數字時代個人健康信息合理使用中的利益沖突與彌合

摘 要：合理使用個人健康信息是數字時代的務實選擇，但其引發的利益沖突問題同樣值得深思。個人健康信息攸關多方利益，信息保護和開發都是不可偏廢的。“設計保護”是適應時代發展的新模式，可為實現沖突彌合提供解決思路。通過“設計”實現個人健康信息合理使用中的沖突彌合需依靠倫理、法律和技術融合治理：在倫理指引上，應以以人為本、安全無害、公平公正、透明可控和正和共贏為價值追求；在法律要求上，應以“敏感個人信息處理規則”和“信息合理使用規則”為基本遵循，對處理目的、處理手段和保護措施予以約束；在技術支撐上，應從系統要素確定、保護措施選擇、運行流程設計和設計方案改進四個方面推進。基于個人健康信息合理使用的場域性，“設計保護”的適用應把握重點，實現各方利益的帕累托最優。

關鍵詞：大數據技術；個人健康信息；信息合理使用；設計保護；利益平衡

中圖分類號：D 923.8 文獻標志碼：A 文章編號：2096?9783（2023）04?0043?10

大數據技術與醫療健康技術的融合發展引發了一場“健康革命”，使個人健康信息成為社會發展的新動能，加快信息開發成為社會共識。知情同意規則在應對當前語境切換時顯得左支右絀，信息合理使用是指無須經主體同意，為維護正當利益而使用其個人信息[1]，可為推進信息共享提供思路。2021年《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）出臺，其第十三條第一款第二至七項（以下簡稱信息合理使用規則）為合理使用個人健康信息提供了法律注腳。由于無須獲取同意，信息合理使用會對主體自決產生遮蔽效應，頻發的個人健康信息安全事件引發社會熱議。個人健康信息攸關多方利益，如何在既有框架下規范個人健康信息合理使用，實現信息安全和共享的耦合，化解利益沖突是亟待解決的痛點問題。數字時代，處理者的非具身性、處理行為的無形性、損害結果的不可逆性等問題導致依托于公平實踐原則的傳統治理模式難以奏效。若要走出困境，還需探索一套更符合時代特征的治理模式，強調事先預防的“設計保護”是一條充滿希望的新路徑。

一、個人健康信息合理使用中的權益之爭

大數據技術加強了個體與社會的依系關系，使個人健康信息超脫個人領域成為輔助社會治理和觀照人民生命健康權的益品[2]。域外紛紛推出立法推進健康信息共享，如美國《21世紀治愈法案》、日本《次世代醫療基礎法》、澳大利亞《我的健康記錄規則》等。2018年，我國國務院辦公廳發布《關于促進“互聯網+醫療健康”發展的意見》，指明了健康產業數字化的發展方向。2020年新冠疫情的暴發將健康關注的目光由“個人”轉向“整體”，個人健康信息的利用需求被推向極致，信息處理也由“ 權利導向”轉向“ 責任導向” [3]。技術昌明時代，信息個人控制主義備受詰難，一味固守知情同意顯得不合時宜，信息合理使用的重要性日益凸顯。然而，合理使用個人健康信息的副作用也不容忽視。當下，信息合理使用與大數據技術的對接使得信息風險輪廓改變，風險從物理轉向系統、技術層面，主要包括：（1）角色錯位，數字科技企業主導了當下信息驅動的健康服務市場，但其是否需遵循特定職業倫理和法律，尚不明晰，這使其可能無意識突破法律底線①；（2）隱私越界，數據轉化技術可根據人機互動產生的數字痕跡揭示主體健康信息，這可能會破壞信息交互語境，造成隱私越界；（3）信息外泄，個人健康信息處理多需分布式傳輸和去中心化儲存，共享流程簡化、權責界定困難，流通邊界模糊等問題使信息極易外泄；（4）信息濫用，個人健康信息附著豐富價值，極易被過度開發，信息濫用帶來的“有害記憶”，如為主體刻下電子烙印，歧視、污名化等問題將接踵而至。

數字時代，公益與私權的博弈在個人健康信息合理使用中被展現得淋漓盡致，若全然不顧信息安全，則將引發“寒蟬效應”，但若一味強調主體控制，又將導致“信息煙囪”，如何實現利益沖突彌合成為無法回避的議題。

二、個人健康信息合理使用的法理解讀

若要實現利益沖突彌合，應先從法理層面對個人健康信息的內涵、其合理使用的制度精神及處理中的利益關系進行剖析。

（一）個人健康信息的內涵厘定

我國《個人信息保護法》第二十八條將個人健康信息認定為敏感個人信息，但就何為個人健康信息并未過多著墨。當前我國有關文件對個人健康信息②的表述不一，如表1所示，其內涵還需明晰。

首先，個人健康信息是“大健康場景”下產生的信息。個人信息應被置于場景中解讀[4]，個人健康信息的研究肇始于醫療領域，先前常以醫療信息代替健康信息，但健康服務的多元發展使信息的產出超脫狹隘的醫療場景[5]，演變為所有與健康相關的社會領域，外延也日益豐富，包括臨床信息、醫學試驗信息、健康管理信息等。

其次，個人健康信息是反映主體內在健康狀況的信息。個人健康信息承載的是主體生理與心理的健康狀態。生理健康信息和生物識別信息均是主體物理身體的集中反映，但生物識別信息主要反映主體外在生物特征，而生理健康信息側重揭示信息與生老病死間的聯系。以基因信息為例，其是主體DNA鏈中帶有遺傳本質的信息，可揭示主體的生物特征和健康狀態。美國《健康保險攜帶和責任法案》將基因信息歸為健康信息；歐盟《通用數據保護條例》（以下簡稱GDPR）將其與生物識別信息、有關健康的數據并列；巴西《通用數據保護法》則將三者雜糅為一種信息。我國尚未明確基因信息歸屬，筆者認為其歸屬應依場景分析，若處理者利用其進行基因篩查，完成遺傳疾病等深層測算，應被認定為生理健康信息；若利用堿基排序識別個人，則應被認定為生物識別信息。

最后，個人健康信息是具有可識別性的信息。個人健康信息不僅包括可直接識別出主體的信息，如電子病歷等，也包括具有間接識別性的醫保支付記錄、輸血麻醉記錄、健康檢測設備ID等。

綜上，個人健康信息是主體在醫療、健康管理、公共衛生等“大健康場景”中產生的，反映其內在身心健康，具有可識別性的信息。

（二）個人健康信息合理使用的規則解讀

先前，《中華人民共和國精神衛生法》《中華人民共和國傳染病防治法》等立法中均設有關于個人健康信息合理使用的零星規定，但適用范圍過于狹窄。

2020年《中華人民共和國民法典》出臺，其通過第九百九十九條和第一千零三十六條將信息合理使用納入民法規制范疇；2021年我國《個人信息保護法》出臺，其第十三條“信息合理使用規則”列舉了合理使用的法定情形③，成為我國個人健康信息合理使用的核心理據。我國《個人信息保護法》第十三條將“知情同意規則”和“信息合理使用規則”列為平級的信息處理方式，旨在通過干預主體的信息自決，有序推進信息共享。“信息合理使用規則”利用價值優先評價機制，當信息使用價值高于主體自主價值時，優先保障使用價值的實現。個人健康信息上集結多方利益，林林總總的利益間發生糾葛是極為常見的，“信息合理使用規則”的應用可有效緩解信息保護和利用間的沖突。

在法條設計上，“信息合理使用規則”通過“賦權”要件允許主體特定情況下強制使用個人信息，再搭配“限權”要件（“必需”或“合理范圍”）收斂處理者行為。

（三）個人健康信息合理使用中的利益關系

個人健康信息兼顧情感功能和工具功能，匯集多方利益，在其合理使用中各項利益間呈隱性的對抗關系[6]。（1）人格利益。個人健康信息承載的是主體有關精神、身體狀況的私密細節，所蘊含的人格要素甚巨。主體對自身健康信息的控制即是對其人格發展、親密關系、私密空間的自主選擇。（2）社會利益。個人健康信息開發對增進公共健康頗有裨益，許多公共衛生和醫學研究都需依靠個人健康信息提升研究精度。當前世界各國都在積極構建健康數據庫[7]，如英國人群生物資料庫，我國國家基因庫樣本信息共享平臺等。（3）商業利益。個人健康信息是健康產業數字化的重要原料，對推進產業轉型，優化服務質量意義重大。在信息合理使用中，個人健康信息的情感功能和工具功能被置于利益天平兩端，其中情感功能衍生出主體的人格利益，工具功能派生出社會利益和商業利益。合規的信息合理使用可在保障信息安全的前提下，推動公共利益和商業利益的實現，保持利益天平穩定，而失范的信息合理使用則將打破利益平衡，使利益沖突從隱性轉為顯性。

三、通過“設計”實現個人健康信息合理使用中沖突彌合的思路

當前部分個人健康信息合理使用不僅未能體現平衡精神，反而激化利益沖突。究其根本，是因為處理者過度侵占主體權益，導致制度運行陷入惡性循環。

（一）個人健康信息合理使用中沖突彌合的對策取向

依據康德的“人是目的”的倫理觀，無論是社會公共利益還是產業發展利益，最終都應落實到“人”上。尊重人格是健康服務的大廈之基[3]，即使算法將主體分解為一個個生物數字符號，其人格也不會在信息洪流中被消耗殆盡。處理者應認識到個人健康信息荷載的人格要素，堅持安全為先的價值立場。“風險社會”的背景下，不當的信息使用會給主體帶來難以預計的信息風險，這是激化利益沖突的主要癥結，所以利益沖突彌合應以確保行為的合法合規為主線。傳統治理方式依托于公平實踐原則，依靠知情同意實現主體風險自治，并在侵權行為出現時通過事后救濟彌補主體損失。但信息合理使用缺乏主體同意的要素，與公平實踐原則并不適配，且個人健康信息受損具有不可逆性，寄希望單純依靠“查漏補缺”式事后救濟是難以填平主體損失，實現利益平衡的[8]。相較于事后的算法問責，事先的算法預防顯然更具成本效益。“元規制”要求通過外部規范刺激規制對象針對問題做出源頭的、自我規制式的回應[9]，可為化解利益沖突提供思路。亞太經合組織《隱私保護綱領》第14條便規定了預防損害原則；新加坡《個人信息保護法》亦是將預防性保護作為內核，在立法中一以貫之；我國《個人信息保護法》第七條規定的“透明原則”、第五十五條的“事先評估”也都體現了“元規制”理念。

（二）個人健康信息合理使用中沖突彌合的解決工具

“元規制”的實施需依托于適宜工具，“設計保護”作為一項組織自我治理的手段，可為其提供工具支持。“設計保護”要求處理者在系統設計伊始，解讀相關法規，并將其融入系統DNA之中，以控制系統。起初，“設計保護”是在計算機領域被廣泛應用的一種安全保障措施，后被作為一項公共政策在個人信息保護領域被多次提及，其中最經典論述便是加拿大AnnCavoukian博士提出的“隱私設計”理論，其闡釋了“設計”的七項內容，包括事先預防、默認保護、嵌入系統、完整功能、全生命周期保護、用戶至上和可視透明[10]。

“設計保護”成為一項正式的法律規則則經歷了漫長的發展過程。在2008年“I v. Finland”案④中，法院認為芬蘭未通過技術措施全面記錄查閱健康記錄的人員，違反了《歐洲保護人權和基本自由公約》中規定的積極作為義務。盡管本案法院并未正面提及“設計保護”，但其判決的要旨體現了“設計保護”的思維方式，被認為是培育“設計保護”規則的重要判例[11]。在立法層面，歐盟《數據保護指令》序言第46段曾表示應采取“適當的技術和組織措施”，“在處理系統設計時和處理時”保護數據利益[12]。2018年，歐盟GDPR生效，其第25條規定了處理者的“設計保護”義務，“設計保護”正式成為有法可循的硬性要求。2020年，歐洲數據保護委員會又通過《關于第25條數據保護的指導方針》，用以指導“設計保護”條款的應用。時至今日，“設計保護”被作為處理者的法定義務出現在多國立法中，如英國信息專員辦公室的《數據保護指南》、法國國家信息與自由委員會的《GDPR開發者指南》、西班牙數據保護局的《隱私設計指南》等。實踐中，谷歌、蘋果、騰訊等互聯網企業均在積極探索將“設計保護”嵌入產品，且頗具成效。

“設計保護”的核心內容有三[13]：一是規則嵌入系統，保證系統運行有規可循；二是系統默認保護，即在默認情況下選擇最安全信息處理配置[11]，可提高主體對信息合理使用的鈍感系數；三是通過“正和博弈”，鏈接各利益攸關方，平衡各方利益。雖我國《個人信息保護法》并未直接規定“設計保護”，但依解釋論仍可為其運行找到有力支撐。我國《個人信息保護法》第九條規定了“必要保護”原則，要求信息處理應附加必要保障措施，“設計保護”本質上是依法選擇和部署隱私增強技術，可直接對接第九條。此外，我國《個人信息保護法》第二十八條的“嚴格保護”要求、第五十一條對保護措施要件的闡釋均可為其運行提供具體指引。

在實踐路徑的探討上，Adamantia 認為“設計保護”的實施包括隱私詞匯引入、創建加密網絡、隱私設計執行[14]；鄭志峰認為包括需求界定、功能分析、數據確定、風險分析、多邊需求分析和方案實施[15]；胡杰敏等則認為包括確定價值追求、明確規制范圍和建構程序制度[16]。“設計保護”作為倫理、法律與技術的交叉工具[17]，要求加強倫理、法律和技術間的互補作用，其在個人健康信息合理使用領域的適用應分為三個環節：首先是價值嵌入，算法應是有“溫度”的，需先明確價值追求，避免單純的工具理性；其次是規范解讀，需闡釋相關規則，承接宏觀價值追求，確定系統具體需求；最后是系統設計，需通過技術部署滿足倫理和法律需求。

四、個人健康信息合理使用中沖突彌合的“設計”方案

“設計保護”的運用應先行解讀“價值觀”和“法律要求”，再將具體要求落實到系統設計之中，實現“碼法共治”。

（一）價值嵌入：“設計”方案的倫理指引

系統設計應具有倫理導向[18]，歐盟資助的SIENNA項目曾提出“倫理設計”（Ethics by design）概念，提倡將倫理價值轉化為算法設計的構成要素。個人健康信息處理活動應實現算法倫理與生命倫理的有機結合，其“設計”的基本導向應包括五項：（1）以人為本：算法的發展使技術的絕對被動地位逐漸被改變，但這并不意味人類主體地位被僭越。個人健康信息合理使用仍應堅持“人是目的”的基本要求，不可本末倒置。（2）安全無害：系統不能主動傷害用戶，也不能不作為令主體受到傷害[19]，這是算法倫理的“零號法則”，也是生命倫理中“無害原則”的落實。“設計保護”要求在明確系統需求時應始終將個人健康信息安全置于首要位置[10]。（3）公平公正：生命倫理中的“公平原則”要求應公平對待每位服務對象。算法具有非中立性，處理者的價值偏好不可避免地會影響處理活動，必須從價值層面引導處理者，杜絕“算法霸權”等不公正行為。（4）透明可控：個人健康信息合理使用中的許多風險來自算法黑箱[20]。處理者應以易懂、持續的方式保證主體了解系統運作的相關事宜，并賦予主體對信息的必要控制權。（5）正和共贏：個人健康信息合理使用應是有價值回饋的，并保證個人信息價值在設計中以最均衡的形式呈現[21]。

（二）規范解讀：“設計”方案的法律要求

在“設計保護”中，法律是出發點，技術是對法律的響應[22]。工程師Anton和Earp指出“設計保護”的難點并非技術轉化，而是法律需求的闡釋[23]。作為一種信息處理方式，個人健康信息合理使用理應接受我國《個人信息保護法》第二十八條“敏感個人信息處理規則”和第十三條的“信息合理使用規則”的雙重約束[24]，前者提出“特定目的”“充分必要”和“嚴格保護”三項標準⑤，后者要求應實現“賦權”和“限權”的平衡。兩項規則本質上是融通關系，“特定目的”與“賦權”要件對應處理目的，“充分必要”和“限權”要件對應處理手段，“嚴格保護”對應保護措施。

首先，處理目的。個人健康信息合理使用的目的應根據“信息合理使用規則”的法定清單進行提煉，不可過于模糊和抽象。第二十八條要求敏感個人信息的處理目的需滿足“特定性”，即目的相對固定。個人健康信息具有豐富應用價值，其在使用中常會被用于其他目的。為避免濫用，系統應具備拒絕預設外目的的功能。然而，限定處理目的并不意味著目的固定不可變，歐盟GDPR的“數據兼容處理”規則便允許處理者對信息進行與收集目的兼容的處理。為保證信息使用價值的開發，可利用學者Nissenbaum的“語境完整”理論，將處理語境劃為處理主體、個人健康信息類型以及處理規則三個維度，設定語境變動閾值[4]，允許處理者在語境統一的前提下拓展處理目的。

其次，處理手段。個人健康信息作為金字塔頂端的敏感個人信息，其處理應遵循嚴格的“充分必要”，滿足比例原則[25]，具體應符合三項要求：（1）合目的性：處理行為應利于處理目的的實現。“信息合理使用規則”的“限權”要件對處理手段的限定具有掣肘作用，其中“必需”要件要求手段與實現目的應具有必然關聯，而“合理范圍”要件更側重于推進信息使用，可適度放寬限制。（2）最小損害：處理者應采用負面影響最小的方式，并兼顧信息可用性、系統功能、經濟成本等要素。（3）狹義比例：狹義比例是對處理手段最后的實質性審查，信息處理的收益應大于信息風險，保證處理行為滿足成本收益均衡。

最后，保護措施。有學者發現個人健康信息的安全“閘門”極易從內部被突破，53％的信息泄露源于機構的內發原因[26]，系統應附加嚴格的保護措施。依我國《個人信息保護法》第五十一條的規定，保護措施應與處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等相吻合。

（三）系統設計：“設計”方案的技術支撐

若法律在“設計保護”中扮演“實體法”角色，系統則承擔“程序法”作用，其決定了法律規范在系統中的牽引力。系統設計需從以下四方面推進。

1.系統要素確定

依學者Schartum的觀點，系統設計需重點關注的四項要素[22]：（1）框架，框架是系統的全局表示，其是最根本且最難改變的、設計決策的載體；（2）信息，處理何種個人健康信息是影響信息安全的重點問題，信息要素決定了處理的信息類型、關系、質量要求等[27]；（3）流程，處理流程是控制使用活動的代碼邏輯，決定了各類隱私增強技術如何應用，是系統組成最為核心的要素；（4）用戶，用戶交互決定了主體如何思考及是否接受合理使用行為，是實現主體自主價值，完成系統內外溝通的關鍵要素。

2.保護措施選擇

第一，基本要求。學者Rubinstein將隱私增強技術劃分為替代型和補充型，前者要求從源頭阻止信息收集，后者則要求在關注組織需求的同時，保障信息處理合規[13]。采用替代增強技術雖更有利于信息安全，但也將大幅削減信息價值，與“設計保護”的“完整功能”需求相悖，應盡量選擇補充增強技術，兼顧系統功能和信息安全。

第二，具體標準。歐盟《關于第25條數據保護的指導方針》列舉了四項設計標準，即技術狀態、實施成本、處理行為的性質及可能存在的風險。以此為鑒，保護措施的選擇標準應包括：（1）先進，保護措施應考慮市場上可獲得最新的技術措施，并保持動態更新。（2）經濟，處理者應考慮保護措施的經濟可行性，包括所需資金、時間和勞動力等。（3）適配，保護措施應是“有效”的，可緩解信息風險，適配性的認定應根據我國《個人信息保護法》第五十一條，依“場景確定風險，風險確定對策”的思路推進。

第三，選擇步驟。措施的具體選擇應依我國《個人信息保護法》第五十一條展開：（1）應用場景調查。場景決定了信息處理的基調。個人健康信息合理使用的場景多元，應充分分析信息合理使用的目的和方式，將系統運行的場景明確到強制檢疫、衛生教育、工傷鑒定等具體場景，細化場景樹狀圖。（2）個人信息分類。個人健康信息外延豐富，不同類型信息所采取的保護措施應有所不同。可參考我國《信息安全技術健康醫療數據安全指南》的方法，從業務要求、信息內容、使用者三個維度進行信息分類。（3）權益影響分析。信息處理不可避免會影響主體權益，但不良影響應居于合理范圍。權益影響的測評可借鑒我國《信息安全技術—個人信息安全影響評估指南》（以下簡稱《評估指南》）的規定，從限制個人自主決定權、引發差別性待遇、個人名譽受損或遭受精神壓力、人身財產受損四個維度推進。（4）系統風險評估。“設計保護”的本質是從源頭規避風險，設計者需依“風險清單”確定保護措施的部署。“系統風險評估”實質上是對前三步結果的復盤和綜合，依《評估指南》的規定，風險評估應依靠應用場景和信息類型完成數據映射分析，再結合網絡環境和技術措施、參與人員與第三方以及業務特定和規模及安全態勢等要素確定風險源，最后結合個人權益影響分析，完成系統風險的最終認定。

3.運行流程設計

學者Hoepman曾提出面向信息（最小化、隱藏、分離、聚合）和面向流程（通知、控制、執行、展示）兩類“設計保護”技術策略[28]，處理者應結合合理使用的運行流程，在設計策略的指導下，選取適宜技術。（1）收集：收集是個人健康信息合理使用的第一道閘門。處理者應根據現實需求，設定收集的“正面清單”，將系統默認設置為最低頻率和最少數量的收集，并將獲取何種健康信息，如何存儲、使用等事宜告知用戶，允許用戶進行細粒化設置。（2）儲存：儲存是合理使用的前置環節。系統對個人健康信息應采用統一管理、分級儲存、加密保護、實時監控的儲存方式，并定期通過模擬攻擊等手段，檢測、識別和修復儲存環節潛在的漏洞，預防信息泄露。（3）使用：使用是處理目的實現的關鍵，應在兼顧個人健康信息可用性的前提下，適度使用泛化編碼、隨機替代等去標識化技術。同時加強信息溯源，對使用流程進行記錄，一方面保證責任的可追溯性，一方面加強語境監測，在處理語境改變時及時通知主體。（4）訪問與披露：系統應加強共享者與訪問、披露對象的身份雙認證，針對不同對象設定差別式權限，保證程序正當，實現個人健康信息端對端的安全傳輸。（5）刪除：個人健康信息在完成特定目的后應被刪除。處理者應將信息刪除程序置于信息庫結構和管理體系中，設定明確的儲存周期，在儲存周期過后，立即從系統中安全銷毀相關信息。

4.設計方案改進

個人健康信息合理使用涉及多方主體利益，應通過多元需求評估，考量利益平衡情況。“設計保護”是動態迭代過程，方案的評估和改進也應是動態的，處理者應定期調查對系統運行效果，結合用戶反饋、技術創新等要素，對系統進行優化升級，必要時進行“再設計”。

五、類型化視角下的個人健康信息合理使用的“設計”重點

依“設計保護”的思路，應對個人健康信息合理使用作場景化分析，把握不同場景下的利益關系，明確合規風險。信息合理使用以維護正當利益為合法動因[29]，可將“信息合理使用規則”的法定情形劃分為維護公共利益、維護集體利益、維護個人利益及合理使用公開信息四類。

（一）為維護公共利益而合理使用

學界普遍認可公共利益關乎不特定多數人的發展利益，在價值位階上具有優先性，但概念的模糊性常導致公共利益的泛化解釋。針對公共利益與信息權益間的沖突，應盡量將公共利益予以具體化，證成存在合理使用之必要，再通過技術收斂處理者的行為。

1.為履行法定職責或法定義務所必需

在刑事偵查、環境治理等情況下，個人健康信息均可能被依法強制使用。法律條文是立法者綜合各方利益的結果，其所維護的制度利益帶有公共利益色彩。此場景的處理者多為國家機關或被授權單位，權力的擴張性極易導致處理者的不當使用，為避免權力的過度膨脹，應加強身份和處理權限的認證，并對處理活動附加必要的審批程序，保證端到端安全。

2.為應對突發公共衛生事件所必需

經數據統計的個人健康信息可用于確定病毒種類、事件危急程度等指標，對應對突發公共衛生事件具有重要意義，但不加約束的信息披露極易引發社會對特定人群、地區的歧視。應依靠假名化，細節模糊等去標識技術減少信息粒度，削弱處理的負面影響，并明確儲存周期，在事件結束后，立即銷毀相應信息。突發公共衛生事件具有階段性，為保障采取應急措施的平滑執行，處理者應依據突發事件演化周期，及時發放或收回對應權限。

3.為公共利益實施新聞報道、輿論監督

新聞報道與輿論監督是憲法賦予公眾了解、參與公共事務的重要工具。個人健康信息常關聯主體的私生活，易引發大眾好奇心，該規則應用的難點在于如何在尊重私人空間的同時，保證公共知情和言論自由的實現。應妥善、適當使用匿名化技術，避免為規則實現施加過重限制，保證言論質量。為保持言論的必要邊界感，處理者還應利用信息標簽技術和負面清單設置，適度監測和屏蔽言論中的敏感健康信息詞匯，避免言論失控。

（二）為維護集體利益而合理使用

集體利益指特定團體內部人員的利益，我國《個人信息保護法》第十三條第一款第二項規定的“依勞動規章和集體合同為實施人力資源所必需”的情形，維護的便是職場環境下的集體利益。雇主區別于利用個人信息盈利的商業主體，也區別于代表公共利益的公主體，其處理健康信息的目的在于維持職場“小社會”的環境、提高工作效率。然而，勞動數字化使雇員需承受勞動關系和算法的雙重擠壓，導致個人健康信息在“狹窄”的職場空間中更易泄露。處理者應以經正當、民主程序設立的勞動章程和集體合同為據，結合勞動關系的存續階段完成技術部署。招聘階段，系統功能限于雇員篩選，信息類型應與崗位需求適配；就職階段，雇主可基于日常監管的需求，處理雇員健康信息，但系統必須默認最低頻次的處理；離職階段，雇主留存雇員信息已不再具備正當目的，系統應立即銷毀相關信息。

（三）為維護個人利益而合理使用

個人利益間的位階關系不如其與群體利益間的明朗，且多數情況下立法保護的法益和侵害的法益均來自主體。因此，個人利益間的沖突不能簡單考慮客觀的優越利益，兩者孰輕孰重還應考慮主體意愿，滿足主體“最佳利益” [30]，“設計”應重點關注獲取主體意愿。

1.為訂立、履行個人作為一方當事人的合同所必需

該項規則維護的是個人層面的合同利益，其與信息權益的位階判斷，需考量主體是否希望讓渡信息權益促成合同的成立或順利履行。在合同履行階段，處理者可依據明確的合同文本，預先設定個人健康信息合理使用的觸發條件。但在訂立階段，當事人尚未建立直接的交換關系，并無確定的合同利益。若將信息合理利用無限制延展至寬泛的訂立階段，必然導致立法對信息的特殊保護落空。基于個人健康信息高度敏感性的考量，“訂立合同必需”規則的適用應被嚴格限制，若必須適用，應事先通過用戶界面將使用需求向主體展示。

2.緊急情況下為保護自然人的生命健康和財產安全所必需

在緊急情況下，為保障主體或第三人權益，處理者有時需在未經主體同意的境況下，從電子健康檔案等數據庫中調取健康信息。如歐盟《電子醫療法》規定醫療人員讀取急救信息可不遵照參保人意愿。若是為維護主體權益，由于生命健康權和財產權是主體極為核心的基本權益，此時合理使用健康信息符合一般理性人的認知[30]，但基于宗教信仰、價值觀等要素差別，該做法并不具有普適性；若是為維護第三人利益，其正當性程度較維護主體自身利益較弱，還需盡可能征詢信息主體意愿。此場景下，處理者應通過用戶交互界面，積極履行說明義務，并允許主體事先就自身健康信息的訪問和利用進行細粒化設置。依據生命倫理的“尊重原則”，若處理者已充分履行說明義務，信息主體仍拒絕提供信息，此時處理者再處理應被認定為不當，但為平衡利益關系，應賦予處理者必要權限，允許其在第三人危急的情況下強制訪問和披露信息。

（四）合理使用公開個人健康信息

我國《個人信息保護法》第十三條第一款第六項將處理公開個人信息認定為信息合理使用。選擇公開個人健康信息是主體自我呈現的一種形式，其并不等于主體全然放棄信息權益，合理使用行為仍應遵循必要邊界。該規則的“設計”重點包括公開信息甄別和用戶權益保障兩方面。首先，公開信息甄別。個人健康信息會通過肌體病變表現出來，主體可能會在日常生活中，無意展示自身健康信息，但這并不意味信息公開，應利用溯源技術，實現信息回溯，從信息傳播渠道（功能、可訪問性、用戶協議等）判定信息的真實狀態。其次，用戶權益保障。我國《個人信息保護法》第二十七條設定了使用公開信息的例外情形。（1）主體明確拒絕。系統在處理公開信息時，應通過用戶交互界面將處理事項悉數告知信息主體，使信息主體知曉信息將被處理的事實，以便其后續行使拒絕權。但主體拒絕權不是絕對的，如歐盟GDPR第21條規定當控制者有令人信服的合法理由證明其可以凌駕于數據主體的利益、權利、自由之上時，主體拒絕權將受限。（2）對個人權益有重大影響。處理者應設定“重大影響”的風險節點，一旦出現預設的“重大影響”，預警系統應暫時切斷信息遷移，并向主體發送風險提示。“重大影響”的認定不應拘泥于特定利益受損，應著重分析語境變化對主體的實際影響，如有約束力的征信結果等[31]。

六、結語

技術的更新迭代使個人健康信息呈井噴式增長，且不再僅是個人代碼，更是實現全民健康的國家基礎性戰略資源。個人健康信息公共性和敏感性共存，不加約束的信息合理使用不僅無法實現信息的有序共享，反而會激化利益矛盾。必須依靠“設計保護”建立起內部的事先規制機制，巧妙平衡各方利益。“個人健康信息合理使用”這一微觀問題折射出數字時代我國個人信息保護領域的新變動。目前，我國個人健康信息保護的專門立法仍處于缺省狀態，應以《個人信息保護法》的出臺為契機，繼續加強立法進程，筑牢我國個人健康信息保護之網。

參考文獻：

[1] 程嘯. 論我國民法典中的個人信息合理使用制度[J].中外法學， 2020， 32（4）： 1001-1017.

[2] 田野， 張宇軒.《 民法典》時代的個人健康信息保護[J]. 北京航空航天大學學報（社會科學版）， 2021， 34（6）： 47-58.

[3] 田海平. 大數據時代的健康革命與倫理挑戰[J]. 深圳大學學報（人文社會科學版）， 2017， 34（2）： 5-16.

[4] NISSENBAUM H. Protecting privacy in an informationage： the problem of privacy in public[J]. Law and Philoso?phy， 1998， 17（5）： 559–596.

[5] 劉士國， 熊靜文. 健康醫療大數據中隱私利益的群體維度[J]. 法學論壇， 2019， 34（3）： 125-135.

[6] 何嵐. 個人健康信息開發與保護的價值沖突及其治理[J].電子政務， 2018， （1）： 92-99.

[7] WILLISON D J. Trends in collection， use and disclosureof personal information in contemporary health research：challenges for research governance[J]. Health Law Re?view， 2015（13）： 107-113.

[8] 程瑩. 元規制模式下的數據保護與算法規制——以歐盟《通用數據保護條例》為研究樣本[J]. 法律科學（西北政法大學學報）， 2019， 37（4）： 48-55.

[9] 張濤. 大數據時代“通過設計保護數據”的元規制[J].大連理工大學學報（社會科學版）， 2021， 42（2）： 79-88.

[10] CABOUKIAN A. Privacy by design： the definitive work?shop. a foreword by Ann Cavoukian， Ph. D.[J]. Identityin the Information Society， 2010， 3（2）： 247-251.

[11] BYGRAVE L A. Data protection by design and by de?fault： deciphering the EU's legislative requirements[J].Oslo Law Review， 2017， 4（2）： 105-122.

[12] BYGRAVE L A. Security by design： aspirations and re?alities in regulatory context[J]. Oslo Law Review， 2022，8（3）： 126-177.

[13] RUBINSTERIN I S. Regulating privacy by design[J].Berkeley Technology Law Journal， 2011， 26（3） ： 1409–1456.

[14] RACHOVITSA A. Engineering and lawyering privacy bydesign： understanding online privacy both as a technicaland an international human rights issue[J]. InternationalJournal of Law amp; Information Technology， 2016. 24（4）：382-388.

[15] 鄭志峰. 通過設計的個人信息保護[J]. 華東政法大學學報， 2018， 21（6）： 51-66.

[16] 胡敏潔， 陳明. 以元規制為基礎的數字醫療法治建構[J].中國社會科學院大學學報， 2022， 42（6）： 66-165.

[17] ZALNIERIUTE M， MOSES L， WILLIAMS G. The ruleof law \"by design\"？[J]. Tulane Law Review， 2021， 95（5）： 1063-1102.

[18] 李芊. 從個人控制與產品規制到合作治理——論個人信息保護的模式轉變[J]. 華東政法大學學報，2022， 25（2）： 100-111.

[19] LEENES R， LUCIVERO F. Laws on robots， laws by ro?bots， laws in robots： regulating robot behaviour by de?sign[J]. Law， Innovation and Technology， 2014， 6（2）：193-220.

[20] 鄭志峰. 人工智能時代的隱私保護[J] . 法律科學（西北政法大學學報）， 2019， 37（2）： 51-60.

[21] DIVER L， SCHAFER B. Opening the black box： petrinets and privacy by design[J]. International Review ofLaw， Computers amp; Technology. 2017， 31（1）， 68-90.

[22] SCHARTUM D W. Making privacy by design operative[J].International Journal of Law and Information Technol?ogy， 2016， 24（2）： 151-175.

[23] ANTON I， EARP B. A requirements taxonomy for reduc?ing web site privacy vulnerabilities[J]. Requirements En?gineering， 2004， 9（3）： 169-185.

[24] 李世剛， 屈然. 論敏感個人信息的合理使用[J] . 江蘇社會科學， 2022（6）： 159-243.

[25] 王麗潔. 個人信息處理中比例原則審查基準體系的建構[J]. 法學， 2022（4）： 49-63.

[26] BAI G， JIANG J， FLASHER R. Hospital risk of databreaches[J]. JAMA Internal Medicine， 2017， 177（6）：878-880.

[27] MIHAILDIS A， COLONNA L. Methodological approachto privacy by design within the context of lifeloggingtechnologies[J]. Rutgers Computer and Technology LawJournal， 2020， 46（1）： 1-52.

[28] HOEPMAN J H. Privacy design strategies[C]. Informa?tion Security Conference. Springer， Berlin， Heidelberg，2012： 3

[29] 謝琳. 大數據時代個人信息使用的合法利益豁免[J].政法論壇， 2019， 37（1）： 74-84.

[30] 錢葉六. 醫療行為的正當化根據與緊急治療、專斷治療的刑法評價[J]. 政法論壇， 2019， 37（1）： 122-132.

[31] 劉曉春. 已公開個人信息保護和利用的規則建構[J].環球法律評論， 2022， 44（2）： 52-68.