數據主體控制個人健康信息的困境與解決對策

鐘曉雯，孫占利

1西南政法大學民商法學院，重慶，401120；2廣東財經大學法治與經濟發展研究所，廣東廣州，510320

近年來，在現代數據挖掘和深度學習技術的輔助下，數據已經發生了“從不同類別的個體數據生產者概念到更復雜的數據生態系統概念的范式轉變”[1],個體的醫療健康數據范疇也逐漸擴展至“醫療健康大數據”。醫療健康大數據的隱私保護問題成為了國內外學者積極關注的議題。當前國內外既有研究成果多圍繞隱私保護技術展開，學者們結合醫療健康大數據的特征，相繼提出了隨機匿名、差分隱私、加密存儲等技術的構建路徑，也有部分文獻從法學的角度提出了醫療服務與研究機構及其工作人員的隱私安全規范與管理標準的制定與完善路徑。然而，既有研究成果鮮有關注醫療健康大數據下數據主體控制個人健康信息的問題。因此，本文擬在厘清個人健康信息概念的基礎上，立足數據主體控制個人健康信息的理論基礎，剖析現行數據主體在控制方式上的困境，并提出相應的解決對策。

1 個人健康信息及數據主體對其控制的理論基礎

1.1 個人健康信息的界定

我國現行法律文件有不少關于個人健康信息的規定，《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第二十八條將“醫療健康個人信息”列為“敏感個人信息”，2020年《信息安全技術 個人信息安全規范》將“個人健康生理信息”列為“個人敏感信息”，并在附錄B中的“表B.1”中作了舉例說明。但上述法律文件均未明確界定“個人健康信息”的內涵與外延。美國是醫療健康數據領域立法的典型國家。1996年美國通過了《健康保險攜帶與責任法》(health insurance portability and accountability act，HIPAA)，2003年HIPAA中的隱私規則和安全規則隨之生效。HIPAA及其相關法案提出：“受保護的健康信息”是由適用主體或其商業伙伴以任何形式或媒體持有或傳輸的所有“可識別的個人健康信息”。其中“可識別的個人健康信息”是指個人過去，目前和未來的身體或精神健康狀態、醫療保健狀況以及與醫療保健相關的支付信息，并且這些信息可以識別該個人，或者有合理的基礎認為可以用來識別該個人[2]。因傳統健康數據通常包括實驗室測試結果、診斷圖像、病歷，公共衛生注冊數據以及在生物醫學或臨床研究中產生的數據，美國所確定的個人健康信息實際上是在傳統健康數據的概念上增加了“可識別”的特征。歐盟《通用數據保護條例》(general data protection regulation，GDPR)第九條將“有關健康的數據”歸屬為“特殊種類的個人數據”，并于第四條中解釋：與自然人身體或精神健康有關的個人數據，包括能揭示關于他/她的健康狀況的健康保健服務所提供的數據。綜合前述定義，個人健康信息是指：通過對健康數據進行分析獲得的可識別個人健康狀況的所有信息，既包括通過直接觀察或測量個人行為，身體特征和病理生理狀態等收集的健康數據，也包括通過分析其他類型數據獲得的可間接識別個人健康狀況的數據。

1.2 數據主體控制個人健康信息的理論基礎

數據控制與自主、自決、隱私、信任、透明度以及問責制等價值觀念相關，尤其在醫療健康領域，因患者或研究參與者的相對脆弱性，數據主體對個人健康信息的控制尤為重要。具體體現在以下3個方面。

第一，是個人信息自決權的重要體現。“信息自決權”是從《德國基本法》的“人性尊嚴”與“一般人格權”條款中衍生的權利，它在基本人權的意義上受到保護[3]。有學者對“信息自決權”作了詳細闡述：是當事人對其自身相關數據自行決定是否披露與使用的終極掌控的權利，在積極維度體現為當事人對自身信息的全面知情與把握，即對信息的知情(可獲取)、對使用的知情(可掌控)、對保護的知情(隱私)，以及對占有的知情(財產)；在消極維度體現為不知情。某些特殊信息僅具有統計學上的提示意義而不關乎當事人自身確定無誤的知識，因而有些公民出于維護個體自由發展潛能的考量，會主動行使不知情權[4]。信息自決權不應被理解為防止數據收集和使用的手段，也不應理解為對醫療健康活動的開展存在潛在威脅。改善醫療服務、提升藥物療效、增強公共衛生防控措施，以及推動醫學基礎科學進步，實際上都是數據驅動型醫學的預期效應。在未有充分證據證明前，認為數據主體控制個人健康信息會阻礙醫療健康領域的發展為時尚早。

第二，是行使數據“所有權”的重要體現。醫療健康大數據能夠加速臨床試驗、醫學研究和商業環境中產生的數據與在線檢索到的數據間的融合，促使個人健康信息具有使用和交換價值，從而具備“財產”屬性。通常認為個體應當對其財產擁有控制權，這種直觀感受建立了控制權與所有權間的概念聯系，因此有學者也將信息隱私歸結為人們對擁有的信息資源的一種控制形式[5]。盡管當前我國數據權屬制度缺失，臨床或醫學研究數據通常不會被視為數據主體的財產，通過公共資金收集的研究數據亦不會被視為研究人員或參與者的財產，但數據要素市場化配置已成既定國策，構建數據產權制度已經成為必然趨勢。因此，立足未來我國數據產權制度的建立，有必要增強數據主體對個人健康信息的控制。

第三，有助于提高透明度與完善問責制。透明度、問責制是建立和維護研究參與者、患者與醫療服務和研究機構之間信任的基準[1]。增強數據主體對個人健康信息的控制能夠促使相關機構將個人健康信息的使用目的、方式等如實告知數據主體，清楚標識并公開數據管理的負責人，以及安全存儲數據、合理限制數據訪問、合規監控數據使用。此外，依賴于現代信息技術，幾乎任何形式的數據都可轉化為醫療健康數據，個體數據生產者概念發生了向醫療健康大數據概念的范式轉變[6]，這模糊了其他數據類型與個人健康信息間的常規區別[7]。對此，只有增強數據主體對個人健康信息的控制，提高個人健康信息收集、使用以及治理的透明度，在數據主體與醫療服務和研究機構間建立可信機制，才能促使數據主體自愿提供個人健康信息，推動生物醫學的研究與發展。

2 數據主體控制個人健康信息的方式及其困境

在醫療服務與研究中，數據主體通常是參加臨床研究的健康或患病志愿者，他們主要以3種方式控制個人健康信息：簽署知情同意書、達成專業保密協議和匿名化處理，其中簽署知情同意書為直接控制方式，達成專業保密協議與匿名化處理屬于間接控制方式。

2.1 數據主體直接控制個人健康信息方式的困境

目前各醫療服務與研究機構主要以簽署知情同意書的形式收集個人健康信息。知情同意書通常會向數據主體披露如何使用、存儲、分發和保護其個人健康信息，并由數據主體自主決定是否提供個人健康信息。通過該方式實現數據主體對個人健康信息控制的缺陷如下。首先，知情同意書難以以可理解的形式向數據主體披露相關信息，以便其作出是否同意的自主選擇。蓋因數據主體通常不會詳細閱讀知情同意書的內容，即便詳細閱讀后也會因難以理解其中專業、晦澀的術語表達，導致無法在深思熟慮的情況下自主作出決定。其次，醫療服務與研究機構與數據主體簽署的通常為廣泛知情同意書，此時數據主體無法預知其個人健康信息的未來使用目的以及訪問主體。例如，在生物信息捐獻活動中，自愿向生物樣本庫或信息數據庫提供樣本或數據的主體所簽署的知情同意書，通常僅對自愿捐贈的適用設置部分限制，并未詳細說明與健康數據訪問、使用等行為相關的具體目的或條件[8]。最后，醫療健康大數據打破了“知情”的可預測性。“知情同意”模式需要數據控制者準確無誤地告知數據主體與其有關的數據處理信息，如搜集數據的手段、范圍，數據的用途，數據處理的結果以及數據的儲存時間、位置等。但當前個人健康數據日趨形成了類比于“數據生態系統”的醫療健康大數據，幾乎任何形式的數據依靠現代信息技術都可轉化為與健康相關的數據，這導致知情同意模式，尤其是廣泛的知情同意模式，具有相當的不確定性[9]。當數據主體接受廣泛知情同意模式后，其原本并未同意采集的個別敏感健康信息(如基因組數據)有可能被識別并收集。

2.2 數據主體間接控制個人健康信息方式的困境

數據主體控制個人健康信息的間接方式是匿名化處理與達成專業保密協議。“匿名化處理”是指利用技術手段對個人數據進行加工處理，使其不再具有直接或間接識別性。“專業保密協議”是指醫療服務與研究機構通過與數據主體簽訂協議(約定數據使用范圍，明確數據保密及隱私保護中的雙方義務和責任)的方式收集個人健康信息。這兩種控制方式亦存在缺陷。

第一，匿名化處理阻礙了數據主體的信息自決權且該技術存在缺陷。匿名化處理通常有兩種形式：一是完全匿名化，即刪除個人標識符；二是非完全匿名化，即通過將數據替換為代碼或密鑰使數據集不可識別，原始數據控制者可在必要時使用該代碼或密鑰重新識別數據。匿名化處理旨在限制他人采取任何合理可能的方式通過數據識別定位至特定個人[10]。匿名化處理的缺陷體現在兩方面：一是匿名化處理可能會阻礙數據主體對其個人健康信息的自決權，例如，基于政治、文化、宗教等原因，個體可能不希望其健康信息用于某一特定醫學研究領域，倘若此時數據已經匿名化，數據主體則無從知悉健康信息的使用去向；二是匿名化技術可能無法實現數據主體對個人健康信息保護的期待。現代信息技術增強了數據分析能力，通過海量數據的支撐，匿名化后的數據仍然有可能識別至特定個人。

第二，專業保密協議在醫療健康研究備受關注的背景下缺乏可預見性。達成專業保密協議后，若非出于初始信息收集目的的需要，相關機構不會將個人健康信息透露至第三方。就該層面而言，數據主體可通過專業保密協議在有限范圍內間接實現對個人健康信息的控制，自主決定個人健康信息的訪問和處理主體。但當前人口增長和老齡化加速，人類慢性病發病率提升，癌癥、心臟病等疑難雜癥尚未解決，尤其是2019年以來新冠肺炎疫情全球暴發，醫療健康研究引起了全球高度關注。人類的生物資源和數據作為用于健康相關研究的寶貴資產，出于醫學研究的目的，相關機構將個人健康信息透露至第三方的可能性大大增加，這是數據主體簽訂專業保密協議時無法預見的。

3 數據主體控制個人健康信息困境的解決對策

破解數據主體控制個人健康信息的困境可從兩個維度展開：一是落實數據主體對個人健康信息的可攜帶權，提高數據的互操作性和可訪問性；二是構建個人健康信息電子動態知情同意機制，促使數據主體及時、充分了解其個人健康信息的使用目的、方式等。

3.1 落實數據主體對個人健康信息的可攜帶權

GDPR自發布以來即受到各國關注，并被稱為史上最嚴苛的個人數據保護條例。GDPR從多方面為個人數據提供了強有力的權利支持，其中“可攜帶權”(right to portability)強化了數據主體對其自身數據的控制。GDPR第二十條第一款規定了可攜帶權：數據主體應有權以結構化的，常用的且可機讀的方式接收由他/她提供給控制者的有關其自身的數據，并有權將這些數據轉移至其他控制者處，且不會受到已向其提供個人數據的控制者的阻礙。結合第二十九條工作組在《關于數據可攜帶權指南》(以下簡稱《指南》)中的解釋，可攜帶權應從以下三方面解讀[11]。

首先，數據主體有權從數據控制者處獲得與其自身相關的個人數據子集，并將數據存儲在私有設備或私有云上以備再次利用。GDPR頒布后，《指南》就“與數據主體有關的個人數據”進行了闡釋說明。總體而言，除可以明確鏈接到數據主體的假名數據外，任何匿名的或與數據主體無關的數據都不在數據可攜帶權范圍之內。由于大多數情況下數據控制者將處理包含多個數據主體在內的個人數據，故而數據控制者不應對“與數據主體有關的個人數據”一詞作嚴格解釋。除數據主體直接提供的數據信息(例如，郵寄地址、用戶名，年齡等)外，數據控制者通過應用服務或設備觀測數據主體而記錄到的數據信息也應包括在該權利行使范圍內，例如通過保健和健身應用程序、社交媒體，以及可穿戴設備等途徑獲取的健康信息，但不包括數據控制者基于“由數據主體提供的數據”進行后續分析而獲得的推斷數據和派生數據(例如，關于用戶健康的評估結果或在風險管理和財務法規的背景下創建的個人資料)。GDPR及其《指南》對“與數據主體有關的個人數據”所作的適當擴大解釋，恰恰使得數據可攜帶權能夠適應當前醫療健康大數據的發展趨勢。

其次，數據主體從數據控制者處獲得的數據應為“結構化的”“常用的”以及“可機讀的”。對于這3個術語，《指南》作了總體概述：這要求數據控制者提供的數據的格式應當是可互操作的。換言之，所提供的數據格式可以是開放的，也可以是專有的；可以是正式標準的，也可以是非正式標準的，但應當是可重復使用的，亦即不得以限制再利用的格式提供數據[12]。其中關于“可機讀的”，指令2013/37/EU第二十九條作了闡釋：一種結構化的文件格式，使軟件應用程序可以輕松地辨認、識別和提取特定數據，包括單個事實陳述及其內部結構。這意味著數據主體能夠充分增強其對個人健康信息的控制，因為在數據可攜帶權行使的范圍內，數據主體可以使一個研究機構收集的數據被另一研究機構訪問，抑或可以使來自商業應用程序或設備的數據(例如活動跟蹤系統)等重復用于與健康相關的研究。

最后，數據主體有權不受障礙地將其個人數據從數據控制者處轉移至其他數據控制者處。這蘊含兩層含義：數據主體既可以自行轉移數據，也可以要求數據控制者在技術可行的情況下直接轉移數據。這一權利內容實質上要求數據控制者應當開發出可互操作性的數據格式。“可互操作性”并不要求數據控制者所采用或維護的處理系統能夠實現技術上的兼容性，但禁止數據控制者為數據轉移設置障礙。此外，根據GDPR第八十九條第二款的規定，出于科學研究目的，數據的“刪除權”“糾正權”等權利在歐洲成員國法律中可能被克減，但數據主體的可攜帶權仍然需要保留。

總的來說，在數據可攜帶權中，數據主體將承擔數據分發中心的角色(該角色過去由數據控制者保留)，這使得數據主體取得了獲取和重復使用個人數據的能力，并且能夠將其向特定數據控制者提供的個人數據傳輸至另一服務提供商(在同一業務部門內或在不同業務部門間)[11]。除了通過防止“鎖定”的方式來增強數據主體控制其個人數據的能力外，數據可攜帶權還有利于在數據主體的控制下以安全可靠的方式促使個人數據在數據控制者之間共享。故而，有必要探索在醫療健康領域落實數據可攜帶權的可行路徑。

2018年《國家健康醫療大數據標準、安全和服務管理辦法(試行)》要求相關責任單位應當為醫療健康數據主體提供安全的復制渠道。2020年《信息安全技術 個人信息安全規范》第七條第九款規定“個人信息主體獲取個人信息副本”。這些規定和要求可以視為立法為中國版“數據可攜帶權”埋下的伏筆[12]。隨后，2021年《個人信息保護法》第四十五條正式確立了個人信息可攜帶權，但該條僅為引致性規范，對于個人信息處理者應當以何種形式和程序實現數據主體的可攜帶權未有明確規定。可借鑒歐盟關于數據可攜帶權的具體規范，進一步明確我國個人信息可攜帶權的實施細則。值得注意的是，我國明確醫療健康領域的數據可攜帶權之具體規范時不應照搬歐盟的制度體系，應立足本國國情加以調試，從而實現真正的本土化。同時考慮到醫療健康領域的特殊性，還需要審慎思考應否采用廣泛的數據可攜帶權。

3.2 構建個人健康信息電子動態知情同意機制

構建個人健康信息電子動態知情同意機制可從三個層面著手：一是實現知情同意書的電子化；二是基于電子知情同意書建立電子同意管理機制；三是基于電子同意管理機制引入動態同意模式。

第一，實現知情同意書在醫療健康領域的電子化。信息通信技術使得紙上活動逐漸電子化，知情同意書亦由紙質化邁向電子化。2016年美國衛生與公共服務部和食品藥品監督管理局發布特定指南《電子知情同意書在臨床研究中的適用-問題和答案》。該指南提供了有關使用電子系統和流程的建議，明確了電子知情同意書(electronic informed consent，EIC)可用于提供通常包含在書面知情同意文件中的信息，評估受試者對所提供信息的理解，并記錄受試者或受試者合法授權代表人的同意[13]。一方面，EIC的整個在線傳輸過程可以使用交互式界面，這將促進受試者保留和理解信息的能力；另一方面，EIC能夠利用電子設計增強信息披露，并快速通知相關受試者與知情同意關聯的任何修正，從而促進數據主體更好地理解其個人數據的流向和使用。目前上海市數字證書認證中心有限公司也推出了EIC解決方案，該方案通過將多功能移動安全認證、可靠電子簽名系統以及醫療文書自動推送系統結合實現知情同意書的電子化。可見，我國在醫療健康領域已開始了EIC的探索，并取得了一定成果。

第二，基于電子知情同意書建立電子同意管理機制。當前大多數機構推行的EIC仍然是采用線下紙質加文件掃描的方式來形成電子文件格式。此種基于紙質的知情同意程序長期以來遭致批評，根源在于紙質知情同意程序難以以數據主體可理解的方式傳達相關信息，阻礙了數據主體的自主選擇意愿。為此，理論與實務界開始探索電子同意管理機制(electronic consent management mechanism，ECMM)。理論界中，有學者利用統一建模語言(unified modeling language，UML)模型設計ECMM[14]，還有學者建議將ECMM與電子病歷(electronic medical record，EMR)或電子人力資源管理(electronic human resource，EHR)進行系統集成[15-16]。實務界中，諸多醫療保健組織試圖在EMR中進行電子同意書管理：退伍軍人管理局醫療中心利用計算機系統工具(iMedConsent)支持以電子方式訪問、填寫，簽署和存儲知情同意書。如何在技術層面落實ECMM并非是法學學者所能解決的問題，但可以肯定的是，建立ECMM有利于增強數據主體對個人健康信息的控制，是推動我國智慧醫療建設的重要手段。

第三，基于電子同意管理機制引入動態同意模式。動態同意模式以分層同意為基礎，旨在將不斷發展變化的數據主體的偏好嵌入到參與者與研究人員的開放式交流過程中，是一種讓個人參與到數據處理過程中的新方法。在初始知情同意程序中，首先由研究人員分別詢問參與者同意與不同意使用的數據類型與數據使用目的，此后，當數據需要繼續使用或用于不同研究項目時，僅根據參與者的偏好調整數據的使用情況并告知參與者。在整個項目過程中，參與者可以調整、修改或變更其對數據使用的偏好，甚至退出相關研究。概言之，動態同意模式將同意從靜態過程轉變為適應性過程，在醫療健康領域引入動態同意模式，可以強化數據主體的中心地位，提高數據主體對其個人健康信息的主動權。同時在該模式下，數據主體同意的作出與撤回是即時性的，能夠幫助數據主體更好地應對瞬息萬變的醫療健康大數據時代。我國《個人信息保護法》采用概括同意結合特定例外的形式，同時設置了單獨同意、口頭同意、書面同意、初始同意和再次同意五種類型，其中明確了采用“單獨同意”的形式處理敏感個人信息。所謂“單獨同意”是指信息處理者在處理個人信息時，不能通過一攬子告知同意的方式征得個人同意，而是需要逐一單獨取得個人的同意。“單獨同意”在《個人信息保護法》中的確立，可以認為是立法為動態同意模式提供了合法性基礎。

動態同意模式在促進數據主體對個人健康信息精細化控制的同時，可能會對醫學研究的質量產生影響，尤其是廣泛地選擇退出有可能致使研究數據集產生偏向性并損害特定科學領域中數據分析的可靠性與可重復性。實際上，數據主體的控制權并非絕對的，當其與其他立法價值發生沖突時，存在數據主體放棄控制權的可能性，正如《個人信息保護法》第十三條即明確了在應對突發公共衛生事件、履行法定職責等五種情況下，處理個人信息毋須征得主體同意，并設置了兜底條款，為其他法律、行政法規在此方面留下立法空間。總的來說，個人健康信息與個人、社會以及國家利益休戚相關，為實現不同立法價值間的利益平衡，當出于公共利益的目的要求數據主體放棄控制個人健康信息的權利時，應當有確鑿證據證明控制權的存在與數據集研究質量下降之間具有因果關系。

4 結論

數據安全問題貫穿了數據主體控制個人健康信息的全生命周期。《中華人民共和國數據安全法》(以下簡稱《數據安全法》)作為數據領域的首部基礎性法律，全鏈條構建了數據分類分級、數據安全風險評估、報告、信息共享、監測預警機制、數據安全審查等制度，形成了數據安全保障的基本框架。數據分類分級制度作為關鍵環節，《數據安全法》“自上而下”地初步完成了分類分級工作，類型化區分設計了數據基本保護規則，其中對于個人信息保護，已通過第三十二條第二款、第五十三條第二款直接指向了《個人信息保護法》[17]。2021年實施的《信息安全技術 健康醫療數據安全指南》亦重點強調了健康醫療數據的分類分級合規要求，但該指南主要為倡導性規定，不宜作為醫療健康機構數據合規治理及監管機構執法的依據。如何在《數據安全法》的宏觀指引下，以《個人信息保護法》為基礎落實個人健康信息分類分級制度的配套實施細則仍然是當前立法和實務的難點。