医疗数据知情同意存短板 分阶段机制设计解实践困境

在“健康中国 2030”与人工智能医疗加速落地的背景下，医疗数据成为数字医疗产业的核心资源，可商业化利用中的患者知情同意权，却长期存在诸多现实漏洞。我们团队在进行大学生创新创业训练计划项目研究中，针对医疗数据商业化合规痛点，原创提出分阶段知情同意规则，力求平衡数据产业发展与个人隐私保护。

我国虽已出台《数据安全法》《个人信息保护法》等法规，为医疗数据使用筑牢法律基础，但落地实操中仍有一定缺陷。我们通过政策梳理、案例剖析、实地访谈与问卷调查发现，当前知情同意规则体系零散、缺乏精细化设计，多数企业采用“一揽子概括同意”，患者往往在未读懂条款的情况下被迫授权，对数据流向、使用场景、自身权利全然不知。

图 1平台强制同意现象问卷数据分析

我们以各家企业为典型案例展开分析，大多企业积累海量健康数据并开展商业化应用，但其隐私协议条款晦涩、授权范围模糊，还存在“不同意则无法使用服务”的强制条款。患者签署协议后，数据后续流转、商业使用全由企业主导，个人知情权与选择权形同虚设。

图 2某隐私协议内容示例

调研中我们还发现，近七成患者不会仔细阅读医疗知情同意书，近七成协议充斥专业术语，普通人难以理解。数据撤回、个人数据可携带权等核心权利，在协议中也鲜有清晰说明，个人信息保护仅停留在纸面。

图 3 问卷调研数据图

图 4 实地调研图片

此外，医疗数据商业利用与科研利用边界模糊、数据匿名化与去标识化界定不清、个人数据可携带权难以落地等问题，进一步加剧了数据滥用、隐私泄露的风险。我们深知，医疗数据兼具高度敏感性与产业价值，照搬普通数据的知情同意模式，既无法守护患者权益，也制约数据要素市场化流通。

针对这些行业痛点，我们融合个人数据可携带权理论，构建了覆盖收集、利用、流转全流程的分阶段知情同意规则，破解“一次签字、终身授权”的顽疾：

收集数据时用通俗文字，以可视化形式明确告知，患者签署隐私政策授权，授权范围严格限定在合理场景内；

数据使用时，若用途和场景不变，沿用原有同意即可，若用途变更，必须重新告知并征得患者同意；

数据流转给第三方前，企业提前告知流转对象和风险，患者在规定时间内不反对视为同意，同时保留合理撤回权。

这套规则借鉴了欧盟、美国、日本的监管经验，参考不同知情同意模式，又贴合国内医疗数据商业化实践，用差异化同意机制平衡患者权益与企业合规效率。经实证验证，该模式能显著提升患者对授权条款的理解度，有效减少强制授权、模糊授权带来的权益侵害。

接下来，我们将结合医疗机构、企业、患者的多方反馈，优化规则落地流程，完善实操规范，为医疗数据商业化安全发展提供理论支撑与实践参考，助力人工智能与医疗卫生融合发展行稳致远。（康数规治大创团队）