查看原文
其他

数字医疗行业的数据合规挑战

牛哲轩 知识产权那点事 2022-11-17

文/ 牛哲轩 上海市协力律师事务所


2021年因诞生了许多新兴概念而被奉为诸如“元宇宙元年”、“NFT元年”的各种“元年”。在这些新兴概念中,数字医疗虽远不及元宇宙和NFT出圈,但无论是数字医疗产业脚踏实地的发展外加资本对该领域的看好都让人无法忽视这颗低调的希望之星。


数字医疗DTx(Digital Therapeutics),是利用终端实现医疗软件和病患之间的交互,通过软件程序根据病患的反馈信息向病患提供针对性的疗法。说数字医疗低调,是因为其毕竟涉及医疗行业,受到行业相关法规的严格监管。和“万物皆可元宇宙”相比,其概念的炒作受到限制,行业的准入门槛也相对较高。


美国食品药品监督管理局FDA在2017年发布了《数字健康创新行动计划》,并在同年批准了Pear Therapeutics的ReSET产品,标志着全球范围内数字医疗的开端。我国紧跟步伐随即出台了《移动医疗器械注册技术审查指导规则》,在2020年底批准了第一款数字医疗产品术康app。监管方面的积极信号让看到机会的医疗从业者和资本纷纷涌入赛道,技术的创新和行政的审批在过去的一年如火如荼不断进行着,因此将2021年称作是中国的“数字医疗元年”也丝毫不过分。


全球第一款数字医疗产品ReSET


知产行业从业者对“数字医疗元年”最直观的体验就是数字医疗专利业务的需求量激增。国外的先驱DTx企业致力于通过国外优先权或PCT的方式将原有他国专利技术转入中国,而国内的后进企业也在纷纷进行技术和专利的布局,并对国外企业进行专利无效上的狙击。


专利和技术固然重要,但一方面,与几年前相比如今国内专利的攻防模式已日趋成熟,委托专业代理机构和律所的从业者除了花钱之外并不需要付出太多精力;另一方面,与其他行业相比,数字医疗的概念虽然新颖,但目前为止实现这个产品对一些基础技术力的要求不高,不需要对已有的技术进行升级换代式的革新。


举例来说,一个肢体康复训练的数字医疗产品,其在技术的实现上与疫情期间火爆的“健身环大冒险”游戏没有本质上的区别——软件对使用者的动作进行指导,而使用者通过健身环完成动作进而给软件以反馈。可能个别产品会使用VR、AR、动作捕捉、手环等设备来增强交互体验和信息传输,但其本质仍然是现有技术。由此也可以看出,数字医疗的价值并不表现在形成其产品“外观”的那些技术,而是依托于其背后蕴藏无穷潜力的大数据。


健身环大冒险


对于传统医药,一般患者在线下自行服药后不会给制药公司反馈,制药公司很难收集患者服药的相关数据。但数字医疗是建立在交互上的,通过患者反馈的各种数据,软件才能给出相应的指导。换言之,数字医疗的使用必然伴随着对个人数据的收集。收集而来的数据可以对原产品甚至其他产品作出针对性的升级和更新。在这数据为王的时代,握有大量病患个人数据的价值不言而喻。但紧随而来的就是患者数据合规和安全方面的问题。而这些问题或许将会成为只专注于技术的从业者的命门。


芬兰数字医疗公司Vastaamo就曾在2020年9月爆发了医疗数据泄露事件。黑客盗取了这家主要致力于心理疾病的企业的患者数据,并对患者进行邮件勒索。经此事件后,Vastaamo公司在2021年2月正式破产。


Vastaamo的行政处罚通告


根据数据安全公司调查的结果,Vastaamo没有对病患数据采取最基本的数据库方面的技术保护措施;并且在发生数据泄露后,Vastaamo也未能及时将此情况通报给监管机构及客户。因违反了欧洲一般数据保护法GDPR的相关规定,Vastaamo被监管机构罚款60余万欧元。可见数据合规方面的风险对于数字医疗企业而言绝非危言耸听。


然而Vastaamo违反的还仅是最基本的数据合规问题。无论是保障数据的安全的技术措施,还是降低泄露隐患和影响的管理制度,都是任何行业的数据处理者普遍需要注意的问题,而在这些问题上目前也有较为通行的合规手段。但数字医疗因其行业的特殊性,其运作的模式与各国现行的数据法规存在着天然的不兼容。


首先,当数字医疗企业依托大数据进行机器学习或深度学习时,其将不可避免地违背数据合规中的“目的限制原则”、“数据最小化原则”和“储存限制原则”。



“目的限制原则”是指数据处理者收集或处理的数据不能超过其目的范围,而“数据最小化原则”则是要求数据处理者只能收集或处理以达成目的为限的最小数量数据。这显然和利用大数据来进行机器学习的思路南辕北辙。机器学习或深度学习往往会利用机器或AI来自主地进行学习或做出决策,故用于学习的数据的用途是无法事先被预知的;而大数据的基础也是建立在“患寡不患多”的“盲目”数据收集之上,因此“最小化”的收集方式也不够切合实际。在此基础上,一个项目收集或处理完的数据也会预备着用于其他项目,不可能如“储存限制原则”要求的那般在完成项目后及时删除数据。


此外,界定数字医疗行业数据是否为敏感数据亦是一项十分困难的任务。各国数据保护法对敏感数据和非敏感数据的合规要求是不一致的。数字医疗这个行业固然涉及敏感数据,但并非所有数据都将“敏感”体现得那么明显。



与患者的疾病、种族等信息不同,一些个人数据,诸如饮食、睡眠和运动习惯并不是通常意义上的敏感数据。一方面,很少有明确的规定来对这些数据的敏感性去做具体的区分,另一方面,在大数据等技术的加持下,这些原本不甚敏感的信息经过整合和学习之后亦存在衍生出敏感信息的可能。再加上诸如“脱敏脱密”后的医疗数据是否还受制于敏感数据的规定,何种情况下可以认为是完全“脱敏脱密”等问题,在“敏感”界限模糊的情况下,数字医疗行业在此方面的合规工作也面临着巨大挑战。


最后,通知-同意原则也会是数字医疗行业的一个痛点。用户的“被动同意”或“无效同意”一直是各行各业数据收集的一个问题,但数字医疗会把这个问题更加放大。一方面是因为数字医疗的专业程度更高。即使是主观上愿意尽通知义务的企业也很难将令普通用户理解其数据处理的算法和逻辑,不用说数据处理方法还涉及到技术秘密的问题。所以光是在“通知”这一环节上就无法理想地实现。这也同时违反了“透明原则”,即无法给用户提供便捷的了解信息渠道。



而在“同意”方面,数字化生活是大势所趋,用户很难因为坚持自己的数据权利而放弃存在数据合规瑕疵的数字医疗服务;处于优势地位的数字医疗企业从功利的角度也不具备保障用户数据权益的动机。在这种不平等下,用户的“被动同意”现象将会比现有的app“默示同意”乱象更加严重。


以上的种种矛盾事实上不仅仅存在于数字医疗,而是整个大数据技术和行业共同面临的难题。但数字医疗作为目前大数据技术应用前景最好、发展最迅速的行业,数字医疗企业或许是第一批接收大数据合规洗礼的“幸运儿”。诸如Vastaamo的企业已在初期的优存劣汰中出局,未来也必然有企业陆续倒在前行的路上。能够坚持到终点的企业也许未必是技术上最先进的一群,但必然是在数据合规上最用心的那批。


参考文献

1. Adriana Riviere-Badell & Alexandria Swette: 《The Regulatory Growing Pains For Digital Health Companies》,载自Law360,2021年9月7日

2. Luca Marelli, Elisa Lievevrouw & Ine Van Hoyweghen:《Fit for purpose? The GDPR and the governance of European digital health》

https://www.researchgate.net/publication/339148440_Fit_for_purpose_The_GDPR_and_the_governance_of_European_digital_health

3. The Office of the Data Protection Ombudsman:《Administrative fine imposed on psychotherapy centre Vastaamo for data protection violations》

https://tietosuoja.fi/en/-/administrative-fine-imposed-on-psychotherapy-centre-vastaamo-for-data-protection-violations


(本文为授权发布,仅代表作者观点,未经许可不得转载)


“星标”、“转发”、“在看”,给小编加鸡腿哦!投稿请联系shipa@shipa.org

近期活动1


欢迎各位知识产权法律界人士积极参与 👇


希望新文娱领域法律界、行业界人士踊跃推荐 👇


近期热文

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存