论文部分内容阅读
在数据共享、开放、利用的规则层面,借鉴care.data项目的经验教训,我们可以对现有制度设计提出很多追问。
对于健康医疗数据,目前无论是主管部门还是卫生计生机构,大都把注意力放在如何保障信息系统及系统内信息的安全,目标是使信息或信息系统免受未经授权的访问、使用、披露、破坏、修改、销毁等,也就是保障信息安全中经典的CIA三性:保密性(Confidentiality),即信息不被泄露给未经授权者的特性;完整性(Integrity),即信息在存储或传输过程中保持未经授权不能改变的特性;可用性(Availability),即信息可被授权者访问并使用的特性。
然而国务院6月21日下发的《关于促进和规范健康医疗大数据应用发展的指导意见》(下称《指导意见》)除信息安全外,还给卫生计生行政部门额外提出了一个棘手的课题,即如何做好健康医疗大数据的共享和开放工作。
《指导意见》将“坚持开放融合、共建共享”作为发展健康医疗大数据应用的三大基本原则之一,提出要“充分释放数据红利,激发大众创业、万众创新活力”。因此,在“重大任务和重大工程”中,《指导意见》明确要“建立全国健康医疗数据资源目录体系,制定分类、分级、分域健康医疗大数据开放应用政策规范,稳步推动健康医疗大数据开放”。
按照《指导意见》的设想,数据不能只是躺在某个医院的信息系统中,各家医疗卫生机构的数据应该汇聚到一块;数据也不能只是在健康医疗行业中实现聚合,应该打破卫生计生、工信、民政、公安、社保、环保、食药品监管等部门的壁垒,做到跨部门的数据互联共享;数据还不能只是在公共部门内流转,还应该探索推进“可穿戴设备、智能健康电子产品、健康医疗移动应用等产生的数据资源规范接入人口健康信息平台”。
可以说,《指导意见》描绘了一幅“互联网 医疗”的路线图:首先是健康医疗大数据从多渠道、多来源实现共享和汇聚;其次是在集中、统一的“健康医疗大数据池”之上,发展包括行业治理、临床、科研、公共卫生、数字化智能设备等应用。实现上述路线图,最重要的是在第一步中真正实现数据共享,如此健康医疗大数据才得以形成;在第二步中真正实现数据开放,如此健康医疗大数据的数据红利才得以惠泽全社会。
英国care.data的经验教训:医疗数据使用过程中面临安全威胁
数据共享和开放之所以难做,不是因为大家看不到开放共享的好处,而在于健康医疗数据大多数是“能够识别公民个人身份和涉及公民个人隐私的电子信息”;这样的数据一旦开放共享,必然伴随着个人身份和隐私信息泄露的风险。如何在共享和开放中做到趋利避害,成为我国发展健康医疗大数据应用必须克服的关口。
让我们再次回到命途多舛的英国care.data健康医疗大数据平台。2012年,英国通过了“医疗和社会保健法案”(Health and Social Care Act),明确赋予医疗和社会保健信息中心(Health and Social Care Information Centre, HSCIC)权力,直接从全英国的家庭医生(General Practitioner, GP)那收集其掌握的健康医疗数据,再由HSCIC负责对外的数据开放利用。(如上图所示)
由于家庭医生直接为病人提供医疗服务,病人当然同意其掌握自己的健康医疗数据。那家庭医生向HSCIC提供数据(见图“阶段1”,即数据共享),是否要首先得到病人的同意?而HSCIC对外开放数据(见图“阶段2”,即数据开放)前,是否又需要再次获得病人的同意?数据是否用于高质量的科研(见图“阶段3”,即数据利用)?可以说,导致care.data停摆最重要的原因之一,就在于英国国家医疗服务体系(National Health Service, NHS)在处理上述三个问题时,没能赢得英国民众和医护人员的信任。
在NHS看来,首先“医疗和社会保健法案”规定了HSCIC从家庭医生那收集数据,无需再征求病人同意;其次,HSCIC对外提供数据前会先将其匿名化,使数据无法再回溯至具体个人,因此HSCIC对外提供数据也无需再次获得病人同意;最后,“医疗和社会保健法案”确实没界定清楚数据可以用于哪些用途,但数据一旦匿名化后,也就谈不上什么泄露个人隐私了,所以怎么用都行。有法律和匿名化这两张好牌在握,NHS对care.data项目信心满满。
但医生群体却不这么看。第一,医生们认为是出于对他们的信任,病人才会将最私密的信息(数据)与他们分享,现在要求他们瞒着病人向HSCIC提供这些数据,医生普遍觉得这样的行为有悖于职业操守和病人寄予的信任;他们应有权向病人告知数据的去向,病人也应有权决定自己的数据是否提供给HSCIC。第二,医生们自己也不清楚HSCIC会将数据提供给谁,更不清楚数据将会被如何使用,在这样的情况下,他们无法向病人清楚地解释将数据提供给HSCIC的利弊,自己也就更不应按HSCIC的要求轻易地把数据交出去。
英国医学会(British Medical Association)对care.data的立场十分具有代表性:1.care.data项目对数据保密性关注不够,其匿名化处理后的数据仍有识别具体个人的可能性;2.care.data项目可能导致家庭医生失去病人的信任;3.care.data项目没能清晰地界定数据共享开放的用途;4.care.data项目应允许病人自主选择是否加入该项目,而非默认病人同意加入;5.数据应仅应该用于改善医疗,不应该出售盈利。
普通民众对于care.data项目的疑问就更多了,总结起来有以下6方面:1.care.data项目运作方式缺乏透明,到底是宣传不够,还是政府有意隐瞒信息?2.项目对隐私保护不足,人们担心医疗系统之外的机构(例如保险公司、雇主等),会得到自己的健康医疗数据;3.项目采用的默认加入模式一定程度上剥夺了民众的自主选择权;4.项目收集、使用数据的方式破坏了民众对医生和医疗系统的信任;5.许多民众还认为个人健康医疗信息和病历档案是个人财产,政府无权直接“征用”;6.很多民众不愿意公司获得他们的数据,以此研发产品和服务并获利。 面对民众和医生群体的质疑,NHS急忙应对。2013年4月英国卫生大臣杰瑞米·亨特不惜放弃“医疗和社会保健法案”的明确授权,公开承诺允许病人在“阶段1”和“阶段2”中可选择退出。2014年1月,NHS决定向英国所有的家庭邮寄care.data项目宣传单,结果BBC调查显示只有不到三分之一的受访者记得收到过宣传单;与此同时,NHS也没有采用配套的宣传措施,例如新闻发布会、电视宣传等,仅仅在YouTube和NHS官方网站上传了一段视频。2014年5月,英国通过针对“医疗和社会保健法案”的修正案试图厘清HSCIC数据的用途,即仅可用于“提供提高健康和社会保健,或提高健康和社会保健水平”,但该修正案依旧没有明确数据是否可向商业机构提供,例如药厂及其研究人员。
而接下来的几则曝光更让care.data雪上加霜。如HSCIC承认已经向160个组织出售了大量匿名或非匿名数据;更有媒体爆出某保险公司获得了数百万的病历资料,并将其用于向病人销售保险。就在2016年4月底,媒体再一次曝光NHS“秘密地”向谷歌公司提供超过120万份病历供其人工智能引擎DeepMind开展数据挖掘。终于,在公众信任危机的重压下,NHS于今年7月关停了care.data项目。
中国同样面临风险,
现有制度设计有待完善
在数据共享、开放、利用三个环节,NHS在一开始设计、实施care.data项目时就准备不足。在共享环节,没能尊重各相关方的诉求和立场,更缺乏充分、有效的沟通和宣传;在开放环节中,没能对外明确数据开放的规则、流程,有意或无意的遮遮掩掩使各方疑问重生;在利用环节,始终回避是否允许商业机构获取数据这个问题,在媒体曝光之后才被动应对。这些经验教训,在我国实施“互联网 医疗”路线图过程中弥足珍贵。
再看国内,现阶段至少在数据共享、开放、利用的规则层面,我国同样没有太多的考虑和制度设计。卫计委于2014年印发的《人口健康信息管理办法(试行)》(下称《办法》),是目前现行的关于健康医疗数据方面最权威的规定,其中第十三条、十四条对数据共享和开放做出了安排。
《办法》第十三条规定:人口健康信息的利用实行分类管理,逐步实现互联共享。人口健康信息的利用应当以提高医学研究、科学决策和便民服务水平为目的。依法应当向社会公开的信息应当及时主动公开;涉及保密信息和个人隐私信息,不得对外提供。
第十四条规定:责任单位应当建立人口健康信息综合利用工作制度,授权利用有关信息。利用单位或者个人不得超出授权范围利用和发布人口健康信息。
可以看到,《办法》更多地采用了一种原则性的表述。借鉴care.data项目的经验教训,我们可以对现有制度设计提出很多追问。例如,《指导意见》提出的要建设“统一权威、互联互通的人口健康信息平台”,那医院向这个平台提供数据之前,需要征求病人的同意吗?《办法》规定的“人口健康信息的利用应当以提高医学研究、科学决策和便民服务水平为目的”,那商业公司申请使用数据用于研发药品,是否符合《办法》的这条规定?《办法》规定的“涉及保密信息和个人隐私信息,不得对外提供”,其中“对外”该如何理解?是否意味着医疗系统之外的机构和个人,包括大学、科研机构等都不能利用数据?
信息安全和个人隐私,是发展大数据利用的两大前提。前者已经引起了各方面的关注。而对后者的保护,更多地要体现在数据共享、开放、利用的过程中,也理应获得各界足够的重视。在发展健康医疗大数据应用时,两者应当并重、并行,才能获得各界的普遍支持。
对于健康医疗数据,目前无论是主管部门还是卫生计生机构,大都把注意力放在如何保障信息系统及系统内信息的安全,目标是使信息或信息系统免受未经授权的访问、使用、披露、破坏、修改、销毁等,也就是保障信息安全中经典的CIA三性:保密性(Confidentiality),即信息不被泄露给未经授权者的特性;完整性(Integrity),即信息在存储或传输过程中保持未经授权不能改变的特性;可用性(Availability),即信息可被授权者访问并使用的特性。
然而国务院6月21日下发的《关于促进和规范健康医疗大数据应用发展的指导意见》(下称《指导意见》)除信息安全外,还给卫生计生行政部门额外提出了一个棘手的课题,即如何做好健康医疗大数据的共享和开放工作。
《指导意见》将“坚持开放融合、共建共享”作为发展健康医疗大数据应用的三大基本原则之一,提出要“充分释放数据红利,激发大众创业、万众创新活力”。因此,在“重大任务和重大工程”中,《指导意见》明确要“建立全国健康医疗数据资源目录体系,制定分类、分级、分域健康医疗大数据开放应用政策规范,稳步推动健康医疗大数据开放”。
按照《指导意见》的设想,数据不能只是躺在某个医院的信息系统中,各家医疗卫生机构的数据应该汇聚到一块;数据也不能只是在健康医疗行业中实现聚合,应该打破卫生计生、工信、民政、公安、社保、环保、食药品监管等部门的壁垒,做到跨部门的数据互联共享;数据还不能只是在公共部门内流转,还应该探索推进“可穿戴设备、智能健康电子产品、健康医疗移动应用等产生的数据资源规范接入人口健康信息平台”。
可以说,《指导意见》描绘了一幅“互联网 医疗”的路线图:首先是健康医疗大数据从多渠道、多来源实现共享和汇聚;其次是在集中、统一的“健康医疗大数据池”之上,发展包括行业治理、临床、科研、公共卫生、数字化智能设备等应用。实现上述路线图,最重要的是在第一步中真正实现数据共享,如此健康医疗大数据才得以形成;在第二步中真正实现数据开放,如此健康医疗大数据的数据红利才得以惠泽全社会。
英国care.data的经验教训:医疗数据使用过程中面临安全威胁
数据共享和开放之所以难做,不是因为大家看不到开放共享的好处,而在于健康医疗数据大多数是“能够识别公民个人身份和涉及公民个人隐私的电子信息”;这样的数据一旦开放共享,必然伴随着个人身份和隐私信息泄露的风险。如何在共享和开放中做到趋利避害,成为我国发展健康医疗大数据应用必须克服的关口。
让我们再次回到命途多舛的英国care.data健康医疗大数据平台。2012年,英国通过了“医疗和社会保健法案”(Health and Social Care Act),明确赋予医疗和社会保健信息中心(Health and Social Care Information Centre, HSCIC)权力,直接从全英国的家庭医生(General Practitioner, GP)那收集其掌握的健康医疗数据,再由HSCIC负责对外的数据开放利用。(如上图所示)
由于家庭医生直接为病人提供医疗服务,病人当然同意其掌握自己的健康医疗数据。那家庭医生向HSCIC提供数据(见图“阶段1”,即数据共享),是否要首先得到病人的同意?而HSCIC对外开放数据(见图“阶段2”,即数据开放)前,是否又需要再次获得病人的同意?数据是否用于高质量的科研(见图“阶段3”,即数据利用)?可以说,导致care.data停摆最重要的原因之一,就在于英国国家医疗服务体系(National Health Service, NHS)在处理上述三个问题时,没能赢得英国民众和医护人员的信任。
在NHS看来,首先“医疗和社会保健法案”规定了HSCIC从家庭医生那收集数据,无需再征求病人同意;其次,HSCIC对外提供数据前会先将其匿名化,使数据无法再回溯至具体个人,因此HSCIC对外提供数据也无需再次获得病人同意;最后,“医疗和社会保健法案”确实没界定清楚数据可以用于哪些用途,但数据一旦匿名化后,也就谈不上什么泄露个人隐私了,所以怎么用都行。有法律和匿名化这两张好牌在握,NHS对care.data项目信心满满。
但医生群体却不这么看。第一,医生们认为是出于对他们的信任,病人才会将最私密的信息(数据)与他们分享,现在要求他们瞒着病人向HSCIC提供这些数据,医生普遍觉得这样的行为有悖于职业操守和病人寄予的信任;他们应有权向病人告知数据的去向,病人也应有权决定自己的数据是否提供给HSCIC。第二,医生们自己也不清楚HSCIC会将数据提供给谁,更不清楚数据将会被如何使用,在这样的情况下,他们无法向病人清楚地解释将数据提供给HSCIC的利弊,自己也就更不应按HSCIC的要求轻易地把数据交出去。
英国医学会(British Medical Association)对care.data的立场十分具有代表性:1.care.data项目对数据保密性关注不够,其匿名化处理后的数据仍有识别具体个人的可能性;2.care.data项目可能导致家庭医生失去病人的信任;3.care.data项目没能清晰地界定数据共享开放的用途;4.care.data项目应允许病人自主选择是否加入该项目,而非默认病人同意加入;5.数据应仅应该用于改善医疗,不应该出售盈利。
普通民众对于care.data项目的疑问就更多了,总结起来有以下6方面:1.care.data项目运作方式缺乏透明,到底是宣传不够,还是政府有意隐瞒信息?2.项目对隐私保护不足,人们担心医疗系统之外的机构(例如保险公司、雇主等),会得到自己的健康医疗数据;3.项目采用的默认加入模式一定程度上剥夺了民众的自主选择权;4.项目收集、使用数据的方式破坏了民众对医生和医疗系统的信任;5.许多民众还认为个人健康医疗信息和病历档案是个人财产,政府无权直接“征用”;6.很多民众不愿意公司获得他们的数据,以此研发产品和服务并获利。 面对民众和医生群体的质疑,NHS急忙应对。2013年4月英国卫生大臣杰瑞米·亨特不惜放弃“医疗和社会保健法案”的明确授权,公开承诺允许病人在“阶段1”和“阶段2”中可选择退出。2014年1月,NHS决定向英国所有的家庭邮寄care.data项目宣传单,结果BBC调查显示只有不到三分之一的受访者记得收到过宣传单;与此同时,NHS也没有采用配套的宣传措施,例如新闻发布会、电视宣传等,仅仅在YouTube和NHS官方网站上传了一段视频。2014年5月,英国通过针对“医疗和社会保健法案”的修正案试图厘清HSCIC数据的用途,即仅可用于“提供提高健康和社会保健,或提高健康和社会保健水平”,但该修正案依旧没有明确数据是否可向商业机构提供,例如药厂及其研究人员。
而接下来的几则曝光更让care.data雪上加霜。如HSCIC承认已经向160个组织出售了大量匿名或非匿名数据;更有媒体爆出某保险公司获得了数百万的病历资料,并将其用于向病人销售保险。就在2016年4月底,媒体再一次曝光NHS“秘密地”向谷歌公司提供超过120万份病历供其人工智能引擎DeepMind开展数据挖掘。终于,在公众信任危机的重压下,NHS于今年7月关停了care.data项目。
中国同样面临风险,
现有制度设计有待完善
在数据共享、开放、利用三个环节,NHS在一开始设计、实施care.data项目时就准备不足。在共享环节,没能尊重各相关方的诉求和立场,更缺乏充分、有效的沟通和宣传;在开放环节中,没能对外明确数据开放的规则、流程,有意或无意的遮遮掩掩使各方疑问重生;在利用环节,始终回避是否允许商业机构获取数据这个问题,在媒体曝光之后才被动应对。这些经验教训,在我国实施“互联网 医疗”路线图过程中弥足珍贵。
再看国内,现阶段至少在数据共享、开放、利用的规则层面,我国同样没有太多的考虑和制度设计。卫计委于2014年印发的《人口健康信息管理办法(试行)》(下称《办法》),是目前现行的关于健康医疗数据方面最权威的规定,其中第十三条、十四条对数据共享和开放做出了安排。
《办法》第十三条规定:人口健康信息的利用实行分类管理,逐步实现互联共享。人口健康信息的利用应当以提高医学研究、科学决策和便民服务水平为目的。依法应当向社会公开的信息应当及时主动公开;涉及保密信息和个人隐私信息,不得对外提供。
第十四条规定:责任单位应当建立人口健康信息综合利用工作制度,授权利用有关信息。利用单位或者个人不得超出授权范围利用和发布人口健康信息。
可以看到,《办法》更多地采用了一种原则性的表述。借鉴care.data项目的经验教训,我们可以对现有制度设计提出很多追问。例如,《指导意见》提出的要建设“统一权威、互联互通的人口健康信息平台”,那医院向这个平台提供数据之前,需要征求病人的同意吗?《办法》规定的“人口健康信息的利用应当以提高医学研究、科学决策和便民服务水平为目的”,那商业公司申请使用数据用于研发药品,是否符合《办法》的这条规定?《办法》规定的“涉及保密信息和个人隐私信息,不得对外提供”,其中“对外”该如何理解?是否意味着医疗系统之外的机构和个人,包括大学、科研机构等都不能利用数据?
信息安全和个人隐私,是发展大数据利用的两大前提。前者已经引起了各方面的关注。而对后者的保护,更多地要体现在数据共享、开放、利用的过程中,也理应获得各界足够的重视。在发展健康医疗大数据应用时,两者应当并重、并行,才能获得各界的普遍支持。