打开文本图片集

摘要：个人健康数据关乎公民的基本权益和国家经济发展，对社会公共卫生事业和医疗科研具有重要意义。本文通过规范分析法和问卷调查法探究我国个人健康数据法律保护的现实状况。研究表明，我国法律法规尚未对个人健康数据的定义、范围及其保护进行系统性规定，同时，公民的知情同意权也被忽视，追责惩处机制不健全。为此，本文提出相应的对策建议为完善个人健康数据法律保护规范体系作参考。

关键词：个人健康数据；立法现状；法律挑战；问卷调查法；对策建议

基金项目：广东外语外贸大学2023年大学生创新训练项目《我国个人健康数据的法律保护现状研究——基于法律法规和民众调查的分析》项目编号：X202311846077

引言

2022年底，中国政府发布了关于数据基础制度构建的意见[1]和“十四五”全民健康信息化规划[2]，旨在完善数据产权、流通、收益分配和安全治理等制度，并构建全民健康信息平台。为推进数据要素利用和医疗健康行业发展，探究个人健康数据境内与跨境共享的法律保护现状至关重要。本研究通过问卷调研和统计分析，深入了解民众对个人健康数据法律保护的看法；同时运用规范分析法和文献研究法，梳理相关法律文件、行政规章和行业规范，并结合前人研究成果，旨在为国家数据监管和治理提供理论支持。

一、个人健康数据法律保护的基本界定

（一）个人健康数据的法律概念

1.数据和信息

当今时代，电子网络技术发展迅猛，“数据”和“信息”在中文语境中各自拥有独特的语义内涵，但在实际应用层面，电子数据已成为信息传播的主要媒介。这也解释了为什么二者在表述上时有混用，却并未在法律应用和理解上造成实质性偏差。本文所提及的“数据”概念，特指由自然人产生并通过数字技术呈现的电子数据。

2.个人健康数据的相关概念争议

鉴于个人信息与个人数据在法律上并未明确区分，个人健康数据应被视为个人信息的子类别之一。《个人信息保护法》第二十八条将健康信息归类为敏感信息，但对其具体描述仍显不足。[3]

由于“个人属性”数据的界定不够清晰，我国关于个人健康数据的定义和范围尚未形成统一标准。在各部委文件中，“个人健康信息”“健康生理信息”和“个人医疗健康数据”等术语的使用也不尽一致。[4]此外，对于个人健康数据的具体范围也存在一定的模糊性。以2020年发布的国家标准《信息安全技术健康医疗数据安全指南》（GB/T 39725，以下简称《标准》）为例，该《标准》将“个人健康医疗数据”定义为“能够单独或与其他信息结合后识别特定自然人或反映其生理、心理健康的电子数据”[5]。然而，在《标准》附录中对“个人健康医疗数据”进行列举时，并未详细提及个体在疾病防治和健康管理之前已存在的个人属性数据，如人口统计信息、个人身份信息、通讯信息、生物识别信息以及健康检测传感设备ID等，而是将这些数据归类为“健康医疗数据”的子类别。从命名逻辑上看，这些个人属性数据理应纳入“个人健康医疗数据”的范畴。但《标准》在制定时有意区分了“个人健康医疗数据”和“健康医疗数据”的内容，其目的可能是为了凸显对个体权利的法律保护，却在实际应用中造成了理解的困惑。

（二）个人健康数据下的民事权益和利益关系

作为个人信息的重要组成部分，个人健康数据涵盖了知情权、自决权、查阅/查询权、复制/下载权、更正权、删除权、隐私权等多重权利维度[6]。这些权益所涉及的利益主体错综复杂，在使用个人健康数据时，各利益关系从隐性转向显性，其中包括人格利益、社会利益和商业利益。[7]因此，保障个人健康数据权利的合法合规行使，同时使多方数据权益最大化，是当前个人健康数据研究的重点。

二、我国个人健康数据法律保护的现状

（一）立法现状

迄今为止，我国《民法典》《数据安全法》以及《个人信息保护法》均已包含对个人信息权益保护的相关规定。特别是2021年颁布的《个人信息保护法》，其在个人信息处理以及跨境传输等方面制定了具有时代特征、适应本土环境并具备实践指导意义的规则。然而，该法仅将个人健康医疗信息界定为敏感信息的范畴，而未对其进行专门的立法保护。此外，其法律条款多数偏向政策指导与原则性陈述，实际可操作性相对不足。总而言之，对个人健康数据的保护的规定分散于各规范性条文中，且多为原则性阐述，尚未形成系统化、操作化的法律规制体系，导致目前在执法与司法实践中仍存在较多歧义。

（二）民众对个人健康数据法律保护的看法

当前关于个人健康数据法律保护的探讨，大多数学者倾向于采用文献研究法、内容分析法和比较研究法，深入剖析国内外，特别是美国、日本和欧盟的法律。然而，采用实证研究法的学者较少且主要聚焦于个别案例，对于广大民众的声音和意见缺乏足够的关注。鉴于我国社会主义法律旨在保障全体人民平等享有各项权益，而个人健康数据又关乎个人隐私，本研究特采用问卷调查法，致力于深入了解民众对于个人健康数据法律保护的真实看法与期望。

本次调研活动共收集到310份问卷，为确保结果全面客观，调研对象涵盖各年龄段成人。问卷设计基于以往研究和个人健康数据分类，结合群众知识水平，围绕四个方面展开：民众对健康数据的理解、隐私保护看法、法律保护现状满意度及医疗数据隐私安全满意度。考虑到研究的探索性和团队年龄层限制，采用非概率抽样中的滚雪球方式，以更快速地获取更广泛、多层次的样本。调研地点选在广东省珠三角地区，原因有二：一是研究团队对该地区熟悉程度较高，能更精准把握受访者需求；二是珠三角经济发达，公民意识高，对健康数据法律保护问题更为关注，有助于获取更准确的信息反馈。

在针对310份样本的问卷调查中，关于“个人健康数据”这一概念的认知呈现出显著的层次性。其中，超过三成的受访者表示对其有基本了解，但深入了解的比例却不足一成。此外，对于“个人医疗数据泄露可能带来的影响”，约四成受访者表示认知较为模糊，而近6%的受访者甚至对此毫无概念。这些数据不仅揭示了公众对于个人健康数据理解的不足，更凸显了我国在该领域普法的迫切需求。这一现状反映出我国民众在数据隐私保护意识方面的欠缺，以及对个人健康数据潜在价值的认知局限。因此，加强个人健康数据的教育与宣传，提升公众的认知水平，对于保障个人信息安全、促进健康数据合理应用具有重要意义。

在310份问卷样本中，绝大多数受访者支持个人健康数据用于医学研究，这对于我国数字健康产业的蓬勃发展具有积极意义。然而，不可忽视的是，有近三成的受访者表达了不同程度的介意，其中近一成受访者持强烈介意态度。

在数据共享方面，几乎所有受访者均表达了对个人健康数据共享后隐私安全的担忧。这反映出我国当前在个人健康数据保护和预防隐私泄露方面存在的明显短板，也进一步强调了加强数据安全和隐私保护工作的紧迫性。

综上所述，公众对个人健康数据的隐私保护意识强烈，对数据的安全应用和共享存在明显的担忧，因此，在推进医疗和研究领域的数据应用时，必须充分考虑公众的需求和关切，完善相关机制，为个人健康数据的安全保护和合理应用提供有力保障。

首先，民众对个人健康数据法律保护的需求与期望极高。问卷调查结果显示，高达45%的受访者强烈认为建立规范的个人健康数据管理和保护制度至关重要，而仅有1人持反对意见。这一数据清晰表明，社会公众对于个人健康数据的法律保护有着迫切的需求和期望。

其次，根据受访者对加强个人健康数据的保护的建议来看，民众将导致个人医疗健康数据泄露的原因归为多个方面。其中，利益驱动导致的不法分子买卖信息行为被认为是首要原因，占比高达82.3%。此外，数据库安全系数低、相关立法不健全、患者保护意识不足，以及较低的犯罪成本也分别占比78.1%、73.2%、65.5%、61.3%，均超过60%。这些原因共同构成了个人健康数据泄露的复杂背景，要求我国要从多个维度入手，全方位地构建个人健康数据的保护体系。

除此之外，民众对于个人健康数据立法的态度呈现高度一致性，几乎所有调查对象都认为有必要对个人健康数据进行专门立法，其中认为非常有必要的人群占比高达43.55%。尽管民众可能对具体的立法工作和相关法律了解有限，但这些数据依然清晰地反映出他们对于当前法律保护现状的担忧和对于未来法律保护的期待。

综上所述，民众对于个人健康数据的法律保护持有高度关注和期望。未来，应进一步加强相关立法工作，完善保护机制，以满足公众的需求和期望。

根据《国务院办公厅关于促进“互联网+医疗健康”发展的意见》，我国应健全和完善服务体系，同时加强行业监管和安全保障，推进医学教育和科普服务，全方位保障个人健康数据，这对人民、医疗机构、研究机构、社会等都大有裨益。

个人身份可识别信息、与病情相关的隐私信息，以及临床信息，是民众就医过程中产生的核心数据类别。这些数据的隐私保护满意度不仅反映了民众对医疗机构的信任度，也是医疗机构评估自身合规性和服务质量的重要指标。以下是对310份样本的深入分析。

在个人身份可识别信息方面，高达44%的受访者表示对隐私安全满意度为“一般”，21%表示“不满意”，仅7.4%表示“非常满意”。这揭示出民众对于此类高度敏感信息的隐私保护存在显著担忧，医疗机构需加强数据保护措施和透明度，以增强民众信任。

与病情相关的隐私信息方面，近一半的受访者（49%）对隐私保护满意度为“一般”。考虑到这类信息对个体的心理健康和社会关系具有重要影响，医疗机构应特别关注其隐私保护的合规性和有效性。

临床信息在隐私安全保护方面的表现相对较好，但仍有49%的受访者表示满意度为“一般”或“不满意”。这提示医疗机构，即使在表现较好的领域，仍需持续优化隐私保护措施，以满足民众不断增长的隐私保护需求。

综上所述，医疗机构在个人健康数据处理方面仍有待提升。医疗机构可以通过加强数据保护、增强员工隐私保护意识、完善隐私政策等，进一步提升民众的就医体验和医疗服务质量，为民众提供更加安全、可靠的医疗服务。

该部分问卷数据为量表类型，适合进行信效度检验。通过SPSS软件分析，得到信度系数值为0.881，远超过0.8的标准，这表明研究数据具有高信度与可靠性，极具研究价值。在探索性因子结构效度分析中，KMO值达到0.860（超过0.6的阈值），且通过巴特球形检验。所有研究项的共同度值均超过0.4，表明研究项信息能够被有效提取。因此，该部分问卷结果具有良好的信效度。

（三）我国个人健康数据法律保护面临的挑战

1.“告知+同意”规则（知情同意权）有待加强

尽管我国多部法律强调要用好“知情同意”规则，最新的《个人信息保护法》第二十九条也对其进行了细化和强调[8]，但仍较为概括[9]，易流于形式。在实际生活中，大数据技术的不断推进使信息收集者甚至可以在信息主体不知情，甚至不需要其授权同意的情况下即获取个人健康数据。常见的“协议及隐私声明”的内容繁杂、冗长，甚至包含有部分医学或法学专业名称，信息提供者若无相关专业知识，可能难以理解其含义，最终授权同意，实际上却不理解相关条文，对信息的使用也无隐私保护意识。在对个人健康数据使用前，数据使用者应告知信息提供者，并征得其同意，而全盘接受或者拒绝同意则权益受阻的规定，可能会导致信息提供者授权同意的签署有可能并非出自其真实意思表示。

2.侵权损害赔偿难实现，追责惩处机制不健全

首先，个人健康数据关乎隐私权，在就医、研究等场景中不可或缺，这使其具有复杂性和多样性。在数据的获取和使用过程中，很容易发生法律冲突，不仅涉及主体，还包括客体间的冲突。这也就提高了个人健康数据使用的判断标准，增加了界定的难度，进一步导致侵权损害难以确认，加大了相关赔偿的难度。

其次，当前相关机构和企业对数据保护机制尚不完善。鉴于数据的高商业价值，使用者可能试图非法获取数据以获取竞争优势，并可能利用数据的特性和法律的漏洞来规避法律制裁。

再者，人工智能时代的来临，数据竞争日益激烈，不正当竞争行为不断涌现。而由于追责惩处机制的不健全，法律监管的难度也在加大。

三、我国个人健康数据法律保护的完善对策

第一，制定专项法律法规。尽管我国已经有了一些相关立法，但目前个人健康数据保护方面缺乏统一的标准和规范，需要更加细致和严格的管理和保护措施。专项法律法规可以为保护个人健康数据提供法律依据，并规范数据的合法使用，更好地防止数据滥用或泄露。

第二，强化执法监管力度。完善个人健康数据保护的监管体系，明确并协调各部门监管职责。同时加大对违法行为的处罚力度，实施严格的问责制度，增强对违法者的震慑力，从而更好地保护个人健康数据的安全。

第三，制定数据安全标准。制定数据安全标准可以统一数据安全管理的规范和要求，明确各项数据安全措施和要求，为相关单位和个人提供明确的指导和依据。

第四，提高公众对个人健康数据的法律保护意识。问卷调查结果显示，调查对象对个人健康数据相关的概念和立法理解不够到位，对个人健康数据泄露、滥用的途径和影响了解不够深入。应加强宣传教育，进而形成全社会共同维护个人数据安全的氛围，推动个人健康数据保护和利用的工作开展。

第五，建立数据共享机制。明确共享数据的种类和共享的方式和条件，建立专门的个人数据存储和传输系统。在确保数据安全的基础上，建立合理的个人健康数据共享机制，可以促进数据在合法合规范围内的流通与利用，为医疗健康领域的发展提供更多的可能性。

参考文献

[1]中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见（2022年12月2日）.https：//www.gov.cn/zhengce/2022-12/19/content_5732695.htm

[2]国务院办公厅关于印发“十四五”国民健康规划的通知（国办发〔2022〕11号）（000014349/2022-00056）https：//www.gov.cn/zhengce/content/2022-05/20/content_5691424.htm

[3]田野，张宇轩.《民法典》时代的个人健康信息保护[J].北京航空航天大学学报（社会科学版），2021，34（06）：47-58.

[4]何红锋，张宇轩.数字时代个人健康信息合理使用中的利益冲突与弥合——以“设计保护”为进路[J].科技与法律（中英文），2023（04）：43-52.

[5]中华人民共和国国家标准.信息安全技术健康医疗数据安全指南（GB/T 39725-2020）.

[6]张世红，琚文胜，翟宏丽.个人健康医疗数据权益政策法规分析及思考[J].中国卫生信息管理杂志，2022，19（04）：511-517.

[7]何红锋，张宇轩.数字时代个人健康信息合理使用中的利益冲突与弥合——以“设计保护”为进路[J].科技与法律（中英文），2023（04）：43-52.

[8]于晓洋，何波.我国《个人信息保护法》立法背景与制度详解.大数据[J].2022，8（2）：168-181.

[9]田野，张宇轩.《民法典》时代的个人健康信息保护[J].北京航空航天大学学报（社会科学版），2021，34（06）：47-58.

致谢：感谢广东外语外贸大学大学生创新训练项目【X202311846077】对本研究的帮助。感谢广东外语外贸大学邓朝霞博士对本论文的指导。