关的营销活动。

在该条例中，种族信息、政治倾向、宗教信仰、商业团体资格、个人健康数据、基因数据和生物特征数据，都被定义为敏感数据。只有获得数据主体的同意，并且是为了建立、履行或者保护合法的诉求，为了公共利益，才能处理敏感数据。

同时，该条例对数据控制者与数据处理者均提出了严格的要求，包括指定数据合规官、建立健全数据的安全保障、数据保护影响评估、数据泄露报告等机制[7]。

总体而言，该条例的核心目标是将个体数据的保护嵌入到组织运营之中，因此对于有涉外业务的中国企业，小至用户隐私政策、业务流程，大至战略布局，均需要重新审视与规划，否则难以在数字时代中获得国际竞争力。

在美国，目前已经建立了一整套相关法律来规范个人数据的收集和使用，特别是医疗健康、在线隐私等个人数据。美国隐私立法的特点是覆盖面广、规定明确具体、可操作性强，但分散在不同的法律中[8]。因此，我国医疗健康数据企业在计划进入美国市场时，应意识到美国隐私规则存在综合性的特点，需要充分收集消费者隐私保护、在线用户隐私保护、儿童隐私保护等方面的规则，并充分履行说明义务、风险控制义务、保障义务，加强信息保护技术的开发，以持续保护非公开个人信息[9]。

四、 合规对策

健康医疗数据的合理商业应用，对推进大健康产业的发展，促进医药卫生行业的进步具有重要意义。因此基于相关法律法规的理论指导，结合我国的实践，本文就推进健康医疗数据的商业应用提出以下合规建议与对策。

（一）落实分类分级管理

数据控制者等利益相关方应切实落实国家数据分类分级保护制度，将健康医疗数据分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据与公共卫生数据等6大类别，并进行分类管理[1]。

按照数据的重要性和风险级别以及可能造成的危害程度，进一步将健康医疗数据划分为5级进行分级管理[10]。

第1级：可以完全公开的数据。例如医院名称、等级、学科专长、医生出诊安排、地址、电话等，可直接公布在互联网上对公众开放。

第2级：可在较大范围内开放使用的数据。一般是指不能识别个人身份的数据，经过申请审核后可以用于研究分析的健康医疗数据。例如中国健康与养老追踪调查数据（China Health and Retirement Longitudinal Study，CHARLS）等。

第3级：可在中等范围内开放使用的数据。例如经过部分去标识化处理，仅限于获得授权的人员使用的健康医疗数据。

第4级：仅在较小范围内开放使用的数据。例如直接标识个人身份的医疗数据，仅限相关医护人员使用。

第5级：仅在极小范围内，严格限制使用的数据。例如艾滋病、性病、精神疾病等特殊病种的医疗数据，仅限于相关医务人员在严格管控的条件下使用。

在分类分级管理的模式下，数据控制者应通过差异化的授权管理、身份鉴别与访问控制管理等手段来精细化管理数据[11]；同时根据实际需要，数据控制者可以通过适当技术处理来调整数据等级，以促进数据的有效使用。

（二）加强有效知情同意

首先，数据控制者在使用个人健康医疗数据之前，应使用简洁、明了的语言，向数据主体介绍收集数据的内容、用途与使用方式、使用期限、数据保护措施与数据主体的权利，并要获得数据主体的有效知情同意与个人授权。当数据的使用范围超出知情同意内容时，需再次获得知情同意。当数据控制者对个人健康医疗数据进行汇聚分析得到的汇总健康医疗数据，应被认定为不再是个人健康医疗数据，但其使用仍应遵循其他相关法规的要求[12]。

其次，当数据用于营销活动时，应以合理的方式告知数据主体，让其充分知悉，并获得明确的知情同意与单独的授权，且数据主体有权随时撤销该授权。

（三）严格境外传输管理

由于健康医疗数据不能存储于境外服务器，亦不能租赁境外的服务器来存储，因此健康医疗数据不存在出境的常规需求。通常情况下，在未获得政府行业主管部门同意之前，健康医疗数据不得向境外传输[13, 14]。

数据控制者确因国际学术交流方面的要求，需向境外传输健康医疗数据时，必须经过本单位数据安全委员会的讨论审批同意，并经政府批准，经过必要的个体信息去标识化处理，方可以适当方式累计传输250条以内的非涉密、非重要的健康医疗数据。

（四）审慎安全分析应用

数据控制者应遵循“最少-必要”的原则[15]，审慎开放数据的分析与应用；确需开放分析使用时，需要数据安全委员会审查其使用目的与使用内容的正当性、必要性、合法性；在数据的分析应用中，尽可能使用各种手段做到数据的去标识化；涉及到外部供应商时，还需进行数据安全方面的尽职调查，并签署相应协议，明确双方的数据安全责任与保障措施。

（五）完善组织保障体系

数据控制者应在组织架构中设立健康医疗数据安全委员会及其办公室，以全面领导组织中的健康医疗数据安全管理工作，制定相应规章制度，规范数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等流程，并形成相应的文档记录，以降低安全风险，切实保障数据的合规应用[16]。

总体而言，健康医疗数据的商业应用在促进产业的发展，优化健康服务模式的同时，也为相关单位带来了数据安全治理方面的挑战。在对个人隐私、个人信息和数据安全进行全方位规制的背景下，健康医疗数据的企事业单位亟待加强健康医疗数据的合规建设。智慧医疗产业相关企业，尤其是拟上市企业，应加强重视数据合规管理，确保运营安全，以保障行业得到安全合规的高速增长。

参考文献

[1] 程芳. 健康医疗大数据应合规发展[J]. 法人, 2019(01):68-69.

[2] 蔡洪侠. 从企业角度简述个人信息数据合规[J]. 法制博览, 2019(12):200-203.

[3] Gkoulalas-Divanis A, Loukides G. Medical Data Privacy Handbook[M]. 2015.

[4] 毛逸潇. 数据保护合规体系研究[J]. 国家检察官学院学报, 2022,30(02):84-100.

[5] 廖明, 刘硕磊. 数据公司收集使用信息的合规风险[J]. 人民检察, 2020(04):57-59.

[6] 王融. 《欧盟数据保护通用条例》详解[J]. 大数据, 2016,2(04):93-101.

[7] 肖冬梅, 成思雯. 欧盟数据保护官制度研究[J]. 图书情报工作, 2019,63(02):144-152.

[8] 赵丽莉, 郑蕾. 美国数据与隐私安全保护制度进展述评[J]. 重庆理工大学学报(社会科学), 2019,33(10):110-118.

[9] Pezoulas V C, Exarchos T P, Fotiadis D I. Medical data sharing,Harmonization and Analytics[J]. 2020.

[10] 周建伟. 浅析智慧医疗数据合规要点[J]. 今日科技, 2021(11):43-45.

[11] 李跃忠. 浅谈大数据时代背景下的数据安全治理[J]. 中国信息化, 2021(04):76-79.

[12] 杨毅. 数据权属与合规交易研究[J]. 武汉金融, 2021(05):82-88.

[13] 梅傲, 侯之帅. 互联网企业跨境数据合规的困境及中国应对[J]. 中国行政管理, 2021(06):56-62.

[14] 邹杨, 齐佳音. 大数据企业数据跨境之合规框架分析[J]. 中国高新科技, 2021(05):33-34.

[15] 张建楠, 李莹莹, 顾宴菊, 等. 健康医疗数据共享基本原则探讨[J]. 中国工程科学, 2020,22(04):93-100.

[16] 陈磊. 隐私合规视角下数据安全建设的思考与实践[J]. 保密科学技术, 2020(04):39-46.