李梓青

(湘潭大學，湖南 湘潭 411105)

醫(yī)療行業(yè)在大數(shù)據(jù)背景下產(chǎn)生了巨大變革，健康醫(yī)療數(shù)據(jù)的應用將傳統(tǒng)的醫(yī)療模式徹底顛覆。隨著國家“互聯(lián)網(wǎng)+醫(yī)療”戰(zhàn)略的推進，互聯(lián)網(wǎng)背景下醫(yī)療領(lǐng)域的迅速發(fā)展引起了廣泛關(guān)注，醫(yī)療行業(yè)的轉(zhuǎn)型雖為社會帶來了巨大的貢獻，但網(wǎng)絡安全形勢日益復雜，由此引起的健康醫(yī)療數(shù)據(jù)的泄露事件不容小覷。雖然我國重視醫(yī)療行業(yè)的網(wǎng)絡安全，國家層面密集出臺政策法規(guī)建立網(wǎng)絡等級保護制度、信息安全制度，防止數(shù)據(jù)的泄露，但醫(yī)療行業(yè)網(wǎng)絡安全形勢依然嚴峻，我國依然處在整體安全風險較高、醫(yī)療信息系統(tǒng)的安全防護水平相對落后的階段。

醫(yī)療領(lǐng)域泄露事件的頻繁發(fā)生也引發(fā)公眾對健康醫(yī)療行業(yè)信息化的安全思考。本文將從醫(yī)療行業(yè)的數(shù)據(jù)保護現(xiàn)狀入手，一步一步深入進行健康醫(yī)療數(shù)據(jù)泄露原因及其法律救濟研究和剖析。本文首先考察健康醫(yī)療數(shù)據(jù)的業(yè)態(tài)發(fā)展，從中總結(jié)健康醫(yī)療數(shù)據(jù)存在的安全風險，根據(jù)風險剖析出導致其泄露的制度根源，最后針對制度根源提出解決相應問題的法律救濟手段。本文討論的健康醫(yī)療數(shù)據(jù)是指患者或個人在進行醫(yī)療健康活動時所產(chǎn)生的所有相關(guān)的信息數(shù)據(jù)，[1]包含生物識別數(shù)據(jù)和基因數(shù)據(jù)，《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》中有相關(guān)定義，是指對自然人的身體、生理、行為等生物特征進行處理而得出的能夠識別自然人獨特標識的個人數(shù)據(jù)，包括自然人的基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等數(shù)據(jù)①。

一、 健康醫(yī)療數(shù)據(jù)的保護現(xiàn)狀

為了改變數(shù)據(jù)流通困境，國家政策傾向推動數(shù)據(jù)互通共享，容易忽視數(shù)據(jù)的安全問題，在政策規(guī)章上，對健康醫(yī)療數(shù)據(jù)的保護不足。在管理模式上，醫(yī)療機構(gòu)由封閉式變?yōu)榘腴_放式或開放式，增加了與醫(yī)療行業(yè)對接的領(lǐng)域，給醫(yī)療機構(gòu)的管理提升了難度。在防護技術(shù)層面上，傳統(tǒng)的防護體系不能解決現(xiàn)有難題，而我國現(xiàn)階段還處于網(wǎng)絡安全風險較高、防護水平較為落后的狀態(tài)，醫(yī)療領(lǐng)域缺乏對數(shù)據(jù)的技術(shù)保護措施。

(一) 大力推動數(shù)據(jù)共享而易忽視數(shù)據(jù)安全問題

目前我國沒有針對健康醫(yī)療數(shù)據(jù)保護的法律法規(guī)，我國健康醫(yī)療數(shù)據(jù)保護制度的構(gòu)建是以《網(wǎng)絡安全法》為核心，以規(guī)范性文件、國家標準為主導。對這些規(guī)范性文件進行匯總分析，本文認為醫(yī)療行業(yè)信息化發(fā)展可以分為三個階段。第一個階段，信息化建設開始步入生活的方方面面，各個行業(yè)與科技成果相結(jié)合，醫(yī)療行業(yè)開始轉(zhuǎn)型。我國早期注重將書面的醫(yī)療信息以數(shù)據(jù)的形式儲存，致力于建構(gòu)電子病歷信息系統(tǒng)。單純強調(diào)醫(yī)療信息的保存，以電子病歷取代傳統(tǒng)的手寫病歷，患者診療的全過程以信息化的方式記錄。第二個階段，“十二五”期間初步建立了電子信息檔案、電子病歷數(shù)據(jù)庫，[2]47實現(xiàn)了醫(yī)療行業(yè)信息化，但電子病歷信息系統(tǒng)的建設未遍布各級各類醫(yī)療機構(gòu)，出現(xiàn)了醫(yī)療機構(gòu)內(nèi)部不同科室之間、醫(yī)療機構(gòu)與醫(yī)療機構(gòu)之間、不同地區(qū)之間的數(shù)據(jù)流通壁壘。數(shù)據(jù)的不流通導致信息孤島現(xiàn)象，極大阻礙了數(shù)據(jù)的利用。第三個階段，國家頒布規(guī)章政策推動醫(yī)療機構(gòu)之間、跨區(qū)域的健康醫(yī)療數(shù)據(jù)互聯(lián)互通，強調(diào)健康醫(yī)療數(shù)據(jù)的利用與共享，確定了“保護+利用”的健康醫(yī)療數(shù)據(jù)應用原則[2]11。

由于我國長期存在信息孤島現(xiàn)象，出于迫切想要改變信息孤島帶來嚴重弊端局面的考慮，我國在致力于促進健康醫(yī)療數(shù)據(jù)的互通共享時，容易忽視數(shù)據(jù)的安全問題。雖然健康醫(yī)療數(shù)據(jù)的收集、儲存、處理、運用、共享的規(guī)則不直接威脅數(shù)據(jù)的安全，但隨著云儲存、遠程醫(yī)療、網(wǎng)絡醫(yī)院的出現(xiàn)，參與數(shù)據(jù)流轉(zhuǎn)的主體增多，醫(yī)療機構(gòu)與技術(shù)、設備提供商、醫(yī)療機構(gòu)之間可能存在不平等或違反法律規(guī)定的現(xiàn)象，患者的個人權(quán)益遭到侵害。第三方技術(shù)、設備提供商有著利用醫(yī)療機構(gòu)能依據(jù)規(guī)章合法收集患者信息的便利。未經(jīng)患者的同意從醫(yī)療機構(gòu)的信息化平臺私自收集、利用其健康醫(yī)療數(shù)據(jù)，侵犯了患者的隱私權(quán)、個人信息權(quán)和知情權(quán)[2]9。國家衛(wèi)健委于2018年下發(fā)的《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法(試行)》對“互聯(lián)網(wǎng)+醫(yī)療健康”的發(fā)展進行了引導，遏制了當時部分企業(yè)的野蠻發(fā)展，但政策以及保護手段并不具體，不法分子依然惡意利用制度的空白侵犯患者的合法權(quán)益。

(二) 與醫(yī)療行業(yè)對接領(lǐng)域眾多導致管控存在困難

大多數(shù)傳統(tǒng)的醫(yī)院采取獨立且物理隔離的網(wǎng)絡架構(gòu)，但由于大數(shù)據(jù)時代網(wǎng)絡醫(yī)院、遠程診療、醫(yī)療App的發(fā)展，醫(yī)院網(wǎng)絡架構(gòu)從封閉走向開放。原本封閉式的管理機構(gòu)，現(xiàn)在大多數(shù)變?yōu)榘腴_放式或開放式的管理機構(gòu)，導致醫(yī)療行業(yè)需要與眾多領(lǐng)域進行對接。開放式的終端有著下列特點：1.數(shù)量多，管理復雜，導致成本增加；2.分布分散，提升了維護的難度；3.環(huán)境復雜，提高了安全服務保障的要求；4.使用不可控，容易引發(fā)數(shù)據(jù)泄露。醫(yī)療行業(yè)網(wǎng)絡應用規(guī)模和復雜度的不斷提高，網(wǎng)絡中傳輸?shù)臄?shù)據(jù)量急劇上升，攻防對抗日趨激烈，越來越多的管理問題開始顯現(xiàn)。

現(xiàn)實中在醫(yī)療行業(yè)與其他行業(yè)數(shù)據(jù)對接的管控方面存在大量死角和盲區(qū)。[3]這些對接可以劃分為三類：一是醫(yī)療行業(yè)與醫(yī)療行業(yè)進行對接，不僅是與實體醫(yī)療機構(gòu)，還存在與互聯(lián)網(wǎng)醫(yī)療機構(gòu)的對接，這些數(shù)據(jù)是否可以再次共享，數(shù)據(jù)共享是否應該征求患者同意。二是醫(yī)療行業(yè)與技術(shù)、設備提供商對接，第三方通過提供可穿戴式設備等醫(yī)療機械、提供云儲存獲取患者的健康醫(yī)療數(shù)據(jù)，設備收集的數(shù)據(jù)自動傳輸?shù)降谌绞欠駱?gòu)成非法收集，醫(yī)院與技術(shù)、設備提供商簽訂合同有無涉及數(shù)據(jù)的共享內(nèi)容，合同是否有被迫無效的風險。三是醫(yī)療行業(yè)與政府對接，政府為了充分發(fā)揮健康醫(yī)療數(shù)據(jù)的作用，將獲取的數(shù)據(jù)反作用于醫(yī)療行業(yè)和金融行業(yè)。上述這些復雜的對接情況都會影響數(shù)據(jù)的安全，管理不慎便容易引發(fā)數(shù)據(jù)泄露事件。

醫(yī)療行業(yè)與境外企業(yè)的對接提升了管理的難度，境外企業(yè)作為控制者、處理者或使用者參與了數(shù)據(jù)的流轉(zhuǎn)，必然影響我國健康醫(yī)療數(shù)據(jù)的管理工作，不論數(shù)據(jù)的跨境傳輸是否經(jīng)過了醫(yī)療數(shù)據(jù)主體的同意，將數(shù)據(jù)傳輸出境都必然有一定程度上的隱患風險。

(三) 醫(yī)療領(lǐng)域普遍缺乏對數(shù)據(jù)的技術(shù)保護措施

醫(yī)療領(lǐng)域普遍缺乏對健康醫(yī)療數(shù)據(jù)的技術(shù)保護措施主要表現(xiàn)在兩方面。首先是現(xiàn)階段絕大多數(shù)醫(yī)院缺乏必要的網(wǎng)絡安全防護設備和系統(tǒng)防護措施，其次是缺少有效的針對數(shù)據(jù)的脫敏保護措施。

網(wǎng)絡安全觀測報告中指出健康醫(yī)療行業(yè)總體還處于“較大”的安全風險級別。[2]醫(yī)療行業(yè)企業(yè)和機構(gòu)的主要工作是進行醫(yī)學研究或?qū)颊哌M行診療，往往容易忽視敏感健康醫(yī)療數(shù)據(jù)的安全檢測，或因資金有限，大多會選擇將資金投入發(fā)展醫(yī)療診療、購買設備等等來提升醫(yī)療水平，安全技術(shù)措施自然成為短板。醫(yī)療行業(yè)的安全防護體系變革對醫(yī)療行業(yè)提出了更高的要求，但現(xiàn)實情況卻不盡如人意。CHIMA《2018—2019 年度中國醫(yī)院信息化狀況調(diào)查報告》顯示，僅采用防火墻保障網(wǎng)絡安全，對網(wǎng)絡進行 VPN/VLAN 劃分和上網(wǎng)行為管理的醫(yī)院僅過半數(shù)。醫(yī)院對網(wǎng)閘、防入侵、防毒墻等設備的采用率均小于 50%。可見大部分醫(yī)院缺乏必要的網(wǎng)絡防護設備。[4]三級以下的醫(yī)院更是缺失基礎(chǔ)網(wǎng)絡安全防護。大多數(shù)醫(yī)療單位缺少必要的網(wǎng)絡準入機制，對接入網(wǎng)絡的終端沒有進行 IP 限制，也沒有必要的認證機制，現(xiàn)階段健康醫(yī)療數(shù)據(jù)的網(wǎng)絡安全令人擔憂。

國家互聯(lián)網(wǎng)應急中心在2021年7月發(fā)布的《2020年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》顯示， 2020年共發(fā)現(xiàn)境內(nèi)醫(yī)學影像數(shù)據(jù)通過網(wǎng)絡出境497萬余次，未脫敏醫(yī)學影像數(shù)據(jù)出境近40萬次，占出境總次數(shù)的7.9%。[5]數(shù)據(jù)的脫敏技術(shù)用于降低數(shù)據(jù)的泄露風險，未經(jīng)脫敏的健康醫(yī)療數(shù)據(jù)就像是把患者赤裸裸地展現(xiàn)給外界，損害了患者的隱私權(quán)。醫(yī)療機構(gòu)在這個問題上還沒有完全意識到健康醫(yī)療數(shù)據(jù)脫敏的重要性。

二、 健康醫(yī)療數(shù)據(jù)泄露存在的安全風險

健康醫(yī)療數(shù)據(jù)存在的安全風險需從三方面剖析，首先是對患者個人的影響，影響了患者的正常生活，隱私權(quán)受到侵犯，甚至生命健康受影響；對社會層面而言，健康醫(yī)療數(shù)據(jù)泄露會打亂醫(yī)療行業(yè)原有秩序，容易形成非法產(chǎn)業(yè)鏈，醫(yī)療機構(gòu)遭不法分子勒索；對國家層面而言，基因數(shù)據(jù)、與疫情相關(guān)的數(shù)據(jù)一旦泄露至境外，嚴重威脅國家的安全。

(一) 患者的隱私和生命健康易受侵犯

健康醫(yī)療數(shù)據(jù)泄露首先影響的是患者的權(quán)益，其隱私權(quán)、生命健康受到了侵犯。新型的醫(yī)療模式雖為社會做出了不少的貢獻，但提供便利的同時帶來了安全風險。云計算技術(shù)方便了數(shù)量巨大的健康醫(yī)療數(shù)據(jù)的儲存和管理，促進了數(shù)據(jù)共享，但一旦云平臺出現(xiàn)問題就會導致服務的中斷，數(shù)據(jù)的丟失、泄露；當醫(yī)療與移動互聯(lián)網(wǎng)技術(shù)組合衍生出醫(yī)療App，為患者提供線上診斷等服務時，由于平臺的分散，移動終端難以集中控制，大量的健康醫(yī)療數(shù)據(jù)在公網(wǎng)上“裸奔”，患者的敏感數(shù)據(jù)就會遭到泄露；大數(shù)據(jù)技術(shù)用于對患者進行畫像，為患者提供精準診療服務，但這些信息被廣泛采集，隱私性強、可用價值高，容易被黑客攻擊，導致敏感數(shù)據(jù)泄露?；颊叩慕】滇t(yī)療數(shù)據(jù)遭到泄露以后，不僅會影響正常的生活，也容易給罹患疾病的人帶來心理壓力。2016年中國發(fā)生了一起艾滋病病毒感染者的信息泄露事件，感染者接到的詐騙電話有417起，涉及全國的31個省份，至少有5人有財產(chǎn)損失，還有一些患有艾滋病的學生接到電話受到威脅要求匯款，被威脅的學生只能迫于無奈遭受財產(chǎn)的損失。在健康醫(yī)療數(shù)據(jù)泄露后，還可能會引起商家的精準推銷，每天都有大量的廣告和騷擾短信發(fā)至手機，擾亂人們的生活。疫情期間，大量的個人數(shù)據(jù)以及健康醫(yī)療數(shù)據(jù)在網(wǎng)上瘋狂傳播，嚴重侵害了患者的隱私權(quán)。

專屬性極高的生物識別數(shù)據(jù)泄露，將導致個人生物特征數(shù)據(jù)無法使用。一個人的指紋、聲紋、掌紋、面部識別特征是難以改變的，一旦遭遇泄露，無法被撤銷，造成的結(jié)果是不可逆轉(zhuǎn)的，或影響一個人一輩子的正常生活。

利用物聯(lián)網(wǎng)技術(shù)幫助患者智能化診療也成為醫(yī)療領(lǐng)域的常態(tài)，可穿戴式設備或體內(nèi)植入設備用于檢測人體健康數(shù)據(jù)。但這些設備也存在安全隱患，容易被不法分子監(jiān)聽或攻擊，2017 年美國 ABBOTT公司 46.5萬個心臟起搏器因存在安全漏洞被召回。[6]這些物聯(lián)網(wǎng)醫(yī)療設備時刻威脅著患者的生命健康。

(二) 醫(yī)療行業(yè)和社會秩序面臨破壞

首先醫(yī)療行業(yè)會面臨形成非法產(chǎn)業(yè)鏈，導致數(shù)據(jù)的不正當競爭問題。市場主體罔顧商業(yè)道德，不法獲取健康醫(yī)療數(shù)據(jù)后，對數(shù)據(jù)進行清洗、加工，制造成能夠處理、能用于分析的可用數(shù)據(jù)，有專門的企業(yè)對數(shù)據(jù)進行處理分析，將大量的數(shù)據(jù)變?yōu)榭勺x的成果，這些成果通常能夠應用于各種領(lǐng)域，如設備制造、醫(yī)藥研究、保健服務等，企業(yè)用這些數(shù)據(jù)做研究，或投放市場用于生產(chǎn)針對性的產(chǎn)品。也給不法商家?guī)砹速嶅X的機遇，針對數(shù)據(jù)反映的情況開發(fā)對他們更有利、盈利更多的商品。這些數(shù)據(jù)以一定的價格在黑市、暗網(wǎng)上出售，形成大規(guī)模的市場，買賣泛濫，在這樣的黑色產(chǎn)業(yè)鏈中每個階段環(huán)環(huán)相扣，參與的主體多，帶來的經(jīng)濟利益大，買賣健康醫(yī)療數(shù)據(jù)的市場規(guī)模越發(fā)龐大，又會帶來惡劣的影響，如此惡性循環(huán)。健康醫(yī)療數(shù)據(jù)的不正當競爭比其他類型的不正當競爭可能會帶來更為惡劣的后果。[7]基因數(shù)據(jù)如果被黑市非法買賣，被大量濫用于各種場合，尤其是當這些基因信息和其他信息結(jié)合到一起時，數(shù)據(jù)衍生產(chǎn)品隨之出現(xiàn)，造成醫(yī)療行業(yè)和社會的秩序紊亂。

其次健康醫(yī)療數(shù)據(jù)的泄露提升了犯罪率，為不法分子犯罪活動提供了可乘之機。黑客攻擊醫(yī)療機構(gòu)造成醫(yī)療系統(tǒng)的癱瘓，醫(yī)療機構(gòu)無法正常訪問這些醫(yī)療數(shù)據(jù)，迫使醫(yī)療機構(gòu)不得不支付贖金以換取系統(tǒng)的正常運行。生物識別數(shù)據(jù)如被黑客掌握，他們可以盜用他人的面部識別、指紋等等訪問特定的地域，進行某些犯罪活動而不會輕易被發(fā)現(xiàn)。

(三) 國家安全受到嚴重威脅

2018年10月，科技部官網(wǎng)公開了6份行政處罰單，處罰時間從2015年到2018年，涉及5家公司和1家醫(yī)院，處罰原因均與遺傳資源數(shù)據(jù)泄露有關(guān)[8]。2017年2月和7月，生物學預印本網(wǎng)站“bioRxiv”和《Science Data》分別發(fā)表文章，均基于目前規(guī)模最大的漢人基因組數(shù)據(jù)，對中國人群的遺傳及進化特征進行了分析， 然而這項研究的研究人員并不主要為中國學者，后來被確認這批數(shù)據(jù)正是華大基因和華山醫(yī)院與境外合作傳輸?shù)臄?shù)據(jù)資源，數(shù)據(jù)一旦出境，之后的利用難以被我們掌控。華大基因于2018年10月在國際頂級學術(shù)期刊《細胞》上發(fā)表了迄今為止最大規(guī)模的中國人基因組學大數(shù)據(jù)研究成果，研究歷時兩年，對14萬余中國人無創(chuàng)產(chǎn)前基因檢測數(shù)據(jù)進行深入研究后，首次揭秘中國人群基因遺傳特征，[9]于是華大基因又陷入了“14萬孕婦基因數(shù)據(jù)的泄露風波”，雖華大基因解釋受檢者也簽署了知情同意書，且遺傳資源數(shù)據(jù)沒有出境，但鑒于之前對華大基因的處罰，公眾還是對其發(fā)出了不少質(zhì)疑?！?020年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》顯示，自疫情暴發(fā)以來，新冠患者的信息泄露事件頻頻發(fā)生，僅2020年就有不少于10起發(fā)生，這些新冠肺炎病毒數(shù)據(jù)出境次數(shù)竟達99萬余次[5]。

普通的健康醫(yī)療數(shù)據(jù)泄露主要是影響個人和社會。如果基因數(shù)據(jù)傳輸出境，影響的不僅是個人，國家安全也面臨嚴重的威脅。涉及基因數(shù)據(jù)或是特殊情況下，如疫情嚴重時的數(shù)據(jù)的利用時，不對“利用”加以管制會侵害國家利益，造成嚴重的損害。輕則幫助跨國藥企開發(fā)藥物獨占市場；重則危及國家安全，制造對付我國的基因武器。

三、 健康醫(yī)療數(shù)據(jù)泄露的制度根源

健康醫(yī)療數(shù)據(jù)保護的制度存在較多問題。首先以知情同意為原則的數(shù)據(jù)規(guī)制方式在大數(shù)據(jù)時代難以實現(xiàn)立法者設置此原則的初衷；其次健康醫(yī)療數(shù)據(jù)出境傳輸規(guī)則模糊，還需要進一步設定；再者缺陷型的監(jiān)督制度加速了泄露事件的發(fā)生，最后對于責任主體的確定和責任的分配沒有明悉，僅憑“一把手負責制”原則確定責任主體，存在一定的不足。

(一) 知情同意原則形同虛設

我國在信息采集中的選擇與參與機制中，選擇了擇入為主的知情同意規(guī)則，當采集數(shù)據(jù)的主體獲得了數(shù)據(jù)主體的授權(quán)，那就阻斷了對數(shù)據(jù)收集、使用的違法可能性。以知情同意原則為數(shù)據(jù)規(guī)制構(gòu)建框架的基本原則就意味著醫(yī)院等醫(yī)療機構(gòu)、醫(yī)療數(shù)據(jù)企業(yè)在收集數(shù)據(jù)主體的健康醫(yī)療數(shù)據(jù)之前應當告知數(shù)據(jù)主體將會收集哪些數(shù)據(jù)、這些數(shù)據(jù)將如何處理、用于哪些用途，得到數(shù)據(jù)主體的授權(quán)同意以后，即可對其健康醫(yī)療數(shù)據(jù)進行收集、處理、利用。知情同意原則設計的初衷是為了充分保護數(shù)據(jù)主體的獨立自決權(quán)或者說是保護其個人隱私空間在數(shù)據(jù)信息視域中的自然延伸，[10]這樣就能保證數(shù)據(jù)主體能夠自主管理個人數(shù)據(jù)，從而維護數(shù)據(jù)主體的利益。

在規(guī)制原有的數(shù)據(jù)流通中，知情同意能發(fā)揮充分的作用，在傳統(tǒng)的數(shù)據(jù)流通模型中，醫(yī)院想要收集患者的健康醫(yī)療數(shù)據(jù)，經(jīng)過患者的知情同意，醫(yī)院對數(shù)據(jù)進行收集、處理、利用，將效果反作用于患者或者用于醫(yī)學研究，最后將數(shù)據(jù)銷毀。但大數(shù)據(jù)時代推進了數(shù)據(jù)的共享，強調(diào)數(shù)據(jù)的利用，數(shù)據(jù)的再利用和多次流轉(zhuǎn)使得知情同意原則慢慢形同虛設，使得這樣的基本原則能夠發(fā)揮的效果愈發(fā)有限。數(shù)據(jù)流通鏈上的數(shù)據(jù)控制者、數(shù)據(jù)處理者、數(shù)據(jù)使用者數(shù)量越來越多，場景也越來越復雜，如每一個數(shù)據(jù)收集或共享的環(huán)節(jié)都需要經(jīng)過數(shù)據(jù)主體的知情同意，那么數(shù)據(jù)使用的成本會愈來愈高，收集數(shù)據(jù)的主體不愿意承擔這樣的高成本，之后便容易出現(xiàn)未經(jīng)授權(quán)的收集、不合規(guī)的利用。健康醫(yī)療數(shù)據(jù)一次授權(quán)多次利用已成為醫(yī)療界的常態(tài)，患者無法了解數(shù)據(jù)運轉(zhuǎn)邏輯而無法完全行使法律制度賦予其的隱私控制權(quán)。[11]一旦數(shù)據(jù)的收集、處理、利用環(huán)節(jié)處于違法狀態(tài)，就容易導致數(shù)據(jù)的泄露。目前大多數(shù)數(shù)據(jù)收集者為了方便提供格式條款供數(shù)據(jù)主體閱讀，雖然以格式條款的形式能減少大量繁雜的工作，即便提供的格式條款通俗易懂，普通公眾也不會仔細閱讀，“知情”的質(zhì)量大打折扣。即使用戶閱讀了隱私政策，也不見得能夠理性地預測自己可能面臨的風險，[12]這就加劇了健康醫(yī)療數(shù)據(jù)的安全風險?；谀壳按髷?shù)據(jù)時代的背景，將傳統(tǒng)的“知情同意”原則一味地概括數(shù)據(jù)收集階段，這樣的原則顯得比較僵硬。

(二) 出境傳輸規(guī)則較為模糊

醫(yī)療領(lǐng)域?qū)ｉT與健康醫(yī)療數(shù)據(jù)跨境傳輸相關(guān)的規(guī)章是《人類遺傳資源管理條例》，第二十二條規(guī)定利用我國人類遺傳資源開展國際合作科學研究的，應當符合下列條件，并由合作雙方共同提出申請，經(jīng)國務院科學技術(shù)行政部門批準：1.對我國公眾健康、國家安全和社會公共利益沒有危害；2.合作雙方為具有法人資格的中方單位、外方單位，并具有開展相關(guān)工作的基礎(chǔ)和能力；3.合作研究目的和內(nèi)容明確、合法，期限合理；4.合作研究方案合理；5.擬使用的人類遺傳資源來源合法，種類、數(shù)量與研究內(nèi)容相符；6.通過合作雙方各自所在國(地區(qū))的倫理審查；7.研究成果歸屬明確，有合理明確的利益分配方案。②這些條件中有些能夠經(jīng)過簡單的審查就能得知，而有些，如對我國公眾健康、國家安全和社會公共利益沒有危害這樣的表述比較抽象，什么樣的行為體現(xiàn)國家利益需要判斷的，是需要經(jīng)過一系列安全評估才能得出結(jié)論的。但《人類遺傳資源管理條例》中沒有對“安全評估”需要評估哪些方面進行規(guī)定。

《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱《辦法》)中要求個人信息出境前，網(wǎng)絡運營者與境外數(shù)據(jù)接收者簽訂合同。《辦法》為了應對境內(nèi)外法律不同的問題，提出網(wǎng)絡運營者在與接收者簽訂的合同中，應當要求數(shù)據(jù)接收者在其所在國家或地區(qū)的法律發(fā)生變化而導致合同無法履行的情況時，主動告知網(wǎng)絡運營者。對于境內(nèi)監(jiān)管者無法管轄境外數(shù)據(jù)的問題，《辦法》要求網(wǎng)絡運營者與接收者簽訂的合同中明確境內(nèi)網(wǎng)絡運營者“默認兜底”的角色；網(wǎng)信部門通過網(wǎng)絡運營者的年度申報可以掌握單個網(wǎng)絡運營者的整體數(shù)據(jù)出境情況，以此安排檢查，所以在特殊的時候可以暫停數(shù)據(jù)的傳輸，并對網(wǎng)絡運營者做出刪除數(shù)據(jù)的要求；《辦法》還要求境外網(wǎng)絡運營者直接面向中國市場提供服務時，需要在境內(nèi)安排法定代表人或者機構(gòu)以履行《辦法》規(guī)定的法律責任和義務。《辦法》還確保個人信息主體能夠在數(shù)據(jù)出境后維護自身合法權(quán)益，《辦法》也沒有將“寶”全押在網(wǎng)絡運營者身上，還賦予了個人信息主體針對數(shù)據(jù)出境的特殊“查詢權(quán)”。[13]但對于個人信息出境后的再次傳輸，《辦法》中確定的規(guī)則是“個人選擇退出”，那就意味著，敏感數(shù)據(jù)是否再次傳輸只需要個人的選擇，但健康醫(yī)療數(shù)據(jù)不同于普通的個人數(shù)據(jù)，由其特殊的基因數(shù)據(jù)關(guān)乎國家安全，個人選擇退出機制顯有不妥。重要數(shù)據(jù)與個人信息有著顯著的區(qū)別，健康醫(yī)療數(shù)據(jù)的出境傳輸規(guī)則可以借鑒《辦法》，但不能照搬。

(三) 監(jiān)督機制存在缺陷

缺陷型的監(jiān)管制度存在于兩方面，首先是監(jiān)督機制本身不健全，其次是醫(yī)療領(lǐng)域的監(jiān)管立法缺乏有效并統(tǒng)一的法律保障。

我國現(xiàn)有的關(guān)于健康醫(yī)療數(shù)據(jù)的政策數(shù)量繁多，也越來越凸顯監(jiān)管重要地位。傳統(tǒng)的醫(yī)療衛(wèi)生監(jiān)管體系是以政府為主導，中國醫(yī)院協(xié)會等社會組織發(fā)揮行業(yè)自律作用。[14]醫(yī)療行業(yè)與互聯(lián)網(wǎng)融合成果對傳統(tǒng)醫(yī)療行業(yè)產(chǎn)生了巨大影響，大數(shù)據(jù)背景下醫(yī)療行業(yè)的監(jiān)督格局發(fā)生了變化，但現(xiàn)有制度對于監(jiān)管主體和監(jiān)管內(nèi)容含糊不清。現(xiàn)有的健康醫(yī)療數(shù)據(jù)的監(jiān)管主體有衛(wèi)生健康委員會、工業(yè)和信息化部、食品藥品監(jiān)督管理局、發(fā)展和改革委員會、公安部等。雖然監(jiān)管主體以衛(wèi)健委為主，表面上有所分工，但在實踐中健康醫(yī)療數(shù)據(jù)的監(jiān)管，這些部門的職權(quán)存在交叉重疊的部分，對于每個部門在互聯(lián)網(wǎng)領(lǐng)域發(fā)揮的作用應當進一步明確。不少監(jiān)管制度中缺少執(zhí)法細則，導致監(jiān)督機關(guān)無從下手。同時監(jiān)督機關(guān)內(nèi)部還存在部門間缺乏協(xié)調(diào)、聯(lián)系松散、單獨執(zhí)政的情況。我國的監(jiān)管體系偏向自上而下，存在單向性，部門之間缺少合作與分工。一個監(jiān)督機關(guān)對健康醫(yī)療數(shù)據(jù)的監(jiān)督職權(quán)受到制度文件的制約，全方位地、系統(tǒng)性地管理健康醫(yī)療數(shù)據(jù)需要相互緊密配合。

地方上也接連出臺一些政策，發(fā)揮著主要的作用。以福州市為例，《福州市健康醫(yī)療大數(shù)據(jù)資源管理暫行辦法》和《福州市健康醫(yī)療大數(shù)據(jù)資源管理實施細則》[15]中規(guī)定了地方數(shù)字辦需建立本地的健康醫(yī)療數(shù)據(jù)的應用制度，強調(diào)了主管部門在健康醫(yī)療數(shù)據(jù)的使用和發(fā)布等授權(quán)上的監(jiān)督問題。各地的政策不統(tǒng)一導致不同地方健康醫(yī)療數(shù)據(jù)應用的發(fā)展情況存在較大差異。健康醫(yī)療數(shù)據(jù)泄露得不到防范與規(guī)制。醫(yī)療領(lǐng)域的監(jiān)管立法缺乏有效并統(tǒng)一的法律保障時，監(jiān)督機構(gòu)往往表現(xiàn)為被動執(zhí)法，總是等到數(shù)據(jù)泄露以后才有所行動，前期企業(yè)、機構(gòu)內(nèi)部落實統(tǒng)一的管理標準不力、內(nèi)部等級保護工作不夠，數(shù)據(jù)的脫敏保護缺失，尚未形成良好的防御機制，這些往往是在數(shù)據(jù)泄露已經(jīng)發(fā)生后才調(diào)查得知，這樣的監(jiān)督機制不利于健康醫(yī)療數(shù)據(jù)的安全保障。

(四) 責任的分配方式與懲罰力度有待改善

從2014年發(fā)布的《人口健康新管理辦法(試行)》到2016年的《健康中國2030》等政策都明確表明我國大力促進健康醫(yī)療數(shù)據(jù)的共享和利用。而共享和利用數(shù)據(jù)就會增加數(shù)據(jù)的流動性。貫徹數(shù)據(jù)的開放共享政策后責任分配復雜。數(shù)據(jù)流通從單一的模型——主體到控制者到處理者到使用者較為簡單的單向數(shù)據(jù)流通，到多方使用者的加入，并且控制者、處理者、使用者由醫(yī)院增加到可穿戴式醫(yī)療設備的服務商、提供遠程監(jiān)控診療技術(shù)的醫(yī)療機構(gòu)、在線診療平臺、云服務器提供商、軟件開發(fā)商和維護人員等等，還有各大醫(yī)療機構(gòu)或企業(yè)對數(shù)據(jù)再利用的相互傳輸。參與數(shù)據(jù)流通的主體變多，責任主體難以確定。《關(guān)于印發(fā)〈國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法〉(試行)的通知》落實“一把手負責制”，但僅按照“一把手負責制”在現(xiàn)有的數(shù)據(jù)流通鏈中并不能很確切反映歸責主體和責任的分配。后期的懲罰機制不完善，會導致前期的管理機制混亂，有礙數(shù)據(jù)安全保障工作的進行。

在懲罰機制上同時也可以看出我國對泄露健康醫(yī)療數(shù)據(jù)的責任主體存在懲罰力度不夠的問題。首先是重行政、刑事責任，輕民事責任。我國《刑法》第253條規(guī)定了“侵犯公民個人信息罪”，《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規(guī)定對敏感個人信息非法獲取、出售50條就可以定罪，《網(wǎng)絡安全法》對侵犯個人信息類犯罪最高的行政處罰達50萬元，其他部門規(guī)章行政處罰也大都在5萬～20萬元之間。但關(guān)于違反網(wǎng)絡安全規(guī)定，造成數(shù)據(jù)泄露的公民個人應該承擔什么民事責任并沒有詳細的規(guī)定，《民法典》僅從側(cè)面肯定了保護公民個人信息權(quán)和數(shù)據(jù)的權(quán)利。[17]其次對于特殊敏感數(shù)據(jù)的泄露懲罰力度遠遠不夠?？萍疾刻幚砣A大基因泄露基因數(shù)據(jù)的事件，給予華大基因的行政處罰是：1.停止該項研究工作的執(zhí)行；2.銷毀未出境的研究數(shù)據(jù)；3.停止國際合作，整改合格后再行展開。但在2018年華大基因又陷入了泄露國內(nèi)14萬孕婦的基因組至國外的風波，可見這樣的行政處罰遠遠不能阻止類似行為的再次發(fā)生，數(shù)據(jù)泄露的責任太輕根本不足以警示公眾數(shù)據(jù)泄露危害的嚴重性。對泄露健康醫(yī)療數(shù)據(jù)的打擊力度不夠，對將特殊的基因數(shù)據(jù)泄露至境外的打擊力度更加不夠。

四、 健康醫(yī)療數(shù)據(jù)泄露的法律救濟

健康醫(yī)療數(shù)據(jù)在醫(yī)療領(lǐng)域不斷的應用，是促進醫(yī)療行業(yè)發(fā)展的重要工具，對社會的發(fā)展有積極意義，但必須防止健康醫(yī)療數(shù)據(jù)的泄露造成的數(shù)據(jù)安全風險。

(一) 引入依托場景的風險理念補正較為僵硬的同意規(guī)則

世界經(jīng)濟論壇(WEF)聯(lián)合微軟研究團隊發(fā)布的一份研究報告指出,由于缺乏實質(zhì)意義上的用戶控制及透明機制,傳統(tǒng)個人信息保護架構(gòu)在當下社會已經(jīng)失靈。[16]學者魯賓斯坦(Rubinstein IS.)進一步指出,知情同意機制在大數(shù)據(jù)時代已經(jīng)“無可挽回地走向瓦解,超出了任何規(guī)制的修復能力”。[17]可見出自原信息時代的“知情同意”規(guī)則對大數(shù)據(jù)時代來說過于苛刻，亟須破舊立新。本文認為應引入依托場景的風險理念補正較為僵硬的同意規(guī)則，對傳統(tǒng)的框架進行重構(gòu)。

目的限定和信息最小化原則應被場景中合理的標準取代。目的限定原則，同一個操作對于不同的數(shù)據(jù)風險是不同的，同一個操作對于相同的數(shù)據(jù)在不同場景下風險也不同，以依托場景的風險理念取代目的限定原則使得規(guī)則變得更加靈活，可操作性更強。信息最小化原則也是個人信息保護的“帝王原則”，雖然依然是信息保護的核心理念，但在大數(shù)據(jù)時代我們應當賦予它不同的含義，大數(shù)據(jù)時代收集、傳輸、利用、再利用數(shù)據(jù)并不對數(shù)量、內(nèi)容限定和最小必要的范圍限定，更準確地說數(shù)據(jù)的收集、傳輸、利用、再利用應當將引發(fā)的風險控制在合理的水平內(nèi)。

依托場景的風險理念也應當貫穿于用戶控制與透明度機制。數(shù)據(jù)控制者可根據(jù)具體場景中評估的隱私風險等級,設計層級化的透明與用戶控制機制。[16]評估風險等級劃分為三級，當評估風險等級為低時，數(shù)據(jù)控制者無須主動向數(shù)據(jù)主體匯報風險，也無須提供用戶控制機制；當評估風險為中等時，數(shù)據(jù)控制者可以主動向數(shù)據(jù)主體匯報風險，并提供用戶控制機制——可供用戶選擇的擇出機制；當評估風險為高時，數(shù)據(jù)控制者須立即主動向數(shù)據(jù)主體匯報風險，并提供用戶控制機制——可供用戶選擇的擇入機制，確保數(shù)據(jù)主體對數(shù)據(jù)的控制權(quán)力，主動降低安全風險。

不管是涉及第三方責任還是健康醫(yī)療數(shù)據(jù)的跨境傳輸，都應當遵從依托場景的理念，重視不同場景中數(shù)據(jù)的風險評估，僵硬的同意規(guī)則在某種程度上簡單豁免了數(shù)據(jù)控制者、數(shù)據(jù)使用者的責任，在健康醫(yī)療數(shù)據(jù)的流通鏈條中引入依托場景的風險理念能更好保障數(shù)據(jù)的安全性。

(二) 建立健康醫(yī)療數(shù)據(jù)出境安全評估基本框架

早在2017年國家互聯(lián)網(wǎng)信息辦公室曾就《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》公開征求意見，而后來發(fā)布的為《個人信息出境安全評估辦法(征求意見稿)》(后簡稱《辦法》)與前者不同的是，后者僅僅是對個人信息的出境安全評估規(guī)定。評估的框架由“企業(yè)自評估、監(jiān)管部門偶爾抽查、特定條件下報請監(jiān)管部門評估相結(jié)合”變?yōu)椤胺采婕皞€人信息出境的網(wǎng)絡經(jīng)營者，都要向監(jiān)管部門申報評估”，增加了監(jiān)管部門的負擔和企業(yè)壓力，《辦法》第五條規(guī)定安全評估應當在15個工作日內(nèi)完成，企業(yè)的扎堆申報容易給監(jiān)管部門帶來負擔，而復雜情況下15日可以適當延長，過長的評估時間則又會讓企業(yè)失去數(shù)據(jù)出境的機會，所以本文認為應當將個人信息與重要數(shù)據(jù)傳輸出境的規(guī)則區(qū)分開來。

如果將個人信息與重要數(shù)據(jù)區(qū)分開來，那么個人信息單單屬于公民個人，關(guān)乎公民的隱私權(quán)，而重要數(shù)據(jù)關(guān)乎國家安全和公共利益。個人信息的傳輸出境更偏向于市場行為，所以能否出境應該是市場性的決策，而不是行政決策。[18]對于所有數(shù)據(jù)的出境首先都應該征得數(shù)據(jù)主體的同意，其次對于個人信息的出境評估形式應為行業(yè)組織和企業(yè)自評加一定期限內(nèi)備案的機制，搭配監(jiān)督執(zhí)法。在備案后如未接到省級網(wǎng)信部門的禁止出境通知，則可以自行啟動數(shù)據(jù)跨境業(yè)務。行業(yè)組織和企業(yè)自評的內(nèi)容主要有出境數(shù)據(jù)的屬性和數(shù)據(jù)出境發(fā)生安全事件的可能性。對于重要數(shù)據(jù)的出境傳輸都應當向監(jiān)管部門申報，參照《辦法》要求網(wǎng)絡運營者與境外數(shù)據(jù)接收者簽訂合同，確保數(shù)據(jù)接收者能夠持續(xù)對個人信息提供足夠的保護，賦予數(shù)據(jù)接受者“通知-變更”的要求，賦予網(wǎng)絡運營者“默認兜底”的責任，賦予了個人信息主體數(shù)據(jù)出境的特殊“查詢權(quán)”。針對健康醫(yī)療數(shù)據(jù)出境后的再次傳輸，不僅僅是個人選擇同意，本文認為依然需要向網(wǎng)信部門備案，匯報數(shù)據(jù)的走向，并與數(shù)據(jù)接收者簽訂再傳輸?shù)暮贤?，確定義務與責任。

(三) 確立以平臺為中心，事前預警、事中控制和事后追溯的監(jiān)管模式

醫(yī)療行業(yè)目前對信息的管理都是以健康醫(yī)療數(shù)據(jù)為基礎(chǔ)，監(jiān)管的領(lǐng)域主要在互聯(lián)網(wǎng)領(lǐng)域，對于互聯(lián)網(wǎng)醫(yī)療的監(jiān)管主要應以監(jiān)管平臺為中心，實現(xiàn)地方監(jiān)管平臺與中央主要監(jiān)管平臺對接，既能實現(xiàn)健康醫(yī)療數(shù)據(jù)地方與中央的共享，平衡各地醫(yī)療資源的分配，同時也能全局性的監(jiān)管掌握健康醫(yī)療數(shù)據(jù)的安全情況，最大化降低泄露的可能性。監(jiān)管平臺的運營由工業(yè)與信息化部、衛(wèi)生健康委員會、食品藥品監(jiān)督管理局、發(fā)展和改革委員會以及公安篩選內(nèi)部的工作人員負責，通過監(jiān)管平臺對互聯(lián)網(wǎng)醫(yī)療、醫(yī)療App、遠程醫(yī)療、可穿戴式設備進行全面監(jiān)管。以監(jiān)管平臺為中心進行監(jiān)管更有利于分配部門職權(quán)、合理分工合作，避免監(jiān)管主體的混亂和職權(quán)劃分的交錯，進一步確立主要監(jiān)管權(quán)力主體和輔助監(jiān)管機構(gòu)。且以平臺為中心監(jiān)管避免了討論健康醫(yī)療數(shù)據(jù)到底是應當劃分為公民信息還是醫(yī)療信息，是屬于工業(yè)與信息化部還是屬于衛(wèi)生健康委員會監(jiān)管的難題。

傳統(tǒng)醫(yī)療模式下，監(jiān)管方式主要為被動監(jiān)管，由于新興醫(yī)療行業(yè)發(fā)展迅速，更需一套主動監(jiān)管機制應對數(shù)據(jù)安全挑戰(zhàn)。對于醫(yī)療行業(yè)里數(shù)據(jù)控制者不合規(guī)的數(shù)據(jù)操作行為、未對數(shù)據(jù)進行脫敏處理的行為，監(jiān)督部門更需要采取先進技術(shù)主動抓取，如設計“監(jiān)管爬蟲”技術(shù)，抓取監(jiān)管機構(gòu)的原始數(shù)據(jù)，[15]加大對醫(yī)療行業(yè)的監(jiān)管力度，促進行業(yè)自律。對于企業(yè)、機構(gòu)內(nèi)部監(jiān)督、管理、預警機制的建立，以及人才培養(yǎng)、定期風險評估、安全演練、應急預案，監(jiān)督部門也應當主動審查。為了應對新產(chǎn)業(yè)的挑戰(zhàn)還須對全過程進行監(jiān)管，建立事前預警、事中控制和事后追溯的完備制度應對數(shù)據(jù)泄露的發(fā)生。利用主動抓取技術(shù)對健康醫(yī)療數(shù)據(jù)泄露事件實施預警干涉行為；當泄露事件發(fā)生時，應迅速對事態(tài)進行最大效力的控制，盡量挽回損失，保護數(shù)據(jù)主體權(quán)利；當泄露事件發(fā)生以后，調(diào)查泄露根本原因，對責任主體按照規(guī)定進行嚴格的懲治，對事發(fā)機構(gòu)或企業(yè)也嚴格按照程序追責，并賠償受影響數(shù)據(jù)主體的損失。

(四) 完善健康醫(yī)療數(shù)據(jù)泄露的懲罰機制

近期發(fā)布的《安徽省大數(shù)據(jù)發(fā)展條例》細化了數(shù)據(jù)安全保護規(guī)定，明確實行數(shù)據(jù)安全責任制，保障數(shù)據(jù)全生命周期安全。數(shù)據(jù)安全責任按照誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責、誰采集誰負責的原則確定。我國數(shù)據(jù)的泄露責任偏向刑事和行政責任，忽視責任主體的民事責任，有關(guān)健康醫(yī)療數(shù)據(jù)的民事責任的規(guī)定應由法律詳細規(guī)定。在健康數(shù)據(jù)流通鏈變長變得更復雜時，數(shù)據(jù)控制者與數(shù)據(jù)主體、數(shù)據(jù)控制者與數(shù)據(jù)使用者應當簽訂合同，規(guī)制數(shù)據(jù)的流通和使用行為，不管是醫(yī)院使用了可穿戴式醫(yī)療設備或者進行了遠程診療，數(shù)據(jù)流通至第三方的服務器中發(fā)生了泄露，還是醫(yī)院與網(wǎng)絡平臺合作打造互聯(lián)網(wǎng)醫(yī)院導致數(shù)據(jù)泄露，都應當確立有過錯的責任主體一律承擔連帶責任的原則，方便數(shù)據(jù)主體的追責維權(quán)工作，責任的分配應當由責任主體的過錯大小確立。

美國在醫(yī)療行業(yè)領(lǐng)域有嚴格的立法，根據(jù)《健康保險可移植性和責任法案》(HIPAA)的規(guī)定，對健康醫(yī)療數(shù)據(jù)的泄露包括的懲罰有罰款和判刑，罰款的數(shù)額高達幾千萬美元。從現(xiàn)實中的美國判例中可以發(fā)現(xiàn)泄露健康醫(yī)療數(shù)據(jù)的罰款是巨額的：2015年美國健康保險公司國歌(Anthem)遭受違約，影響了7900萬人，2018年該公司因違反HIPAA被美國衛(wèi)生與公共服務部罰款1600萬美元。[19]根據(jù)2021年9月1日開始施行的《數(shù)據(jù)安全法》的規(guī)定，對開展數(shù)據(jù)處理活動時不按規(guī)定履行數(shù)據(jù)安全保護義務的組織、個人最高處以200萬元的罰款，部門和直接負責人都可能被處以罰款；違反規(guī)定向境外提供重要數(shù)據(jù)的，最高處以1000萬元的罰款，相比以往的處罰程度有了大幅度提升。由于健康醫(yī)療數(shù)據(jù)的特殊性，更應該提升罰款數(shù)額，特別是針對敏感數(shù)據(jù)的泄露和傳輸至境外泄露的情況更應該嚴格把控，加大懲罰力度是必然的。不僅是規(guī)定健康醫(yī)療數(shù)據(jù)泄露的刑事責任和行政責任，國家也應當提供民事方面的法律救濟，針對個人健康醫(yī)療數(shù)據(jù)泄露，為個人維護合法權(quán)益提供救濟渠道。

健康醫(yī)療行業(yè)特殊性較高，嚴守健康醫(yī)療數(shù)據(jù)安全成為時代任務。共享數(shù)據(jù)對社會的發(fā)展必然重要，但平衡共享和隱私、公共利益的保護是更好共享數(shù)據(jù)的前提。當前行業(yè)已按照國家要求執(zhí)行了國家信息安全等級保護的要求，獨具醫(yī)療行業(yè)業(yè)務特色的信息安全保障指南2020年12月發(fā)布，開展安全防護工作未來還需要付出更多努力。

[注 釋]

①2021年《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第二條第四款。

②《中華人民共和國人類遺傳資源管理條例》第二十二條。