2017年6月1日，《中华人民共和国网络安全法》（“《网络安全法》”）正式实施，国家随之公布了《个人信息和重要数据出境安全评估办法（征求意见稿）》、《药品试验数据保护实施办法（暂行）（征求意见稿）》等多项法律法规。欧盟也在2018年5月25日正式实施《一般数据保护条例》（“General Data Protection Regulation”，下称“GDPR”），其对于违反个人数据相关保护规定的处罚相当之高。可见从国内外宏观立法环境角度而言，数据、个人隐私、个人信息的保护受到了各国监管机构的高度重视。
 

    一、我国健康数据保护简要情况

    我国数据保护的立法形式与美国较为相似，属于各部门立法，但目前针对健康数据保护的立法存在明显不足，主要问题有：我国明确对健康数据保护的立法成果较少，仅有卫计委《人口健康信息管理办法（试行）》和国家药品监督管理局《药品试验数据保护实施办法（暂行）》（征求意见稿）两项，《网络安全法》总体而言只是调整了电信、媒体和科技(“Telecommunication，Media，Technology”，“TMT”)领域的信息网络法律关系；我国立法中存在立法语焉不详、内容互相矛盾，各说各话的问题，研究相关问题时整合相关法规政策难以得到非常明确、逻辑通顺的答案；缺少具体的保护机制，缺少统一、清晰、成熟的健康数据保护机制概念；不论是民众还是国家对于个人健康隐私的概念比较薄弱，我们立法中也缺乏对隐私和健康信息的具体定义。　
 

    二、海外健康数据保护情况与实例

    我国健康数据保护的实施尚处于起步阶段，境内对于健康数据泄露的处罚案例几乎没有，笔者研究美国、英国、欧盟等地区健康数据的监管，搜寻了数个海外健康数据泄露的处罚实例，希望通过不同角度分析海外健康数据合规的监管和处罚模式获得对国内健康数据保护、泄露处罚监管的启示：
    1. 海外健康数据监管机构
    他山之石可以攻玉，国内健康数据保护立法既然存在欠缺，我们可以对其他国家健康数据保护监管的措施进行参考、学习。
美国与中国类似，是通过部门立法实现对国内健康数据的保护，故美国健康数据保护主要立法是1996年出台的Health Insurance Portability andAccountability Act（“HIPAA”）。其中设立了隐私规则（Privacy Rule），它的监管机构是Office for Civil Rights（“OCR”）。在HIPAA中，健康数据的定义被表达为受保护的健康信息（Protected Healthy Information，“PHI”）。OCR对健康数据侵害行为的处罚力度相当大，其最高处罚可达到每年150万美元，若该违法状态持续跨年度，则将被算作两年，即最高处罚额达到300万美元。
    英国与欧盟健康信息保护并不通过部门立法，而是对整个数据进行保护，无论哪个法律部门，都被统一至一部数据保护法案中。英国的数据保护法案是1998年实施（目前已被2018新版覆盖）的《数据保护法案》（Data Protection Act），是一部完整的数据保护法，不区分数据是有关健康数据、征信数据、金融信息等等，皆在此法案的保护之下。其监管的机构为信息监管委员会（Information Commissioner Office，“ICO”），法案没有特别定义健康数据，但存在单独的Health Department制定的对健康数据的相应规则。在英国，就单一违法行为，最高可处罚50万英镑，而2018版处罚金额已与GDPR保持一致。目前健康数据保护处罚最严厉的还是GDPR，在GDPR颁布前，欧盟通过《个人数据保护指令》保护公民个人数据，但该保护指令在欧盟必须经每个国家国内立法后才可生效实施。而GDPR，是对所有欧盟国家直接生效直接实施的法规，欧盟内的公司、企业若违反GDPR相关数据保护规定将被处最高达到全球营收的4%，或2000万欧元之罚款。GDPR对公司、企业全球营收的4%之处罚额几乎达到欧盟对反垄断处罚的严厉水平。由此最近很多欧洲公司都开始重新评估其商业实体及各法域的数据保护力度。
    2. 海外健康数据监管处罚案例与启示
    （一）纽约某医院HIV信息泄露案
    2014年9月，有一位HIV病毒携带者在美国某医院就诊后，医院出具了一份包含患者HIV、性病史、性取向、心理疾病、药物滥用信息的体检报告。该患者要求医院将报告传送至其私人邮箱，然而医院错误地将报告传真送达了患者雇主处，该行为直接导致该个人携带HIV病毒的信息被泄露至其雇主。根据美国HIPAA，OCR和医院达成了处罚和解，该医院被处罚38万美元。该案体现了美国HIPAA下的沟通渠道指定规则，患者与医师间的沟通渠道需通过患者指定，医院只能通过患者指定的信息渠道传递信息，该案中医院未遵照患者的指定渠道，将患者医疗信息传送至患者雇主处，不仅侵犯了患者隐私，还可能对患者未来的工作生活造成会巨大影响。
    （二）纽约某医院违规拍摄案
    2011年，美国某电视公司的摄影团队经纽约某医院允许进入医院拍摄某著名电视节目，镜头包括了众多患者，其中包括一名由于车祸导致濒死的病人与一名重度抑郁症病人。节目于2012年在美国ABC电视频道播出，虽然节目播出时病人的面部与声音都被做了模糊处理，但医院依然遭到了OCR的处罚，理由并不在于电视公司拍摄的节目向公众传播，而是医院未经患者许可，擅自允许电视摄影团队拍摄患者就诊的内容，获取患者就诊信息，该行为本身已经侵犯了患者的个人健康数据。本案中医院最终与OCR和解，被处罚220万美元。
    该案例令人联想到前段时间国内很火的在上海某医院拍摄的某纪录片。该节目在医院急诊间内几乎360度装满了摄像头，在几个月的时间内拍摄进入急诊间的急诊病人。纪录片中包含了患者事后发表感言等内容，说明节目是获取了患者的同意后才向社会公众播放的。其对不相干的人也进行了马赛克处理。无论是否播出，拍摄前是否应获取镜头内所摄患者同意在我国立法下是较为模糊的。
    （三）德州某医院新闻案
    2015年9月，一墨西哥裔非法移民持伪造的社会保障卡（SocialSecurity Card，类似中国身份证）至美国德州某医院就诊，在门诊登记时就被医院发现其社会保障卡系伪造，医院当即向警局报案。患者未接受该医院的医疗服务，立刻被警方逮捕。该行为本身是HIPAA允许的，但事后医院把将该患者的姓名及相关文件交给当地媒体，供其报道。当地媒体将该事件作为新闻发布出去的同时也披露了患者的姓名资料等。医院通过将患者信息披露给媒体的行为作为事后的新闻披露，在HIPAA项下仍被认为侵犯了患者个人健康信息隐私，因此OCR与其达成了和解赔偿240万美元。该案体现了HIPAA对患者健康数据保护力度之强，可见美国对个人隐私保护重视程度之高，是值得我国对健康数据保护立法时进行借鉴的。
    （四）英国某医院录音泄露案
    英国某医院是一家主营试管婴儿业务的民营医院，该医院会将患者与医院的诊疗预约电话录音并转化为文字记录下来，2009年医院将录音转化文字业务外包至某印度公司，该公司对录音资料并未设置合理的安全保护措施，而是直接上传至一个没有经过处理、没有密码的FTP地址中。2015年4月，该医院的患者通过Google搜索引擎搜索自己名字时意外发现医院预约电话录音，该患者立即向英国数据监管保护机构举报，医院最终被处罚20万英镑。医院在健康数据跨境传输前未对第三方的国家数据安全保护水平进行安全评估，GDPR现要求在健康数据跨境传输前对第三方国家进行充分评估，如不经评估，将无法把数据转移出境。
    数据海外监管的相关情况归纳如下表：

    海外健康数据保护有两大特点，第一，处罚力度大，动辄就是几十万英镑美元，甚至几百万的处罚；第二，对隐私保护的认知已经达到了一个相当高的水平。这两点值得在今后我国在健康数据保护的立法、执法中借鉴，把个人隐私保护落到实处。
 

    三、我国健康数据的定义与立法

    我国在健康数据保护方面最开始所要面对的问题便是健康数据概念的定义。翻看我国《网络安全法》、最高院，最高检的司法解释等法律法规、政策指南，各文件对“个人信息”的定义并不统一，虽然大同小异，但仍有些许细微的变化，各部门的定义也仅限于该部门管辖的范围，较为狭窄。
 

    如图所见，关于个人健康数据的概念主要有两个大概念交叉组成，即健康数据与个人信息。我国部分文件中把健康数据表达为等同于个人健康数据。笔者认为，个人健康数据应指与个人信息相关的健康信息。健康数据的概念范围可以比个人健康数据更大，即把个人信息匿名处理，只留下其包括血液成分、DNA成分等信息时仍然可以构成健康数据，但此时可能无法再将其定义为个人健康数据了。
    个人信息与健康数据的交叉部分便是个人健康数据。个人健康数据一定属于个人信息，因为个人健康数据中包含个人姓名、年龄、就诊信息等，故其属于个人信息的一部分。2014年国家卫计委颁布的国家《人口健康信息管理办法（试行）》，其对人口健康信息的定义仅局限于卫计委上下级行政机关以及医疗机构在行使职权中所收集到与个人健康相关的信息，包括电子病历等等信息。但商业公司，保险公司，医疗器械公司所搜集的健康信息似乎就无法归入人口健康信息的概念中。此种情况下，是否仍然适用《人口健康信息管理办法（试行）》依然存疑。
    又例如人类遗传资源，1998年颁布的《人类遗传资源管理暂行办法》（“《办法》”）规定人类遗传资源指跟基因相关的细胞、血液及相关的信息资料。医疗行业许多进口药在国内多中心或单中心做临床试验分析，许多临床试验得到的数据需要向海外赞助方传输，在《办法》下，这些通过细胞、血液所提取检测分析转化得到电子数据也属于人类遗传资源，适用《办法》。笔者认为，人类遗传资源的概念应当置于人口健康信息的范围中，因为人类遗传资源大多数涉及血液，细胞，采集的过程可能会被认为是一种诊疗行为，这种诊疗行为在非医疗机构不可能实现，只可能在医院或其他医疗机构进行，故人类遗传资源应该落到人口健康信息范围中。
    药品实验数据中可能包含个人信息，可能包含个人健康数据，也有可能包含一些完全和个人信息无关的健康数据，既不属于个人信息也不属于健康数据的信息，如纯粹的化学信息、纯粹的基础数据，故部分药品实验数据就有可能落在两个大圈之外。
 

    综合研究我国涉及个人信息、健康数据概念的法律法规后，我们可以总结出：《网络安全法》作为人大常委会发布的法律，是一个针对特定行业的法律，电信、互联网等，其主要调整网络运营者；《征信业管理条例》主要涉及央行对征信机构在个人信息问题方面的监管；《消费者权益保护法》主要针对工商局（市场监督管理局）关心和监管的个人信息问题；卫计委（目前卫健委）主要负责健康信息的保护；科技部主要负责与人类遗传资源收集、出境相关的个人信息保护，其下设中国人类遗传资源办公室，对于临床试验、中外合作的个人信息进行监管；CFDA（目前药品监督管理局）主要是对医疗器械以及药品类产品的监管；而有一定建设性的《健康信息学推动个人健康信息跨国流动的数据保护指南》及其它多个指南（《个人信息安全规范》等）只是推荐性标准，且主要还是依据欧洲GDPR和之前个人信息数据流动指令撰写而成。故在实践中，相关法律法规被引用的场合和次数皆较少，这种部门立法，政出多头的立法现状，导致分析健康数据合规的具体问题时会产生困扰。

    四、我国健康数据出境传输监管
    1. 人口健康数据出境
    《人口健康信息管理办法（试行）》第十条规定：“不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。”人类遗传资源如前文所述是可以出境的，只要得到人类遗传办公室的审批，一般由中方合作单位办理报批手续。
    2. 出境数据安全评估
    出境的数据安全评估目前就立法而言较为不确定。《网络安全法》要求关键信息基础设施的运营者要将数据存储在境内，数据出境要做安全评估。而网信办出台的《个人信息和重要数据出境安全评估办法》（征求意见稿）（“《评估办法》”）扩大了安全评估的范围，将安全评估分为两类：自行评估与监管机构进行评估，所有网络运营者出境数据都要进行自行安全评估。关键信息基础设施、出境数据包括50万人以上、1000GB以上、核/军工/人口健康数据等都应当由监管部门作安全评估。个人健康信息据该《评估办法》落在关键信息基础设施项下。即便不落在该项下，根据第一版的《评估办法》的征求意见稿，人口健康数据也要由监管部门安全评估。现在网络流传的修改版要求所有网络运营者出境数据执行安全评估，删除了关键信息基础设施（CII）出境数据、1000GB内容，但是人口健康数据仍然是保留的。
 

    《评估办法》的出台带来了一个问题：《评估办法》是网信办基于《网络安全法》所制定的下位法，在《网络安全法》规定：“关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。仅处罚违规的关键信息基础设施的运营者，但非关键信息基础设施的运营者违反《评估办法》在《网络安全法》中是无法找到处罚依据的，产生了罚则缺失的问题。当然，现在的《评估办法》还处于征求意见阶段，还需要等到最终版本出台后再来探讨这些问题。
    3. 重要数据
    《个人信息和重要数据出境安全评估办法》中要求遵循《重要数据识别指南》下《信息安全技术数据出境安全评估指南》。该附录基本上把国内比较重要行业全部列入其中，包含卫健委和CFDA所管辖的，与健康相关的重要数据、人口健康数据、不良反应中的个人隐私、传染病、电子病历、遗传信息等等，CFDA管理的药品试验数据、医疗器械临床试验数据都在附录内。
    附录表明了对健康数据出境清晰的监管思路：无论认为其是人口健康信息、健康数据或其他任何概念，未来其出境无论是落到关键信息基础设施，还是落到重要数据，无论是否脱敏，基本上都要落到出境的安全评估的范围中。
 

    附录如下图所见：