前 言

2020年国家健康医疗大数据研究院正式成立,标志着国内医疗行业对于大数据和人工智能的应用迅速兴起。《2024中国AI医疗产业研究报告》数据显示,2023年中国AI医疗行业市场规模已达到973亿元,其预计到2028年将进一步增长至1598亿元[1]。伴随着开源人工智能大模型DeepSeek的爆火,医疗行业对人工智能应用落地的预期和热烈度更是迎来了高峰期。2024年,国家和地方纷纷出台了一系列推动AI医疗发展的政策。例如,国家卫生健康委员会办公厅、国家中医药局综合司、国家疾控局综合司于2024年11月6日发布《卫生健康行业人工智能应用场景参考指引》,明确“人工智能+”医疗服务、“人工智能+”医药服务、“人工智能+”健康管理服务、“人工智能+”公共卫生服务等场景的应用方式;国家数据局等部门于2023年12月印发《“数据要素×”三年行动计划(2024—2026年)》,提出有序释放健康医疗数据价值,支持公立医疗机构在合法合规前提下向金融、养老等经营主体共享数据;地方上,河南省发布了《河南省推动“人工智能+”行动计划(2024—2026年)》,明确要求挖掘省内医疗数据及样本资源,推动人工智能技术在基层卫生健康行业场景应用;江西省发布了《江西省“数据要素×”三年行动实施方案(2024-2026年)》,明确要求加强基层人工智能辅助智慧医疗系统推广运用,面向基层医生提供人工智能全科辅助诊疗、治疗方案推荐及合理用药等服务。

AI医疗隶属于数字医疗的一部分,其发展依托于数字医疗背景下日益庞大的医疗数据。医疗大数据作为支撑AI大模型训练的战略性资源,既是驱动医疗科技创新的核心要素,也是具有重大科研价值和商业潜力的关键资产。其数据范畴不仅涵盖海量患者诊疗记录等个人敏感数据,更涉及公共卫生趋势、人类遗传资源等国家健康安全战略资源。这种高敏感性特征要求其从收集到使用必须构建“全链条合规框架”,平衡商业开发和技术创新与隐私保护、公共利益之间的复杂关系。本文试从医疗数据交易的视角出发,试探讨医疗数据来源及其权属问题,并进一步分享数据产权交易所对于医疗数据交易的实践经验。

一、医疗大数据产生的场景概述

参照《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)(以下简称“《健康医疗数据指南》”)的相关定义,健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据,具体分类包括:(1)个人属性数据:是指单独或者与其他信息结合能够识别特定自然人的数据;(2)健康状况数据:是指能反映个人健康情况或同个人健康情况有着密切关系的数据;(3)医疗应用数据:是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据;(4)医疗支付数据:是指医疗或保险等服务中所涉及的与费用相关的数据,包括医疗交易信息、保险信息等;(5)卫生资源数据:是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据,包括医院基本数据、医院运营数据等;(6)公共卫生数据:是指关系到国家或地区大众健康的公共事业相关数据,包括环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。

考虑到《健康医疗数据指南》属于国家推荐性标准、无强制性效力,为便于区分医疗数据的不同产生场景、有利于理解医疗数据的形成过程和收集主体的区别,我们结合相关实践经验,对医疗大数据进一步作出如下分类:

1. 政府主管部门行政管理过程中收集沉淀的数据,包括但不限于:

a)公安、统计等部门定期开展的人口登记与普查过程中收集的人口统计信息;

b)疾控中心在传染病监测(如HIV、结核病)、疫苗接种、突发公共卫生事件(如疫情)监测过程中收集的信息;

c)卫健委在日常监管中收集的全国医疗机构信息(包括但不限于床位数、医务人员配置、医疗服务量等)和国民健康信息;

d)医保局在日常监管中收集的医保参保人群信息、医保费用报销明细、医保疾病信息、药品耗材集采信息等;

e)药监局在日常监管中收集的药品/医疗器械审批记录、不良反应监测、生产流通追溯信息等。

2. 个人就医过程中产生的数据(以下简称“个人就医数据”),包括但不限于:

a)个人挂号和就医过程中形成的个人身份信息;

b)个人在公立医院、私立医院、互联网医院等医疗机构中的问诊记录、处方数据、电子病历(EMR)、影像数据(CT/MRI)、病理报告、手术记录等结构化与非结构化数据;

c)个人在体检及健康管理服务过程中产生的体检报告、基因检测数据、可穿戴设备监测的血压/血糖/睡眠等动态健康指标数据;

d)个人在第三方检验/影像中心的专项检测检验信息。

3. 医药零售过程中产生的数据,包括但不限于:

a)线上线下渠道的销售记录、会员消费偏好、慢病用药复购周期等信息;

b)O2O送药(如美团买药)的即时需求数据等。

4. 医药、器械流通领域的数据,包括但不限于:

a)医药批发零售企业的进销存数据、终端医院采购量数据等;

b)医药线上平台的交易数据等。

5. 健康险相关数据,包括但不限于:

a)投保时收集的被保险人健康状况告知、家族病史、职业风险等核保信息;

b)健康管理服务中形成的体检服务数据;

c)理赔时收集的理赔申请记录、疾病诊断信息、医疗费用数据等;

6. 科研领域数据,包括但不限于:

a)科研院所和医疗机构基础研究所形成的科研数据;

b)在科研期刊等平台发表的论文与病例报告等医学文献数据;

c)医生互联网社区平台形成的社群数据;

d)医疗药械企业技术开发过程中形成的技术实验数据、药品器械临床试验数据等。

二、个人就医数据的商业化路径——医疗数据交易

早在2016年,国务院办公厅出台了《关于促进和规范健康医疗大数据应用发展的指导意见》(国办发〔2016〕47号),已明确提出促进健康医疗业务与大数据技术深度融合,加快构建健康医疗大数据产业链,同时也对规范健康医疗大数据应用领域的准入标准提出要求,严格规范大数据开发、挖掘、应用行为。个人就医过程中产生的数据链接了患者、疾病、治疗等各方面信息,是医疗大数据中最为关键和重要的数据来源,对于人工智能大模型的训练极具价值,由此形成的医疗数据库也率先成为医疗数据交易的标的上市交易。本篇谨就个人就医数据用于数据交易的合规路径作出探析,以供阅者讨论和参考。

(一)医疗数据的权属

医疗数据进行交易,首先需要明确的是医疗数据的权属问题,即,谁拥有将医疗数据进行转让或授权许可等使用权利?谁对于医疗数据的开发享有收益权?

1. 现行法规未对医疗数据的所有权归属予以明确规定

《中华人民共和国民法典》(“《民法典》”)在第五章“民事权利”章节中第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”即,《民法典》认可数据相关权利属于合法民事权利,受法律保护。尽管部分法律法规从侧面规定了数据的部分权利,例如,《中华人民共和国个人信息保护法》(“《个人信息保护法》”)规定了个人对其个人信息的处理享有知情权、决定权,有权进行查阅、复制或要求更正、补充、删除,任何组织、个人不得侵害自然人的个人信息权益;《医疗机构病历管理规定(2013年版)》规定了患者就诊医疗机构外的其他医疗机构及医务人员因科研、教学需要有权查阅、借阅病历数据。但截至目前,国内并未出台相关法律法规明确包括医疗数据在内的各类大数据的所有权归属问题。

从比较法的视角来看,不同国家/地区之间所采取的数据权属认定也大相径庭,或是单独赋权,或是通过反不正当竞争法角度予以保护:欧盟为激励在数据库上的投资而选择了强保护路径,即通过数据库指令(2001年)对于数据库进行单独的赋权性保护,但实质上赋予一种版权法以外的类版权保护,禁止擅自使用数据的实质性部分,赋予数据库所有者对数据库内数据的专有权,并最终创设数据访问权以代替数据生产者权。德国等欧盟成员国通过适用欧盟指令及商业秘密和反不正当竞争法,对数据和有价值的信息给予类财产权(property-like rights)的保护。而美国则对于数据权益采取的是弱保护态度,放弃了数据库保护的单独赋权立法,而是通过依照反不正当竞争法之下的侵占行为保护数据权益。[2]

2. 国内对于医疗数据的使用权利归属的探索

从国内的立法实践来看,目前采取的态度是尽量避开所有权归属的认定(学界亦尚未对此争论出颇具统一性的观点),转而从数据的管理和开发使用角度进行相关权利的授予和规制,以便鼓励企业进行数据开发和利用、促进大数据产业链发展。

例如,国家卫健委于2018年发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》(国卫规划发〔2018〕23号)第二条即明确:“我国公民在中华人民共和国境内所产生的健康和医疗数据,国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用。”

2022年,中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(“《数据二十条》”)根据数据生产、流通、使用过程中各参与方的不同属性,创设性地提出“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”。

以《数据二十条》的权利分置为基础,各地对于数据权属的分类作出了进一步探索。例如,深圳市响应数据知识产权地方试点工作,于2023年印发的《深圳市数据产权登记管理暂行办法》进一步明确登记主体对合法取得的数据资源或数据产品享有相应的数据资源持有、数据加工使用和数据产品经营等相关权利,具体而言:数据资源持有(并非“所有”)是指在相关法律法规或合同约定下,相关主体可对数据资源进行管理、使用、收益或处分等行为;数据加工使用是指在相关法律法规或合同约定下,相关主体以各种方式、技术手段对数据进行采集、使用、分析或加工等行为;数据产品经营是指在相关法律法规或合同约定下,相关主体可对数据产品进行占有、使用、收益或处分等行为。而甘肃省于2025年1月出台的《关于加快完善数据产权体系的意见》(甘政办发〔2025〕5号)进一步区分了数据链条不同主体的权利范围,尊重数据来源者的基本人格权益、法定在先权利,保障数据来源者对其生产经营活动中产生的、不涉及个人信息和公共利益的数据享有数据权益;支持数据处理者依法依规行使数据应用相关权利,充分保障数据处理者在数据处理过程中的劳动和其他要素贡献,保护数据处理者使用数据和获取收益的权利。

司法实践中,亦有法院通过采取反不正当竞争法下的救济手段认可数据处理主体对数据的权利。在某APP软件公司诉某科技公司不正当竞争纠纷案中,法院认为数据可以分为两种数据形态:一是单一原始数据个体,二是数据资源整体。就单一原始数据个体而言,数据控制主体只能依附于用户信息权益,依其与用户的约定享有原始数据的有限使用权。使用他人控制的单一原始数据只要不违反“合法、必要、征得用户同意”的原则,一般不应被认定为侵权行为,数据控制主体亦无赔偿请求权。就数据资源整体而言,因系网络平台方经过长期经营积累聚集而成,且能够给网络平台方带来开发衍生产品获取增值利润和竞争优势的机会,网络平台方应当就此享有竞争权益。如果未经数据控制主体许可,规模化破坏性使用其数据资源的,数据控制主体有权要求获得赔偿。

综上,尽管目前对于数据相关权利归属的相关法律法规体系尚在建立健全过程中,实践中亦可通过反不正当竞争法体系来寻求数据权利的救济。进一步地,对于数据持有人而言,其对于所持有的数据的权利应当在遵循数据来源者授权使用的前提下,就其通过劳动和其他要素贡献、经营取得的数据资源集合,拥有进行开发并获得相关利益的权利。在前述权利体系的框架下,国内对于医疗数据的开发使用方式主要为数据持有人的权利授权和权利转让模式,使用申请人通过数据持有人授权提供的数据源、API接口、数据托管等方式,取得对相应数据的使用和经营开发权利,具体的权利范围可以由双方自行商定。

(二)个人数据的收集和匿名化处理

《个人信息保护法》规定了个人信息处理者有权合规收集处理个人信息的情形。在应用于医疗数据商业开发的场景下,信息处理者应当取得个人的同意,限于实现处理目的的最小范围进行收集,并以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。

并且,根据《医疗卫生机构网络安全管理办法》(国卫规划发〔2022〕29号)的规定,各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,加强数据收集合法性管理,明确业务部门和管理部门在数据收集合法性中的主体责任,采取数据脱敏、数据加密、链路加密等防控措施,防止数据收集过程中数据被泄露。

但是,实践中个人就医数据通常采集于患者就诊过程中,而根据《个人信息保护法》,在仅为患者提供诊疗服务的场景下,医疗机构可以无需取得患者的个人同意而采集其个人信息。那么,对于采集时为提供诊疗服务之目的,但后续意欲进行进一步开发的个人数据,应当如何处理呢?

根据《个人信息保护法》的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。因此,进行个人数据的匿名化处理后,上述数据即不再属于《个人信息保护法》项下的个人信息,对该等信息的处理可以无需再取得个人对此单独的授权。国家发展改革委等6部门于2025年1月6日印发的《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》(“《实施方案》”)亦明确,对于个人数据流通,依法依规取得个人同意或经过匿名化处理两种方式均被认可。

在个人就医数据进行聚集、形成整体性的数据资源后,数据的个人性被弱化,在经过一定技术处理后,可以转化为无法被定向可识别到个人的数据,从而不再落入《个人信息保护法》项下的个人信息范畴。《健康医疗数据指南》亦对此作出了类似规定:“如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数据,该数据不再属于个人信息,但其使用和披露宜遵守国家其他相关法规要求。”

对于个人数据匿名化的处理标准,《实施方案》已提出将制定个人信息匿名化相关标准规范,明确匿名化操作规范、技术指标和流通环境要求。但截至目前,尚未形成统一性的匿名化处理标准。在《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)以及《健康医疗数据指南》列举的去标识化处理方式基础上,我们建议匿名化处理的主要流程至少应包括以下方面,并提示进一步跟进该领域的政策动态、及时适用新的法规标准:

1.去除个人属性数据中可唯一识别到个人的信息或披露后会给个人造成重大影响的信息,例a)如:姓名;身份证/驾照等证件号;电话号码、传真、电子邮件;医疗保险号、病历档案号、账户;生物识别信息(指纹、声音等与应用目的无关的信息);照片;爱好、信仰等。

2.个人属性数据中可间接关联到个人的信息,宜进行泛化、转换等处理,例如:单位、地址、邮政编码等信息泛化,具体年龄、生日及其他所有日期信息(出入院时间等)仅具体到年或进行时间漂移处理。

3.对需要追溯到患者的情况,仅在控制者内部建立患者代码索引。

4.匿名化处理过程中使用的各种参数配置,例如时间漂移范围、患者代码索引、各种个人代码生成规则等宜严格保密,仅限于控制者内部专人管理。如进行数据交易,不得将该等参数配置提供给数据使用方。

(三)医疗数据的产权登记与交易

医疗数据进行上市交易全流程一般包括登记、挂牌、签约、交付、结算、凭证发放等环节,具体交易流程相关内容详见下篇。

基于《数据二十条》提出的产权分置运行机制,国家知识产权局自2022年起分两批在北京、上海等17个地方确定为数据知识产权工作的试点地方。为保护数据权利的排他性、形成权利公示效果,数据知识产权登记应运而生。

以北京市于2023年5月出台的《北京市数据知识产权登记管理办法(试行)》为例,通过定义数据知识产权的登记对象,进一步明确受保护的数据权利范围为“数据持有者或者数据处理者依据法律法规规定或者合同约定收集,经过一定规则或算法处理的、具有商业价值及智力成果属性的处于未公开状态的数据集合”。登记主体依法持有数据,享有依法依规加工使用、获取收益等权益。

对于数据产权登记,北京、深圳、浙江等地为主流的审查模式均明确登记机构仅进行形式审查,在数据产权申请人提交的申请材料的申请材料齐全、符合规定要求的情况下,即可进行公示登记。深圳、贵州等地则进一步明确,数据登记由第三方服务机构进行实质性审查,并提供对于许可真实性和合法性的实质性审核材料。

对于数据产权登记的效力,基于各地主流的形式审查模式,目前各地的数据登记实践倾向于认可其为“初步证明”,具有一定的公示效力,但不排除相反证据推翻登记主体的权利。例如浙江省规定“登记证书可以作为持有相应数据的初步证明,用于数据流通交易、收益分配和权益保护”、江苏省规定“数据知识产权登记证书是申请人合法持有数据并对数据行使权利的初步证明,但有相反证据予以推翻的除外”、北京市规定“充分发挥登记证书证明效力”等。在合同成立且交付之后、登记之前,受让人为不完全权利人;如有多重交付,则各受领交付人均为不完全权利人,其对数据的加工使用均为合法行为,但因权利未经登记公示而相互之间不能对抗,同时无法排除其他受让人对数据的加工和使用;在受领交付的人中,率先完成登记的人享有的数据产权具有排他性,自登记时起可排除他人未经登记人授权对数据的加工使用。但是对于登记前已受领交付的其他受让人,仍应允许其继续在出让人授权的范围内加工使用数据[3]。

注释

[1]数据源自甲子光年《2024中国AI医疗产业研究报告》。

[2]孔祥俊《反不正当竞争法框架内的数据权利构建——“数据保护专条”的具体设计方案》,载于《比较法研究》2025年第1期。

[3]孙莹《数据产权登记的基本问题研究》,载于《中国法学》2025年第1期。

上文中,我们初步介绍了医疗大数据的产生场景,并对医疗数据的商业化路径——数据交易相关的医疗数据权属、匿名化处理、数据产权登记等问题进行了探讨,本篇将介绍国内数据产权交易所的相关情况及医疗数据交易的实践案例。

一、国内数据产权交易所概述

我国多年以来持续推进数据资源管理、数据交易市场培育工作,国务院于2016年印发《“十三五”国家信息化规划》提出强化数据资源管理、探索培育数据交易市场,并在2020年印发《关于构建更加完善的要素市场化配置体制机制的意见》明确引导培育大数据交易市场、依法合规开展数据交易,在2022年印发《关于加快建设全国统一大市场的意见》进一步要求加快培育数据要素市场,国内各省市纷纷推进设立数据交易所设立,并出台大数据交易激励政策。例如,上海市于2023年6月印发《中国(上海)自由贸易试验区专项发展资金支持数据要素市场发展实施细则》,对首次挂牌数据产品、优质数据产品流通给予数据交易场所资金补贴;北京市于2023年11月印发《2023年北京市高精尖产业发展资金实施指南(第三批)》,对在北京国际大数据交易所进行数据资产登记、开展数据交易、开展数据资产入表活动等对企业予以奖励。

截至2025年1月,除青海、西藏、港澳台等地区尚在推进,我国其余29个省(区、市)均开展了数据交易机构组建工作(部分已关闭或停摆,部分仍在建设),国内主要数据交易所达72个,其中正在运营中且有上架产品的数据交易所共约39家[1],其中交易金额较大的5家数据交易所简要介绍如下:

1. 北京国际大数据交易所(北数所)

a)北数所自2021年3月揭牌运营,由北京市经济和信息化局、北京市地方金融监督管理局、北京市商务局与北京市委网信办等部门组织,并由北京金融控股集团有限公司发起成立。

b)北数所运营主体为北京国际大数据交易有限公司,为北京市属国有企业,隶属于北京金控集团。

2. 上海数据交易所(上数所)

a)上数所自2021年11月揭牌运营,由上海市人民政府指导下组建。

b)上数所运营主体为上海数据交易所有限公司,为上海市属国有企业。

3. 广州数据交易所(广数所)

a)广数所揭牌运营时间为2022年9月,按照广东省委、省政府战略部署,在广州市委、市政府大力支持,在省政务服务和数据管理局、市政务服务和数据管理局指导下成立。

b)广数所运营主体为广州数据交易所有限公司,为广州市属国有企业,隶属于广州交易集团。

4. 深圳数据交易所(深数所)

a)深数所揭牌运营时间为2022年11月,由国家发展和改革委员会、广东省人民政府指导,深圳市人民政府主办。

b)深数所运营主体为深圳数据交易所有限公司,为深圳市属国有企业,隶属于深圳交易集团。

5. 贵阳大数据交易所(贵数所)

a)贵数所于2015年4月揭牌,是我国第一家大数据交易所,在贵州省、贵阳市政府的支持下成立。

b)贵数所运营主体为贵阳大数据交易所有限责任公司,为贵阳市属国有企业。

二、数据交易所中医疗数据交易案例

医疗数据作为医疗健康行业待挖掘的金矿,目前各地纷纷出台了相关政策促进医疗数据的交易流通。例如,北京出台了《2024年医疗健康数据流通工作方案》并起草了《北京市医疗数据流通项目数据资产治理技术规范》[2],推动医疗健康数据流通工作落实,北京市内50%以上医院已梳理形成意向登记或交易的单病种高价值数据集[3]。各地数据交易所也陆续上架了医疗数据产品进行交易,我们简单摘录部分上架交易的数据产品信息如下:

▶上海市第一人民医院的重大疾病医疗数据

2024年10月,上海市第一人民医院在上数所上架包含妊娠内分泌疾病、甲状腺内分泌疾病等多个重大疾病医疗数据。数据内容为甲状腺疾病的研究与临床诊疗信息的汇总,涵盖了多维度的数据资源,包括患者性别、年龄区间、临床诊断、治疗方式、药物治疗等不同治疗方式的比例等数据信息。

根据上数所的披露信息,上述数据的使用案例包括:某IT公司利用相关疾病数据,查询疾病的临床特征和治疗情况,为开发专病管理智能软件提供了坚实的理论支撑,并据此科学规划了研发策略。

▶广州医科大学附属妇女儿童医疗中心的疾病医疗数据

2024年9月,广州医科大学附属妇女儿童医疗中心在广数所对广妇儿新生儿黄疸科学研究与蓝光治疗数据集进行数据资产登记并上架,该等数据基于新生儿诊疗过程中的匿名化数据开发。数据集的应用场景主要包括科研机构和蓝光治疗器械厂商。科研机构可以利用数据进行流行病学研究、疾病模型构建和公共卫生政策的制定,帮助识别新生儿黄疸的风险因素,并评估不同治疗方案的效果。通过分析该数据,科研人员可以优化诊疗方案并提出改善公共卫生政策的建议。蓝光治疗设备制造商则使用该数据集进行设备的校准和优化,确保设备在不同条件下的治疗效果和一致性。通过临床数据的对比,厂商能够开发更加智能化的治疗设备,并加强生产中的质量控制。该数据集为新生儿黄疸的研究和蓝光治疗技术的发展提供可靠的数据支持。

并且,广州医科大学附属妇女儿童医疗中心进一步要求了禁用范围包括:(1)禁止转售:未经明确书面同意,禁止买方将数据二次转售或以任何形式提供给第三方。(2)禁止出境:本产品数据不得出境。(3)保密协议:所有数据使用方必须签署保密协议,确保本产品数据不会被用于未授权的目的。

▶首都医科大学宣武医院的疾病医疗数据

2024年12月,首都医科大学宣武医院与北京国际大数据交易所合作,成功完成了2024年度北京市首笔公立医院数据交易。首都医科大学宣武医院将其建立的完善的颈动脉支架手术数据集进行登记交易。该数据集经过严格的匿名化、数据清洗、整合和标准化处理,确保无法逆向追踪,严格保护患者隐私,并确保了数据的准确性和可用性。[4]

三、医疗数据交易的流程

医疗数据进行上市交易全流程一般包括登记、挂牌、签约、交付、结算、凭证发放等环节。不同交易所对于数据交易的流程节点和合规控制重点内容略有差别但实质上相近。以上海数据交易所为例,在交易过程中需要重点关注的合规事项包括如下方面:

1. 数据交易主体应具有相应的合规经营能力

具体而言,数据交易主体应具有良好的商业信誉,不存在影响持续经营的重大财务风险,不存在影响持续经营的担保、诉讼以及仲裁等重大事项等影响持续经营能力的情形。

2. 数据交易主体应建立数据安全管理制度

具体而言,包括:(1)设立数据安全管理部门、进行数据分类分级保护及管理,(2)建立数据全生命周期安全管理制度,(3)采取数据加密、数据脱敏、身份认证、入侵防护、安全监测等技术保护措施建立覆盖数据全生命周期的安全防护机制,(4)明确关键岗位人员及员工数据安全问责规范,(5)制定数据安全事件应急预案。

▶数据提供方应做到:(1)确保数据来源合法;(2)确保对涉个人信息的数据进行去标识化处理;(3)确保核心数据、敏感个人信息不进入数据流通或采取了相应的安全措施;(4)确保数据产品交易不违反国家强制性法律规定;(5)对交易数据产品的使用有相应的约束,监督数据产品的使用可控。

▶数据需求方应做到:(1)依据数据交易双方所约定的数据使用范围、使用目的(用途)、使用条件、约束机制等使用数据,确保数据产品的使用不违反国家强制性法律规定;(2)对数据产品使用行为的合规性和安全性负责,以危害性最小或风险最小的方式使用数据产品;(3)确保数据分析应用不侵害个人隐私,确保涉及个人信息的识别利用遵循法律规定;(4)履行相应的安全管理义务,防范信息泄露和未经授权访问,确保合法正当地公开信息或提供数据;(5)对算法、机器学习实施必要的合规管理,确保数据产品的应用不侵权或不具有社会危害性。

3. 数据提供方应确保数据来源的合法合规,数据产品具有可交易性

上海数据交易所要求进行交易的数据产品应当具备以下条件:(1)数据来源合法,符合《上海数据交易所数据交易安全合规规范(试行)》等相关制度要求;(2)满足可交易性的要求;(3)有明确的应用场景、使用范围和使用期限;(4)数据产品通过第三方专业机构的合规评估。

▶按照数据提供方的不同数据来源方式(包括使用自动化工具收集的公开数据,在生产经营活动中产生的或通过自身信息系统生产数据,通过采购、共享、授权许可等方式获取的数据,收集的个人数据等),提出了不同的合规要求。在个人医疗数据交易场景下,主要针对个人数据来源的合规要求为:(1)基于个人单独同意的交易:证明涉个人信息的数据采集字段、采集方式在采集时已经获得个人同意或依据法律法规规定合法取得;证明对取得的数据进行了合法处理;证明对交易的数据已经获得个人单独同意。(2)基于匿名化的数据产品的交易:进行匿名化处理,数据产品中不再具有直接关联到个人的信息;供方对数据产品的使用采取相应约束措施,需方确保识别个人的使用遵守法律规定。上述两种形式导致的个人信息流通使用应当符合商业道德与伦理,不得利用个人隐私侵害用户权益。

▶在数据来源合法的基础上,该类数据形成的数据产品具有合法性、可控性、流通性,数据持有者对数据产品享有合法和正当的权利,包括如下方面:(1)持有者对合法取得的数据进行处理、加工,具有实质性投入;(2)法律法规和相关政策不禁止该数据产品的交易;(3)数据产品中不包含法律禁止或不宜交易的数据。

▶数据产品应当通过第三方专业机构的合规评估并形成合规评估报告。根据上海数据交易所要求,合规评估报告应由交易所认可的合规评估服务律师事务所出具。

4. 数据提供方应进行产权登记后,方可申请挂牌交易

(1)根据上海数据交易所的规定,数据产品挂牌前必须完成数据产品登记。

在数据提供方确保登记的数据产品符合前述合规要求的前提下,数据提供方向上海数据交易所提供主体的基本信息、产品的基本信息(包括产品名称、产品描述、数据组成成分、来源方式、更新频率、底层数据维度与数据规模等)、数据交易平台要求提供的其他基本信息,交易所进行形式审核,重点审核材料的齐全性、内容的完整性,审核通过后,经数据提供方申请,交易所发放数据产品登记凭证。

(2)申请挂牌时应当提交数据产品合规评估报告、数据产品质量评估报告,并视情况提交数据资产评估报告。

注释

[1]数据源自天翼智库《2024年我国主要数据交易场所发展回顾(下半年期)》。

[2]目前公开渠道暂未公开上述规定的全文。

[3]北京经信局“推进算力券和数据要素市场奖励等政策引导 助力北京市医疗健康数据流通工作稳健开展”,2024年9月3日。

[4]首都医科大学宣武医院“宣医新闻|北京市首笔公立医院数据交易完成!首都医科大学宣武医院树立医疗数据应用新标杆”,2024年12月9日。

作者介绍

赵博嘉律师毕业于对外经济贸易大学法学院,并获得学士学位。

赵律师从2004年开始从事律师职业,在医疗健康领域深耕超过10年。赵律师主办过的与医疗健康相关的项目,涵盖了医疗健康的各个细分领域,包括为数十家生物制药、细胞治疗、药品经销配送、药品零售、疫苗研发生产、医疗器械的研发、生产、经销企业、体外诊断(包括质谱、基因检测)、互联网医疗、医疗AI、医院信息化、保险科技企业的投融资、并购、上市项目提供服务;以及完成了上百家各类医疗机构的投融资、并购、上市项目,细分种类几乎涵盖了医疗机构的全部类型,包括综合医院、眼科、口腔、耳鼻喉、医美、骨科、心血管、肿瘤、血液病、脑科、肾病、血液透析、儿科、妇产、辅助生殖、康复、护理、精神科、第三方检验中心、独立影像中心等各类医疗集团。

赵律师连续多年被评为《商法》(China Business Law Journal)“The A-List 法律精英”;连续五年被钱伯斯榜单评选为推荐律师;连续多年被The Legal 500亚太榜单评选为推荐律师。赵律师主办的代表通用技术集团收购宝石花医疗集团项目,获得2022年度《商法》“中国杰出交易大奖”。

范思远律师毕业于北京大学,取得法学学士学位和经济学学士学位。主要业务领域为医疗健康行业以及境内外资本市场、私募股权投资、公司并购重组。

范律师为多家知名医疗健康企业及上市公司提供过法律咨询服务,协助客户开展多起境内外上市、再融资、投融资及并购重组项目,为客户提供尽职调查、交易方案设计、交易文件起草谈判等专业法律服务。

范律师具有中国律师执业资格。

声明:本文来自北京市竞天公诚律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。