醫(yī)療人工智能領(lǐng)域個人健康數(shù)據(jù)保護的困境及其破解

摘 " "要：個人健康數(shù)據(jù)在醫(yī)療人工智能領(lǐng)域具有重要的應(yīng)用價值。人工智能輔助臨床診療、疾病預防和藥物研發(fā)等功能的實現(xiàn)高度依賴海量的個人健康數(shù)據(jù)。然而，現(xiàn)有的法律制度難以應(yīng)對醫(yī)療人工智能對個人健康數(shù)據(jù)保護的挑戰(zhàn)。關(guān)于個人健康數(shù)據(jù)權(quán)屬的爭議阻礙了健康數(shù)據(jù)的有效保護和利用。個人信息保護一般規(guī)則在醫(yī)療人工智能領(lǐng)域存在適用困境。健康數(shù)據(jù)分類機制的建立與知情同意規(guī)則的優(yōu)化等措施有助于紓解個人健康數(shù)據(jù)保護的困境，進而實現(xiàn)個人健康數(shù)據(jù)保護與利用的有效平衡。

關(guān)鍵詞：醫(yī)療人工智能；個人健康數(shù)據(jù)；隱私保護；知情同意

中圖分類號：D 923 " " " " 文獻標志碼：A " " " " 文章編號：2096-9783（2024）01?0054?07

一、問題的提出

以深度學習算法、大規(guī)模并行計算技術(shù)、數(shù)據(jù)可獲得性和質(zhì)量的提升為基礎(chǔ)，人工智能（Artificial Intelligence，簡稱 AI）在醫(yī)療領(lǐng)域最早應(yīng)用且發(fā)展迅速。然而，在大數(shù)據(jù)和人工智能為醫(yī)療領(lǐng)域帶來深刻變革的同時，個人健康數(shù)據(jù)保護問題也更加突出。醫(yī)療人工智能為個人信息隱私保護一般規(guī)則的適用提出更具挑戰(zhàn)性的倫理、技術(shù)和法律問題。在大數(shù)據(jù)和人工智能時代，傳統(tǒng)的個人可識別健康信息保護方法亟待更新和完善。人工智能醫(yī)療的基礎(chǔ)是健康大數(shù)據(jù)，健康數(shù)據(jù)本身的敏感性使得人工智能對個人健康數(shù)據(jù)收集、整理、挖掘和應(yīng)用的隱私風險加劇。2020年5月通過的《中華人民共和國民法典》（以下簡稱《民法典》），在人格權(quán)編第六章“隱私權(quán)和個人信息保護”規(guī)定了處理私密信息須取得權(quán)利人的同意。2021年8月通過的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）進一步具體和細化了民法典的相關(guān)規(guī)定，將個人醫(yī)療健康信息歸類為敏感信息，明確了告知同意的個人信息處理規(guī)則，針對計算機程序的自動化決策，強調(diào)決策的透明度以及個人要求信息處理者進行說明的權(quán)利與拒絕權(quán)。以上表明，《民法典》和《個人信息保護法》采取人格權(quán)或個人尊嚴的保護方案，目的在于賦予個人對自身信息的自決權(quán)。但是，由于醫(yī)療人工智能所處理信息的敏感性以及各國爭相開展的醫(yī)療信息共享項目與精準醫(yī)療計劃，目的限制與告知同意等傳統(tǒng)數(shù)據(jù)保護原則在醫(yī)療人工智能領(lǐng)域的適用困難重重，個人健康數(shù)據(jù)保護問題在醫(yī)療人工智能領(lǐng)域面臨著更加復雜的局面。正是在這個意義上，對個人健康信息的尊重與隱私安全的考量顯得尤為重要。因此，有必要審視醫(yī)療人工智能領(lǐng)域個人健康數(shù)據(jù)保護的現(xiàn)實困境，并提出有針對性的解決方案，以期實現(xiàn)個人健康數(shù)據(jù)在醫(yī)療人工智能領(lǐng)域中利用與保護的有效平衡。

二、醫(yī)療人工智能領(lǐng)域個人健康數(shù)據(jù)的應(yīng)用價值

醫(yī)療人工智能領(lǐng)域算法技術(shù)的高速發(fā)展使得健康數(shù)據(jù)獲取、傳輸和計算的成本大幅下降，個人健康數(shù)據(jù)的潛在價值得以充分發(fā)揮。一般而言，個人健康數(shù)據(jù)主要包括患者基本數(shù)據(jù)、診療數(shù)據(jù)、電子病歷、醫(yī)學影像數(shù)據(jù)、醫(yī)療設(shè)備及儀器監(jiān)測數(shù)據(jù)、檢驗數(shù)據(jù)、臨床管理數(shù)據(jù)、診療保健過程的行為數(shù)據(jù)等[1]。人工智能只有使用大量的個人健康數(shù)據(jù)，機器才能從已有經(jīng)驗和數(shù)據(jù)中學習，進而變得更加智能。換言之，個人健康大數(shù)據(jù)是醫(yī)療人工智能發(fā)展的重要基礎(chǔ)。個人健康數(shù)據(jù)在醫(yī)療人工智能領(lǐng)域的應(yīng)用價值主要體現(xiàn)在以下幾個方面。

第一，輔助臨床診療。臨床診斷輔助系統(tǒng)通過收集醫(yī)院的臨床數(shù)據(jù)，建立包括疾病特征、患者體征與治療方式的數(shù)據(jù)庫，經(jīng)過人工智能和大數(shù)據(jù)技術(shù)的分析，可以在比對多種診療措施的基礎(chǔ)上制定有效的診療方案，從而幫助醫(yī)生決策[2]。另外，根據(jù)中華醫(yī)學會的統(tǒng)計，我國醫(yī)療每年的誤診人數(shù)大約5 700萬人，總誤診率為27.8%，惡性腫瘤的平均誤診率是40%[3]。人工智能輔助診療，不僅可以提高醫(yī)學影像的檢測效率和精確度，還可以減少醫(yī)生主觀判斷的失誤，提高診斷速度和準確度[4]。

第二，疾病預防和健康管理。醫(yī)療級可穿戴設(shè)備可以作為個性化醫(yī)療輔助產(chǎn)品或遠程醫(yī)療監(jiān)測工具。借助可穿戴設(shè)備產(chǎn)生的個人健康數(shù)據(jù)，醫(yī)生可以遠程監(jiān)控和預判患者的身體情況，幫助患者尋找病因并提醒潛在的風險，進而實現(xiàn)疾病預防和早期治療。以心血管疾病為例，高血脂、高血壓、肥胖和糖尿病等癥狀是發(fā)病的前兆，個人健康數(shù)據(jù)的變化能夠預測發(fā)病率。研究顯示，機器學習和人工智能可以顯著提高心血管疾病風險預測的準確性，使患者從預防性治療中獲益，同時避免不必要的治療。

第三，人工智能輔助藥物研發(fā)。藥物研發(fā)需要經(jīng)過靶點篩選、藥物挖掘、臨床試驗等階段。其中，臨床試驗中最困難的部分是選擇合適的候選人參加試驗，錯誤的候選人不僅會浪費大量資金，還可能拖延試驗進度，甚至會因為試驗結(jié)果難以達到預期而被迫終止正在進行的藥物研發(fā)項目。人工智能借助大數(shù)據(jù)處理技術(shù)，能夠根據(jù)個人健康數(shù)據(jù)精準高效地識別出臨床試驗所需要的患者，減少為保證成功率而放大樣本量的做法，可以節(jié)省資金投入并提高試驗結(jié)果的可靠性，從而有助于加快新藥研發(fā)進程。

第四，基因測序與精準醫(yī)療。基因測序是一種新型基因檢測技術(shù)，主要用于遺傳病診斷、產(chǎn)前篩查和腫瘤預測等領(lǐng)域。基于足夠的基因組數(shù)據(jù)和正確的算法，醫(yī)療人工智能不僅可以診斷罕見疾病，甚至能夠基于每位病人的個人基因組信息確定藥物選擇。通過分析整合健康大數(shù)據(jù)，精準醫(yī)療的目標是發(fā)現(xiàn)導致特定疾病的關(guān)鍵因素，并制定個性化的疾病預防與治療方案。

醫(yī)療人工智能利用大量個人健康數(shù)據(jù)，以便通過機器學習，提高智能化水平和預測分析能力。人工智能在利用個人健康數(shù)據(jù)改善醫(yī)療服務(wù)、提高醫(yī)療效率的同時，也不可避免地會產(chǎn)生個人敏感信息的保護問題。敏感的個人健康數(shù)據(jù)在醫(yī)療人工智能領(lǐng)域面臨諸多風險，也為探索相應(yīng)的保護機制帶來更多挑戰(zhàn)。

三、醫(yī)療人工智能領(lǐng)域個人健康數(shù)據(jù)的保護困境

人工智能的運作原理是模擬人類的思維活動，以海量數(shù)據(jù)為基礎(chǔ)，借助算法技術(shù)的不斷提升，形成以“數(shù)據(jù)+算法”為特征的自動化決策。由于醫(yī)療人工智能領(lǐng)域涉及的個人健康數(shù)據(jù)具有高度敏感性和隱私性，人工智能的潛在風險在個人健康數(shù)據(jù)處理方面具有放大效應(yīng)，也為個人健康數(shù)據(jù)的保護提出新的挑戰(zhàn)。

（一）醫(yī)療人工智能對個人健康數(shù)據(jù)保護的挑戰(zhàn)

第一，算法黑箱。算法黑箱是指算法的邏輯及其決策機制具有不透明性，不易為人類所理解，可能嚴重威脅人類決策的知情權(quán)[5]。根據(jù)我國《個人信息保護法》，在涉及個人醫(yī)療健康等敏感信息時，信息處理者應(yīng)當將處理活動的性質(zhì)和目的清楚地告知當事人，并取得個人同意。為了滿足算法透明性要求，處理活動的目的必須在處理活動開始之前已經(jīng)確定。然而，醫(yī)療人工智能領(lǐng)域的大數(shù)據(jù)技術(shù)很難滿足以上要求。這是因為，人工智能在處理大量個人健康數(shù)據(jù)時，有可能發(fā)現(xiàn)數(shù)據(jù)的其他用途和使用目的，而信息處理者在數(shù)據(jù)處理活動開始時并不知曉這些新的用途。通過機器學習過程發(fā)現(xiàn)的數(shù)據(jù)新用途可能并不滿足最初處理活動的合法性基礎(chǔ)，實踐中的大型算法應(yīng)用往往是多種算法技術(shù)的疊加，包含的參數(shù)眾多，在經(jīng)歷程序員的多次修改更新后，對算法過程的解釋相當困難[6]，這時告知義務(wù)的履行將面臨挑戰(zhàn)。若嚴格要求醫(yī)療人工智能按照預設(shè)的目的使用數(shù)據(jù)，將限制醫(yī)療人工智能的技術(shù)創(chuàng)新并減損健康數(shù)據(jù)的潛在價值。故而，嚴格的目的限制原則并不能完全適用于醫(yī)療人工智能領(lǐng)域。

第二，算法決策。人工智能極大提高了算法運行速度和準確性，使其得以輔助人類甚至自主做出決策。算法決策形成的“算法權(quán)力”會對所涉及的個體產(chǎn)生約束力、控制力與執(zhí)行力[7]。醫(yī)療人工智能的自動決策會直接影響個人的自由與權(quán)利。例如，當人工智能基于個人健康數(shù)據(jù)進行疾病預測時，可能會得出個人心臟病發(fā)病的概率，而這一信息將直接影響個人在未來是否能夠獲得何種醫(yī)療保險。因此，為了保護個人權(quán)益不受人工智能自動化決策的影響，相關(guān)的決策結(jié)果應(yīng)由自然人審查，糾正其中的錯誤并重新考慮自動化決策的正確性及可能產(chǎn)生的不利結(jié)果。

第三，數(shù)據(jù)歧視。歷史數(shù)據(jù)的偏差與設(shè)計者嵌入的偏見都有可能使算法作出帶有歧視性的決策。在機器學習階段，由于人工智能系統(tǒng)的算法偏見，個人可能會受到身份歧視。醫(yī)療健康領(lǐng)域人工智能的不當應(yīng)用會加劇現(xiàn)實中的不平等。實踐中，醫(yī)療人工智能領(lǐng)域的算法歧視案例已經(jīng)發(fā)生。在美國，即使有色人種與白人患有相同的疾病，一種為病人分配醫(yī)療服務(wù)的算法通過給有色人種設(shè)置較低的風險評分，使得有色人種很少有機會獲得個性化醫(yī)療護理[8]。

（二）個人健康數(shù)據(jù)權(quán)屬存在爭議

個人健康數(shù)據(jù)在我國立法上屬于個人信息的范疇。《民法典》與《個人信息保護法》的通過，在立法理念上明確了個人數(shù)據(jù)保護與利用平衡的原則，但在個人信息權(quán)益性質(zhì)的認定上存在爭議[9]。近年來，學術(shù)界圍繞個人信息的性質(zhì)與權(quán)屬進行了大量討論，但是仍未形成共識，代表性的觀點主要分為個人權(quán)利論、公共物品論與公私兼顧論三種。例如，有學者提出，大數(shù)據(jù)時代的個人數(shù)據(jù)可以成為民事權(quán)利的客體，個人享有數(shù)據(jù)權(quán)利[10]。也有研究者認為，個人數(shù)據(jù)信息的獨特性使得傳統(tǒng)的隱私權(quán)、財產(chǎn)權(quán)或其他私權(quán)利類型的保護面臨困境，應(yīng)當將個人數(shù)據(jù)信息的屬性明確為公共物品，進而通過公法實現(xiàn)公共利益保障與個人數(shù)據(jù)信息共享[11]。也有學者指出，歐洲人格尊嚴型和美國個人自由型的信息個人控制論忽視了個人信息應(yīng)有的公共性和社會性，應(yīng)當重視個人信息的公共屬性[12]。實踐中，監(jiān)管部門并沒有明確用戶數(shù)據(jù)的權(quán)屬，僅建議企業(yè)之間自行達成協(xié)議。可見，包括健康信息在內(nèi)的個人信息的性質(zhì)和權(quán)屬在理論與實踐層面均存在爭議，但基本的共識已經(jīng)形成，即兼顧個人信息保護與利用兩個維度。

個人健康數(shù)據(jù)的權(quán)屬以及與此相關(guān)的權(quán)益分配是制約醫(yī)療人工智能發(fā)展的主要因素之一，目前歐盟、美國和我國等國家和地區(qū)均未明確規(guī)定健康數(shù)據(jù)的權(quán)屬，實踐中亦缺少通行的解決方案。國際上已有的做法是醫(yī)生和醫(yī)院擁有患者健康數(shù)據(jù)的控制權(quán)，但同時患者和保險公司享有訪問健康數(shù)據(jù)的權(quán)利[13]。針對醫(yī)療數(shù)據(jù)的權(quán)屬，目前主要有個人所有權(quán)說、醫(yī)療機構(gòu)所有權(quán)說、個人與醫(yī)療機構(gòu)共有說、公共所有權(quán)說與復合權(quán)利說五種觀點[14]。例如，有學者指出，患者享有健康數(shù)據(jù)的所有權(quán)，而控制權(quán)和管理權(quán)分別屬于醫(yī)院和政府[15]。也有研究者認為，在健康數(shù)據(jù)的形成中患者和醫(yī)院等機構(gòu)均發(fā)揮了作用，因此健康數(shù)據(jù)的所有權(quán)應(yīng)當由以上主體共有[16]。概言之，醫(yī)療人工智能領(lǐng)域健康大數(shù)據(jù)具有重要的商業(yè)和研究價值，數(shù)據(jù)權(quán)屬的不確定狀態(tài)增加了健康數(shù)據(jù)隱私風險，同時阻礙了健康數(shù)據(jù)的合理利用。

（三）個人信息保護規(guī)則存在適用困境

美國、歐盟和我國等國家和地區(qū)均出臺了與個人健康信息保護有關(guān)的法案，目的限制原則、知情同意原則以及數(shù)據(jù)主體的刪除權(quán)或被遺忘權(quán)等已成為個人信息保護立法的基本共識。美國的HIPAA法案在保護患者隱私方面確立了最低程度披露和知情同意原則。歐盟的GDPR要求數(shù)據(jù)主體在充分知情的前提下自由做出具體和清晰的同意，并規(guī)定醫(yī)療、公共利益和科學研究等情況是取得數(shù)據(jù)主體同意的例外情形。我國《個人信息保護法》通過“敏感個人信息”的概念對個人信息進行了類型劃分，并將個人醫(yī)療健康信息歸類為敏感信息。醫(yī)療機構(gòu)在處理患者個人健康信息時，除了遵循個人信息保護的一般義務(wù)，還應(yīng)當按照敏感個人信息的相關(guān)規(guī)定從嚴進行合規(guī)管理。在目的特定和充分必要的情形下，數(shù)據(jù)處理者須采取嚴格保護措施，方可處理敏感個人信息，同時應(yīng)當事前進行影響評估，并向個人告知處理的必要性以及對個人權(quán)益的影響。

然而，個人信息保護一般規(guī)則在醫(yī)療人工智能領(lǐng)域存在適用困境。首先，立法與學術(shù)研究往往集中于討論人工智能以及個人信息保護的一般規(guī)制，對醫(yī)療人工智能、個人健康數(shù)據(jù)以及個人信息保護一般規(guī)則在醫(yī)療人工智能領(lǐng)域的適用問題關(guān)注不足。在規(guī)范層面，盡管立法明確了加強敏感信息保護，但如何加強對個人健康數(shù)據(jù)等敏感信息的保護卻仍有待結(jié)合具體行業(yè)和具體情形進行細化和完善。目前我國對人工智能的法律規(guī)制呈現(xiàn)分散化和碎片化特點，針對醫(yī)療人工智能領(lǐng)域的規(guī)制有待深入展開。關(guān)于醫(yī)療人工智能領(lǐng)域中的個人健康信息保護，已有的研究往往集中于人工智能的特點分析與一般性治理[17?18]，涉及醫(yī)療人工智能領(lǐng)域的研究較少，尚未凸顯出醫(yī)療人工智能的特殊性。針對這一領(lǐng)域的個人健康數(shù)據(jù)保護更是缺少相應(yīng)的研究，具有較大的探索空間。同時，已有的個人信息保護規(guī)定遠不足以為醫(yī)療人工智能領(lǐng)域健康數(shù)據(jù)處理活動的特殊性提供規(guī)范支撐。

其次，實踐中個人信息保護一般規(guī)則在醫(yī)療人工智能領(lǐng)域的適用不具有可行性。以個人健康數(shù)據(jù)保護的知情同意和目的限制為例，我國《個人信息保護法》第二十九條規(guī)定個人健康信息的收集和使用需征得個人的明示同意，這一規(guī)定使得個人健康信息的獲取受阻，無法滿足醫(yī)療人工智能大數(shù)據(jù)技術(shù)處理的需求[19]。醫(yī)療人工智能的發(fā)展需要海量的個人健康數(shù)據(jù)，而且在健康大數(shù)據(jù)的算法分析中可能發(fā)現(xiàn)數(shù)據(jù)的新用途，若采取“一項研究一個同意”“一個行為一次同意”或“一個目的一次同意”的狹義解釋，不僅在實踐中不具有可行性，而且還可能因為知情同意的嚴格要求導致健康數(shù)據(jù)樣本量不足，阻礙醫(yī)療人工智能的健康發(fā)展。實踐中，處理個人健康數(shù)據(jù)的狹義同意要求有可能變成細碎的文字和繁瑣的程序，一方面用戶不堪其擾，另一方面也給醫(yī)療人工智能企業(yè)增加了額外的成本，最終知情同意程序可能演變?yōu)閿?shù)據(jù)處理主體轉(zhuǎn)移責任的工具[20?21]。

四、個人健康數(shù)據(jù)保護的可能路徑

醫(yī)療人工智能的發(fā)展與個人健康數(shù)據(jù)隱私保護并非決然對立，合理有效的保護措施能夠促進個人健康數(shù)據(jù)的積極使用，確保民眾健康隱私安全與數(shù)據(jù)規(guī)范利用，進而紓解個人健康數(shù)據(jù)的保護困境。個人數(shù)據(jù)保護的核心在于國家保障個人參與信息處理的權(quán)利，規(guī)制不特定數(shù)據(jù)處理者的行為，進而建構(gòu)多元復合型保護框架。這不僅有助于從源頭減少健康數(shù)據(jù)的不當利用行為，而且有助于建立個人對醫(yī)療人工智能健康數(shù)據(jù)處理的信任感，長遠來看更有利于實現(xiàn)國家、數(shù)據(jù)處理者和個人的三方共贏。

盡管法律法規(guī)通常都會規(guī)定侵犯個人信息隱私的法律責任或事后懲罰性措施，但在互聯(lián)網(wǎng)和人工智能時代，個人健康數(shù)據(jù)隱私一旦泄露將很難被“遺忘”，由此造成的負面影響難以徹底消除，相應(yīng)的解決思路除了關(guān)注“事后”的救濟，還應(yīng)當探索“事前”及“過程中”的規(guī)范和監(jiān)管措施。針對醫(yī)療人工智能處理個人健康數(shù)據(jù)的固有缺陷，技術(shù)上改進的側(cè)重點應(yīng)當是算法的優(yōu)化，即構(gòu)建低風險、高安全、符合個人健康數(shù)據(jù)隱私保護的人工智能技術(shù)模型。在模型的設(shè)計階段應(yīng)當構(gòu)建健康數(shù)據(jù)隱私保護框架并貫穿人工智能模型、產(chǎn)品和服務(wù)的整個生命周期。在模型的實現(xiàn)層面，應(yīng)當盡可能避免已知的模型安全與隱私漏洞，涉及個人健康數(shù)據(jù)的算法與系統(tǒng)需采取必要措施保護健康數(shù)據(jù)的隱私與安全。在健康數(shù)據(jù)的傳輸和存儲過程中，應(yīng)當采用加密技術(shù)和限制訪問的必要措施，對健康數(shù)據(jù)的下載與修改等重要操作設(shè)置嚴格的內(nèi)部審批程序。另外，數(shù)據(jù)分析算法應(yīng)避免由于信息獲取的偏差而導致的社會偏見，需采取適當?shù)牟呗韵】禂?shù)據(jù)中隱含的偏見對分析與決策的負面影響。例如，可以明確聲明數(shù)據(jù)收集過程可能產(chǎn)生的偏見，進而改善實際使用中的評估結(jié)果。以上的技術(shù)合規(guī)措施有助于構(gòu)筑負責任的醫(yī)療人工智能和算法框架。具體而言，可以從以下幾個方面實現(xiàn)個人健康數(shù)據(jù)保護與醫(yī)療人工智能發(fā)展之間的平衡。

（一）健康數(shù)據(jù)分類機制

醫(yī)療人工智能領(lǐng)域，可識別的個人健康數(shù)據(jù)一旦被不當分析和利用，可能產(chǎn)生經(jīng)濟、社會或心理等多方面的不良后果。以《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）為標志，我國明確建立數(shù)據(jù)分類分級保護制度的基本思路。HIPAA法案對于個人醫(yī)療數(shù)據(jù)的分類具有開創(chuàng)性，提出受保護的健康信息、可識別的個人健康信息、有限數(shù)據(jù)集和脫敏信息等不同概念，并規(guī)定不同種類的信息在不同場景下的合規(guī)要求。個人健康數(shù)據(jù)類型多樣，根據(jù)不同的標準會有不同分類。根據(jù)隱私泄露的概率以及可能產(chǎn)生的后果嚴重程度，個人健康數(shù)據(jù)一般可以分為高、中、低風險三類。根據(jù)數(shù)據(jù)主體的年齡，個人健康數(shù)據(jù)可以分為未成年人健康數(shù)據(jù)和成年人健康數(shù)據(jù)。對未成年人健康數(shù)據(jù)的使用應(yīng)當采取更加嚴格的保護機制。由于醫(yī)療人工智能領(lǐng)域個人健康數(shù)據(jù)的敏感性以及人工智能進行數(shù)據(jù)處理的多重風險，有必要制定和細化健康數(shù)據(jù)分類的國家標準。在具體規(guī)定中，需要清晰劃分不同風險等級健康數(shù)據(jù)的合理邊界，以列舉式與兜底條款結(jié)合的方式，兼顧目前已存在的健康數(shù)據(jù)和未來可能出現(xiàn)的新的健康數(shù)據(jù)類型。概言之，針對不同類型的健康數(shù)據(jù)采取相對應(yīng)的管理措施有助于充分平衡健康數(shù)據(jù)保護與利用之間的關(guān)系。

（二）健康數(shù)據(jù)去標識化處理機制

除了數(shù)據(jù)分類，在保護數(shù)據(jù)隱私方面，去標識化可以在一定程度上減少隱私泄露的風險。我國《個人信息保護法》區(qū)分了“去標識化”和“匿名化”兩種數(shù)據(jù)處理手段，認為經(jīng)過處理無法識別特定自然人且不能復原的匿名化信息不屬于個人信息，因而排除了對匿名化信息的規(guī)范。然而現(xiàn)實情況是，經(jīng)過匿名化處理的信息仍有可能被識別[22]。鑒于真正的匿名化較難實現(xiàn)，比較法上匿名化規(guī)制的核心要義在于數(shù)據(jù)的去標識化。《日本個人信息保護法》規(guī)定了匿名加工信息制度。經(jīng)過匿名加工且無法識別具體個人信息的部分屬于匿名加工信息，對匿名加工信息進行交易或共享等利用無需經(jīng)過個人同意。一般而言，圍繞匿名數(shù)據(jù)的背景信息越多，患者個人越容易被識別和確定身份。因此，個人健康數(shù)據(jù)的匿名化處理機制需要配合其他的個人信息保護措施，例如盡可能去除或者銷毀匿名化數(shù)據(jù)的背景知識等相關(guān)信息[23]。

然而，健康數(shù)據(jù)匿名化在特定情形下也可能帶來其他風險。首先，健康數(shù)據(jù)不僅體現(xiàn)了患者的隱私利益與醫(yī)療機構(gòu)的實際控制權(quán)，公共健康管理部門在特定情況下可基于健康數(shù)據(jù)的社會性和公共性調(diào)用部分健康數(shù)據(jù)以實現(xiàn)公共健康管理目標。公共衛(wèi)生專家指出，匿名健康數(shù)據(jù)影響了監(jiān)測和研究的質(zhì)量和可靠性，而可識別的個人健康數(shù)據(jù)是確保健康記錄完整性和準確性的必要條件，也有助于開展后續(xù)調(diào)查和針對性治療[24]。其次，在醫(yī)療人工智能領(lǐng)域，健康大數(shù)據(jù)的匿名化處理會降低健康數(shù)據(jù)的潛在價值。通常情況下，為了降低數(shù)據(jù)被識別的可能性，大數(shù)據(jù)應(yīng)用前先將原始數(shù)據(jù)聚合為更大粒度的數(shù)據(jù)，然后再進行對外交易或共享。但是，粗粒度的健康大數(shù)據(jù)在醫(yī)療人工智能領(lǐng)域的價值有限。原因在于健康數(shù)據(jù)因人因病而異，不同的性別、年齡、生活習慣、家庭成員健康狀況等個性化因素均會影響醫(yī)療人工智能數(shù)據(jù)分析和應(yīng)用的準確度。換言之，醫(yī)療人工智能需要基于個體特征的細粒度健康數(shù)據(jù)，聚合后的粗粒度數(shù)據(jù)在應(yīng)用效果方面不如細粒度數(shù)據(jù)。為此，針對具有個體特征的健康數(shù)據(jù)，在匿名化處理影響數(shù)據(jù)應(yīng)用價值的情況下，可以探索禁止識別、限制數(shù)據(jù)共享或采取數(shù)據(jù)共享協(xié)議等方式防止健康數(shù)據(jù)隱私泄露。綜上，應(yīng)結(jié)合數(shù)據(jù)類型和具體情境決定是否匿名化從而有助于發(fā)揮個人健康數(shù)據(jù)的最大價值。

（三）知情同意規(guī)則的優(yōu)化

個人健康數(shù)據(jù)蘊含著巨大的研究和應(yīng)用價值，醫(yī)療人工智能的發(fā)展高度依賴健康數(shù)據(jù)的獲取。盡管健康數(shù)據(jù)來自患者，但是數(shù)據(jù)一旦產(chǎn)生，通常情況下健康數(shù)據(jù)的管理權(quán)往往掌握在醫(yī)療機構(gòu)或者健康醫(yī)療企業(yè)手中。醫(yī)療機構(gòu)和企業(yè)在將個人健康數(shù)據(jù)應(yīng)用于醫(yī)療人工智能領(lǐng)域時，應(yīng)當嚴格在法律法規(guī)允許的范圍內(nèi)開展相關(guān)活動，并應(yīng)當取得個人的知情同意。但嚴格的知情同意阻礙了數(shù)據(jù)的順暢流通和有效利用，抑制了數(shù)據(jù)資源的優(yōu)化配置和生產(chǎn)力[25]。知情同意規(guī)則的狹義解釋無法適應(yīng)醫(yī)療人工智能對健康數(shù)據(jù)處理的多樣化需求，不僅會耗費巨大的成本，健康數(shù)據(jù)的潛在價值也會因為個人拒絕而有所減損。因此，針對醫(yī)療人工智能的特殊性，以及健康大數(shù)據(jù)在數(shù)量和作用方式上對傳統(tǒng)電子數(shù)據(jù)存在樣態(tài)的顛覆，有必要在符合法律法規(guī)及倫理要求的前提下，創(chuàng)新知情同意的解釋框架，并結(jié)合《數(shù)據(jù)安全法》的數(shù)據(jù)分級分類保護機制，合理評估不同健康數(shù)據(jù)的風險等級，然后實施差異化和場景化的知情同意制度。具體而言，目前已有學者探討了泛化知情同意（broad consent）、附排除條款的同意（consent with exclusion clauses）、動態(tài)同意（dynamic consent）以及分類、分層與分階段同意（tiered-layered-staged consent）等知情同意的不同形式[26]。也有研究者將已有的理論和實踐歸納為5種不同形式的知情同意模式，包括選擇后退出（opt-out）、免知情同意（blanket consent）、元知情同意（meta consent）、泛化知情同意與動態(tài)知情同意[27?28]。2020年最新修訂的《日本個人信息保護法》增加了選擇后退出式的知情同意模式，對于公開發(fā)布的個人數(shù)據(jù)，無需經(jīng)過本人同意便可以向第三方提供，本人在事后有權(quán)要求停止發(fā)布。

（四）健康數(shù)據(jù)隱私泄露舉報機制與公益訴訟制度

隨著技術(shù)的更新迭代以及信息的電子化，個人健康數(shù)據(jù)的收集、存儲、處理、交易、共享和應(yīng)用更容易實現(xiàn)，相應(yīng)的隱私保護難度也逐步提高。醫(yī)療人工智能以海量的健康數(shù)據(jù)為基礎(chǔ)，監(jiān)管者不容易發(fā)現(xiàn)侵犯隱私的行為。由于監(jiān)管部門監(jiān)管成本高和信息不對稱等問題，有必要構(gòu)建多元主體參與的監(jiān)督機制。公眾和社會組織在監(jiān)督健康數(shù)據(jù)侵權(quán)方面具有低成本、高效率的優(yōu)勢。因此，在常規(guī)的政府監(jiān)管之外，建立健康數(shù)據(jù)隱私泄露舉報機制有利于調(diào)動多方主體參與個人健康數(shù)據(jù)保護行動。舉報或投訴機制在食品安全、反腐敗和反網(wǎng)絡(luò)詐騙等領(lǐng)域已經(jīng)取得了一定的成效。2021年發(fā)布的《數(shù)據(jù)安全法》第十二條明確維護數(shù)據(jù)安全的投訴和舉報機制，其中任何個人、組織都可以成為投訴和舉報主體，相關(guān)機關(guān)應(yīng)當對投訴人、舉報人的信息予以保密。醫(yī)療人工智能領(lǐng)域個人健康數(shù)據(jù)處理具有高度的專業(yè)性和技術(shù)性，數(shù)據(jù)侵權(quán)行為的損害后果也更為嚴重。因此，有必要通過隱私泄露舉報機制，積極鼓勵個人與其他社會組織舉報和監(jiān)督數(shù)據(jù)處理者的不當行為。對舉報人信息的保密、合適的獎勵額度、便捷的舉報程序與及時的處理結(jié)果反饋都有利于實現(xiàn)維護個人健康數(shù)據(jù)隱私安全的目的。

醫(yī)療人工智能領(lǐng)域算法技術(shù)的開發(fā)和應(yīng)用使得侵害個人健康數(shù)據(jù)隱私的行為更具隱蔽性。此外，舉證困難以及訴訟成本高昂等問題進一步阻礙了個人維權(quán)。因此，面對醫(yī)療人工智能領(lǐng)域的大規(guī)模健康數(shù)據(jù)非法收集、濫用和泄露等侵權(quán)行為，以及由此導致的不特定多數(shù)人健康隱私風險，傳統(tǒng)的私益訴訟難以有效保護個人健康數(shù)據(jù)。我國《個人信息保護法》第七十條原則性地規(guī)定了個人信息保護公益訴訟制度。在滿足違法處理個人信息和侵害眾多個人的權(quán)益兩個構(gòu)成要件時，人民檢察院、法律規(guī)定的消費者組織和國家網(wǎng)信部門確定的組織可以提起公益訴訟。2021年8月，最高人民檢察院發(fā)布《關(guān)于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》指出，檢察機關(guān)履行公益訴訟檢察職責時應(yīng)重點、從嚴把握醫(yī)療健康信息，對醫(yī)療領(lǐng)域處理的個人信息從嚴保護。醫(yī)療人工智能不僅是重點領(lǐng)域，而且處理的是海量健康數(shù)據(jù)，針對醫(yī)療人工智能領(lǐng)域的個人健康數(shù)據(jù)侵權(quán)案件可以采取個人信息保護公益訴訟。個人信息保護公益訴訟制度與環(huán)境公益訴訟、消費者公益訴訟制度具有共通性，在比較法上也有諸多經(jīng)驗可供參考1。

五、結(jié)語

醫(yī)療人工智能以大數(shù)據(jù)和深度學習為核心特征，其快速發(fā)展帶動了全球醫(yī)療領(lǐng)域的深刻變革與創(chuàng)新。醫(yī)學影像輔助診療、基因測序、臨床決策支持、智能健康管理、疾病預測與輔助新藥研發(fā)等功能的實現(xiàn)凸顯了人工智能在醫(yī)療領(lǐng)域的潛在價值和應(yīng)用前景。在個人健康數(shù)據(jù)為醫(yī)療人工智能發(fā)展助力的同時，個人健康數(shù)據(jù)隱私保護問題也面臨更為嚴峻的挑戰(zhàn)。因此，有必要探索并完善健康數(shù)據(jù)分類與去標識化處理機制、更具靈活性的知情同意規(guī)則、健康數(shù)據(jù)隱私泄露舉報機制與公益訴訟制度。多元復合型保護框架的確立有助于實現(xiàn)個人健康數(shù)據(jù)保護與合理利用之間的有效平衡，從而確保醫(yī)療人工智能的健康發(fā)展。鑒于本文探討的個人健康數(shù)據(jù)保護困境在其他國家醫(yī)療人工智能的發(fā)展中皆有所體現(xiàn)，我國的個人健康數(shù)據(jù)保護方案將對國際社會醫(yī)療人工智能領(lǐng)域健康數(shù)據(jù)的保護有所貢獻和啟示。

參考文獻：

[1] 埃拉德·約姆-托夫. 醫(yī)療大數(shù)據(jù)： 大數(shù)據(jù)如何改變醫(yī)療[M]. 潘蘇悅， 譯. 北京： 機械工業(yè)出版社， 2016.

[2] 動脈網(wǎng)蛋殼研究院. 大數(shù)據(jù)+醫(yī)療： 科學時代的思維與決策[M]. 北京： 機械工業(yè)出版社， 2019： 51.

[3] 王豫， 徐巖， 方林. AI+醫(yī)療健康： 智能化醫(yī)療健康的應(yīng)用與未來[M]. 北京： 機械工業(yè)出版社， 2018： 12?13.

[4] 吳毅， 張小勤. 人工智能在醫(yī)學圖像處理中的研究進展與展望[J]. 第三軍醫(yī)大學學報， 2021， 43（18）： 1707?1712.

[5] 丁曉東. 論算法的法律規(guī)制[J]. 中國社會科學， 2020（12）： 138?159.

[6] EDWARDS L， VEALE M. Slave to the algorithm： why a \"right to an explanation\" is probably not the remedy you are looking for[J]. Duke Law and Technology Review， 2017， 16（1）： 59?60.

[7] 蔡星月. 算法決策權(quán)的異化及其矯正[J]. 政法論壇， 2021， 39（5）： 25?37.

[8] OBERMEYER Z， POWERS B， VOGELI C， et al. Dissecting racial bias in an algorithm used to manage the health of populations[J]. Science， 2019， 366（6464）： 447?453.

[9] 程嘯. 民法典編纂視野下的個人信息保護[J]. 中國法學， 2019（4）： 26?43.

[10] 程嘯. 論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利[J]. 中國社會科學， 2018（3）： 102?122.

[11] 吳偉光. 大數(shù)據(jù)技術(shù)下個人數(shù)據(jù)信息私權(quán)保護論批判[J]. 政治與法律， 2016（7）： 116?132.

[12] 高富平. 個人信息保護： 從個人控制到社會控制[J]. 法學研究， 2018， 40（3）： 84?101.

[13] RODWIN M A. The case for public ownership of patient data[J]. Jama， 2009， 302（1）： 86?88.

[14] 高富平. 論醫(yī)療數(shù)據(jù)權(quán)利配置──醫(yī)療數(shù)據(jù)開放利用法律框架[J]. 現(xiàn)代法學， 2020， 42（4）： 52?68.

[15] JOHNSON O A， HALL P S， HULME C. Netimis： dynamic simulation of health economics outcomes using big data[J]. Pharmacoeconomics， 2016， 34（2）： 107?114.

[16] GILLESPIE G. Allina health boosts clinical operations with big data partner[J]. Health data management， 2016， 24（3）： 28?31.

[17] 鄭志峰. 人工智能時代的隱私保護[J]. 法律科學（西北政法大學學報）， 2019， 37（2）： 51?60.

[18] 張凌寒. 算法權(quán)力的興起、異化及法律規(guī)制[J]. 法商研究， 2019， 36（4）： 63?75.

[19] 李潤生. 論個人健康信息“利用友好型”保護模式的建構(gòu)[J]. 行政法學研究， 2021（5）： 79?90.

[20] 王雪喬. 論歐盟GDPR中個人數(shù)據(jù)保護與“同意”細分[J]. 政法論叢， 2019（4）： 136?146.

[21] 張新寶. 個人信息收集： 告知同意原則適用的限制[J]. 比較法研究， 2019（6）： 1?20.

[22] 齊英程. 我國個人信息匿名化規(guī)則的檢視與替代選擇[J]. 環(huán)球法律評論， 2021， 43（3）： 52?66.

[23] 王忠， 鐘瑛. 健康大數(shù)據(jù)產(chǎn)業(yè)發(fā)展與隱私規(guī)制[M]. 北京： 社會科學文獻出版社， 2021： 181?210.

[24] 勞倫斯·高斯汀， 林賽·威利. 公共衛(wèi)生法： 權(quán)力·責任·限制[M]. 蘇玉菊， 等譯. 北京： 北京大學出版社， 2020： 328.

[25] 蔡培如， 王錫鋅. 論個人信息保護中的人格保護與經(jīng)濟激勵機制[J]. 比較法研究， 2020（1）： 106?119.

[26] 蔣輝， 阮敏毅， 連阿娜， 等. 預授權(quán)制度在醫(yī)療機構(gòu)的倫理審查和知情同意實施——基于涉及人的健康信息和生物樣本研究[J]. 中國醫(yī)學倫理學， 2021， 34（4）： 414?421.

[27] HOLM S， PLOUG T. Big data and health research—the governance challenges in a mixed data economy[J]. Journal of Bioethical Inquiry， 2017， 14（4）： 515?525.

[28] PLOUG T， HOLM S. Meta consent–a flexible solution to the problem of secondary use of health data[J]. Bioethics， 2016， 30（9）： 721?732.

The Dilemma and Solution of Personal Health Data Protection in Medical AI

Han Chengfang

（School of Public Administration， China University of Geosciences， Wuhan 430074， China）

Abstract： Personal health data has important application value in medical AI. The realization of AI-assisted clinical diagnosis and treatment， disease prevention and drug research and development is highly dependent on massive personal health data. However， the existing legal system is unable to cope with the challenges of medical AI to personal health data protection. Disputes over ownership of personal health data hinder the effective protection and use of health data. The general rules of personal information protection are difficult to apply in medical AI. The establishment of health data classification mechanism and the optimization of informed consent rules can help to solve the dilemma of personal health data protection and achieve an effective balance between personal health data protection and utilization.

Keywords： medical AI; personal health data; privacy protection; informed consent