大數據環境中個人醫療信息的法律保護

徐慧麗

（北京大學法學院 北京 100871）

患者的個人醫療信息經整合與分析后可應用于疾病診斷、新藥研發、傳染病預測預防等領域，具有很高的經濟價值與社會價值。大數據則能利用高性能計算、云計算存儲等技術對批量個人醫療數據進行綜合分析處理。大數據與個人醫療信息的融合，有望提升政府公共服務效率與醫療行業創新能力，受到了各國政府國家戰略層面的重視。中共中央、國務院早在2016 年10 月就已發布了《“健康中國2030”規劃綱要》，指出要“加強健康醫療大數據應用體系建設，推進基于區域人口健康信息平臺的醫療健康大數據開放共享、深度挖掘和廣泛應用”。現階段醫療大數據已經在各國政府項目或市場企業中得到了應用。例如，美國創業公司Flatiron Health 收集全國范圍內癌癥病人臨床數據，通過大數據分析后用于輔助癌癥患者治療；我國也成立了“中國健康醫療大數據產業聯盟”，以及致力于腫瘤領域大數據技術研發與應用的零氪科技等多家市場企業[1]。個人醫療數據在大數據環境中正在獲得越來越廣泛的應用。

傳統環境中醫療信息的應用價值比較低，紙質病歷存檔于醫院，一般被作為患者隱私來保護。例如《執業醫師法》第37 條規定醫師在執業活動中“泄露患者隱私，造成嚴重后果的”，可能受到警告、吊銷執業證書等處罰。《傳染病防治法（2013 年修正）》第12 條規定疾病預防控制機構、醫療機構在傳染病調查、檢驗、采集樣本等防控措施中“不得泄露涉及個人隱私的有關信息、資料”。進入高度信息化的現代社會，紙質病歷電子化與電子數據、遠程醫療普及化，使得患者的醫療信息面臨著被多方收集、利用，以及被非法使用的可能性。大數據環境中，大量個人信息進入電子處理與交易狀態，個人面臨醫療信息泄露的風險。個人醫療信息除了病歷中的病情記錄以外，還包括患者的姓名、地址、聯系人、聯系電話等個人身份信息；患者的過敏史、檢驗檢查結果、家族病史等生理信息；患者的費用發生狀況、支票結算等其它所有與醫療有關的信息[2]。上述信息均屬于患者的個人信息。因此，當個人醫療信息被不當收集或利用時，除了訴諸隱私保護以外，也可作為數據主體，適用個人信息保護的相關法律規定來維護自身的合法利益。

1 個人信息法律保護現狀

當前各國對個人信息的法律保護主要存在著兩種模式：以美國為主導的隱私權保護模式和歐盟個人信息權保護模式。兩種模式在傳統信息環境中都能給予數據主體有效的法律保護。我國個人信息保護的相關規定則分散于《民法總則》《刑法》《網絡安全法》等法律規定中，體系性不強。我們先對美國和歐盟的保護模式特點進行歸納，然后介紹我國個人信息的法律保護現狀。

1.1 美國隱私權保護模式

美國以隱私權作為個人信息保護的權利基礎，在公領域實行分散立法模式，在私領域則采取行業自律模式，通過行業組織的內部規范保護信息隱私[3]79。隱私權的概念最早由美國的沃倫（Warren）和布蘭戴斯（Brandeis）在《論隱私權》一文中提出，后來逐漸發展成為一種源于美國憲法中個人自由保護條款的法律制度乃至社會文化理念。美國最高院根據所涉利益將隱私權區分為信息隱私權和自主決定權等類型。信息隱私權作為隱私權的核心概念，賦予數據主體對個人信息的決定、支配和控制權利。政府和商業機構對個人信息進行開發利用以促進社會整體進步是值得認可的，但也需要信息隱私權法律對相關行為加以限制，以避免公民隱私因政府或商業機構的不當利用而遭受侵害。信息隱私權保護的個人信息主要是指以記錄形式表現的個人信息[3]81，包括個人醫療信息。在公領域，除了法院判例形成了具有約束力的規則以外，聯邦國會還通過了一系列與醫療信息有關的單行法規。例如，1996 年《健康保險可攜性和責任法案》（HIPAA）及2009 年《經濟和臨床醫療行業健康信息技術法案》確立了個人醫療信息隱私權的具體保護規則與標準，為傳統個人醫療信息提供了相對完善的保護。在私領域，個人信息保護主要依靠政策引導下的行業自律[4]。美國這種保護模式對普通法國家的個人信息保護產生了較大影響，澳大利亞、加拿大等國家均采用隱私權來保護個人信息。

1.2 歐盟個人信息權保護模式

歐盟采取統一立法形式，以個人信息權模式來保護個人信息，典型代表為德國。德國最初受美國影響以隱私權理論保護個人數據。在1983 年人口普查法案判決中，德國憲法法院將個人信息權益稱為“信息自決權（Informationelle Selbtbestimmungsrecht）”[5]，賦予了其憲法基礎。1990 年制定的《德國聯邦個人資料保護法》正式放棄隱私權理論，確認一般人格權為個人信息權的民法基礎，對全部個人信息予以同等保護，成為大陸法系其他國家的立法范本[3]67-68。德國將個人信息定義為“可以直接或間接識別自然人（數據主體）的任何信息”，個人醫療信息中的生物識別數據、健康數據、基因數據、自然人性生活或性取向等被列為特殊類別的個人信息受到更為嚴格的法律保護。此外，德國法律還賦予數據主體以個人數據告知權、個人數據更正權、個人數據封鎖權和個人數據刪除權四項權利。一般認為這四項權利即為個人信息權的主要內容。

除了德國以外，歐洲其他國家如荷蘭、葡萄牙、西班牙、希臘、波蘭、奧地利、匈牙利等國家均承認了個人信息權利的憲法地位；2000 年《歐洲基本權利憲章》也對隱私權與個人信息權作出了區分[6]。在2018 年5 月才生效的《關于個人數據處理保護及個人數據自由傳輸的條例》（簡稱《通用數據保護條例》）中，個人信息保護就是基于一般人格權的個人信息權來保護的。《通用數據保護條例》沿用知情同意的數據保護架構，明確了“同意”的含義（第7 條）；個人信息保護原則包括目的限制原則、數據最小化原則、準確性原則、限期存儲原則、完整性和保密性原則等（第5 條）；數據主體個人信息權的權利內容除了知情權（第12、13 條）、訪問權（第15 條）、修正權（第16 條）、限制處理權（第18 條）、反對權（第21 條）以外，還新增了被遺忘權（第17 條）、數據可攜帶權（第20 條）兩類新權利。歐盟所有成員國都必須遵循《通用數據保護條例》，部分條款允許成員國采用內部更為嚴格的規定。可見，《通用數據保護條例》構成了歐盟個人信息保護的基本框架與最低標準。

1.3 我國個人信息法律保護現狀

無論是美國隱私權保護模式還是歐盟個人信息權保護模式，均以個人權利保護為重點，兼顧數據開發利用及兩者之間的平衡。相比之下，我國政府雖然也很重視個人信息的開發與應用，但為個人權利提供保障的法律法規則相對滯后。目前我國公民個人信息權的保護，依賴以下法律法規中的相關條款。其中，《民法總則》第111 條將“自然人的個人信息”列為民事權利的一項，為個人信息提供原則性保護。《刑法》第253 條之一規定有“侵犯公民個人信息罪”，以刑事手段規制“出售”“提供”“非法獲取”個人信息且“情節嚴重”的行為。但《民法總則》與《刑法》均未明確“個人信息”的概念。《網絡安全法》在“附則”中將“個人信息”定義為“以電子或其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，以開放性定義的形式囊括了所有能夠“識別自然人身份”的信息類型。《網絡安全法》還對個人信息保護的基本原則與責任主體作出了規定，但僅約束網絡運營者。此外，《居民身份證法》《統計法》《消費者權益保護法》《電子商務法》等法律規定中，都有涉及個人信息保護的條款。

《民法總則》沒有明確將自然人在個人信息方面的民事利益規定為個人信息權，因而在學界引發了關于個人信息保護屬于“權利”還是“法益”的爭論。筆者認為大數據等新型技術為人們生活帶來便利的同時，也將使個人信息保護面臨更大的挑戰，單純的法益無法承載個人信息保護的內容。因此筆者傾向于認同楊立新教授等學者的觀點，即應當將《民法總則》第111 條規定的個人信息解讀為個人信息權[7]。我國民法中的個人信息權保護不同于美國隱私權保護。隱私是不愿告人或不為人所知的事情，強調對私密性的保護，與數據開發利用提倡信息公開的趨勢相矛盾，而個人信息則主要是與身份有關聯的信息，不以隱秘為要件[8]。因此，在數據處理應用中為數據主體提供法律保障的個人信息權比隱私權更適合信息化社會個人信息的保護。《網絡安全法》部分條款將“個人信息”與“隱私權”作為相互獨立的兩個項目，與“商業秘密”并行列出，就體現了這種趨勢。至于我國個人信息權的權利內容、規則、標準等，學界主流意見傾向于參考歐盟模式。

2 個人醫療信息的特殊性及其保護

患者的醫療信息雖然也屬于個人信息的范疇，但與普通個人信息有所不同。相較于興趣愛好、工作單位等日常信息在熟人群體的分享，人們更傾向于醫療信息的私密化，特別是與性、精神狀態，或者某些傳染性疾病有關的醫療信息。個人醫療信息在大數據環境中具有諸多不同于傳統信息環境中普通個人信息的特點，因此對法律制度的設計提出了更高的要求。

2.1 更具敏感性

大數據應用到的醫療信息可能涉及一切與健康相關的活動中產生的所有與生命健康和醫療相關的數據[9]。個人醫療信息的來源既包括醫院、疾病預防控制中心等醫療衛生機構的疾病診療、監控記錄，也包括保險公司、藥物或醫療器械銷售企業收集到的個人疾病報銷、消費者購買數據，以及網絡企業提供遠程醫療服務或醫院信息技術外包服務獲得的病情診療、檢查檢驗結果咨詢數據等。這些數據幾乎都有較高的敏感性，部分還涉及極具敏感度的個人信息。如果被不當利用或泄露，數據主體可能遭受人格方面的歧視或者人格利益的損害。在大數據環境中，當出現數據存儲位置不確定、遭遇非法交易或被第三方存儲在本地終端等問題時，事后救濟將難以彌補數據主體遭受的損失。相應地，大數據環境下的個人醫療數據主體需要比普通個人信息更為嚴格的法律保護。

2.2 更高的集成化應用價值

醫療信息本身即具有很高的潛在開發利用價值，只是在傳統信息處理環境中未能被挖掘出來，因而呈現價值密度低的狀態。大數據技術使得醫療信息的集成化分析應用成為現實。醫療信息與大數據的結合應用于醫院可幫助醫生做出更有效的診斷與用藥決策，減少依賴個人經驗的誤診情況；應用于醫藥研究中能通過預測解決更深層次的醫學難題，改善藥物療效、為新藥研發提供市場需求數據；應用于公共健康管理機構能提高公共衛生部門對公眾疾病的預防與風險應對能力[10-11]。醫療信息在大數據環境中的高價值密度將對各大醫院、商業公司乃至政府公共衛生機構、科研機構等形成巨大的吸引力，從而最大限度地對個人醫療信息進行搜集、處理與交易利用等。法律制度如果限制過緊，將不利于個人醫療信息價值挖掘與醫藥產業發展；限制力度不夠則可能導致個人的敏感信息及個人自主權受到侵犯。因此法律制度需要在充分保障個人信息權益的基礎上實現保護與利用之間的平衡。

2.3 更強的社會公益性

面向公眾人群的疾病預防與防御是醫療信息在大數據中的一項應用[12]。其它應用諸如醫療診斷能力提升、藥物研發技術改善、醫藥費用降低等，無不有助于增強國家在國際市場中的競爭實力，關乎整個社會的福祉。甚至有學者認為基于醫療目的的基因研究本身就屬于一項社會公益[13]。患者提供個人醫療信息用于大數據研究，與社會契約論中個人讓渡部分權利給主權者有所不同。在社會契約論中，雖然“每個人都是把自己奉獻給全體而不是奉獻給任何一個人”，但是“每個人都能從其他結合者那里得到與他轉讓的權利相同的權利”，因此也“得到了他失去的東西的等價物，并獲得了更多的保護其所有物的力量”[14]。但是在大數據應用中，個人提供的醫療信息作出了多少貢獻，乃至于是否作出貢獻，都不得而知。由于疾病的特殊性，患者能否從大數據研究成果中受益，也可能還是一個未知數。因此，醫療信息在大數據中的應用，對社會的好處多于對個人的好處。

2.4 更多的公權力介入

個人醫療信息的公益性意味著國家公權力有必要介入協調。個人醫療信息在大數據中的應用需要政府發揮公共服務職能，提供更為完善的保障。例如，我國電子病歷系統的應用雖然已經起步，但過去多年積累的蘊含有珍貴疾病診療信息的大量紙質病歷，散落于各大醫院，形成信息孤島。只有借助于政府力量才能有效整合這些信息，實現信息集合在大數據中的研究與應用。不僅如此，政府本身也是醫療信息等個人數據最大的收集、處理與利用主體[15]。大數據產業中醫療信息的開發利用，關乎國計民生與社會經濟的發展，是各個國家在數據經濟中的戰略性規劃領域。在醫療信息整合以及后續的管理、利用、再利用過程中，政府可能基于行政績效考量或由于缺乏尊重個人隱私權利的意識而侵犯個人的信息權利，對數據主體造成不良影響。因此，立法部門在針對個人醫療信息保護進行制度設計時，需強化對行政機關行為的監督與規范，以避免政府部門及其員工對個人信息權利的侵犯。

基于個人醫療信息的特殊性，歐盟將醫療信息作為“特殊種類的個人信息”（Special Categories of Personal Data），為其提供了更為嚴格的保護。根據《通用數據保護條例》第9 條的規定，能夠識別自然人身份的基因數據、生物數據，以及關于健康、自然人性生活或性取向數據等均屬于特殊種類的個人數據，原則上禁止處理，除了數據主體明確同意處理、相關數據已經由數據主體明確公開、基于公共健康領域的公共利益等例外情形。當成員國內部有更為嚴格的規定，則適用其內部規定。《法國民法典》第一卷第一編第三章中就規定遺傳特征的檢查或鑒別僅限于醫療與科學研究目的，而且必須征得當事人書面形式的明確同意[16]。可見，歐盟的個人醫療信息保護以個人權利為本位，設置了較高的保護標準。我國法律制度中暫無針對個人醫療信息的特殊保護。但在最高法、最高檢發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中，不同類型個人信息分類保護的思想已經有所體現。在對“情節嚴重”的認定進行解釋時，個人信息被分為三類：第一類“行蹤軌跡信息、通信內容、征信信息、財產信息”等，非法獲取、出售或提供50 條以上就構成“情節嚴重”；第二類“住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全”的個人信息，非法獲取、出售或提供500 條以上構成“情節嚴重”；第三類即上述信息以外的普通個人信息，非法獲取、出售或提供5000 條以上才構成“情節嚴重”。個人醫療信息中的“健康生理信息”作為第二類屬，獲得了比普通信息更強力度的保護。該條款對《刑法》具體條文進行解釋，具有等同于法律的地位[17]，可以為《個人信息保護法》中個人醫療信息特殊保護的思路提供參考。然而該條款的主要目的在于解釋“情節嚴重”的認定，既沒有對個人信息作出體系性分類，也未明確“健康生理信息”“財產信息”等概念的含義或范圍等。我國個人信息保護法如何為個人醫療信息提供完善的法律保護，仍然需要仔細分析研究。

3 大數據對個人醫療信息保護的沖擊

在討論如何更為完善地保護個人醫療信息時，除了醫療信息本身的特殊性之外，較值得關注的問題是大數據對傳統信息保護模式帶來的沖擊。傳統信息環境中醫療信息的處理受限于計算機性能，未能在產業中獲得深度開發利用。大數據的云存儲和高性能計算能力等可以充分挖掘個人醫療信息的潛在價值，并應用于科學研究和產業，國家公共醫療事業中的美好圖景得以實現。但這些新技術的應用可能導致傳統信息法律保護機制無法充分發揮作用，導致數據主體的個人醫療信息面臨更多更復雜的侵權風險。大數據的新技術特征首先表現為大數據能高速處理傳統數據庫技術無法應對的大容量、復雜數據集合；其次是數據獲得方式從傳統環境中的被動采集變成了基于移動互聯網、物聯網、科學實驗等的主動獲得模式[18]。除此之外，與傳統信息處理技術基于隨機采樣分析思維、從最少數據中獲得最多信息的模式不同，大數據不再追求精確性與因果關系，而是通過對紛繁混雜的全量數據進行分析，尋找數據間隱含的相關性，得到看似缺乏因果邏輯實則更加準確的預測結果[19]33-75。面臨著新技術運行機制的沖擊，大數據環境中個人醫療信息法律保護遇到了多方面的挑戰。

3.1 大數據對個人醫療信息保護基本原則的挑戰

個人醫療信息適用普通個人信息保護的基本原則，包括目的明確原則、限制利用原則等。目的明確原則即個人醫療信息的收集目的在收集前就應明確，其后的利用僅限于實現收集目的和與最初的收集目的不相抵觸的其他目的，變更后的目的也應該是明確的[3]198-199。限制利用原則即對個人醫療信息不得在目的外進行揭露、提供或利用，除非獲得個人數據主體同意或法律另有規定[3]198-199。這兩種原則是《OECD 個人資料保護指針》建議的個人信息保護基本原則，對其它國際組織乃至各國國內立法都產生了較大影響。在《通用數據保護條例》中，這些原則均有所體現。

但是在大數據環境中，此類原則將很難得到遵循。大數據的處理對象是由多類型數據組成的混雜數據集合，數據集合中的個人醫療信息與處理結果之間無直接的因果邏輯關系。在個人醫療信息收集的初始階段，我們難以預料數據將產生哪些用處[20]。例如谷歌公司曾經利用搜索引擎中收集到的海量用戶關鍵詞信息，預測特定地區流感或登革熱疫情的爆發機率，預測效率甚至高于官方機構。初期收集用戶關鍵詞信息時，谷歌公司自身可能都沒有預料到這些信息經檢測分析能夠用于傳染病預測。不難推斷，若要求信息在收集匯總階段就必須滿足目的明確原則，將難

以實現數據集合的混雜性要求，也得不到準確的預測結果。目的限制原則也面臨著類似問題。大數據環境中數據的價值已經不限于特定用途，二次利用乃至重復利用、數據集合重組等形式能夠挖掘出來的潛在價值遠遠大于其服務于初始目的的使用價值[19]33-75,132-140。如果數據在特定目的之外不能進行再次利用，將大大降低數據的經濟價值與使用效率，增加數據重新搜集的成本。

3.2 大數據對知情同意架構的挑戰

“知情同意”作為一項法律術語始于醫療領域，用于表達患者的自主，隨著社會信息化的發展，逐漸擴張成為個人信息保護的核心架構[21]。醫療信息的保護也需要遵循傳統個人信息保護的知情同意架構，即醫院、疾病防治機構等在搜集數據主體的數據之前應告訴數據主體需要哪些信息、如何處理、用于哪些用途等，依照法律規定獲得數據主體明確同意并許可后才能處理利用這些信息。在傳統信息環境中，個人醫療信息由數據控制者直接使用，或轉讓給后續控制主體直接使用。數據使用方式受限于技術水平而較為直接、簡單，易于為數據主體所理解，因此知情同意架構能夠降低數據風險，保護數據主體對個人醫療信息的自主決定權。在數據驅動經濟的發展下，數據已經成為企業的經濟與戰略資產，數據主體希望擁有與企業協商談判的機會以獲得回報，因此知情同意架構不僅是選擇的表達，還已經成為個人醫療信息經濟價值的協商工具[22]。

然而，大數據環境中知情同意架構可能失去了原有的效用。新的信息獲取方式和信息處理技術，超出了普通用戶的理解范圍，數據主體失去了在清晰、明確的意志下行使許可權利的機會。首先，數據控制者所擁有的數據，可能源于網絡服務器或者瀏覽器緩存，也有可能是利用大數據分析技術生成的電子數據集合，從而規避知情同意的程序。其次，在遵循“知情同意”架構的情形中，個人醫療信息的自主決定權也有可能被架空。例如，包括遠程醫療、社交通信在內的網絡企業均以免費形式提供產品，或者形成社交網絡的平臺鎖入效應，用戶注冊時只能選擇提交個人信息，并“同意”授權條款，否則無法享受便利服務或者參與互聯網人際交往。部分軟件甚至在新用戶注冊頁面直接將“同意”與“注冊”兩個按鈕合二為一。這在表面上是數據主體以個人信息換取便利，實質上是數據主體失去了自主選擇的權利。即使企業或者服務機構遵守類似于《通用數據保護條例》的規定，在授權條款中清晰、明確地陳列數據主體個人醫療信息的用途、處理方式、權利義務等內容，用戶面對長篇累牘的專業術語也難免無所適從。因此，“知情同意”流程淪為形式，個人醫療信息實際上成為了一種強制性交換條件，企業或服務機構則實現了搜集、利用個人醫療信息數據集合的目的[23]。最后，這種強制性交換意味著數據主體與數據控制者之間地位的不對等，數據主體無法通過“知情同意”架構獲得與個人醫療信息相對應的經濟回報。大數據環境中信息處理不是聚焦于單條用戶信息的特征分析，而是重點探究群體乃至國家的行為和態度[22]。從信息控制者來看，單個數據主體的信息貢獻難以估算，價值幾乎趨近于零。因此在信息搜集過程中，信息控制者會盡可能簡化“知情同意”程序，降低沉沒成本，更遑論為每一位數據主體提供談判機會。

3.3 大數據對個人醫療信息保護權利內容的挑戰

個人信息權的權利內容在持續適應與變化中，大數據與其中一些權利內容發生了抵觸，如被遺忘權。被遺忘權即個人數據刪除權，是指“數據主體對已被發布在網絡上的，有關自身不恰當的、過時的、繼續保留會導致其社會評價降低的信息，要求信息控制者予以刪除的權利”[24]。個人醫療信息的泄露或公開，有可能導致數據主體“社會評價降低”，甚至引起人格方面的歧視。《通用數據保護條例》在第17 條中首次將被遺忘權明確規定為數據主體的一項權利，賦予數據主體要求數據控制者刪除特定數據的權利。但是數據主體主張權利的對象僅僅是谷歌公司等網絡服務提供者及其提供的信息存儲平臺[23]74。在大數據環境中，數據流通已經不限于數據主體和信息控制者之間的直接交互。低價值密度的單條個人醫療信息經海量匯總后通過大數據分析能夠產生巨大的經濟價值，因此個人數據在網絡或瀏覽器緩存中被各種政府機構、非政府機構、商業組織等主動監測、搜集，參與多層次傳播或交易流程，形成了去中心化的存儲模式。數據主體甚至無法確定個人醫療數據已經被哪些實體所掌握，難以利用“被遺忘權”徹底清除網絡中的數據。考慮到這種情況，歐盟委員會在《通用數據保護條例》第17 條第2 款中規定信息控制者應約束數據的后續傳播，但僅要求信息控制者采取“合理措施”將數據主體的刪除請求通知后續數據控制者，沒有對后續數據控制者的行為進行限制。我國在《個人信息保護法》尚未發布的條件下，一般認為《侵權責任法》第36 條中關于“網絡用戶利用網絡服務實施侵權行為的，被侵權人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施”的規定是與被遺忘權的對應。該規定在大數據環境中跟《通用數據保護條例》中的被遺忘權條款存在同樣的問題，即被侵權的數據主體只能向網絡服務提供者提出刪除、屏蔽、斷開鏈接等請求，無法確保在后續信息傳播過程中，存儲有侵權內容的不確定第三方及時清除相關信息。

4 對大數據環境中個人醫療信息法律保護的建議

在市場開放、信息自由流動的信息化社會中，擁有一套完整且靈活的法律體制來適應技術創新的環境，社會經濟才能繁榮發展[25]。傳統信息環境中的個人信息保護分散立法的形式無法適應創新技術環境中數據主體對個人醫療信息的保護需求。雖然《個人信息保護法》已經被列入人大立法規劃，但是在個人信息專門立法出臺前制定個人醫療信息專門保護法的可能性不大。較為可行的方案是效仿歐盟模式，在《個人信息保護法》中對個人醫療信息作特殊考量。當然，效仿不意味著照搬。我國與歐盟諸成員國的國情不同，社會發展也存在較大差異。歐盟并未出現發達的互聯網產業，我國對人格尊嚴與自由等個人權益的保護也有待完善[26]。綜合考慮醫療信息本身的特殊性，以及大數據新技術特征給傳統信息處理模式帶來的沖擊，我國個人信息保護應當以“保護優于利用”為原則，明確個人信息屬于無財產性質的人格權，給予醫療信息以特殊類型的保護，并建立有效的行政監管機制。只有這樣才有可能實現醫療信息保護與產業利益、社會公共利益之間的平衡。

4.1 明確個人醫療信息權利的人格權屬性

個人醫療信息主體所享有的個人信息權一般被認為是兼具人格利益與財產利益的綜合性權利[5]70。但是，在傳統信息處理方式與大數據處理技術并存的現代社會，個人信息權的合理定位應該是一種新型人格權。人格利益因個人信息與數據主體人格尊嚴之間的密切聯系而成為個人信息的法律屬性，財產利益則不適用于個人信息權。換言之，個人醫療信息不應承載經濟價值。在“摩爾訴加州大學董事會案”一案中，被告的發明專利雖然是通過研究原告被切除細胞中的生物信息所獲得的成果，但原告沒有在專利研發中做出“創造性努力”，因此加州最高法院判定原告在本案中不享有財產性利益。如果賦予個人信息權以財產利益，允許數據主體與控制者之間自由交易、轉讓，將不利于數據主體的權益保護。一方面，如上文所論述，數據主體作為弱勢群體難以獲得相應的經濟回報。另一方面，大數據環境中數據搜集難度增加，數據主體理解能力有限，可能會被誘惑性或誤導性地行使個人醫療信息交易、轉讓權利，從而遭遇意識之外的侵權。例如患者將其醫療信息出售給不規范數據企業，企業因其技術保障措施不到位，遭遇黑客攻擊而泄露患者醫療信息等。知識產權中的著作權也兼具人格權與財產權性質，但與個人信息權有所不同。著作權中財產權利的設置是為了以經濟報酬鼓勵創新，有嚴格的地域性、期限性限制，超過時限則進入公共領域，成為共有資源。個人信息權則不宜以經濟利益鼓勵數據主體分享個人信息。個人醫療信息的開發利用雖然有公益性質，但不應成為公共資源，即使在數據主體死后仍應受到法律保護。

單條個人信息不具有經濟價值，經過專業機構的搜集、整理之后，數據集合才擁有較高的應用價值，從而對各類數據利用者產生極大的吸引力。在大數據環境中，數據也以批量數據集合的形式流轉。因此，我們應該賦予數據集合而非個人信息以財產權利屬性，以投資人或數據集合所有者為權利主體。將個人信息中挖掘出的財產利益賦予數據集合投資人或所有者的合理性存在于兩個方面。一方面，政府、社會組織、商業機構等搜集到個人信息并作匿名化處理后，數據集合財產權利所帶來的經濟報酬能激勵大數據開發與市場交易利用，促進行業經濟發展[27]。另一方面，這種權屬界定方式有利于增強市場主體的責任意識。大數據環境中數據集合的權利主體須承擔保護數據集合所涉個人信息權的義務。如果數據集合被不當利用或因其它原因而致數據主體權利受損，數據集合的權利主體應承擔相應的法律責任。由此，數據集合權利主體的個人信息保護意識得到強化，在交易或許可中會更為謹慎，形成預防性保護機制。當數據集合中的個人信息在數據處理、傳輸過程中遭遇侵權時，我們也能夠更明確地定位責任主體，為數據主體提供充分的救濟性保護。

4.2 完善對個人醫療信息的特殊保護

個人醫療信息因其敏感性而應受到更為嚴格的法律保護。過去曾有國家規定禁止對此類數據進行處理。但是醫療信息的社會公益性又意味著利用大數據等新技術手段研究開發醫療信息的必要性。因此，我們應該在嚴格限制的前提下，對個人醫療信息進行適當的開發與利用。首先，個人醫療信息利用應該僅限于非營利性的醫療與科學研究目的。此類非營利性質的目的限定，在實現疾病治療、傳染病預防等公益性目標時，可避免數據控制者對個人醫療信息的不規范使用。尤其是在限制利用原則、知情同意架構等傳統信息保護方式效用有限的大數據環境中，可有效規避商業機構追求經濟利潤最大化而非法收集、利用數據主體個人醫療信息帶來的風險。其次，個人醫療信息使用目的的限定性，不排除其它機構的營利性研究或存儲利用，如藥企進行藥物研發，但前提是個人醫療信息須經嚴格的匿名化處理，并報請行政機構審查批準。個人醫療信息的匿名化處理不僅要求去掉信息中的名稱、別名、病歷編號等標志性字段，還應對非關鍵字段作模糊化處理，避免使用者通過多個字段組合間接識別數據主體的身份。藥企應當在其處理方式與處理結果通過行政部門審批后，才可啟動信息處理項目，或者轉讓信息給其它機構。最后，傳統信息環境中的例外情形，同樣適用于大數據環境中的個人醫療信息，包括國家安全、公共衛生領域的公共利益等，且數據收集或處理機構均需采取適當措施保障數據主體的個人信息權。

4.3 建立個人醫療信息行政監管機制

大數據環境中個人醫療信息利益讓渡于公共利益，理應有更多公權力介入以保障數據主體的信息安全。同時，政府機構作為需求主體之一，在各類平臺中存儲有大量個人醫療信息。面對強大的政府機器，個人醫療信息遭遇政府機構或其員工非法利用時，數據主體難以有效地維護自身權利。因此，獨立的個人信息監管機構的建立很有必要。國際上已經有先行經驗可供借鑒。歐盟設立有數據保護委員會，它作為獨立的行政機關監督個人信息保護的全過程；日本個人數據委員會、韓國個人信息糾紛調解委員會，均可以通過相關程序保障信息主體的合法權利；美國雖然未成立專門的行政監管機構，但聯邦貿易委員會（FTC）可制裁企業的個人信息侵權行為[27]150。我國國家衛生健康委員會（以下簡稱衛健委）在2018 年發布的《國家健康醫療大數據標準、安全和服務管理辦法（試行）》中規定，健康醫療大數據的監督管理部門為衛健委，其監管職責主要是對“各類醫療衛生機構和相關企事業單位”進行檢查指導、監測評估，以及對違規者進行追責。但是該管理辦法的條款沒有詳細說明檢查內容、評估標準、合規界限等內容，也未明確傳統信息處理與健康醫療大數據應用之間的區別，導致邊界模糊而難以落實。不僅如此，衛健委負責健康醫療大數據的監管工作，網信部門負責網絡空間個人信息的監管工作，可能導致“多頭管理”，形成個人數據主體維權與救濟困難的局面。

因此，筆者建議我國設立專門的行政監管機構，確保《個人信息保護法》的有效實施，利用國家公權力為數據主體提供行政保護，強化對市場及政府數據使用行為的監督。對于個人醫療信息的保護，行政監管機構至少應當履行以下職責：一是對個人醫療信息的項目進行審查管理，確保充分匿名化之后才能進入限定目的之外的使用；二是監督各類數據控制者的醫療信息搜集、存儲、處理、轉讓等行為，發現可能侵權時及時制止，并對違規的使用行為予以制裁；三是為數據主體提供查詢、維權渠道，確保個人醫療信息知情權、修改權、刪除權等權利內容的有效施行，為權利遭受侵害的個人數據主體提供糾紛調解機制；四是為數據主體與其他相關人員提供暢通的舉報通道，調動利益相關方的力量形成社會監督機制，預防可能出現的數據違規使用行為。只有建立有效的行政監管機制，協調各方利益，才能充分保障個人信息權的實現。

5 結語

雖然在個人信息保護制度成形之前考慮個人醫療信息單獨立法還為時尚早，但針對個人醫療信息保護方式的探討卻有其必要性。當前個人信息保護法律缺位，公民信息因得不到妥善保護而被不當收集與利用，電信、網絡詐騙案件層出不窮，如徐玉玉案、李文星案、宋振寧案等，甚至有高校教授因個人信息泄露而成為詐騙案件受害人。大數據技術的實踐使得公民個人信息遭遇不當利用的風險進一步增加，具有較高集成利用價值的個人醫療信息更是首當其沖。因此，立法部門不僅應該加快個人信息保護立法的推進進程，還應當在制度設計中擺脫傳統框架的束縛，努力適應大數據技術的新特征，結合個人醫療信息的特點，在個人信息保護法中給予妥善保護，為個人醫療信息在大數據環境中的開發應用保駕護航。如果能夠充分利用大數據帶來的機遇，我國醫療、藥品研發行業乃至傳統中醫、針灸都有可能獲得新的發展契機，并實現突破性進展。