比較法視域下科學研究處理個人數據的法律界限

孫禎鋒

(上海交通大學 凱原法學院，上海 200030)

0 引言

隨著數字化時代的到來，數據的價值愈加顯要。2020年3月30日，中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》，將數據作為一種新興要素與土地要素、勞動力要素、資本要素、技術要素并列。在國際競爭局勢愈演愈烈的情形下，如何合理利用數據、發揮數據的巨大價值是未來國家發展的核心議題。其中，科學研究是數據利用的一個重要領域，能夠大規模處理數據將是第四次工業革命時代科學研究迭代更新的主要標志。然而，科學研究中大量處理數據對個人數據主體權利的侵害成為一個無法回避的問題。只有有效保障數據主體的合法權利，才能贏得數據主體的信任，科學研究才具有可持續性，“科技是第一生產力”的效應才能得到充分發揮。因此，當科學研究的公益性與個人數據包含的個人權利發生激烈碰撞時，法律需要在不同權益之間折沖權衡，以達到雙贏效果。換言之，當科學研究以公共利益為名處理個人數據時，應當秉持何種法律界限？回答這一重要問題具有緊迫的現實意義，需要慎重對待和深入研究。

1 作為一種數據應用場景的科學研究

在大數據時代，科學研究成為一種典型的數據應用場景[1]。各式各樣的移動應用程序、物聯網技術和智能設備聚集了海量個人數據，這些數據包含與個人休戚相關的最細微數據點。在先進的技術條件下，可以對這些數據進行前所未有的細致分析，以挖掘其對于科學研究所具有的巨大潛在價值。例如，新冠疫情防控中通過健康碼等移動應用程序廣泛獲取感染者、密切接觸者以及普通人群的位置數據和健康數據，既可以監測和研究傳染病的傳播趨勢與變異模式，也能有效提供疾病篩查、疫苗接種等公共衛生事務所需信息。此外，個人數據還在常規研究中廣泛使用，如分析心理行為、確定遺傳和環境因素的致病性等。英國的一項研究對小孩出生時家庭住址是否接近高壓電源線與其兒童期患癌風險的相關性進行調查，從5個癌癥登記處獲得31 000名年齡介于0～14歲之間的兒童出生信息，對照病例之后初步得出正相關結論，而進一步的研究還需要處理更大規模數據[2]。

科學研究的數據來源多由研究者從研究對象處獲取，也可以借助相關數據庫獲得。科學研究處理的個人數據類型既包括一般個人數據，也包括敏感個人數據。以生物醫學研究為例，可穿戴設備等數字技術、在線網絡查詢痕跡、醫學檢查或電子健康記錄均可以提供大量數據，數據類型包括但不限于軀體、血液、腫瘤樣本、細胞、DNA、體液、排泄物等身體數據，病歷、健康檢查記錄、藥物清單等診療數據，以及飲食習慣、睡眠時間、步數、定位信息等私生活數據。藉由這些個人數據，有關性或心理健康、酗酒或濫用藥物、終止妊娠等敏感型研究得以進行。

根據海倫·尼森鮑姆(Helen Nissenbaum)提出的場景理論，科學研究處理個人數據具有豐富的場景內涵。場景理論將個人數據保護與特定情境下的個人數據流通規范連結起來，作為評估數據在行動者之間流動的基礎架構，有助于確認和解釋為何在某種情況下某些數據流動的模式是可以接受的，而在另外一種情境下卻受到質疑[3]。在尼森鮑姆的研究中，其重點闡述了參與者(actors)、數據信息種類(information type)、傳輸原則(transmission principle)等要素[4]。在此理論架構下，對于個人數據利用的評價無法脫離其所處場景。在科學研究中，研究機構、研究人員與數據主體之間既具有共同利益，又秉持不同立場。科學研究取得醫療進步、公共管理效能提升等效益，研究人員與數據主體都是受惠者。但是，當科學研究處理個人數據損害到數據主體的權利時，就會形成利益對抗。此外，科學研究可以處理的數據類型和數據范圍，以及處理過程中需要遵循的合法性要件，都將對數據應用場景的整體圖景產生影響。因此，作為一種數據應用場景，科學研究需要全面整體地綜合考慮數據主體自主意志、研究者合理注意義務以及數據處理過程中的合法性要求，推動科學研究持續健康發展。

2 科學研究處理個人數據引致的權益沖突

科學研究是一項以認識世界、探索世界、改造世界為目的的公益事業[5]。1945年，美國科學研究與開發辦公室主任萬尼瓦爾·布什(Vannevar Bush)向時任美國總統羅斯福提交《科學：沒有止境的前沿》報告，認為沒有科學進步就無法保障國民健康、生活水平、就業和國家安全。這份報告在此后的幾十年里成為美國科學研究和創新的指導方針[6]。在大數據時代，科學研究的公益效應被進一步放大。科學研究通過大量數據的匯聚、分析、使用，可以準確描述、精準預測，以快速、高效地作出決斷。例如，數字技術與醫學研究相結合催生出一個新的醫學領域——數字健康，可以有效監測人們的健康狀況、及早推斷健康問題、幫助患者應對突發情況、對不同患者提供個性化治療方案、降低醫療成本并改進效率以及促進醫學發現和加速藥物開發。研制的數字藥丸與患者胃液接觸后會激活微電路，可以告知外部傳感器患者是否以及應何時服用藥物[7]。大數據與公共管理學相結合，可以造就社會信用評級、預測性執法等新型治理手段，引導治理的重心由事中與事后轉向事前預防，有效降低治理成本、提升治理效能，我國疫情管理的顯著成效一定程度上歸功于數字技術應用于應急管理。

然而，科學研究對于個人數據的廣泛處理也會侵犯個人數據權利。看似普通的數據可以用來對個人行為加以推斷和預判，哪怕是一天之內行走步數這類簡單數據，也可以揭示下班后員工是否真的病倒在床[8]。更遑論美國曾經開展的臭名昭著的“塔斯基吉梅毒實驗”，造成“醫學種族主義”(Medical racism)的破壞性效應[9]。科學研究所用數據可能包含最敏感的個人信息，如果人們知道其個人數據可能用于涉及動物、胚胎干細胞、針對特定性能開發避孕藥或基因測試等研究，他們就會選擇使用匿名數據[10]。因此，科學研究要確保數據安全性，若公眾喪失對科學研究的信任，那么，研究的可持續性就會被打破。盡管如此，科學研究中不當處理個人數據的情形并不鮮見。以基因信息的不當處理為例，在公共部門和私營部門的推動下，基因數據集聚規模日益擴大。英國100K基因組隊列(the 100K genomes cohort)的目標是到2017年對國家醫療服務體系(NHS)中的10萬癌癥患者基因組進行測序；美國精準醫學計劃收集100萬美國人的樣本、表型和臨床數據，其百萬退伍軍人計劃構成目前世界上最大的基因組數據庫；截至2015年6月，基因檢測公司23&Me已收集超過100萬用戶數據并進行基因分型[7]。然而，2018年11月賀建奎事件引發激烈的研究倫理爭議，表明科學界對于基因數據并沒有形成完善的保護和處理機制。此外，自Moore v. Regents of the University of California案以來，科研機構假借研究之名或者展開與個體需求無關的研究向營銷公司、制藥企業等第三方出售個人數據以及研究成果不當獲利的情形時有發生[11]。

有研究認為個人信息保護涉及的個人權利呈同心圓狀的差序格局：由內而外，以人性尊嚴為核心，依次為一般人格權、個別人格權之隱私權、隱私權中之信息隱私權，最后是信息自主決定權[12]。就科學研究而言，除個人權利外，個人信息處理中還包含研究人員和研究機構研究自由的權利以及公共利益。根據已有研究，研究自由面臨兩方面限制：一是公共利益，二是他人的權利和自由[13]。因此，科學研究對于個人數據的處理涉及多重權益沖突，其中，最為根本的是個人權利與公共利益的沖突。有研究將這種矛盾稱為“道德倫理問題上的不對稱性”(an ethically problematic asymmetry)[14]：一方面，人們普遍認識到將個人數據用于科學研究對于促進公共利益具有重要意義；另一方面，科學研究濫用個人數據會損害個人一系列權利。加之在目前發展趨勢下，國家不可能罔顧公共利益需求而禁止科學研究使用個人數據。2020年德國聯邦教育和研究部發起醫學信息學計劃 (MII)，各大學醫院的生物樣本庫聯合成立了德國生物樣本庫協會 (GBA)，負責科學研究以及常規臨床護理中生物樣本的采樣、儲存和供給；同時期荷蘭大學醫院協會協同荷蘭衛生、福利和體育部資助數據研究計劃，研究人員可通過全國組織細胞病理學登記處 (PALGA) 獲取臨床護理過程中收集的生物樣本[15]。可見，大規模以及常態化使用個人數據進行研究已成為各國科研發展共同趨勢。

利用個人數據進行科學研究的價值與風險并存，目前的中心問題不是是否應將數據用于研究，而是如何以尊重道德和隱私為基本原則獲取科學研究收益[16]。科學研究本就不是法外之地，當其可能對研究對象或其他相關人員造成侵害時，法律需要適時介入并為之設定界限，而且這種限制本身也應恪守法律規定。

3 我國科學研究處理個人數據的法律規制現狀及問題

3.1 《中華人民共和國個人信息保護法》

2021年8月20日，第十三屆全國人民代表大會常務委員會第三十次會議正式通過《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，為個人信息保護領域奠定了法制基礎。但是，縱覽全部條文，《個人信息保護法》并沒有就“科學研究”目的作出直接規定。在《草案》(一審稿)出臺前，有學者呼吁將“偵查機關進行刑事偵查所必要的；為支持學術研究工作或統計項目而進行的個人信息比對；為得到統計資料……”[17]等作為國家公權機關可進行信息比對的理由，試圖從另一側面規定“目的限制”的例外，但最終提交審議的草案中并未包含突破目的限制使用個人信息的例外情形。從目前的規范內容來看，其并未允諾收集目的之外的其它延伸目的的使用。無論是公權機關還是私人主體如欲突破目的限制，都必須重新獲得信息主體的同意。因此，為學術研究、藝術表達、文學創作等目的處理個人信息的活動，面臨豁免適用目的限制原則的問題，有待國家相關部門出臺細則予以規范[18]。

從規范釋義的潛在空間來看，與科學研究行為可能相關的條文包括：第5～9條確立了個人信息處理的一般原則，強調處理方式要“合法、正當”，規定了誠信原則、目的明確合理原則、限制利用原則、公開透明原則、信息準確原則、信息安全原則等。第13條第(六)項規定：“為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息。”第28條第2款規定：“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理敏感個人信息。”另外，第32條進一步規定：“法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出其它限制的，從其規定。”從文義上看，如果科學研究一體遵循第5～9條個人信息處理一般原則，則科學研究與其它數據處理行為沒有任何分別而且科學研究將會受到嚴格限制；如果將科學研究納入第13條的“公共利益”范疇，則可以在“合理的范圍內”處理信息；如果科學研究屬于第28條“特定的目的”，則需要兼具“充分的必要性”才可以處理敏感個人信息。

根據上述分析，《個人信息保護法》中關于科學研究規定的缺位可能產生兩方面后果：一是科學研究與一般數據利用目的處于同等位階，科學研究所需相對寬松的發展條件得不到保障；二是即使對科學研究進行文義解釋，歸入“公共利益”或“特定的目的”范疇，科學研究處理個人信息的法定條件依然模糊難辨。

3.2 其它相關規范

在以北大法寶為主的學術網站上，通過關鍵詞“科學研究”“學術”“個人信息”“個人數據”進行組合檢索和閱讀篩選，發現我國法規范中直接調控科學研究處理信息行為的并不多見。現對法律、司法解釋、規范性文件層面涉及的法規范及其內容分別加以概述。

3.2.1 憲法、民法典與《中華人民共和國科學技術進步法》

憲法分別在第20條和第47條提及科學研究，均表現出國家對于科學研究的正向激勵態度。尤其是第47條規定“公民有進行科學研究……的自由”，以及國家鼓勵和幫助從事科學等有益于人民的創造性工作。學界普遍將第47條作為公民學術自由權的憲法依據，同時，認可憲法第51條為公民基本權利的限制條款。根據第51條的規定，公共利益構成學術自由的外在界限，他人權利和自由構成學術自由的內在界限。與此規范意旨相近，民法典第1009條與《中華人民共和國科學技術進步法》第29條均作出了不得違背公共利益與倫理道德等基本價值的底線設定。此外，民法典第1020條第(一)項還規定，在必要范圍內使用肖像權人已經公開的肖像進行課堂教學或者科學研究等可以不經肖像權人同意。

3.2.2 司法解釋

2020年最新修正的最高人民法院司法解釋《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條第3款規定：“學校、科研機構等基于公共利益為學術研究或者統計的目的，經自然人書面同意，且公開的方式不足以識別特定自然人”，可以不予承擔利用網絡公開個人信息造成他人損害的侵權責任。此處，“公共利益+權利人書面同意+公開的方式不足以識別特定自然人”構成科學研究公開個人信息的責任豁免條件。

3.2.3 規范性文件

規制內容直接關涉科學研究的規范性文件目前主要有兩部：一是《涉及人的生物醫學研究倫理審查辦法》，其是與科學研究直接相關的部門規章，其中第18條規定了涉及人的生物醫學研究應當符合的六大倫理原則，在控制風險原則中提出“將受試者人身安全、健康權益放在優先地位，其次才是科學和社會利益”的指導理念。此外，該辦法第四章對“知情同意”辟專章加以規定，對知情同意作出嚴格要求。

二是國家質量監督檢驗檢疫總局和國家標準化管理委員會發布的《信息安全技術——健康醫療數據安全指南》，第7-b-4規定數據控制者“用于科學研究、醫學/健康教育、公共衛生或醫療保健操作目的的受限制數據集”在沒有獲得主體的授權時可以使用或披露相應個人健康醫療數據。在臨床研究中，第11.4.4.2-a-2規定“申辦者出于公共利益開展統計或學術研究所必要，且其對外提供學術研究或描述的結果時，對結果中包含的個人信息進行去標識化處理的，不需要獲得受試者知情同意”。“科學研究目的+去識別化處理”構成數據主體授權或同意的例外情形。

3.3 現行法制中存在的問題分析

觀察上述法規范，我國既定法制中對于科學研究行為的規制呈零星分布狀態，遠遠未臻體系化。縱使包含科學研究處理個人信息內容的法規范，也缺少穩妥權衡科學研究目的與個人數據保護的法律機制。首先，作為個人信息保護領域的基本法，無論是直接的條文內容還是規范解釋，《個人信息保護法》都未能為科學研究處理個人數據提供明確、妥適的指引。其它法規范中也未見對科學研究目的予以“另眼相待”，科學研究相較于一般數據利用場景所應有的“特權地位”無法得到有效保障，對于科研行為的嚴苛規定不利于科學研究長足發展。其次，對比現有法規范內容，對于同類科研行為的法律規制有時呈現不一致情形。在幾部規范性文件之間，既有規定簽署知情同意書、承擔詳細的說明義務、使用目的變更時需要重新獲取知情同意的嚴格要求，也有規定利用去識別化數據開展研究無需征得信息主體授權或者同意的寬松要求。這種錯位狀況亟待體系化梳理和規范整合，否則難以發揮整體有效的指引作用。再次，法規范中多次出現的“公共利益”“合理的范圍”“充分的必要性”等措辭以及不確定性法律概念的使用，使得科學研究處理數據的行為要件呈現模糊狀態，也使得研究人員和數據主體無所適從。這需要對科學研究處理個人信息的具體類型進行條分縷析，通過行為要件的設置限定不確定概念的內涵和外延。最后，法規范中缺少專門的數據處理監管機關以及比較完善的監督機制。盡管既有法規中已經設有“倫理委員會”等機構，但這些機構的職能偏向于一端，要么側重于科學研究活動保障，要么側重于個人數據保護，鮮有能夠兼顧和平衡二者的督責機構，而且監管機構的職權獨立性不足，監管實效性難以保障。

4 域外法制比較考察

據聯合國貿易和發展會議(UNCTAD)統計，194個國家中有128個已經制定了保護數據和隱私的立法。其中，非洲和亞洲的水平相當，有55%的國家通過了此類立法，包括23個最不發達國家[19]。整體而言，既有立法呈現出兩種法律模式，一種是以美國為代表的隱私法模式，一種是以歐盟為代表的數據保護法或信息保護法模式[20]。前者較為小眾，目前僅包括美國、加拿大、澳大利亞、新西蘭等少數幾個國家，他們將個人數據處理中的主體權利納入國內成熟的隱私法保護體系，毋須在隱私法之外另行立法；后者得到大多數國家的采行，將個人數據處理中的權利視為公民基本權利，確立了與隱私法并行的數據保護法模式。兩種法律模式的分別采納源于各國法制傳統和對個人數據處理中主體權利的不同法律定位。新中國成立以來，我國法律體系總體上屬于大陸法系，同時，《中華人民共和國個人信息保護法》已經全國人大常委會審議通過。因此，我國法制傳統和法律模式都傾向于數據保護法模式。為此，本文引介歐盟《一般數據保護條例》[21]中關于科學研究的規范譜系以及德國、日本等國家個人數據保護法相應內容，并加以比較討論。

4.1 法規范的定位

從法規范的設置路徑來看，個人數據保護法對于科學研究的法律規制存在3種定位：一是“基本法”，只做基本的原則性規定，具體規則由行政規定、各行業準則以及軟法規范予以落實；二是專項法，對科學研究處理數據行為進行全面的體系性和集中性規定；三是“空白法”，不作任何直接性規定。例如，歐盟《一般數據保護條例》采取基本法定位，有6個條文8款內容對“科學或歷史研究”進行規定，并于第89條第2款授予歐盟所屬國國內立法的有限調整權。日本在個人信息保護法立法時，對于是否應將醫療研究、學術研究以及媒體與宗教政治團體加以規范引起巨大爭議，最終立法時將其排除在外[22]。2020年修訂的日本《個人信息保護法》[23]第76條依然規定，“以供學術研究之用為目的”的個人信息處理行為排除適用該法第四章關于個人信息處理的一系列義務性規定。

鑒于個人信息類型龐雜，科學研究只是處理個人數據的一種較為特殊的應用場景，對其進行專項法式的規范設定不具有可行性。“空白法”完全無涉科學研究，不利于保障科學研究的應有地位和公益事業開展。因此，基本法定位同時輔以較低位階的其它相關規范的立法路徑被大多數國家采納。

4.2 可處理的數據范圍

目前已通過的個人數據保護法尚沒有出現完全禁止科學研究處理某類數據的規定。通行的模式是立法中先對個人數據進行類型區分，然后，規定科學研究在處理不同類型的數據時需要遵循不同的合法性條件。一般而言，對于一般個人數據，科學研究毋須采取任何措施即可直接處理；對于敏感個人數據，則需要履行不同程度的處理義務。如歐盟《一般數據保護條例》第9條第1款規定“對于顯示種族或民族背景、政治觀念、宗教或哲學信仰或工會成員的個人數據、基因數據、為了特定識別自然人的生物性數據以及與自然人健康、個人性生活或性取向相關的數據，應當禁止處理”，但是，隨后第2款第(j)項解除了第1款對“科學或歷史研究目的”的限制，盡管需要依法采取第89條第1款設定的防護措施。

由于科學研究所具有的公益性且基于研究者表意自由的考慮，立法的趨向是不在個人數據類型和范圍上對科學研究進行絕對限制，對數據處理行為施加限制條件，從而為科學研究創造寬松環境。

4.3 目的限制原則的適用

目的限制原則主要體現在數據處理的兩個階段：一是數據收集目的明確，收集者以不遲于收集時間為時間節點確定數據收集目的；二是數據利用階段的使用目的不得突破收集時確定的初始目的。除此之外，還包括儲存期限的限制，數據儲存期限不得超過實現其處理目的所必需的時間[24]。歐盟《一般數據保護條例》第5條第1款規定了包括合法性、合理性和透明性，目的限制，數據最小化，準確性，限期儲存，數據完整性與保密性在內的6項個人數據處理基本原則。但是，第1款的(b)項排除目的限制原則對于科學研究的適用。同時，第1款的(e)項規定，用作科學研究目的的能夠識別數據主體的個人數據不受儲存期限的約束。至此，歐盟《一般數據保護條例》在數據處理目的上對科學研究給予例外豁免。

日本《個人信息保護法》第15條規定：“個人信息處理者在處理個人信息時，應當盡可能地將使用該個人信息的目的特定”，從而確立個人信息處理的目的限制原則。但是，該法第76條第3款將學術研究移出了目的限制原則的適用范圍。

科學研究的創新性源于其不確定性，新材料的發現或者研究方法的改進都會改變當初特定的研究目的，如果對其數據處理行為進行嚴格的目的限定則可能抑制科學研究的活力。因此，不受目的限制原則的拘束成為域外立法的主流模式。

4.4 數據主體同意的規定

歐盟《一般數據保護條例》第4條第(11)項將“同意”界定為數據主體出于自由意志以聲明或者積極行為作出的允許個人數據被處理的意思表示。同時，第7條第3款賦予數據主體隨時撤回同意的權利。可見歐盟對于同意條件的嚴格要求。但是，歐盟沒有就科學研究處理個人數據的同意要件作出直接規定。《一般數據保護條例》第6條第1款規定了數據處理的6項合法性要件，滿足其一即為合法：同意、契約、履行法定義務、維護核心利益、公共利益或行政任務、正當利益。有研究將該條內容解讀為合法性要件的雙階構造：第一階為同意作為獨立要件；第二階為“其他事由+必要性”的復合要件模式，通過必要性關聯補足主體意志的流失[25]。在六項要件中，能夠作為科學研究合法性依據的包括同意、公共利益以及正當利益。那么，同意要件如何作用于科學研究行為呢？鑒于科學研究不受目的限制原則的拘束，同意要件的約束力隨之減弱。從文義上看，當科學研究于目的外處理個人數據時，數據主體無法知情，同意也就無從談起；當科學研究于約定目的內處理個人數據時，同意的適用條件仍需要遵循條例的規定。但是，舉重以明輕，目的外處理尚且不需要同意，目的內處理是否需要征求同意頗為可疑。總體而言，歐盟弱化了同意要件適用于科學研究行為的拘束力。

2018年8月14日通過的巴西《通用數據保護法》第11條第II(c)項規定，在數據主體沒有給予同意的情況下，“敏感個人數據+科學研究目的+匿名化處理”為必不可少的合法條件。處理一般個人數據對是否同意不作要求。2021年2月9日審議的越南《個人數據保護法》(草案)第12條第1款規定，對于加密數據開展科學研究不需要征求同意。該條第4款規定：“若未獲得同意，科學研究的數據處理應采取如下相關措施：承諾；安全措施；具有保護數據的物理設備；設有保護數據的專門部門；個人數據保護委員會已對上述措施進行書面確認[26]。”

綜上，在科學研究中，同意要件仍存在適用空間。對于具有識別力的個人數據需要征求主體同意或者采取替代性措施，對于不具有識別力的個人數據無需獲取同意。總體而言，在目的限制原則被豁免適用的情形下，同意的約束力正趨于弱化。

4.5 數據主體權利的克減

歐盟《一般數據保護條例》對科學研究的價值與個人數據權利進行兩相權衡后作出折沖的規定。條例第14條規定當告知義務不可能履行或者需要付出不相稱努力時，科學研究收集數據可以免于告知，對數據主體的知情權施加限制。第89條第2款規定，當該條例第15、16、18、21 條所規定的訪問權、更正權、限制處理權與反對權徹底阻礙或嚴重阻礙科研目的時，成員國法律可以對數據主體的上述權利予以克減，同時，克減方案需滿足兩個條件：一是此類克減對于實現科研目的是必要的；二是克減需要符合第89條第1款規定的情形與防護措施。

2019年11月20日修正的《德國聯邦數據保護法》第27條第(2)項重申了《一般數據保護條例》第89條第2款對數據主體權利的克減方案，并且進一步規定當個人數據為科學研究目的所必需且答復查詢將產生不合比例的費用時，不得依據《一般數據保護條例》第15條主張訪問權，此處也沒有要求符合第89條第1款所規定的情形與防護措施。此外，《德國聯邦數據保護法》第36條重述了《一般數據保護條例》第21條第1項的反對權，即當超過個人法益的緊迫公共利益或法定義務出現時，數據主體的反對權將被壓制[27]。

域外法制基本認可了科研行為對于個人數據權利的克減，只是在克減的權利類型和克減程度方面做法不一。目前的共識是，對于數據主體的權利克減不僅要符合法定的前提條件，還應采取相應防護措施。

4.6 技術性與組織性保障措施

歐盟《一般數據保護條例》第89條第1款規定：“為了實現公共利益、科學或歷史研究或統計目的而處理，應當采取符合本條例的恰當防護措施，保障數據主體的權利與自由。這些防護措施應當確保，為了保證數據最小化原則，已經采取技術與組織性的措施。”可見，《一般數據保護條例》采取防護措施的直接目的是確保數據最小化，措施的類型包括技術性措施和組織性措施。至于包括哪些具體措施，條例沒有詳加規定。從第89條第1款后半段“這些措施可以包括匿名化”的表述來看，匿名化是可以采取的技術措施。此外，組織性措施包括兩個部分：一是條例第四章第四部分規定的“數據保護官”，屬于數據控制者和處理者委任的內部自律性組織；二是條例第六章規定的“獨立監管機構”，從外部對數據控制者和處理者的行為進行監督。數據保護官和獨立監管機構內外配合，保證條例在歐盟實施的一致性。

與歐盟層面的規定相較，德國設定的保護措施更為細致。《德國聯邦數據保護法》第27條第(1)項規定，當科學研究可以處理《一般數據保護條例》第9條第1項所稱的敏感個人數據時，處理者應依據該法第22條第(2)項第2句采行特定且適當的措施維護數據主體權益。《德國聯邦數據保護法》第22條第(2)項共包括10則內容，規定的具體措施如下：記錄數據處理過程以確保透明度和可回溯性；提高處理參與者的認知水平；任命數據保護官；認證處理者訪問數據的權限；數據的假名化處理；數據加密；確保與處理個人數據有關的系統及其服務能力；對防護措施進行經常性查核、評估；確保目的外處理或傳輸數據的特殊程序規范符合《一般數據保護條例》和《德國聯邦數據保護法》的要求[27]。

當前，科學研究處理個人數據的保障性措施包括技術性措施和組織性措施，兩類措施的具體類型還處于探索之中。德國的防護措施周密而系統，但是，是否對科學研究過于嚴苛尚存疑慮。

5 我國科學研究處理個人數據的規范建構

如今，以歐盟《一般數據保護條例》為代表的數據保護立法為科學研究處理個人數據行為搭建了相對完整的規范體系。中國可以在明確所要解決問題的基礎上辯證地借鑒域外法制經驗，總體思路上，個人數據保護法的本質是行為法，保護數據處理行為中的個人權益，而非單純地保護個人權利。在明晰數據保護規則法律定位的基礎上，厘清數據處理行為的合法性要件是解決科學研究中權益沖突的允正中道。

5.1 基本法與專門法的規范定位和體系構造

科學研究等處理個人數據的公益目的應納入《個人信息保護法》的正式條文之中，此舉能夠明晰科研行為在法律上的定位，意義有二：一是對科學研究活動的重視，也是對科學研究作為特殊數據應用場景的價值宣示；二是對科學研究處理個人數據行為的豁免條件予以規定，通過限制與例外的規范設置為各類具體研究行為提供基準性指引。在個人信息保護法提供“基本法定位”之后，規范各類具體研究行為的專門法需要根據各自情形提供更加細致的規則。這些規則可以在個人信息保護法的規定區間內進行適度調整，但是，不能突破個人信息保護法設定的合法邊界。各項專門法橫向之間也需要銜接搭配，在出現重復或者沖突時需要及時清理規整，以維護科學研究法律規制的體系性效應。目前我國《涉及人的生物醫學研究倫理審查辦法》與《信息安全技術——健康醫療數據安全指南》均是醫學研究方面的具體規定，其它類型研究處理數據行為的法律調控還需要補強。

個人信息保護法提供基礎依據的作用不容忽視，這可能是域外大多數個人數據保護立法例中對科學研究進行直接規定的原因。我國個人信息保護法可以借鑒這一法制經驗，為科學研究中的個人數據保護提供價值準則。

5.2 激勵相容取向下數據處理行為要件的重塑

無論何種數據應用場景，在保護數據主體個人權利的基礎上同時為數據控制者和處理者設定適度義務是促進利用激勵與保護激勵進而達成激勵相容的基本途徑[28]。此外，數據技術進步也會影響數據處理中的權益衡量，數據處理的法律條件有適時調整的必要。

5.2.1 數據處理者的義務豁免

基于公益擴展的考慮，科學研究者處理個人數據可以獲得特別的優待。首先，對于科學研究者可以處理的個人數據類別不作限制。因為每一種數據的研究結果都具有對公共利益帶來不確定增益的潛在可能性。其次，目的限制原則的豁免適用。科學研究的旨趣在于探索不確定性中的規律性，往往是一個從完全不確定到相對不確定的過程。因此，科學研究豁免適用目的限制原則是釋放研究可能性的有益之舉。最后，對科學研究者的義務豁免需要保持最低限度，因而研究者要擔負基本的研究注意義務。歐盟對于一般數據應用場景中的目的限制原則呈現“窄進寬出”的雙階構造：在數據收集階段，遵循“合法、特定、明確”的約定目的；在數據利用階段，約定目的與不背離約定目的的額外目的都在許可范圍內，以實現信息保護與流動的平衡[29]。不背離約定目的雖然放寬了目的限制，但是，仍然要接受“合理期待”或“平衡測試”等標準的限定。依此而言，當科學研究者漠視基本常識、有違數據適當性使用規定時，將會受到監管機構的審查和懲處。

5.2.2 數據主體同意要件更新及其權利克減的合比例性控制

域外同意的適用條件是根據數據識別力判斷同意與否，對同意的形態本身未作深入考究。隨著數字技術的發展，傳統全有全無式的僵化的同意形態遭致批評。有研究提出寬泛同意(broad consent)模式，即由數據主體一次性同意后續研究對其個人數據的使用，盡管后續研究還需要通過研究審查機構的批準[30]。實際上，包括世界醫學協會、國際醫學科學組織理事會和世界衛生組織在內的國際衛生研究管理機構已批準將寬泛同意作為一種可接受的替代方案[31]。作為使醫學數據二次研究合法化的一種手段，寬泛同意模式在德國和荷蘭得到越來越廣泛的采用，參與者作出一攬子同意的動機包括利他主義、互惠、團結和感恩[15]。面對寬泛同意可能將同意的實質功能消釋掉的危險，有研究提出動態同意(dynamic consent)模式，不再將同意視為一次性事件，而是一種隨著變化的環境持續協商、調整的過程，參與者可以隨著研究進展自由選擇同意加入 (opt in) 或退出 (opt out)，還可以根據自己的偏好選擇接收信息處理的幅度[32]。這對于研究中數據主體參與度、研究過程透明度都有很高的要求。同意是一個正在發展中的概念，隨著科學研究處理個人數據類型化的逐步清晰，分類同意 (tiered consent)和分層同意(layered consent)模式的精確適用更能凸顯同意的效能。

權利減損程度也會影響數據主體對于科學研究的信任度。數據處理中的權益沖突在所難免，保持合比例性是公共利益與個人權利之間的應然界限。最佳情形是科研行為包含的公益性足夠突出，同時，對個人權利的影響微乎其微。在比例性并不明顯時需要進行比例性評估，要求科研人員證明所研究的內容可以滿足緊迫的社會需求并且對個人權利的減損不超過實現研究目的所必需的程度。《個人信息保護法》第四章專章規定了“個人在個人信息處理活動中的權利”，第44-48條分別規定了知情權、決定權(反對權)、訪問權、更正權、刪除權、解釋說明權，同時規定存在“法律、行政法規規定的其他情形”時可以對知情權、決定權(反對權)、訪問權、刪除權予以克減。科學研究處理個人數據對于個人各類權利均可以克減，但是，克減程度需要通過比例性評估視具體情形而定。

5.3 保障性措施的輔助設置

對于數據處理的保障性措施，《個人信息保護法》已經作出一般性規定。科學研究處理個人數據行為可以在適用一般性規定的基礎上進行個性化局部調整和規范創新。

《個人信息保護法》第4條規定“匿名化處理后的信息”不屬于該法所界定的“個人信息”范圍；第51條第(三)項規定信息處理者負有“采取相應的加密、去標識化等安全技術措施”的義務；第73條第(三)、(四)項分別解釋了去標識化和匿名化的含義。總體而言，《草案》只對技術性措施作出概括性規定，對噪音添加、屬性交換、差分隱私、數據聚合等具體技術手段未作要求。這可能是因為技術性措施不僅僅承載不可被識別的技術判斷，同時，隱含相當程度的價值權衡——不對識別可能性進行過分細致和嚴苛的要求，為信息處理和流通保留必要空間。技術性措施具有復合屬性，同時，隨著數字技術的發展，數據識別標準是動態變化的，因此，受到時間、技術條件等情境規定性的約束。在科學研究中，對于不同研究類型不能一味地要求絕對地去識別化，符合當時情境下不能識別或者不損害數據主體權益情形下識別可能性極低的經處理數據均為可接受的情況。此外，隨著技術的發展，再識別的風險日益突出。除全面清除個人標識符外，還需要定期評估和監測是否存在新的風險以及已采取的技術手段是否有更新和調整的必要。

對于組織性保障措施，《個人信息保護法》第58條規定提供基礎性互聯網平臺服務的個人信息處理者應“成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督”。第六章對“履行個人信息保護職責的部門”進行專章規定，其中，第60條規定了國家網信部門統籌協調下的職責部門組織體系。此間的問題有二：一是科學研究的自律性組織設置不足，既有研究倫理審查機構的審查重點并非個人數據處理，而是一般性的倫理道德評價；二是個人信息保護職責部門未包括科研行為的專門監督機構，并且其主要組成人員多為政府部門工作者，缺少能夠對科學研究進行專業把控的科學專家。對此，在內部自律性組織建設中，需要在大學或者研究機構中設置個人數據處理風險的事前評估與認證機構，促進數據侵害風險的內部過濾和消化；在外部監管機構設置中，應逐步建立科學研究的專職獨立監管機構，提升科學研究處理數據的審查和監督能力。

6 結語

在大數據時代浪潮下，數字經濟的迅猛發展格外亮眼。相對而言，科學研究處理個人數據的應用場景未獲得應有的重視。面對個人數據保護與數據利用的張力，需要轉變現行法制中不確定法律概念架構下的模糊規制立場，轉而細致梳理和建構科學研究中數據處理的合法性要件，確立科學研究處理個人數據的應然法律界限。首先，在個人信息保護法作出基本規定的基礎上結合專門法的規范設計確立科學研究處理個人數據的規范體系。其次，妥適配置數據處理者的義務范圍和數據主體的個人權利比重，構筑激勵相容的數據處理行為要件。最后，通過完善技術性和組織性保障措施確保數據處理規范有序。此外，法律規制體系需要摒棄封閉和僵化的觀念，秉持開放和革新的立場，唯有如此才能在數字技術不斷進步的趨勢下保持充足的回應力。