2022年8月26日下午,由中国社会科学院大学互联网法治研究中心主办的社科大互联网法治论坛第57期、洞察数据系列论坛第8期“医疗数据与汽车数据安全合规与治理”学术研讨会成功举办,多位学界、实务界专家参与研讨并作主题发言。会议由中国社会科学院大学互联网法治研究中心执行主任刘晓春主持。
研讨会开始,百度集团资深副总裁、党委书记梁志祥进行了开场发言,介绍了行业发展的背景和最新进展,百度副总裁吴梦漪介绍了百度数据管理与安全合规办公室的工作情况,并对参加研讨的专家表示感谢。来自百度idg基础安全部的刘健皓和来自hcg智慧医疗部的吴家林作为行业代表,分别基于百度的数据合规实践情况,对汽车数据安全合规的背景、汽车数据安全体系建设情况、汽车数据应用场景、医疗健康数据与应用总体情况、医疗健康数据合规难点与风险、智慧医疗业务合规的行业实践、医疗健康大数据生态合规路径等进行了介绍,展现了当前我国汽车、医疗行业数据安全合规的产业现状和互联网企业在数据合规实践方面的努力,并就数据确权对行业生态的影响、如何平衡数据安全管理要求与技术进步需求、数据交易的落地机制和边界等问题提出了行业实践中的难点。
国家工业信息安全发展研究中心软件所工程师张渊在主题发言中重点分享了智能网联汽车数据安全合规的重难点问题,指出在现行法律法规体系下,包括数据安全定级、标准体系建设、重要数据界定等在内的一系列问题都尚需在行业实践中磨合。随后,他结合数据安全管理试点、重要数据梳理识别等相关工作,探讨了制度、管理在汽车数据安全中的重要性。
中国人民大学未来法治研究院副院长王莹在发言中以智能网联汽车场景为主要背景,探讨了自动驾驶中的个人信息合规责任,她认为百度当前汽车数据安全体系建设走的比较早,处于行业前列。王莹首先指出,由于汽车数据的种类来源繁杂,有必要依据其来源和法律属性明确类型化定位,并基于此实现数据存储、使用、传输的脱敏;其次由于汽车数据涉及的信息主体多元,因此在整个自动驾驶供应链上的各个环节都需要配置不同的权利义务;指出车联网环境下个人信息权利如知情同意权、查询权、个人对完全自动化决策的反对权等实现的技术挑战,认为在技术和法律之间这些问题可能尚需进一步协调。
对外经济贸易大学数字经济与法律创新研究中心主任许可从我国汽车数据领域的现状和未来发展趋势角度切入,指出了我国的数据安全合规从一开始就具有国家安全层面的关切,在个人信息保护和国家安全这两种可能与产业发展或技术进步需求矛盾的价值中,前者可能通过协调或法规则体系实现豁免或权衡,而后者则不可能在法律系统内部实现权衡。他着重指出,重要数据目录界定有从上而下(国家制定并出台标准)或从下而上(先备案再核定)两条进路,因此他主张企业在规则和标准制定的层面与监管部门充分沟通讨论、带来企业的声音和建议。
中国政法大学法律硕士学院院长助理、医疗保障法律与政策研究中心副主任刘炫麟在主题发言中指出,与我国现行卫生健康立法相比,《个人信息保护法》属于出台时间偏后的高位阶立法,因此健康医疗数据领域面临着合规层面的重大转向,具体来说包括信息收集的知情同意原则、匿名化标准、数据权的界定以及归属、转让等问题。当前,我国健康医疗数据在不同城市不同医院之间、同一城市不同医院之间、同一医院不同科室之间、不同城市甚至同一城市中医和西医之间数据难以共享利用,对健康医疗大数据的形成与共享构成一定障碍。厘清健康医疗数据的权属问题,有利于从根本上扫除上述障碍,淡化“所有”,强调“利用”,最大限度地实现健康医疗大数据的功用。
国家卫生健康委卫生发展研究中心健康战略与全球卫生研究部副主任、法治与治理研究室主任宋大平指出为促进医疗数据充分利用,一是需加快医疗数据确权、开放、流通、交易、产权保护,以及个人信息保护、医学人工智能、医疗责任分担等方面的立法和制度建设,为医疗数据流通使用奠定基础;二是加快电子健康档案、电子病历、药品器械、公共卫生、医疗服务、医保等信息标准体系建设,加快医疗数据互通共享;三是加强准入监管和过程监管,加快建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统,确保数据安全和医疗质量安全;四是从区域慢病管理、家庭医生签约服务等入手,加强医疗数据统筹和利用。
同济大学法学院副教授、上海市数据交易专家委员会委员陈吉栋从交通数据和健康数据的特点以及利益关系入手,指出这两类一般情况下不公开的数据,其面临的主要挑战是个人信息保护合规和国家数据安全合规,而这两个问题的难点在于:一方面《个人信息保护法》重构了过多的法律关系与生活关系,会影响大众的接受度;另一方面安全合规判断标准需要经过一定时间的检验才能稳定,目前没有充足的时间允许市场试错。基于此,他主张依据不同运营模式下法律关系、主体地位、行为模式的差异,在细分领域内部探索合规的内容与方式。百度在汽车数据安全定级、重要数据界定形成了自有的一套体系,应该积极参加相关标准的建设,推广行业的经验。
百度法律研究中心主任陈晨认为,虽然国家在积极推进数据要素市场的建立,但总体上促进数据利用的法律少,限制数据使用的法律多。例如,健康大数据的商业化利用就被《个人信息保护法》所限制,企业需要数据做ai医疗器械的“大模型”训练,但苦于找不到训练所需要的数据。当前,健康数据的匿名化或是去标识化的标准是缺失的,短期内似乎也无法建立。其实,最新出台的《深圳经济特区人工智能产业促进条例》,不仅对公共数据持非常开放的态度,更强调了要“促进数据要素资源化、资产化、资本化发展”。因此,行业对于匿名化或是去标识化标准的建立,应该更加努力去推动。
主题发言后,专家们针对医疗数据匿名化或去标识化、敏感信息和重要信息的认定、公共利益标准和基于此的数据使用豁免等问题展开了热烈深入的讨论。来自学界和实务界的专家各自从理论高度或实践经验的角度出发各抒己见展开探讨,观点在交流中充分碰撞,研讨会在活跃融洽的气氛中圆满结束。
