医疗数据(Health Data)兼具极高价值和极高敏感性的双重特征:它是AI医疗模型训练的关键原料,同时包含最私密的个人信息(疾病史、基因信息、精神健康记录、药物使用情况)。医疗数据一旦泄露,对个人的影响可能涉及就业歧视、保险歧视和社会歧视。因此,医疗数据的合规保护在全球范围内受到最严格的监管。
## 中国的医疗数据保护框架
**《个人信息保护法》(PIPL,2021年)**:中国的”个人信息保护法”,将健康信息、基因信息明确列为”敏感个人信息”,处理此类信息须取得”单独同意”,并有更严格的安全保护要求。对于向境外传输个人信息(如跨国临床研究将患者数据传至境外CRO),有严格的出境评估要求。
**《数据安全法》(DSL,2021年)**:将数据按重要程度分为核心数据、重要数据和一般数据,医疗数据中涉及国家安全(如大规模基因组数据)的部分被认定为重要数据,需要进行数据安全评估。
**《网络安全法》和等级保护(等保2.0)**:医疗机构的信息系统(HIS、电子病历)被要求达到三级等级保护,有详细的技术和管理要求。
**基因数据的特殊监管**:《人类遗传资源管理条例》(2019年)严格限制境外机构获取中国人类遗传资源(基因数据)——这是精准医疗领域跨国合作必须高度重视的合规红线。
## 美国HIPAA的核心要求(供参考)
**受保护的健康信息(PHI)**:包含18类可识别标识符(姓名、出生日期、地理信息、诊断信息等)的医疗数据。
**”最小必要”原则**:只能使用/披露完成特定目的所必需的最小范围PHI。
**业务合作协议(BAA)**:医疗机构在与任何会接触PHI的第三方(云服务商、数据分析服务商)合作时,必须签署BAA,确保第三方符合HIPAA要求。HIPAA违规罚款金额巨大(最高每项违规150万美元)。
## 患者的数据权利
在中国PIPL框架下,个人对自己的个人信息享有以下权利:查阅权(查看自己的数据被如何处理)、复制权(获取数据副本)、更正权(纠正错误信息)、删除权(在特定条件下要求删除),以及撤回同意权(撤回此前对数据处理的授权)。
在实践中,向互联网医疗平台、健康类APP行使这些权利仍然面临挑战(申请流程不畅、响应迟缓),但这是PIPL落地执行的持续改善方向。
参见[AI心理健康应用:数据隐私问题](https://sunqi.org/mental-health-ai-apps-zh/);[精准医疗与基因组学](https://sunqi.org/precision-medicine-genomics-zh/);[国家互联网信息办公室个人信息保护](http://www.cac.gov.cn/)。
