邵华

人工智能时代的到来，移动智能终端的普及，各种电子病历系统、医保智能健康平台、疫苗服务平台等应用系统的出现，使得收集个人健康医疗信息变得极为便利；这些信息集中形成健康医疗大数据后，被广泛应用于疾病管理、药物研究、公卫治理、疫情防控等方面，为维护公民健康提供了更精准的信息支持，但数据安全所面临的风险也为医疗纠纷、伦理争议的暴发埋下了隐患。2019年德国一家漏洞分析和管理公司发现，近28万条涉及中国患者的个人信息及医疗情况的医疗放射图像数据暴露在公共互联网中。[1]

2021年是我国数据保护立法发展大年，《数据安全法》《个人信息保护法》出台并施行。以保护个人信息为主旨的《个人信息保护法》，是数字社会治理与数字经济发展的基本法。[2]相较于《网络安全法》《数据安全法》《民法典》，《个人信息保护法》的出台，为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。[3]鉴于《个人信息保护法》对个人信息处理者明确提出了数据合规的各项义务，本文据此从患者个人信息保护的角度，分析我国医疗卫生机构有哪些具体的数据合规义务，又面临哪些风险和困难，以及该如何提高数据合规管理水平，以实现对患者数据安全的保障。

目前围绕健康医疗大数据安全的研究，多数是从患者隐私权保护的角度展开。有研究指出，大数据背景下健康医疗信息的结构性变化，使现行健康医疗隐私规则所提供的个体隐私保护机制几近失效[4]；因此，如何解决数据共享与隐私保护之间的紧张关系并释放数据的潜在价值，是中国立法亟需解决的问题[5]。鉴于健康医疗大数据产业经济是形成于互联网技术发展基础上的新型经济模式，要考虑对数据应用的不同阶段、不同情况而适用不同的规制方式。[6]此外，从防范健康医疗大数据滥用风险的视角，有研究指出，提高医疗大数据应用的透明度，改善问责制，是阻止大数据滥用风险并提高患者信任度的方案。[7]还有研究建议，通过技术中介机构来进行非传统的监管；这些中介机构可以补充而不是取代FDA这种传统监管机构。[8]这些研究为本文思路的拓展提供了有益的借鉴。对医疗卫生机构来说，医疗健康大数据既是为患者提供服务的根据，也是含金量巨大的资产。在考虑合规义务时，要充分考虑数据处理的各种风险以及健康医疗数据本身所具有的多面性、多层性，进而通过合规建设防范风险于未然。

一、规章和法律：医疗卫生机构数据合规义务的不断更新

“数据合规义务”，就是指法律对相关主体提出明确的建立合规管理体系的要求，并据此对不履行合规管理义务的主体进可行行政处罚。可见，数据合规义务对“规”的理解掌握十分重要。2016年至今，国家相继出台了不少政策法规用于规范医疗健康数据的安全，包括《关于促进和规范健康医疗大数据应用发展的指导意见》《互联网诊疗管理办法》《互联网医院管理办法》《远程医疗服务管理规范》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《人类遗传资源管理条例》《关于进一步推进以电子病历为核心的医疗机构信息化建设通知》《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》，等等。2021年7月施行的《信息安全技术健康医疗数据安全指南》，更是从标准上指导医疗健康数据的处理主体对数据安全进行管理。除了这种全局性的指导，考虑到医疗卫生事业发展不均衡的现状，针对不同类型的机构也有不同的标准。例如，《全国基层医疗卫生机构信息化建设标准与规范（试行）》（国卫规划函〔2019〕87号）第192项指标，就对基层医疗卫生机构的患者数据保护的硬件不作强制要求。①

除了国家层面的规范，地方也出台了不少地方性规章对医疗卫生机构的数据处理行为进行规范。例如，《贵阳市健康医疗大数据应用条例》《山东省健康医疗大数据管理办法》是地方率先在各自行政区域内对健康医疗大数据的采集、汇聚、存储、开发、应用及其监督管理等活动进行约束的规范。②贵阳市和山东省的医疗卫生机构在考虑合规义务的时候，这些地方性规章也应该纳入“规”的范畴。

在法律层面，《基本医疗卫生与健康促进法》（第一百零九条）、《数据安全法》（第四十五条）都确立了且对违反数据保护行为该如何进行行政处罚的规范，对医疗卫生机构来说，前者的针对性更明确。《个人信息保护法》在上述基础上又有新的推进，明确提出了个人信息处理主体的合规义务、违反合规义务会受到的行政处罚，这把合规义务与行政处罚联系在一起，是之前的法律法规没有明确的。③《个人信息保护法》将“医疗健康信息”明确定义为“敏感信息”；医疗卫生机构作为此类信息的处理主体，负有保护患者个人信息的当然义务；这些义务，体现在医疗卫生机构的日常工作中，是其数据合规义务的核心内容。在《个人信息保护法》所规定的各类义务中，有的义务明确为义务，例如第五章“个人信息处理者的义务”；而有的义务则是对应于个人所享有的权利，例如第四章“个人在个人信息处理活动中的权利”，这些权利对应了处理者的义务。因此，从患者个人信息保护的视角，可以将医疗卫生机构数据合规义务分为三个层次：一般性义务、针对性义务和特殊义务。一般性义务是为满足当事人的权利而要遵循的义务，针对性义务是为满足当事人的权利需要采取相应保护性措施的义务，特殊义务是围绕敏感度不同的信息而获得患者单独同意的义务。具体来说，这三个层次的义务体现在：

一般性义务，是满足患者对其个人信息处理享有的知情权、决定权、查阅权、复制权、迁移权、删除权的义务；满足患者请求更正、补充个人信息的义务；满足患者请求医疗卫生机构对个人信息处理规则进行解释说明的义务；满足患者近亲属对死者的相关个人信息进行查阅、复制、更正、删除的义务；为患者行使权利提供受理申请和处理机制的义务。④

针对性义务，是确保合规的义务，具体措施包括制定内部管理制度和操作规程，对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；制定并组织实施个人信息安全事件应急预案；设立个人信息保护负责人；进行合规审计；采取补救措施。⑤

特殊义务，是根据敏感程度不同，医疗卫生机构在处理患者的医疗健康信息时，应有义务取得患者单独同意或者书面同意；有在事前进行敏感信息保护、对影响作评估和记录的义务；处理不满十四周岁未成年人个人信息的，应有取得未成年人的父母或者其他监护人的同意并制定专门处理规则的义务；法律、行政法规对处理敏感个人信息规定时，应取得相关行政许可或者作出其他限制的，有从其规定的义务。

从这些义务的内容看，不仅包括为满足权利而履行的义务、为保护权利实现要设置相应维权机制的义务，还包括明确的合规义务。《个人信息保护法》所确立的这些义务，将曾经以规章为表征的对医疗卫生机构的软约束转向以法律为外在的硬约束，故使医疗卫生机构的合规义务得以面临新的法律环境。

二、安全和信任：医疗卫生机构数据合规义务的风险点

随着大数据进入人们的日常生活，医疗卫生机构在发展过程中，不论从控制成本的角度，还是从科技创新的角度，都必然要通过挖掘数据资产的价值来融入数字时代潮流，数据部门将会成为医疗卫生机构新的增长点。在此背景下，提前考虑和布局数据安全保护，尽早进行合规评估，是驱动医疗卫生机构下一步发展的引擎。

截至2020年的数据，我国医疗卫生机构一共有100多万家；其中医院有3.5万多家，只占总数的3.5%；其余以基层医疗卫生机构为主。医院中有60%左右是非营利性的公立医院，40%左右的营利性医院则较多是专科行业医院、中西医结合医院和小型私人诊所等。[9]整体上我国医疗卫生机构对数据安全的认识还处于萌发阶段，即使是医院，其数据安全风险意识也比较薄弱。例如，2020年4月13日，青岛市发生了一起大量公民信息被泄露的事件，一份涉及到共计6000多人的新冠肺炎密切接触者之姓名、住址、联系方式、身份证号码等个人身份信息的名单在网络上传播。调查后发现名单是由某医院工作人员叶某转发泄露的，另外还有姜某、张某两人以同样的方式把名单发到了家人群，造成了不良的社会影响，当地警方依《治安管理处罚法》对这3人予以行政拘留。[10]要反思的是，对这样的信息泄漏事件，除了这3名工作人员外，涉事的某医院在风险防范、数据合规方面是否尽到了应尽的义务？

合规的目标是防控风险，医疗卫生机构的数据保护风险来自三个方面：其一，行业自身的风险。2020年疫情暴发后，医疗卫生行业所面临的数据风险较之从前加剧，史上首次超过政府、金融、国防、能源、电信等领域，成为全球APT（黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为）活动所关注的首要目标。[11]其二，因违反义务受罚的风险。根据《个人信息保护法》的规定，新的行政处罚标准最高可以达到5000万元人民币或者上一年度营业额的5%。一旦面临行政处罚或刑事追诉，是否履行合规义务可能影响处罚的结果，某些国家和地区已有先例，如美国《联邦量刑指南》在其第八章“对组织的量刑”（“Federal Sentencing Guidelines for Organizations”）中，就提出了企业建立有效合规体系可以减轻处罚的原则。[12]其三，未知风险。除了可以预测的风险，还有未知风险。例如，根据《个人信息保护法》第二十条，如果共同处理信息的合作方选择不当，即使不是由自己失职造成的，也要承担连带责任。只要是合作，这种不受控于当事人自己的风险，也可能随时发生，具有很大不确定性。因此，是否重视合规，与涉事机构的风险意识有密切关联。

如果医疗卫生机构对数据处理不当所导致的风险没有清晰的认识，就不会真正重视数据合规。而且，由于其要处理的个人信息相对更为特殊，更是增加了其履行数据合规义务的复杂度。具体来说，这些信息的特殊性体现在：

第一，信息敏感丰富、种类繁多、市场价值巨大。医疗卫生机构所要处理的信息品种繁多，包括患者个人的基本信息及生物信息、遗传信息、疾病信息等等。这些信息一旦得到开发利用，对医疗、药品、器械、新产品研发等都有巨大的商业价值。例如，谷歌的子公司DeepMind为开发新的健康应用服务，利用了从英国国民健康服务体系（NHS）获取的160万条患者健康数据，但却因不合规而陷入纠纷。[13]

第二，信息处理场景多元，利益相关主体复杂。医疗卫生机构处理信息的场景复杂多样，电子病历系统、在线问诊系统（互联网医院）、上下级医院医联体之间的信息传送，医疗卫生服务均等化之下的为基层医疗机构进行的远程诊疗信息传送，等等。这些健康医疗信息在传递过程中，任何一个节点有差池，都可能造成信息泄露，涉及多方利益主体。以天津市津南区的健康医疗信息处理传送为例，可以窥见其复杂性：截至2021年4月，该区全民健康信息平台已采集业务数据2000万条，健康档案信息111万份，村卫生室、镇（街）卫生院、区级医院之间的医疗信息建立了共享渠道；依托区级医疗卫生单位开展远程医学教育培训、远程会诊中心、分级诊疗等服务，还建立了津南区影像存储传输系统，实现影像信息互认。[14]这些共享渠道和业务平台，如果其处理主体合规建设不到位，一旦发生信息泄露，所带来的后果将非常严重。

第三，基层医疗卫生机构处理的数据质量堪忧。医疗卫生机构有准确收集患者个人信息的义务，但实际情况是，即使在并不复杂的场景下，也可能出现信息收集的错误。例如重庆市开州区某药品超市在原告购药时，错误输入了代码，将原告购买感冒药记录成急性化脓性甲状腺炎和复发性甲状腺癌，而且多次发生。当原告发现该错误申请修改时，医保中心认为数据是第三方组织形成，不能更改，从而引发诉讼。⑥这起案件一方面提醒人们，现实生活中所引发的数据纠纷，可能是由很微小的原因造成的；另一方面，该案如果发生在《个人信息保护法》施行之后，解决纠纷时还将面临的一个矛盾，是医保中心提出数据来自第三方所以无法修改，但《个人信息保护法》第四十六条明确应当保护个人的修改权。该如何解决这类争议，同样是医疗卫生机构数据合规面临的新问题。

面临这样的困难，要规避上述风险，医疗卫生机构数据合规的价值目标应该是患者安全和医患信任二位一体，相互倚重。要维系医患之间的信任，核心是保护患者安全。当某位患者的数据汇总到电子健康档案系统，系统又利用所收集到的这些数据驱动提供更深入的服务，形成循环。系统如果不能保证数据的质量和安全，不能保证有瑕疵的数据可以很快被发现并纠正的话，那么就可能发生更大的纠纷和医疗错误。这个系统不能只是记录、存储，还应该可以协调、调配、指导、提醒和建议。这是医疗健康数据与别的数据处理最大的不同之处。如果医疗机构不能确保这项安全，就会失去患者信任；缺乏信任，授权数据处理的知情同意将会变得非常复杂低效，医疗卫生机构履行合规义务的成本将大大增加。我国医疗卫生机构虽然以公立为主，但并非全部经费都来自财政拨款，医疗机构仍然有创收的任务，新增的合规成本不可避免的会通过价格机制反馈到患者身上；而这必然会影响甚至破坏医患关系，导致医患信任流失，又更加提升合规成本。

因此，保持对合规风险的警惕，应当重视患者安全维持医患信任，而不是躺在既定的风险清单上机械地运行所谓的合规管理控制。

三、自律和监管：促进医疗卫生机构履行数据合规义务

当下，数据合规审查已经成为国内外行政监管的重点。⑦立法虽然明确规定了个人信息保护的各项义务，但要做到数据合规，仅仅是建章立制，显然还远远不够。例如，艾滋病属于患者个人隐私信息，应该受到严格保护。但是2016年7月，全国30多个省份发生至少275名艾滋病患者的个人信息泄露而导致的诈骗事件，这必然不是因为当时没有《个人信息保护法》。患者个人信息安全要得到切实保护，通过立法确立患者权利是一个维度，强调国家对个人信息保护的义务则是另一个维度。⑧这种义务进一步分解，则落实成为个人信息处理主体的自律及行政机关对个人信息处理主体的监管。虽然医疗卫生机构的行为合规不必然等于患者信息安全，但不履行数据合规义务，患者信息安全肯定难以得到保障。

（一）医疗卫生机构应当建立自律性的数据合规体系

医疗卫生机构在收集和使用患者个人信息方面，有着惯性思维，认为患者向医生提供个人信息理所当然。例如，在科室对典型病例的讨论会上，未将病案匿名化即分享资料并不少见。又如，“医疗卫生机构”已经被定义为公共场所，那么在安装视频监控设备的地方应该提醒就诊者注意，但是很多机构没有恰当的告知提示。在传统观点看来，提供医疗卫生服务才是医疗卫生机构的核心业务，而其他工作如保护患者个人信息安全是非主流工作任务。对待这种非主流工作，常见的状态是：基层被动等待上级提出要求，要求下达后对任务进行分解，再采用命令方式下压到每一位基层员工。在这种情况下，具体负责处理患者信息的医生护士们只会认为合规任务增加了他们的工作负担，执行效率大打折扣。因此，自律的前提是提升保护意识，坚定患者个人信息保护是核心工作任务。不论是管理层还是执行层，都需要充分提升这项意识。如果仅有管理层意识到合规的重要性，只能是事倍功半。提升意识的同时是改变工作方式，为避免合规任务沦为与众多日常行政管理命令等同的工作要求，建立数据合规体系需要与医疗卫生机构日常质量管理紧密结合。

合规体系可以分为日常合规体系和危机应对体系。日常合规体系的建设是日常工作状态下确保合规、减少违规事件发生的基础，包括四个方面内容：其一，针对不同工作岗位的风险指数提出具体的合规指标要求。例如，对日常问诊岗位和医技影像岗位的合规有哪些具体要求，他们处理的数据分别归入哪一类哪一级进行处理和保护，对无需个人同意即可以处理的患者个人信息作明确且严格列举。其二，配备独立和充分的资源，对各岗位落实合规的效果进行内部监督和考评。例如，设立专门的数据合规工作岗位，对日常合规进行检查、纠正、培训，同时有资金支持对机构日常合规情况进行年度或者月度审计等。其三，梳理本机构哪些具体业务可能涉及数据安全违规的刑事罪名或行政处罚，聘请第三方机构进行定期审查。例如，对在本机构举办的临床试验合同进行审查，对申办者、控制人数据合规义务要有详细的规范，落实具体责任人，提升责任意识；对第三方系统供应商合同的审查。目前各医疗卫生机构都有数量众多的第三方系统供应商为其提供服务，如果因为对第三方系统供应商的监管不足导致对患者个人信息安全造成损害，聘任他们的医疗机构难辞其咎，法律责任也不可避免。其四，对违反数据合规义务进行处理的机制。例如，对相关信息输入代码错误，对信息分级错误等要建立识别机制、修改机制、纠正机制。对患者提出的请求有投诉接待机制和反馈机制。

危机应对体系是数据泄露或者其他安全事件发生之后，如何应对危机，降低损失，尽可能维护患者数据安全的基础。健全的危机应对体系，是能够及时阻止了损失扩大的体系，是在反思之后能够及时填补制度漏洞的体系，是在事件发生之后主动配合检察机关或者行政机关进行整改的体系。该体系的建设分成涉嫌刑事追诉以及涉嫌行政处罚两个等级的预案，不论是发生哪个级别的违规行为，都需要立即采取补救措施，通知行政主管部门和可能受影响的患者。例如，万豪国际集团的数据泄露事件，在他们意识到存在危险后，行动非常迅速，三天内便聘请第三方专业安全团队协助调查取证和及时止损，最后获得了英国信息专员办公室的减轻处罚。[16]

（二）卫生行政机关应当建立高效的数据合规监管体系

自2018年起，我国行政机关体系发起了一系列的合规监管行动，发布合规指引是主要的行动内容之一，国资委发布《中央企业合规管理指引（试行）》，发改委会同六大部门发布《企业境外经营合规管理指引》，确立了我国企业开展合规管理的基本理念、原则和制度框架。⑨到2020年，最高人民检察院开始在地方推动合规不起诉的改革试点。行政合规指导既是行政监管的方式，也成为公诉机关对被告单位进行合规不起诉审查的衔接程序。2021年6月，最高人民检察院发布企业合规改革试点的典型案例，把企业合规、行政监管、刑事诉讼相衔接。从典型案例可以看到，在违规事件中，合规义务的适当履行作为减轻或者免除责任的抗辩事由出现。[17]因此，被监管主体是否建立充分有效的合规体系，是否积极配合监管部门对合规进行监督，直接关系着机构在违规事件发生后的处罚后果。

对医疗卫生机构数据合规义务行政监管的重心应该在如下几个方面：

1.强调以行政合规指导为基础。

相对强制性行政行为，行政指导是一种较为柔和的监督方式，不产生直接的法律后果，具有较大的灵活性。2021年1月，中共中央发布的《法治中国建设规划（2020-2025）》中提出，为改进和创新执法方式，要加强行政指导、行政奖励和行政和解等非强制性行政手段的运用，这充分体现了行政监管方式的变革。根据《行政处罚法》坚持处罚与教育相结合的原则，行政机关在进行重大行政处罚的同期，也可能会同时辅以行政指导。行政指导的方式比较灵活，有发布合规指引、建议、约谈、公示，等等。⑩例如，国家市场监督总局针对著名的互联网企业美团，作出反垄断处罚的同时发出《行政指导书》，这就是行政指导的具体方式。在医疗卫生领域，为限制过度诊疗、节约医保基金，国家卫健委等数家行政机关联合发布的《关于加强医疗机构药事管理促进合理用药的意见》《关于进一步规范医疗行为促进合理医疗检查的意见》就是以行政指导的方式，对医疗卫生机构用药和检查行为宏观性的规范指导。此外，行政机关还可以向被监督主体发出行政建议书，要求遵守数据合规义务，保护患者个人信息安全。⑪对数据合规尚处于起步阶段的医疗卫生机构来说，不论采取哪种类型的行政指导方式，只要能够提供有效的合规指导，就有利于帮助提升数据安全意识，促进数据合规义务履行。

以《信息安全技术健康医疗数据安全指南》（以下简作《指南》）为例，其由国家市场监督管理总局和国家标准化管理委员会联合发布，操作性较强，属于典型的行政指导。对数据合规管理中重要的分类问题，指南根据数据内容、重要性、风险等要素将健康医疗数据分成六类五级⑫；《指南》建议根据不同级别的数据采取授权管理、身份鉴别、访问控制管理等保护措施⑬；《指南》还对典型场景下应用分级保护进行了描述，例如，医生调阅场景下数据可分为默认级、告知级和授权级，分别对应数据分级中的第二级、第三级和第四级⑭。总体上看，《指南》详细规定了医疗数据的分类体系、使用披露原则、安全措施、安全管理指南、安全技术指南等，为医疗卫生机构的应用解决了具体问题。但是，指南是在《个人信息保护法》出台之前颁行的，某些细节与该法的内容有不尽一致的地方。⑮相关行政主管部门，例如国家卫健委对此有义务对各级医疗卫生机构作进一步的指导。

2.建立激励机制。

当代行政法确立了协商性的行政监管理念，对于相对人配合行政调查、采取补救挽损措施、披露违规事实和违规责任人或者采取制度整改措施的，监管部门通常可以给予宽大的行政处理。[18]2021年修订后的《行政处罚法》就体现了这项理念。因此，建立恰当的激励机制，有利于促使被监管主体以合规为目标进行整改。在对美团的反垄断调查中，国家市场监管总局发布的公告中提出，美团有主动承认、主动提供证据、主动全面自查整改行为，总局考虑了美团在调查过程中主动提供了执法机关尚未掌握的重要证据、停止“二选一”行为并全面自查整改、积极退还已收取的独家合作保证金等因素，最终作出相应的处理意见。处罚结果没有市场预期的严厉，显然是美团积极主动的行动使之获得“以整改换取宽大”的激励。因此，在对医疗卫生机构进行数据合规监管时，可以考虑类似国家市场监督总局的监管思路，对建立了较为完善的合规管理体系的医疗卫生机构，纳入“首违不罚”的适用对象⑯，将医疗卫生机构已经建立合规机制作为普遍的减轻处罚情节。总之，卫生行政执法部门有必要总结相关法律实施的效果，在卫生行政执法领域确立合规宽大处理的激励机制。

3.建立数据安全评价制度。

数据安全评价制度是由卫生行政机关对医疗卫生机构是否达到法律法规规定的标准，符合数据安全要求的合规认证。数据安全评价制度应该要求未经过数据安全评价的医疗卫生机构不得接入公共卫生网络，不得设立互联网医院，不得与其他医疗服务机构实现电子病历、检验结果报告等实时互通，以保护患者个人信息安全。建立数据安全合规认证制度，有助于医疗卫生机构在建好合规体系之后生成对合规的认同感，也能够对其他同类机构产生正面导向，使之受到激励机制的约束。数据安全评价的结果应该作为医疗卫生机构向社会公示的一项内容，使之既受到行政部门的监督，也受到公众的监督。

4.用技术辅助监管。

针对新技术运用可能带来的问题，采用新技术进行监管是提高效率的王道。《互联网医院管理办法（试行）》第六条明确规定，互联网医院准入之前，应该先建立省一级的互联网医院医疗服务的监管平台，通过平台进行实时监管。没有监管平台则不允许审批互联网医院。在这项规定的指导下，目前全国已有30个省份建立起互联网医疗监管平台。[19]以北京地区互联网诊疗监管平台为例，其建成的功能不仅仅是对互联网医院进行审批和监管，还包括建设医疗服务、诊疗行为等信息的采集系统及数据展示系统，实现对实体医疗机构医疗资源与医疗服务的监管。[20]

（三）引入第三方组织补充监督

在我国医疗卫生体制改革中，在谈到建立综合监管制度时，有提出“发挥专业机构和中介组织的技术支撑和社会监督作用”，⑰将中介组织定性为对医疗卫生行业的社会监督力量。不仅是医疗卫生领域借助第三方中介组织补充监督力量，在别的行政监管领域也有同样的做法，例如上海海关引入社会中介机构辅助开展中国（上海）自由贸易试验区保税监管和企业稽查工作”。

有可能成为辅助监督主体的中介组织，一般指向具有评估、审计或者具有提供法律服务能力的各种组织，这些组织在特定领域具有一定技术控制能力，地位处于行政机关和被监督主体中间，具有独立性和专业性，他们的加入是对行政机关监管工作的有益补充。在医疗卫生领域的第三方组织的补充监督，除了上述具有技术控制能力的中介组织，还可以考虑引入患者组织加入监督的行列。患者组织作为保护患者权益的代表，利用《个人信息保护法》施行的契机，主动参与到医疗卫生机构的合规监督活动中来，可以最大限度地为争取和保护患者利益。

那么，补充监督该如何进行？对于大型的个人信息处理主体，《个人信息保护法》第五十八条第一项要求其有义务成立主要由外部成员组成的独立机构，对个人信息保护情况进行监督。患者组织即可以参与到此类独立机构中，参与监督大型医疗卫生机构的患者个人信息保护活动。对于普通的个人信息处理主体，可以借鉴侵害未成年人案件强制报告制度，建立由中介组织在开展数据合规审计或者其他活动中发现违规行为，应当主动向行政机关强制报告的制度。例如，医疗卫生机构利用掌握的患者有关信息进行自动化决策，由于双方在数据运用能力方面的巨大差异，自动化决策的算法不透明造成针对不同患者的健康歧视，患者组织在获取相关情况之后，可以代表患者与医疗卫生机构先行沟通，就算法歧视给患者带来的各种问题事先提醒和告知，要求整改，然后再报告行政机关。总之，期待第三方组织补充监督能够避免因为较小的问题而酿成大的不利后果。

四、结语

对普通人来说，既需要应用健康医疗大数据以帮助他们获取更好的服务，也需要对个人健康信息进行必要的保护，这就要求数据处理主体能够在数据开发应用和个人信息与隐私保护之间达致平衡。医疗卫生机构作为个人健康医疗信息的主要处理主体，随着其处理的健康医疗数据数量的高速增长和各种复杂场景的出现，迫切需要提升其数据保护能力，需要建构一套有用且灵活的合规体系来解决与患者个人信息保护相关的伦理或法律问题。经过对数据合规义务发展的历史梳理和现实考察，通过机构自律和行政监管的紧密结合，实现对患者个人信息的保护，以提升患者安全，促进医患信任。

注释

①第192项具体内容是“患者隐私数据存储于数据库，具备隐私数据（敏感）数据防泄露能力。具备健康档案数据授权访问控制、隐私数据字段级加密保护功能、支持第三方服务接口、支持动态脱敏和动态加密数据保护等4项功能”，这是推荐而非必备要求。

②《贵阳市健康医疗大数据应用条例》2019年施行，2021年修订；其中第二十六条对医疗卫生机构保障数据安全的义务进行了规定。《山东省健康医疗大数据管理办法》2020年施行。

③《个人信息保护法》第六十六条。

④综合《个人信息保护法》第四章内容表述。

⑤重庆市开州区人民法院案号（2020）渝0154民初5576号判决书。

⑥综合《个人信息保护法》第五章内容表述。

⑦近年来，随着大数据、云计算、移动互联网的不断发展，特别是大数据与5G、人工智能、区块链等新一代信息技术的融合发展日益紧密，数据种类日益增多，数据规模急剧增长，数据合规越来越受到社会各界的普遍关注和立法部门的普遍重视。参见蒋安杰，《数据合规高端论坛在京举行》，《法治日报》2021年9月29日，第009版。

⑧张新宝指出，面对强大的个人信息处理者，抽象的民事权利规定容易被虚化，沦为“纸面上的权利”；个人信息保护的有效性必然有赖于国家规制，实践中站在维权第一线的其实往往是监管者而非个人。对个人信息保护国家义务更详细的论述，可参见王锡锌：《个人信息保护的国家义务及展开》，载《中国法学》2021年第1期。

⑨2018年被称为我国的“合规元年”，其标志性合规管理事件是两个综合性合规管理指引的发布。参见陈瑞华：《论企业合规在行政监管机制中的地位》，载《上海政法学院学报（法治论丛）》2021年第3期。

⑩2013年《工商行政指导规则》第九条。

⑪检察机关在针对医疗机构个人信息保护不力的行为已经有发出社会治理建议的先例。在2021年最高人民检察院发布《检察机关个人信息保护公益诉讼典型案例》中温州市鹿城区人民检察院在办理一起个人信息保护行政公益诉讼案中，向泄露患者个人信息的两家医院发出社会治理检察建议，建议加强就诊者个人信息保护。参见最高人民检察院.检察机关个人信息保护公益诉讼典型案例[EB/OL].（2021-04-22）[2021-10-15].https://www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.shtml#2.

⑫指南第6.1和6.2条。

⑬指南第 8条。

⑭指南第11.1条。

⑮例如，指南第7条第i项处理者没有获得授权也可以披露个人医疗数据，这与《个人信息保护法》第二十九条规定不尽一致。

⑯2021年修订后《行政处罚法》第三十三条确立了“首违不罚”的规定，被视为该法的重大突破。

⑰《国务院办公厅关于改革完善医疗卫生行业综合监管制度的指导意见》（国办发〔2018〕63号）第（八）项内容。