大数据时代基因信息保护的制度架构
2020-01-07陈玉梅从宇乾
陈玉梅,从宇乾
(贵州财经大学 文法学院,贵阳550025)
引论
当前,以信息技术为代表的新一轮科技革命方兴未艾,新兴服务、物联网、云计算等标志着大数据时代的正式到来。人类基因组计划自2000年完成后,所有的对基因的研究几乎都集中到了基因信息的用途上[1]。毕竟,基因信息(特指人类基因信息)不管是用于医疗目的还是非医疗目的,都具有巨大的商业价值。同时,随着生物科技和大数据技术的发展,基因信息的获取日益便捷。人们在物联网留下的数据足迹具有累积性和关联性,将多处数据足迹聚集在一起,发现个人隐私信息变得不再困难。在信息技术与生物科技交叉融合的今天,人们将基因信息以数据的形式保存在人类基因数据库中,呈现出“大数据”样态。
大陆法系和英美法系国家分别通过“信息自决权”、“隐私权”或“财产权”等私权的方式对基因信息加以保护。我国学者王利明教授把基因隐私列入个人生活秘密权所保护的私密信息中[2]。但在大数据时代下,基因信息的保护仅从信息自决权、隐私权或财产权的角度进行保护,带来了私权保护难以解决的问题[3]。尽管我国还未有专门关于基因信息的立法规定,《民法典》对“个人信息权”“数据”的规定还比较抽象,但强化基因信息保护已成为理论界和实务界的共识。
一、基因信息的特性
基因一般是指“DNA分子上的具有遗传效应的特定核苷酸系列的总称,是具有遗传效应的、控制生物性状的DNA 片段”[4]。“基因”一词虽然是由孟德尔(G.J.Mendel)在1865 年提出的,但真正引起大家密切关注是在“人类基因组计划”正式启动以后。人类基因组计划以测定组成人类基因组的30 亿个核苷酸序列为基础、以解读人类全部遗传信息为宗旨的重大全球性生物工程,其产生的影响不亚于人类历史上任何一项重大活动。虽然至今“人类基因组计划”向世界揭示的基因奥秘非常有限,但根据现有的资料证明,基因信息不仅与人类健康、行为、身份等密切相关,而且在科研、医疗、就业、保险、教育等领域的应用越来越普及。正是由于基因信息与我们每个人的身份识别性特征息息相关,因而产生了法律保护的强烈需求。
我国2017 年《网络安全法》第76 条第5 项对个人信息做了明确规定①《网络安全法》第76条第5项规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。,基因信息属于“个人生物识别信息”。2017 年《民法总则》在“第五章民事权利”第111 条、127 条分别对个人信息、数据进行了规定②《民法总则》第111 条:自然人的个人信息受法律保护;127 条:法律对数据、网络虚拟财产的保护有规定的,依照其规定。一般认为,数据和信息有区别;数据与信息的关系大致类似于传统媒介中的介质和信息内容的关系。但在大数据时代,二者之间的区别可以忽略不计,二者可在同等条件下使用。。此外,“个人信息保护法专家建议稿”强调个人信息保护中还要注意对其合法有效利用[5]。2014 年最高人民法院法释〔2014〕11 号文件确立了基因信息的法律规定,第12 条规定直接明确了基因信息与个人隐私的法律关系③《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条:网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。。《人类遗传资源管理条例》(2019 年)第2 条对基因信息的范畴进行了规定,认为基因信息属于人类遗传资源信息,从人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料所获得的一切信息均属于基因信息④《中华人民共和国人类遗传资源管理条例》第2 条:人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。。《民法典》第1009、1034、1035条明确规定,包括个人生物识别信息在内的能够识别特定自然人的各种信息,都属于个人信息,依法受法律保护;任何人在处理个人信息时,必须遵循合法、正当、必要原则;就算是从事与人体基因有关的医学和科研活动,都不得违背伦理道德,不得损害公共利益。
后基因组时代,基因信息广泛应用于疾病预测、诊断、治疗以及身份鉴别等领域,具有极大的开发利用价值和广阔的应用前景。调查研究表明,有关指纹等个人生物特征的信息价值最高[6]。根据我国2019年《人类遗传资源管理条例》的规定,我国采取的立法原则是“保护+利用”,提倡在保护隐私的基础上充分利用基因信息⑤2014 年原国家卫计委发布《人口健康新管理办法(试行)》,确立了人口健康信息的“互联互通和共享利用”原则;2016 年中共中央、国务院发布《健康中国2030》,明确鼓励医疗大数据的发展,建立统一归口的健康医疗数据共享机制;2016年国务院办公厅发布《关于促进和规范健康医疗大数据应用发展的指导意见》,确立要充分利用医疗大数据,培育新的业态,促进相关产业的升级;2019年国务院发布《人类遗传资源管理条例》,确立了“保护+利用”立法原则,倡导在可使用范围内,充分利用健康医疗数据。。基因信息属于个人敏感信息,是生物特征信息的一种特定形式,主要指从有关任何自然人及其家庭成员的器官、组织、细胞等遗传材料中所获得的一切信息。随着信息技术的发展和社会组织紧密程度的提高,其内容和种类也在不断丰富。基因信息除具有个人信息的特征之外,还具有自己的特性。
第一、基因信息具有唯一性,其包含了特定自然人的代际相承的遗传信息。正如埃里克·S·兰德(Eric S·Lander)所言“基因差异提供了无尽的遗传标记来追踪人类疾病的先天成因。通过研究DNA 的差异,可能将指出致病基因之所在。”[7]基因信息唯一性主要表现为对个人基因的预示能力,这种预示能力有可能远远超过获取该基因信息时所预想的价值。同时,其对个人和群体还具有文化等方面的价值和属性[8]。
第二、基因信息具有稳定性,难以伪造。基因信息属于采集型数据,通常通过特定仪器和方式进行采集,显示出来的信息稳定、难以伪造。基因信息的获取也是随着现代科技的发展而日益多样和隐蔽,个人对自身基因的保护而愈显得无力。基因信息从数据价值上来说,具有单一体价值的有限性和集合体价值倍增性的特点,在大数据时代其特征日益明显。因此,不管是发达国家还是发展中国家都日益严格规范基因信息的收集程序、使用范围。
第三、基因信息具有高风险性,一旦泄露,后果不堪设想。基因信息蕴含丰富的个人隐私,一旦遭到泄露、破坏或者篡改,将对自然人及其家庭的生活带来灾难性的影响。基因不仅可以识别个体,更重要的是还可以预测未来;基因信息不仅关涉本人,而且很可能与其近亲属、甚至整个家族紧密相连。从现有文献来看,许多领域因为不当使用基因信息而导致基因歧视的现象普遍存在,如商业健康保险、升学、结婚、贷款等领域。基因信息泄露给他人会给带因者带来风险;在某些情况下,泄露给基因者自己有可能也有风险。如基因信息揭示某人潜在可能发生的疾病,而此疾病无药可医或具有社会烙印时,其很可能会焦虑不安、恐惧,惶惶不可终日。
第四、基因信息具有公益性与社会性。基因信息虽然与自然人及其家族密切相关,其所有权人享有基因隐私权、基因财产权、基因平等权等基因权利[9],但基因信息具有公共性与社会性。虽然基因信息的收集要征得信息所有权人的同意,但并不意味着权利人对基因信息享有绝对控制和排他性权利,“同意”实际上是对个人信息私权的一种削弱,是社会控制的体现[10]。基因信息从属性来讲,与宪法规定的河流、矿藏、水流等一样属于自然资源。从国家主权的角度看,自然人所携带的基因组是其所在主权国家的自然资源,属于国家战略性数据,是人类共同的财富,具有公益性和社会性。
第五、基因信息具有高价值性[8],且不可再生。首先表现为具有研究价值的特定基因的可获得性是非常有限的。如遗传疾病方面研究的基因样本,获取非常困难,并且有些基因样本还处于不断减少和不可再生的过程中[11]。其次,基因专利制度的实施加剧了此过程。在美国,法律已经允许研究者或医药公司对“纯粹的人类基因片段”申请专利。基因专利权一旦申请成功,必将排他性地阻止其他人员包括公司对基因片段的使用。尽管人类基因片段正在研发中,但总量是有限的,申请获批一个就少一个,所以基因专利实施许可价格高昂[11]⑥据介绍,美国现已对基因发现采取专利保护措施,关于肥胖的基因专利实施许可费明码标价为3 000万美元,关于哮喘的基因专利实施许可费高达9 000万美元。。再次,某些人类基因面临全面消亡的风险,如对某种特殊的基因信息携带者,一旦因为特殊性疾病、自然灾害等情况而出现全面消亡,如非典、埃博拉、新冠肺炎等,其消灭具有不可再现性。最后,企业如基因科技公司对基因权利的争夺已白热化。基因信息具有巨大的经济价值,基于经济利益的驱动,基因专利争夺战的激烈程度前所未有。研究表明,除外伤外,所有的疾病都可以成为基因病。因此,可以通过持续提高与优化基因治疗技术、不断研发基因药物等方式,找到治疗疾病的方法。基因预防、诊断、治疗等领域都具有无限的发展空间。比尔盖茨在2000 年就已说过,下一个创造出更大财富的人将出现在基因领域[12]。
二、大数据时代基因信息保护面临的新问题
大数据为人类提供了一种认识复杂系统的新思维、新方法和新手段,而大数据治理体系尚不规范,包括基因信息在内的隐私信息在大数据时代存在严重的安全隐患。在大数据时代,基因信息保护面临的挑战更多。
(一)基因信息的泄露风险加大
体量庞大、速率迅速、价值密度低是大数据的主要特征之一;数据量与其价值的关系成正比关系,量越大其价值越高,且呈非线性增长。正如美国《大数据与隐私报告》所说,不但感应器的精准度可以产生隐私问题,而且多个感应器的关联数据性也可以产生隐私问题;单个感应器输出的信息可能不会产生敏感信息,但是两个以上的感应器相互结合就会产生隐私问题[13]。这意味着,基因数据价值的低密度性导致基因信息使用与结果之间的关系变得模糊和薄弱,在司法认定二者之间因果关系时的难度也会增大。同时,基因信息具有产品和数据的双重属性,其所具有的产品属性表明具有巨大的经济收益预期、社会福利预期及文化革新预期[14],不断成为科技公司争相收集的对象。最后,在大数据时代,还可通过数据溯源机制,轻而易举获得有关行为人的隐私信息。因此,基因信息泄露的可能性大大增加,基因隐私保护的难度与日俱增。
(二)基因信息收集、存储、分析和处理更加便捷
人类对个人信息的收集与人类历史一样悠久。它可能不是最古老的职业,但却是最古老的习惯之一[15]。传统上对信息的收集、存储、分析都需要花费一定的人力、物力,时间上具有滞后性或延时性,但在大数据时代却可以瞬间完成对基因信息的收集、存储、分析和处理。处于加速中的数据收集和分析意味着大数据分析结果对个人环境或其生活的影响逐步增强[16]。隐私利益密度空间相对较小的个人隐私信息通过大数据汇集以后就为信息优势方提供了获取该个人隐私信息的便利,不当获取个人隐私信息就不可避免会出现“数字人”和“透明人”。
(三)基因信息收集的同意规则在大数据时代难以真正适用
基因信息包含了与个人体质、健康状况等相关的所有信息,隐私信息也包含在内。而隐私信息具有的琐碎性、模糊性、双重性等特征,导致隐私信息主体很难及时对每一次基因信息的采集、传播或者使用做出精准判断。因此,基因信息收集的同意规则就处于全部同意或全部拒绝的两难境地。因此,绝大部分情况下,基因信息主体通常被迫接受类似协议。这充分说明了完全依赖于信息主体个人来单独决定基因信息使用是效率低下的选择。在大数据背景下,一方面要求处理基因信息的高效化,另一方面却是基因隐私信息的低效个人同意规则,这就在二者之间产生了冲突。在实践中,个人往往被迫通过一揽子同意将个人信息交付给大数据系统进行处理[3]。
三、大数据时代基因信息保护的理论基础
基因是必须严加保护的国家资源,自然人在行使基因信息权时受公共利益和国家安全的制约。如我国刑事DNA 数据库就有可能侵犯公民的基因隐私权,但从公共利益和国家安全角度来考虑,刑事DNA数据库就有一定的合理性[17]。对此我国司法解释(法释[2014]11 号)第12 条第1 款和第3 款确立了基因信息的公共利益例外原则。
任何制度的产生都有其特定的社会背景,基因信息的私权保护也是以特定制度为产生基础。私权利社会是以社会分工和市场交易为组织形式的社会制度,社会成员通过分工和市场交易来实现合作关系,不再完全依赖公权力组织的信息分析和处理机制[18]。隐私权保护和财产权保护都是私权利社会主要的社会合作形式,大数据时代下,将基因信息纳入法律规制的范畴就必须脱离私权利观念下的个人信息处置权,而应当从公共利益的角度来重新考量基因信息的使用对其进行公法规制,并利用日益更新的大数据技术来破解信息相关利益者之间的囚徒困境。因此,利用公共物品理论将个人信息使用纳入公法规制具有其合理性和可行性[3]。
大数据深刻影响了人类生活、工作与思维,尤其是在大数据发展成为国家战略的背景下,其对人类的影响是多方面的,不仅是信息技术领域的革命,还是政府、企业、社会等领域变革的利器[19]。最重要的是,大数据技术大大提高了人的信息处理能力。时至今日,企业收集的大部分数据都包含个人信息,而且其采集信息的动机是多样化的;在利益的驱动下,更会穷尽各种办法希望采集更多的数据,以在数据存储和利用方面达到利益最大化。有些数据从表面上看和个人信息没有任何关系,但经过大数据技术处理以后,仍然可以追溯到个人。因此,在大数据时代,收集数据的时候可能没有想到其他用途,但在后续利用时却产生了其他有价值的用途[20]。如果我们仍然沿用私权保护方式,无处不在的“第三只眼”对个人信息带来的损害是个人无力掌控的,必须建立规范自身的新准则,需要把进行隐私保护的责任转移到数据使用者一方,通过法律责任或义务来约束数据使用者以实现个人信息保护的目的。基因信息由于其具有的潜在经济价值,因而竞相成为生物科技公司、医疗机构等收集的主要对象,其在大数据时代的保护基础应从个人利益转向到公共利益。
利益本身具有个人性、社会性的双重特性。一般认为,个人利益是指包含在个人生活中的每个社会成员的要求、需要或愿望,其在本质上是一定时代和社会的人际关系;社会利益指的是包含在文明社会的社会生活中并给予这种生活的地位而提出的各种要求、需要或愿望。如果要维护并促进人类文明,法律一定要为这些要求、愿望或需要作出某种规定[21]。社会利益可能包含个人利益,但绝不是个人利益的简单叠加,不管怎样,真正的社会利益必然是与每个社会成员的个人利益根本一致。正如美国法学家庞德所说,每种要求并不是专属于其中某一个范畴而固定不变的,基于不同的地位而提出的要求却可能是同一的,因此,就需要从不同角度来看待(利益)[21]。个人利益可以分为人格利益、家庭关系方面利益和物质利益。基因信息直接关乎个人、家庭成员之间的利益关系,但又不仅仅限于上述利益关系。不可否认,在大数据时代,基因信息在个人利益与社会利益之间存在不可避免地冲突,不管是在电子商务的发展还是社会信用体系的建立方面都如此。但信息只有共享共通共治共享才能发挥其应有效能,如过分强调其个人利益,将严重阻碍个人信息的利用,基因信息自然如此。
四、大数据时代基因信息保护的制度架构
大数据技术是社会发展的新措施和新途径,通过促进社会制度变革形成高效、平等、共享、自由的有机社会。基因信息的保护先后经历了从个人利益到公共利益的过渡。当然,对基因信息中的人格利益应遵循人格利益原则,从私权角度进行保护;对基因信息中蕴含的经济利益应从公共利益视域进行规制,作为一种当代政策工具的规制,其核心涵义在于指导或调整人类行为活动,从而适应大数据时代对基因信息的保护与利用的目的。
(一)通过立法确立基因信息的分层保护制度
通过立法加强对基因信息的保护力度,确立基因信息的分层保护制度。通过立法直接将“为了公共利益而促进基因信息的共享和使用”确立为立法目的,使用的正当性是基于提高社会福利。建议在《民法典》“总则编”对个人信息保护总括性规定的基础上,在已纳入2020 年立法规划的《个人信息保护法》中建议从行政法层面、社会公众监督、业界自律、政府监管以及国际合作、专家作用、保护机构与机制、投诉程序等方面[22]作出专门规定。作为介于信息分享与控制之间信息立法的本质是一种公共规则体系,因此就受制于信息的分享和控制二者之间的相互牵引力。随着互联网的发展,信息分享的潜能得以发掘,但对信息的控制主要表现为更严格的法律规制,因此,信息立法就离不开清晰的理论判断和信息技术设计的实用[23]。
(二)合理缩限基因信息保护程度
一是立法不应特意强调基因信息抽象的一般预防性原则,而应当将基因信息保护与特定目的相结合,从具体情况出发,有针对性的通过适度简化信息保护的强度和广度。只有当网络对个人自由和权利存在不合理侵害的风险时才有控制的必要,而且其控制的强度应当与风险相匹配。二是基因信息保护应随着社会风险类型的发展变化而变化,尽量避免法律的僵化效应。个人免受算法的不合理监视、秘密操控和不当歧视是未来个人信息立法保护的重点领域。换一句话来讲,法律要求无论算法对个人画像的如何精准可控,都不能成为企业据此做出针对个人决策的理由[23]。
(三)严格规制基因信息的使用目的
社会对基因信息的充分挖掘和利用是基因信息在大数据时代的价值所在,而沉淀的基因信息是没有价值的,而对基因信息的发掘和利用又不可避免地有可能发生对基因隐私权等的侵犯。美国《大数据与隐私报告》指出,对于社会来讲有些数据信息是非常敏感的,尽管占有这些让社会敏感的数据就可以构成犯罪,但不可否认的是这些大数据中的信息引起的隐私担忧却无法与来源于一般商业活动、政府的行政活动或者公共场所的数据予以区分。信息的这种双重特征就使得规制信息使用比规制信息采集更为合适[24]。因此,应严格规制基因信息的使用目的,非经权利人同意,不得将其用于收集目的以外的用途。
结语
近年来,大数据让我们对世界事务的发展变化产生了新的认知,也改变了传统社会形态的经济基础结构和法律制度体系。基因信息保护是基因信息利用的前提,是大数据时代的重要法律问题。美国、欧盟和日本等国际社会都密切关注公民权利与大数据使用之间的融合问题。如欧盟2017 年制定《数据保护规则》以取代1995 年的《个人数据保护指令》,以适应数据信息保护方面的变革。一方面是对个人信息的控制和保护,而另一方面则是企业、个人对信息利益的最大化追逐。在信息黑市上,信息越精准,倒卖的价格就越高,包含大量精准个人隐私的基因信息,属于业内尖货,既可以被下游的犯罪团伙用以精准诈骗,也可能被不知情的保险公司、互联网医疗公司等购买用以发展业务甚至训练AI 模型等[25]。如何保护包含大量个人隐私的基因信息就成为当前研究的重要课题。