临床研究大数据流动与共享的法律规制研究

　　摘要：伴随着大数据时代的快速发展，临床研究也逐渐成为其应用的重要阵地‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。然而临床研究者们在具体实践中发现，在现阶段分散的、修补式的法律体系下，临床研究大数据的权属问题尚不明确，尤其是对于去标识化的数据，其保护和规制的范围十分有限‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。虽有一些行业内的软法规范，但不成体系且缺乏统一的标准‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。临床研究大数据作为随科技进步而产生的新事物，其保护与规制也需要进行相应的法律规制。本文从去标识化的临床研究大数据的角度，以机构和国家层面的规制为切入点，探讨其在流动与共享的过程中遇到的困境，并提出在法律规范的制定和软法治理两方面的建议和展望。

　　关键词：临床研究大数据;数据权属;法律规制;立法;软法

　　法律方向论文范文：国内信用证保兑法律关系实例研究

　　摘要:保兑行在进行国内信用证保兑实践时，应该认真解读新版国内信用证结算管理办法中关于保兑的定义，抓住保兑的实质，区分保兑与保证的性质，处理好信用证当事人之间的法律关系，规范保兑的流程管理，在真正履行保兑行义务的同时，合理保障自身权益，促进国内信用证保兑业务的健康发展。本文借助某银行国内信用证保兑业务实例进行分析，梳理国内银行在保兑国内信用证时常见的做法，并对保兑国内信用证在实践环节的法律完备性及流转提出意见和建议。

　　随着人类社会逐步踏入“大数据时代”，世界各国纷纷认识到与医疗相关的大数据资源的重要性，国家、企业、研究机构等逐渐搭建起大数据服务与共享平台，政府也先后出台了大数据战略规划和相关法律规范。目前，临床研究大数据已经开始广泛应用并极大地推动着医学发展的进程。与此同时，与大数据带来的研究优势并存的是一系列对制度的挑战，从个人数据的保护问题，到临床研究大数据的权属问题，再到数据收集、整合、存储、流动、共享、使用和出境中的规则问题，都随着研究和实践的深入应运而生。数据不合规的流动与共享问题层出不穷并引发热议，成为推进临床研究大数据利用与发展的巨大阻碍，受到科技部的高度关注，研究者们亦在研究中探索如何合法合规地开展研究。因此，对临床研究大数据目前面临的困境及其原因进行探讨，进而制定和完善统一的流动与共享规则显得愈发必要和紧迫。

　　一、临床研究大数据的理论基础

　　(一)临床研究大数据的概念

　　大数据确权的首要任务是厘清“大数据”的法律概念。大数据是近年来伴随着云计算、物联网等出现而提出的新概念，让人们得以将注意力从单个数据的价值转向数据整合、整体分析，获取数据中蕴含的价值。我们认为大数据的内涵应该区别于单独的个人信息数据或统计数据等定量数据，而界定为“大量不特定主体的信息存储于电子介质中的外在体现”[1]。

　　健康医疗大数据是大数据中的一类，在《国家健康医疗大数据标准、安全和服务管理办法(试行)》中被定义为“在疾病防治、健康管理等过程中产生的与健康医疗相关的数据”[2]。根据来源的不同，健康医疗大数据可分为医院医疗大数据、生物信息大数据、区域卫生服务平台大数据、自我量化大数据、网络大数据和基于大量人群的医学研究或疾病监测大数据这六大类[3]。本文中探讨的临床研究大数据属于健康医疗大数据中的最后一种，是研究者们在人群基础上通过严谨、有针对性的试验设计，对疾病进行研究或监测获取的大数据。

　　(二)临床研究大数据的权利属性

　　要探讨临床研究大数据的法律规制，应该明确其整个数据生命周期中涉及到的主体及相应的权利义务和法律责任。数据权尚不是法律中已有的概念，肖冬梅等学者在现有研究和各国数据保护立法现状的基础上用素描手法描绘出数据权的基本谱系，按主体将数据权划分为国家数据主权和个人数据权利，分别指向以国家为中心的“公权力”和以个人为中心的“私权利”[4]。对于临床研究大数据来说，国家数据主权包括国家对本国临床研究数据的生成、储存、传播、利用等的管理权，和对本国临床研究数据采取一系列保护措施以防受到监视、篡改、窃取、毁损等危险的控制权[4]。

　　国家对数据的管理权和控制权是国家主权在大数据时代医学研究领域的一种新的表现形式。凡是在本国境内产生或在本国人群基础上产生的临床研究数据，都具有国家数据主权的性质。个人数据权利由人格权和财产权构成②。从数据收集时对目的和用途及后续使用情况的知情同意权，到修改或授权他人修改其数据信息的数据修改权，再到将个人公开数据完全删除的数据遗忘权，数据人格权要求个人能够对其自身的临床医疗数据信息实现自主掌控。而数据财产权是一种新型财产权，当个人临床医疗数据具有经济价值且其权利可以转移时，应当赋予个人在采集、使用中的权利，并拥有可携权和收益权，即具有财产权的属性[5]。

　　但在大数据时代，临床研究数据的资源往往掌握在机构(研究机构、学校、企业、行业协会等法组织)的手中，而不是在个人的控制下。在机构主体层面，临床研究大数据的权属及利用、共享、流动中的规则问题仅通过个人权利说、国家主权说③④是很难解释清楚的。此时的临床研究大数据经过处理和开发，如抓取、分析、加工和处理等智力劳动。这类经过二次加工后的大数据，其产权属于二次数据供给者[6]，形成机构的数据财产权。财产权的规制包含债权、知识产权和物权这三种制度路径，“债权路径”这种契约性质的路径，无法改变大数据产权不明晰的现状，在此不作过多论述。“知识产权路径”目前争议较大，有学者认为数据在经过加工、分析和处理后由于凝聚着数据开发者的智慧，因此具有了知识产权属性，进而可以依照现有的知识产权制度中的保护方法进行保护。

　　知识产权学说在一定程度上弥补了大数据在机构层面的规制空白，但大数据作为一种在科技发展带动下产生的新事物，与传统知识产权的内涵有着本质上的区别。如果只是其满足独创性标准时作为著作权保护，或当其具有经济价值而被企业采取保密措施时作为商业秘密权利保护[7]，是无法覆盖大数据的所有特征的。数据的知识产权定位除了会导致保护不足之外，还面临着与《民法总则》相冲突的问题。

　　《民法总则》(一审稿草案)中曾将“数据信息”列入知识产权范畴加以保护，但经过后续的讨论最终将其移出⑤。由此可见，《民法总则》将数据排除在知识产权之外的，数据的知识产权定位不符合我国立法[8]。而“物权路径”的制度改进成本小且制度负外部性低，只需对现有制度稍加改进即可较好地应对大数据带来的变化[1]。“物权路径”下的数据权利意指权利主体对数据文件本身的占有、使用、收益和处分的权利，当研究机构或企业在患者知情同意的前提下，收集患者数据并经过脱敏处理，将数据与个人之间的法律联系切断，这时数据这一无体物的所有权即让渡给收集数据的机构。但此时所有权与完整的个人数据所有权应有一定的区别，一方面在使用中应以人格权为先，另一方面也要将使用目的和范围限制在知情同意的范围内。

　　本文以临床研究大数据为研究对象，即“大规模人群基础上的临床研究中产生的不特定主体的电子信息”，聚焦于临床研究大数据在机构和国家层面的流动与共享的法律规制问题。因此笔者在数据权基本谱系架构的基础上，加入机构层面的数据权利，对数据权架构进行补充，按主体的不同将临床研究大数据的数据权利分为个人层面的数据权利、机构层面的数据权利以及国家层面的数据主权。

　　二、现有法律制度下对临床研究大数据的规制

　　(一)临床研究大数据法律规制现状概述

　　目前临床研究中涉及数据的行为主要包括数据的收集、整合、储存、上传、分析、共享、流动等，其中数据收集环节涉及个人，机构将收集到的数据进行一系列的技术处理后进行整合、储存和分析，或上传至数据共享平台进行研究数据共享，国家对境内的数据进行管理，保护本国数据在跨境流动的过程中主权不受侵犯。

　　临床研究中对大数据的研究分析往往不涉及个人信息，研究者对收集到的数据会进行去标识化处理⑥，因此临床研究大数据在流动与共享中实际并不涉及个人数据权利的部分。一方面，我国已有多部法律、法规、规章含有个人信息保护相关规范，《中华人民共和国个人信息保护法》也即将提起审议，个人信息即将迎来系统、全面的法律保护，研究者们在数据的收集阶段必须遵照个人信息保护的相关规定已有共识。另一方面，临床研究大数据本身包含“不特定主体”的含义，收集到的个人数据要经过整合、去标识化等处理方可成为真正意义上的临床研究大数据。因此，临床研究大数据在机构和国家层面的流动与共享的法律规制问题更为突出和迫切。

　　我国暂时没有关于大数据在机构层面和国家层面流动和共享的专门立法，主要是以分散的补充性立法间接地进行规制和保护。本文分别从国内机构和国家两个层面对现有的临床研究大数据相关法律规范及软法约束情况进行梳理。

　　(二)机构层面数据流动与共享的法律规制

　　当机构收集到患者个人数据后，即成为数据的实际控制者，研究者对收集到的数据进行保存、处理、分析、共享等操作。机构作为数据的存储平台，首先应严格遵照《信息安全技术个人信息安全规范》中的加密储存要求和“最小授权原则”⑦。当收集数据的机构之间需要进行合作开展相关研究时，数据就会发生流动和共同使用的权属问题‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。依《网络安全法》⑧第42条，经过脱敏去标识化后无法识别个人的数据，可以出于共同研究的目的转移给合作机构。

　　临床研究大数据在脱离个人的基础上，数据行为相对自由，可以不经过单独数据主体的同意与其他机构共享。以临床研究大数据为基础得到的研究成果、知识产权、著作权等的归属问题，依《中华人民共和国科学技术进步法》⑨和科技部《关于国家科研计划项目研究成果知识产权管理的若干规定》⑩中的规定，由项目的承担者所有，合作形成的著作依《著作权法实施条例》,第九条由合作方共有，通过协商一致行使。研究成果依法受到保护，《刑法》-中分别定义了侵犯著作权罪和侵犯商业秘密罪，以此对权利人或机构施行保护。

　　现有法律中适用于机构间研究合作中数据行为的法律法规还较为匮乏，且大多是针对研究成果、知识产权的保护性措施，缺少对数据在机构间流动的规范。目前开展的临床合作研究中，主要是依靠合作方之间签订合作协议等来规范双方行为。对于成果归属、数据安全保护、后续数据应用等，已经逐渐形成了具有共性的规范.。

　　(三)国家层面数据流动与共享的法律规制

　　国家与机构之间的规制，以科技部重点研发项目的任务书为例，该类国家与研究机构之间的任务书属于行政合同。在项目执行期间，各研究机构产生的所有科学数据无条件、按期递交到科技部指定的平台，在约定的条件下对各专项各承担单位，乃至今后面向所有的科技工作者和公众开放共享;成果归属方面规定项目实施形成的研究成果(论文、专著、专利、数据库等)，均应标注“国家重点研发计划”及项目编号资助。同时,在特定情况下,国家根据需要保留无偿使用、开发、使之有效利用和获取收益的权利。项目的各领域课题产生的所有科学数据无条件、按期递交到科技部指定的平台。在专项约定的条件下对专项各承担单位，乃至今后面向所有的科技工作者和公众开放共享。

　　在临床研究中不少项目都有与境外机构的合作，难免涉及数据的境外流动。临床研究大数据中包含着我国人群重要的遗传信息，其储存应依照《网络安全法》/和《个人信息和重要数据出境安全评估办法(征求意见稿)》0中的规定，在境内妥善保存。临床研究大数据符合《人类遗传资源管理条例》中对人类遗传资源信息1的定义，在跨境合作中应遵守其规定。外国组织、个人及其实际控制的机构等不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源1，如需合作必须严格按照合作流程和要求进行。合作中如确有出境需要，应按照《人类遗传资源管理条例》2《个人信息和重要数据出境安全评估办法(征求意见稿)》和《网络安全法》中对境外流动的要求，必须在上报国家管理机构批准并备案后方可进行。

　　(四)行业内的软法约束

　　除了前述表现为强制性规则的硬法之外，还有非严格意义上的法，不具有国家强制力，表现为沟通协商和规范引导的软法，主要是通过协议、行业标准和规范等来进行约束的。民间联盟也制定了一些关于大数据的交易规则和救济途径，如《中关村数海大数据交易平台规则(征求意见版)》4。

　　目前机构间的合作协议对研究成果归属、数据安全保护等方面就作出了详细规定，已经逐渐形成了有共性的模板，对研究工作起到较强的规范作用。以慢阻肺大数据规范化管理平台合作协议为例，其中约定了原始数据及合作成果的归属，并对安全保护分工做出详细阐述。同时也规定了临床数据的授权许可范围、方式、后续数据应用及获益由双方共同协商。“合作成果归属：1、乙方原始的梗阻肺诊疗数据归乙方所有，经过非结构化转结构化处理及衍生转换的数据归甲乙双方共有，大数据模型及挖掘算法归甲方所有。2、协议实施过程中所产生的知识产权，各方独立完成的，知识产权归各自所有，多方共同完成的，按照各方的贡献大小进行分配。……医院数据的安全保护：1、由甲乙双方共同协商慢阻肺临床数据的授权许可范围、方式、后续数据应用及获益等，明确贵权及分工，执行慢阻肺大数据的安全管理体系。……4、慢阻肺大数据总中心及分中心要设置重要和敏感信息查询留痕功能，建立查询日志，定期分析，及时发现异常情况并进行处理为大数据中心提供常规维护、升级换代，以及安装新系统、新设备的信息技术人员和机构签署信息保密协议，并设置合理的访问权限。5、慢阻肺大数据总中心的所有数据应用必须经过甲方学术委员会(或管理委员会)的审批由甲乙方共同负责慢阻肺大数据的数据安全，并监控其应用的法律风险。”

　　三、临床研究大数据规制面临的困境及其根源分析

　　目前大数据权利本质属性在现有法律中尚不明确，在缺乏法律制度保障的情况下，研究者们难以确定数据流动与共享是否合规进行，在机构间共享时合作双方的权益及应尽的义务无法确认，在境外流动中不仅可能损害国家利益，也不利于医学研究全球化的推进。

　　(一)当前法律体系下数据权利属性难以界定

　　大数据权利的本质属性是大数据社会治理及司法实践的逻辑起点[9]，其研究具有基础性意义。然而法律尚未赋予数据清晰的定位，数据权也并不是法律中固有的概念，对大数据的权利属性仍缺少相应的制度安排。《民法总则》中对“数据”虽有提及，但未明确其法律性质。在没有明确界定数据和数据权利性质的情况下，往往难以划定各主体间的权利界限，研究者们在数据流动与共享中的行为也难以得到有效地约束。

　　临床研究大数据通过整合和分析，进而得到的科技成果是推动医学研究发展的关键，其中蕴藏的巨大的研究价值和社会经济效益不可估量。但现有的法律体系中下仍缺少数据权利归属的明确规定。以科技部重点研发计划为例的多方合作研究中，临床医疗大数据的价值周期往往比较复杂，从收集、整合、储存、共享，到分析并得到结果的过程中会涉及多方参与主体的权益，国家、机构(研究机构、医院、学校、企业、行业协会等法人组织)和个人都是数据价值链上的一员。

　　当前个人和国家的数据权利已有一定的法律支持，而对于机构(数据的收集者、控制者、分析者、交易者等)，仅在某些方面对应尽的义务进行了规定，而未对其享有的权利进行规定[10]。在研究机构的权利内容及其归属问题上，现实的规制需求早已超越了法律逻辑上的论证速度，也有一些约定俗成的规则出现。但这样的规则并不能代替法律的规制，各方数据权益在没有法律保障的情况下，难免在临床研究合作中数据的流动与共享中埋下隐患。

　　(二)现有的法律体系下对于机构层面数据流动与共享的规制不足

　　在国内的机构之间，临床研究大数据流动与共享的界限不清，权责利不明确，引发了不少实际操作中的违规问题。现有的法律体系下，这些经过收集和处理的大量临床研究数据，究竟在储存、使用和后续共享中应该遵循什么规则，都尚未有相应的规范进行指导，让学者们在实际的临床研究工作中感到困惑。

　　要实现大数据赋能国内临床研究的发展，其中最关键的一点就是要开放与共享。我国国家卫健委《全国医疗卫生服务体系规划纲要(2015-2020年)》[11]《国务院关于积极推进“互联网+”行动的指导意见》[12]等文件中都明确提出要大力推动数据资源的开放并建立国家级数据开放平台。《中华人民共和国人类遗传资源管理条例》也对人类遗传资源信息和数据的开放作出强调5。目前研究数据的收集者在与国内其他机构共享数据的过程中往往只能通过口头约定、自拟合同等方式进行规制，没有效力层级较高的法律或法规进行规范。

　　这种形式一方面缺少强制力保障实施，使机构的数据行为的边界难以确定;另一方面零散的合作也会造成数据的重复收集和研究者人力资源的浪费。此外，随着国内临床研究数据交换平台的逐步搭建，研究者可以在收集数据前了解到是否已有相关数据集并进行请求，在一定程度上推进高效共享和数据的充分挖掘。但现有的法律中对数据平台责任、上传者和下载者的权利和义务尚未有规定，对后续研究成果及利益分配等未给出指导性原则，软法中也暂时没有成体系的规范标准。数据一旦上传到平台，平台的使用权限和监督机制都不尽相同，规制效果不一，容易出现纠纷和侵权的情况。

　　(三)现有的法律体系下国家对于数据跨境流动与共享的规制不足

　　随着医学研究逐渐进入“全球化时代”，国内外政府、研究机构都在积极推动数据共享、数据交换。临床试验数据共享声明中，国际医学期刊编辑委员会(ICMJE)提出2019年1月1日后入组的受试者数据，必须在临床试验注册平台上提交数据共享计划[13];国际临床数据交换标准协会(CDISC)近年来也致力于搭建临床研究数据全球化平台，提高数据从采集到管理，从申报、审批到使用、共享的效率‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。在这样的大环境下，推进临床研究大数据的跨境共享是大势所趋。但国内重要人类遗传资源的违规出境问题，也随着跨境合作的不断深入而浮现。一些基于中国人群遗传信息的大规模研究在外国研究机构的主导下大肆开展67，未经许可的国际合作和临床研究数据的违规出境也是屡禁不绝。

　　2015年，复旦大学附属华山医院和深圳华大基因与牛津大学合作开展的研究中，未经许可将中国女性单相抑郁症的大样本病例从网上传递出境[14];2016年，苏州药明康德公司违规将5165份人血清作为犬血浆违规出境[15];2018年，阿斯利康公司等三家公司因未经申报和审批，违规转运、接收和保藏样本并用于试剂盒研发[16]，2018年，科技部集中公开了这三起处罚，共六张罚单。这三起处罚案例中涉及的女性病例资料、人血清、试验剩余样本，都符合《人类遗传资源管理暂行办法》第二条对人类遗传资源的定义，在采集、收集、研究、开发、买卖、出口、出境等活动中必须遵守该办法的要求8，是科技部依照《人类遗传资源管理暂行办法》《中华人民共和国行政处罚法》及《中华人民共和国行政许可法》中的有关规定进行的行政处罚。

　　科技部的处罚是行为罚，具体内容是责令涉事机构整改、停止相关的研究工作、销毁材料及数据等，不涉及罚款、没收等财产罚。虽然处罚力度并不大，但这是科技部首次在官方网站公布人类遗传资源行政处罚信息，是严格监管的开始信号。各机构也可在研究过程中参照这些案例，设立专门的数据合规审查小组，力求一切的数据行为都在国家许可的范围内进行。但在临床研究领域，处在规范边缘的企业、研究机构远远不止受罚的这六家机构，在没有统一的规范约束之下，临床研究大数据的流动与共享是否真正保障了国家数据主权有待商榷,同时也不利于国际合作的合规开展。

　　一方面，数据安全是数据共享的保障，尤其是当今社会国家主权范围已经由传统意义上的领土、领空等扩展到数字空间，数据安全已然提升至了国家主权安全的战略高度。然而如此重要的数据主权在法律中却没有成型的制度设计，只能援引《网络安全法》、《人类遗传资源管理条例》中对重要信息及人类遗传资源出境的规定。2019年6月新出台的《人类遗传资源管理条例》中突破性地把人类遗传资源信息也纳入人类遗传资源的范畴，管理条例作为一个行政法规，无论从法律渊源还是效力层级来说，都说明政府正在以更高的效率，严格的约束来重新审视这个飞速发展的行业。

　　但其中将“人类遗传资源信息”限定为“利用人类遗传资源材料产生的数据等信息资料”，不能完全覆盖临床研究大数据的内涵，国家对此规制的对象、范围和手段都需要进行更新。且《人类遗传资源管理条例》审批管理的规范和禁止性规定较多，容易导致一些企图绕开正常途径而进行违规跨境合作或流动的行为。在现有的法律体系下，临床研究大数据的应用和发展仍然需要更有针对性，同时与上位法相呼应的规制。

　　另一方面，在全球数据加速流动的今天，不存在任何风险的绝对安全是难以实现的，数据流动带来的风险不可避免。如何在临床研究大数据的保护和利用上达到平衡，仍需有国家层面的强制性规范。针对临床研究大数据跨境流动的问题，一方面要在现有法律中弥补数据出境定义的不明确和出境规范不完善的问题，另一方面也需尽快将涉及数据境外流动的规范性文件上升到法律层次。

　　综上所述，现有的法律体系下，临床研究大数据的流动和共享并不能得到行之有效地规制。除了法律规范外，临床研究大数据在收集、使用和共享中的权利义务往往以签订协议、合同等方式确定，以约定俗成的一些守则作为参考。这样的软法在临床研究大数据的流动与共享过程中确实起到了一定程度的规范和试验作用，但由于缺乏强制力保障，不能完全解决当前行业中面临的困境。

　　四、临床研究大数据流动和共享的规制路径

　　如何对临床研究大数据进行法律规制，让临床研究大数据走出目前面临的困境，是研究工作者们面临的一个现实问题。本文从去隐私化的临床研究大数据的角度出发，以机构和国家层面为切入点，进行临床研究大数据共享与流动规制路径的探讨。

　　(一)法律规范的制定

　　数据经济蓬勃发展和数据加速资产化的趋势给临床研究大数据的治理带来了新的难题，即如何调整我们的法律制度以适应这种经济形态的变化。如果不对临床研究数据的共享与流动进行制约，未来数据经济环境下社会经济利益之间将严重失衡。因此，一方面要加快修订或完善现有的基本法，明确各主体权利义务内容和关系;另一方面也应加紧制定相关保护与监督的单行法律、法规和配套措施、实施细则等。

　　1.临床研究大数据权利性质与归属的确定

　　大数据确权的首先是要厘清“大数据”的法律概念，即“大规模人群基础上的临床研究中产生的不特定主体的电子信息”。在明确了大数据法律概念的基础上，将经过整合的临床研究大数据的权利性质界定为特殊的财产权，通过财产权中制度效率最高的物权路径进行保护，作为“无体物”纳入物权的保护范围。

　　临床研究大数据的权利内容及归属在医学研究数据合规发展和国家数据资源保护中起着基础性的作用，其目的在于更好地为数据保护和数据流动设定行为边界。临床研究中在权利内容及归属问题上，应尽量平衡作为信息主体的个人、作为数据实际控制者的机构以及主权归属的国家之间的利益。个人作为原始数据收集的对象，理应享有包含个人信息的数据的所有权，行使授权或禁止他人使用自身数据的消极权能，并在不影响公共利益的基础上，可以通过合法途径转让个人医疗健康数据并从中获益9。

　　当然，数据之所以能具有如此高的价值，主要还是有赖于研究者们对大量原始数据的分析和加工[17]，其中凝聚着机构、企业大量的技术、人力、管理成本。在收集时获取个人知情同意和去标识化处理的前提下，使用权向收集数据的机构转移。一旦转让，数据的所有权即脱离个人而向机构实现让渡，同时数据所有权(包括占有、使用、处置和收益等权能)移交机构所有。对于国家来说，大数据作为重要的生产资料，蕴含着的战略价值不容忽视。国家从宏观层面上保护本国数据主权在数据向境外流动的过程中不受外国侵害，数据储存本地化、跨境流动前的申报和安全评估是国家数据主体利益的保障。

　　总的来说，国家应加快数据安全立法进程，对大数据进行确权，从法律层面保障个人、机构和国家三大主体的数据权利，实现数据资源开发利用和保护之间的管理平衡。另外，现有的一些机构间的合作协议、合同中大部分的条款是具有一定共性的。其中对于原始数据、研究成果等归属问题、数据安全保护的责任问题等的规定，也可以考虑纳入国家标准或格式合同样本中，规范机构间的权益分配。

　　2.临床研究大数据在国内机构间流动与共享的法律规制

　　“去标识化”是数据脱离个人而形成有研究价值的临床研究大数据的前提，也是在不损害个人信息安全的基础上推进临床研究大数据流动与共享的重要手段。但“去标识化”在法律中并未得到详细的阐述，需要隐去的具体信息内容目前并无统一规定，在新的立法中应当对数据去标识化的专业方法及判定标准予以明确。

　　在法律中强调临床研究大数据的合理使用原则是推进数据共享的一个重要途径。合理使用原则是在不影响数据安全的条件下，出于合乎情理或公共利益的目的和用途，不经数据主体的同意使用其数据[18]。合理使用原则适用于研究者需要用到个人信息进行分析，但大体量的数据集合中很多数据行为难以取得数据所有者的知情同意的情况。如果是出于进行科学研究、促进医学领域的发展等目的，且不会对个人和社会造成不良影响或危害数据安全，这样的数据行为可以列入合理使用的范畴，在法律中给与其正当性。

　　国内机构之间的合作中，原始数据的归属、数据应用与收益、合作成果的归属及安全保护分工等问题在实际操作中已经有了初步的探索。国家在立法过程中可以对这些已有的约定俗成的规范进行固化，对于一些尚有争议的数据操作确立标准和范围，从法律层面明确数据共享双方的权利和义务。

　　此外，临床研究大数据共享平台作为近年来推进数据共享的重要手段，受到了国家和研究机构的大力支持。但随着平台功能的逐渐强化，数据共享中出现了大量亟待解决的问题。一方面共享平台应承担的法律责任，如平台的维运、用户行为的监督、平台数据安全的保障等都应该在法律中予以说明‍‌‍‍‌‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‌‍‍‍‌‍‍‍‍‌‍‌‍‌‍‌‍‍‌‍‍‍‍‍‍‍‍‍‌‍‍‌‍‍‌‍‌‍‌‍。另一方面，数据上传者、使用者和请求者在使用平台时的权利和义务需要有一个原则性的制度保障。

　　3.临床研究大数据在跨境流动中的法律规制

　　大数据在今天已经是事关国家安全、社会稳定的重要因素，国家数据主权不容侵犯。对于机构来说，首要任务是数据的境内储存，如果需要上传至云端或平台，应选择本国的存储服务器。出于公众健康、国家安全和社会公共利益，研究机构、企业及平台应依法接受国家监督，如有需要将数据交予国家使用及保藏。对于国家而言，大数据监管机构的设立有利于数据共享与流动的高效规制。本文认为可以在国家层面设立专门的大数据规制委员会配备专业人才，负责推进数据安全立法的进程，健全有关数据审核标准，对机构及平台上的数据行为进行检查监督。同时，在全球范围内数据跨境传输和合作中尚未有相应的流通规则[19]，中国作为大国应牵头进行公认的准则制定，积极担任起与其他国家展开协商与沟通的责任[20]，力求确立数据安全跨境流动的通用规则。

　　数据主权固然重要，但我们也应该在保障国家数据主权不受侵害的前提下，提升临床研究大数据跨境合作与分析的灵活性，在全球化的医学研究中发挥大国作用。科技部已经在优化人类资源审批流程方面做出了尝试[21]，鼓励多中心临床研究设立组长单位，申报工作由组长单位一次性进行而无需分别进行。国家也可以在原有的法律规范中对人类遗传资源信息出境规定的基础上作出一定程度上的调整，设置中国临床研究合作标准或白名单制度，对数据使用目的、处理方式和保护技术等给出规定，若能够满足我国对数据主权保护的要求，也可以考虑放松约束，简化审批流程。

　　(二)软法之治

　　1.临床研究大数据共享与流动中统一行为规则的制定

　　软法在现阶段临床研究大数据的流动过程起着一定程度的规范作用，但零碎的协议和守则缺乏统一标准，研究者们在研究中缺少可以参考的行业标准。而且传统意义上的硬法也难以与医学研究中的规制完美对接，立法上的空白有待软法来进行补充。因此我们认为一份经多方参与制定的临床研究大数据流动行业规则的制定是非常有必要的，让数据从收集、整合、使用、保存，到上传、共享和境外流动都在规定下进行。同时也要鼓励各研究机构、企业、行业协会等发掘软法规范，对现有的法律制度中的框架性规定进行适用性解释，例如数据的权利内容在法律中是一个概括性的界定，那么临床研究中，各主体的具体权利内容还有赖于研究者们的补充。要不断对现有的软法内容进行补充、完善，形成一系列完整的、覆盖整个临床研究数据行为的规范，来指导临床研究大数据的治理。

　　2.临床研究数据交换平台的建立与管理

　　当前国家对提升我国临床研究数据质量及国内外协同研究数据交换与共享的效率非常重视，在科技部重点研发计划中提出要解决临床研究数据承载、利用和交换平台的问题。数据交换平台通常需要涵盖数据集的上传、检索、下载、权限设置及管理等功能。在此以平台功能为线索，在现有的合同、合约等基础上对软法治理路径的构建提出建议。数据集的上传者是去个人化后的数据的所有者，在上传时应注意标明数据的主要内容、归属单位、项目编号资助等，并依照平台要求进行上传，设置访问的权限和获取的的条件等。数据下载者如符合上传者设置的要求，即可从平台上下载使用，得到数据并进行分析形成的成果，需要注明数据来源。

　　平台管理者应严格制定访问控制规则、上传数据格式要求等，审核在平台上传的数据的真实性及对数据下载者的身份，并进行行为记录。与其他基于个人信息的营利性商业数据相比，临床研究大数据在共享方面的优势是其蕴含的价值并不在于个人信息，因此上传和下载的数据可以限定为去标识化后的临床研究大数据。如果有数据下载者需要用到个人信息进行分析，可以通过平台联系数据的上传者，数据上传者对数据使用者的目的、数据保护能力等进行评估合格后方可予以共享，必要时应取得个人同意方可进行。这样形成的临床研究大数据交换平台使用守则，可以作为行业内的软法规范。

　　3.临床研究领域内的自我规制

　　大量医学研究的开展，单靠国家的数据监管机构的监督并不现实。因此应积极引导行业内的自我规制，在高效自我约束的同时不浪费国家行政资源。机构之间可以自发成立研究数据共享管理联盟，与国家大数据监管部门上下联通。管理联盟由数据安全专家、法学专家等共同构成，一方面对各机构的数据行为进行监督，在合作合规之前进行审查和核对、在研究进行中进行管理和监督、在研究结束后进行调查和跟踪，并形成临床研究大数据流动和共享的评价标准。另一方面，启动对机构数据处理能力的评估，围绕数据生命周期评估是否具有足够的安全能力。在监督管理的过程中发现存在的隐患和违规行为及时向监管部门反映，协助国家监管部门加强对机构的行为规制，能够在一定程度上提高临床研究大数据的流动规范化程度。

　　结语

　　对于临床研究大数据来说，不管是国家层面的数据管理和保护，或是机构与机构之间的数据收集与共享，都需要“软硬兼施”的治理手段。大数据确权的相关立法是整个临床研究大数据治理的基础，国家需要尽快推动立法进程，解决研究者在面对数据流动和共享时的困惑，确保数据在法制的框架下合规使用。在法律规范的框架下，还需要研究机构、企业及行业协会等机构的共同探索，进行软法治理，让法律规范切实与临床医学研究对接。相信在软硬法并重的综合治理下，临床研究大数据能够更加安全、高效地流动与共享。