文 | 北京市高级人民法院课题组

2019年，世界卫生组织（WHO）在《全球数字健康战略（2020—2024）》中将数字健康定义为“通过数字技术改善健康的任何相关知识和实践”，即通过数字技术为客户提供产品或服务，满足客户的健康需求。在新冠疫情背景下，数字化、网络化、智能化正驱动传统医疗健康行业加速迈向数字健康新阶段，数字健康已成为数字经济时代国家竞争力的重要组成部分，未来健康数字化转型已成为全球共识。作为跨界融合发展的新业态模式，如何有效加强治理，是包括司法领域在内的社会各界重点关注和跟踪研究的新课题。

数字健康发展现状

纵观我国医疗行业多年发展历程，历经医疗信息化、互联网医疗、数字健康三个阶段，目前正处于从互联网医疗向数字健康发展的过渡期。过渡期呈现以下特点：

政策推动行业快速发展。2015年以来，国务院及所属的国家卫生健康委员会（含原国家卫生和计划生育委员会）等密集出台一系列关于“互联网+医疗健康”、健康医疗大数据等方面的政策文件，推动互联网医疗快速、规范发展。

疫情促进行业加速发展。新冠疫情期间，就医市场的迫切需求促进互联网诊疗实现了规模化增长，为数字化医疗健康提供了高速发展的契机。

新数字技术深度应用创新。5G、物联网、大数据、人工智能、云计算等新一代信息技术与传统医疗产业加速跨界融合，实现了传统医疗向精准医疗的转变。

人口老龄化带来健康需求增长。人口老龄化、人均可支配收入增加与健康意识提升，促使我国居民对于健康愈加重视，从“有病治病”向“无病预防”转变，驱动数字医疗健康市场快速发展。

数字健康发展面临的法律问题分析

数字化健康医疗服务本身兼具数字化与传统医疗双重属性，加速发展也引发传统法律问题与新情况新问题的叠加。笔者认为，有必要从现行规则与司法实践角度予以检视分析。

医疗健康数据权属的问题。相较于一般数据，医疗健康数据具有特殊性。一般来说，除患者提供的样本和基础信息外，还需要医务人员进行专业诊断和处理。以电子病历为例，患者诊疗时登记的个人身份、健康状况等都属于患者的敏感信息，但电子病历包含的过往诊疗记录，也是医生的诊疗医术的体现，属于医生的劳动成果。关于医疗数据权属有以下五种观点：“个人所有权说”“医疗机构所有权说”“个人与医疗机构共有说”“公共所有权说”和“复合权利说”，尚无定论。《中华人民共和国民法典》（以下简称《民法典》）虽将数据作为法律需要保护的一种权利客体予以规定，但未涉及医疗健康数据客体的内涵及权属界分等问题。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）也只规定个人对个人健康医疗数据享有知情同意权、决定权、查阅权和复制权、可携带权、更正权和补充权、删除权、要求解释和说明权等权利，亦未明确权属问题。例如，关于病历归属权，《民法典》第一千二百二十五条规定的患者查询复制权并不赋予患者取回所有病历资料，排除医疗机构保存和使用病历的权利。在甲某与某省人民医院医疗服务合同纠纷一案中，甲某要求医院返还其住院期间的检查报告原件，未得到法院支持。

个人信息安全和隐私保护的问题。医疗健康数据，特别是互联网医疗产生的数据，在采集、存储、应用等环节可能出现数据安全和隐私泄露问题。根据《民法典》《个人信息保护法》《中华人民共和国网络安全法》（以下简称《网络安全法》）《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国数据安全法》《中华人民共和国刑法》等现行法律规定，涉及医疗健康个人信息安全和隐私的，根据不同情形，责任主体既可能承担民事责任、行政责任，也可能被追究刑事责任。例如，《民法典》第一千二百二十六条规定，医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。在乙某与北京市某医院隐私权纠纷一案中，因医院存在过错致使乙某病历外泄，故医院应承担一定的赔偿责任。

医疗健康数据特殊处理程度的问题。《个人信息保护法》第四条将匿名化处理后的信息排除在个人信息之外。《网络安全法》第四十二条和《个人信息保护法》第七十三条第四项均明确匿名化的标准，即个人信息经过处理无法识别特定自然人且不能复原。但是，现有技术条件下可以通过大数据反向定位个人信息，仍然存在患者个人身份被重新识别和确认的风险，无疑需要确定哪些数据需要特殊处理，以何种方式处理，处理到什么程度，个人信息的特殊处理程度直接影响使用。相关主体提供的个人信息属于匿名化且不能复原的个人信息一般不构成侵权，但匿名且不能复原的事实应由提供者承担证明责任。例如，某互联网医院将患者信息提供给其关联的保险公司，其后，患者收到保险公司的保险产品推销信息。医院抗辩称其提供的系匿名化处理的数据，该抗辩事实需要医院证明。如果医院能证明，则不构成侵权，否则需要承担侵权责任。

医疗健康数据共享和流通的问题。以往，我国的医疗数据资源大多分散在不同机构的信息化系统及数据库中，由于信息系统彼此难以兼容、数据标准不统一，不同的医疗机构、商业主体之间还存在竞争关系，加之涉及数据安全和隐私保护等问题，一定程度上存在“数据壁垒”“信息孤岛”现象。对于初始医疗健康数据的授权，我国已有相关法律明确规定，例如，《民法典》第一千零三十五条、第一千零三十六条，《个人信息保护法》第十三条、第二十九条等，均以“知情—同意”为原则，同时规定例外情形。在丙某诉某医院案件中，医院将其超声检查图像发送给国外专家，在患者可以作出选择的情况下，医院未对患者说明其个人数据隐私的使用范围、使用方法、使用人及数据的存储方法，未征得其同意，忽视了患者的知情—同意权。另外，法律层面以外其他需要通过政策供给和技术更迭解决的问题，还需要从政策和技术层面入手打通数据资源共享通道。

互联网医疗咨询与诊疗行为的界限问题。《互联网诊疗管理办法（试行）》（以下简称《诊疗办法》）《互联网诊疗监管细则（试行）》（以下简称《监管细则》）均对“互联网诊疗”作出界定，只有医疗机构的注册医师通过互联网等信息技术开展部分常见病、慢性病复诊和“互联网+”家庭医生签约服务才能算作法律意义上的互联网诊疗，纳入医疗监管体系。某些互联网医疗咨询类平台名义上提供健康咨询服务，但实际上的服务形式和内容与诊疗行为存在混淆。例如，部分医生会基于咨询者提供的信息作出一定程度的医学诊断，直接向患者提供用药信息，包括药物名称、药量、使用方法等。该类咨询服务如果不纳入互联网诊疗范畴，容易造成以“咨询”为名行“诊疗”之实逃避监管，不仅给咨询者的生命健康造成潜在的影响，也影响发生纠纷后的争议解决。在线疾病咨询和在线诊疗的关键区别在于医生是否对疾病下诊断结论及是否给出治疗的方案。例如，丁某等与某医疗App、某医院等医疗损害责任纠纷一案，患者张某在某医院就诊出院后，通过某医疗App向医生戊某描述身体状况并咨询用药。其后，患者张某猝死。法院最终认定医生戊某为张某所提供的咨询实际系代表某医院对张某出院后的咨询答复，为某医院诊疗行为的延续，应认定为诊疗行为。

互联网医疗的合规风险问题。《中华人民共和国医师法》《互联网医院管理办法（试行）》（以下简称《医院管理办法》）《医师执业注册管理办法》《诊疗办法》《监管细则》等规定，对互联网医院在诊疗范围、机构和人员等方面作出专门要求。对于相关机构和人员突破执业资质或范围的不合规情形，例如，互联网医院超出医疗机构经核准的诊疗科目开展诊疗活动、互联网医院使用非执业医师从事医疗活动、执业医师超出其执业范围的诊疗专业从事诊疗活动、执业医师未进行多点执业备案等，都将受到相关行政机关的监管和处罚。此外，实践中，还存在诊疗范围难以把握的情形。例如，“不得对首诊患者提供互联网诊疗”中的“首诊”定义并不明确，常见病、慢性病、复诊的概念亦无明确界定，复诊时限也无具体规定，不同医生对不同病种是否适合互联网诊疗难以把握。

责任主体确定及责任划分的问题。互联网医疗的主体、环节和因素增多，使其法律关系更复杂，责任划分也更困难。《医院管理办法》《诊疗办法》《远程医疗服务管理规范（试行）》等对互联网医院及合作各方、远程会诊、远程医疗等不同情形下的责任主体确定和责任分担都予以明确。笔者认为，属于医疗损害责任、产品质量责任或合同责任的，可以按照《民法典》侵权责任编第四章、第六章及合同编等有关规定进行责任承担。例如，在己某等与某药房侵权责任纠纷一案中，患者通过被告店内开通的互联网远程问诊平台由远程坐诊医师开具医院电子处方笺。经药房的当班执业药师审核电子处方后，药房售药给患者。患者因服用超剂量的药物导致中毒身亡。法院认为药房未按要求全面履行义务，销售药物的行为存在过错。

此外，人工智能技术已逐渐成为互联网医疗应用的重要手段之一，诊疗机器人、算法等介入医疗过程，导致医疗事故的责任承担呈现更为复杂化的趋势，设备制造商和网络服务提供商等都可能涉入纠纷。现行法律体系下，人工智能的法律地位和责任规制没有明确规定。弱人工智能的监管要求下，根据《医疗器械分类目录》等有关规范，人工智能产品被作为医疗器械进行管理。《监管细则》明确规定，人工智能软件等不得冒用、替代医师本人提供诊疗服务，处方应由接诊医师本人开具，严禁使用人工智能等自动生成处方。笔者认为，现阶段，诊疗机器人等被作为手术、检查等辅助工具提供诊疗服务发生医疗损害时，患者可以依据《民法典》确定的医疗损害责任的归责原则，向医疗机构请求赔偿，也可以因医疗器械存在缺陷，依据《民法典》第一千二百二十三条、《最高人民法院关于审理医疗损害责任纠纷案件适用法律若干问题的解释》第二十一条等规定向生产者、销售者请求赔偿。今后，如果发展到强人工智能阶段，是否承认其法律地位、其应承担何种责任，仍需进一步研究和探索。

应对数字健康法律问题的对策建议

医疗健康领域参与主体多、涉及领域广、安全风险高，关系我国医疗健康事业和人民生命健康权益。笔者认为，我国数字健康发展面临的法律问题需要综合治理、系统治理、源头治理，这是保障医疗健康行业数字化转型发展的必然要求。

完善数字健康立法。法律是保障数字健康发展的基础条件。我国现有关于医疗健康的法律法规较为分散，且部分规范性文件效力层级不高，不能完全应对数字技术给医疗健康领域带来的风险挑战。笔者认为，有必要上升到立法层面，通过专项立法予以规范。立法时，既要把握传统医疗领域和网络空间的法律问题，也要关注5G、人工智能、区块链等信息技术与医疗健康结合下引发的新情况、新问题。例如，明确医疗健康数据权属、可流通范围、人工智能责任主体和划分等限制数字健康发展的基础性、关键性问题。立法的跟进与完善可以为行业发展和司法实践提供明确的法律依据和规则指引，进一步推动和规范数字健康行业的有序发展。

强化数据安全和隐私保护。笔者建议，行业主管机关构建以用户为中心的医疗健康网络数据安全防护体系，尊重医疗健康信息主体的隐私权和知情同意权，并严格遵循数据最小使用原则。此外，《民法典》中对泄露患者个人隐私信息的主体主要限定在医疗机构及其内部医务人员，在数字化医疗健康产业蓬勃发展的今天，更多的主体掌握着数量庞大的个人医疗健康信息。例如，商业保险公司、线上问诊应用、健康医疗可穿戴设备开发者、生物医药企业等。因此，笔者认为，《民法典》中的医疗机构及其医务人员应作扩大解释，将更多的主体纳入其中。有关部门要联合协作，综合运用法律、技术手段，加大对泄露个人信息、隐私和非法使用行为的打击力度，建立更严格的惩处机制。

加快数据共享基础设施建设。笔者建议，行业主管机关加快打造信息化基础设施，加强信息标准化建设，以居民电子健康档案、电子病历为基础库，建设统一、权威、共建共享的健康信息平台与健康数据中心，激活沉睡数据，实现跨区域、跨部门、跨领域之间医疗数据互通共享。今后在医疗信息化建设时，应加强顶层设计，将机构之间数据的互联互通纳入考虑，推动数据隐私保护工具和方法开发，实现数据共享、应用和安全的多重保障。

加强监管体系和监管能力建设。医疗健康行业始终属于强监管行业，在包容审慎的监管理念下，行业主管机关对不同类型的“互联网+医疗健康”的性质加以界定，明确主体的准入、执业、运行规则，厘清其中法律责任关系，根据不同类型的风险程度实施准入监管和过程监管。建立数字医疗服务监管协调机制，所涉地区的医疗监管部门及网信、市场监管等有关行业监管部门应加强跨地区、跨行业协调合作，明确权责划分，保证对数字医疗健康服务进行有效监管，避免出现监管空白。此外，监管能力建设还依赖技术手段的提升，笔者建议监管部门利用新技术强化监管手段，实现数字医疗健康的在线化、全流程动态监管，构建以信息为核心的新型健康服务监管体制。

加强对纠纷解决与诉源治理研究。数字医疗健康涉及行政机关、企业、医疗机构、居民等多方参与主体，诊疗活动从线下拓展至线上，新信息技术运用及产业创新也增加了许多不确定风险。移动互联网、大数据、人工智能等深度应用，未来引发新型医疗纠纷会越来越多。鉴此，课题组建议，行业主管机关、行业协会和企业应关注新型医疗健康领域引发的矛盾纠纷，充分发挥行业主管机关、行业协会、调解组织、企业及其他多元解纷主体的作用开展矛盾源头化解及诉源治理工作。法院也应加强与行业主管机关及相关组织、企业沟通和交流，密切关注大数据、人工智能等新兴技术创新发展和应用，对相关法律问题进行前瞻性研究，提前研判和应对可能的风险和纠纷，为医疗健康行业数字化转型发展提供有力司法保障。

（课题主持人：刘双玉，课题参加人：曹玉乾、刘志超、赵楠）

本期封面及目录

《中国审判》杂志2023年第17期

中国审判新闻半月刊·总第327期

编辑/徐畅