隱私保護(hù)視角下的個(gè)人健康數(shù)據(jù)監(jiān)管研究

粟 丹

(浙江工業(yè)大學(xué) 法學(xué)院，浙江 杭州 310023)

隨著大數(shù)據(jù)技術(shù)在健康醫(yī)療行業(yè)的廣泛應(yīng)用，全球醫(yī)療行業(yè)快速進(jìn)入以 Prevention(預(yù)防)、Prediction(預(yù)測(cè))、Precision(精準(zhǔn))、Personalization(個(gè)性化)和Participatory(參與)為主要特征的5P大數(shù)據(jù)時(shí)代。以大數(shù)據(jù)為驅(qū)動(dòng)的個(gè)人健康數(shù)據(jù)及處理這些數(shù)據(jù)的自動(dòng)化算法正悄無(wú)聲息地改變我們的生活方式、健康觀念和診療模式。它們?cè)跇O大促進(jìn)社會(huì)公共利益的同時(shí)，也帶來(lái)了數(shù)據(jù)孤島、信息安全及隱私泄露等多重挑戰(zhàn)。為平衡健康醫(yī)療數(shù)據(jù)使用過程中的公益與私權(quán)、推進(jìn)共享與保護(hù)的協(xié)同發(fā)展，世界各國(guó)相繼推出了個(gè)人信息保護(hù)法或健康醫(yī)療法等相關(guān)法律法規(guī)，由此形成了較有代表性的歐盟以GDPR法案為代表的強(qiáng)監(jiān)管模式及美國(guó)以HIPAA法案為代表的弱監(jiān)管模式。中國(guó)將健康醫(yī)療大數(shù)據(jù)定義為國(guó)家基礎(chǔ)性戰(zhàn)略資源，強(qiáng)調(diào)數(shù)據(jù)價(jià)值的開發(fā)利用，采取了軟法與硬法相結(jié)合的綜合監(jiān)管模式。這種模式雖然積極回應(yīng)了技術(shù)發(fā)展的制度需求，但還是存在制度供給不足和制度有效性不夠的現(xiàn)實(shí)困境。本文以隱私信息保護(hù)制度為中心，通過介紹和比較歐盟、美國(guó)及中國(guó)三個(gè)國(guó)家(地區(qū))的個(gè)人健康數(shù)據(jù)監(jiān)管模式，分析目前我國(guó)制度的不足，提出相應(yīng)的完善建議，以期促進(jìn)和規(guī)范我國(guó)健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展。

一、個(gè)人健康數(shù)據(jù)化的產(chǎn)生及法律挑戰(zhàn)

(一)個(gè)人健康數(shù)據(jù)化的產(chǎn)生

近年來(lái)，隨著世界各國(guó)的醫(yī)療信息平臺(tái)和人口健康信息平臺(tái)的建成使用，全球的健康醫(yī)療數(shù)據(jù)以前所未有的態(tài)勢(shì)爆發(fā)式增長(zhǎng)，人類被帶入一個(gè)解讀生命密碼、認(rèn)識(shí)疾病本源、重新定義健康的顛覆醫(yī)療時(shí)代。(1)顛覆醫(yī)療是美國(guó)醫(yī)生托普提出的概念，是指新興技術(shù)與新商業(yè)模式在健康醫(yī)療行業(yè)的結(jié)合應(yīng)用，全面顛覆了以往我們對(duì)醫(yī)療的認(rèn)知結(jié)構(gòu)。參見埃里克·托普《顛覆醫(yī)療：大數(shù)據(jù)時(shí)代的個(gè)人健康革命》，張南等譯，北京：電子工業(yè)出版社，2014年。正如美國(guó)心臟病學(xué)專家埃里克·托普醫(yī)生所言，隨著傳感、納米等技術(shù)的發(fā)展，科技對(duì)人的信息感知已經(jīng)打破了空間和時(shí)間的限制，醫(yī)學(xué)診斷正演化為全人全程的信息跟蹤、預(yù)測(cè)預(yù)防和個(gè)性化治療。[1]大數(shù)據(jù)技術(shù)之所以能帶來(lái)醫(yī)療行業(yè)的革命和顛覆性創(chuàng)新，是因?yàn)橐环矫驷t(yī)療研究的對(duì)象是人體本身，現(xiàn)代生物信息技術(shù)的發(fā)展改變了人類關(guān)于“人”的認(rèn)知和理解(2)在生物信息技術(shù)的話語(yǔ)中，人體和人類生活被認(rèn)為是數(shù)據(jù)和信息流的組合，參見Luna Dolezal，“Human life as digitised data assemblage: health, wealth and biopower in Gary Shteyngart’s Super Sad True Love Story”, Medical Humanities, 1-6, 2016。，出現(xiàn)了數(shù)字人的概念(3)美國(guó)著名隱私法研究專家Solove教授早在2004年就提出了數(shù)字人(digital person)的概念。參見Daniel J. Solove, The Digital Person: Technology and Privacy in the Information Age, New York: NYU Press, 2004。；另一方面全球醫(yī)療的重心正從傳統(tǒng)的診斷與治療轉(zhuǎn)向預(yù)防與康復(fù)，后者因?yàn)楦嗟匾蕾嚁?shù)據(jù)的采集和判斷，從而使醫(yī)療的本質(zhì)演變?yōu)榻】禂?shù)據(jù)的處理。[2]故美國(guó)醫(yī)生科斯格羅夫一針見血地指出，無(wú)論醫(yī)療服務(wù)提供者是否愿意，醫(yī)學(xué)必定從基于能力的藝術(shù)，轉(zhuǎn)變?yōu)榛跀?shù)據(jù)驅(qū)動(dòng)的科學(xué)。[3]

大數(shù)據(jù)技術(shù)的核心不在于數(shù)據(jù)量大，而在于增強(qiáng)了從海量數(shù)據(jù)中提取有效信息的能力。[4](PP.330-338)如今，傳統(tǒng)醫(yī)療的經(jīng)驗(yàn)決策已經(jīng)越來(lái)越多地被人工智能技術(shù)和自主決策技術(shù)所取代(4)Wang, Y., Kung, L., Byrd, T.A., “Big data analytics: understanding its capabilities and potential benefits for healthcare organizations”, Technological Forecasting & Social Change, 1, 2018. http://dx.doi.org/10.1016/j.techfore.2015.12.019. In Press. http://www.sciencedirect.com/science/article/pii/S0040162516000500.，傳統(tǒng)醫(yī)患關(guān)系中的患者也因此變成了e-患者。e-患者一詞來(lái)源于與它特性相關(guān)的一些英文單詞，如授權(quán)(empowered)、參與(engaged)、擁有(equipped)、能夠(enable)、平等(equal)及專家(expert)，這些詞代表了互聯(lián)網(wǎng)時(shí)代的新型醫(yī)患關(guān)系。[5]從數(shù)據(jù)的角度而言，e-患者意味著醫(yī)療數(shù)字人的出現(xiàn)。醫(yī)療數(shù)字人是指利用現(xiàn)代信息技術(shù)，采集人體自身的數(shù)據(jù)，在電腦系統(tǒng)里合成三維人體結(jié)構(gòu)，從而實(shí)現(xiàn)對(duì)人體細(xì)胞、組織、器官和整體等層次的精確模擬，構(gòu)建人體的組織形態(tài)、物理功能和生物功能的信息系統(tǒng)。[6]醫(yī)療數(shù)字人的出現(xiàn)說明人類已經(jīng)擁有數(shù)字化人體的能力，這種能力是一種擁有遠(yuǎn)程持續(xù)監(jiān)測(cè)每次心跳、每時(shí)每刻血壓讀數(shù)、呼吸頻率與深度、體溫、血氧濃度、血糖、腦電波、活動(dòng)、心情等所有生命與生活指征的能力。[1]

數(shù)字化人體同時(shí)也是將從無(wú)線生物傳感器、基因組測(cè)序或成像設(shè)備中收集的個(gè)體信息與傳統(tǒng)醫(yī)學(xué)數(shù)據(jù)相結(jié)合，并不斷更新的過程。這個(gè)不斷更新的過程催生了個(gè)人健康數(shù)據(jù)化。個(gè)人健康數(shù)據(jù)化并非僅僅是指應(yīng)用大數(shù)據(jù)技術(shù)收集人體數(shù)據(jù)，而是指對(duì)個(gè)人健康數(shù)據(jù)新價(jià)值的挖掘和利用，這是數(shù)據(jù)化(Datafication)區(qū)別于數(shù)字化(Digitalization)和信息化(Informationization)的重要特征。信息化一般是指將現(xiàn)實(shí)物理世界存在的事物，通過二進(jìn)制編碼，以電子終端形式呈現(xiàn)出來(lái)，但這個(gè)信息錄入是通過人工完成的。數(shù)字化是信息化的發(fā)展，是指由機(jī)器完成數(shù)據(jù)的實(shí)時(shí)采集和分析。[7]而數(shù)據(jù)化則是數(shù)字化的進(jìn)一步拓展和推進(jìn)[8](P.16)，是通過結(jié)構(gòu)化聚合方式將數(shù)字化的信息進(jìn)一步條理化，其核心內(nèi)涵是對(duì)大數(shù)據(jù)的深刻認(rèn)識(shí)和本質(zhì)利用。[9]由此，可以將個(gè)人健康數(shù)據(jù)化定義為：存儲(chǔ)并整合人體中固有的或與健康相關(guān)的數(shù)據(jù)，并將這些數(shù)據(jù)轉(zhuǎn)換為具有與原始數(shù)據(jù)內(nèi)容相關(guān)或不相關(guān)的有價(jià)值的新形式。[10](PP.37-55)

(二)個(gè)人健康數(shù)據(jù)化的隱私挑戰(zhàn)

由個(gè)人健康數(shù)據(jù)化的定義可知，個(gè)人健康數(shù)據(jù)化是應(yīng)用數(shù)據(jù)處理技術(shù)來(lái)挖掘并利用健康醫(yī)療數(shù)據(jù)價(jià)值的新型技術(shù)手段。有學(xué)者將個(gè)人健康數(shù)據(jù)化的數(shù)據(jù)來(lái)源和處理情形分為五個(gè)層級(jí)：第一層級(jí)是隨時(shí)可以數(shù)據(jù)化的個(gè)人信息，主要是指由智能手機(jī)、互聯(lián)網(wǎng)搜索、醫(yī)療和健身設(shè)備等方式采集的信息，也包括由藥店、醫(yī)療診所和醫(yī)院等醫(yī)療保健提供商通過電子醫(yī)療記錄收集和處理的數(shù)據(jù)；第二層級(jí)是指可識(shí)別的臨床數(shù)據(jù)及其他與健康有關(guān)的數(shù)據(jù)，這些數(shù)據(jù)被收集、存儲(chǔ)并分發(fā)給醫(yī)療機(jī)構(gòu)、醫(yī)療保險(xiǎn)組織、業(yè)務(wù)分析和市場(chǎng)分析公司等第三方；第三層級(jí)與第二層緊密相連，涉及數(shù)據(jù)代理公司的數(shù)據(jù)代理機(jī)制，主要是指負(fù)責(zé)數(shù)據(jù)代理和數(shù)據(jù)聚合的私人公司在數(shù)據(jù)主體不知情的情況下，[10](PP.37-55)從第一、第二層級(jí)收集原始數(shù)據(jù)進(jìn)行分析，以及從其他公開的和私人的原始數(shù)據(jù)來(lái)源中收集與健康有關(guān)的個(gè)人信息；第四層級(jí)是國(guó)家政府、國(guó)際公共組織及私人組織，出于產(chǎn)品營(yíng)銷、欺詐檢查、科學(xué)研究、政策建議、監(jiān)督等各種目的而對(duì)我們的個(gè)人健康相關(guān)數(shù)據(jù)進(jìn)行二次使用、銷售、分發(fā)和處理；第五層主要是理論層面和制度層面的，包括個(gè)人健康數(shù)據(jù)保護(hù)的國(guó)際條約和協(xié)定等等。[10](PP.37-55)

健康醫(yī)療數(shù)據(jù)屬于我們生活中高度敏感和私密的個(gè)人數(shù)據(jù)，但其處理行為卻涉及了個(gè)人、政府、醫(yī)藥公司、保險(xiǎn)公司、數(shù)據(jù)代理公司、互聯(lián)網(wǎng)企業(yè)等多個(gè)利益相關(guān)者的多個(gè)流程和環(huán)節(jié)，這些社會(huì)主體無(wú)所不在的數(shù)據(jù)收集行為及完整的人格圖像，極易挖掘出個(gè)人不愿為他人知曉的敏感信息并引發(fā)寒蟬效應(yīng)。[11](P.93)如第一層級(jí)的智能手機(jī)公司可以長(zhǎng)期收集和記錄個(gè)人健康信息。第二層級(jí)的醫(yī)療相關(guān)機(jī)構(gòu)和第三層級(jí)的數(shù)據(jù)代理人可以在我們知情同意的情況通過算法重構(gòu)我們的數(shù)字身份。2017年2月27日，英國(guó)《衛(wèi)報(bào)》報(bào)道，英國(guó)國(guó)家保健醫(yī)療系統(tǒng)丟失了高達(dá)70萬(wàn)份的醫(yī)療資料，這是NHS 建立以來(lái)出現(xiàn)的規(guī)模最大的醫(yī)療信息泄漏事件。[12]2019年，美國(guó)衛(wèi)生與公共服務(wù)部(HHS)民權(quán)辦公室網(wǎng)站數(shù)據(jù)顯示，相較于2018年，全美醫(yī)療保健數(shù)據(jù)泄露事件增幅高達(dá)196%。[13] 2020年8月26日，浙江省衛(wèi)健委公開通報(bào)了10個(gè)疫情防控期間的典型違法案件，其中浙江平湖市一醫(yī)院的一位醫(yī)師因泄露新冠患者的隱私而被暫停執(zhí)業(yè)半年。[14]

健康醫(yī)療數(shù)據(jù)的處理行為對(duì)現(xiàn)有隱私制度的最大挑戰(zhàn)在于，基于告知同意原則而帶來(lái)的“無(wú)限授權(quán)效應(yīng)”。所謂無(wú)限授權(quán)效應(yīng)是指信息主體在原始的收集、使用目的之下的同意，產(chǎn)生了無(wú)限擴(kuò)張至往后的針對(duì)個(gè)人資料所有的再使用或組合使用的效果。這種以收集階段同意，無(wú)限貫穿或擴(kuò)張至所有的個(gè)人信息處理行為，使得傳統(tǒng)的告知同意原則在現(xiàn)實(shí)中顯得左支右絀。[15](P.214)許多學(xué)者質(zhì)疑以透明性與當(dāng)事人自主選擇為核心的告知同意制度是否能為數(shù)據(jù)人提供有效的信息隱私保護(hù)。[15](P.221)從法理上而言，無(wú)限授權(quán)效應(yīng)也構(gòu)成對(duì)現(xiàn)有立法中的隱私規(guī)則的最大挑戰(zhàn)，世界各國(guó)都呼喚新的隱私規(guī)則來(lái)應(yīng)對(duì)新技術(shù)帶來(lái)的新挑戰(zhàn)。

二、個(gè)人健康數(shù)據(jù)監(jiān)管的域外模式

為保護(hù)個(gè)人健康數(shù)據(jù)中的隱私信息，大多數(shù)國(guó)家都出臺(tái)或更新了個(gè)人信息保護(hù)立法，并形成以歐盟的《一般數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱GDPR)為代表與以美國(guó)的《健康保險(xiǎn)攜帶和責(zé)任法案》(簡(jiǎn)稱HIPAA)為代表的兩種監(jiān)管模式。

(一)歐盟以GDPR為代表的集中監(jiān)管模式

歐盟主要從個(gè)人基本權(quán)利和患者權(quán)利兩方面來(lái)保護(hù)個(gè)人健康信息。(5)有學(xué)者指出，歐盟的患者權(quán)利法雖然沒有直接規(guī)定數(shù)據(jù)保護(hù)立法，但患者的隱私權(quán)、身體完整權(quán)及醫(yī)療保密權(quán)等權(quán)利規(guī)定也間接影響了個(gè)人健康信息保護(hù)。參見Carlisle George，Diane Whitehouse，Penny Duquenoy, E-Health: Legal, Ethical and Governance Challenges, Berlin：Springer-Verlag, 2013。早在1995年，歐盟就在《關(guān)于個(gè)人數(shù)據(jù)處理中個(gè)人權(quán)利保護(hù)及促進(jìn)數(shù)據(jù)自由流通的指令》(簡(jiǎn)稱《1995指令》)中規(guī)定了個(gè)人數(shù)據(jù)保護(hù)的最低標(biāo)準(zhǔn)和目標(biāo)。2009年針對(duì)物聯(lián)網(wǎng)的興起，歐盟制定了《歐盟物聯(lián)網(wǎng)行動(dòng)計(jì)劃》，強(qiáng)調(diào)將持續(xù)監(jiān)督隱私和個(gè)人數(shù)據(jù)保護(hù)，并提出將開展有關(guān)“芯片沉默權(quán)利”的技術(shù)和法律層面的辯論會(huì)。(6)《歐盟物聯(lián)網(wǎng)行動(dòng)計(jì)劃》中的行動(dòng)三指出，歐盟委員會(huì)將開展有關(guān)“芯片沉默權(quán)利”技術(shù)和法律層面的辯論，它將涉及不同的用戶在使用不同的名字表達(dá)個(gè)人想法時(shí)，可以隨時(shí)斷開他們的網(wǎng)絡(luò)。https://ec.europa.eu/transparency/regdoc/rep/1/2009/EN/COM-2009-278-F1-EN-MAIN-PART-1.PDF.同年歐盟還公布了《歐盟健康大數(shù)據(jù)行動(dòng)計(jì)劃》，以此來(lái)主導(dǎo)健康大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。2015年，《歐盟-美國(guó)隱私保護(hù)盾》作為新的跨大西洋數(shù)據(jù)流框架，取代了2000年的《歐盟-美國(guó)安全港》框架，就個(gè)人信息保護(hù)救濟(jì)手段做出了專門規(guī)定。[16]2016年，歐盟議會(huì)通過《一般數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱GDPR)。GDPR一方面將個(gè)人數(shù)據(jù)作為基本權(quán)利予以全面保護(hù)，另一方面大大拓寬其適用范圍，規(guī)定無(wú)論是不是在歐盟境內(nèi)成立的機(jī)構(gòu)，只要其提供產(chǎn)品和服務(wù)的過程中處理了歐盟境內(nèi)的個(gè)人數(shù)據(jù)都適用于GDPR。(7)如一個(gè)美國(guó)供應(yīng)商向歐盟個(gè)人提供的云服務(wù)，即使該服務(wù)不需要支付費(fèi)用，且供應(yīng)商在歐盟沒有設(shè)立機(jī)構(gòu)，如果涉及處理個(gè)人數(shù)據(jù)，也要受到GDPR的監(jiān)管。參見W. Gregory Voss, “European Union Data Privacy Law Reform: General Data Protection Regulation, Privacy Shield, and the Right to Delisting”, The Business Lawyer, vol. 72, 2016-2017, pp. 221-233。歐盟將個(gè)人數(shù)據(jù)權(quán)利視為基本權(quán)利進(jìn)行嚴(yán)格保護(hù)，通過制定統(tǒng)一的個(gè)人信息保護(hù)法，規(guī)范數(shù)據(jù)企業(yè)的數(shù)據(jù)處理行為，設(shè)置統(tǒng)一的數(shù)據(jù)監(jiān)管部門，加大處罰力度來(lái)保護(hù)個(gè)人的數(shù)據(jù)權(quán)利。這被認(rèn)為是全世界最為嚴(yán)格的數(shù)據(jù)保護(hù)制度。在健康隱私信息方面，主要有以下一些代表性規(guī)定：

1.賦予個(gè)人數(shù)據(jù)權(quán)利并明確同意規(guī)則。由于健康信息往往多是高度敏感的私密信息，患者對(duì)如何收集這些信息、誰(shuí)有權(quán)訪問以及如何存儲(chǔ)這些信息幾乎一無(wú)所知。GDPR使患者有更多機(jī)會(huì)了解這些信息，并掌握自己的數(shù)據(jù)處理情況。(8)如條例第17條規(guī)定，當(dāng)個(gè)人數(shù)據(jù)已和收集處理的目的無(wú)關(guān)、數(shù)據(jù)主體不希望其數(shù)據(jù)被處理或數(shù)據(jù)控制者已沒有正當(dāng)理由保存該數(shù)據(jù)時(shí)，數(shù)據(jù)主體可以隨時(shí)要求收集其數(shù)據(jù)的企業(yè)或個(gè)人刪除其個(gè)人數(shù)據(jù)。如果該數(shù)據(jù)被傳遞給了任何第三方機(jī)構(gòu)(或網(wǎng)站)，數(shù)據(jù)控制者應(yīng)通知該第三方刪除該數(shù)據(jù)。數(shù)據(jù)主體有權(quán)向數(shù)據(jù)控制者索取本人數(shù)據(jù)并自主決定使用用途。參見Regulation (EU) 2016/679, Art.17. https://gdpr-info.eu/art-17-gdpr/。不僅明確了“基因數(shù)據(jù)”“生物性識(shí)別數(shù)據(jù)”“與健康相關(guān)的數(shù)據(jù)”(9)GDPR規(guī)定，“與健康有關(guān)的數(shù)據(jù)”是指和自然人的身體或精神健康相關(guān)的、顯示其個(gè)人健康狀況信息的個(gè)人數(shù)據(jù)，包括與衛(wèi)生保健相關(guān)的服務(wù)。參見Regulation (EU) 2016/679, Art.4. https://gdpr-info.eu/art-4-gdpr/。三個(gè)概念，還規(guī)定了數(shù)據(jù)主體的訪問權(quán)、更正權(quán)、被遺忘權(quán)、可攜帶權(quán)等數(shù)據(jù)權(quán)利，以此來(lái)確保個(gè)體對(duì)自身健康數(shù)據(jù)的控制。除了明確數(shù)據(jù)權(quán)利之外，GDPR還明晰了同意規(guī)則，同意規(guī)則是數(shù)據(jù)處理的核心，因?yàn)閿?shù)據(jù)處理的前提是要得到數(shù)據(jù)主體的同意。同《1995指令》一樣，GDPR仍將個(gè)人同意作為個(gè)人信息收集和使用的前提，同時(shí)GDPR還進(jìn)一步規(guī)定了“同意”概念(10)GDPR第7條規(guī)定，個(gè)人同意是指數(shù)據(jù)主體通過書面聲明或經(jīng)由一個(gè)明確的肯定性動(dòng)作，表示同意對(duì)其數(shù)據(jù)進(jìn)行處理。參見Regulation (EU) 2016/679, Art.4. https://gdpr-info.eu/art-7-gdpr/。以及“有效同意”的幾種情形(11)其一，同意必須是建立在數(shù)據(jù)主體作出聲明，或者作出清晰的肯定性動(dòng)作的基礎(chǔ)之上，才能被認(rèn)為是有效；其二，數(shù)據(jù)主體可以隨時(shí)撤回其同意，且數(shù)據(jù)控制方應(yīng)當(dāng)提前告知數(shù)據(jù)主體享有收回同意的權(quán)利；其三，若將不必要的個(gè)人數(shù)據(jù)處理作為契約履行的條件，則不被認(rèn)為是同意。參見Regulation (EU) 2016/679, Art.7. https://gdpr-info.eu/art-7-gdpr/。。

2.嚴(yán)格問責(zé)數(shù)據(jù)控制者和數(shù)據(jù)處理者。健康醫(yī)療數(shù)據(jù)來(lái)源于多種數(shù)據(jù)源，尤其是對(duì)數(shù)據(jù)處理者而言，他們可以在我們知情同意或不知情的情況下收集、使用及傳播我們已識(shí)別或可識(shí)別的個(gè)人健康信息，而作為數(shù)據(jù)主體的我們往往成為達(dá)到他們商業(yè)目的的一種手段。(12)參見S. Davies, “Re-Engineering the Right to Privacy: How Privacy Has Been Transformed from a Right to a Commodity”, in P. E. Agre, M. Rotenberg, eds., Technology and Privacy: The New Landscape, Cambridge, MA: MIT Press, 1998；Paul Schwartz, “For a discussion: Property, Privacy, and Personal Data”, Harvard Law Review, 117, 2004。為保障個(gè)體的合法權(quán)益，GDPR對(duì)數(shù)據(jù)控制者和數(shù)據(jù)處理者采取了嚴(yán)格問責(zé)制，這些責(zé)任主要體現(xiàn)在以下四方面：一是直接規(guī)定數(shù)據(jù)處理者的義務(wù)；二是要求數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)當(dāng)簽署詳細(xì)的數(shù)據(jù)處理協(xié)議；三是數(shù)據(jù)處理者只有在獲得數(shù)據(jù)控制者的事先同意后，才能進(jìn)行下一級(jí)數(shù)據(jù)處理；四是數(shù)據(jù)處理者在數(shù)據(jù)控制者允許的范圍外開展數(shù)據(jù)處理行為，將被GDPR認(rèn)定為數(shù)據(jù)控制方，同時(shí)應(yīng)履行數(shù)據(jù)控制者相同的責(zé)任。[17]

3.追求公益與私利的平衡。GDPR雖然將個(gè)人數(shù)據(jù)作為公民基本權(quán)利予以全面保護(hù)，但這并非是其唯一的立法目的，其更主要的立法目的是要協(xié)調(diào)歐盟境內(nèi)各成員國(guó)間不同的個(gè)人數(shù)據(jù)保護(hù)法令，實(shí)現(xiàn)個(gè)人信息保護(hù)與數(shù)據(jù)自由流動(dòng)之間的平衡，以促進(jìn)數(shù)據(jù)的跨境流通和公共領(lǐng)域的數(shù)據(jù)共享[18](P.31)。尤其是在涉及公共衛(wèi)生、傳染病監(jiān)測(cè)等關(guān)乎公眾重大利益的領(lǐng)域，GDPR授權(quán)的相關(guān)部門可以在未經(jīng)個(gè)人同意的情況下收集和處理個(gè)人隱私數(shù)據(jù)，主要表現(xiàn)在：其一，賦予一定情形下的數(shù)據(jù)處理的合法性；(13)如第6條規(guī)定，當(dāng)個(gè)人數(shù)據(jù)處理是為了“保護(hù)數(shù)據(jù)主體或其他自然人的重要利益所必要”時(shí)，可不征得數(shù)據(jù)主體的同意。參見Regulation (EU) 2016/679, Art.6. https://gdpr-info.eu/art-6-gdpr/。其二，賦予特殊類型的個(gè)人數(shù)據(jù)處理的合法性和正當(dāng)性；(14)第9條規(guī)定，可以處理對(duì)于預(yù)防性醫(yī)學(xué)或臨床醫(yī)學(xué)目的是必需的、為了實(shí)現(xiàn)公共健康領(lǐng)域的公共利益所必需的個(gè)人數(shù)據(jù)。參見Regulation (EU) 2016/679, Art.9. https://gdpr-info.eu/art-9-gdpr/。其三，賦予相關(guān)主體對(duì)公共健康和公共利益領(lǐng)域的數(shù)據(jù)處理行為(15)第23條規(guī)定，數(shù)據(jù)控制者或處理者可以處理關(guān)于公共健康和社會(huì)安全的數(shù)據(jù)。參見Regulation (EU) 2016/679, Art.23. https://gdpr-info.eu/art-23-gdpr/。。當(dāng)然，特殊情況下的數(shù)據(jù)處理也同樣需要遵守合法性、準(zhǔn)確性、最小化等個(gè)人數(shù)據(jù)保護(hù)基本原則，并應(yīng)當(dāng)采取匿名化處理方式。

4.建立完備的數(shù)據(jù)監(jiān)管機(jī)制。與《1995指令》的指導(dǎo)性作用相比，GDPR建立了更為詳盡和完備的監(jiān)管機(jī)制。首先在監(jiān)管主體方面，建立了數(shù)據(jù)監(jiān)管最高機(jī)構(gòu)。歐盟成立了數(shù)據(jù)監(jiān)管的最高機(jī)構(gòu)數(shù)據(jù)保護(hù)委員會(huì)，數(shù)據(jù)保護(hù)委員會(huì)具有現(xiàn)場(chǎng)調(diào)查、審計(jì)、命令修改、刪除或銷毀個(gè)人數(shù)據(jù)等權(quán)力，從而統(tǒng)一了各成員國(guó)數(shù)據(jù)監(jiān)督機(jī)構(gòu)的權(quán)力和任務(wù)。[10](PP.37-55)其次在監(jiān)管內(nèi)容方面，GDPR確立了一站式(one-stop-shop)監(jiān)管機(jī)制，規(guī)定數(shù)據(jù)控制者與處理者的主營(yíng)業(yè)機(jī)構(gòu)決定主數(shù)據(jù)保護(hù)機(jī)構(gòu)，主數(shù)據(jù)保護(hù)機(jī)構(gòu)行使統(tǒng)一的管轄權(quán)，不同成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)與主數(shù)據(jù)監(jiān)管機(jī)構(gòu)之間進(jìn)行監(jiān)管合作。最后在執(zhí)行措施方面，歐盟明確了監(jiān)管機(jī)構(gòu)的執(zhí)法權(quán)力并加大了處罰力度。GDPR規(guī)定了各監(jiān)管機(jī)構(gòu)的行政執(zhí)法權(quán)力范圍，包括行政檢查權(quán)、行政處罰權(quán)及訴訟權(quán)，針對(duì)一些重大違規(guī)事件處以高昂的罰金，最高罰金高達(dá)2000萬(wàn)歐元或前一年全球財(cái)產(chǎn)收入的4%。(16)一種違法行為是沒有實(shí)施充分的IT安全保障措施，或沒有提供全面透明的隱私政策等，處以罰金1000萬(wàn)歐元或上一年度全球營(yíng)收2%的罰款。另一種是無(wú)法說明如何獲得用戶同意、違反數(shù)據(jù)處理的一般性原則、侵害數(shù)據(jù)主體合法權(quán)利等，處以罰金2000萬(wàn)歐元或前一財(cái)年全球收入的4%。參見Regulation (EU) 2016/679, Art.83. https://gdpr-info.eu/art-83-gdpr/。

(二)美國(guó)以HIPAA為中心的多重監(jiān)管模式

美國(guó)主要是從隱私權(quán)和消費(fèi)者權(quán)益保護(hù)的角度來(lái)保護(hù)個(gè)人健康信息。1996年，美國(guó)國(guó)會(huì)頒布了《健康保險(xiǎn)攜帶和責(zé)任法案》(HIPAA)，這部法案成為美國(guó)健康醫(yī)療信息保護(hù)的主體性制度。2000年美國(guó)衛(wèi)生與人類服務(wù)部又制定了《個(gè)人可識(shí)別健康信息的隱私標(biāo)準(zhǔn)》，該隱私規(guī)則作為HIPAA法案的一部分，成為美國(guó)第一個(gè)個(gè)人醫(yī)療健康信息的保護(hù)標(biāo)準(zhǔn)，其主要目的是在保證醫(yī)療數(shù)據(jù)合理流動(dòng)的同時(shí)，確保個(gè)人醫(yī)療健康信息得到法律保護(hù)。2003年HIPAA中的《安全標(biāo)準(zhǔn)》與《交易標(biāo)準(zhǔn)》生效。2009年，美國(guó)國(guó)會(huì)通過了《經(jīng)濟(jì)和臨床健康的健康信息技術(shù)法案》(HITECH)，HITECH進(jìn)一步完善了1996年的HIPAA法。2015年，美國(guó)政府發(fā)布《消費(fèi)者隱私權(quán)利法案(草案)》該法案旨在為消費(fèi)者提供綱領(lǐng)性的隱私基本保障，以提升消費(fèi)者信任及信心，同時(shí)確保充分的靈活性以促進(jìn)數(shù)據(jù)的自由流動(dòng)與開放。[11](P.96)2018年美國(guó)加州通過了隱私法《加州消費(fèi)者隱私法》(CCPA)，該法案賦予消費(fèi)者更多的信息控制權(quán)，對(duì)企業(yè)施以更嚴(yán)苛的義務(wù)，被認(rèn)為是最為全面和嚴(yán)厲的，也最接近GDPR的美國(guó)法律。同歐盟一樣，美國(guó)的健康信息保護(hù)立法也強(qiáng)調(diào)患者的信息控制權(quán)，但它不是通過制定統(tǒng)一的聯(lián)邦立法來(lái)進(jìn)行集中監(jiān)管，而是鼓勵(lì)企業(yè)在醫(yī)療產(chǎn)品和服務(wù)的設(shè)計(jì)階段就將安全性和隱私性融入其中，使風(fēng)險(xiǎn)通過嵌入式控制設(shè)計(jì)得以緩解，從而實(shí)現(xiàn)對(duì)個(gè)人醫(yī)療信息隱私的保護(hù)。[10](PP.37-55)同時(shí)還廣泛使用標(biāo)準(zhǔn)化、準(zhǔn)則和行業(yè)自律等監(jiān)管工具作為實(shí)踐指導(dǎo)，由此形成了多重監(jiān)管模式。

HIPAA及其相關(guān)法案對(duì)健康醫(yī)療數(shù)據(jù)的規(guī)制主要表現(xiàn)為以下四個(gè)方面：

1.明確了HIPAA法案的適用范圍。HIPAA法案規(guī)定的醫(yī)療信息可以廣泛應(yīng)用于與醫(yī)療信息接觸的醫(yī)療保健提供者、數(shù)據(jù)處理者、藥房及其他實(shí)體(Covered Entity，CE) 和商業(yè)伙伴(Associates Business，AB)。(17)2013年初美國(guó)HHS頒布綜合規(guī)則(Omnibus Rule)，增加了商業(yè)伙伴(Business Associate，BA)，要求BA與CE應(yīng)該遵守相同的法律準(zhǔn)則。參見李瑩瑩、胡冉、朱燁琳《促進(jìn)健康醫(yī)療大數(shù)據(jù)規(guī)范化應(yīng)用》，《OMAHA白皮書》，2018年第10期，http://www.omaha.org.cn/data/upload/portal/20181029/5bd6d537a4ed1.pdf。HIPAA法案主要通過隱私、安全及交易三項(xiàng)規(guī)則來(lái)實(shí)施。“隱私規(guī)則”中規(guī)定了“個(gè)人身份識(shí)別健康信息隱私標(biāo)準(zhǔn)”，即受保護(hù)的健康信息的收集和使用范圍。“安全規(guī)則”規(guī)定了“電子健康信息保護(hù)安全標(biāo)準(zhǔn)”，即受保護(hù)的健康信息的存儲(chǔ)與使用的安全規(guī)則，強(qiáng)調(diào)數(shù)據(jù)使用者應(yīng)遵守機(jī)密性、完整性和可用性的國(guó)家標(biāo)準(zhǔn)。“交易規(guī)則”規(guī)定了“電子交易標(biāo)準(zhǔn)”，即所有醫(yī)療機(jī)構(gòu)都必須按統(tǒng)一標(biāo)準(zhǔn)提供電子數(shù)據(jù)，以此確保全國(guó)所有的醫(yī)療機(jī)構(gòu)和醫(yī)療保險(xiǎn)機(jī)構(gòu)都使用同一套標(biāo)準(zhǔn)的醫(yī)學(xué)編碼。

2.明確了患者的信息支配權(quán)及授權(quán)規(guī)則。HIPAA法案的隱私規(guī)則中提出了“受保護(hù)的健康信息”(Protected Health Information，PHI)(18)受保護(hù)的健康信息是指由適用主體或其商業(yè)伙伴持有或傳輸?shù)囊钥陬^、書面和電子等形式或媒體存在的可識(shí)別的個(gè)人健康信息。和“可識(shí)別的個(gè)人健康信息”(Individually Identifiable Health Information，IIHI)(19)可識(shí)別的健康信息是健康信息的一個(gè)子集，指的是個(gè)人過去、目前和未來(lái)的生理和心理健康狀況、醫(yī)療護(hù)理狀況及與醫(yī)療護(hù)理相關(guān)的支付信息，并且這些信息包含了法律規(guī)定的能夠識(shí)別出個(gè)人的18項(xiàng)身份識(shí)別信息中的至少一項(xiàng)。兩個(gè)概念，規(guī)定個(gè)人對(duì)自己的醫(yī)療信息具有訪問權(quán)、修改權(quán)、攜帶權(quán)和知情權(quán)。患者的知情同意分為一般授權(quán)同意和特殊授權(quán)同意。當(dāng)CE為了制作內(nèi)部的病歷索引或者告知患者家人病情時(shí)，只需要患者口頭同意即可；而當(dāng)CE使用患者的心理診斷記錄或者利用患者的PHI獲取經(jīng)濟(jì)利益時(shí)，則需要患者的特殊授權(quán)，且授權(quán)形式必須是書面語(yǔ)言，同時(shí)對(duì)于使用機(jī)構(gòu)名稱、使用目的、結(jié)束日期等具體內(nèi)容，患者享有撤回權(quán)。

3.明確了醫(yī)療信息使用和披露的一般規(guī)則與特殊規(guī)則。HIPAA法案明確了CE和BA在處理個(gè)人數(shù)據(jù)過程中應(yīng)遵守的一般規(guī)則。其一，隱私規(guī)則中要求CE首次使用PHI之前，必須告知患者本人使用和披露PHI的方式、患者的權(quán)利以及CE的法律責(zé)任等。其二，安全規(guī)則中的必選規(guī)則是CE和BA必須遵循的規(guī)則；推薦規(guī)則是CE和BA可以根據(jù)自身的情況決定是否采納，其中不采納的規(guī)則需要說明理由并采取其他的保障措施。HIPAA法案還規(guī)定了在一些特殊情況下CE不需要經(jīng)過告知同意即可利用和披露的情形。這些情形包括公共健康活動(dòng)、健康監(jiān)督活動(dòng)、避免嚴(yán)重健康安全危害、勞工保險(xiǎn)等12項(xiàng)活動(dòng)。[19](PP.79-116)此外，美國(guó)在關(guān)于人體研究管理的共同規(guī)則(Common Rule)中還規(guī)定，CE基于研究目的而制定的人類研究計(jì)劃，若得到機(jī)構(gòu)審查委員會(huì)的審查同意或隱私委員會(huì)的審查同意，可以在未經(jīng)個(gè)人同意的情況下使用和披露受保護(hù)健康信息。

4.建立專門的健康醫(yī)療信息監(jiān)管機(jī)構(gòu)。美國(guó)主張積極利用個(gè)人數(shù)據(jù)，鼓勵(lì)企業(yè)創(chuàng)新，對(duì)于數(shù)據(jù)保護(hù)采取以市場(chǎng)為主導(dǎo)、以行業(yè)自律為主要手段，以政府監(jiān)管為輔助的監(jiān)管模式。代表政府的執(zhí)法機(jī)構(gòu)是聯(lián)邦貿(mào)易委員會(huì)(FTC)與聯(lián)邦通信委員會(huì)(FCC)。FTC下屬的消費(fèi)者保護(hù)局負(fù)責(zé)處理由消費(fèi)者、國(guó)會(huì)和行業(yè)組織等提出的互聯(lián)網(wǎng)隱私投訴，并開展調(diào)查。衛(wèi)生與公眾服務(wù)部民權(quán)辦公室(HHS)則專門負(fù)責(zé)《健康保險(xiǎn)便利和責(zé)任法案》的執(zhí)行，HHS不僅有權(quán)制定隱私規(guī)則，對(duì)侵犯患者信息隱私的案件展開調(diào)查并提出訴訟，而且還可以針對(duì)違法行為處以罰款或監(jiān)禁。[20]

(三)模式比較

在前述的制度介紹中，我們不難發(fā)現(xiàn)，兩種模式都追求個(gè)人健康信息保護(hù)與社會(huì)公共利益的平衡。[21](PP.973-993)基于這一立法宗旨，二者都強(qiáng)調(diào)數(shù)據(jù)主體的授權(quán)同意，并明確規(guī)定了數(shù)據(jù)主體的數(shù)據(jù)權(quán)利與數(shù)據(jù)處理者的義務(wù)。盡管三種模式在立法內(nèi)容上存在趨同趨勢(shì)，但由于各國(guó)的數(shù)據(jù)立法進(jìn)程、文化背景及立法理念等方面的不同，還是表現(xiàn)出明顯的差異，主要體現(xiàn)在以下幾個(gè)方面：其一，數(shù)據(jù)立法的價(jià)值取向不同。歐盟強(qiáng)調(diào)數(shù)據(jù)處理行為的安全價(jià)值，通過擴(kuò)充數(shù)據(jù)主體的權(quán)利范圍，加大數(shù)據(jù)控制者與處理者的法律義務(wù)來(lái)實(shí)現(xiàn)數(shù)據(jù)處理的安全性。美國(guó)則更為追求數(shù)據(jù)處理行為的效益價(jià)值，鼓勵(lì)企業(yè)將隱私風(fēng)險(xiǎn)嵌入到產(chǎn)品和服務(wù)的開發(fā)設(shè)計(jì)當(dāng)中，最大限度實(shí)現(xiàn)數(shù)據(jù)價(jià)值的開發(fā)利用。其二，數(shù)據(jù)立法的適用范圍不同。GDPR法案大大拓寬了其適用范圍，其效力范圍涉及了歐盟境內(nèi)外。美國(guó)HIPAA法案的適用范圍僅限于法案中明確提到的實(shí)體，而不適用于可能存儲(chǔ)或傳輸個(gè)人可識(shí)別健康信息的其他實(shí)體，如Google health、Microsoft health vault等在線醫(yī)療服務(wù)或在線個(gè)人健康記錄服務(wù)公司。其三，數(shù)據(jù)權(quán)利的理解不盡相同。歐盟GDPR的第17條明確規(guī)定了數(shù)據(jù)的被遺忘權(quán)[22]，而美國(guó)HIPAA隱私規(guī)則中不僅沒有賦予患者的被遺忘權(quán)，還要求受保實(shí)體自文件創(chuàng)建或最后生效之日起六年內(nèi)保存隱私權(quán)規(guī)則要求的文件。[21](PP.973-993)其四，監(jiān)管手段不同。歐盟采取嚴(yán)格的監(jiān)管模式，通過制定統(tǒng)一的數(shù)據(jù)保護(hù)立法，嚴(yán)格要求數(shù)據(jù)控制者和數(shù)據(jù)處理者的合規(guī)行為，指定專門的監(jiān)管機(jī)構(gòu)并規(guī)定嚴(yán)苛的處罰數(shù)額，來(lái)實(shí)現(xiàn)對(duì)個(gè)人健康隱私信息的保護(hù)。美國(guó)則采取行業(yè)自律為主，政府監(jiān)管為輔的監(jiān)管方式。

三、個(gè)人健康數(shù)據(jù)監(jiān)管的中國(guó)模式

我國(guó)尚未出臺(tái)個(gè)人信息保護(hù)法，(20)我國(guó)《個(gè)人信息保護(hù)法(草案)》已經(jīng)由全國(guó)人大常委會(huì)初步審議并向社會(huì)公開征求意見，現(xiàn)在進(jìn)一步修改中。更沒有針對(duì)個(gè)人健康數(shù)據(jù)處理行為的特別法，而是通過政策、法律、司法解釋、標(biāo)準(zhǔn)、行業(yè)自治規(guī)則等多種手段，采取社會(huì)規(guī)范與法律規(guī)范相結(jié)合的方式來(lái)共同規(guī)制個(gè)人健康數(shù)據(jù)的收集和處理行為。因?yàn)獒t(yī)療行業(yè)關(guān)乎人命，其重要性不言而喻，故我國(guó)一直采取較為嚴(yán)格的政府監(jiān)管。政府監(jiān)管又分為醫(yī)療行政管理部門的內(nèi)部監(jiān)管和多個(gè)政府部門之間的聯(lián)合監(jiān)管。同時(shí)，健康醫(yī)療數(shù)據(jù)不僅涉及醫(yī)患關(guān)系，還涉及醫(yī)療服務(wù)供應(yīng)商、互聯(lián)網(wǎng)平臺(tái)、互聯(lián)網(wǎng)從業(yè)醫(yī)生、保險(xiǎn)機(jī)構(gòu)以及相關(guān)信息技術(shù)軟硬件供應(yīng)商之間的關(guān)系[23](P.77)，需要多部門共同合作來(lái)進(jìn)行聯(lián)合監(jiān)管。近幾年，中央網(wǎng)信辦、工信部、公安部和市場(chǎng)監(jiān)管總局等部門也采取專項(xiàng)治理的方式來(lái)對(duì)互聯(lián)網(wǎng)企業(yè)進(jìn)行聯(lián)合管理。除了政府部門監(jiān)管之外，數(shù)字醫(yī)療行業(yè)還需要通過制定行業(yè)規(guī)范進(jìn)行自我約束和自我管理。近幾年，我國(guó)的行業(yè)協(xié)會(huì)也出臺(tái)了大量行業(yè)自治規(guī)范。筆者將這種多元主體共同治理的模式稱之為綜合監(jiān)管模式。我國(guó)《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》第86條也明確規(guī)定，國(guó)家建立健全機(jī)構(gòu)自治、行業(yè)自律、政府監(jiān)管、社會(huì)監(jiān)督相結(jié)合等醫(yī)療衛(wèi)生綜合監(jiān)督管理體系。

(一)中國(guó)的個(gè)人健康數(shù)據(jù)保護(hù)制度

中國(guó)的個(gè)人健康數(shù)據(jù)立法保護(hù)時(shí)間不長(zhǎng)，其不僅伴隨了隱私權(quán)保護(hù)與個(gè)人信息保護(hù)的立法進(jìn)程，還與中國(guó)醫(yī)療衛(wèi)生系統(tǒng)的信息化建設(shè)進(jìn)程緊密相連(21)自改革開放以來(lái)，我國(guó)醫(yī)療衛(wèi)生系統(tǒng)信息化建設(shè)經(jīng)歷了以醫(yī)院信息系統(tǒng)建設(shè)為起始，以電子病歷和電子健康檔案兩個(gè)數(shù)據(jù)庫(kù)為基礎(chǔ)，以區(qū)域衛(wèi)生信息化為趨勢(shì)的發(fā)展過程。王研敏《全人全程健康信息數(shù)據(jù)集》，浙江大學(xué)碩士論文，2011年，第7頁(yè)。。2000年以前，我國(guó)的隱私保護(hù)訴求主要是通過司法解釋進(jìn)行間接保護(hù)。(22)如1988年最高人民法院通過《關(guān)于貫徹執(zhí)行〈中華人民共和國(guó)民法通則〉若干問題的意見》第140條以及1993年最高人民法院公布的《關(guān)于審理名譽(yù)權(quán)案件若干問題的解答》第7條中關(guān)于隱私問題等規(guī)定。2000年以后，在修訂和新制定的法律法規(guī)中頻頻出現(xiàn)了隱私和隱私權(quán)規(guī)定，與醫(yī)療相關(guān)的多用“患者隱私”或者“個(gè)人隱私”概念表述。(23)如《傳染病防治法》《精神衛(wèi)生法》《執(zhí)業(yè)醫(yī)生法》《護(hù)士條例》《鄉(xiāng)村醫(yī)生從業(yè)管理?xiàng)l例》等法律、法規(guī)中關(guān)于醫(yī)療隱私的規(guī)定。2012年，在全國(guó)人大的立法文件中出現(xiàn)了“涉及公民個(gè)人隱私的電子信息”的表述。(24)2012年全國(guó)人大常委會(huì)制定的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第1條規(guī)定：“國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息。”2014年，最高人民法院司法解釋中出現(xiàn)了基因信息、病歷資料、健康檢查資料等表述。(25)2014年《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條規(guī)定：“網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)等個(gè)人隱私和其他個(gè)人信息，造成他人損害，侵權(quán)人請(qǐng)求其承擔(dān)侵權(quán)責(zé)任的，人民法院應(yīng)予支持。”2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第1條規(guī)定：“公民個(gè)人信息是指以電子或者其他方式記錄能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。”2016年的《網(wǎng)絡(luò)安全法》首次對(duì)個(gè)人信息進(jìn)行了明確界定。2020年，新頒布的《民法典》將健康信息規(guī)定為個(gè)人信息范疇，同時(shí)將隱私信息納入隱私權(quán)的保護(hù)范圍進(jìn)行優(yōu)先保護(hù)。代表性的規(guī)范主要有：

1.政策規(guī)范類。《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》《“健康中國(guó)2030”規(guī)劃綱要》《促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》等。

2.法律法規(guī)類。《刑法》《網(wǎng)絡(luò)安全法》《民法典》《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《人口健康信息管理辦法(試行)》《人類遺傳資源管理辦法》《貴陽(yáng)市健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展條例》等。

3.司法解釋類。《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》等。

4.社會(huì)規(guī)范類。(1)標(biāo)準(zhǔn)規(guī)范類。《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》《信息安全技術(shù)個(gè)人信息安全規(guī)范》。(2)行業(yè)自律規(guī)范類。《中國(guó)大數(shù)據(jù)行業(yè)自律公約》《服務(wù)隱私保護(hù)公約》《關(guān)于互聯(lián)網(wǎng)醫(yī)院提供規(guī)范化藥事管理及服務(wù)的自律公約》《互聯(lián)網(wǎng)搜索引擎服務(wù)自律公約》等等。

(二)主要的制度內(nèi)容

1.明確界定了個(gè)人信息、個(gè)人敏感信息及人口健康信息等核心概念。我國(guó)多種類型的規(guī)范當(dāng)中都較為關(guān)注個(gè)人信息的概念，這是信息保護(hù)的規(guī)范基礎(chǔ)。如《網(wǎng)絡(luò)安全法》第76條規(guī)定，“個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等”。《民法典》在《網(wǎng)絡(luò)安全法》對(duì)個(gè)人信息定義基礎(chǔ)上，又將電子郵箱、健康信息、行蹤信息規(guī)定為個(gè)人信息范疇。《安全規(guī)范》中將“個(gè)人信息”定義為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息”。“個(gè)人敏感信息”定義為“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息”。《人口健康信息管理辦法(試行)》將“人口健康信息”定義為依據(jù)國(guó)家法律法規(guī)和工作職責(zé)，各級(jí)各類醫(yī)療衛(wèi)生計(jì)生服務(wù)機(jī)構(gòu)在服務(wù)和管理過程中產(chǎn)生的人口基本信息、醫(yī)療衛(wèi)生服務(wù)信息等人口健康信息。《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》將“健康醫(yī)療大數(shù)據(jù)”定義為“在人們疾病防治、健康管理等過程中產(chǎn)生的與健康醫(yī)療相關(guān)的數(shù)據(jù)”。

2.法律明確規(guī)定了對(duì)個(gè)人信息利益的保護(hù)。不同規(guī)范都明確了對(duì)個(gè)人信息利益的保護(hù)。其中《民法典》第1034條明確了自然人的個(gè)人信息受法律保護(hù)；第1035條規(guī)定了個(gè)人信息處理的限制；第1036條規(guī)定了處理個(gè)人信息的免責(zé)事由。《安全規(guī)范》則直接規(guī)定了信息主體的知情同意權(quán)、訪問權(quán)、更正權(quán)、被遺忘權(quán)等權(quán)利。《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條規(guī)定：“網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)等個(gè)人隱私和其他個(gè)人信息，造成他人損害，侵權(quán)人請(qǐng)求其承擔(dān)侵權(quán)責(zé)任的，人民法院應(yīng)予支持。”

3.明確規(guī)定了醫(yī)療機(jī)構(gòu)的隱私保護(hù)義務(wù)和相關(guān)責(zé)任形式。健康醫(yī)療信息保護(hù)需要明確相關(guān)責(zé)任主體的責(zé)任。其中對(duì)醫(yī)療機(jī)構(gòu)重點(diǎn)強(qiáng)調(diào)了患者隱私保護(hù)義務(wù)，《侵權(quán)責(zé)任法》《傳染病防治法》《護(hù)士管理辦法》《艾滋病防治條例》等都規(guī)定了醫(yī)療衛(wèi)生部門不得泄露患者涉及個(gè)人隱私的有關(guān)信息、資料。《民法典》第1226條規(guī)定：“醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員應(yīng)當(dāng)對(duì)患者的隱私和個(gè)人信息保密。”《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》第6條規(guī)定：“不得泄露患者隱私。”《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》第102條規(guī)定，對(duì)泄露公民個(gè)人健康信息的醫(yī)療衛(wèi)生人員給予行政處罰。《刑法修正案(8)》第253條規(guī)定，國(guó)家機(jī)關(guān)或金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。

四、完善我國(guó)個(gè)人健康數(shù)據(jù)監(jiān)管的思考

通過前述的制度比較可見，歐盟的“硬”監(jiān)管模式意在加強(qiáng)監(jiān)管以強(qiáng)化個(gè)人權(quán)利保護(hù)，美國(guó)的“軟”治理模式則極力限制監(jiān)管范圍以促進(jìn)創(chuàng)新與發(fā)展。[24]這兩種模式基于不同的隱私文化、立法傳統(tǒng)及產(chǎn)業(yè)發(fā)展水平等多種因素。中國(guó)的個(gè)人信息立法保護(hù)時(shí)間不長(zhǎng)，雖然初步形成了綜合監(jiān)管模式，但仍然存在政策落地困難、統(tǒng)一立法缺失及立法精細(xì)化程度不夠等問題。未來(lái)我國(guó)在數(shù)字經(jīng)濟(jì)發(fā)展和健康中國(guó)戰(zhàn)略的實(shí)施過程中，既要防止因監(jiān)管過度而扼殺了健康醫(yī)療大數(shù)據(jù)的融合發(fā)展，也要警惕因監(jiān)管不足而增加個(gè)人隱私泄露的風(fēng)險(xiǎn)。相對(duì)于技術(shù)的迭代發(fā)展而言，立法始終是后知后覺的，因?yàn)榱⒎ㄕ邿o(wú)法預(yù)先對(duì)某個(gè)技術(shù)的規(guī)制進(jìn)行全面的設(shè)計(jì)，而技術(shù)需要在不斷演化中創(chuàng)新發(fā)展。立法者對(duì)于新技術(shù)的理性規(guī)制是以既有立法為主，再根據(jù)新技術(shù)的特點(diǎn)，適當(dāng)予以立法上的增補(bǔ)和完善。具體可以從以下幾個(gè)方面來(lái)完善：

(一)探索法律監(jiān)管疊加技術(shù)治理的新型監(jiān)管模式

現(xiàn)代社會(huì)的行政管理表現(xiàn)為專業(yè)性、技術(shù)性及公共性特征，完全依靠傳統(tǒng)的行政管理手段已無(wú)法應(yīng)對(duì)，必須采取行政監(jiān)管疊加技術(shù)治理的合作治理模式。1995年，加拿大的隱私專員 Ann Cavoukian、荷蘭應(yīng)用科學(xué)研究組織的John Borking及荷蘭數(shù)據(jù)保護(hù)局三方聯(lián)合發(fā)表《隱私增強(qiáng)技術(shù):匿名之路》報(bào)告。該報(bào)告中提出了隱私增強(qiáng)技術(shù)(Privacy-enhancing technologies, 簡(jiǎn)稱“PET”)，該技術(shù)隨后融入了“數(shù)據(jù)最小化”原理，發(fā)展為“通過設(shè)計(jì)保護(hù)隱私”理論(Privacy by Design，簡(jiǎn)稱“PbD”理論)。2011年，Ann Cavoukian又提出了7個(gè)基本的隱私設(shè)計(jì)原則，之后發(fā)展成為“PbD”理論的重要基礎(chǔ)。(26)這七個(gè)原則包括：1.主動(dòng)而非被動(dòng)，預(yù)防而非補(bǔ)救；2.將隱私作為默認(rèn)設(shè)置；3.隱私嵌入設(shè)計(jì)；4.所有的功能，正和而不是零和；5.端到端安全，全生命周期保護(hù)；6.可見性和透明度，保持開放；7.以用戶為中心，尊重用戶隱私。參見李維揚(yáng)《通過設(shè)計(jì)保護(hù)隱私》，《信息安全與通信保密》，2018年第1期，第75頁(yè)。PbD理論對(duì)數(shù)據(jù)產(chǎn)品和服務(wù)的開發(fā)研究具有重要的指導(dǎo)性意義，與其說它是大數(shù)據(jù)時(shí)代隱私信息保護(hù)的一項(xiàng)技術(shù)要求，不如說是一部技術(shù)綱領(lǐng)，使得各國(guó)政府和企業(yè)更為重視隱私侵權(quán)的事前預(yù)防而不是事后救濟(jì)。[25]這一原則隨后也被歐盟和美國(guó)的數(shù)據(jù)保護(hù)制度所采用。(27)如GDPR第25條規(guī)定，企業(yè)應(yīng)當(dāng)在產(chǎn)品設(shè)計(jì)之初采取技術(shù)和組織措施，比如以假名化的默認(rèn)方式保護(hù)數(shù)據(jù)。參見Regulation (EU) 2016/679, Art.4. https://gdpr-info.eu/art-25-gdpr/。我國(guó)也應(yīng)該借鑒西方國(guó)家的立法經(jīng)驗(yàn)，采取包容審慎的新行政監(jiān)管策略，探索激勵(lì)相容的個(gè)人數(shù)據(jù)保護(hù)制度[26]，鼓勵(lì)企業(yè)將隱私保護(hù)嵌入到產(chǎn)品和服務(wù)的開發(fā)當(dāng)中。如美國(guó)針對(duì)個(gè)人健康信息隱私保護(hù)，在信息的收集區(qū)、主要使用區(qū)及二次使用區(qū)同時(shí)采取了法律保護(hù)和技術(shù)保護(hù)兩套保護(hù)系統(tǒng)。[27](PP.2-6)其中法律保護(hù)體現(xiàn)為知情同意原則；技術(shù)保護(hù)則體現(xiàn)為正式隱私模式、算法、協(xié)議、語(yǔ)言、架構(gòu)及軟件技術(shù)等技術(shù)手段的應(yīng)用。[28](PP.1-14)

(二)促進(jìn)并規(guī)范互聯(lián)網(wǎng)醫(yī)療健康平臺(tái)的自我規(guī)制

傳統(tǒng)的市場(chǎng)秩序主要依靠政府的公共規(guī)制來(lái)維護(hù)，而隨著平臺(tái)經(jīng)濟(jì)的崛起，平臺(tái)企業(yè)具有市場(chǎng)參與者和組織者的雙重身份，使得平臺(tái)企業(yè)成為維護(hù)公共利益的監(jiān)管者。因此，在平臺(tái)經(jīng)濟(jì)中出現(xiàn)了公共規(guī)制和私人監(jiān)管的雙重監(jiān)管力量。[29]相對(duì)于政府規(guī)制而言，平臺(tái)企業(yè)自我規(guī)制的優(yōu)勢(shì)在于，可以基于企業(yè)的實(shí)際需求和高度技術(shù)性的復(fù)雜事項(xiàng)管理而采取連續(xù)的、更為細(xì)致的規(guī)制手段[30](P.55)，從而提高規(guī)制的專業(yè)性水平。如“互聯(lián)網(wǎng)+醫(yī)療健康”模式中，涉及了智能醫(yī)療設(shè)備、醫(yī)藥電商、醫(yī)療人工智能等9個(gè)應(yīng)用場(chǎng)景和多方企業(yè)(28)根據(jù)中國(guó)信息通訊研究院的報(bào)告，中國(guó)“互聯(lián)網(wǎng)+醫(yī)療健康”領(lǐng)域常見的應(yīng)用場(chǎng)景有以下9大類：1.智能健康醫(yī)療設(shè)備；2.健康管理應(yīng)用；3.醫(yī)藥電商；4.在線問診及健康咨詢；5.院外看護(hù)；6.健康醫(yī)療資訊；7.醫(yī)療人工智能；8.醫(yī)療便民服務(wù)；9.醫(yī)院信息化。參見中國(guó)信息通訊研究院《“互聯(lián)網(wǎng)+行業(yè)”個(gè)人信息保護(hù)研究報(bào)告》，2020年，第2頁(yè)，http://www.caict.ac.cn/kxyj/qwfb/bps/202003/P020200302576687898634.pdf。，完全依靠政府的理性和能力遠(yuǎn)遠(yuǎn)無(wú)法應(yīng)對(duì)這種復(fù)雜的、多元的技術(shù)要求，只有通過靈活的、專業(yè)的企業(yè)標(biāo)準(zhǔn)或工作流程、程序等來(lái)進(jìn)行自我約束與自我監(jiān)督，才能保障健康醫(yī)療數(shù)據(jù)平臺(tái)的健康良性發(fā)展。西方許多國(guó)家都極為鼓勵(lì)行業(yè)的自我規(guī)制，最大限度地減少政府規(guī)制。我國(guó)一些知名的互聯(lián)網(wǎng)企業(yè)也日益重視用戶隱私政策和技術(shù)倫理在企業(yè)發(fā)展過程中的重要性。如2018年騰訊公司就首次發(fā)布了《隱私保護(hù)白皮書》，該《白皮書》強(qiáng)調(diào)以用戶需求為中心，將隱私保護(hù)融入產(chǎn)品設(shè)計(jì)當(dāng)中，搭建隱私保護(hù)平臺(tái)，讓用戶可以進(jìn)入平臺(tái)查看《騰訊隱私政策》及配套政策文件。未來(lái)我國(guó)應(yīng)完善相關(guān)政策法律，為新技術(shù)新業(yè)態(tài)行業(yè)發(fā)展松綁。一方面應(yīng)當(dāng)加強(qiáng)政府規(guī)制的法治化、規(guī)范化和公開化水平，提高政府規(guī)制的效能和正當(dāng)性；另一方面應(yīng)根據(jù)社會(huì)優(yōu)先的理念，更多地放權(quán)于社會(huì)，讓行業(yè)團(tuán)體在更大范圍內(nèi)和更高程度上發(fā)揮自我規(guī)制作用。[31](P.132)

(三)加快制定政府?dāng)?shù)據(jù)開放隱私影響評(píng)估政策

大數(shù)據(jù)時(shí)代，數(shù)據(jù)開放成為各國(guó)政府必須提供的一項(xiàng)基本公共服務(wù)，但政府?dāng)?shù)據(jù)開放的同時(shí)也增加了個(gè)人隱私泄露的風(fēng)險(xiǎn)。2000年以后，西方許多國(guó)家都將隱私影響評(píng)價(jià)納入政府?dāng)?shù)據(jù)開放實(shí)踐，制定了相應(yīng)的隱私影響評(píng)估政策并取得了顯著的實(shí)踐成效，如新西蘭的《信息匹配隱私影響評(píng)估指南》、美國(guó)的《隱私影響評(píng)估指南》及英國(guó)的《隱私影響評(píng)估實(shí)踐指導(dǎo)手冊(cè)》等等[32](P.24)。所謂隱私影響評(píng)估(Privacy Impact Assessment，PIA)是指針對(duì)可能對(duì)個(gè)人隱私產(chǎn)生實(shí)際的或潛在影響的任意活動(dòng)或提案進(jìn)行評(píng)估，并提出減輕不利影響的方案。[33](PP.123-135)隱私影響評(píng)估不僅僅是一項(xiàng)合規(guī)檢查，它還旨在識(shí)別隱私風(fēng)險(xiǎn)并克服或最小化這些風(fēng)險(xiǎn)。雖然不具有強(qiáng)制性，但它可以為立法者或政策制定者提供解決問題的思路和方法。[34](P.197)隱私影響評(píng)估對(duì)我國(guó)當(dāng)前的數(shù)字政府建設(shè)具有直接的現(xiàn)實(shí)意義。一方面我國(guó)政府在數(shù)據(jù)開放過程中已經(jīng)意識(shí)到了數(shù)據(jù)安全和個(gè)人隱私保護(hù)的重要性；另一方面由于我國(guó)隱私保護(hù)制度的供給不足，使得政府在數(shù)據(jù)開放過程中出現(xiàn)缺位或越位。因此，亟需明確和細(xì)化政府在數(shù)據(jù)開放過程中的職責(zé)，同時(shí)出臺(tái)相應(yīng)的隱私影響評(píng)估政策。這些政策應(yīng)該包括以下幾個(gè)方面內(nèi)容：其一，建立貫穿全數(shù)據(jù)生命周期的隱私影響評(píng)估機(jī)制；其二，建立專門負(fù)責(zé)隱私影響評(píng)估的機(jī)構(gòu)；其三，建立個(gè)人數(shù)據(jù)分類分級(jí)的保護(hù)制度；其四，制定信息安全標(biāo)準(zhǔn)和隱私保護(hù)標(biāo)準(zhǔn)。

(四)探索“自我規(guī)制+政府規(guī)制”的合作規(guī)制模式

健康醫(yī)療大數(shù)據(jù)的收集和處理是在一個(gè)完整的信息生態(tài)系統(tǒng)中完成的，各個(gè)構(gòu)成要素之間存在著復(fù)雜的、共生共變和協(xié)同適應(yīng)的關(guān)系。要想對(duì)這種復(fù)雜的共生關(guān)系實(shí)現(xiàn)有效規(guī)制，僅僅依靠自我規(guī)制或者政府規(guī)制任何一種單一手段都是無(wú)法實(shí)現(xiàn)的，必須有效整合自我規(guī)制與政府規(guī)制的優(yōu)劣，引入合作規(guī)制模式。合作規(guī)制并不是自我規(guī)制與政府規(guī)制的簡(jiǎn)單疊加或混合使用，而是政府與私主體通過合作實(shí)現(xiàn)的處于自我規(guī)制與政府規(guī)制之間的一種規(guī)制形態(tài)。[35](P.79)它既可以克服自我規(guī)制無(wú)法解決的外部性和激勵(lì)漏洞的問題，也可以彌補(bǔ)政府規(guī)制易失靈和政策滯后的弱點(diǎn)[35](P.72)，最大限度實(shí)現(xiàn)政府與市場(chǎng)、政府與社會(huì)之間的有效合作。2017年，國(guó)家發(fā)改委等八部門聯(lián)合印發(fā)《關(guān)于促進(jìn)分享經(jīng)濟(jì)發(fā)展的指導(dǎo)性意見》，提出要探索建立政府、平臺(tái)企業(yè)、行業(yè)協(xié)會(huì)及資源提供者和消費(fèi)者共同參與的分享經(jīng)濟(jì)協(xié)同治理機(jī)制。協(xié)同治理機(jī)制對(duì)不同的社會(huì)主體提出了不同的要求，它也是實(shí)現(xiàn)合作規(guī)制的有效路徑。其一，對(duì)政府而言，應(yīng)堅(jiān)持技術(shù)中立原則、合乎比例原則及市場(chǎng)完整性原則(29)這三個(gè)原則是歐盟委員會(huì)對(duì)金融科技領(lǐng)域的監(jiān)管方法秉持的三大指導(dǎo)性原則，筆者認(rèn)為同樣適用于我國(guó)的健康醫(yī)療行業(yè)監(jiān)管。參見申軍《監(jiān)管沙盒還是監(jiān)管音盒？金融科技監(jiān)管模式的歐盟探索》，《法治周末》，2019年12月19日，https://epaper.legalweekly.cn/Html/2019-12-19/1274.html。，政府既要為企業(yè)營(yíng)造公平的競(jìng)爭(zhēng)環(huán)境，也要限制科技巨頭的過度收集和數(shù)據(jù)處理行為，為社會(huì)弱勢(shì)群體提供最基礎(chǔ)的制度保障；其二，對(duì)企業(yè)而言，要堅(jiān)持以用戶為中心，既要加強(qiáng)內(nèi)部治理，也要主動(dòng)推進(jìn)與監(jiān)管部門的互動(dòng)，實(shí)現(xiàn)內(nèi)部治理效益的外部化；[29]其三，對(duì)社會(huì)組織而言，要在標(biāo)準(zhǔn)化建設(shè)和行業(yè)自律方面發(fā)揮作用，研究制定行業(yè)服務(wù)標(biāo)準(zhǔn)和業(yè)務(wù)規(guī)范標(biāo)準(zhǔn)；其四，對(duì)用戶而言，要努力提高個(gè)人健康信息素養(yǎng)，通過評(píng)價(jià)、反饋等機(jī)制對(duì)平臺(tái)企業(yè)和政府實(shí)現(xiàn)監(jiān)督，真正實(shí)現(xiàn)全民的共享共治。