論個人基因信息保護與披露的界限

王永茜

[摘 要]知情同意機制難題是大數據時代個人信息保護的瓶頸。在多個領域和多樣化應用場景下，個人信息保護面臨信息保護與披露、個人利益與公共利益等多個面向的沖突，而患者的基因信息是沖突較為激烈的領域。個人的基因信息屬于重要的健康信息，醫生必須嚴格遵守知情同意原則，不得任意向他人披露。但醫生對于患者與其親屬或其近親屬之間共有的遺傳性基因信息進行有限度的、最小化程度的披露，應當為法律所允許。基因信息的隱私權保護路徑過于強調患者的知情同意權，有違基因信息的公共性和公共價值。基因信息的共管保護路徑重視基因信息的公共性，能夠在法律上和醫療業務上設立一種保密與披露相抗衡或者相平衡的機制。

[關鍵詞]嚴格保護；個人同意；隱私權保護；共管保護；利益權衡

[中圖分類號] D914 [文獻標識碼] A

一、問題提出

知情同意原則的確立雖歷史久遠，卻脈絡清晰。經過國際社會的共同努力，知情同意原則現已普遍成為醫療活動中必須遵循的最高準則。［1］隨著時代的發展，這一原則已經開始在個人信息保護領域適用，成為個人信息保護的基本原則。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）規定，處理個人信息要遵守個人同意原則。［2］對個人信息的收集利用必須經過本人充分知情前提下的同意，此即個人信息保護的知情同意原則（informed consent）。［3］此外，《中華人民共和國醫師法》也明確規定，保護患者隱私和個人信息是醫師的法定義務。［4］基于此，未經患者知情同意的信息披露行為違法，這是知情同意原則在醫療領域的具體運用。

但是，數字化時代的到來對個人信息自決的能力與信息主體對于個人信息的控制程度造成了極大的沖擊，“導致知情同意原則在我國面臨告知形式化、同意形式化的困境，這種困境又經由大數據的沖擊發生了倍增效應”，［5］或者產生了數據聚合效應，即“一個人在不同時間提供的單條個人信息可能并不敏感，不會存在風險或威脅，但在數據聚合技術下，不敏感的個人信息互相疊加，互為線索，可能分析得出敏感的信息”。［6］因此，有學者開始否定“同意”作為個人信息處理的正當性基礎，認為對個人信息的處理，原則上應采取寬松的個人信息政策，盡量減少不必要的限制。［7］這些否定論的觀點在一定程度上動搖了知情同意原則的正當性基礎，影響了知情同意原則在多個領域的適用，使個人信息保護面臨著信息保護與信息披露之間的沖突。其中，個人基因信息的保護與披露是沖突較為激烈的領域。

基因信息以數據化的形式大量出現，這些信息既包含了信息主體獨特的個人生物學特征，也包含了主體之外的非個人（家族）遺傳信息。當患者不同意向其家庭成員或其近親屬披露其基因中攜帶的家族遺傳信息時，醫生面對的義務沖突就會顯現出來：從形式上看，醫生應當尊重患者本人的知情同意權，如患者本人不同意向其家庭成員或其近親屬披露自己的基因信息，醫生應當履行保密義務；但從實質上看，為了避免對其他家庭成員的身體和健康造成侵害，醫生又應當履行披露義務。因此，在傳統的“一對一”關系中，知情同意原則可以正常運用，醫生只需履行對患者信息的保密義務即可；但在“一對多”的關系中，知情同意原則則遇到了新的矛盾和沖突，醫生需要在保護患者的個人信息與履行對他人的披露義務之間作出衡量。本文將以基因信息的隱私權突破為切入點，探討知情同意原則如何在大數據的沖擊下進行規范“重塑”。

二、問題剖析：英國首起基因信息權案

基因信息對知情同意原則的沖擊是一個全球化現象。為避免醫療領域出現泄露或者濫用患者基因信息的問題，英國皇家內科醫師協會、英國皇家病理學院以及英國基因醫學學會于2015年聯合發布了《基因醫學中的同意和保密：醫療機構使用基因和基因信息指南》（以下簡稱《基因指南》），分別從倫理、法學和醫學三個角度對患者基因信息的同意和保密事項作出了明確規定。［8］在上述規則框架形成之后，英國發生了首起基因信息權案，患者與其近親屬針對基因信息是否可以不經患者同意而披露的問題產生了正面的利益沖突。本文引介這一案例，目的是將基因信息對知情同意原則的沖擊具象化，并以此為問題的切入點，探討知情同意原則在數字化時代需要解決的矛盾和沖突。

（一）基本案情［9］

被告××于2007年殺害了原告ABC的母親（被告的妻子），在因減輕責任而被判過失殺人罪后，根據英國1983年《精神衛生法》，被告被判令接受醫院強制治療。據初步診斷，××患有亨廷頓舞蹈癥，這是一種罕見的常染色體顯性遺傳病。患者一般在中年發病，在運動、認知和精神方面出現癥狀，病情呈進行性惡化，通常在發病15～20年后死亡。作為一種常染色體顯性遺傳病，如果父母中的一方有此疾病，則其子女每次懷孕（不論生男生女），都將有50%的概率遺傳此病給子女。同樣，遺傳此病的人通常要到中年才發病。××明確表示，他不希望ABC和她妹妹知道他的病情。

××被轉到醫院（St Georges Healthcare NHS Trust and Others）做進一步診斷。2009年11月，××被確診患有此病。醫院注意到，ABC懷孕了，且對自己的孩子是否可能患有遺傳病“非常關注”。醫生想征求××的同意，將××的確診結果告知ABC，但××依然不同意告知。醫療記錄寫明，“××很擔心，認為他的女兒們不應該被告知真相，他覺得，一旦她們知道真相，就可能會自殺或者終止妊娠”。醫院尊重了××的知情同意權，沒有告知ABC相關診斷結果。

2009年3月、10月、11月和12月，ABC和她妹妹參加了××在醫院的家庭治療。ABC還參加了與護理××有關的多學科會議。是否應將××的病情告訴其女兒ABC？尤其是ABC當時正在孕期，她有沒有權利知道××的病情？醫生們對此進行了討論，但討論的結果是尊重患者的同意權，履行醫患之間的保密義務。2010年4月，ABC的孩子出生。2010年8月，××的一名主治醫生不經意間向ABC透露，她父親××患有亨廷頓舞蹈癥。2013年1月，ABC接受了基因檢測，發現自己患有同種亨廷頓舞蹈癥。目前，尚不清楚ABC的孩子是否也患有這種遺傳病。［10］

ABC訴稱，被告××及其醫療機構應該在她可以終止妊娠時告知她遺傳亨廷頓舞蹈癥的風險；如果被告知風險，她會去做產前檢測；一旦檢測結果為陽性，她會選擇終止妊娠。由于××以及被告醫院未能告知風險，ABC錯過了進行產前檢測的醫療時機，且嬰兒在出生后面臨著50%的遺傳風險。因此，（1）被告××以及被告醫院存在不作為的過失責任；（2）被告××以及被告醫院違反《歐洲人權法案》第8條，沒有尊重她的私生活和家庭生活的權利。由于被告的不作為和侵權行為，她受到了精神損害，且一旦她的孩子將來確診患有該種遺傳病，她將不得不支付原本可以避免的醫療花銷。

（二）爭議焦點

本案爭議焦點有二：一是兩名被告是否有義務告知原告ABC有遺傳風險？尤其是在被告××明確不同意告知ABC的情況下，被告醫院是履行對患者的保密義務，還是履行對原告的保護義務？二是被告是否違反了《歐洲人權法案》第8條，未盡到對原告的權利尊重？［11］

第一個爭議焦點涉及知情同意原則的沖突問題。被告××是患者，患者是否有義務告知其子女遺傳病的診斷結果？在患者本人明確拒絕披露遺傳病信息的情況下，醫院是應當優先尊重患者本人的同意權，還是優先保護患者家屬的知情權？按照傳統的知情同意原則，尊重患者本人的同意權是第一選擇，這也是被告醫院最終沒有告知患者家屬（ABC）診斷結果的主要原因。從形式上看，醫生尊重患者的同意權，并履行對患者信息的保密義務，這既是法定義務，也是職業道德要求；但從實質上看，一旦醫生選擇尊重患者本人的同意權，就會侵害他人的知情權或者健康權。那么，醫生是否依然要尊重患者本人的同意權就成了必須討論的問題。這個焦點涉及三方知情同意的權利安排，因此造就了本案的典型性和指導性。

第二個爭議與第一個爭議密切相關。只有法庭確認被告有義務采取適當措施去保護原告的知情權，才能確定被告因為不作為而違反了該作為義務。《歐洲人權法案》規定了兩種義務：其一，締約國必須尊重個人的隱私權，它首先涉及的是國家是否違反了“消極義務”，即要求國家的行為不得侵犯公民的隱私權。其二，涉及國家的“積極義務”問題，即要求國家有責任采取積極的措施協助個人實現這一權利，主要包括兩方面內容：“1.政府是否負有積極的義務保護個人在第8條第1款中的個人私生活權利？2.政府是否履行了《公約》賦予的這一積極義務？”［12］本案屬于過失不作為案件，涉及的是被告是否違反“積極義務”的問題。

（三）法院判決

2015年5月，英格蘭和威爾士高等法院的女王法官庭審理了此案，判決結果如下：

第一，關于被告是否存在不作為的過失責任，法院認為，本案缺少注意義務，無法證明被告有過失。根據英國法律，注意義務的成立需要具備以下三個條件：其一，被告對其行為可能造成的損害結果必須具有合理的預見可能性；其二，被告與原告之間必須關系較為密切；其三，讓被告承擔責任必須公平、公正、合理。被告沒有就前面兩個條件提出答辯意見，而是認為讓其承擔過失責任不公平。法院認為，患者可以合理信賴其主治醫師會為其履行保密義務，盡管醫生的保密義務不是絕對的，特別是當保密義務與公共利益相沖突時，醫生可以進行權衡，并決定是否披露患者隱私。但在本案中，原告請求保護的是其個人利益，而非公共利益。雖然被告××曾于2007年被判過失殺人，患有遺傳疾病減輕了××的法律責任，但不能因此就認為××喪失了同意能力，進而認為××不同意披露自己病情的決定無效。盡管××與其女兒們一起參加了家庭治療，可以據此認為父親有義務幫助女兒從其槍殺妻子的陰影中走出來，但不能因此就斷定父親有義務告知女兒遺傳疾病的確診事實。家庭成員之間披露基因的遺傳疾病，同樣要受到醫患之間保密義務的約束。基于以上理由，本案中的注意義務在英國法律中是“全新的”，一旦法院認可注意義務成立，將會實現對以往注意義務標準的“巨大飛躍”，法院必須考慮支持新的注意義務可能帶來的潛在后果。然而，根據現有法律和案件事實，法院無法支持原告的訴訟請求。［13］

第二，關于原告在《歐洲人權法案》第8條下的權利是否被侵犯的問題，法院認為，原告要證明自己的私生活和家庭生活的權利被侵犯，就必須證明被告負有“積極義務”告知其患有基因遺傳疾病，這牽扯到兩個權利的平衡：一是原告的知情權，她是否有權被告知自己有50%的遺傳可能性；二是被告的隱私權，《歐洲人權法案》第8條同樣規定了個人對其醫療健康信息有隱私權。雖然本案被告行使了隱私權，侵害了原告的知情權，但《歐洲人權法案》并未賦予原告請求權，讓其有權要求被告履行告知義務。［14］

（四）上訴結果

由于本案一審沒有支持原告的訴訟請求，原告提出上訴。上訴法院自2019年11月至2020年1月進行了6次庭審，但最終維持了原判。上訴法院認為，雖然不能支持原告的訴訟請求，但本案的審判結論對于當前的臨床實踐，特別是對于臨床基因學和基因咨詢服務都具有明確的指導意義。因為在本案中，被告醫院已經與患者家庭的多個成員之間都建立了密切的臨床接觸關系。因此，要求被告醫院在女兒權益和父親權益之間作出權衡是一項法律義務，也是“公平、公正、合理”的，更重要的是，“醫療機構進行利益權衡的法律義務的范圍必須被擴大，不僅要擴大到進行必要的權衡，而且要擴大到根據其權衡結果實施作為”。［15］據此，上訴法院的判決確立了醫療機構的法定義務，不僅要履行醫患之間的保密義務，而且要權衡是否對其他人有告知義務，特別是在患者本人不同意的情況下，醫生有權作出權衡。

由于ABC案引發的巨大爭議，2019年《基因指南》（第三版）明確回應了患者本人不同意披露時的指導意見，認為醫生為了保護他人利益而違反保密義務是潛在的正當化事由。但是，在醫生違反保密義務之前，應當采取如下行為：

“1. 考慮打破保密義務是否有必要。是否可以在不透露初始患者身份的情況下，向他人傳達相關風險？2. 如果打破保密義務是必須的，則需：（1）盡量從患者那里獲得向他人披露信息的同意；（2）如果無法取得患者同意，則需：

（a）與有相關經驗的醫務人員討論此事，如醫院臨床倫理委員會或者基因倫理小組；

（b）告訴患者，醫生將要打破保密義務，這么做的原因是什么；

（c）在可行且有合理理由時，聯系患者的親屬；

（d）將披露的信息量控制在最小化且將溝通風險控制在嚴格限度內；

（e）將醫生所采取的權衡措施以及打破保密義務的正當化理由記錄在卷。”［16］

在ABC案的上訴過程中，2019年《基因指南》（第三版）所作的上述修改被上訴法院采納，寫入了判決意見，正式松弛了醫師的保密義務。但是，由于醫療機構的保密義務屬于法定義務，且ABC的訴求不符合公共利益的標準，上訴法院最終未能支持其訴訟請求。雖然案件未能獲得法院支持，但英國法院和醫學總會等機構相互配合，確立了基因信息保密義務和披露義務的平衡機制。

三、問題解決：從原則到例外

我國法律明確規定了醫生的保密義務，卻沒有規定保密義務的例外情況。但是，基因信息的特殊性迫使我們思考知情同意原則的“例外情形”，以合理劃定醫療信息的保護與披露的界限。

（一）基因的特殊性

從物質屬性來看，基因是個人身體的一部分，其攜帶者是個人，其所有者也是個人。要獲取個人的基因信息，必須要求個人提供毛發、血液或者身體組織等基因材料，個人對于來自其身體的基因材料享有完全的所有權，對此不存在爭議。但從信息屬性來看，基因信息是從個人的DNA檢測和分析得出來的，它包含了個人獨特的生物學特征，同時也包含了其他非個人的遺傳信息。國外有學者將個人的基因信息歸納為六個類別：“（1）既有家庭成員共同的遺傳信息；（2）可能對繁殖的后代或者后代的繁殖有影響的遺傳信息；（3）具有預測性的基因信息；（4）帶有‘污名效應的遺傳信息，濫用該等遺傳信息已導致優生學、種族主義和種族滅絕；（5）被公認為獨一無二的基因信息；（6）已經對個人采取單獨保護措施的其他‘特殊類別的醫療信息中包含的遺傳信息，包括但不限于艾滋病信息和精神疾病信息等。”［17］

上述基因信息中，對于（4）（5）（6），我們將其稱之為“特殊類別的基因信息”，個人對其享有所有權；對于（1）（2）（3），我們將其稱之為“一般類別的基因信息”，個人沒有所有權，也不享有法律上的絕對獨占權，個人同意原則因此不完全適用。對于“特殊類別的基因信息”，醫生對患者負有更高的保密義務；但對于“一般類別的基因信息”，醫生對患者的保密義務要受到限制，如為了保護公共利益，醫生可以在患者不同意的情況下予以披露。

（二）知情同意原則的“例外”

什么情況能構成個人的知情同意原則的例外，是一個持續發展的動態領域，需要根據基因科學和大數據技術的發展而不斷明確，但至少存在以下三個方面的例外。

第一，基因醫學研究領域的知情同意例外。例如，儲存基因信息研究數據、形成基因信息數據庫，對于基因信息研究具有重要的科學價值，是重要的公共利益。但傳統的知情同意原則要求個體在參與研究前對數據的保留和用途完全知情且給出有效同意，這就難以調和個體基因信息保護與數據共享之間的矛盾。有學者提出用“參與同意”代替“知情同意”，即個體參與到研究過程中，與研究者之間進行研究信息的定期分享，了解研究內容從而給出同意。相較于傳統的知情同意原則，參與同意原則要求“在研究者與個體之間建立一種持續性關系，以此達到定期信息分享，以便個體在研究過程中同意或者退出”。［18］這就構成了對傳統知情同意原則的例外。

第二，基因組檢測中的知情同意例外。基因組檢查往往涉及海量基因和疾病信息，要實現患者充分知情同意非常困難。為此，有學者提出了“第三種模式——基于對機構的信任的知情同意模式可以同時促進個人與個人之間以及個人與機構之間的信任關系和個人的自主”。［19］這種模式階段性弱化了個人的知情同意，即當個人同意自己信任的機構或者醫生對自己實施某種醫療措施或同意研究者對自己進行某項醫學研究時，就通過該行動將自己的信任賦予了對方，雙方由此建立起一種信任關系。只要取得了個人的信任，相關機構或者醫生即取得了個人的知情同意。但是，這種例外模式蘊含著機構或者醫生濫用個人信任的隱患，屬于制度性風險，不宜用于基因治療領域。

第三，為了保護優越利益的例外。他人面臨的危險程度越高，醫生的披露義務就越可能被正當化。對此，英國醫學總會在2019年《基因指南》（第三版）中確立的規則是，“如果醫生不披露相關信息，可能會導致他人面臨死亡或者嚴重傷害的危險時，則無患者同意，醫生亦可向他人披露該等信息，披露行為可以被正當化”。［20］為了保護更加優越的利益，患者個人的知情同意可能被超越。這是最大利益原則或者優越利益原則對傳統知情同意原則的調整。但是醫生披露時不要透露患者的具體身份，僅提示他人可能面臨的患病風險即可。這樣，既堅持了對于個人“特殊類別的基因信息”的嚴格保護立場，也認可了個人“一般類別的基因信息”與“特殊類別的基因信息”區別保護的路徑。

（三）基因信息的區別保護路徑

基因信息的區別保護路徑與我國法律規定的個人信息保護機制不謀而合。無論是寫入個人醫療檔案的基因信息，還是單獨出具的基因診斷，在醫療活動中產生的個人基因信息都屬于醫療健康信息，屬于我國《個人信息保護法》第28條規定的“敏感個人信息”范疇，醫療機構和醫療信息處理機構對該等信息具有保護義務和保密義務。但并非所有的基因信息都享受同等保護。根據《中華人民共和國民法典》（以下簡稱《民法典》）第1034條第2款規定：“個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。”［21］由此可見，我國民法體系對于個人信息的保護也區分了保護的路徑：對于私密信息，適用隱私權保護路徑；對于一般的個人信息，適用個人信息保護路徑。基因信息中既包含了部分私密信息，與前文“特殊類別的基因信息”大致對應，也包含了部分一般信息，與前文“一般類別的基因信息”性質相同。由此可見，對個人基因信息存在兩條保護路徑。

1．隱私權保護路徑

隱私權保護路徑早已存在，隨著基因技術的發展，各國法律對隱私權概念進行了擴張性解釋，從而對基因隱私的法律保護起到了積極作用。英國隱私委員會1972年的報告就指出，隱私權包含兩個主要方面，“首先是自身、住所、家庭與人際關系不受窺探的自由。其次是信息的隱私，以及自由決定將哪些自身信息與他人進行交流的權利”。［22］信息的隱私發展形成了信息隱私權。個人對自己的基因信息具有不公開、不讓他人知悉的權利，非經法律許可，他人也不得查詢和泄露，由此學界提出了“基因隱私權”的概念，認為“基因隱私權是人類基因組破譯以后，隱私權外延的必然擴大”。［23］也有學者認為，“基因隱私權是自然人對其本人所持有的有關其自身的、一般與公共利益無關的基因圖譜、基因材料樣本或者其他基因信息及其物質載體加以控制的一種人格權”。［24］還有學者提出，基因隱私權主要包括“基因隱私隱瞞權、基因隱私維護權、基因隱私利用權和基因隱私支配權等四種權利”。［25］然而，由于我國《民法典》明確規定了隱私權和個人信息保護的相關條款，基因隱私權保護路徑出現了更多的支持者，主要理由是，基因是對個體具有最高識別能力的個人數據，且終生維持不變，將其作為個人信息中的私密信息，更有利于對其提供法律保護。例如，有學者認為，“應當在通過擴張性的法律解釋方法確認基因隱私權法定地位的前提下，進一步對基因隱私權進行主體限縮、客體確認和內容具體化，以此來逐步搭建并最終形成以私法保護為主的權利保障體系”。［26］也有學者提出，應在可預期推出的關于《民法典》的司法解釋中，將基因、基因信息納入“隱私權”“個人信息”和“數據”的意義范疇。［27］更有學者指出，醫療基因信息屬于《民法典》規定的“私密信息”，同時也是《個人信息保護法》規定的敏感信息，“雖然私密信息和敏感信息內涵并不相同，但基因信息兼具敏感信息和私密信息的屬性目前已形成共識”。［28］

隱私權保護路徑具有一定的優點。從法律上看，將基因信息作為個人的私密信息，除法律另有規定或者個人主體明確表示同意外，以任何方式侵害他人基因信息的行為都屬于侵害隱私權的行為。從重要性上看，基因信息不得被隨意侵害，否則將對個人主體產生嚴重的潛在危害。隱私權保護路徑試圖保護基因主體對自己基因信息的自主權，“如果缺乏基因隱私的保護，那么，基因主體就無法控制自己的基因信息，就難以避免自己的基因信息為他人所非法獲取或利用”。［29］但是，隱私權保護路徑忽略了個人的基因信息中不能被作為隱私的部分。即便是基因隱私論者，也不得不承認，“就基因信息隱私的特殊性而言，特別需要強調家族基因信息隱私和族群基因信息隱私中家庭和族群作為權利主體的重要地位及其隱私利益的公平分享”。［30］此外，隱私權保護路徑很容易被規避。從技術上看，只要對基因信息“去身份化”或者匿名化，將這些數據處理得不會被重新識別到個人，即會被認為可以防止對個人產生傷害。從目的上看，只要將基因數據二次應用于研究、公共衛生、司法程序以及其他公共利益活動，即會被假設符合公共利益，從而無須獲得個人的同意或者授權。因此，隱私權保護路徑在實踐中可能達不到最佳的保護效果。

2．共管保護路徑

基因信息既是個人的，也是公共的，具有混合屬性。從個人的身體組織或者遺傳材料中分析出來的基因信息，當然首先具有個人性，通過這些基因信息可以精確地定義到個人，識別個人的身份信息、健康狀況、既往病史等。基因的公共屬性也非常明顯。“所謂公共性，是說一個人的基因序列信息，如果孤立地看，幾乎毫無價值。它必須和大規模人群的基因信息加以比對，基因信息才真正可以被人類理解”。［31］為什么大規模人群的基因信息具有公共性呢？原因很簡單，基因的本質是信息，“既然是信息，那么只要積累得足夠多，就是大數據”。［32］從積累效應上看，基因大數據具有多種公共性用途，例如，確定某種基因與特定疾病的關系。特定疾病的產生通常與多種基因有關，當某種基因反復出現在特定疾病患者的檢測報告里，通過統計學上的概率統計以及專業生物醫學上的基因知識，基本上可以確定該基因與特定疾病之間的關系。

既然個人的基因信息并不局限于“一身專屬”，其同時記載了個人的近親屬、遠親、群體、種族乃至人類全體的共同遺傳信息，那么，只有通過研究來自許多人、許多家庭的遺傳信息，才能從共同遺傳信息中關注到某個基因變異的重要性。因此，共同基因對于了解家族、群體乃至人類的健康和疾病原因都具有重要作用。基因信息的這種公共性必須與個人的秘密性相對抗，從而在法律上和醫學上設立一種保密與披露相抗衡或者相平衡的機制。這就是英國通過ABC案最終在英國確立的模式，這種模式被稱為共管保護路徑。隱私權保護路徑以個人為中心，是個人獨占基因信息的保護路徑；而有限制地承認基因信息的共同性，就必須承認個人與他人共有部分基因信息。基因信息中的共有部分不應該由個人獨占，而應該在個人與他人之間實現有條件的共享或者共管。相比較而言，隱私權保護路徑注重個人的同意，而共管保護模式注重個人與他人的信息共享，是在保護個人的基礎上，盡可能保護其家庭成員以及其他可能的受益人。

之所以提倡共管保護路徑，一是因為基因信息具有混合屬性，個人不能對其基因信息享有獨占的所有權。二是因為基因醫療中的醫患關系不同于普通的診療模式：在普通的診療模式中，醫患關系是“一對一”，所以特別強調保密義務；但在基因醫療中，醫生形式上處理的是個人的基因信息，實質上面對的是患者本人及其近親屬、遠親、群體、種族乃至人類全體的共同遺傳信息，呈現“一對多”的醫患關系。基于上述醫患關系的變化，“人們認為，患者本人與其生物學親屬共享相關的基因和健康診斷信息。因此，醫生的‘保護義務通常被看作是針對患者及其家庭。在臨床遺傳學和生物倫理學的語境中，醫生的這種‘保護義務所針對的基因信息常常被稱作‘共管賬戶——患者及其所有的親屬對此賬戶都能夠作出同等的貢獻、獲得同等信息，并接受同等的診療服務”。［33］

共管保護路徑在實踐中已在多場景適用：雙胞胎或者多胞胎兄弟姐妹之間具有超過一般人的共同基因信息，一個人的基因檢測結果可以同時提示很多共同基因信息；個人與家庭成員一起去醫院做基因測試或者基因治療，雖然每個人都有自己單獨的病例報告或者診斷結論，但家庭共有部分的基因信息可以從醫生處獲得，醫生無須再就此部分信息披露取得個人的同意。尤其是比較異常的家庭關系，如ABC案中的夫妻關系和父女關系都是比較悲劇的，且患者本人明確不同意共享家庭共同的遺傳基因信息。隱私權保護路徑對此類案件無能為力，而共管保護路徑恰好可以解決這一難題。

四、知情同意原則“重塑”

鑒于基因信息的特殊性質，個人既存在對其基因信息的保護需求，也存在對基因信息的利用需求（包括利用他人的基因信息）。為了平衡這兩個不同面向的需求，法律制度的安排應當在隱私權保護之外，做好不同信息主體對不同信息的不同利益需求之間的利益衡量。在傳統隱私權保護模式下，個人通過隱藏其隱私信息滿足個人需求，強調個人的“同意”；而在共管保護路徑下，個人通過信息共享滿足其對信息利用的需求，強調個人的“同意”可能會限制信息流動，阻礙信息利用，侵害他人的知情利益或者長遠利益。

（一）“同意”的弱化

在信息化社會，傳統的知情同意原則需要根據數據的不同類型進行“重塑”。

其一，在一般類別的數據保護中，如果依然全面強化作為個人自決權實現方式的“同意”的核心作用，將個人充分的知情和同意作為一般數據保護的核心就會帶來數據的流通效率問題。一般類別的數據具有很強的公共性，這決定了數據主體對個人數據并未享有排他權，故個人對數據的控制力與自決權理應受到更多限制。對于一般類別的數據保護無須再采用“強同意”模式，“弱同意”模式即可平衡數據保護與數據流動之間的關系。［34］強弱模式搭配，才能適用基因發展的不同情境，也符合基因科學的倫理原則。例如，如果研究的風險極小，不可能比常規的體格檢查或心理檢查的風險大，那就不需要履行簽署知情同意書的程序。［35］這是“弱同意”模式在科學研究倫理中的運用。

其二，在特殊類別的數據保護中，涉及未成年人信息、敏感信息等則需要數據主體給出明示的同意。“特殊類別的基因信息”屬于個人敏感信息，有必要維持“同意”在知情同意原則中的核心地位。從原則上看，醫療過程中的患者都必須被充分告知且獲得其知情同意，該類主體的知情同意不僅是醫療活動的前提條件、醫療行為開展的合法性要件、醫生侵權責任的核心免責事由，還是一項不可被剝奪與讓渡的對自身身體的處分權。但在特殊情境下，醫生對患者的基因信息保密義務并不是絕對的，而是要作出平衡與選擇：一方面，尊重個人的基因隱私并履行保密義務，對于醫療機構及專業人士而言是至關重要的職務要求，這關系到社會對于醫療衛生行業的公共信任和整體信心；但另一方面，在基因信息的診療活動中，個人及/或其家庭乃至家族的生物信息和整體評估結論會成為一種獨特的類型，某種基因突變可能發生在不止一個家庭成員身上，醫生需要對個人的基因診療具備充分的風險認識，同時也有義務針對關聯人員作出風險提示。這就要求法律在維持“強同意”模式的基礎上，在特定情境下適當松弛醫生的保密義務，允許醫生為了救助他人或者診治他人而履行披露義務，從而實現醫療利益的最大化。

（二）“同意”的動態化

知情同意原則適用的現實困境既然源于基因信息的特殊性和原有規則的不適應，則該原則的“重塑”自然應當立足于基因信息的新特征。有學者指出，在知情同意的模式選擇上，要從“個體的一次性特定同意”走向“共同體的動態概括同意”；在知情同意的具體適用上，要正確地制訂匿名化基因信息的再識別規則，完善特殊主體的知情同意適用規則及特定場域下知情同意的排除規則；對于超出知情同意范圍的基因利益，要進行合理的信息披露和利益分配。［36］這種動態的知情同意模式是學界為了平衡數據保護與數據流動之間的關系而作出的一次嘗試。既然大數據技術的迭代發展與個人醫療數據信息主體的弱勢地位使得知情同意原則逐步顯現出形式化弊端，那么構建出一種可以協調個人信息權益與產業發展需要的“動態同意”模式就是順勢而為。

“動態同意”（dynamic consent）的含義隨著技術的發展變化而隨之演變，但其具備的核心特征是，個人能夠以互動的方式立即、隨時、在持續的或正在進行的過程中表達或者改變個人的同意。換句話說，個人的同意不再局限于之前那種靜態的、一次性的、不變的、耗時的同意模式，在“靜態同意”模式下，個人只有一次機會或者僅被有限賦能來明示或改變其是否同意。［37］“動態同意”不是不要患者同意，而是根據不同情境，讓個人可以根據知情的方式、頻率和內容，自愿地決定是否同意或放棄。從功能上看，動態知情模式能夠最大程度避免“知情—同意”機制流于形式，使得信息主體成為中心，授權有效性大大增強，能夠充分實現意思自治。［38］從可行性上看，結合互聯網平臺技術，動態知情模式能夠克服傳統知情同意模式下溝通和信息滯后等弊端。通過App、公眾號、小程序等平臺，按照法律法規和行業規范的合規要求，調整向用戶告知方式，增加了信息即時提示，改變過去一攬子協議強迫用戶同意的做法。［39］因此，按照不同的數據類別設置不同的隱私政策可以在兼顧變化的基礎上，促進對患者權利的尊重和利益最大化的實現。

（三）公共利益的優越性

當知情權的內容涉及社會公共利益或者公眾的合理興趣時，法律認可此種社會公共利益相較于個體隱私利益的優越性，法律通過權利協調原則，認可個人了解與其自身有關事務的權利的正當性，但同時要求個人信息知情權人不得再行披露他方當事人的隱私，以保護隱私權人。［40］個人的基因信息也要在個人信息保護和利用之間實現利益均衡。基因技術越是發展，基因信息中涉及社會公共利益或者公眾的合理興趣的部分就越多。基因組信息往往是復雜的，很多基因組變異都具有不清楚、不確定或者有限的臨床意義，某些基因突變只有放在相關疾病的醫學史或者家族史中，才能很好地預測疾病。從一個人身上發現的基因信息可以告知其家庭成員，讓其關注某方面的醫療健康情況，如果只關注患者個人，則會忽略其他家庭成員的類似健康問題。此外，要收集某種特定基因變異的臨床表現證據，通常需要收集大量的基因數據，等等。因此，基因信息的公共利益性相較于個體隱私利益具有越來越明顯的優越性。

基因信息的這種公共利益性是否可以成為醫生主動披露患者基因信息的正當化事由？對此，需要對公共利益的目的、事項及其范圍作出具體限定。公共利益涵蓋的范圍很廣，關系到國家服務、國家管理、社會服務和個人公共生活的各個方面。《歐洲議會及歐盟理事會2016/679號法規》規定，在公共健康領域，出于公共利益性目的需要，有可能在未取得數據主體同意的情況下對特殊種類的個人數據進行處理，只要采取適當的措施保護自然人數據主體的權利和自由即可。［41］公共健康指的是所有與健康相關的要素（健康狀況），包括患病及殘疾、影響該健康狀況的決定因素、醫療保健需求、醫療保健方面分配到的資源、醫療保健服務的提供和普遍獲得性、醫療保健支出和資金支持以及死亡原因。［42］因此，公共利益性目的屬于保密義務的豁免事由，可以在必要時松弛知情同意原則。

五、結論

本文以基因信息的知情同意機制“重塑”為主要論點，提出對于患者及其親屬之間共有的遺傳性基因信息，進行有限度的、最小化程度的披露應當為法律所允許。但是，基因信息畢竟屬于個人敏感信息，所以對其進行披露需要滿足多個條件且符合動態同意的過程。法學和醫學應進一步完善知情同意原則的規范構造，“從存在大量同意規則的例外這一點上，并不能當然地得出同意不能作為合法性基礎的結論，毋寧是提醒我們要關注個人信息保護和數據促進利用，私人權利和公共利益之間的沖突和平衡問題，從而構建更為彈性合理的規范機制”。［43］大致而言，大數據時代的新型知情同意機制，應當實現“三個轉變”。［44］畢竟，“基因是未來人類世界非常重要的戰略資源，對基因信息的解讀和利用，甚至會成為人類未來生活的基礎設施。重視它、保護它、思考它可能帶來的產業機會，是我們每個人現在就可以開始做的事情”。［45］

【Abstract】In the era of big data， the problem of informed consent mechanism is the bottleneck of personal information protection. In multiple fields and diversified application scenarios， personal information protection is faced with multiple conflicts， such as information protection and disclosure， personal interests and public interests， and patients genetic information is in the intense field of such conflicts. As personal genetic information is important health information， doctors should abide by the principle of strict protection and personal consent， and should not arbitrarily disclose it to others. However， minimal disclosure of genetic information shared by patients and their relatives or close relatives should be permitted by law. The privacy protection approach of genetic information overemphasizes the informed consent of patients， which violates the publicity and public value of genetic information. The co-management approach to genetic information protection attaches importance to the publicity of genetic information and can establish a mechanism to compete or balance confidentiality and disclosure in law and medical practice.

【Keywords】strict protection; personal consent; protection of privacy; joint protection; balancing of interest

［收稿日期］2024-01-12

［基金項目］北京市社會科學基金一般項目：基因數據濫用風險的刑法規制（19FXB009）。

［作者簡介］王永茜，法學博士，北京航空航天大學法學院副教授。

［1］ 參見馮軍：《病患的知情同意與違法》，載梁根林、［德］埃里克·希爾根多夫主編：《違法性論：共識與分歧——中德刑法學者的對話（三）》，北京大學出版社2020年版，第140頁。

［2］ 《中華人民共和國個人信息保護法》第29條：“處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。”這表明我國對敏感個人信息的處理明確規定了個人同意原則。

［3］ 參見田野：《大數據時代知情同意原則的困境與出路——以生物資料庫的個人信息保護為例》，載《法制與社會發展》2018年第6期，第111頁。

［4］ 《中華人民共和國醫師法》第23條：“醫師在執業活動中履行下列義務：……（三）尊重、關心、愛護患者，依法保護患者隱私和個人信息……”本項說明，醫師在執業活動中要履行對患者隱私和個人信息的保密義務。《中華人民共和國醫師法》第56條第1款規定：“違反本法規定，醫師在執業活動中有下列行為之一的，由縣級以上人民政府衛生健康主管部門責令改正，給予警告，沒收違法所得，并處一萬元以上三萬元以下的罰款；情節嚴重的，責令暫停六個月以上一年以下執業活動直至吊銷醫師執業證書：（一）泄露患者隱私或者個人信息……”本項說明，醫師泄露患者隱私或者個人信息的，屬于違法執業行為。

［5］ 參見郭旨龍、李文慧：《數字化時代知情同意原則的適用困境與破局思路》，載《法治社會》2021年第1期，第27頁。

［6］ 呂炳斌：《個人信息保護的“同意困境”及其出路》，載《法商研究》2021年第2期，第89頁。

［7］ 參見任龍龍：《論同意不是個人信息處理的正當性基礎》，載《政治與法律》2016年第1期，第133頁。

［8］ Royal College of Physicians， Royal College of Pathologists and British Society for Genetic Medicine， Consent and Confidentiality in Genomic Medicine： Guidance on the use of genetic and genomic information in the clinic， 3rd edition， Report of the Joint Committee on Genomics in Medicine. London： RCP， RCPath and BSGM， 2019， p.1-46.

［9］ See ABC v. St Georges Healthcare NHS Trust and Others [2015] EWHC 394 （QB） [ABC].由于案件具有敏感性，本案不公開審理，且對涉案當事人進行了匿名處理，通過上述判決書號可以查詢到判決書。為方便起見，以下簡稱“ABC案”。

［10］ 英國國家醫療體系規定：只能通過產前檢測判斷孕期嬰兒是否遺傳了亨廷頓舞蹈癥的缺陷基因，且只有母親同意，一旦嬰兒檢測結果呈陽性即終止妊娠，醫療機構才能進行該等基因測試。嬰兒一旦出生，在其年滿18歲之前，任何醫療機構不得對其進行該等基因測試。參見詞條：NHS， Huntingtons disease– Diagnosis， 2014.資料來源于英國國家醫療體系官方網站http：//www.nhs.uk.訪問日期：2024年1月5日。

［11］ Edward S. Dove， “abv v. St Georges Healthcare NHS Trust and Others： Should there be a right to be informed about a family members genetic disorder？” Revista de Derecho y Genoma Humano Vol.44 （2016）， p. 96.

［12］ 黃海蛟：《〈歐洲人權公約〉第8條及判例對隱私權的保護》，中國政法大學2010年碩士學位論文，第22頁。

［13］ ABC v. St Georges Healthcare NHS Trust and Others [2015] EWHC 1394 （QB） [ABC].

［14］ ABC v. St Georges Healthcare NHS Trust and Others [2015] EWHC 1394 （QB） [ABC].

［15］ ABC v. St Georges Healthcare NHS Trust， South West London and St Georges Mental Health NHS Trust， Sussex Partnership NHS Foundation Trust （2020） EWHC 455 （QB）.

［16］ Royal College of Physicians， Royal College of Pathologists and British Society for Genetic Medicine， Consent and Confidentiality in Genomic Medicine： Guidance on the use of genetic and genomic information in the clinic， 3rd edition， Report of the Joint Committee on Genomics in Medicine. London： RCP， RCPath and BSGM， 2019， p.29.

［17］ Mark A. Rothstein， “Genetic Exceptionalism & Legislative Pragmatism，” The Hastings Centre Report Vol. 35 （2005）， p.27.

［18］ 金方雨：《知情同意到參與同意——以基因信息保護為視角》，載《文化學刊》2022年第10期，第174頁。

［19］ 龐聰：《基因組學時代的知情同意：遠離自主，走向信任？》，載《自然辯證法通訊》2023年第1期，第88頁。

［20］ General Medical Council， Confidentiality： good practice in handling patient information， published January 2017， on General Medical Councils website at www.gmc-uk.org/guidance. Last visit on January 5， 2024.

［21］ 杜月秋、孫政編：《民法典條文對照與重點解讀》（第1版），法律出版社2020年版，第390頁。

［22］ ［英］大衛·文森特著：《隱私簡史》，梁余音譯，中信出版社2020年版，第124頁。

［23］ 談大正：《生命法學導論》，上海人民出版社2005年版，第134頁。

［24］ 楊雪、劉冉：《我國基因隱私權問題及其立法完善》，載《華中師范大學學報（人文社會科學版）》2006年第5期，第19頁。

［25］ 羅露、黎志敏：《我國基因隱私權保護問題初探》，載《醫學與法學》2018年第6期，第84頁。

［26］ 王子珍：《我國基因隱私權的法律缺位——兼評〈民法典〉第1009條的基因權利保護》，載《太原理工大學學報（社會科學版）》2021年第4期，第27頁。

［27］ 參見王康：《基因正義論——以民法典編纂與基因歧視司法個案為背景》，載《法學評論》2019年第6期，第159頁。

［28］ 楊在會：《〈民法典〉時代醫療基因信息的私法保護》，載《中國衛生事業管理》2021年第11期，第845頁。

［29］ 呂耀懷、曹志：《大數據時代的基因信息隱私問題及其倫理方面》，載《倫理學研究》2018年第2期，第89頁。

［30］ 呂耀懷、曹志：《大數據時代的基因信息隱私問題及其倫理方面》，載《倫理學研究》2018年第2期，第91頁。

［31］ 王立銘：《基因編輯嬰兒：小丑與歷史》，湖南科學技術出版社2020年版，第165頁。

［32］ 仇子龍：《基因啟示錄》，浙江人民出版社2020年版，第145頁。

［33］ Middleton Anna， Patch Christine et al.， Professional Duties are now considered legal duties of care within genomic medicine， European Journal of Human Genetics， June 2020， online version of this article available at http：//doi.org/10.1038/s41431-020-0663-3， last visit on January 5， 2024.

［34］ 參見蔡星月：《數據主體的“弱同意”及其規范結構》，載《比較法研究》2019年第4期，第81頁。

［35］ 參見熊寧寧等主編：《涉及人的生物醫學研究倫理審查指南》，科學出版社2014年版，第35頁。

［36］ 參見吳梓源：《知情同意原則在個體基因信息保護中的適用困境與超越》，載《學習與探索》2022年第6期，第91頁。

［37］ Richman Wee， Mark Henaghan & Ingrid Winship， “Dynamic consent in the digital age of biology： Online initiatives and regulatory considerations，” Journal of Prime Health Care Vol. 5（2013）， p.341.

［38］ 參見洪欣琳：《我國公民個人醫療數據信息的法律保護》，載《醫學與法學》2022年第5期，第85頁。

［39］ 參見張勇：《App個人信息的刑法保護：以知情同意為視角》，載《法學》2020年第8期，第126頁。

［40］ 參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期，第42頁。

［41］ 《歐洲議會及歐盟理事會2016/679號法規》“鑒于”部分第52條規定：“基于公共利益性目的實施的特殊種類個人數據處理，特別是在勞動法、社會保障法（包括養老金和健康安全）、監控和警示目的、防控傳染病及其他嚴重危害健康情形領域的特殊種類個人數據處理，只要歐盟或成員國法律有所規定且已設定適當防范措施保護個人數據及其他基本權利的，應當允許上述目的的處理行為不受禁止處理特殊種類個人數據規定的約束。可為健康目的授予該等情況一些例外，包括公共健康和醫療保健服務管理，特別是為確保健康醫療保險系統內的福利和服務的理賠，或為公共利益進行檔案管理、進行科學或歷史研究或統計目的所使用的相關程序的質量和成本效益。為在法院程序、行政程序或庭外程序中提起、行使或抗辯法律訴求而需處理個人數據的，應當允許其不受禁止處理特殊種類個人數據規定的約束。”引自《歐盟〈一般數據保護條例〉GDPR（漢英對照）》，瑞栢律師事務所譯，法律出版社2021年版，第13-14頁。

［42］ 參見歐洲議會和歐盟理事會于2008年12月16日通過的《關于歐共體公共健康及職業健康安全統計的1338/2008號條例》（OJ L 354， 31. 12. 2008， p.70）。

［43］ 陸青：《個人信息保護中“同意”規則的規范構造》，載《武漢大學學報（哲學社會科學版）》2019年第5期，第120頁。

［44］ 參見高志宏：《大數據時代“知情—同意”機制的實踐困境與制度優化》，載《法學評論》2023年第2期，第126頁。“三個轉變”即自然人角色從消極個人信息保護者向積極信息治理參與者的轉變，實現同意模式從一刀切式的靜態同意向多樣化的動態同意轉變，實現保護機制從一元自我保護向多元協同保護轉變。

［45］ 王立銘：《基因編輯嬰兒：小丑與歷史》，湖南科學技術出版社2020年版，第179頁。