2024年4月15日下午，清华大学法学院计算法学讲坛第5期顺利举行。本次讲坛邀请了来自法国图卢兹第三大学（PAUL SABATIER UNIVERSITY）的Anne-Marie Duguet教授，其主要研究方向为医疗健康法、法律与伦理研究、新技术和遗传学。本次论坛以“欧洲健康数据空间”为主题，详细展示了欧洲健康数据空间的产生背景、发展情况。本次讲坛为我们更好地理解欧洲健康数据空间，寻找中国医疗健康数据共享利用新思路提供了比较法视角。

清华大学法学院申卫星教授致开场辞，清华大学法学院助理研究员靳雨露主持本次讲坛。

Duguet教授首先对于欧洲健康数据空间（European Health Data Space，EHDS）的立法背景进行了介绍。如今我们在医疗过程收集了越来越多可以使用的数据，基于这些数据，我们能够对人类未来的健康作出预测。如今的欧洲立法致力于在公共卫生领域推广人工智能。

从欧盟层面上看，欧盟的目标是在平衡经济增长的基础上实现人民的可持续发展。医疗健康体现的是一个国家保护人民的能力，如果医疗服务可以向不同国家的不同人开放，使患者可以在不同的国家接受治疗，将极大提高人们的健康水平。在不同国家中，患者的个人情况、药品、疫苗、保险费用都有所不同，希望能够在另一个国家接受治疗的患者就需要欧洲健康数据空间这样的机制，来便利其医疗数据转移。欧盟内部是一个自由流动的空间，除了人口流通、学历流通，医疗健康数据也应该能够自由流通。

在促进健康数据流通的过程中，首先应该注意，需要遵守欧盟数据保护法GDPR的规定，并且征求数据主体的同意。无论是GDPR还是各国的转化立法都十分关注对于个人隐私的保护。欧洲委员会对电子化数据的监管《关于自动处理个人数据保护个人的公约》（ STE 108，1981）中提到：“除非国内法授权，否则不得自动处理与健康有关的身份识别数据保障措施（第6条）或为保护国家安全、保护数据主体或权利和他人的自由（第9条）。”但是对于跨境数据流动，则允许各国进行规定。教授提到，在欧盟内部不同国家之间可能存在对于健康数据保护的不同态度，例如，法国对于健康数据共享持开放的态度，但是有一些发展较慢的国家则不愿意共享健康数据，教授认为，对于发展较缓慢的国家而言，健康数据共享是一个好机会，不应当保持过于保守的态度。其次应该注意医院与健康保险管理之间的联系。区别于中国的医疗保险体制，法国人无需直接向医院付费，而是支付健康保险，再由保险支付医院的费用，因此，在这个过程中医院和健康保险机构是紧密联系的。最后应该关注特定疾病的卫生数据库的合作共建。

接下来，Duguet教授为我们介绍欧盟健康数据空间在法国的健康数据库。主要包括：Shared medical record and Health data space 、SNDS National Health System、INDS National Institute for Health Data。Shared Medical Record and Health Data Space在20多年前实施，旨在获得患者的同意后创建的数字健康记录存储并保护健康数据，包括治疗、测试结果等，尊重保密性。但由于医生没有鼓励他们的病人创建他们的个人数据档案（DMP），并没有达到预期的效果。而后两者目前仍然在发挥作用。SNDS创建于 2016 年，汇集了护理表 （SNIRAM） 中的社会保障数据医院 （PMSI） 和医学死亡登记，其覆盖了99%的法国人口。其中的数据以假名化的形式存在，但其是原始数据。INDS则注重组织数据生产者和用户之间的关系，旨在使提交研究的获取、协调和透明度流动化；提供对隐私影响风险较低的数据；促进提供高质量的数据、新的数据集、文档。

然后，Duguet教授对欧洲现有的涉及健康数据空间的监管规范作出梳理。首先是《欧盟数据保护指令》（DIRECTIVE 95/46/CE）确定了个人数据流通的基本原则，包括：数据处理系统旨在为人类服务，提供高度保护，必须尊重基本权利和自由；对个人数据的任何处理都必须是合法的，对有关个人是公平的；任何个人数据的处理都必须合法且对相关个人公平；数据必须充分、相关且不超出处理目的；处理数据的目的必须充分、相关和不过分。规定个人在数据处理方面的权利：当事人有权被告知正在进行处理，有权查阅数据并要求更正。在欧洲，对所有欧盟国家的个人数据提供相同的保护；但是如果需要将数据传输到欧洲之外的国家，就需要该国家为个人隐私、自由和基本权利提供和欧盟相同的保护水平。

其次是GDPR（Regulation (EU) 2016/679 ）进一步加强了对个人数据的保护。Duguet教授指出，区别于Directive只是一种指令，Regulation则具有更高的层级，各国都需要将GDPR转化为国内立法。教授进一步提到GDPR中赋予数据主体的权利。欧盟也存在对于“谁有拥有数据”的讨论，究竟是个人、保险公司，亦或是经纪人？欧盟并没有给出明确的回答，而是认为医疗健康信息应当受到保护，应当合理正当使用。

同学们结合中国健康医疗数据授权中“获取同意”的问题，询问教授法国医疗数据授权的情况。教授表示，在法国，患者治疗需要向医院提供个人信息，但是对于医院能否保留、能否将该数据用于科研目的，则需要获得患者的同意，可以在入院治疗的时候就取得患者的同意，如果患者不愿意共享自己的健康医疗数据信息，可以选择“opt-out”的退出模式。需要注意的是，区别于中国的医保制度，法国的医疗模式是：每个人持有一张医保卡（carte vitale），购买保险之后直接进行治疗，无需支付医疗费用，仅需要支付保险费用。我国认为“支付医疗服务费用之后，健康医疗数据应该属于患者本人”的观点在法国是不成立的，因为在法国，患者和医院之间并没有直接支付金钱购买服务的关系。

再次谈到《人工智能法案》（AI Act）。其中定义了人工智能的四个风险等级：不可接受、高、有限、最低。健康领域的人工智能应用被列为高风险，健康数据必须用于特定和合法的目的，必须告知数据主体其用途，并尽可能匿名或化名。制造商必须向使用数据的专业人员提供详细信息，以便了解其用途。对于人工智能的问题，Duguet教授强调不应该再有“黑箱科技”，我们需要尽可能了解人工智能的运行逻辑。在讨论到ChatGPT等人工智能模型时，教授和同学们讨论了学生和研究人员如何使用人工智能辅助工具，以提高工作效率和进行研究。同时，也提出了学术诚信与公平的问题。然后是《数字服务法案》（DGA）中对于数据利用的规定。其中提到为公共利益的商业和非商业目的共享和再使用数据的原则。

欧盟于2022年5月启动了“健康数据空间”项目，旨在确保医疗保健数据共享，通过数据科学改善医疗保健和支持研究，可用资金为 8.1 亿欧元。包括：对医疗保健过程中收集的数据进行研究等目的的二次利用；汇集来自不同国家的数据，增加互操性，使用通用模型；从治疗药物转向风险预警药物，以更好地预防疾病。

Duguet教授介绍了欧盟健康数据空间的实施情况。新冠疫情推动了欧盟根据 FAIR 原则（FAIR：易于查找、访问、可互操作和可重复使用）收集可靠的最新数据，这对于提高危机管理的响应速度极为重要。欧盟通过建立myhealth@eu系统来提高互操作性，电子处方为数据跨境节省了 20 至 30 亿欧元。如今已经有三分之二的欧盟成员国拥有数字记录和电子处方（11 个成员国仍然保留纸质处方），10 个国家允许通过 myhealth@eu访问跨境医疗数字记录，但不能交换医疗图像或化验结果。各国规定了医疗健康数据跨境流动的先决条件：（1）符合 RGPD 的患者同意书；（2）授权访问数据的主管机构（法国自 1987 年起成立 CNIL）。2021 年 7 月，法国通过 Sesali 加入 MyHealth@EU (www.sesali.fr)。该系统允许访问其他欧盟成员国病人的法文医疗摘要：过敏症、当前治疗、既往疾病和手术，并与20个欧盟国家建立合作，在每个国家都建立了 NCPeH 电子健康联络点。欧洲健康数据空间为数据交换提供了一个框架，扩展了RGPD和数据监管的范围。对于目前健康数据空间的运营状况，教授表示，“它已经很好了，但是我们总是会觉得它还可以更好。”

第五期计算法学讲坛活动圆满成功!