要闻资讯

随着医疗数据应用场景的不断拓展，其二次利用已成为推动医疗行业发展的关键因素。然而，数据的二次利用也带来了诸多合规性问题。以下是三种主要的二次利用场景：

a. 医药企业科研：制药或生物科技公司希望获取临床样本与病患资料，用于新药研发或疗效评估。若医院与企业的合作超出了原先患者知情范围，就须重新确认合法性基础。

b. 保险机构风险评估：商业保险公司基于投保人或被保险人的健康数据进行精准定价或风险排查，常常需要广泛收集病历、基因检测、就诊记录。一旦与第三方健康平台对接，如何确保数据主体授权与隐私安全成了首要难题。

c. 商业健康APP营销：某些健康管理应用表面上提供运动监测、营养建议，暗地却将收集到的大量用户健康指标、疾病史等信息出售给相关企业做广告推送。若未取得用户“单独同意”，则严重违反个保法或GDPR的敏感数据保护规范。

GDPR在第5条和第6条中提出了数据处理目的限制与相容性原则，即若新的处理目的与原目的“兼容”，并且在同一合法性基础之上即可延伸使用，否则需要再次征得同意或具备其他正当依据。对于健康数据（特殊类别），更严格的GDPR第9条要求也须同时满足。

中国个保法同样强调“限于实现处理目的的最小范围”，若处理目的发生变化（比如从诊疗转换为商业广告），需重新取得个人同意。这意味着，从临床到科研的延伸应用如无清晰法律授权或患者事先知情，极可能被认定为“超目的使用”。医生与研究者常会质疑：如此频繁的再授权是否阻碍科研？故而一些专家建议建立“在严格伦理和去标识化基础上的公共利益科研豁免”，虽然法律层面尚未对此类豁免进行细化规定，需要继续完善，但实践中，伦理审查和去标识化已成为科研项目合规获取和使用数据的常用路径，只是其“豁免”的具体法律效力层级和适用范围仍有待进一步明确。

GDPR第9条2(i)(j)针对公共卫生和科研等公共利益场景提供了较为灵活的合法性基础。只要有合法授权、足够安全保障（如匿名化或假名化）并经伦理或主管部门监督，就能在无需再次取得个体同意的情况下处理健康数据。这样有利于医学大数据研究，如传染病防控、大型流行病学调查等，为社会公共利益服务。

中国个保法第13条也列举了为公共利益开展新闻报道、舆论监督、应急处置等情形，无需征得个人同意。但科研例外的适用较为狭窄，缺少如GDPR那般详细的条款。实践中，多数科研项目仍会要求患者签署书面同意书。若无法一一联系到患者，则只能对数据进行充分的去标识化处理并经过伦理审查，借此勉强规避“单独同意”要求。

在欧洲，曾有医院因将患者资料与第三方研究机构进行大规模共享而受处罚，原因是其在收集时并未告知患者会把数据用于此类科研。即便目标是高尚的公共研究，也不能忽视合法程序。

在中国，一些所谓“数字医疗公司”可能私下把用户体检数据兜售给保险或保健品营销商，最终落得被行政处罚或追究刑责的下场。个保法对敏感信息非法买卖惩处严厉，最高可处5000万元或上一年度营业额5%的罚款；情节严重还可涉及侵犯公民个人信息罪。

a. 明示授权：在患者初次签署医疗服务协议时，增加对科研或后续用途的透明说明；若有重大改变，应二次征求同意。

b. 多层授权：医疗机构可提供不同“授权层级”，患者可自主选择只允许临床使用，或愿意参与科研项目，或允许AI模型训练等。

c. 去标识化：对有可能进行二次利用的数据，尽早采用假名化或匿名化技术，削弱对个人隐私的潜在影响，并减少合规障碍。

d. 审查与备案：在大规模研究或商业合作前进行DPIA/PIPI，评估风险，保留审查记录，必要时报监管部门或伦理委员会备案。

总的来说，“合法性基础”与“目的兼容性”是二次数据利用时的关键难题。医疗单位、科研机构、商业平台在共享或再使用健康数据前，都须自问：是否仍在原合法目的范围内？是否取得数据主体明示同意或拥有公共利益法律授权？是否对数据进行必要的安全防范与匿名化处理？这些问题的答案决定了项目能否平稳落地，也直接反映机构对患者权益的尊重程度。