刘瑞爽，冯 瑶，李晓洁，张海洪，赵励彦，丛亚丽**

(1 北京大学健康医疗大数据国家研究院，北京 100191，Irs1187@vip.sina.com,fengyao@bjmu.edu.cn；2 北京大学医学人文研究院，北京 100191；3 北京大学受试者保护体系，北京 100191；4 北京大学医学部科学研究处，北京 100191)

本共识所述健康医疗大数据,是指人们在疾病防治、健康管理等过程中产生的与健康医疗相关的数据，以及对数量巨大、来源分散、格式多样的健康医疗相关数据进行采集、存储和关联分析，从中发现新知识、创造新价值、提升新能力的新一代健康医疗信息技术和健康医疗服务业态。

健康医疗数据(包括基因数据、生物识别数据、病历资料数据等)属于个人敏感数据，涉及个人敏感信息，是隐私保护的重要方面。对个人健康医疗数据保护不足，不仅会对公民的数据权利、隐私权利等产生巨大损害，也会导致公众信任危机，损害公共卫生利益，不利于我国医学科学水平的提高，严重阻碍健康医疗大数据领域的良性发展，影响广大人民群众的生命健康权益保障。

目前，我国在健康医疗大数据建设过程中涉及的伦理问题主要包括：①未经数据主体知情同意秘密窃取、非法窃取个人健康医疗数据；②超范围收集个人健康医疗数据；③“霸王式”“一揽子”获取授权或诱导、强迫数据主体提供授权；④未征得知情同意二次使用、数据流转；⑤数据存储、使用等处理失范；⑥健康医疗数据泄露或非法提供、出售；⑦对公共利益的界定不清晰，导致公权力对数据主体权利的威胁；⑧涉及健康医疗数据科学研究的伦理、法律规范欠缺，侵害受试者合法权益；⑨医疗数据资源分配不均，数据控制者缺乏合作观念，数据共享障碍较大；⑩数据质量较差、利用率低，未有效应用于科研、公共卫生决策；等。

鉴于前述挑战和问题，依据我国现行法律法规及个人信息保护相关规定，结合国际公认的伦理规范，参考国际立法，例如：欧盟一般数据保护条例(GeneralDataProtectionRegulation，GDPR)、美国健康保险携带和责任法案(HealthInsurancePortabilityandAccountabilityAct，HIPAA)等，我们在此提出倡议，旨在形成健康医疗大数据优良实践的伦理共识(以下简称“共识”)，为相关方行为规范提供参考，更好地服务于国家健康医疗大数据发展战略。

一、共识主旨

在充分保护个人(即本共识所称数据主体)健康数据权利的前提下，对数据善加利用，推动数据使用规范治理，保障数据的自由流动，促进我国健康医疗大数据的良序发展，为保护公民健康、维护公共利益、增强国家竞争力创造有利的环境。

二、个人健康医疗数据处理原则

(一)尊重个人权利，禁止滥用个人数据

鉴于个人健康医疗数据属于个人敏感数据，直接关系到自然人的基本权利与自由，依据中国现行法律和伦理规范，参照国际惯例和国外立法，原则上禁止对个人健康医疗数据进行处理，但以下符合(二)的情形除外。

(二)对个人健康医疗数据处理的合理情形

1. 数据主体明确同意基于一个或多个特定目的对其个人健康医疗数据进行处理。

2. 数据处理是为了重大公共利益，但仍应提供适当、具体的技术与组织措施以保障数据主体的基本权利与利益。

3. 数据处理是为了实现以下目的：预防医学研究、职业病防治、劳动者工作能力评估、医学诊断和治疗、提供医疗保健服务或构建健康保障体系等。在处理过程中应履行法定及符合伦理规范的保密义务。

4. 为了公共利益而建档、研究或统计的目的，应允许进行处理。但数据处理应符合国际公认伦理规范，不违反我国法律禁止性规定，采取适当且必要的技术及组织措施，符合最小必要原则。

5. 适当放宽科研目的数据处理的要求，保护科学自由，鼓励技术创新，但应与商业目的数据处理严格区分。

6. 其他有法律依据或符合国际公认伦理规范的特殊数据处理活动，例如，涉及数据主体或者其他自然人基本权利和自由的数据处理情形。

(三)个人健康医疗数据处理应遵循的一般原则

1.个人权利保护原则。数据处理过程中，应充分保障数据主体的个人数据权利。

2. 知情同意原则。数据的收集、存储、使用、分析、解释等数据处理全过程均需获取数据主体的知情同意，原则上应采取明示同意。特殊情况下，如采用默示同意，一般应保证数据主体随时退出的权利。无论明示同意还是默示同意，一般情况下，撤回同意应当与作出同意同样容易。

3. 公开透明原则。对个人健康医疗数据处理的相关事项应对数据主体公开透明。禁止秘密处理个人健康医疗数据。

4.限制原则。建立个人健康医疗数据库应合法、目的特定，处理个人信息应遵循最小必要原则，个人健康医疗数据的收集、使用范围、保存期限和销毁应受到限制。涉及公共利益而建档、科学研究、统计等目的时，可以适当放松限制。

5.数据质量原则。个人数据应当是准确的，如有必要，应及时更新；每一个步骤都应当是合理的，以确保不准确的个人数据及违反初始目的的个人数据及时得到更正或删除。数据主体有权查询其个人数据并予以合理修正。

6.责任与安全原则。数据控制者、处理者在数据处理过程中，应采取合理的技术手段(如数据加密、匿名化、访问权限、差分隐私等)、数据保护政策与组织措施，以确保个人数据的安全。对此，数据控制者、数据处理者承担举证责任。

7. 公平与规范共享原则。促进数据的有序流动与公平、规范共享，防范数据垄断、数据独裁和数据滥用。

三、数据主体权利

1. 数据主体权利包括但不限于：知情权、数据访问权、更正权、删除权(被遗忘权)、限制处理权(冻结权)、对自动化决策(包括用户画像)的自主权、数据可携带权(复制权)、反对权、随时退出权、申诉权。

2. 个人数据权利(尤其是健康医疗大数据所涉及的个人健康医疗数据等敏感数据受保护的权利)受现行法律及公认的伦理准则保护。

3. 个人数据权不是绝对的权利，应当考虑其在社会中的作用，并应当根据比例性原则与其他基本权利(包括数据控制者的合法权益)、公共利益相平衡。

4. 基于公共利益、法定义务、履行职责等数据处理活动，有法律明文规定的，应依法克减数据主体的某项或某几项权利；没有法律明文规定的，应遵守公认的伦理准则。不宜随意作出没有法律或伦理依据的扩大解释，以免滥用权力，侵害自然人的基本权利。

四、数据控制者和处理者的权利和义务

1. 数据控制者(包括共同控制者)及数据处理者应当采取必要的技术与组织措施(包括数据保护政策)以保护数据主体权利，且应对这些技术与组织措施进行定期审查与及时更新。鼓励依据现行法律规定及本共识建立数据控制者和数据处理者的行为准则或建立行业的认证机制。

2. 通过设计及默认方式，将个人数据保护的理念、隐私保护原则及数据主体的权利内化嵌合于技术及组织措施。

3.数据控制者应选用“称职的”数据处理者，即数据处理者有能力采取足够的技术与组织措施以充分保障数据主体权利。

4. 数据处理者以控制者的名义在授权范围内进行数据处理。

5. 数据处理者应保障数据的安全，保护自然人的隐私。

6. 数据处理者应对数据处理全程进行记录并存档。

7. 原则上数据处理者在完成数据处理后应及时删除数据。涉及公共利益、科研等情况除外，但应符合法律明文规定或国际公认伦理准则。

8. 经评估后，若数据处理存在高风险，应事先咨询相关监管机构并进行充分论证，方可开展数据处理。

9. 发现个人数据泄露后，应及时进行风险评估。如果评估后认为存在高风险，数据控制者、处理者应及时通知数据主体进行风险防范，并在合理时间内及时报告有关监管机构。

10. 鼓励机构设立数据保护专员，专项负责数据保护相关事宜。

11.数据控制者、数据处理者及其他相关人员应积极参加伦理培训，了解相关伦理原则与法律制度。

12. 鼓励数据控制者在健康医疗大数据方面投入、创新，按照谁使用、谁获益、谁承担数据安全等合规责任的权责利一致原则，保护数据控制者的数据使用合法权益。

五、个人健康医疗数据的跨境处理

1. 遵守国家关于健康医疗数据尤其是人类遗传资源的管理规定。

2. 鼓励本地化存储和处理。

3. 告知数据主体跨境传输的事实，征得数据主体的知情同意。

4.数据跨境传输所至国家、地区或国际组织的数据保护水平应不低于中国法律的要求。

5. 机构层面，应制定在健康医疗数据跨境传输方面的有约束力的机构规则或采取适当的保障措施。

6. 鼓励旨在推进能力建设的跨境合作与数据公平共享。

六、行业自律

1. 行业应制定关于健康医疗数据处理的自律规范。

2. 行业应开展相关培训，建立数据保护认证机制。

3. 行业应反对并防范数据垄断。采取适当的技术与组织措施，打破健康医疗大数据处理的“黑箱”，完善反垄断制度，促进数据的自由流动与数据共享，避免数据垄断和数据独裁，推动行业健康有序发展，力争健康医疗大数据的福利能够公平公正分配。

4. 鼓励企业设立数据专员，对数据收集、使用和存储等处理进行监督。数据专员需接受专业培训，熟悉相关伦理原则与法律制度。

七、完善立法

推动立法，保障数据主体的权利与健康医疗数据的自由流动，防止数据垄断及数据独裁。

八、附则

1.“个人数据”是指任何已识别或可识别的自然人(数据主体)的相关信息；一个可识别的自然人，是指通过姓名、身份编号、位置数据、在线身份标识或者通过自然人的一项或多项身体、生理、遗传、心理、经济、文化或社会身份等要素，能够直接或间接被识别的个体。

2.“个人健康医疗数据”，即“和健康、医疗相关的个人数据”，指和自然人的身体、生理或精神健康相关的、显示其个人健康状况信息的个人数据，包括卫生保健服务相关数据。

3.“数据处理”是指针对个人数据或个人数据集合的任何一项或一系列操作，如收集、记录、组织、建构、存储、修改、恢复、检索、咨询、使用、披露、传播或其他方式公开、利用、排列或组合、限制、删除或销毁，不论该操作是否采用自动化方式。

4.“匿名化”是指在采取某种方式对个人数据进行处理后，如果没有额外的信息就不能识别数据主体的个人数据处理方式。此类额外信息应当被单独存储，并且凭已有技术与组织方式确保个人数据无法指向某个已识别或可识别的自然人。

5.“限制处理”(冻结)是指对存储的个人数据进行标记，以限制未来对该数据的处理行为。

6.“用户画像”是指为了评估与自然人有关的特定方面而对个人数据进行的任何形式的自动化处理，特别是与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信誉、行为习惯、位置或行踪相关的分析或预测。

7.“数据控制者”是指单独或共同决定个人数据处理目的与方式的自然人、法人、公共机构、行政机关或其他组织。

8.“数据处理者”是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他组织。

9.数据主体的“同意”是指数据主体通过一个声明，或者通过某项清晰的确定行动而自愿作出的、充分知悉的、明确的、表明同意对其相关个人数据进行处理的意愿。(注：欧盟和我国法律均采取明示同意的方式。)

10.“个人数据泄露”是指违反个人数据在传输、存储或进行其他处理时的安全原则，导致个人数据被意外或非法破坏、丢失、篡改、未经授权的披露或访问。

11.“基因数据”是指与自然人先天或后天的遗传性特征相关的个人数据，这类数据能够反映与该自然人生理机能或健康状况相关的独特性质，特别是通过对自然人的生物样本进行分析而得出的数据。

12.“生物识别数据”是指对自然人的身体、生理或行为特征进行特定技术处理而得到的个人数据。这类个人数据能够构成识别该自然人的独特标识，例如脸部形象、虹膜、指纹或足纹数据等。

13.“比例性原则”，又称狭义比例原则、合比例性原则、均衡原则、相称性原则或法益相称性原则，原指行政主体对相对人利益的限制或损害不得超过法定目的所欲追求的公共利益，两者之间必须相称或成比例；本文中，指公共利益的保护与个人权益的保障之间应形成合适的比例，以及根据数据敏感程度采取相适应的保密和安全措施。

14.“监管机构”是指依据我国现行法律所规定的负有监管职责的行政机关或主管部门。

15.“跨境处理”是指：

(1)个人数据处理发生在控制者或处理者在多个国家所设立的营业机构内；

(2)个人数据处理是在中国的控制者或处理者的单一营业机构内进行的，但其对不止一国的数据主体具有实质性影响。

16.“国际组织”是指依照国际公法，或根据两个或多个国家协议所设立的组织及其下属机构。

致谢：

本共识由北京大学健康医疗大数据国家研究院伦理与法律研究中心课题组起草并汇总相关领域专家意见。曾在北京健康医疗大数据论坛、中华医学会医学伦理学分会第二十届学术年会与参会者进行讨论。感谢所有为本共识提出宝贵意见和建议的专家学者，后续本文还将进一步更新和完善。

特别鸣谢以下专家学者在共识起草过程中所作出的贡献(排名不分先后)：

段伟文 中国社会科学院哲学研究所

李 伦 大连理工大学人文与社会科学学部

刘银良 北京大学法学院

田海平 北京师范大学哲学学院

张玲华 深圳市人口和计划生育科学研究所