在经济合作与发展组织（Organization for Economic Co-operation and Development，以下简称OECD）中，卫生部和劳动与社会事务部都隶属于就业局，共同承担健康保障工作，旨在应对健康治理方面的挑战。OECD的使命是向各国决策机构提供建议，以提供更多、更高质量的医疗保健服务。为此，OECD收集可信赖的、与卫生系统绩效相关的数据，并协助各国制定健康政策，以实现高绩效卫生系统的目标。

1 OECD在健康领域的工作与贡献

OECD旨在通过衡量健康治理成果、卫生系统资源使用情况、以及分析医疗保健完善政策，帮助各国建立以人为本、高绩效和有弹性的卫生系统。

OECD主要关注的领域包括：卫生系统成果评估、医疗服务质量、医疗收费与卫生系统复原力、卫生系统资金与财政管理、健康不平等、卫生系统工作人员、老龄化与长期护理、疾病预防与公共卫生经济学、健康与社会护理的数字化转型、药品与数字健康、全球健康。OECD认为，全球健康系统建设正处在转型期，需要对卫生政策框架进行根本性改变，COVID-19已表明有必要使健康系统更具弹性。COVID-19证明对卫生事业的支出是一项投资，而不是成本。OECD成员国在卫生事务上的支出平均占GDP的9%。尽管各国为建设卫生系统投入了大量资金，但我们仍然不清楚其是否真正满足了人们对健康保障的需要。在2017年1月，OECD卫生部长希望重构他们的卫生系统，使其更加以人为本。目前，有效的结果测量指标包括死亡率与发病率。然而，这些指标没有系统地衡量患者自己报告的护理经验与结果，特别是那些需要特别关注的病患的经历。在此之后，OECD开发了患者报告指向型调查(Patient-Reported Indicator Surveys，PaRIS)，该调查将使用新的指标（患者的需求及其重要性）来评估卫生系统绩效。患者偏好信息（patient preference information，PPI）对健康服务业产生了巨大的影响。此外，OECD还开发了预防慢性病政策影响评估工具，帮助各成员国政府提供卫生系统的效益。OECD还致力于有效使用健康数据。总之，OECD采取的所有变革举措旨在建立真正以人为中心的健康系统，提高医疗服务的质量，并改善所有人的健康状况。

2 《解决痴呆症》（Addressing Dementia）的主要内容

信息技术的发展（信息传播速度快且范围广），以及电子健康数据集的扩张，对于保护电子健康数据提出了更高的要求。此外，医学研究的进步依赖于真实世界数据，而数据的共享机制以完善的健康数据保护政策为基础。在进一步完善相关政策之前，OECD在2015年3月13日的《解决痴呆症》报告中认同了加拿大卫生信息研究所在2013年提出的观点，即为了降低医疗研究成本、推动医学研究进步，并为全人类提供更高质量的医疗服务，有必要收集并管理好四类基础医疗数据。[1]这四类数据包括：第一，为基础研究提供帮助的数据，例如流行病学数据、临床试验数据、药物安全监测数据以及相关市场数据等；第二，提升患者享受医疗服务的质量，这类与患者本人高度相关的健康数据复用可以有效提高治愈率；第三，管理健康系统的健康服务行政数据，即提供健康保障服务机构日常数据，这些数据可以用于优化健康系统；第四，公共健康数据，包括人口数、疾病检测数以及环境暴露数，用于了解患某疾病的群体特征，并制定与调整疾病干预政策，以保障公共卫生安全。除此之外，来自医疗系统之外的数据，例如手机数据或健康检测设备数据，也可以增进对特殊患病群体生活的了解。此外，《解决痴呆症》报告中，OECD还发现了大数据的价值周期链。

图1 数据的价值周期链

将人们的健康情况检测并数字化后，便可获得数据。在此阶段，数据的“广度”和“深度”同样重要。增加数据数量和多样性可以形成数据集。这些数据通常没有任何有序的结构或明确的内部关系，因此是“原始”的。由于大数据规模庞大但无序，需要依靠技术工具提取信息才能发现可用的数据。获取的信息可以嵌入产品中，形成知识资本（如出版物、专利和涉及等）。最终，转化的知识有助于人们做出更科学的决策。OECD在2015年认识到了健康数据库收集、维护和共享的重要性，并启动了以数据为中心完善健康系统的进程。

《解决痴呆症》还阐述了数据链与隐私的关系。当数据可以共享并与其他数据产生链接时，数据的价值会成倍增长。要形成数据链，还要解决数据收集过程中面对的最大的问题——获得患者同意。在医学研究领域，知情同意保障数据所有者的自主权。但在数据复利用过程中，找到数据所有人并再次获得其同意几乎是不可能的。为了降低获取同意的成本，伦敦帝国理工学院提出了一种分级或逐步同意的方法。而英国生物银行则采用“广泛同意”这一模式更直接有效地确定数据所有人的真实意思。OECD还列举了突破数据分享和使用屏障的成功实例。在过去十几年里，多数国际站点联合数据网络与合作联盟群体使得数据共享地势头更加迅猛。使用集体专业知识与分布式管理来创建研究工具，旨在通过构建可广泛获取的标准化资源来加速个人研究。安大略省大脑研究所（OBI）、阿尔茨海默病神经成像倡议（ADNI）、神经退行性疾病研究联合计划（JPND）、英国痴呆症平台（DPUK）、加拿大老龄化神经退化协会（CCNA）和美国国家阿尔茨海默病协调中心（NACC）。开放访问（Open access）仍是健康数据的标准，这些数据不能与其他数据链接，以防止生成能够唯一识别个人的信息。开放访问（Open access）正在成为大规模、公共资助、数据密集型社区项目的成熟做法，尤其在基因组学与神经影像学领域（genomics and neuroimaging）。在获得访问权后，研究院可以通过两种方式获取实际数据集：导出库模型（the lending library model，即将数据集物理传输给研究人员）使研究人员可以远程访问存储数据的机器。换言之，数据不是被传输的对象，也不会离开相对安全的环境。在网络环境中，互操作性意味着数据通用协议达成一致。这些协议定义了用户、资源商与数据所有人管理、共享和使用数据的基本机制。在个人同意将其电子病历相关数据用于研究，其他研究团队也可以使用该数据而无需获得同意。即便如此，实现高质量的数据共享仍面临以下主要困难：提供数据成本高、风险大，数据的创造者与控制者缺乏分享数据的动力。给予数据创建者与控制者科学认可是一种有效的激励方式。例如，要求使用数据的主体将数据创建者、控制者列为共同作者。再如，对于引用重要数据集的研究给予更高的肯定。

研究人员在共享数据时必须考虑到数据来源群体的隐私权保护和同意限制。目前，大多数知情同意书中规定研究人员只能将参与者数据用于特定研究领域，而不能在更广泛的社区范围内公开使用这些数据进行其他不相关的研究。OECD认为，需要采用新的分层、逐步或动态同意模型，以满足道德和法律要求，同时适应数据使用和研究实践的变化。

3 《健康数据数据治理》（Health Data Governance）的主要内容

(1)健康数据集及其框架

《健康数据治理》（2015）认为，数据治理框架应包含以下基本要素：检测和改善卫生保障系统的质量和性能、允许为公益再利用数据、公开个人健康数据的处理情况、明确数据处理程序、决策应得到独立的多学科项目审查机构的支持、数据应去标识化、尽可能减少重新识别和违规风险以及定期审查治理机制。[2]所有这些要素都可以纳入国家健康信息基础建设的框架中。使用健康数据带来了巨大的社会效益，例如提高卫生系统运作效率、提高医疗保健服务质量和降低社会医疗保障成本。但同时也带来了不小的风险，例如侵犯个人隐私权和降低社会公信力。数据治理框架应平衡社会效益的最大化和风险的冲突。根据这个标准，OECD评估了一些欧美国家健康数据治理体系的成熟度。

图2 国家健康数据治理体系的成熟度

在2013年的调查中，以下数据被认为是可识别、高价值且可用于评估健康数据集的数据：医院住院率、精神病院住院率、紧急救治率、初次诊疗数据、癌症数据、糖尿病数据、心血管疾病数据、死亡率、长期护理数据、患者报告的健康结果数据、患者体验调查数据、人口调查数据以及人口普查数据。图2内的国家都拥有这些关键数据的数据集。各地都建立了一些机构，利用电子健康数据集进行研究，它们甚至将社会其他领域的数据集联系起来进行分析。例如，法尔研究中心（CIPHER=The Farr Institute at the Centre for Improvement in Population Health through E-records Research）、欧洲药物流行病学研究团队(PROTECT=Pharmaco-epidemiological Research on Outcomes of Therapeutics by a European Consortium)、欧洲病人智能开放服务(epSOS=European Patients Smart Open Services)等。

图3 健康数据共享及其可访问程度

图3上国家的相关研究人员可以申请并使用OECD内多数国家的关键数据集。

表1 国家各种类型机构及其可访问的数据类型

（2）隐私保护的法律政策

现行立法与隐私保护政策深受OECD于1980年发布的《关于保护隐私和个人数据跨境流动的准则》。该1980年准则提出的八项数据隐私权保护原则在《1995年欧盟数据保护指令》中仍然发挥着重要作用。

表2  OECD的八项基本原则在健康数据领域的映射

加拿大没有国家层级的数据隐私保护立法，只有一些联邦、省/地区和市政法律以及针对健康信息与医务人员的法案组成了健康数据隐私保护法律体系。在这个体系中，加拿大的《隐私法》要求政府部门与机构在处理个人信息时遵守特定要求，而《个人信息保护与电子文件法》则旨在强化私营部门的自律。而在新西兰，卫生部门需要遵守《健康信息隐私法》，该法适用于公共机构、公立医院、私营医疗机构和保险公司，但不适用于私营部门持有的健康数据。在新加坡，《个人数据保护法》（PDPA）适用于所有可识别的个人数据，包括个人健康数据，而卫生部门的具体立法适用于所有有营业执照的医疗保健机构。未获得执照的实体则需遵守《个人隐私法》的要求。

表3 健康信息隐私保护与ECR(electronic clinical records)使用相关的成员国法律

注：

[1] See http://www.priv.gc.ca/leg_c/leg_c_p_e.asp

[2] See http://www.uoou.cz/uoou.aspx?menu=4&submenu=5&lang=en

[3]https://www.retsinformation.dk/Forms/r0710.aspx?id=828）

（3）健康数据的使用与个人同意

个人健康数据具有很强的私密性。由于健康数据使用与个人自主权息息相关，各主要国家法律框架内处理数据的基本原则之一是“获取个人同意”以使用这些数据。在有些国家，个人健康数据被定性为高敏感数据，要求在处理之前“获取个人知情同意”，这意味着数据处理人需要向数据所有人明示数据用途。然而，对于涉及大型人口和病人数据库的医学监测与研究来说，获得数据所有人的“知情同意”带来了重大挑战。这些数据库中的数据都是为过去的某项特定研究收集而来，可能包含几百万人的健康数据。再次启动某项研究，进行数据复利用之际，“知情同意”成为了一项成本高昂且几乎不可能完成的任务。

为了避免数据非法使用，新西兰制定了健康数据管理框架。这个框架由卫生部和其他利益相关者（包括医疗从业人员、机构和消费者）共同开发，制定了一份通用表格。该表格可从初次接受医疗服务的个人处获取其数据使用的许可。所有的表格都由初级卫生保障组织（PHC）进行管理。在韩国，根据法律规定，必须在以下情况下获得个人同意：1）收集和使用个人信息的目的；2）收集个人信息的项目；3）使用个人信息的期限。此外，数据持有者有权拒绝同意。

（4）健康数据的共享

根据韩国法律规定，公共机构之间可以共享可识别的个人健康数据，但不能与学术、非营利或商业机构共享。不同来源的数据是根据不同的法律授权收集的，例如《癌症管理法》《遗传管理法》和《器官移植法》，每部法律都有与数据共享相关的规定。个人健康数据的持有者受《统计法》监督，该法允许为研究和发展目的共享部分可识别的数据。因此，在韩国，一些国家数据可以在可识别的情况下在学术/非营利部门的研究人员之间流通。冰岛法律规定，除非机构有法律授权，否则不会与外部共享可识别数据。例如，根据法律规定，只有冰岛健康保险或社会保险管理局可以接收可识别的医疗记录。另外，拥有智能卡的医生可以根据法律规定访问药物数据库并查看病人的药物史。在加拿大，共享可识别的个人健康数据需要遵守国家、省或地区的法规。

一些国家的法律禁止因研究或统计需要分享可识别的数据，例如瑞士、荷兰、捷克共和国和西班牙。不过，这并不意味着在所有这些国家都不会为批准的研究或统计项目建立数据联系。有些国家已经建立了公共实体合作机制，用于管理可识别的健康数据流动。在瑞士，联邦统计局（FSO）根据法律规定不与任何其他组织分享可识别的数据。但是，研究员可以要求与FSO持有的数据进行链接，并将FSO的数据集与另一方收集的数据集进行链接。在这种情况下，批准的数据请求者需要向FSO提交他们的数据，FSO将进行链接并取消数据身份识别。

在捷克，可识别的个人健康数据不会在公共机构之间、与学术或非营利部门的研究人员或商业组织之间共享。在西班牙，公共机构之间共享可识别的个人健康数据是病人护理系统的组成部分之一。根据法律，这种共享不需要病人同意。然而，在为统计或研究目的而连接国家卫生数据集之前，需要得到病人的同意，而获得这种同意并不可行。在西班牙，可识别的个人健康数据不与学术或非营利部门的成员或商业部门的成员共享。

对于不可识别的健康数据（de-identified data），多数国家往往同意来自社会上的申请者访问。例如，丹麦、芬兰、韩国、瑞士和英国。接受数据访问申请的部门往往会审查申请者的目的是否正当或能否保障数据安全。其中，部分国家限制企业获取去识别的个人健康数据，即使这些企业将数据用于科学研究，如加拿大、冰岛、英国（威尔士）、荷兰、美国。在这些国家，只有个人同意，企业才能获取相关数据。不仅如此，加拿大还要求企业提供充足的申请理由。

数据共享的壁垒不仅存在于国家之间，还存在于国家公共机构之间。例如，瑞士、芬兰与丹麦要求国家统计局禁止与其他政府实体共享可识别数据，即使是卫生部门也不可以。这类壁垒导致了一些问题。例如，西班牙卫生部门无法获知死亡率，就无法对治疗后的死亡情况展开基本监测。在芬兰，卫生部门要访问根据《统计法》所持有的数据会受到干扰。即使是一些同意可识别数据在公共机构之间共享的国家，数据安全方面仍然会面临挑战。例如，新加坡在建立实体间健康数据共享机制时发现，由于缺乏可信第三方进行数据链接，以及缺乏数据匿名化框架，数据共享的安全性很难得到保障。

据此，OECD认为立法框架应当具备以下特征：

a）遵从OECD隐私准则中概述的隐私保护基本原则；

b）覆盖所有数据源、数据管理人与数据处理人；

c）有一个公平和透明的项目审批程序，包括一个独立的、多学科的项目审批机构；

d）允许将个人健康数据用于公共卫生保障、研究和符合公众利益的统计，但须经过批准程序；

e）无论是通过同意、同意的例外还是具体授权，批准为进一步的统计和下一项研究项目处理数据；

f）有切实可行的方案让患者拥有拒绝健康数据使用权；

g）在同意使用的情况下，允许个人健康数据集被链接；

h）允许公共机构为了获批的数据连接项目与政府统计共享数据链；

i）允许公共机构或受信任的第三方安全地存储重新识别数据的密钥以便于未来获取健康数据持有者的同意；

j）允许国内来自社会各界的申请者为研究或统计分享或获取去识别的个人健康数据，但是要有必要的审批程序与数据安全保障措施；

k）允许外国申请者为研究或统计分享或获取去识别的个人健康数据，前提是外国法框架充分满足本国数据保护标准与要求；

l）公开所有数据处理决定。

（5）公开透明的卫生信息系统

毫无疑问，个人健康数据处理透明度对于保证政府公信力是至关重要的。越来越多的OECD国家正在开展提高公共部门卫生数据处理开放性的项目，其中包括国家卫生数据。然而，事实上，在个人健康数据的可用性、可访问性、安全性以及收益和风险方面，很少有OECD国家做到公开透明。

表4 开放健康数据治理的方案

开放健康数据的目的因国家而异。其中最常见的目的是提高卫生统计数据获取与处理的透明度，如加拿大、芬兰、意大利、新西兰、新加坡和瑞士。此外，还有一些国家的目的是通过允许个人校准健康数据（删除、修改或增加）来提高去识别健康数据的可用性与准确度。意大利开放健康数据的目的还包括提高公共机构数据交换的效率。

（6）个人健康数据管理的集中化程度

在10个国家中，70%或更多的个人健康信息数据集由一个组织掌握。集中管理能够提升数据处理与共享的效率。国家卫生数据集集中化程度最高的是瑞士和土耳其，所有关键的国家数据集都由同一个组织保管。在冰岛和日本，90%的国家数据集都在一个组织内。其他国家的国家数据集集中在一个监管机构的比例较高的是英国（苏格兰），占78%，其次是丹麦（75%）、新西兰（75%）、美国（73%）、捷克（71%）和瑞典（70%）。

表5 由同一组织保管和链接的国家数据集的比例

（7）法律要求与实践中数据去识别的差异

数据隐私保护法与数据去标识化技术的应用之间存在着严重差距。这是因为法律框架很少提供详细的指导说明如何处理数据去标识化。例外是，美国主要的国家健康信息隐私法（HIPAA）对去识别个人健康数据的含义有具体规定。HIPAA隐私规则的第164.514(a)条描述了两种数据去识别方法包括安全港与专家确定法。

表6 五种去识别技巧在国家主要健康数据集中的使用占比

对于所有重要的国家卫生数据集，在进行分析之前，有七个国家会对其进行去标识化处理（包括捷克、意大利、韩国、荷兰、挪威、新加坡和美国）。与之形成鲜明对比的是，有四个国家声称，在对任何重要的国家卫生数据集进行分析之前，都没有进行数据去标识化（包括冰岛、土耳其和以色列）。一些国家则报告说，个人健康数据在分析前不总是被去掉标识，因为为统计或研究目的获取可识别的健康数据的请求可能被批准（芬兰、新西兰、瑞典和英国）。取消去身份识别的国家对数据采取了更严密的保管措施，如加密程序保护。

OECD认为，保护病人健康数据隐私的最佳去标识做法应满足以下条件：

a）记录数据去识别方式；

b）让数据隐私专家参与制定、审查去识别方法；

c）界定直接和间接标识符；

d）删除直接标识符，或必要时从直接标识符中创建一个假名；

e）向第三方发布任何数据时，用无意义的编号取代假名；

f）存储标识符、假名和任何研究编号之间的映射，以便未来数据使用；

g）通过数据屏蔽技术处理间接标识符；

h）考虑处理间接标识符对研究结果的影响；

i）关于细胞计数和间接披露风险的准则，放在公共表格和科学研究结果之中；

j）审计数据去识别过程。

（8）保护健康数据隐私安全的准则

在国家层面或数据保管人层面制定和公布的有关个人健康数据保护的政策或准则，可大大增加了为保护健康信息隐私和安全所采取的步骤的透明度。在国际上，国际标准组织制定的关于电子健康记录系统隐私和安全要求的标准和准则（ISO/TS 14441:2013）；电子健康记录通信安全（ISO/TS 13606-4:2009）；以及促进个人健康数据跨境流动的数据保护（ISO 22857:2011）为各国制定健康数据保护政策提供了指引。在丹麦，DPA提供了关于遵循国家数据隐私立法要求的指导方针。SSI遵循DPA的指导方针，为处理所有类型的个人数据提供指导。在韩国，安全和公共管理部为政府机构制定了关于处理个人健康数据的准则。HIRA也有专门针特定数据的内部准则。在加拿大，CIHI在其网站上向公众提供与保护数据主体隐私和数据保密有关的政策。在挪威，国家病人登记处（NPR）公布了有关数据安全的准则、规则和条例。

OECD认为，要减少数据去识别后被违规再识别的风险，就需要：

a）保障数据保管人与处理人的物理与IT数据安全；

b）确保数据保管人与处理人对个人健康数据的访问和使用是由受保密规则/条例约束的；

c）通过安全渠道在数据保管人或处理人之间传输数据；

d）保管人、处理人与个人层面的数据接收者签订具有法律约束力的合同；

e）要求相关人员通过在线培训或其他方式接受关于数据隐私和安全保护的强制性和定期培训；

f）审查数据接收方的安全程度；

g）对数据接收者和数据传输的各方进行独立和随机的数据安全审计；

h）跟进数据接收者，以核实数据销毁要求；

i）提供传输数据的替代方案，如在研究数据中心内或通过安全的数据门户提供数据访问，或在认证/认可的组织内分析数据；

j）对滥用数据的任何一方实施处罚。

（9）保护隐私的健康信息系统的未来发展之路

11个国家表示，使用个人健康数据来监测健康和医疗质量已经变得更容易。在这些国家中，加拿大、新西兰、西班牙和新加坡提高了数据质量和数据标准；荷兰使用一致的病人标识符；冰岛保证了数据的及时性；西班牙提高了电子临床记录的人口覆盖率；捷克共和国、西班牙和英国增加了关键数据集的人口覆盖率；丹麦集中化了数据处理；丹麦、荷兰、英国和美国改进了数据联系过程。同时，这些国家完善了数据治理机制，包括以色列进行保护个人健康数据的立法改革；新西兰、英国明确了数据治理的定义和数据共享的规则；荷兰引入可信的第三方进行数据链接和去识别数据。爱尔兰健康研究委员会正在制定一项数据治理模式的建议，以实现健康和相关研究的数据访问、共享、存储和链接。

[1] OECD:《Addressing Dementia 2015》,https://doi.org/10.1787/2074319x

[2] OECD:《Health Data Governance 2015》,https://doi.org/10.1787/9789264244566-en.