健康医疗大数据共享、开放和利用难在哪儿

　　对于健康医疗数据，目前无论是主管部门还是卫生计生机构，大都把注意力放在如何保障信息系统及系统内信息的安全，目标是使信息或信息系统免受未经授权的访问、使用、披露、破坏、修改、销毁等，也就是保障信息安全中经典的CIA三性：保密性（Confidentiality），即信息不被泄露给未经授权者的特性；完整性（Integrity），即信息在存储或传输过程中保持未经授权不能改变的特性；可用性（Availability），即信息可被授权者访问并使用的特性。

　　然而国务院6月21日下发的《关于促进和规范健康医疗大数据应用发展的指导意见》（下称《指导意见》）除信息安全外，还给卫生计生行政部门额外提出了一个棘手的课题，即如何做好健康医疗大数据的共享和开放工作。

　　《指导意见》将“坚持开放融合、共建共享”作为发展健康医疗大数据应用的三大基本原则之一，提出要“充分释放数据红利，激发大众创业、万众创新活力”。因此，在“重大任务和重大工程”中，《指导意见》明确要“建立全国健康医疗数据资源目录体系，制定分类、分级、分域健康医疗大数据开放应用政策规范，稳步推动健康医疗大数据开放”。

　　按照《指导意见》的设想，数据不能只是躺在某个医院的信息系统中，各家医疗卫生机构的数据应该汇聚到一块；数据也不能只是在健康医疗行业中实现聚合，应该打破卫生计生、工信、民政、公安、社保、环保、食药品监管等部门的壁垒，做到跨部门的数据互联共享；数据还不能只是在公共部门内流转，还应该探索推进“可穿戴设备、智能健康电子产品、健康医疗移动应用等产生的数据资源规范接入人口健康信息平台”。

　　可以说，《指导意见》描绘了一幅“互联网+医疗”的路线图：首先是健康医疗大数据从多渠道、多来源实现共享和汇聚；其次是在集中、统一的“健康医疗大数据池”之上，发展包括行业治理、临床、科研、公共卫生、数字化智能设备等应用。实现上述路线图，最重要的是在第一步中真正实现数据共享，如此健康医疗大数据才得以形成；在第二步中真正实现数据开放，如此健康医疗大数据的数据红利才得以惠泽全社会。

　　英国care.data的经验教训：医疗数据使用过程中面临安全威胁

　　数据共享和开放之所以难做，不是因为大家看不到开放共享的好处，而在于健康医疗数据大多数是“能够识别公民个人身份和涉及公民个人隐私的电子信息”；这样的数据一旦开放共享，必然伴随着个人身份和隐私信息泄露的风险。如何在共享和开放中做到趋利避害，成为我国发展健康医疗大数据应用必须克服的关口。

　　让我们再次回到命途多舛的英国care.data健康医疗大数据平台。2012年，英国通过了“医疗和社会保健法案”（Health and Social Care Act），明确赋予医疗和社会保健信息中心（Health and Social Care Information Centre， HSCIC）权力，直接从全英国的家庭医生（General Practitioner， GP）那收集其掌握的健康医疗数据，再由HSCIC负责对外的数据开放利用。（如上图所示）

　　由于家庭医生直接为病人提供医疗服务，病人当然同意其掌握自己的健康医疗数据。那家庭医生向HSCIC提供数据（见图“阶段1”，即数据共享），是否要首先得到病人的同意？而HSCIC对外开放数据（见图“阶段2”，即数据开放）前，是否又需要再次获得病人的同意？数据是否用于高质量的科研（见图“阶段3”，即数据利用）？可以说，导致care.data停摆最重要的原因之一，就在于英国国家医疗服务体系（National Health Service， NHS）在处理上述三个问题时，没能赢得英国民众和医护人员的信任。

　　在NHS看来，首先“医疗和社会保健法案”规定了HSCIC从家庭医生那收集数据，无需再征求病人同意；其次，HSCIC对外提供数据前会先将其匿名化，使数据无法再回溯至具体个人，因此HSCIC对外提供数据也无需再次获得病人同意；最后，“医疗和社会保健法案”确实没界定清楚数据可以用于哪些用途，但数据一旦匿名化后，也就谈不上什么泄露个人隐私了，所以怎么用都行。有法律和匿名化这两张好牌在握，NHS对care.data项目信心满满。

　　但医生群体却不这么看。第一，医生们认为是出于对他们的信任，病人才会将最私密的信息（数据）与他们分享，现在要求他们瞒着病人向HSCIC提供这些数据，医生普遍觉得这样的行为有悖于职业操守和病人寄予的信任；他们应有权向病人告知数据的去向，病人也应有权决定自己的数据是否提供给HSCIC。第二，医生们自己也不清楚HSCIC会将数据提供给谁，更不清楚数据将会被如何使用，在这样的情况下，他们无法向病人清楚地解释将数据提供给HSCIC的利弊，自己也就更不应按HSCIC的要求轻易地把数据交出去。

　　英国医学会（British Medical Association）对care.data的立场十分具有代表性：1.care.data项目对数据保密性关注不够，其匿名化处理后的数据仍有识别具体个人的可能性；2.care.data项目可能导致家庭医生失去病人的信任；3.care.data项目没能清晰地界定数据共享开放的用途；4.care.data项目应允许病人自主选择是否加入该项目，而非默认病人同意加入；5.数据应仅应该用于改善医疗，不应该出售盈利。

　　普通民众对于care.data项目的疑问就更多了，总结起来有以下6方面：1.care.data项目运作方式缺乏透明，到底是宣传不够，还是政府有意隐瞒信息？2.项目对隐私保护不足，人们担心医疗系统之外的机构（例如保险公司、雇主等），会得到自己的健康医疗数据；3.项目采用的默认加入模式一定程度上剥夺了民众的自主选择权；4.项目收集、使用数据的方式破坏了民众对医生和医疗系统的信任；5.许多民众还认为个人健康医疗信息和病历档案是个人财产，政府无权直接“征用”；6.很多民众不愿意公司获得他们的数据，以此研发产品和服务并获利。

　　面对民众和医生群体的质疑，NHS急忙应对。2013年4月英国卫生大臣杰瑞米·亨特不惜放弃“医疗和社会保健法案”的明确授权，公开承诺允许病人在“阶段1”和“阶段2”中可选择退出。2014年1月，NHS决定向英国所有的家庭邮寄care.data项目宣传单，结果BBC调查显示只有不到三分之一的受访者记得收到过宣传单；与此同时，NHS也没有采用配套的宣传措施，例如新闻发布会、电视宣传等，仅仅在YouTube和NHS官方网站上传了一段视频。2014年5月，英国通过针对“医疗和社会保健法案”的修正案试图厘清HSCIC数据的用途，即仅可用于“提供提高健康和社会保健，或提高健康和社会保健水平”，但该修正案依旧没有明确数据是否可向商业机构提供，例如药厂及其研究人员。

　　而接下来的几则曝光更让care.data雪上加霜。如HSCIC承认已经向160个组织出售了大量匿名或非匿名数据；更有媒体爆出某保险公司获得了数百万的病历资料，并将其用于向病人销售保险。就在2016年4月底，媒体再一次曝光NHS“秘密地”向谷歌公司提供超过120万份病历供其人工智能引擎DeepMind开展数据挖掘。终于，在公众信任危机的重压下，NHS于今年7月关停了care.data项目。

　　中国同样面临风险，现有制度设计有待完善

　　在数据共享、开放、利用三个环节，NHS在一开始设计、实施care.data项目时就准备不足。在共享环节，没能尊重各相关方的诉求和立场，更缺乏充分、有效的沟通和宣传；在开放环节中，没能对外明确数据开放的规则、流程，有意或无意的遮遮掩掩使各方疑问重生；在利用环节，始终回避是否允许商业机构获取数据这个问题，在媒体曝光之后才被动应对。这些经验教训，在我国实施“互联网+医疗”路线图过程中弥足珍贵。

　　再看国内，现阶段至少在数据共享、开放、利用的规则层面，我国同样没有太多的考虑和制度设计。卫计委于2014年印发的《人口健康信息管理办法（试行）》（下称《办法》），是目前现行的关于健康医疗数据方面最权威的规定，其中第十三条、十四条对数据共享和开放做出了安排。

　　《办法》第十三条规定：人口健康信息的利用实行分类管理，逐步实现互联共享。人口健康信息的利用应当以提高医学研究、科学决策和便民服务水平为目的。依法应当向社会公开的信息应当及时主动公开；涉及保密信息和个人隐私信息，不得对外提供。

　　第十四条规定：责任单位应当建立人口健康信息综合利用工作制度，授权利用有关信息。利用单位或者个人不得超出授权范围利用和发布人口健康信息。

　　可以看到，《办法》更多地采用了一种原则性的表述。

　　借鉴care.data项目的经验教训，我们可以对现有制度设计提出很多追问。例如，《指导意见》提出的要建设“统一权威、互联互通的人口健康信息平台”，那医院向这个平台提供数据之前，需要征求病人的同意吗？《办法》规定的“人口健康信息的利用应当以提高医学研究、科学决策和便民服务水平为目的”，那商业公司申请使用数据用于研发药品，是否符合《办法》的这条规定？《办法》规定的“涉及保密信息和个人隐私信息，不得对外提供”，其中“对外”该如何理解？是否意味着医疗系统之外的机构和个人，包括大学、科研机构等都不能利用数据？

　　信息安全和个人隐私，是发展大数据利用的两大前提。前者已经引起了各方面的关注。而对后者的保护，更多地要体现在数据共享、开放、利用的过程中，也理应获得各界足够的重视。在发展健康医疗大数据应用时，两者应当并重、并行，才能获得各界的普遍支持。