但医生群体却不这么看。第一,医生们认为是出于对他们的信任,病人才会将最私密的信息(数据)与他们分享,现在要求他们瞒着病人向HSCIC提供这些数据,医生普遍觉得这样的行为有悖于职业操守和病人寄予的信任;他们应有权向病人告知数据的去向,病人也应有权决定自己的数据是否提供给HSCIC。第二,医生们自己也不清楚HSCIC会将数据提供给谁,更不清楚数据将会被如何使用,在这样的情况下,他们无法向病人清楚地解释将数据提供给HSCIC的利弊,自己也就更不应按HSCIC的要求轻易地把数据交出去。
英国医学会(BritishMedicalAssociation)对care.data的立场十分具有代表性:1.care.data项目对数据保密性关注不够,其匿名化处理后的数据仍有识别具体个人的可能性;2.care.data项目可能导致家庭医生失去病人的信任;3.care.data项目没能清晰地界定数据共享开放的用途;4.care.data项目应允许病人自主选择是否加入该项目,而非默认病人同意加入;5.数据应仅应该用于改善医疗,不应该出售盈利。
普通民众对于care.data项目的疑问就更多了,总结起来有以下6方面:1.care.data项目运作方式缺乏透明,到底是宣传不够,还是政府有意隐瞒信息?2.项目对隐私保护不足,人们担心医疗系统之外的机构(例如保险公司、雇主等),会得到自己的健康医疗数据;3.项目采用的默认加入模式一定程度上剥夺了民众的自主选择权;4.项目收集、使用数据的方式破坏了民众对医生和医疗系统的信任;5.许多民众还认为个人健康医疗信息和病历档案是个人财产,政府无权直接“征用”;6.很多民众不愿意公司获得他们的数据,以此研发产品和服务并获利。
面对民众和医生群体的质疑,NHS急忙应对。2013年4月英国卫生大臣杰瑞米·亨特不惜放弃“医疗和社会保健法案”的明确授权,公开承诺允许病人在“阶段1”和“阶段2”中可选择退出。2014年1月,NHS决定向英国所有的家庭邮寄care.data项目宣传单,结果BBC调查显示只有不到三分之一的受访者记得收到过宣传单;与此同时,NHS也没有采用配套的宣传措施,例如新闻发布会、电视宣传等,仅仅在YouTube和NHS官方网站上传了一段视频。2014年5月,英国通过针对“医疗和社会保健法案”的修正案试图厘清HSCIC数据的用途,即仅可用于“提供提高健康和社会保健,或提高健康和社会保健水平”,但该修正案依旧没有明确数据是否可向商业机构提供,例如药厂及其研究人员。
而接下来的几则曝光更让care.data雪上加霜。如HSCIC承认已经向160个组织出售了大量匿名或非匿名数据;更有媒体爆出某保险公司获得了数百万的病历资料,并将其用于向病人销售保险。就在2016年4月底,媒体再一次曝光NHS“秘密地”向谷歌公司提供超过120万份病历供其人工智能引擎DeepMind开展数据挖掘。终于,在公众信任危机的重压下,NHS于今年7月关停了care.data项目。
中国同样面临风险,现有制度设计有待完善
在数据共享、开放、利用三个环节,NHS在一开始设计、实施care.data项目时就准备不足。在共享环节,没能尊重各相关方的诉求和立场,更缺乏充分、有效的沟通和宣传;在开放环节中,没能对外明确数据开放的规则、流程,有意或无意的遮遮掩掩使各方疑问重生;在利用环节,始终回避是否允许商业机构获取数据这个问题,在媒体曝光之后才被动应对。这些经验教训,在我国实施“互联网+医疗”路线图过程中弥足珍贵。
再看国内,现阶段至少在数据共享、开放、利用的规则层面,我国同样没有太多的考虑和制度设计。卫计委于2014年印发的《人口健康信息管理办法(试行)》(下称《办法》),是目前现行的关于健康医疗数据方面最权威的规定,其中第十三条、十四条对数据共享和开放做出了安排。
《办法》第十三条规定:人口健康信息的利用实行分类管理,逐步实现互联共享。人口健康信息的利用应当以提高医学研究、科学决策和便民服务水平为目的。依法应当向社会公开的信息应当及时主动公开;涉及保密信息和个人隐私信息,不得对外提供。
第十四条规定:责任单位应当建立人口健康信息综合利用工作制度,授权利用有关信息。利用单位或者个人不得超出授权范围利用和发布人口健康信息。
可以看到,《办法》更多地采用了一种原则性的表述。