1. 首页
  2. 行业动态
  3. 政策解读 | 医疗衍生数据的产权配置

政策解读 | 医疗衍生数据的产权配置

  • 发布于 2026-03-22
  • 2 次阅读

将原始数据开发利用形成新的数据,是挖掘数据要素价值的一种典型方式。就像对原油进行精炼与加工,生产出汽油、化纤、药品原材料等。相比于原油,石油产品的价值更大、用途更广,数据也是一样。从鼓励数据融合创新的角度,应明确支持各类主体从数据中创造出更有价值的数据,开展基于数据的实质性、差异化创新,开发创造衍生数据。这些衍生数据的产权应当如何配置?

生成政策解读图片-uRUC.jpg


从“谁的数据”走向“谁对何种数据享有什么权利”

在医疗健康领域,真正困难的问题,已经不是“原始病历要不要保护”,而是:原始数据经过清洗、标注、特征提取、模型训练、聚合分析之后形成的新数据,究竟应当怎样配置权益。现行政策给出的方向并不是把这类数据简单物权化、绝对化地问成“归谁所有”,而是转向“结构性分置”——围绕数据资源持有、加工使用、产品经营三个环节,按照不同主体的投入、贡献与场景进行组合配置。2022年“数据二十条”明确提出建立“数据资源持有权、数据加工使用权、数据产品经营权”等分置的产权运行机制,并强调“共同使用、共享收益”;2026年国家数据局的政策解读进一步强调,这一制度的核心是“谁对什么数据有什么权利”,并遵循“谁投入、谁贡献、谁受益”的原则。

就医疗行业而言,这一问题尤为敏感。国家卫健委《医疗卫生机构网络安全管理办法》已经明确,医疗卫生机构网络数据不仅包括临床、科研、管理等业务数据和个人信息,也包括“数据衍生物”;同时,医疗卫生机构对本单位网络安全管理负主体责任,并应当与信息化建设参与单位书面约定各方义务和违约责任。换言之,医疗衍生数据并非“监管空白地带”,而是从一开始就被纳入医疗数据安全与责任体系之中。

一、核心逻辑:医疗衍生数据不等于原始医疗数据,但也不当然脱离个人信息法规则

讨论医疗衍生数据的产权配置,第一步必须先把“原始医疗数据”与“衍生数据”区分开来。依据《个人信息保护法》,个人信息是与已识别或者可识别的自然人有关的信息,不包括匿名化处理后的信息;而“医疗健康信息”属于敏感个人信息,原则上只有在具有特定目的、充分必要并采取严格保护措施时才能处理,通常还需要取得个人单独同意。个人还享有知情、决定、查阅、复制、更正、删除、撤回同意等权利。由此可见,患者对原始医疗数据首先享有的是人格性、程序性与保护性的权益,而不是一种可以无限处分的“财产权包”。

但医疗衍生数据也不能被一概视为“与个人无关”。《个人信息保护法》同时区分了“去标识化”与“匿名化”:前者只是降低直接识别性,后者则要求“无法识别特定自然人且不能复原”。因此,许多所谓“脱敏后的临床科研数据库”,在法律上往往仍然只是去标识化数据,而不是已经完全脱离个人信息保护规则的匿名化数据。只要仍可借助额外信息回链到个体,或存在较强重识别风险,相关数据就仍处于个人信息合规边界之内。

所以,医疗衍生数据的本质,不是“从患者那里再切出一块新的所有权”,而是在合法持有的原始数据基础上,经由清洗、治理、标注、算法训练、场景验证等投入形成的增量性数据成果。它与原始数据的区别,主要体现在四个方面:一是识别性降低甚至消失;二是用途从诊疗记录转向科研、训练、决策支持或经营服务;三是价值来源不再只来自原始记录本身,而来自治理、算法、算力、规则和场景验证的复合投入;四是其流通方式往往不再是原始数据转移,而是以模型、报告、标签体系、数据服务等形式实现价值。这个区分,正是“数据加工使用权”与“数据产品经营权”得以成立的逻辑前提。

二、法律属性界定:医疗衍生数据更适合纳入“三分权”而非单一所有权

从现行制度看,医疗衍生数据更适合放进“数据三分权”框架中分析,而不宜硬套传统单一所有权模型。“数据二十条”明确要求根据数据来源和生成特征,界定各参与方在生产、流通、使用中的合法权利,并承认、保护依法或依合同取得的数据加工使用权,以及经加工分析形成的数据或数据衍生产品的经营权。2026年国家数据局解读还特别指出,持有权、使用权、经营权可以由同一主体同时享有,也可以分散配置给不同主体,甚至同一份数据的同一项权利也可由多个主体同时享有、互不排斥。

据此,医疗衍生数据至少可以分为两类。第一类是“内部利用型衍生数据”,例如特征库、标签库、训练样本集、风险评分中间结果等,这类成果更接近数据加工使用权的客体,重点在“谁能加工、在何种场景加工、是否可以继续迭代”。第二类是“对外供给型衍生数据”,例如科研数据库服务、群体趋势报告、模型接口、辅助决策服务、核验服务等,这类成果更接近数据产品经营权的客体,重点在“谁有权许可、交易、服务化输出以及获得收益”。

至于训练完成的医疗人工智能模型参数,其法律属性通常不宜简单理解为“患者个人信息的集合”,也不宜机械认定为医疗机构对原始病历的自然延伸。更稳妥的理解是:模型参数属于在合法数据处理基础上形成的技术性、衍生性成果,其权益保护更接近“数据产品经营权+技术秘密/商业秘密+合同控制”的复合结构。现行《反不正当竞争法》将“不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息”等界定为商业秘密,这为模型参数、训练方案、特征工程和调优规则的保护提供了重要法源基础。

三、产权配置模型:患者保有人格性控制权,医疗机构掌握合规与持有中枢,科技企业取得受限的加工与经营权益

在医疗衍生数据场景下,最合理的结构不是“患者—医院—企业三方共同共有”,而是“三类客体、三类权利、三方分层配置”。

首先,患者是原始医疗信息所指向的自然人,应当保有个人信息法上的基础性权利边界:知情、同意或基于法定事由处理、查阅复制、更正删除、撤回同意、对自动化决策提出说明请求等。但患者并不当然成为每一份衍生数据、每一个模型参数、每一份群体趋势报告的共同财产权人。否则,不仅交易成本极高,也会把人格权益保护机制误作财产分割机制。更符合现行法的做法,是把患者定位为“原始信息权益主体”和“合规授权边界的决定者”,而不是默认的“衍生产品共有权人”。

其次,医疗机构通常应当处于数据资源持有权与合规控制权的中枢位置。原因在于:原始病历、影像、检验、护理、随访等数据是在医疗机构履行诊疗和管理职责过程中形成并被其合法持有;医疗机构又承担行业监管下的数据安全主体责任,并对外部技术参与方负有书面约定义务和监督义务。因此,医疗机构不仅是“数据提供方”,更是“数据秩序维护者”。在多数场景下,医院应当享有原始数据及受控衍生数据库的持有权,保留访问审批权、脱敏规则制定权、质量控制权、再识别风险控制权和收益分配中的基础份额。

再次,科技企业并非只能充当“受托加工者”,也不应被排除在衍生数据权益之外。只要企业是在合法授权、限定场景、可审计边界内,通过算法、算力、工程化、模型架构、产品化和市场拓展作出实质性、差异化投入,其对衍生数据成果取得数据加工使用权,乃至依合同取得数据产品经营权,具有充分政策正当性。真正应当被限制的,不是企业对衍生成果的收益权,而是其对原始医疗数据的无限复制、留存、再流通和逆向识别能力。

因此,更可操作的配置公式是:患者保有人格性和程序性权利,医疗机构掌握资源持有与合规闸门,科技企业取得受限的加工使用权,并在完成实质性创新后取得约定范围内的产品经营权;收益则按照数据供给、临床标注、治理清洗、算法研发、场景验证、合规投入、市场拓展等因素综合分配,而不是仅按“谁先接触到原始数据”一刀切。

四、分场景看:三类典型医疗衍生数据的权益边界并不相同

场景A:经脱敏后的临床科研数据库。
这类数据库最容易被误判。实践中大量“脱敏”数据库,法律上仍可能只是去标识化数据库,而不是匿名化数据库。因此,其最稳妥的定位应是:医院保有数据资源持有权和准入审批权,科研团队或科技企业依据协议取得限定目的、限定期限、限定环境下的数据加工使用权;除非达到真正匿名化且再识别风险得到实质控制,否则不宜把整库直接视为可自由交易的商品。对外能经营的,通常不是原始记录集合本身,而是围绕该数据库形成的科研服务、分析服务、受控调用服务或标准化数据产品。

场景B:训练完成的医疗人工智能模型参数。
模型参数通常已经不是临床原始记录的简单复制品,而是基于训练活动形成的技术成果。因此,科技企业原则上可以主张对模型参数及其服务化输出享有较强的数据加工使用权和经营权益;但如果模型训练高度依赖医院提供的高质量标注、场景反馈和持续迭代验证,医院就不应只拿“数据入场费”,而应通过共同开发协议取得联合使用权、联合经营权、收益分成权甚至特定场景下的优先使用权。另一方面,模型并非当然“合规脱敏”:网络数据安全管理条例已经要求生成式人工智能服务提供者加强训练数据和训练数据处理活动的安全管理,若模型存在记忆训练样本、泄露个体信息或可逆推样本特征的风险,其产品经营权就会受到合规性约束。

场景C:群体性健康趋势报告。
这类成果在三类场景中最接近数据产品经营权。只要报告基于合法来源、统计聚合、风险可控的群体分析形成,且不针对可识别个体,其核心价值已经从“记录个体”转向“表达群体规律”。在这种情况下,医疗机构通常应保留数据来源审查权和发布合规审查权,科技企业或研究团队则可以对报告产品、分析服务、订阅服务等主张较强的经营权益。患者个人一般不对报告本身享有份额式财产权,但其个人信息权益仍通过前端授权规则、匿名化要求、伦理审查与用途限制获得保护。

五、制度建议:防垄断、防失控,同时给开发者稳定预期

从政策设计看,医疗衍生数据制度的关键,不是把所有人都变成“所有权人”,而是建立一套既能防止数据垄断,又能保障开发者稳定控制权与收益权的规则体系。

第一,应当坚持“原始医疗数据原则上不裸流通,衍生能力和衍生产品优先流通”。“数据二十条”已经明确提出审慎对待原始数据的流转交易,并倡导在保护隐私和安全前提下,以模型、核验、服务等形式实现数据价值。这一思路尤其适合医疗领域:应鼓励“原始数据不出域、数据可用不可见、模型入场训练、结果受控输出”,而不是鼓励病历、影像原图、检验明细的大规模可下载式交易。

第二,应当把合同治理做成真正的“权利切分工具”。对于委托处理、联合研发、平台撮合、可信数据空间、模型共训等不同模式,必须分别写清楚:谁持有原始数据,谁能复制留存,谁有训练权,谁有再训练权,谁有对外许可权,谁负责匿名化与安全评估,谁承担泄露或再识别责任。现行规则已经要求向其他处理者提供、委托处理个人信息和重要数据时,通过合同约定处理目的、方式、范围和安全义务,并保存处理记录。这意味着,医疗衍生数据权益配置的核心工具,本质上不是抽象宣示,而是高质量合同。

第三,应当防止医疗数据资源被少数主体以独占方式长期锁定。“数据二十条”强调降低数据获取门槛、强化反垄断和反不正当竞争;2025年修订的《反不正当竞争法》也进一步加强了对数据、算法、平台规则等妨碍竞争行为的规制。对应到医疗领域,对稀缺的临床场景数据、专科高质量标注资源和真实世界验证资源,不宜形成排他性、无限期、全场景的独占授权,而应推动非独占、分用途、分期限、分层级授权,避免把公共利益浓厚的数据资源永久私有化。

第四,应当把患者收益反馈做成“程序性保护+公共利益回流”,而不是简单按样本分红。现行法更重视患者的知情、同意、限制处理、查阅复制、更正删除等权利,并没有建立“每个患者对每个衍生模型参数按份分成”的规则。医疗行业更可行的路径,是通过伦理审查、患者告知、透明披露、成果回流、诊疗服务改进、公益基金、费用减让等方式实现利益反馈,使患者获得真实可感知的回报,同时避免把医疗创新陷入逐样本清分的制度高成本。

结语

归根到底,医疗健康衍生数据的产权配置,不应走向“患者绝对所有、医院绝对控制、企业只能代工”这三种极端,而应在“数据三分权”框架下形成更精细的秩序:患者守住人格性和程序性边界,医院守住合法持有与合规治理中枢,企业获得基于实质性创新的加工使用权与产品经营权。只有这样,才能既守住医疗数据安全与个人权益底线,又真正把高质量数据集、临床科研数据库、AI模型参数和群体趋势报告转化为可持续的创新能力与产业能力。