OECD旨在通过衡量健康治理成果、卫生系统资源使用情况、以及分析医疗保健完善政策,帮助各国建立以人为本、高绩效和有弹性的卫生系统。
2《解决痴呆症》(AddressingDementia)的主要内容
图1数据的价值周期链
将人们的健康情况检测并数字化后,便可获得数据。在此阶段,数据的“广度”和“深度”同样重要。增加数据数量和多样性可以形成数据集。这些数据通常没有任何有序的结构或明确的内部关系,因此是“原始”的。由于大数据规模庞大但无序,需要依靠技术工具提取信息才能发现可用的数据。获取的信息可以嵌入产品中,形成知识资本(如出版物、专利和涉及等)。最终,转化的知识有助于人们做出更科学的决策。OECD在2015年认识到了健康数据库收集、维护和共享的重要性,并启动了以数据为中心完善健康系统的进程。
3《健康数据数据治理》(HealthDataGovernance)的主要内容
(1)健康数据集及其框架
《健康数据治理》(2015)认为,数据治理框架应包含以下基本要素:检测和改善卫生保障系统的质量和性能、允许为公益再利用数据、公开个人健康数据的处理情况、明确数据处理程序、决策应得到独立的多学科项目审查机构的支持、数据应去标识化、尽可能减少重新识别和违规风险以及定期审查治理机制。[2]所有这些要素都可以纳入国家健康信息基础建设的框架中。使用健康数据带来了巨大的社会效益,例如提高卫生系统运作效率、提高医疗保健服务质量和降低社会医疗保障成本。但同时也带来了不小的风险,例如侵犯个人隐私权和降低社会公信力。数据治理框架应平衡社会效益的最大化和风险的冲突。根据这个标准,OECD评估了一些欧美国家健康数据治理体系的成熟度。
图2国家健康数据治理体系的成熟度
在2013年的调查中,以下数据被认为是可识别、高价值且可用于评估健康数据集的数据:医院住院率、精神病院住院率、紧急救治率、初次诊疗数据、癌症数据、糖尿病数据、心血管疾病数据、死亡率、长期护理数据、患者报告的健康结果数据、患者体验调查数据、人口调查数据以及人口普查数据。图2内的国家都拥有这些关键数据的数据集。各地都建立了一些机构,利用电子健康数据集进行研究,它们甚至将社会其他领域的数据集联系起来进行分析。例如,法尔研究中心(CIPHER=TheFarrInstituteattheCentreforImprovementinPopulationHealththroughE-recordsResearch)、欧洲药物流行病学研究团队(PROTECT=Pharmaco-epidemiologicalResearchonOutcomesofTherapeuticsbyaEuropeanConsortium)、欧洲病人智能开放服务(epSOS=EuropeanPatientsSmartOpenServices)等。
图3健康数据共享及其可访问程度
表1国家各种类型机构及其可访问的数据类型
(2)隐私保护的法律政策
现行立法与隐私保护政策深受OECD于1980年发布的《关于保护隐私和个人数据跨境流动的准则》。该1980年准则提出的八项数据隐私权保护原则在《1995年欧盟数据保护指令》中仍然发挥着重要作用。
表2OECD的八项基本原则在健康数据领域的映射
加拿大没有国家层级的数据隐私保护立法,只有一些联邦、省/地区和市政法律以及针对健康信息与医务人员的法案组成了健康数据隐私保护法律体系。在这个体系中,加拿大的《隐私法》要求政府部门与机构在处理个人信息时遵守特定要求,而《个人信息保护与电子文件法》则旨在强化私营部门的自律。而在新西兰,卫生部门需要遵守《健康信息隐私法》,该法适用于公共机构、公立医院、私营医疗机构和保险公司,但不适用于私营部门持有的健康数据。在新加坡,《个人数据保护法》(PDPA)适用于所有可识别的个人数据,包括个人健康数据,而卫生部门的具体立法适用于所有有营业执照的医疗保健机构。未获得执照的实体则需遵守《个人隐私法》的要求。
注:
(3)健康数据的使用与个人同意
(4)健康数据的共享
在捷克,可识别的个人健康数据不会在公共机构之间、与学术或非营利部门的研究人员或商业组织之间共享。在西班牙,公共机构之间共享可识别的个人健康数据是病人护理系统的组成部分之一。根据法律,这种共享不需要病人同意。然而,在为统计或研究目的而连接国家卫生数据集之前,需要得到病人的同意,而获得这种同意并不可行。在西班牙,可识别的个人健康数据不与学术或非营利部门的成员或商业部门的成员共享。
数据共享的壁垒不仅存在于国家之间,还存在于国家公共机构之间。例如,瑞士、芬兰与丹麦要求国家统计局禁止与其他政府实体共享可识别数据,即使是卫生部门也不可以。这类壁垒导致了一些问题。例如,西班牙卫生部门无法获知死亡率,就无法对治疗后的死亡情况展开基本监测。在芬兰,卫生部门要访问根据《统计法》所持有的数据会受到干扰。即使是一些同意可识别数据在公共机构之间共享的国家,数据安全方面仍然会面临挑战。例如,新加坡在建立实体间健康数据共享机制时发现,由于缺乏可信第三方进行数据链接,以及缺乏数据匿名化框架,数据共享的安全性很难得到保障。
据此,OECD认为立法框架应当具备以下特征:
a)遵从OECD隐私准则中概述的隐私保护基本原则;
b)覆盖所有数据源、数据管理人与数据处理人;
c)有一个公平和透明的项目审批程序,包括一个独立的、多学科的项目审批机构;
d)允许将个人健康数据用于公共卫生保障、研究和符合公众利益的统计,但须经过批准程序;
f)有切实可行的方案让患者拥有拒绝健康数据使用权;
g)在同意使用的情况下,允许个人健康数据集被链接;
h)允许公共机构为了获批的数据连接项目与政府统计共享数据链;
i)允许公共机构或受信任的第三方安全地存储重新识别数据的密钥以便于未来获取健康数据持有者的同意;
l)公开所有数据处理决定。
(5)公开透明的卫生信息系统
毫无疑问,个人健康数据处理透明度对于保证政府公信力是至关重要的。越来越多的OECD国家正在开展提高公共部门卫生数据处理开放性的项目,其中包括国家卫生数据。然而,事实上,在个人健康数据的可用性、可访问性、安全性以及收益和风险方面,很少有OECD国家做到公开透明。
表4开放健康数据治理的方案
开放健康数据的目的因国家而异。其中最常见的目的是提高卫生统计数据获取与处理的透明度,如加拿大、芬兰、意大利、新西兰、新加坡和瑞士。此外,还有一些国家的目的是通过允许个人校准健康数据(删除、修改或增加)来提高去识别健康数据的可用性与准确度。意大利开放健康数据的目的还包括提高公共机构数据交换的效率。
(6)个人健康数据管理的集中化程度
在10个国家中,70%或更多的个人健康信息数据集由一个组织掌握。集中管理能够提升数据处理与共享的效率。国家卫生数据集集中化程度最高的是瑞士和土耳其,所有关键的国家数据集都由同一个组织保管。在冰岛和日本,90%的国家数据集都在一个组织内。其他国家的国家数据集集中在一个监管机构的比例较高的是英国(苏格兰),占78%,其次是丹麦(75%)、新西兰(75%)、美国(73%)、捷克(71%)和瑞典(70%)。
表5由同一组织保管和链接的国家数据集的比例
(7)法律要求与实践中数据去识别的差异
数据隐私保护法与数据去标识化技术的应用之间存在着严重差距。这是因为法律框架很少提供详细的指导说明如何处理数据去标识化。例外是,美国主要的国家健康信息隐私法(HIPAA)对去识别个人健康数据的含义有具体规定。HIPAA隐私规则的第164.514(a)条描述了两种数据去识别方法包括安全港与专家确定法。
表6五种去识别技巧在国家主要健康数据集中的使用占比
对于所有重要的国家卫生数据集,在进行分析之前,有七个国家会对其进行去标识化处理(包括捷克、意大利、韩国、荷兰、挪威、新加坡和美国)。与之形成鲜明对比的是,有四个国家声称,在对任何重要的国家卫生数据集进行分析之前,都没有进行数据去标识化(包括冰岛、土耳其和以色列)。一些国家则报告说,个人健康数据在分析前不总是被去掉标识,因为为统计或研究目的获取可识别的健康数据的请求可能被批准(芬兰、新西兰、瑞典和英国)。取消去身份识别的国家对数据采取了更严密的保管措施,如加密程序保护。
OECD认为,保护病人健康数据隐私的最佳去标识做法应满足以下条件:
a)记录数据去识别方式;
b)让数据隐私专家参与制定、审查去识别方法;
c)界定直接和间接标识符;
d)删除直接标识符,或必要时从直接标识符中创建一个假名;
e)向第三方发布任何数据时,用无意义的编号取代假名;
f)存储标识符、假名和任何研究编号之间的映射,以便未来数据使用;
g)通过数据屏蔽技术处理间接标识符;
h)考虑处理间接标识符对研究结果的影响;
i)关于细胞计数和间接披露风险的准则,放在公共表格和科学研究结果之中;
j)审计数据去识别过程。
(8)保护健康数据隐私安全的准则
在国家层面或数据保管人层面制定和公布的有关个人健康数据保护的政策或准则,可大大增加了为保护健康信息隐私和安全所采取的步骤的透明度。在国际上,国际标准组织制定的关于电子健康记录系统隐私和安全要求的标准和准则(ISO/TS14441:2013);电子健康记录通信安全(ISO/TS13606-4:2009);以及促进个人健康数据跨境流动的数据保护(ISO22857:2011)为各国制定健康数据保护政策提供了指引。在丹麦,DPA提供了关于遵循国家数据隐私立法要求的指导方针。SSI遵循DPA的指导方针,为处理所有类型的个人数据提供指导。在韩国,安全和公共管理部为政府机构制定了关于处理个人健康数据的准则。HIRA也有专门针特定数据的内部准则。在加拿大,CIHI在其网站上向公众提供与保护数据主体隐私和数据保密有关的政策。在挪威,国家病人登记处(NPR)公布了有关数据安全的准则、规则和条例。
OECD认为,要减少数据去识别后被违规再识别的风险,就需要:
a)保障数据保管人与处理人的物理与IT数据安全;
b)确保数据保管人与处理人对个人健康数据的访问和使用是由受保密规则/条例约束的;
c)通过安全渠道在数据保管人或处理人之间传输数据;
d)保管人、处理人与个人层面的数据接收者签订具有法律约束力的合同;
f)审查数据接收方的安全程度;
g)对数据接收者和数据传输的各方进行独立和随机的数据安全审计;
h)跟进数据接收者,以核实数据销毁要求;
i)提供传输数据的替代方案,如在研究数据中心内或通过安全的数据门户提供数据访问,或在认证/认可的组织内分析数据;