以醫藥公司為視角探討患者個人信息保護

【摘 要】 隨著大數據時代的到來，個人信息的經濟價值逐漸被社會廣泛關注。其中患者的個人信息，不僅醫院應該著重加以保護，醫藥公司同樣也負有不可推卸的責任。目前國內對這一問題的探討多集中于醫院，恰恰忽略了具備一定的關聯性卻商業性更強的醫藥公司對患者數據的利用和保護。立法上的欠缺、公民個人維權意識淡薄，都導致此類事件屢見不鮮。未來中國立法將參考國際通行做法進行變革，醫藥公司應提前做好準備，規避法律風險。

【關鍵詞】 醫藥公司;個人信息保護;數據控制者;被遺忘權;數據披露

為更好了解本公司藥物在臨床上的實際使用情況，醫藥公司派人前往與自己有長期合作關系的醫院收集患者姓名、性別、癥狀、診療信息、用藥情況等，后將這些信息進行匯總和分析，作為市場調研結果發布到公司內部網站上，指導后續的研發和經營。這樣的行為看似是公司的內部經營行為，但其在收集患者相關信息時沒有征得患者同意，也沒有遵循相關原則加以使用，已經侵犯了患者的個人信息。

一、“個人信息”與“個人隱私”的概念辨析

關于這兩個概念，目前有幾種不同的“出鏡”方式：在2015年《網絡安全法》（草案）（以下簡稱《草案》）的法條表述中，這兩個概念并列出現;在2013年《信息安全技術-公用及商用服務信息系統個人信息保護指南》（以下簡稱《保護指南》）中，“個人信息”被定義為全部或部分經過信息系統處理的數據;而在2012年歐盟新制定的《一般數據保護條例》（以下簡稱GDPR）中，將其定義為與一個身份已經被識別或者身份可以被識別的自然人相關的任何信息[1];在國際社會上，美國、香港用的是“Privacy Act”，而歐洲用的則是“Data Protection Act”的概念。

對此，筆者個人認為：“個人信息”是人類進入信息時代的產物，而個人隱私是傳統民法上的概念，強調對公民個人人格利益的保護。[2]在目前大數據時代背景下，“個人信息”的概念日漸受到重視。因此筆者將采用“個人信息”的概念闡述在數字經濟時代中對個人信息利用與保護并重的政策。

二、立法規制現狀

針對上述情況，現有的立法規制包括：2012年《關于加強網絡信息保護的決定》（以下簡稱《保護決定》）、2013年《保護指南》、2015年《草案》）以及《刑法》（2015年）第253條之一“侵犯公民個人信息罪”。這些法條要求在收集患者個人信息時，必須本著合法、正當、必要的原則，明示一些事項，并征得其同意。后續處理和轉移時也必須經過患者同意。另外對于違反規定向他人提供公民個人信息，情節嚴重的，還可能承擔刑事責任。

實踐中，類似的情況屢見不鮮，但卻并沒有引發大量的維權訴訟，一是因為目前公民對就這一問題的法律意識相對較為薄弱，二是立法上對此類問題的規制并沒有予以充分的懲罰措施：《保護指南》單純進行了行為規范，沒有提到相應的法律責任和救濟途徑;《保護決定》中雖然提到救濟途徑和懲罰措施，但范圍僅限于網絡服務，且內容十分粗略。因此現階段類似行為雖然存在法律風險，但尚未引發較為嚴重的法律后果。

三、未來可能產生的變化

盡管目前我國有很多規范性文件涉及到個人信息保護，但從整體來看：立法碎片化現象突出;利益衡量不清晰;相關文件位階偏低，高位階的規范性文件多為宣示性規定;相關行政執法部門的定位、權限等不明確……隨著數字經濟時代的到來，未來中國立法會日益加強對公民個人數據保護，不論是仿照歐盟將個人數據保護上升到人權高度加以規制，還是參考美國在不同行業內根據經營者的承諾進行約束，這種保護都將是切實落在每一個數據控制者身上的法律責任。《草案》的出臺就是一個最好的例證。

從《草案》來看，立法者認為：目前實踐中非法獲取、泄露甚至倒賣個人信息的情況時有發生，已經嚴重損害了公民的合法權益，立法必須予以重視;在法條內容上將積極借鑒國外通行做法;當然鑒于中國目前的環境，現階段的立法還只能停留在較為原則性的規定上，但會為未來具體規則預留接口。

那么未來中國立法將在哪些方面進行努力？這些努力又會給醫藥公司帶來哪些新的法律風險呢？

1、明確不同角色的責任

目前在《保護指南》中，已經出現個人信息主體、個人信息管理者、個人信息獲得者等不同角色的區分，而在GDPR規定下，所有法律責任的承擔者是數據控制者。[3]一旦中國未來參考了這種模式，醫藥公司公司就會成為最終的責任承擔者。

2、“被遺忘權”（“刪除權”）

《保護指南》5.5條規定了刪除行為，雖然借鑒了GDPR中“被遺忘權”的規定，但并沒有將其上升為一種權利。如果未來立法采納這一國際通行做法，將其規定為“被遺忘權”，那么醫藥公司在使用這些信息時就要另外承擔一個刪除的義務。

3、數據披露

《保護指南》4.1.3中規定：數據泄露以后，個人信息管理者應向主管機關和受影響的主體披露該事實。這一規定在《草案》第36條第1款中也得到體現。披露給執法機構充其量是承擔相應的行政責任，但如果披露給受影響的主體，對于醫藥公司來說根本不現實：一方面，受影響的主體數量龐大且不確定;另一方面，一旦被公民知曉其個人信息遭到泄露，勢必會引起恐慌和較為嚴重的社會反應，摧毀數據控制者的社會信譽，基本上等于將其“置于死地”。

4、增加公民個人的救濟途徑和相關監管措施

根據《草案》第42、43條，網絡運營者應該建立投訴、舉報機制，主管機關也應該履行監管職責，采取相應的措施阻止侵權行為。一旦建立了這樣具體的規定，一方面會喚醒公民的維權意識，同時也為公民提供了切實的維權途徑。

四、醫藥公司如何應對

1、明確角色定位

實踐中，容易與數據控制者產生混淆的主要是“數據處理者”的概念。根據29條工作組意見，二者的區分可以從以下幾個方面入手：誰直接面對消費者;是否存在在先指令;是否足夠透明以及專業性。其實就算借助上述標準，二者的界限也是比較模糊的，因此公司應盡量讓自己成為信息處理者而不是信息控制者。比如：與醫院達成合作協議，由醫院發出指令，收集相關藥物信息。這樣，直接面對消費者的是醫藥公司，在先指令由醫院發出。這種方式具有一定的合理性：醫藥公司與醫院本身就存在長期的合作關系，且醫院收集信息在目前醫患關系較為緊張的情況下已經受到眾多限制，由醫藥公司操作更加容易進行。其實這樣的方式在歐洲已經在使用：兩個關聯公司之間簽訂協議完成數據轉移，不過這份協議必須使用歐盟提供的模板。

2、關注“被遺忘權”

正如上面提到的，“被遺忘權”會是醫藥公司未來面臨的一項義務，不過其卻是一個解決目前困境的非常好的方式。一般而言，病人不太愿意向陌生人提供自己的疾病信息，此時如果醫藥公司承諾病人自己將在多長時間內或者什么情形下刪除這些信息，病人會相對減輕排斥心理。這種承諾可以通過保密條款的方式實現。保密條款是目前德國在保護個人信息上的做法。按照一般原則，意思自治只要沒有違反強行法即可有效，雙方的這種保密條款在現階段立法背景下，其效力應該可以獲得認可。另外在保密條款中，公司可以加入“去個人化”的內容，這樣可以避免后續使用中增加的成本。

3、數據披露

正如上面提到的，向受影響的主體披露信息泄露的事實根本無法實現，因此，在未來立法中，醫藥公司應積極去游說。對此可以參考華為的做法：在華為2012年-2016年發布的四版《網絡安全白皮書》中[4]，其極力倡導行業內所有公司關注網絡安全及數據保護的最新立法動態，嘗試借助自己的力量，通過學界、實務界，建立與政府高層的溝通平臺，影響立法者的決策，使未來立法能更貼近行業的實際情況，滿足自身的利益訴求。

其實對于一些大型的醫藥公司，自身已經具備足夠的談判實力，完全可以通過積極游說，為本公司乃至本行業爭取到更多的利益，促進立法的科學化。短期而言，醫藥公司可以結合國家立法的原則性規定，在自身業務實踐經驗的基礎上，制定更為詳細的適用于本行業的行為準則，通過行業統一規范來影響后續立法進程。

目前我國在患者個人信息保護方面的立法還不是很健全，部分行為規范不足以應對數字經濟迅猛發展的新趨勢。未來中國在這一領域的法制發展將會有很大的變動，因此醫藥公司應該培養應對快速變革的能力，未雨綢繆，一方面積極尋找應對之策，另一方面也可以借助自身的力量努力游說，盡可能在未來立法中體現自己的利益。

【參考文獻】

[1] See General Data Protection Regulation，Article 4.

[2] 張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015.3.39.

[3] 何治樂、黃道麗.大數據環境下我國被遺忘權之立法構建—歐盟《一般數據保護條例》被遺忘權之借鑒[J].網絡安全技術與應用，2014.5.172.

[4] 華為網絡安全白皮書（2012-2016）共四版[EB/OL]. http：//www.huawei.com/cn/cyber-security，2016-7-4.

【作者簡介】

劉玉潔（1993-）女，漢族，山西大同人，華東政法大學國際法學院2015級國際法學專業碩士研究生，研究方向：國際私法.