健康医疗数据的规模大、增速快，且医疗病例信息化的储存要求较高、占用储存空间大。面对海量资源，如何唤醒“沉睡”的健康医疗数据，避免大量健康医疗数据的浪费？如何通过对健康医疗数据的有效治理，保障高敏感性、高隐私性健康医疗数据的安全性？如何将健康医疗数据的使用标准整合统一，通过标准化有效规避风险、促进数据治理的规范化？以上问题的解决，除了需要建立完善的法律规范体系，还需要将这一系列法律和制度有效地实现。自 20 世纪 60 年代起，以美国为主的西方国家已陆续开始走上医疗信息化之路——对庞大的健康医疗数据进行整合、共享，从而有效避免医疗资源的浪费。本文通过分析国外的相关治理经验，立足本土健康医疗数据治理实践，力求探寻中国特色的健康医疗数据标准化治理路径。

一、 行政法视角下健康医疗数据标准化治理的必要性

（一） 对数据治理层面：发挥健康医疗数据的流通价值

在“对数据治理”层面，标准化的必要性在于发挥健康医疗数据的流通价值。我国健康医疗数据治理的特点和难点就是规模大、增速快。一方面，随着医疗机构信息化程度的提升以及“互联网＋” 传统诊疗行为的融合，健康医疗数据囿于结构化程度高，在收集、储存上具有先天优势。据《2023年中国健康医疗大数据行业全景图谱》相关数据，我国 2015—2021 年健康医疗数据的应用市场规模从 18.67 亿元增长到 212.56 亿元，预计 2028 年将达 1 500亿元。

另一方面，健康医疗数据具有高敏感性和高隐私性，其应用的安全性、合法性常常受到质疑，这直接导致了大量数据资源的浪费。换句话说，虽然健康医疗数据的数量巨大，但在流通和使用上还比较薄弱，并未发挥其应有价值，与互联网、金融、IT等新兴行业的数据应用水平差距不小。据统计，美国每年的医疗费用财政拨款最少5万亿美元，而通过分析使用健康医疗数据可节省医疗开支3 000亿~4 500 亿美元。以我国2023年全国财政医疗卫生支出2.4万亿元为例，参考以上比例估算，若能有效发挥健康医疗数据的作用，可节省医疗开支 2 000 亿元左右。医疗行业的数据流通中，对数据的一致性往往提出更高要求。为了实现数据流通和共享的无障碍，必须大力推进健康医疗数据的标准化、规范化治理，以最大限度地发挥出健康医疗数据的潜在价值。

（二） 用数据治理层面：提升健康医疗数据的治理效能

在“用数据治理”层面，标准化的必要性在于提升健康医疗数据的治理效能，为建设健康中国、推动健康卫生事业高质量发展提供强有力的技术支撑和制度保障。健康医疗数据标准化的设计目标就是要使数据利用规范、可控，建立一套稳定、统一的健康医疗数据应用体系和治理框架。

2022年11月发布的《“十四五”全民健康信息化规划》作为健康医疗数据信息化发展的指导性文件，深刻指出了要健全全民健康信息化标准体系，尤其是加强标准应用推广和深化标准服务管理两方面。《国家健康医疗大数据标准、安全和服务管理办法》（试行）规定，国家卫生健康委员会（含国家中医药管理局，下同）会同相关部门负责统筹规划、指导、评估、监督全国健康医疗大数据的标准管理工作。通过贯彻落实《中华人民共和国标准化法》，加强大数据标准化顶层设计，逐步完善标准体系，明确标准的价值定位，改善标准的运行环境，最终达到“健康医疗决策科学化、社会治理精准化、公共服务标准化”的大数据驱动国家治理目标。

二、 我国健康医疗数据治理的实践困境

由于我国巨大的人口基数，每时每刻都在产生大量医疗数据，而各医疗机构之间的医疗病例系统不统一，各个医疗机构之间的患者数据不能进行相互流通，健康医疗数据共享难，对重复数据的清洗和去除也难^[1]。对我国健康医疗数据进行标准化治理迫在眉睫，主要体现在治理规则、治理平台和治理主体三方面。

（一） 我国健康医疗数据治理的顶层设计不完善

2016 年，国务院办公厅发布《关于促进和规范健康医疗大数据应用发展的指导意见》，提出加强健康医疗大数据相关法规和标准体系建设，通过制定和完善健康医疗大数据应用发展的相关法律法规，加强对居民健康数据服务的规范化管理。此外，《中华人民共和国执业医师法》《中华人民共和国传染病防治法》《医疗机构病历管理规定》《国家健康医疗大数据标准、安全和服务管理办法（试行）》等都有涉及健康医疗数据的相关规定，其重要性不言而喻。但从体系上看，我国现有健康医疗数据治理的规范性文件还处于分散、野生状态，未体现专业性与针对性，也未跟上卫生实务的发展步伐。

对健康医疗数据的规范治理，不仅要兼顾制定到实施的全过程，还要贯彻数据生命周期的全过程。我国健康医疗数据治理的实践始终存在“标准过剩”与“标准不够用”的悖论。根本原因在于缺乏对制度生成逻辑、价值定位和运行环境的系统考察。此外，制定的标准要有详细的操作规范。制定详细的操作规范一方面可以识别有害的标准，另一方面能为如何使用这些标准提供技术规范。

（二） 我国健康医疗数据的流通共享程度较低

我国医疗信息化于20世纪90年代才起步，“电子病例”“数字化医学影像”等概念于2002年《全国卫生信息化发展规划纲要（2003—2010年）》中才被首次提出。我国健康医疗数据的流通共享程度较国际水平仍存在差距，尤其需要重视数字平台建设、电子病历应用等方面。

大数据、云计算、移动互联网和5G信息技术不断发展为智慧健康医疗深化应用提供更多可能，但现阶段数据来源、标准、共享不完善成为制约智慧健康医疗产业发展的重要因素，数据平台建设成为智慧健康医疗产业突破发展的关键所在^[2]。美国通过建立全国卫生信息网络（Nationwide Health Infor⁃ mation Network）平台，为不同实体、社区和全国范围内的卫生信息交流创建一个数据共享平台，以促进更有效的市场、更大的竞争和更多的选择，提供关于医疗卫生保健费用、质量和结果的准确信息^[3]。

我国先后确定两批健康医疗大数据试点名单，其实践主要体现在地方层面。各地数据平台的建立有利于数据的有效集成，也为下一步加快地方共享健康医疗数据平台、避免“信息孤岛”现象加剧夯实了基础。虽然我国地方健康医疗数据治理的发展早已起步，但在全国范围看，占比依旧偏低。

（三） 我国健康医疗数据治理主体的耦合性不足

关于数据治理机构方面，我国在 2021 年出台 《中华人民共和国个人信息保护法》时并未设立新的独立执法机构，而是维持“国家网信部门统筹+国务院有关部门各自监管”的现状。实际上，即使新设独立机构也无法根本上解决“九龙治水”的困境。在不同领域，由于监管的专业性和路径依赖，很可能只是徒增一个新名称的类似机构而已。若要解决实际问题，关键在于权责和分工要明确，如美国联邦政府将以医疗健康数据为代表的一些特殊行业交由专门监管机构处理，而剩余的都是由美国联邦贸易委员会（Federal Trade Commission，FTC） 来负责。

中国共产党十九届四中全会首次在中央层面提出数据可作为生产要素按贡献参与分配。近来，各地政府也纷纷响应国家大数据战略并出台相关大数据政策文件，并在开发利用健康医疗数据资源方面进行了很多探索和尝试，以加速推进健康医疗数据治理的实践进程。囿于体制机制、部门数据孤岛、专业人才欠缺以及数据治理成本等阻碍与难点，各地健康医疗数据治理成效参差不齐。面对上述数据治理困境，地方政府纷纷选择与企业合作开发利用政府数据资源，企业参与健康医疗数据治理，二者可以优势互补相互促进，可以预见医企合作将成为未来健康医疗数据治理发展的必然趋势。

在健康医疗数据治理中，数据的收集、共享、开放和使用阶段，都离不开治理主体的协同合作。此外，企业市场准入的标准和界限模糊，“企业—医疗机构”数据监管不到位，“医企合作”内容不公开不透明等，都亟需健康医疗数据治理中医疗机构和企业的耦合性和契合度有待进一步提高，形成健康医疗数据的协同治理格局。

三、 美国健康医疗数据治理标准化的经验借鉴

美国在健康医疗数据治理方面具有较成熟经验，不仅针对健康医疗数据建立了专门监管机构，还构建了一套较为完整的治理规则体系。以应用广泛、影响深远的《健康保险流通与责任法案》 （Health Insurance Portability and Accountability Act， HIPPA）、《经济与临床健康信息技术法案》（Health Information Technology for Economic and Clinical Health，HITECH）、卫生信息交换标准（health level7，HL7）为例，从推进医疗健康数据规范有序、安全稳定和便捷高效方面，为我国健康医疗数据治理的标准化构建提供参考和借鉴。

（一） HIPPA为电子健康档案制定国家标准

1991 年，美国卫生部以简化管理，降低医疗开支为目的，成立专项小组研究电子数据交换问题。 HIPPA 立法目的在于使美国工人在跳槽或失业后更容易继续享受健康保险。此外，该法还力图保护患者的病例记录等个人隐私，为电子健康记录传输设立统一标准等。通过加强信息共享，提高美国医疗保健系统的效率和质量^[4]。

在推动电子病历的同时，HIPPA加入了相关规定来保障个人受保护健康信息（protected health in⁃ formation，PHI）（健康档案）的安全性和隐私性，PHI 是指能够识别患者或当事人身份的任何统计数据，包括姓名、地址、电话号码、社会保障号码、病历、财务信息等。HIPPA分两类对象适用，分别是医疗机构和商业伙伴（包括第三方咨询公司、IT 技术提供者、传真公司、电子健康档案平台等）。在美国，医院、健康计划部门、保健服务商、相关票据交换所、医疗信息系统提供商、医科大学甚至只有一个内科医生的办公室等所有涉及医疗保健的机构中，对任何形式的个人健康保健信息的存储、维护和传输都必须遵循HIPPA的安全条例规定^[5]。对于违反HIP⁃ PA 安全条例的行为，可以处以最高为 25万美元的罚款和最长为10年的监禁。

HIPPA 的隐私规则是关于患者获得 PHI 的权利、医疗服务提供者拒绝使用PHI的权利、使用和公开内容等的国家标准。HIPPA 的安全规则是为安全维护、传输和处理电子健康档案（EPHI）制定国家标准。

（二） HITECH为电子健康记录设置认证框架

随着2009年HITECH的颁布，HIPPA得到了进一步补充和完善。HIPPA和HITECH共同建立了一套联邦标准，旨在保护PHI的安全性和隐私性。HI⁃ TECH 法案旨在从 PHI 向电子健康记录转型升级，并为此制定了新法规和新项目。新法规包括建立医疗保险标准，确保电子病历功能、安全性和互操作性的认证以及建立起电子健康档案的初步标准^[6]。新项目包括分配 6.43 亿美元建立区域健康数据科技服务中心进行政策推广，分配5.64亿美元支持国家项目进行健康信息交换，分配1.18亿美元支持专业人员培训等。

HITECH法案关于有意义地使用电子健康记录的框架如图1所示。HITECH法案致力于实现有意义的电子健康记录的使用，并将其作为改善医疗卫生系统绩效的途径。电子健康记录的有价值使用，取决于电子健康记录的采用以及为交换健康医疗信息而发展的安全和专用途径，而这些都是由HITECH法案倡议支持的。第一步，扩展地区试点和对员工进行专业培训，开始启用电子健康记录；第二步，针对医疗保险和医疗补助，建立奖惩制度，凸显电子健康记录的实用意义；第三步，设立国家健康数据共享补助金、设置一套标准和认证框架、构建隐私和安全框架，促进健康数据的流通共享。通过以上方式的综合利用，能有效提高对健康数据技术的研究，最终达到改善人口健康结果、提升治理透明度和效率、实现有意义地使用电子健康记录。

（三） HL7为医疗健康数据提供标准体系

HL7标准是国际公认的最常用标准。HL7作为标准化的卫生信息传输协议，允许医疗领域不同应用之间进行电子传输、数据交互，旨在开发和研制医院数据传输协议和标准，降低医院数据系统信息交流的成本，提升医院信息系统之间数据共享的程度。HL7 在美国的电子病历系统中应用较为广泛^[7]。由于 HL7 标准在不同的系统间可以进行数据转换，在实验室数据交互、注册和预约信息、住院床位转换、医生信息更新等场景均有涉及。

在HL7通信协议中，消息是数据交换的基本单位，并以此自动生成消息。HL7标准分为四类，其中第一类“初级标准”（包括系统集成、互操作性和遵从性等）被认为是最常用和最受欢迎的类别。HL7 包含标准规范的完整生命周期，包括开发、采用、市场识别、利用和规则遵守，形成了一套相当完备的标准体系。

四、 我国健康医疗数据治理标准化的实施路径

以美国健康医疗数据治理标准化为借鉴，通过分析HIPPA、HITECH以及HL7，发现其数据管理政策法案之亮点在于重视构建规范有序、开放透明、便捷高效的标准化治理体系。结合我国健康医疗数据的治理实践，织牢“数据铁笼”，织密“制度铁笼”，具体实现路径包括形式标准化、内容标准化与协同治理标准化。

（一） 形式标准化：顶层设计层面规范有序

1 . 加快大数据重点标准研制

一方面，加强对重点领域标准的研发。以大数据的发展需求为导向，建立一整套覆盖数据、技术、平台、工具、管理、安全和应用的大数据标准体系^[8]。加快基础通用国家标准和重点应用领域行业标准的研制。另一方面，加强对重点国家标准的研制。开展数据资源分类、开放共享、交易、标识、统计、产品评价、数据能力、数据安全等基础通用标准以及工业大数据等重点应用领域相关国家标准的研制。

2 . 加快重点标准的推广

通过实施大数据重点标准研制及应用示范工程，加快重点标准的推广。简单来说，就是选择重点行业、领域、地区建设标准试验区，通过局部“先试先行”，积累经验后再向全国推广。美国于2004 年即提出要在 2014 年建立国家卫生信息网络（na⁃ tional health information network，NHIK）的规划，通过国家层面引导和示范、地方层面自行规划的模式，推动了美国医疗信息化、规范化发展。

“先行先试—普遍推广”也是我国健康医疗数据治理的实践基础。可根据实际情况先建立初步标准，进行试验后，再根据实际实施情况进行完善，待标准成熟后再做推广。如国家卫健委按照“1+5+ X”的总体规划，组建以国有资本为主体的三个健康医疗大数据集团，确定了江苏省（南京、常州）、福建省（福州、厦门）、贵州省（贵阳）、山东省（济南）、安徽省（合肥）为东西南北中五大医疗健康大数据区域中心试点省市。五大医疗健康大数据区域中心分别承担国家健康医疗大数据中心、区域中心、应用发展中心和产业园建设等国家试点工程任务，旨在通过 3～5 年发展探索，有效消除数据资源壁垒，打造国家健康医疗大数据中心，最终形成试点省市的辐射带动和示范引领效应，成为相关政策制度创新先行区，提升医疗机构治理能力和治理水平。

3 . 推进与国际标准化工作的衔接配套

要进一步加强我国大数据标准化组织与相关国际组织的交流合作，推进我国相关单位参与国际标准化工作，使我国标准化工作与国际标准化工作衔接配套。通过担任相关职务，承办国际标准化活动等扩大影响力，提高我国标准化的国际地位。此外，加强与社会组织的交流合作。如增进与卫生保健组织 （health care organization）等的合作，确保标准的适用性和可操作性，保障标准可在全国范围内使用。

（二） 内容标准化：规范管理环节

1 . 建立数据信息资源目录标准化体系

推动制定健康医疗数据资源管理办法，建立数据信息资源目录体系。明确“有多少数据”以及“有哪些数据”是数据治理的前提。信息资源用元数据进行描述，多以信息资源目录的方式呈现，通过信息资源目录的编辑，让数据拥有者直观清晰地掌握所拥有的信息资源；数据使用者也可以通过目录发现自己所需要的数据现状，并发出需求申请^[9]。大数据建设中，信息资源目录是资产管理的关键数据，是管理核心，是数据使用者和拥有者之间沟通的主要桥梁。

对信息资源的梳理与编目有助于全面掌握数据资产现状，数据拥有者通过对目录及数据设定相应的访问权限，便可以很好地管理和控制数据资源。再结合大数据采集、处理、存储、传输、分析挖掘、安全保障等各领域的技术实现，便可非常有效地推动数据的共享与开放，实施科学、精准的数据监管^[10]。

2 . 健康医疗数据治理开放标准体系

2018年7月，国家卫生健康委员发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，提出要加强健康医疗大数据服务管理，促进“互联网＋医疗健康”发展，充分发挥健康医疗大数据作为国家重要基础性战略资源的作用。健康医疗数据开放标准化围绕权力运行全流程、政务服务全过程，贯穿于决策、执行、管理、服务、结果全过程。

开放内容标准化。全面梳理健康医疗开放事项，并为其设定具体标准。对于每个具体事项的公开标准，应精确到公开事项的名称、主体、内容、依据等要素。根据实施情况，及时动态调整政务公开事项标准目录。

健康医疗数据服务标准化。在“互联网+政务服务”的新格局下，推进健康医疗数据服务标准化，提高健康医疗数据治理效能，加快转变医疗机构职能，是实现健康医疗机构治理体系和治理能力现代化的必然要求。具体而言，第一，打通部门之间的壁垒。通过“一网通办”等让健康医疗服务标准化、模块化。借助计算机技术实现健康医疗系统内数据共享，同步健康医疗服务相对人提交的证件、材料等相关信息。真正做到“让信息多跑路，让群众少跑路”，从“只跑一次”到“一生只跑一次”等。第二，进一步推进简政放权，削减不必要的行政审批事项。精简行政程序，提高行政效率。以专业性较强的“卫生健康体育委员会”行政审批为例，深化健康医疗行政审批制度改革，推进审批制度化、标准化、规范化建设。

健康医疗数据治理检查评价标准化。健康医疗数据治理的检查评价标准化是治理流程闭环体系里的最后一环，起到总结全流程、衔接新开始的重要作用。通过制定相应的评定标准，对健康医疗数据治理情况进行修正，对于实施后明显未达到预期效果的，公民、法人或者其他组织提出较多意见的，以及治理机关认为有必要的事项进行评价。发现执行中的问题和缺陷后，将评价结果作为反馈，为健康医疗数据治理标准化建设各阶段提供有针对性的改进依据^[11]，从而最终形成一套从决策启动到检查评价再到重新启动决策的良性循环流程（图2）。

（三） 协同治理标准化：提升多元交互契合度

健康医疗数据治理中政企合作的过程应受严格把控，符合程序正义，正当性行政程序不可或缺。

1 . 设置企业市场准入的负面清单

企业参与健康医疗数据治理属于行政许可的一种“赋权”，体现国家和健康医疗机构准许企业进入数据治理领域。从某种意义上说，设置企业市场准入的负面清单，构成了规制法律制度的“要塞”，是对医企合作治理数据行为最源头、最严格的规制。2015年国务院印发的《关于实行市场准入负面清单制度的意见》，就已明确实行市场准入负面清单制度的总体要求、主要任务和配套措施。2018年起全国实行统一的市场准入负面清单是我国走向市场经济的一个重要标志，也大大激发了市场活力。企业参与健康医疗数据治理涉及重大公共利益，其准入规则的设置也可按照负面清单的模式，对参与健康医疗数据治理的企业明确禁止准入类和限制准入类，其余企业皆可依法平等进入^[12]。

此外，在必要时应充分发挥龙头企业和行业协会的作用，加快制定适应本地发展实际和需求的标准，细化质量要求。一方面，适当放宽市场准入条件，降低相关领域的资质准入壁垒，实施公平竞争审查制度，对各种社会资本一视同仁、平等对待，以优化资源要素配置^[13]。另一方面，加强后续健康医疗数据管理服务，以行为规制代替准入壁垒，即健全企业进入后的规制，控制企业数据独裁、数据垄断的风险^[14]。

简言之，出台针对企业参与健康医疗数据治理的新的市场准入政策应当更加审慎。既要防止准入过宽，健康医疗数据治理中过多不具备资质要求的企业进入而产生资源浪费或过度竞争，又要防止准入过严无法调动企业参与共治的积极性。

2 . 推进“企业—健康医疗机构”数据监管体系标准化

企业通过将自身数据接入健康医疗机构监管平台，接受健康医疗机构新模式监管的同时，也为健康医疗公共治理提供决策支持。但实践中，企业与健康医疗机构的数据对接并不十分流畅，企业往往不愿提供数据或者提供不实数据。以滴滴公司拒绝将数据接入健康医疗监管平台为例：在2018年5 月6日、8月24日分别于郑州、温州发生了顺风车乘客遇害事件后，多个城市交通监管部门约谈滴滴公司，要求公司数据尽快接入健康医疗机构监管平台。滴滴公司拒绝提供自身数据的原因主要有两层：一是数据是其重要的竞争力不能随便开放；二是滴滴公司以规模和增长作为公司发展的尺度，在利益驱动下为占据更多市场份额放宽对司机准入的门槛和内部监管，在有效数据进入健康医疗数据监管平台后将使大量不合规网约车面临被清退的危机。造成监管无力的根本原因在于相关立法的缺位以及监管机构的缺位，现有监管网约车的规范性文件如《网络预约出租车经营服务管理暂行办法》，位阶低且未明确涉及“相关监管机构接入网约车数据进行监控”的条文，国家层面的网约车监管机构也未明确对接。

要使企业数据在健康医疗平台真正发挥作用，在推动相关领域立法和建立明确监管机构的基础上，需促进建立标准化数据监管体系。保障数据有统一标准，且真实、合法、有效。这对健康医疗机构实时数据监控也提出了较高技术上的要求^[15]。一方面，可通过吸纳、引进民企专家等形式，保障健康医疗机构要求和企业需求无缝对接。另一方面，由于行业之间“隔行如隔山”，不同领域数据格式、内容、保密程度差异较大，直接与健康医疗机构对接反而不畅。故可依托较专业性的行业协会，开展数据共享的行业相关标准开发、具体平台建设等工作。在各个行业政企数据共享机制建立的基础上，统筹构建国家级医企数据共享机制。

3 . 保障医企合作公开透明

对健康医疗机构行为、企业行为的规制主要从界定双方权利义务入手。而对健康医疗数据开放中医企合作整个行为过程的规制还必须接受相关政府机构、社会公众的监督，避免医企合谋^[16]。阳光是最好的防腐剂，要将医企合作全过程公开透明，实现事前、事中、事后监督全覆盖。明确监管机构以及监管职责义务和权限，防止职责界限不清和交叉重叠，提高监督效率。

参考文献