《财经》记者 张利 | 文 王小 | 编辑
成立一家医疗大数据公司需要具备什么?在一位医疗大数据公司数据事业部博士看来,答案是:几个联合创始人、几台电脑。
那医疗数据呢?他的答案是:自一年多前加入这家医疗数据公司至今,从来没有得不到数据的时候。不过,前提是需要付出一点“公益心”。
2017年初,这家医疗数据公司CEO与上海一家三甲医院病理科主任聊天时,后者谈及,有大量的存量医疗数据,没人去挖也不知道如何挖;这位CEO当即表示,可免费提供技术对历史病理数据进行挖掘,帮助医生。约一个月后,主任传来医院过去35年约5万人次的病理数据。
《财经》记者走访的多位业内人士均表示,医疗大数据公司能否获取数据取决于能否满足医疗机构或医生的利益。“做这件事能给什么利益,如果值得我冒风险,我就配合你去做。”一位医疗大数据公司产品经理说。
数据是智能时代的“石油”已成共识。在原国家卫生计生委指导下,中国电子、中移动、中科院分别牵头成立的三大健康医疗大数据集团,承担国家健康医疗大数据中心、区域中心、应用发展中心和产业园建设等国家试点工程任务;市场也催生了一大批专攻大数据、互联网、AI的医疗企业,医疗数据从来没有像今天这样挑动社会各方的神经。
然而,一片欣欣向荣的绮丽表象下是昏暗的底色。
医院数据开放飘忽不定,上述产品经理对《财经》记者分析,医院不知道什么样的数据可以给公司,也不知道风险在哪里。
国家卫健委专门发文以引导医疗大数据规范应用。9月13日,国家卫生健康委员会发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》(下称《试行办法》),涉及健康医疗大数据从标准管理、安全管理、服务管理、监督管理等诸方面。
“更多是导向意义,医院(开放医疗数据的时候)能少点顾虑而已。”一位医疗大数据公司首席科学家对《财经》记者说,对于医疗数据如何开发、应用、共享、商业化等问题没有答案,业内都在探索。
或许根本在于,如何将数据应用于医疗仍是一个新鲜待解的课题。如何将不同的医疗信息进行整合分析以产生有价值的应用,整个行业还没有吃透。现阶段,单是把知识结构化就是一项很复杂的任务,且需在数据安全、患者隐私、产业发展等多方面寻求平衡。
“不知道医疗大数据可以用在哪里,就先把这块地圈起来,有没有用再说。”一位投资人对《财经》记者分析。
企业争相跑马圈数据,上演了一场利益拉锯战。
利益与风险的选择题
民资企业获取数据的主流手段,是以科研合作的形式从医生或者医院科室中拿到。“国家队”则是大手笔,在地方政府主导并授权下,能拿到整个医院,甚至全市的医疗数据。
科研合作的医疗大数据项目,需先经过医生所在医院伦理委员会的审查。按官方流程,这是获取医疗数据唯一一道关卡。伦理委员会旨在保护患者合法权益,维护其尊严。
现实中,通过伦理委员会的审查,很大程度上取决于“带头人的威望”。上述病理科主任性格豪爽,又是学科带头人,在医学界应者众,数据很容易收集上来。他召集30多家医院开展多中心临床试验,试图通过对历史数据的挖掘,研究某种疾病在过去几十年来的发病情况。
“他(病理科主任)说,你只管收数据就好了。”上述公司大数据事业部博士说,一个月内通过医院的伦理审查,公司就拿到了数据。
“国家队”的排头兵——中电数据的做法是,获得地方政府的授权,在当做数据采集、管控、清洗、开发。2017年4月,中电数据承接福州健康医疗大数据中心与产业园建设国家试点(福州)项目的规划,一个月后,就实现福州市48家医院数据互联互通,这是近600万人、超过150亿条的健康医疗数据。
在中电数据董事长李世锋看来,在国家健康医疗大数据试点工程中,由政府主导并授权中电数据对医院的数据进行汇聚治理,利用数据促进应用发展,例如慢病管理、辅助诊疗、智能影像、新药研制,这些应用又服务于医院,形成良性的数据生态。
尽管是医疗数据的“掌门人”,医院对可以开放哪些数据,开放到什么程度并不明确。
《网络安全法》《刑法》等法规中厘定了医疗数据开放的“高压线”。如果医疗机构或个人在没有获得就诊者允许的情况下,通过擅自获取、公布、出售、非法提供等方式利用个人公民信息,情节严重的,涉嫌触犯非法获取公民个人信息罪。
医疗大数据公司想要从医院拿到数据非常不容易。“院长通常很保守,因为谁也不愿为这个泄露出去的信息数据负责。”安徽医科大学信息中心前员工黄枫称。
9月发布的《试行办法》中,“医疗机构等责任单位应将数据安全性落实为“一把手”责任制;与此同时,鼓励责任主体与第三方企业共享数据,“一旦发生数据泄露等安全问题,由委托单位与受托单位共同承担健康医疗大数据的管理和安全责任。”
而在红线范围内,究竟如何进行数据的商业化应用,也不明确,因为关键点——医疗数据是谁的、谁有权利决定如何使用等不明确。在中国现行法律中,如《执业医师法》《侵权责任法》《医疗机构病历管理规定》《病历书写基本规范》等,并未对病历的权利主体作出规定。
这样的模糊不清,在实践中演化成利益与风险的选择题,医院、科室、医生个人等都会权衡轻重。
“如果病历大数据是医疗机构与患者共同所有,”海上律师事务所合伙人刘晔对《财经》记者分析,“患者有权利限制医院行使占有、使用、收益、处分这四项权利。比如,病历数据作为商业目的使用获得收益时,应当事前征得特定患者的同意,并给患者适当补偿。”
上述公司大数据事业部博士告诉《财经》记者,其公司与上海三甲医院的合作中,参与多中心临床试验的30多家医院中,仅有一家医院伦理委员会要求公司告知涉及到的每个患者,考虑工作量太大,于是放弃了这家医院的数据。
医院是否开放数据,取决于利益与风险的大小。“一是看这个事情是不是医院必要的;二是看批准之后会对患者或者临床带来什么收益。”一位上海三甲医院信息科主任告诉《财经》记者。
在“国家队”的项目中,促使医院主动向中电数据开放数据的是,希望享受到数据汇总产生的一些好应用。目前,中电数据与福州医院的数据还未实现实时共享,正是因为相关应用仍在探索中。吸引医生个人与数据公司科研合作的在于可以免费享受到后者提供的数据分析技术。
一位医疗大数据公司董事长告诉《财经》记者,其公司在对接医院数据时,有些医院管理信息系统(HIS系统)企业会向其索要“接口费”,价格从几万到几十万元不等。
多位业内人士表示,“接口费”已经成为一些HIS企业大数据版图的一部分,“接口费”多是以合作项目派工的劳务费名义支付,医院并不直接涉入。
一位远程医疗公司总经理认为,软件厂商开放接口需要专门派人驻点,收取费用是应该的,至于收多少,则没有标准。
黄枫分析,整合医疗数据要面临三方面的困难:管理因素、业务因素和技术因素。所谓管理因素,即取决于医院领导是否支持,HIS商、科室是否愿意配合。
有的医院内部不同科室的数据系统也不同,各自占用数据为营。上述公司大数据事业部博士称,如果本院医生参与了外单位的数据项目,与其他科室主任协调拿数据时,有些医院甚至内部之间也是要花钱买。
所涉各方不得不权衡的利益与风险,本质上是数据所属权的模糊不明。国家卫生健康委医政医管局副局长焦雅辉在接受媒体采访时曾表示,对医疗电子信息的“确权”研究工作正在进行中。
开放使用与隐私保护的平衡?
将姓名、电话号码、身份证号码三项删除,配备专门的人接收数据,并进行一定程度的物理隔离,在上述公司大数据事业部博士看来,企业做到这个地步已经够了,如果不上升到惩戒层面,医生、医院和公司都没有动力去进一步做数据脱敏。
出台已近两年的《网络安全法》中规定,未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
将敏感信息删除,这是最传统的数据脱敏方式。
多位业内人士均表示,合作之初,企业会嘱咐医生将脱敏后的数据传上来,但很多医生并不知道如何脱敏,经常直接上传原始数据,再由公司将姓名、身份证号码、手机号等删除。
在英国格林威治大学商学院教授韩春佳看来,即便删除患者个人信息,能否实现用户数据隐私的保护效果值得怀疑,“大部分情况下是很容易通过其他的关联信息,或者是通过已有的信息,重新识别出这个人是谁”。
如何在保护个人隐私的前提下,实现数据的开发利用,是整个大数据行业都面临的问题。
国务院2016年发布的《关于促进和规范健康医疗大数据应用发展的指导意见》称,到2020年,健康医疗大数据相关政策法规、安全防护、应用标准体系不断完善。
这被视为“顶层设计”,按原国家卫生计生委副主任金小桃分析,强调顶层设计,即强调“保护隐私”。
医院是医疗数据的第一层,也是最重要的一层保护膜。上述《试行办法》中提到,各级医疗机构等责任单位要严格规范不同等级用户的数据接入和使用权限,并确保数据在授权范围内使用。
“信息科做得好的医院,通常医生是没有数据的。”黄枫对《财经》记者分析,理论上,医生的电脑是联网的,数据不在本机上,医生拷不走。然而实际中,大多数医院做不到这一点,医生能够绕过各种管理、技术环节收集到数据。另外,多数医院信息化做得不好,很容易被黑客攻破。
美国的HIPAA法案(Health Insurance Portability and Accountability Act)规定,任何涉及个人健康信息的公司都应该具备物理、网络和程序安全措施。该法案获得国内医疗大数据公司认可。
国内的主要法律依据是《网络安全法》,不过,其主要还是原则性、基础性规范。
国家互联网信息办公室发布的《个人信息和重要数据出境评估办法(征求意见稿)》中,主要针对的是数据在境内外使用。
按其规定,所有网络运营者在境内运营中收集和产生的个人信息和重要数据,应当在境内存储;作为例外,对于因业务需要,确需向境外提供的,应当事先进行安全评估。《试行办法》中也提到,健康医疗大数据应当存储在境内,因业务需要向境外提供时,应按相关法律法规和要求进行安全评估审核。
为此,中电数据与IBM成立合资公司,向中国市场提供Watson Health相关解决方案。“就是要解决引进先进技术,数据不出境。”李世锋告诉《财经》记者,中电数据提供给IBM Watson的是模拟数据。
在国内法规细节还待完善之时,符合HIPAA,成为医疗大数据公司自律的标准,这也更易于企业形象宣传。
不过,即便符合HIPAA,并不意味着数据隐私的安全。
“因为即使不采用任何安全技术,也可以通过一系列治理,完成HIPAA法案的合规。”韩春佳对《财经》记者说,“国内数据保护技术领域的研究刚刚起步,国外已经形成了一套体系,能在保护患者隐私的前提下实现数据的合理利用。”
国内更倾向于通过完善的防火墙实现数据的绝对安全,但是这一定程度上限制了数据的流通和使用。
李世锋介绍,福州的医疗大数据产业园区,数据并没有上传到互联网,而是在试点区域对有限的用户做有限数据的开放,数据在数据中心,谁也拿不走。如果企业需要某种疾病相关数据,中电数据仅会开放有限的数据,前者把算法模式放进来做验证。
但这在一定程度上限制了医疗大数据产品的发展。比如在医疗AI领域,肺结节智能筛查之所以火热,一个重要原因是,该领域有很多数据集可以直接下载。
李世锋说,在国家法律法规和行业政策制定的同时,在保证数据安全的情况下,可以探索更多可能的应用。
规模化难题
数据拿到之后,并非立即就能炼出金子,后续的开发和利用受限于医疗数据的质量、颗粒度、维度、宽度等的优劣,这取决于医院的信息化系统。
医疗信息化系统被称为最复杂的信息系统之一,业内人士常用“蜂窝煤” 来形容彼此之间的相互独立。不同的系统难以互联互通,医疗数据开发难度高。
比如,临床数据产生的过程会涉及五个信息系统,从住院医生医嘱、护士站确认,到药房摆药、药师复核,及至送到护士区,这个过程涉及的系统联合起来才能完成整个住院病人发药的业务场景。
对应的是,每个系统会产生不同的数据,这些互联的数据,再汇集到临床数据中心,才能串联起一个临床数据系统。
虽然2002年出台的《医院信息系统基本功能规范》,规范了“商品化医院信息系统必须达到的基本要求”,但现实中很少有医院能满足这一要求。黄枫分析,如此复杂的系统,又需医院自掏腰包,因而,究竟想达到什么成果,取决于院长的观念、经费、上级检查等多种因素。
像上述的临床数据系统如果五个信息枝脉缺一,就会有数据缺漏;加之数据标准不统一、录入不规范,企业拿到的很多数据不可用,开发产品和服务都会受影响,即便出来成果,也不太可能复制,更多是定制化,这其实削弱了互联网企业的优势。
高质量的数据昂贵。一位广东三甲医院影像科主任收集整理清洗300名病人数据耗费40多万元。他让最信任的、最靠谱的学生进行随访,此外,还会对数据进行严格的质控,“否则,这些数据是没有意义的”。
高质量的医疗数据既要完备,又要真实,两者缺一不可,取决于结构化病历或专科化的专业系统,这同时也会增加医生处理数据的时间。且不同专科、不同业务领域,形成医疗信息系统的标准化很困难。
黄枫称,标准化的核心不是IT技术能力的问题,而是管理问题。不同的科室,流程、管理、成本核算方式也不同,“如果想要把业务全改变,同时又能满足科室的利益诉求,是很难做到的”。
这导致不同医院之间数据差异极大,公司很难提供通用的数据处理方案。上述公司大数据事业部博士称,他所在的公司为一个项目中30多家不同医院提供的是定制化的服务,算法能解决80%的问题,剩余的20%还需要人工进行逐个修订。
现阶段,医疗大数据公司更多将自己定位为一个服务提供商。在Latitude Health 合伙人赵衡看来,比拼的是更强的数据资源获取能力和更强的应用场景,最关键的是未来能否产生规模化的盈利。
“未来可能更多的可能是跟应用厂商合作,然后通过相应的一揽子服务,而不是单纯的数据服务。”李世锋说。