上海市协力律师事务所  

     律师助理 / 专利代理人助理

医疗大数据的收集及分析是如今国内医疗行业的工作重点之一。无论是对居民的病症诊断、医生的治疗方案指导、科研机构或药企的研发还是政府公共防疫的政策制定，医疗大数据都具有极高的价值。世界各国一直在积极探索如何在保护个人隐私的前提下实现医疗大数据的共享和开放。其中，英国政府几年来磕磕绊绊不断推动用中心化管理的方式来进行医疗大数据的采集和处理。虽然其数据共享的模式依旧不成熟，但其经验和教训对中国医药健康大数据的建立仍有一定的借鉴意义。

Care.Data——破产的英国医疗大数据1.0

英国一直致力于打造一个官方机构来中心化地收集及管理全国的医疗数据信息。从已经流产的Care.Data项目到如今备受质疑的GPDPR倡议（General Practice Data for Planning and Research），医疗大数据的建立虽然阻力重重，英国仍旧不断努力地使其医疗数据收集和共享的制度更加合规。

在英国国家医疗服务体系NHS的指导下,英国医疗和社会保健信息中心HSCIC于2013年启动了Care.Data项目。该项目意在收集患者于家庭医生处就诊的医疗数据。在英国相比于去医院就诊，患者更倾向于去看家庭医生。因此家庭医生的医疗数据相比医院的医疗数据而言数量更加庞大，涉及到的个人隐私信息也更加之多。正因如此，虽然英国长久以来都在收集医院数据，但这次对家庭医生诊疗数据的收集引起了人们对医疗数据和隐私安全极大的担忧。在Care.Data项目启动之后，隐私保护组织即发起了“医疗数据保密倡议”（medConfidential），呼吁关注医疗数据使用过程中面临的安全威胁。

家庭医生的患者病历（摄影：Carl Court/Getty Images）

随着英国官方对Care.Data的强行推动，包括要求所有家庭医生在8周内通知所有病人Care.Data所需收集的信息，英国群众反对的声浪也愈加激烈。反对者认为，病人没有获得Care.Data项目足够的知情权，并且选择性退出该项目的渠道和方法亦不清楚。在官方派发的Care.Data宣传手册中，只描述了项目带来的好处，并没有提供选择性退出的表格。

在患者、医生对Care.Data项目的透明度表示怀疑的同时，HSCIC又陆续被爆出将医疗数据出售给保险公司等丑闻。社会重重的质疑和家庭医生及病患集体退出的压力最终使得NHS在2016年宣布停止Care.Data计划。

GPDPR——波折的英国医疗大数据2.0

2019年爆发的新冠疫情使得对医疗大数据进行收集以作防疫和研究之用的需求再次被提上议程。2021年5月，一个全新的医疗数据收集项目GPDPR正式被公布。相比破产的Care.Data，GDPDR所面临的法律层面上的挑战是更加严峻的。随着欧洲通用数据保护条例GDPR和英国数据保护法DPA的相应出台，个人数据及隐私的保护被提升到了一个新的高度。

一方面吸取了Care.Data失败的经验教训，一方面必须满足GDPR及DPA的要求，NHS Digital作为本次GPDPR项目的医疗数据收集者，在数据安全和合规方面做出了更多的努力，也实行了相当程度的合规措施。

首先，NHS Digital在其官方网站显眼位置发布了透明度声明（Transparency Notice)，该声明完整公开了GPDPR项目的各种信息，包括数据收集的主体、收集数据的种类，每一种数据的收集目的、数据的接触者是谁、数据是否涉敏、数据是否出境、数据保存的期限以及数据主体在相应数据收集中可以主张和必须放弃的权利，并且注明了GDPR和DPA中相应的法律支持依据。

NHS Digital成年人牙齿健康调查项目的GDPR信息（摘自NHS Digital官网）

除此之外，NHS Digital在官网详细说明了两种选择性退出的机制及流程，分别为type-1 opt-out及national data opt-out。前者在退出后，NHS Digital将不再收集其个人医疗信息；后者则是在退出后，NHS Digital依旧收集其个人医疗信息，但不会将其信息共享给任何第三方。

NHS Digital关于两种退出机制的说明（摘自NHS Digital官网）

在数据共享方面，每个申请获取数据的外部主体都需要按照项目在NHS Digital进行注册，注册通过的项目和主体的信息会在每个月进行一次更新并公示；NHS Digital的IGARD（Independent Group Advising on the Release of Data）负责对每个申请进行严格审查。审查的会议记录在NHS Digital官网上公开；NHS Digital亦会对获取数据的主体进行审计，审计报告也可以在官网查询。

NHS Digital 10月公布的医疗数据使用项目情况表的部分（摘自NHS Digital官网）

虽然在数据合规方面，NHS Digital在形式上已经做到了极致，但GDPR的第89条规定了在以公共服务为目的的情况下，各欧盟成员国在其本土立法时可以相应克减数据主体在GDPR中被赋予的某些权利；而英国在DPA中则把GDPR第89条的精神落实在了第一章第一部分的第二节（Schedule 1, Part 1, paragraph 2）。这也直接导致了在某些数据的收集中，患者对自己的医疗数据无法主张删除等权利。

因此在相对合规的情况下，GPDPR也还是受到了诸多的质疑，包括被法律排除在外的删除权的问题，以及在技术上NHS Digital是否可以保证其共享的数据能够一直处于可信的安全环境下。GPDPR也因此被迫从预定的7月正式启动延期至了9月。

结 语

相比于将数据市场化，通过政府或指定的第三方来中心化采集并管理敏感的医疗大数据更加适应当前的国内环境。因此英国目前针对医疗大数据的相关制度以及NHS Digital相应的合规措施对中国医疗大数据的建立具有相当高的参考价值。中国《个人信息保护法》对个人数据保护的力度丝毫不亚于GDPR和DPA，甚至更加严格。在没有类似GDPR第89条规定的情况下，如何在法律层面实现合法采集、处理应用于公共服务领域的个人数据仍旧是一个亟待讨论和解决的问题。一些地区已在尝试通过地方性法规构建“公共数据”的概念来对抗个人在该类数据上的部分权利，是否能够在法律的框架内部实现突破仍然有待观察。

参考文献

1. 洪延青：《健康医疗数据 | NHS计划与第三方共享病人记录》，载自公众号 网安寻路人，2021年6月19日

2. 大数据时代：《【特别关注】英国健康医疗大数据平台care.data做错了什么？》，载自公众号 大数据时代杂志社，2016年7月28日

3. Awil Mohamoud：《New GP data extraction ‘far exceeds’ care.data plans, warn privacy campaigners》，载自Pulsetoday，2021年5月24日

4. James Castro Edwards：《Not without consent: Legal risks for NHS data sharing》，载自PharmaTimes magazine，2021年10月

5. Wikipedia：Care.Data词条，https://en.wikipedia.org/wiki/Care.data

6. Wikipedia：General Practice Data for Planning and Research词条，

https://en.wikipedia.org/wiki/General_Practice_Data_for_Planning_and_Research