摘要：当前，医疗数据囤积的“数据孤岛”现象与不当利用行为频频发生，容易引发抑制竞争与创新、隐私权与知识产权侵权、互操作性受阻等挑战，因而需要制度层面合理的界权保护及其运行机制调整。一方面医疗数据可携权滥觞于民法上的健康权与人格权保护，另一方面医疗数据使用权源起自私法

当前，医疗数据囤积的“数据孤岛”现象与不当利用行为频频发生，容易引发抑制竞争与创新、隐私权与知识产权侵权、互操作性受阻等挑战，因而需要制度层面合理的界权保护及其运行机制调整。一方面医疗数据可携权滥觞于民法上的健康权与人格权保护，另一方面医疗数据使用权源起自私法上对财产性利益的权利保护，其中的知识产权特征凸显。同时，法律制度的核心激励在于私法上的确权保护，并在技术支持背景下辅之以其他制度的协同共治，特别是公共利益维度，比如宪法层面的价值指引和反垄断法层面的行政监管与干预。故此，有必要构建医疗数据可携权与使用权形成合力的“二元权利架构”激励机制，即以私法赋权激励为主、公法行为规制为辅，并以数据信托为理论基点、医疗数据池打造为具体操作，实现医疗数据共享的公私法协同适用与社会福祉的提升。

一、问题的提出

在老龄化与数字化交织的背景下，个体在注重自身健康数据权益保护的同时，也注意其在数字环境中的隐私利益维护。一方面，中共中央、国务院在2016年制定的《“健康中国2030”规划纲要》中指出，健康是促进人的全面发展的必然要求，共建共享、全民健康是经济社会发展的基础条件。另一方面，法律作为保障社会公平、助力共同富裕的重要制度力量，必须回应数据激励共享对社会秩序的呼唤。因而，医疗数据资源的开发利用不仅需要完善医疗数据基础设施，还需要推进相关医疗数据基础（法律）制度构建。但是，目前实践中医疗数据共享问题愈发凸显，比如以患者个人信息保护为幌子，“医疗数据壁垒”不仅横亘在不同城市的各个层级医院之间，而且普遍存在于同一层级的不同医院以及同一城市的不同医院之间，甚至同一家医院的不同院区之间也时常出现数据共享障碍问题。同时，医疗数据流通中也存在内部权益冲突问题，特别是涉及有关个人信息自决权、公民隐私权、医疗合规以及数据安全等议题时。就此，基于医疗数据流通过程中不同参与主体之数据（信息）可携权、使用权的构造与协调适用或许是较为可行的应对选项。在我国当前医疗领域中，这两项权利的适用以及实施效果保障的关键在于：一是能否确保个人对健康医疗信息的控制权，二是能否优化医疗机构对已收集医疗数据的处置权。

然而，国内现有研究较多局限于宽泛意义上数据携带权的适用研究，抑或着眼于宏观维度医疗数据使用与保护机制的完善，特别是执着于从径直赋权的视角切入研究，鲜有从数据共享背景下，数据主体的医疗数据可携权与控制者的医疗数据使用权协同共建的角度进行规则设计。而且，现行法上诸如有关医疗数据的概念定位、权利构造、实务应用等都缺乏明确详实的规定，因而有碍医疗数据可携权与使用权的学理讨论与实践适用，亟须进一步阐释与明晰具体路径。故此，本文将数据可携权与数据使用权的协同共建置于医疗数据共享场景中展开分析，通过厘清两者的具体内涵并细化各项权利行使要素，明确医疗数据在流通过程中数据可携权与数据使用权在“二元权利架构”之私权激励范式下的相应内容，以及公私法协同规制的必要配合。以此助力医疗领域数据权益保障的具体落实与高效流通，并希冀为数据共享在其他领域中的实现提供借鉴。

二、作为权益客体之医疗数据的本体论考察及其流通困境

现代广义的医疗行为不仅包括诊疗性的医疗行为，而且包括对健康问题以及潜在健康问题的预防（比如体检和日常身体监测）为目的的医疗行为。通过该医疗行为所收集的数据集合借助例如人工智能大模型的分析处理，可以起到优化诊疗方案、促进药物研发、改善公众健康和增进公益等积极效果，需要合理界权与激励共享。

（一）医疗数据的本质属性与特征

我国《民法典》第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”就此，数据及其衍生产品具有作为私法权益客体而受保护的现行法依据。基于数字时代医疗行为的多目的性，所以本文采取宽泛意义上的医疗数据概念，其不仅包括直接的疾病综合诊疗数据，亦包含间接的健康与医疗服务、管理等过程中产生的数据，即健康医疗数据，并兼具个人数据（信息）、公共数据和商业数据的多重混合属性。由于常常与个人信息（目前我国主要由《个人信息保护法》调整）的概念范围有所交叉，故可被视为是一种混合数据。因此，本文拟将信息统称为数据，并将医疗健康信息的携带、传输与使用等权益统称为医疗数据可携权或使用权。作为权利客体医疗数据的特点主要体现在以下几方面：

第一，医疗数据具有无形性与海量的特点。一般每日有成千上万的患者及其亲属到医疗机构的各个科室就诊、陪诊或检查，所以这些机构成年累月所掌控的数据量巨大。第二，医疗数据具有更高的个人隐私性，并常与个人信息（私密性）相互交织，具有敏感性。相较于其他如交通数据、金融数据，医疗数据的人格权属性更为明显，既有来源于医疗卫生机构基于个体身体状况的疾病诊疗、健康筛查、监控记录等直接就医诊疗数据，又包括个人在与保险公司、医保局、医药与医疗器械公司、医疗检测机构、网络平台等医疗机构与媒介交往过程中产生的间接数据。第三，医疗数据具有集成化利用的商业价值。例如，就医学用途而言，一方面有利于医生基于更精准详细的数据库作出研判，全面掌握患者信息，提升诊疗水平；另一方面有助于目前的医药科研，研发机构通过数据大模型的精准分析，容易实现成果突破，攻克疑难杂症。当然，医疗数据商业化利用的“副作用”在于，可能造成个人医疗敏感信息泄露问题与患者个人信息权益受损的不利后果。之所以存在此类涉医疗数据侵权的案件，原因在于没有明确的规则依据，容易导致相关权利人为牟利而违规、违法利用数据集合行为，应予以警惕并提前通过制度设计而避免。第四，医疗数据的管理与利用还具有促进社会公益的特性。改善社会公众的疾病预防与治疗是医疗数据在大数据应用中的一项重要目标。特别在紧急情况下，需要出于公益目的，对医疗数据的控制权进行限制性例外规定。因而，在医疗数据共享过程中需要更高的技术安全保障与更明确的治理规则设计。

（二）逻辑前提：医疗机构对数据的事实控制与医疗数据流通困境

如果仅仅是医疗机构自我利用其管理的医疗数据资源并不需要法律的赋权，因为它们凭借技术手段与管理措施形成事实控制即可实现数据资源的内部使用。据此，医疗数据赋权要解决两个核心问题：其一，医疗机构可以对抗第三人不法获取和使用医疗数据，并合理排除不法侵害；其二，激励医疗机构向前来就医的患者个人、社会提供医疗数据，促进数据有序开放和共享利用，即构建医疗数据社会化利用的合理秩序。正如任何具有驾照和道路安全准入资格的车辆付费后才可进入高速公路一样，具有相应医疗资质和符合安全标准的医疗机构或相关单位都有合理使用医疗数据的权利。甚至有学者从实现医疗数据最有效利用的角度出发主张，在平衡好患者个人、社会和公共利益前提下，提倡在法律上将医疗数据的财产权直接配置给医疗机构，并称为“医疗数据控制者权”。

具言之，医疗数据按不同主体以及不同的使用目的，以客体可控性为线索，在实践中大致有如下两项分类：第一类是与数据主体所直接关联，为临床诊疗需要个体主动向医疗机构提供的个人医疗数据。具体可以表现为患者的就诊记录、检查检验报告、CT数据、医疗影像资料、电子病历、既往病史、家族遗传病史等。比如患者前去医院就诊，在医生开出治疗方案之前其需要做相应检查而产生的数据。这些医疗数据往往也属于个人信息，需要进行匿名和去标志化等特殊处理后才能商业化利用。第二类是由医疗机构经过长期筛选与积累而形成的海量医疗数据信息，并与第一类数据一起由该机构所管理，进而形成事实控制。出于医学研究目的，医疗机构在筛选样本时有严苛的入选标准和排除标准，可能聚焦于某类病患群体，以及须符合特定条件后才能纳入收集范围，所以这类经过加工并具有特定科研目的的数据（集）应有更加广泛的使用可能。

但是，目前医疗数据流通由于数据安全方面的考量而存在困局。若这些与个人信息绑定的数据被不当利用或泄露，数据主体则可能遭受人格方面的歧视或者人格利益的损害，从而导致医疗数据的“不敢用”现象。通常，以医院为代表的医疗机构在实践中是海量医疗数据的收集者，其搜集的并不局限于某一患者的数据，而是某一区域不分性别、年龄、民族的大量医疗数据，甚至某些大型公立医院所搜集的医疗数据可以涵盖数省乃至全国。这些医疗数据具有充分的样本代表性因而具有较高的科研与商业价值。尽管可以大致明确医疗数据的搜集者是医疗机构，使用者是科研机构或者药企、公司等，但当前医疗数据保管者、利用者以及监管者之间的权属定位都不明晰，致使掌控大量数据的医疗机构很难在医疗数据的流通中合法获益。

加之，大数据技术具有所谓“4V”特点，即规模庞大（Volume）、生成快速（Velocity）、模态繁多（Variety）和价值呈现（Value），但质量不一。基于人工智能大模型开发应用中的安全保障义务方面考虑，若自我控制或安全防护义务未充分履行，不仅将导致健康医疗领域医疗产业、组织及个人信息的泄露，而且会影响国家数据安全和引发数据主权冲突的风险。为规避风险与确保合规运营，实务中常常出现数据管理者不能共享、不敢共享医疗数据的问题。如此信用风险负担在源头上直接阻滞了医疗数据的流通，其潜在价值未能被充分挖掘和发挥。这进而逐步导致医疗数据孤岛化、市场失灵等风险，并影响病患就医，加剧医患关系的紧张。故而，根据医疗数据的特征和人工智能大模型技术的特性，亟须与现有规则、应用场景相结合，在规范层面进一步构建与明晰激励医疗数据共享的具体路径。

因此，医疗数据凸显的公共价值属性构成其在实践流通与利用层面的坚实基础，医疗数据保护的动因源自其在形成和控制过程中的成本投入。尽管现行法框架下难以通过直接对医疗数据设置所有权的方式达致保护目的，但在制度设计层面对医疗机构控制数据的事实也应当予以尊重，例如可通过间接赋予控制者以使用权的方式实现财产权益保护与利用的激励目的。

（三）社会公益维度医疗数据共享的正当性基础

群体利益大于个人（隐私）利益，即从社会公益维度考量，管理机构负有医疗数据的公益优先保护义务。公益优先原则是公法确切地说是行政法学理论的基本构成，是国家行政机关乃至其他行政权行使主体存在的基本依据，也是其行使各种行政权的最终合理性标准，更是行政权介入私人领域的最为根本的遵循。据此，一方面管理机构出于公益目的而访问利用医疗数据具有正当性，另一方面也应承担随之而来的医疗数据公益优先保护义务。虽然权义复合型规则是国家机关组织和活动的准则，但对于医疗数据共享而言，数据流通过程中更为务实的做法应是更加注重公益优先保护义务，防范基于履职调取和使用相关数据的行为对医疗数据公益造成损害。因而在法律技术上其规制思路也具有两面性，比如可通过授权性规则设定医疗数据访问权，通过义务性规则保障医疗数据公益。

仅是个体医疗数据的流通难以促进医疗技术的进步，更较少涉及数据安全的问题，但随着数字网络技术的发展迭代，海量的医疗数据通过大数据分析技术，成为医疗研判与创新越来越重要的组成部分。因而，医疗数据不能也不应该仅保存于医疗机构的数据库之中，其应当“活起来”，即通过合理的规则设计使得医疗数据可以在医疗科研领域流通乃至进行商业化利用。故此，医疗数据可携权作为整体医疗数据共享机制建设中赋权激励的“第一步”，具有从“0”到“1”的跨越性意义。譬如，有学者从数据可携权的权利演进与法律构造入手，认为在其诞生之初就被赋予促进数字经济繁荣的使命，在围绕学理的主要争议与比较法考察后，主张数据可携权的本土化构建。故此，本文旨在探究通过医疗数据可携权以及后续医疗数据使用权的赋权构建，合理访问、传输各个医疗机构所控制的医疗数据，并最终促进数据流通与增进社会福祉。

第一，医疗数据往往具有很强的社会属性，如果不能促进其流通，不但会造成医疗数据的浪费，还可能阻碍医疗技术的进步，即科研方面医疗健康数据的研究对于社会整体而言至关重要，它的广泛利用有助于提高研究的透明度、权威性、效率，以及创新的可能性。基于社会公益而广泛获取健康数据有助于激发公众参与，更好地实现全球医学界对数据的挖掘、利用和流动，并提高初始数据的价值。由于非营利性的例外限定，在实现疾病治疗、传染病预防等公益性目标时，可避免医疗数据控制者对所掌控的医疗健康信息的不规范使用。同时，人工智能大模型技术使得医疗数据的集成化分析应用成为现实，即原先碎片化的医疗数据经由量的积累和结构的优化，实现了质变与增值。医疗信息的大数据分析技术应用不仅有助于减少误诊的概率，提高就诊效率，且在药物研发方面能有更多作为。譬如，在医药科研中通过人工智能的数据预测分析解决更紧迫的医学难题，改善药物疗效，为新药研发提供临床积累的数据，进而有益于新药的出产。

第二，医疗数据的社会属性还体现在对作为数据主体之病患健康权与人格权益的尊重，从而促进相关医疗数据在不同医疗机构之间的流通。如上所述，医疗数据蕴含个人隐私信息与人格利益，根据我国《民法典》《网络安全法》《个人信息保护法》等法律的规定，医疗数据流通一方面存在孤岛化的风险，另一方面也存在侵犯公民隐私权的风险。就此，有美国学者提出，应当授予病患对其医疗数据享有财产权以确保后续的商业化利用，即医疗数据主体享有出售其数据或许可受信任中间商作为代理人与希望使用其数据的第三方进行交易的权利，此外还要保障政府能够出于公共健康及研究的目的而无偿、便捷地访问与获取该目标数据集合。显然，医疗机构与患者之间的健康医疗数据共享，是最简单的一种双边共享形式。这种模式可以发生在数据提供者和数据搜集者之间，例如医院和患者之间，医院通过诊疗服务对患者的医疗数据进行搜集。但问题在于，就医通常不会仅局限于某家医疗机构，作为数据主体的患者及其亲属是否有权将这些数据携带至另一家就医单位，即在法律上体现为医疗数据可携权的实践适用与否？若此，不仅能给患者及其家属就医带来便利，也能提高医生的接诊效率。

显然，在医疗数据共享机制的建设过程中，就个人医疗信息保护而言应秉持目的明确原则、限制利用原则；而对海量的医疗数据的利用则应坚守合理使用、综合赋权激励原则，即从相关医疗数据单一维度财产权直接赋权的不足到双向合力赋权的改善以及行为规制辅助的考量，再到医疗数据使用权、可携权与访问权之间利益平衡的实现。就此，医疗数据可携权、使用权的协同构建可起到一定的制度激励作用。另需指出，医疗数据共享所引发的问题与链条式相关问题，其不仅限于医疗机构内部，而且涉及整体社会公共福利的提高。

三、医疗数据流通赋权激励的路径选择及其展开

医疗数据流通赋权保护的理想逻辑进路应是基于数据使用全生命周期而展开分阶段的链条式保护。也就是说，首先是在前端原始数据产生环节的赋权激励，特别是私法层面的赋权激励，其更具经济、制度维度的激励效果。譬如，一是实践中医疗数据可携权的原点在于原先患者借助物质载体就其个人医疗病历与影像资料等数据的复制权；然后在数字化的背景下，通过终端电子设备与网络再将个人数据在不同的医疗机构抑或管理机构之间进行携带与流转。二是“堵不如疏”，通过在医疗数据控制者层面设置医疗数据使用权的方式，使得掌控海量数据的医疗机构具有使用这些数据（集）的合法性基础，进而实现社会福利最大化视角下医疗数据商业化利用与共享的机制构建。其次是在中端医疗数据交易流通环节的合同交易规则与相关监管机制的完善。最后是在后端，比如形成医疗数据池之后，重点在于安全层面对于衍生型医疗数据之合理访问利用的规则设计，就此或可考虑公私法的协同治理。

（一）医疗数据共享的法理基础与价值取向

通常，疾病诊疗过程中医生需要结合患者的基本信息、曾经的用药史、诊疗历程等完整的信息记录与依据，才能给予精确的治疗。故而，医疗数据共享乃技术发展趋势与社会实践需求之所共同企盼，是应然事实，但问题在于如何有效且安全地共享？“过犹不及”，在医疗数据有效流通与就诊者个人信息保护之间找到平衡是关键，因而需要进行合理的制度路径选择，且在医疗数据共享的情境中应当区分情形对待。一方面，基于作为数据管理者的医疗机构维度，如此权利架构与设计不仅有助于疾病诊断治疗的判断，而且是医学科研过程中数据规范化利用的重要保障。与此同时，医疗数据使用权作为医疗机构所享有的权利，常常需要合理的权限赋予才能实现高效利用数据集合的目的。医疗数据的使用权对应的是私权激励理论框架下的劳动财产权理论与功利主义理论的协同作用。据此，可实现对医疗机构所收集的、作为劳动成果并具有财产性利益之数据集合的适当保护。另一方面，基于作为数据主体的患者维度，数据可携权在医疗领域的适用可增强公民对个人健康医疗数据的控制，不仅可以减少数据泄露事件的发生，而且通过公开透明的制度规范设计能明晰侵权情形发生后的救济路径选择。同时，医疗数据可携权对应的是私权激励理论框架下人格权理论和自然权理论的具体演绎。在就医诊疗过程中赋予数据主体以数据可携权是对人与生俱来所具备之自由权利的演绎，且是以健康权为代表的、作为社会人之自然权利的集中表达。加之，这种追求自由的权利具有普遍性，也即行为主体的财产权主张只有在能够与任何其他人的自由实现普遍性地共存时，才是有效的。

诚然，私权的自由并非绝对，私法自治原则的落实也需要具体利益情境的依托与合理限制。比如有学者将私法所调整的利益关系分为两类，即私权主体之间的利益关系，以及私权主体之利益与国家利益的关系；对于后者而言，私法仅具有消极维护的功能，旨在着力避免民事主体的利益安排损害国家利益和社会公共利益。另有研究者基于社会群体维度认为，应将医疗数据中所蕴含的隐私权从个人主义转移至群体层面去考量，尤其是考虑到个人隐私与公共健康利益的平衡关系，个体具有对健康医疗数据共享的社会义务，即作为个体的数据主体在群体的健康利益面前，应当就私人属性的自身隐私权益作出让渡。

（二）医疗数据可携权激励范式的规范依据与学理逻辑

从法律层面到规章制度层面，我国现行法上已可大致寻得医疗数据保护与合理利用的规范依据。一是在宏观立法层面，例如《民法典》第1004条规定：“自然人享有健康权。自然人的身心健康受法律保护。任何组织或者个人不得侵害他人的健康权。”且该法第1035条就个人信息处理中应当遵守的原则与要件作出详细列举。同时，作为特殊法之《个人信息保护法》的第45条明确规定了个人数据可携权，即自然人享有关于自身个人信息的查阅权、复制权、更正权、删除权等。在合法原则、正当原则、必要原则的总框架下，必须征得数据主体或其监护人的同意，明确数据处理的目的、方式和范围，不得违反法律规定和当事人的约定，公开处理且不得过度处理。二是在微观实操层面，有《电子病历应用管理规范（试行）》等的指导，例如该法第8条要求，电子病历使用的术语、编码、模板和数据应当符合相关行业标准和规范的要求，在保障信息安全的前提下，促进电子病历信息有效共享。尽管如此，现有关于医疗数据共享激励的规则仅是较为粗糙的框架性规定，欠缺体系性保护指引，特别是医疗数据可携权相应权利内涵的准确定义与构造。

首先，“数据可携权”的规范意涵源自欧盟，梳理欧盟法的相关规定有助于厘清医疗数据可携权的规范依据与内涵。比较法上欧盟《通用数据保护条例》（以下简称GDPR）正式确立了“数据可携权”这一权利概念，而数据可携带权是基于“个人数据具有可流转性”这一理念基础之上（GDPR序言第68条）。也许是考虑到数据可携权的内在张力及其实践适用难题，欧盟立法解释工作组为该法第29条制定并修订了《个人数据可携权指南》，进一步解释该概念。同时，目前欧盟与医疗数据治理直接相关的法律《欧洲健康数据空间条例》（以下简称EHDS）”,旨在让欧盟公民能即时以电子形式访问自己的健康数据，且无需付费。即，患者情况摘要、电子处方、化验结果和出入院报告等健康数据将以通用的欧洲格式提供，可与患者所在国或跨境的医疗专业人员共享。立法论维度，EHDS是对GDPR、《数据治理法》《数据法》和《关于在欧盟全境实现高度统一网络安全措施的指令》（以下简称NISDi-rective）等普适性有关数据治理规范的补充，其为卫生健康部门提供了更多量身定制的规则。

其次，医疗数据可携权的学理基础是基于数据利他主义，其是指数据主体在不求回报的情况下，为科学研究或者公共服务等公共利益，自愿同意处理与其相关的个人数据，或者其他数据持有人自愿允许使用他们的非个人数据。其中，数据可携权的内涵集中体现在GDPR的第20条。一方面，在技术可行的情况下，数据主体有权请求将这些数据（集）毫无阻碍地传输给另一控制者，且数据必须以结构化、常用和机器可读的格式提供，进而使得数据集合更标准化和便于流通；另一方面，为降低其他企业的市场准入门槛，以及便于其对目标数据集的访问和利用，被请求的原始数据控制者也有义务为数据主体免费提供数据转移、传输服务。但该条也保留了数据可携权适用的三种例外情形：第一，该权利仅适用于数据控制者保留的数据。如果数据主体根据GDPR第17条行使其被遗忘权，则不能同时转移该数据（集）。同时，已匿名化且不可识别的个人数据也无法“携带”。第二，数据可携权的行使不应对他人的数据权利产生不利影响。个人数据通常涉及多个数据主体，若数据主体请求“携带”的数据可能侵犯他人隐私，数据控制者则可拒绝其请求。第三，数据可携权的运用不得妨碍数据控制者对公共利益的维护，即触及公共利益或符合法律规定时，数据可携权应当受限；即便第三方已同意数据主体将涉第三方数据转移至新平台，在数据移转过程中第三方的数据权利也受保护。

再次，有关数据可携权的构建问题近年来在学理讨论上虽然观点各异，但都较为认可赋权模式，并大致有以下几类：一方面，本体论上认为数据访问权和数据可携权存在内涵联系，前者通常是后者成立的前提和基础，即数据可携权是在数据访问权基础之上对个人数据保护的衍生和强化，而在权能实施上可通过访问权得以实现。另一方面，方法论上就如何赋权问题仍有争议。其一，我国有学者以开放银行为视角切入认为，数据可携权是一种有限的、相对的权利，其权利边界和客体范围需审慎把控，且其实现具有一定的技术难度，可采取分行业分阶段的方法来逐步引入数据可携权。其二，有学者基于私法赋权的“三权分置”理论以及医疗机构对医疗数据的控制事实认为，医疗数据法律制度建设的必然趋势是从行为规制模式转向赋权模式，该模式不仅能够满足医疗数据流通激励的现实需求，而且是构成医疗数据场内与场外流通交易的基本前提。其三，有国外学者基于数据商业化利用的商业秘密保护情境，从财产权视角主张，通过商业秘密保护，数据主体不仅享有对数据持有者的排他权，还享有对第三方的排他权；在法律地位上数据主体还享有其相关数据集合的访问权、使用权，以及产权理论维度的转让权。基于此，初步构成在个人数据层面有关数据可携权的学理基础与保护的逻辑架构。

最后，需明确数据可携权的主体地位是可以转让的。换言之，财产权理论视域下数据主体还享有许可转让权，即数据主体的地位符合构成财产权主体的核心标准。因此，为解决用户与平台之间的用户锁定（locked-in）问题，私法赋权势在必行。立法论上例如受上述GDPR规定的“数据可携带权”的影响，我国《个人信息保护法》上也确立了基于人格利益的信息可携权。但应指出的是，单纯私法维度以个人主义为中心所设置的医疗数据隐私保护机制不仅难以为个人隐私保护带来实质性的成效，甚至还可能会限制医疗数据利用的多元价值实现。因而，有必要在确保隐私利益的基础上就数据存储、循环流通环节医疗数据可携权与使用权的协同共建展开讨论。

（三）医疗数据使用权激励范式的合理构建与适度展开

近年来，我国学界与实务界已经意识到数据的重要性，且都希望其在现有或未来的制度内有合理的安排与定位，特别是在数据市场交易失灵抑或失序时，处理好激励制度的选择问题难以避免。因此，其一就有目前私法框架内具有强保护立法表达的“数据财产权论”，其倾向在法律上认可相关权利主体以行使财产权的方式，实现对数据在社会经济活动中的占有、使用、收益与处分等权益。其二是基于数据利用效率原则的“数据控制权论”，其主张基于经济效率而设立数据控制和使用规则，进而创设有利于竞争且相对能控制数据使用权的权属。其三是复合型保护的“数据‘权利束’论”其认为商业数据是各种利益的集合体抑或是一种权利块体系。其四是制度创新型保护的“商业数据权论”，这是基于商业数据所体现的与知识产权的“近亲属”关系而将其对标现行知识产权制度，即作为一项“新型知识产权客体”而独立赋权的提法。但现有保护进路均有不足，且存在制度创新失败的风险，仍需基于具体的数据实践利用场景以及司法实务来讨论数据法律保护的范式问题，这在医疗数据商业化利用场景中亦然。

同时，目前学理上数据商业化利用的规则构建正从所有权范式向使用权范式转变，即以“数据使用权”为核心的激励模式讨论逐渐成为主流。例如高富平指出，数据持有者之所以可以开启数据流通之门，是基于对数据的事实控制而享有的数据使用权，即数据流通的本质是数据的使用许可。就此，医疗数据的归属与利用在逻辑上也不例外。一方面，医疗数据来源者权利（医疗数据可携权）不属于医疗数据使用权范围；另一方面，医疗数据使用权主体包含医疗数据生产者、控制者、经营者及基于公益取得法定授权的主体。故而在主体地位相对明晰的前提下，需重点关注医疗数据的权属配置与利用规则的构建，但目前单一医疗机构的数据使用与医疗数据资源配置问题面临现实矛盾。因此，在医疗数据共享现实需求的正当性基础之上，当前的紧要任务在于如何有效地将使用权配置给相关医疗数据的持有者，而且基于价值衡量应当保证动态化平衡视阈下法律赋权、意定授权等方式的有序结合。

首先，医疗数据共享有助于社会群体创新。譬如，通过在有关医疗科研行为中医疗数据的拓宽使用与大数据分析，不仅有助于医疗领域的创新，而且有助于改善诊疗效果、推进药物研发以及便于诊疗等。有国外研究者就此指出，应当从数据集合的权利人与监管者两种视角分别进行观察与规制：一是应该确保医务人员所供职的医疗机构享有所收集数据的后续使用权利，二是不仅要依法准许有利于竞争的医疗信息数据的公布，而且出于前述维护公共利益的需要，应进一步规范数据信息披露的例外情况。同时，也应当顾及一些特殊情形，比如用于诊疗目的的辅助生殖技术中精子库与卵子库的信息、冷冻胚胎，以及胎儿信息等具有人格利益和隐私的数据信息应当属于有限共享范畴。因此，在我国后续医疗数据使用权规则的构建过程中有必要从这两种视角的平衡加以考察。

其次，从长远看，医疗数据使用权的构建有利于实现数据主体的个人利益。通过医疗数据使用权在数据流通过程中的落实适用，加上人工智能大模型等技术的加持，上述无疑有助于加速相关药品的研发以及医生诊疗措施的改善。这些医疗条件的进步会惠及社会公众个体的身体健康状况改善。至于有关个人隐私的健康医疗数据共享问题，一方面应坚持基于数据主体个人信息隐私权的考量而不随意公开，另一方面须坚守我国法语境中对相关数据主体的（影响）“最小且必要原则”，而允许经由匿名化处理后的医疗信息数据流入数据市场。

最后，基于确权激励维度考量，明确相关医疗数据的权属规则后，有利于其在数据市场的流通使用与数据商业化利用。在积极赋权方面，无论是就宽泛数据集合之模糊性的数据访问权模式构建，还是对于高质量数据产品之相对确切的知识产权保护模式选择等，都是在数据使用权框架下对数据合理使用规则的具体设计。同时，在消极防御方面，例如出现相关数据市场失灵情形时，有必要以“必要基础设施”为原则，来获得比如反垄断法干预层面数据交易之强制许可的正当性。因此，医疗数据的适度共享在制度激励层面确是数字经济发展的内在要求，但应注意公开流通的边界划定。

总而言之，一方面，基于医疗数据所体现的人格利益与个人信息保护，可通过较为典型的赋权激励机制之医疗数据可携权与使用权的构建，以此提高医疗机构运营效率和组织生产效率，创造外部价值，并实现数据共享的“溢出效应”。另一方面，基于社会整体福祉、群体创新、个体的长远利益以及数据市场发展等方面的考量，医疗数据亦具有经济与社会属性，通过赋予相关医疗机构数据使用权的方式促进医疗数据的商业化利用。笔者认为，未来更为合理有效的数据共享局面的形成需要两者合力，即可将这两种模式协同共建，并通过动态化平衡视阈下法律赋权、意定授权、行为规制等方式加以实现。

四、公私法交融视阈下医疗数据共享的机制构建与路径规划

如前所述，作为医疗数据共享的核心激励机制，医疗数据可携权和使用权的协同构建与路径选择问题亟须回应，且逻辑上应进一步关注的是对该权利架构如何具体设计与有效落实。诚然，单纯从私法维度来看，该“二元权利架构”的搭建由于受到私主体间的信息不对称、界权路径不清晰、市场失灵等挑战，难以实现医疗数据共享机制的完全有效运转，更为优化的路径或许是外部监管的介入，即以公私法联合共治为连接点推进医疗数据共享。

（一）私法维度数据可携权与数据使用权协同共建模式之展开

以高效共享为目的，通过共同构建医疗数据可携权与使用权而形成合力的方式进行合理制度赋权，从而基于私权激励的法理逻辑促进医疗数据要素的使用与流通。本文主张医疗数据可携权与使用权的协同建构与保护之“二元权利架构”，即主要通过对数据主体与管理者合理赋权与机制改善的方式来实现相关医疗数据的合法安全流通。其目的是围绕医疗数据共享的私法激励与规则设计而保障社会公众在疾病防治、健康管理等过程中的就诊便利和健康权益保障，从而促进整体社会福祉的改善。诚然，医疗数据“二元权利架构”之构造因需要顾及社会公众公正享受医疗利益，在利用过程中无法抹去其社会公共福利属性，从而会涉及有关公法规制方面的问题。例如有研究者明确指出，单纯依赖私有化或公有化难以有效应对数据治理的复杂性。因而从制度成本维度考量，比如在制度构建、标准设置、基础设施完善等方面可借鉴现有的国家基本医疗保险制度构建。就此，医疗数据公私法联动治理模式应运而生。

1.医疗数据“二元权利架构”搭建的必要性与可行性

仅靠医疗数据采集或汇集平台无法真正解决实现数据资源变现问题，为此必须让数据驱动的医疗人工智能技术与应用落地，同时从源头上以良好的数据治理范式解决数据持续问题、质量问题和安全问题。为此，有必要在医疗数据利用的初始阶段先明确有关其赋权以及如何赋权等机制架构的要点问题。

第一，知情同意与默示许可等制度工具是医疗数据“二元权利架构”搭建的前提要件。一方面，医疗数据可携权是数据主体在就医与健康养护过程中所必需的权利。一是要考虑数据主体能否允许或禁止他人使用相关医疗数据（集）；二是其自身能否自由使用与转移这些数据等问题。另一方面，通过数据主体知情同意与许可（包括有偿、无偿、默示许可）等规则的实施，使得医疗机构可以使用权为依托对医疗数据再利用。例如有学者指出，“患者作为数据来源者，享有知情权和相关数据权益；医院作为数据持有者，享有初始使用权，用于诊疗和院内管理；如此，既保护数据来源者的合法权益，又激励数据持有者和使用者积极参与，形成数据流通与价值实现的良性循环”。另外，将医疗数据可携权赋予患者，而使用权在医疗数据后续加工利用过程中赋予机构单位，可撇开作为中间者的医生，进而可一定程度上缓解医患纠纷问题。

第二，数据信托理论可作为医疗数据可携权与医疗数据使用权协同共建的理论基础抑或连接点。其本质是集体治理，即通过集体同意、集体运营、集体维权，实现对所汇集的大量个人数据的集体治理。数据主体将他们的数据汇集起来，集中交给一个信托机构管理，通过信托章程规定数据共享的条件，信托机构代表数据主体与数据使用者进行谈判，维护数据主体的隐私、安全和利益。就我国医疗数据场景中的受托主体而言，国家卫生健康委员会以及地方各级卫生健康行政部门或可承担代表民众利益并管理民众数据权益之“善良管理人”的角色。譬如，这些机构中的规划与信息化部门就可负责今后医疗数据商业化利用的信用托管与监督事务。若此，则无需过多变更现行法规或新设管理机构，而且卫健委部门有相对成熟的监管机制，能应对实践中各种特殊情况。

第三，医疗数据“二元权利架构”的搭建需要依靠数据池的共享平台操作才能得以实现。即，医疗数据共享不仅需要符合条件的比如通用化、结构化、机器可读格式的数据集合，还应当建立医疗领域的数据通用标准，进而构筑起互联互通的医疗数据传输系统与平台。比如，世界经合组织发布的《关于加强数据访问和共享的建议》呼吁增强数据生态系统的信任，提升数据访问和共享的有效性与责任性。就此而言，医疗数据池应是一个为满足这种信任需求的典型平台载体，其以开放化的数据交易与保障安全的流通理念进行规则构建。在具体制度设计上可以类比知识产权维度专利池的设计与构建，或可借鉴现有图书馆之间的数据库访问规则。至于具体的许可费用标准，则可参考法定许可制度在标准必要数据作为数据基础设施情形中的适用。

2.医疗数据“二元权利架构”的具体衔接与路径构建

一方面，医疗数据可携权与使用权衔接之“二元权利架构”的组成主要包括以下三个方面内容：第一，“二元权利架构”下的医疗数据权益主体多元，不仅包括自然人也包括法人。“二元权利架构”下的医疗数据的权益主体是医疗数据的使用者，主要包括以下四大类：一是医疗机构，它具有数据的控制权与访问权，既可以由该机构自己使用，也可以许可他人使用；二是相关管理机构，它是在行使必要监督职权时需要访问相关医疗数据；三是有关商业主体，它具有目标医疗数据的访问需求；四是就医人员，其对自身人身相关的数据也具有访问需求。其中，有必要区分公主体（管理监督机构）与私主体（其他平等主体）对相关医疗数据的携带、访问需求。另外，还应当通过现有的医疗联合体模式，强化各级与各区域医院之间的合作，例如利用不同层级合作医院之间已有的帮扶计划，在原有合作框架基础上增加相应的数据共享协议内容。第二，“二元权利架构”下的医疗数据权益客体具有无形财产权属性，部分客体如前述亦符合知识产权客体的保护要求。即经由匿名化加工处理后医疗机构所持有的少部分医疗数据集合产品，若符合独创性的要求，则可适用知识产权制度的保护。譬如，部分符合条件的医疗数据产品还可申请获得数据知识产权登记证书作为权属证明。第三，“二元权利架构”下医疗数据权益内容所涵盖的范围包括对医疗数据的采集、访问行为，医疗数据信息的提供、携带、传输行为以及对这些数据集合再创作等行为的调整，它们亦构成医疗数据可携权与使用权的范畴。

另一方面，医疗数据可携权与使用权衔接之“二元权利架构”的权益实现与路径构建应以患者同意原则为前提，基于诊疗、科研、临床试验等合理医疗健康目的而逐步开展制度构建。例如，部分具有一定独创性和智力成果属性的医疗数据（产品）的权益保护可类推适用《著作权法》的相关规定，其中含有财产权与身份权两个面向的区分。一是含有个人身份信息隐私部分的署名权、公开权，以及修改权等人身权；二是信息结构层维度的复制权、信息网络传播权，以及改编权等财产权。然后，该法对应的法定许可与合理使用等制度在权利的运行过程中亦可适用。同时，在“二元权利架构”实现的具体方式上，特别是对于一些标准治疗必要的医疗数据（集），则可考虑由数据平台所牵头形成的“医疗数据池”模式，进而通过法定许可与意定许可的方式，实现有偿使用与无偿使用的法律效果。另外，利用这些数据集合产生的科研成果并产生收益时，部分收益应当由数据池中的其他成员共享，并提供后续的无偿访问。当然，费率比例如何分配可考虑标准必要专利许可中FRAND原则的类推适用，并可结合医疗数据授权许可的具体场景。

进言之，基于医疗数据（集）属于无形财产的特殊性以及类推适用的法理逻辑，譬如可借鉴现有无形财产权的共享机制——专利池（Patent Pool）的相关规则。专利池本质上是一种由专利权人组成的专利许可交易平台，平台上专利权人之间进行横向许可，有时也以统一许可条件向第三方开放进行横向和纵向许可，并由专利权人决定许可费率。可以预见，今后“医疗数据池（联合许可）”平台上各权利人之间也将存在许可费率制定问题。就此，一是可在前端设立医疗数据池管理组织负责审核具有相关医疗资质的单位或机构的准入资格；二是在后端对这类数据池进行监管。卫生监督机构、卫生行政管理机构、市场监督管理机构、国家网信部门、公安部门、国家安全部门等其他相关机构在满足特定的安全、监管条件下，可实时访问目标医疗数据池，并对数据池的运营状况等展开调查，即通过提高运行过程的透明度，从而缓解显失公平的许可费率现象。对此，人工智能技术背景下“医疗数据池”对数据的聚集并不应只停留在物理层面的简单收集，更应体现在内容逻辑上的互联。

3.以高效共享为目的之医疗数据利用私权激励论

数据共享行为具有提高效率、鼓励创新、增进消费者福利等促进竞争的积极意义，但在一些情况下，经营者也会通过数据共享行为聚集大量数据，达成垄断协议、获得市场支配地位并滥用或实施排除、限制竞争的经营者集中，从而损害市场竞争秩序和消费者福利。医疗数据不共享或不合理共享，会衍生出医疗机构数据锁定效应下的数据垄断现象，即所谓“医疗数据孤岛”现象，其蔓延有碍公众健康医疗福祉。具言之，第一，这种现象不仅给患者及其家属就医带来不便，也影响医生的接诊效率。第二，医疗数据壁垒的构筑，数据交易难度加大，增加信息成本与交易成本。第三，医疗科研数据的不共享有损社会有益创新。例如，不利于药企的药品实验的开展与推进。第四，医疗数据不公开透明也不利于卫健委等医疗监督机构对医疗机构的监督管理工作的开展。另外，医疗数据共享具有国际条约层面的正当性基础。譬如，我国已加入的《与贸易有关的知识产权协议》（以下简称TRIPS）第39条第3款规定，“成员国需保护以临床试验数据为代表的医疗数据，防止不公平的商业使用与限制以公众健康保护为目的的共享”。据此可知，TRIPS不仅并未要求数据独占性，而且出于公共健康考虑呼吁数据共享，并鼓励成员国通过国内法律提供相应保护。

同时，实践中患者、医疗健康企业、生物医药公司等相关医疗数据的需求者具有医疗数据高效共享的迫切需求。根据现有统计调查研究，虽然目前医疗数据属于我国各地平台累计下载数量最高的十类数据集之一，但医疗机构的利用数据集在全国各地方平台的开放比例多在40%以下。因而，数字经济背景下当前亟须合理的规则引导，以促进医疗领域的数据要素资源共享与有效利用。

就此，基于数据治理之洛克的劳动财产理论与霍菲尔德的“权利束”理论共同考量，私法维度的赋权激励是较为直接的法律逻辑进路。同时，医疗数据共享情境下的赋权主要包括两个方面的权益，一是医疗数据主体对相关数据的访问权，二是医疗数据控制者对相应数据集合的有限排他权（包括在其上实现占有、使用、收益与处分的权能）。其中，医疗数据在各数据控制者之间的流通如前述以医疗数据主体的同意（包括事先默示同意）为原则，进行医疗数据共享的构建。基于此，一方面扩张了数据主体访问权的范围，也包括不同数据存储媒介之间的数据可携权；另一方面限缩了医疗数据控制者的控制权范围，至少就与医疗数据主体相关的健康信息原始数据而言，其不可行使完全的排他权。

（二）公私法联动视域下医疗数据的分级分类保护之赋权激励与行为规制

我国《民法典》第110条规定：“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。”基于前述，由该条衍生出的医疗数据可携权具有公私法二重属性，既有我国民法上的重要权利体现，也有宪法维度上的基本人权彰显。该权利的主体为自然人，而并未对企业、法人的数据保护进行明确规定。对标现有个人信息数据保护机制，构建类似于法律主体对个人数据的控制权。相较而言，医疗数据使用权更注重数据市场化与商业化利用的考量，更偏向私法维度的调整，特别是部分数据集合能落入知识产权制度的保护范围，但需注意的是其在具体利用过程中的分级分类处理。就此，例如我国在有关水利数据处理过程中按照数据基本属性及所属水利业务进行分类的已有经验值得借鉴。

“二元权利架构”下医疗数据利用问题复杂，在具体赋权激励与行为规制上应突破单纯的私法抑或公法适用而综合衡量。进言之，医疗数据权益具有复杂的权利结构，在权利主体、权利内容和规范对象三个方面融合了财产权、隐私权和健康权的不同面向，体现出个人信息保护维度显著的公私法客体交融特征。当涉及医疗数据权益之具体实施时，应当考虑分级分类处理（见表1），且技术上可以基于医疗用途目的进行标注，例如对于部分普通且不重要的检查检测数据可以赋予数据主体更大自主处分权限，而对于部分特殊且必要的检查数据则应基于需求方的诊疗目的而予以限制。

表1 分级分类视阈下医疗数据商业化利用四级机制

一方面，私法赋权维度可通过医疗数据“二元权利架构”搭建促进数据的流通利用与公开访问。部分医疗数据（集）类似于知识产权的特殊权益，例如其上的人格利益至少应予以尊重，实践中目前《个人信息保护法》无论是以匿名化的方式还是个人事先许可原则的落实，都是对这一权益事实的认可。同时，因医疗数据的利用具有社会公益属性，如遇公共健康紧急情况，应当强制许可并豁免相关医疗数据的保护要求。在特定情况下，需要通过对私人权利的限制确保医疗数据的流通，比如可类推适用著作权法上的法定许可制度构建等方式来实现医疗数据的商业化利用与共享。

另一方面，通过公法行为规制的视角切入，而非单纯私法上的权利构建。例如，有学者指出，反垄断法仍然是用以纠正被扭曲的竞争、保障数据可访问性并规制数据共享之唯一适用的一般性法律。基于《反垄断法》第13-15条的规定，通过具体制定数字领域反垄断指南，为医疗数据池共享行为的促进竞争效果和反竞争效果进行衡量并提供有效指引，从而对医疗数据池的组建、运行和发展以及相关执法提供一定的参考。同时，考虑到医疗数据池的复杂性，在评估医疗数据池共享行为的竞争效果时，应在一般垄断协议之分析框架的基础上，重点分析该数据池成员间竞争关系、数据池的开放程度、共享的数据种类、约定的分析工具以及相关消费者损害等因素。另外，今后在医疗数据池内数据公平共享的规则完善过程中，应当着重于使用费率的具体量化标准制定以及新成员加入的资格条件审核等事项。总之，公私法联动视域下应以医疗数据高效共享为完善目标，逐步实现医疗数据权益保护与行为规制利益平衡的法秩序塑造。

（三）健康数据空间维度医疗数据高效共享的多方共促

有关“健康数据空间”的提法源自前述欧盟新近出台的EHDS。相较于过往扁平化单一的数据保护，数据空间具有（立体）结构性，包括行业结构、地域结构。基于该维度，医疗机构在医疗数字基础设施的支撑下，联合上下游产业的力量，以技术为依托全面探索生活服务领域的数字化与智能化。这不仅能明显提升服务质量和效率，而且能显著改善患者或消费者的就医体验，是一个更大、更有价值的技术发展路径。目前，欧盟就个人健康医疗数据最核心的监管框架依然是GDPR，具体的规范描述与具体实施则由EHDS实现。譬如，欧盟GDPR第9条对健康医疗数据作为“特殊类型个人数据”进行了特别规定。又如，英国的UKB处理个人健康医疗数据时，就通过目的测试、必要性测试、平衡测试三项测试来证明其符合GDPR第6项规定的“为追求合法利益而必要的处理”之合法性基础。在此基础上，通过伦理审查、严格匿名化及动态退出等机制，在确保参与者权益的同时从更宽阔的健康数据空间视阈考量，将医疗数据的科研价值最大化。

诚然，数据携带权与使用权“二元权利架构”的公私法联动适用仍有局限性，我国今后还需要从数据空间维度着手，对医疗数据的保护与利用进行多维治理。其一，在经济层面，应当通过上述数据信托理论的落实，例如对大型医疗机构组织采取适当措施，以限制其反竞争的效应出现。特别是在急诊、妇儿、肿瘤、辅助生殖等多个依赖大数据应用且关乎民生的医疗领域。其二，在法律层面，通过赋权激励与行为规制并重的公私法协同治理之方式，在确保医患隐私权与医疗机构的知识产权等权益基础上，实现医疗数据商业化利用的合理路径构建。新近颁布的《卫生健康统计工作管理办法》第15-25条已有关于医疗数据收集、使用、保管等事宜的规定，是朝着正确目标迈出的第一步。但笔者认为，今后更为务实与有效的做法是，逐步推动出台专门的医疗数据管理办法。其三，在技术层面，应首先解决医疗数据共享之互操作性受阻所面临的技术困难，比如在技术上进一步保障医疗数据池的构建与降低因网络效应而产生对其他主体构成的进入壁垒。最终，多管齐下实现健康数据空间中医疗数据的高效共享。

结语

我国既有的政策法规提倡对数据进行分层分类保护，即分层次分类别进行规则设计。数据可携权通常有助于强化数据主体对个人数据的控制，并在一定程度上减轻数据垄断，从而促进数据的自由流通和共享。数据使用权则是数据商业化利用以及实现其财产属性的必要界权路径。如上所述，二者在医疗数据领域的协调落实具有现实必要性。充分利用医疗大数据所带来的发展契机，不断促进慢性病、癌症、罕见病等医疗数据信息流通，不仅惠及西医治疗、药品研发行业，而且在中药、针灸、理疗等传统中医领域也会带来新的机遇。其间，明确的规则指引与合理的激励机制构建无疑会提高医疗数据共享的效率，但医疗数据共享的私权激励作用在涉及公共利益的衡量时仍显局促，还需从数据治理维度着手，对医疗数据的保护与利用进行公私法的协同治理考量。因此，以私法层面构建医疗数据可携权与使用权“双管齐下”的方式为主，并辅以健康数据空间数据治理维度公私法“双向奔赴”与联动协调保护，才能实现以医疗数据高效共享推进数字基础设施建设的效果，从而共促数字健康中国的长远目标。

来源：上海市法学会一点号