关键词：个人信息保护；健康医疗数据；数据脱敏；隐私权；数据处理标准

0 引言

健康医疗数据与个人隐私密切相关，在大多数国家被视为敏感信息，需要进行严格保护。这类数据在提高医疗服务质量、优化医疗资源配置和推进医学研究等方面具有极高的价值。然而，个人健康医疗数据涉及身份信息、健康状况、疾病诊断等高度敏感的内容，一旦泄露，不仅会影响个人隐私权，还可能威胁到个人的身体健康和社会安全。在大数据时代，如何在有效应用数据的同时保护个人隐私，已成为健康医疗领域面临的重大挑战。为了更好地保护健康医疗数据，需要针对当前的问题进行分析和探讨。

在国际层面，美国通过《健康保险可携性和责任法案》（HIPAA） 及其隐私规则，构建了较为完善的健康医疗数据保护体系，并设立了明确的数据脱敏标准。欧盟则通过《通用数据保护条例》（GDPR） ，对数据使用进行了严格规范，明确规定了数据主体的权利及数据处理者的义务。上述法律体系相对成熟，在一定程度上有效降低了数据泄露的风险。

我国《个人信息保护法》将健康医疗数据归类为敏感信息，但由于缺乏具体细则和技术标准，实践中仍存在数据滥用、脱敏标准不统一、个人控制权不足等问题。此外，监管机制的不完善也增加了数据泄露的风险。因此，有必要全面考量个人健康医疗数据的独特性，通过完善数据脱敏标准、加强对数据处理者的监管、健全数据安全评估机制，以及赋予个人更多的数据控制权，维护大数据在健康医疗领域的安全应用及有序发展。

1 健康医疗数据概述

1.1 健康医疗数据的定义

健康医疗数据通常指为实现健康医疗和公共卫生目标而生成或挖掘的数据，范围十分广泛，包括但不限于在诊疗过程中所产生的数据。实践中，这类数据包含与个体健康状态相关的各种信息，如个人病历、体检数据、医学影像资料、用药记录等。

各国立法中关于健康医疗数据的描述与涉及的部门法律不尽相同。美国在健康医疗数据领域制定了多部法律，其中1996年颁布的《健康保险可携性和责任法案》（Health Insurance Portability and Account⁃ ability Act，简称HIPAA） 为美国医疗保健行业提供了第一套专门针对健康信息的保密性、完整性和可用性的标准措施。HIPAA中将健康医疗数据定义为“受保护的健康信息”“（ protected health information”，简称PHI） ，并在HIPAA颁布四年后，由美国卫生与公众服务部（HHS） 颁布《HIPAA隐私规则》，为PHI制定了保障措施，将大多数可识别个人身份的健康信息包含在PHI之中。

欧盟在2018 年颁布的《通用数据保护条例》（GDPR） 中，使用了“有关健康的数据”，指与自然人身体或精神健康相关的个人数据，包括能够体现其健康状况的健康保健服务所提供的数据。我国《个人信息保护法》将健康医疗数据归类为敏感个人信息，但目前缺少专门的配套法律在细则层面对此进行定义与规制。在2020年由国家市场监督管理总局和国家标准化管理委员会联合发布的《健康医疗数据安全指南》中指出：健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。然而，该指南作为推荐性指南，缺少法律强制力。

1.2 健康医疗数据的特性

健康医疗数据的应用涵盖医疗机构、个人健康管理和科研等多个层面。在应用层面，各领域对健康医疗数据不仅具有较强的使用需求，还十分依赖其时效性。同时，由于健康医疗数据来源于敏感个人信息，因而具有人身属性和高度敏感性。

1.2.1 应用价值高

首先，健康医疗数据的应用对医疗机构至关重要。医疗机构通过对健康医疗数据的收集和分析，能够更好地了解患者的健康状况，从而为患者提供个性化的治疗方案和健康管理建议。医护人员在分析患者的病历、影像资料等数据后，能够准确诊断疾病并制定最合适的治疗方案。同时，还能通过健康医疗数据对疾病进行监测和预防，及时发现潜在的健康风险。

其次，随着移动互联网和智能设备的普及，健康医疗数据的应用场景逐渐从传统医疗机构延伸到个人领域，数据在个人健康管理中也发挥着重要作用。越来越多的人为了了解自身健康状况，积极采集和分析自己的健康数据。个人可以利用健康医疗数据进行健康监测、健身管理和饮食控制。如通过穿戴式智能设备或手机应用程序获取身体指标数据，了解健康的实时状态，从而对健康规划进行相应的调整，例如调整饮食习惯或增加运动量等。

再者，健康医疗数据在科研领域的重要性不言而喻。其应用能够为科研工作提供丰富的资源和数据支持，从而加快科学研究进程。研究人员通过对海量健康医疗数据进行分析，能够发现潜在疾病规律，评估药品疗效，从而研究出新的治疗方法或药物。

1.2.2 时效性要求高

健康医疗数据的时效性要求高。在医疗领域，准确和及时的数据对于诊断和治疗尤为重要，因此健康医疗数据的采集、处理和存储必须具备高效性能和快速响应能力。实践中，可穿戴式医疗保健设备能够通过监测使用者的情况定期生成健康医疗数据。因此，时效性不仅要求有关主体在获取个人信息后的短时间内将其转化为有效数据，还对数据的保护提出了更高要求，确保数据在传输和存储过程中不被篡改、丢失或泄露。

1.2.3 人身属性和敏感性强

健康医疗数据具有极强的人身属性和高度敏感性。首先，健康医疗数据的主要来源是个人身体健康信息，其中包含个人身份、疾病诊断、用药记录等隐私信息，结合其他信息后能够识别个体身份。其次，《个人信息保护法》明确将健康医疗数据归类为敏感个人信息，其安全与保密性直接关系到个体健康和生命安全。对于个体而言，姓名、身份证号码、通讯地址、健康状况等数据一旦泄露或不当处理，将对个人隐私权和身体健康造成严重影响。同时，这也关系到公共卫生和社会稳定，对社会公共安全构成威胁。个人信息的失控可能导致诊疗过程和疫情防控等方面出现严重后果，因此，保护健康医疗数据对维护社会稳定和公众福祉具有重要意义。

2 健康医疗数据在个人信息保护中存在的问题

2.1 个人信息保护中健康医疗数据的有关规定

首先，《中华人民共和国民法典》第一千零三十四条中明确规定：“自然人的个人信息受法律保护”，并对个人信息进行了界定。而我国《个人信息保护法》第四条对此进行了进一步规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”由此可知，匿名化处理后的个人健康医疗信息已不属于该法的保护范畴。

《个人信息保护法》第五章和第七章分别就数据处理者的义务和法律责任进行了规定。当作为敏感个人信息的健康医疗数据存在泄露、篡改、丢失情况或可能性时，数据处理者应积极采取补救措施。如果在数据处理过程中出现违法行为或未履行保护义务，将根据情节严重性追究数据处理者的法律责任。

此外，《个人信息保护法》第四章对于信息处理中个人所享有的权利进行了规定，包括知情权、决定权、查阅权、删除权等一系列权利。对于敏感个人信息的处理，该法第十三条中规定以取得个人同意为前提，并在第五十五条中明确规定处理前需对个人信息保护影响进行评估，并对处理情况进行记录。当信息处理者向其他信息处理者提供个人信息时，需依照第二十三条的规定取得个人同意，并向个人履行接收方的信息告知义务。当信息接收方变更信息处理目的、方式时，需重新取得作为信息主体的个人同意。这意味着个人在信息处理、信息传输、变更使用的全过程中享有知情权与决定权。

综上所述，《中华人民共和国民法典》和《个人信息保护法》对健康医疗数据的保护做出了原则性规定。然而，由于数据处理与存储环节缺乏明确标准，个人获取信息方面存在滞后性，导致实践中仍然存在数据脱敏失效、数据泄露风险以及个人信息保护能力不足等问题。

2.2 数据脱敏缺少标准并存在可识别风险

在我国，匿名化处理的信息已不属于个人信息的保护范畴，数据脱敏是处理健康医疗数据的主要方式。然而，我国法律并未对其作出明确规定。《个人信息保护法》第五十一条第三款中将其规定为信息处理者的义务，即“采取相应的加密、去标识化等安全技术措施。”但由于数据处理的范畴、方法、流程等缺乏统一的标准，相关主体在处理数据时往往依赖个人主观判断，以个人偏好或商业需求为处理宗旨，难以保障数据处理的有效性。

其次，数据处理手段并非绝对安全。脱敏处理通过对数据中的敏感信息进行修改或删除，使其无法被直接识别，从而保障数据在传输、共享和存储过程中的安全性。该原理是将敏感信息转化为不具有识别性的数据，只保留数据的统计特征或结构，以保护个人隐私。具体而言，数据脱敏的操作原理包括替换、删除和加密等方法。替换是将敏感信息替换为其他无关的数据，例如将姓名替换为随机生成的编码；删除是直接删除敏感信息，使其无法识别，例如删除手机号码中的后四位；加密是将敏感信息进行加密处理，只有授权用户才能解密并获取原始数据。

常用的数据脱敏方法包括匿名化、泛化、扰动和隐私保护算法等。其中，匿名化是一种常见的数据脱敏技术，通过删除或替换敏感信息中的个人标识符，使其无法识别具体个体。例如，对身份证号码进行脱敏处理。泛化是将具体的敏感信息进行模糊化处理，例如将年龄从具体的数值转化为年龄段。扰动是向敏感信息添加噪声，使其难以恢复原始数据，例如在收集体重数据时，随机添加一个小范围的偏差值。此外，隐私保护算法可以对敏感信息进行更复杂的处理，以增加数据的安全性。

尽管经过复杂的数据脱敏过程，仍有人担心，积累的大数据如果用于商业用途，可能会促进个人信息的商品化。实际上，2020年的一项研究对我国80多万名患者的脱敏信息进行了风险评估，结果表明，在有限数据集政策下，19.58%的患者可以被重新识别；而根据美国HIPAA安全港政策，约0.072%的患者的脱敏信息能够结合背景知识被恢复出身份。这表明，对医疗数据进行脱敏处理仍存在数据被重新识别的风险。同时，这组数据的对比显示，美国的HIPAA安全港政策在降低脱敏数据被重新识别的风险方面更具成效。

相比之下，由于我国在数据脱敏方面缺乏明确的标准，并在数据处理时赋予相关主体更多的决策自由，难以保障数据脱敏的有效性。因此，中国的数据保护方式在实践中仍面临诸多挑战，尤其是在防止个人信息被重新识别方面，亟须进一步强化和完善相关措施。

2.3 数据使用与储存期间存在泄露风险

医疗机构作为健康医疗数据的主要收集者，其数据收集及利用的首要目的通常是为了治疗患者的疾病。然而，通过科学研究和统计分析后生成的数据也能为医疗技术的发展做出贡献。因此，医疗数据的相关主体不仅包括医疗机构，还涵盖科研机构以及与健康保健相关的公司等。

在国外，一些科技巨头如苹果和谷歌等正在收购以健康为基础的科技初创公司，以寻找新的医疗数据供应线。这些公司通过与医院和传统医疗服务提供商合作，开发数据驱动的机器学习和算法医疗设备，以换取对患者健康记录的访问权。随着健康医疗数据的利用需求不断提高，原本储存在电子设备中的医疗数据将被不同的主体使用，这增加了数据泄露或被窃取的可能性。

根据国际商业机器公司发布的《2022年数据泄露成本分析报告》，医疗保健行业已经连续12年成为平均数据泄露成本最高的行业。高昂的数据泄露成本意味着健康医疗数据的安全保护价值极高。目前，数据泄露的主要途径包括黑客攻击和相关行业人员的非法获取。

首先，医疗数据所具有的特殊价值使得黑客不断将其相关主体作为攻击目标，以达到获取医疗数据的目的。然而，并非所有数据使用主体都开发了强大的安全机制，这使得黑客能够利用应用程序中的漏洞获取用户的健康医疗数据。例如，国外一款流行的生育和月经周期跟踪应用程序“Glow”曾存在漏洞，黑客可以在不需要高超技术的情况下获取用户的敏感个人信息。

其次，在数据存储期间，除了可能受到黑客攻击外，能够接触到存储信息的相关从业人员也可能成为侵害个人信息的对象。这些人员可能通过向他人非法提供大量健康医疗数据的方式，牟取非法利益。2021年，最高人民法院发布的7起惩处医保骗保犯罪的典型案例中，有多起案例涉及行业人员利用自身职务便利获取他人健康医疗数据，直接或间接进行非法牟利。例如，“靳利娟、罗安君等诈骗案”“马良、郭万灵诈骗案”“金叶、张川、高峰、陶玉铨、顾翠霞诈骗案”和“王韬贪污案”等案例均显示出医疗数据在不当利用时的风险。

2.4 个人难以保障数据安全

《中华人民共和国民法典》与《个人信息保护法》明确规定，处理个人信息、向他人提供信息以及进行变更处理时应取得个人同意。然而，在实际操作中，数据的整合和多次利用常常超出了个人最初同意的数据收集范围。这种情况使得个人数据更容易被分析，增加了数据风险，导致个人信息更容易暴露和受到侵害。国外甚至存在数据处理者在未向个人披露的前提下，与其他主体共享数据的情况。例如，关于抑郁症和戒烟方面排名靠前的应用程序中，超过80%的应用出于营销目的与谷歌和Facebook共享数据，但只有不到一半的应用程序向用户披露了这一共享情况。

与此同时，知情同意原则表面上赋予个人自我决策的权利，实际上却使个人陷入被动选择的困境。数据处理者更容易接触和控制个人的健康医疗数据，而个人由于信息缺失和信息获取的滞后性，在数据安全存在风险时无法及时得知。信息处理机构与个体之间存在高度不对称的权力结构，形成了“数据垄断”，这使得信息处理机构对个体造成的压迫感愈发强烈，增加了个人的无力感。个人不仅无法判断风险发生的时间点、危害程度及后续效应，事后的损害认定也愈发困难，往往难以独自开展司法救济。

在信息泄露发生时，个人不仅缺乏保护能力，还会被迫承担由此产生的不利后果。以患者接受医疗服务为例，对于绝大多数个体而言，他们对疾病的危害程度、医疗信息处理条款的合理程度知之甚少，因而在面临治疗疾病的急切心态时，往往难以拒绝专业医疗机构对自身数据的采集。个体对自身数据的后续处理和应用情况知之甚少，也难以判断其合理性。

此外，匿名化信息不再属于个人信息的范畴，个人失去了对这些信息进行保护的资格。当这类信息发生再识别、泄露等损害时，法律中缺乏明确规定对此进行规制。另一方面，我国法律尚未对公共利益的具体范围作出明确界定，这为部分医疗机构能够以公共利益之名，实施侵害患者个人信息并谋取利益的行为提供了契机。例如，在实施计划生育宣传时，某些机构可能会公布患者的结扎程序；为了宣传防止近亲婚姻，可能会公布患者的照片；在宣传性病和艾滋病防治时，患者的个人信息也可能受到侵害。

3 健康医疗数据应用中个人信息保护问题的应对建议

3.1 明确数据脱敏标准，进行定期评估

我国在数据脱敏标准方面的缺失，主要原因在于相关制度建设与技术发展不协调，且对数据处理者的监管力度不足。现行法律对数据脱敏的原则性要求较多，但缺乏明确的技术标准和操作指南，导致在具体方法和流程上，数据处理者享有较大的自由裁量空间。这种缺乏规范的现状不仅影响了数据处理的有效性，也增加了数据泄露和再识别的风险。

为保障数据处理的有效性，首先应明确数据脱敏的指导规范，为数据处理者提供统一的处理标准。国外在健康医疗数据脱敏处理方面的立法提供了有益的借鉴。例如，在美国，去识别化的健康信息（即去除个人标识符的数据或其他信息）不再受隐私规则的保护。根据HIPAA法案，去识别化有三种认定方法：

1） 由有资质的统计学家基于“普遍接受的统计和科学原理及方法”进行去识别化的评估。

2） 使用安全港方法去标识化，即承保实体或业务协作方删除18个特定标识符，且承保实体并不实际知晓剩余信息可用于识别个人身份，或与其他信息结合使用。

3） 对标识符进行加密或编码，并且不公开解密该信息的方法。

然而，随着技术的发展，经过数据脱敏后信息仍具有被识别的可能性，因此有必要采取更多措施，保障数据的安全性。信息的可识别风险判断基于客观建立的统计或科学原理的阈值，用于保护患者身份的机密性免受已知风险的影响。然而，风险会随着时间的推移而变化，以跟上技术的发展和当前其他来源的公开信息，这可能导致过去被认定为“非常小”的风险在未来变得显著。

具体而言，首先应明确数据脱敏处理的具体标准，为数据处理提供指导规范。我国当前缺少治理健康医疗数据相关问题的专门立法，其他法律中关于健康医疗数据的内容多为一般性规定，侧重敏感个人信息与人身属性的层面。考虑到健康医疗数据具有特殊价值及其泄漏所带来的问题，有必要针对健康医疗数据制定专门的立法，明确具有强制力的数据处理标准，完善和细化数据治理规则。我国可以参照美国HIPAA法案中的去识别化方式，结合实际情况制定适用于健康医疗数据的强制性脱敏标准，包括明确数据脱敏的操作步骤，细化数据替换、加密、泛化等脱敏技术的应用场景。同时，在法律层面对数据处理者设立强制性遵守的要求，以确保脱敏技术在处理个人信息时的有效性。

其次，考虑到再识别风险并非一成不变，需要对脱敏数据进行动态监管，采取定期评估，对风险等级的认定标准进行合理调整。为确保数据脱敏标准能够随着技术的发展而动态调整，可以增设专门的评估审查机构，并与计算机等相关领域的技术人员进行合作，建立由政府、行业协会、技术专家组成的多方联合监管主体，对脱敏处理方法的安全性、数据再识别风险、数据传输和存储的安全保障措施等进行定期评估。评估审查机构应对数据脱敏的处理情况进行审查，技术领域的专家则负责评估年限和当前的可识别风险。当数据脱敏处理标准无法满足现状时，监管主体可提出动态调整脱敏标准的具体建议，例如引入新技术进行加密处理、更新替换和删除标识符的要求，或调整数据脱敏的应用场景。

3.2 增加对数据处理者的管控，对数据访问予以限制

为减少数据存储与流通过程中发生泄露的风险，有必要明确信息处理者的数据保护义务。通过建立数据处理者监管机制，确保个人数据在其整个生命周期中受到保护。

欧盟GDPR第25条引入了“通过设计和默认方式保护数据”的概念，这意味着从设计阶段开始就创建一个技术上保护个人数据的框架。在此过程中，处理者应采取适当的技术和措施，同时考虑技术水平、实施成本、处理性质和范围、背景、目的，以及处理可能对个人权利和自由造成的修改、影响和风险；这些措施包括尽量减少个人数据的处理、确保数据主体的权利（包括控制权）以及实行匿名化。值得一提的是，GDPR第25条意在保护信息的“内容”。该条款将个人敏感信息是否被处理、信息处理的脉络、信息处理的目的、数据主体的权利和自由等各种可能性考虑在内，明确了从决定信息处理手段开始，就必须考虑保障信息的保护。

作为欧盟成员国，芬兰在GDPR的基础上，建立了名为Findata的单一数据许可机构，负责对数据进行去识别化预处理。该机构通过用统一代码替换所收集数据的识别信息，使数据能够合并或存储，并通过适当的管理和技术措施维护数据的安全环境。当相关主体希望使用数据时，需向Findata提交单独申请，其中必须包括一份研究计划或商业计划，说明所申请数据的使用目的、处理的法律依据以及数据安全和保护措施，包括存储、删除和归档等。

在实践中，数据分析技术的快速发展使科技公司能够从看似非医疗的数据中推断出用户的医疗特征，从而将社交媒体转变为获取医疗数据的宝库。根据美国宾夕法尼亚大学的研究，如果研究人员能够访问人们的社交媒体时间线，就能够利用预测模型推断出人们的健康状况，并且在多数情况下，得出的结论具有高度的准确性。面对未来可能频繁出现的信息预测情况，更应加强对数据处理者的监管，明确其数据来源。

首先，可以通过增设数据许可部门，评估处理者的数据安全保障系统的有效性。为有效监管数据获取方式，应明确数据处理者的数据报告提交义务，对数据来源的合法性及数据是否获得个人同意等进行合规性审查。其次，在数据处理者对数据进行脱敏等加工后，相关部门应进行审查，只有符合标准后才允许使用。同时，应对数据控制者的数据加密环节进行监管，以防止相关从业人员窃取健康医疗数据。

3.3 保障个人的匿名化处理数据的控制权，提高信息保护意识

我国《个人信息保护法》对于个人信息的认定采用准“识别＋关联”的标准，并将经匿名化处理后的信息排除在外。考虑到当前尚未开发出绝对安全的、不存在被识别风险的数据处理方法，保障个人对匿名化处理的健康医疗数据的控制权显得尤为必要。欧盟、韩国等国在保障个人对匿名化处理数据的控制权方面积累了一些经验，值得我国借鉴。

欧盟确保数据主体对于匿名化处理的数据能够积极行使自己的权利。根据GDPR第11（2）条规定，即使数据控制者无法从其持有的数据中识别数据主体，数据主体仍可保障其权利。原则上，如果数据控制者证明其持有的数据不能识别个体身份，数据主体将无法行使访问权（第15条）、纠正权（第16条）、删除和遗忘权（第17条）、限制处理权（第18条）以及数据可移植性权利（第20条）。然而，如果数据主体提供补充信息以表明其身份，并希望行使与个人数据有关的权利，数据控制者不得拒绝。这意味着，即使数据控制者拥有匿名化或不可识别的数据，数据主体仍有权控制对数据的处理，前提是数据主体为行使其权利而提供有关其本人的补充信息。

由韩国保健福祉部发布的《健康医疗数据利用指南》中也包含保障数据主体控制权的相关规定。首先，对于尚未开发出安全匿名化方法的信息，在开发出匿名化方法之前，不可对其匿名化处理的可行性进行判断，此类信息只有在征得数据主体同意后才能使用。其次，该指南界定了需要特别保护的数据，包括精神疾病信息、性传播传染病信息、获得性免疫缺陷病信息、罕见病信息以及有关虐待和堕胎的信息；此类信息一经泄露将对数据主体产生严重损害，因此对其匿名化处理进行了例外规定，使用原则是必须经过数据主体的个人同意。即使是用于研究等被公认为有必要进行匿名化处理的信息，使用前也必须向审查委员会提交理由、行动计划以及特别保护措施，并经同意后才能使用。

为了保障个人的信息安全，有必要增加个人对处理后数据的控制权，以防止健康医疗数据泄露所产生的不利影响。具体而言，即使数据经过处理后不能识别到个人，在个人提供补充信息以表明其身份后，仍应赋予个人行使与数据有关的权利。同时，立法中需对匿名化处理后的数据进行进一步界定，明确需予以特别保护的数据分类，并针对这类数据实施更为严格的管控。只有在个人与专门的审查评估机构的双重同意后，方可赋予对特别保护数据的使用权。当需要特别保护的数据存在泄露、篡改、损害等风险时，要求信息处理者采取与个人信息出现该类情形相同的保护措施，履行保护义务；因信息处理者的过错导致损失结果时，应承担《个人信息保护法》所规定的法律责任。

此外，作为信息主体的个人也应提高个人信息保护意识。可通过加强信息安全教育和普及相关知识，引导个人理性使用和管理自身信息。当健康医疗数据需要被获取时，应认真阅读相关条款，关注自身信息的流转与使用动态。例如，平时应多加学习保护个人信息的相关知识，接受医疗机构的服务后，关注自身信息的存储和使用情况，在使用健康相关程序时避免勾选不必要的授权条款等。面对可能超出获取权限或个人信息受到侵犯的情况，积极行使知情权、查阅权、决定权等各项权利，并及时寻求司法救济。通过不断增强个人的信息保护意识，有助于减少因数据泄露带来的潜在风险。

4 结论

随着科技发展带来的数据应用场景增加，健康医疗数据作为敏感个人信息，同时又具有极高的科研价值，如何平衡其使用与保护至关重要。在健康医疗数据的应用中，存在脱敏被识别、存储与使用具有泄露风险、个人难以保障自身数据安全等问题，个人的信息安全面临严峻挑战。

针对现存问题，首先需明确数据脱敏的标准，并对数据处理情况进行定期评估。同时，应加强对数据处理者的监管，赋予个人更多的数据控制权，并提高个人的数据保护意识，从而确保在健康医疗数据的应用场景中，个人的信息安全得到有效保障。