曹磊，申卫星

1.清华大学医院管理研究院，广东深圳 518000；2.清华大学法学院，北京 100084

医疗健康大数据产业是大数据时代背景下新兴产业，主要依靠医疗健康数据进行运作。目前，医疗行业中产生的数据可以分为4 类，临床实验室数据、生命科学与制药、费用报销、个体健康数据等[1]。 其中个人健康数据的来源最为广泛，根据《国家健康医疗大数据标准、安全和服务管理办法（试行）》第4 条的规定，个人健康数据是个人在就诊、健康管理活动中所产生的健康数据。法律层面，《中华人民共和国民法典》以及各项法律法规陆续出台，形式上是我国法律法规体系进一步完善的表现，实质上表明个人权利保护体系的逐渐完善。在医疗健康领域，近些年也出台各项规范以完善医疗卫生领域的相关制度。 大数据是信息社会发展下的新兴事物，健康数据是大数据的一个分支，其不仅仅关乎个人的生命健康以及隐私，更是健康数据产业的基本交易单位，以及政府的大数据治理的对象，所以健康数据中蕴藏的巨大的可期待利益，具有重要的经济和社会意义。 个人健康数据的来源广泛，但是目前相关的规定和权利设定较不完善，在使用个人健康数据的同时很容易产生泄露、滥用等一系列问题，进而造成侵权，目前针对个人健康数据的法律规制非常迫切。

1 个人健康数据的双重属性

1.1 个人健康数据的财产属性—以电子病历为例

现在越来越多的医疗机构实现了病历电子化，近些年资本市场上发生了一系列有关电子病历的市场交易，Flatiron Health 是一家肿瘤研究及癌症治疗领域的医疗大数据技术公司，其通过收集患者的临床诊断记录、基因遗传信息、医疗费用账单等患者个人健康数据，整合后将其交由科学家用于研究或者帮助肿瘤医生更好作出临床决策。 Flatiron Health 目前已经被罗氏收购，包括之前Flatiron Health 收集的所有患者的数据都由罗氏所拥有。可见，实践中大数据的交易已是常态。个人健康数据的种类纷繁复杂，数量浩瀚如烟，质量参差不齐[2]，所以最终能够投入到市场中，进行流通和交易的数据是加工后的数据。大数据时代下，电子病历所承载的研究价值远远高于其对个人的健康状况反映价值[3]，而正是这种研究价值，赋予电子病历财产属性。

1.2 个人健康数据的人格属性—从基因人格属性出发

我国目前法律对基因的法律地位并没有明确的规定，但曾经轰动全国的江苏“冷冻胚胎案”，二审法院在判决理由阐明，该枚冷冻胚胎具有人格利益，包含了逝者亲人的思念。基因是人体的一部分，其具有人格属性是毋庸置疑的[4]。在大数据时代，数据的人格属性也逐渐凸显。王泽鉴[5]认为人格权的保护不仅仅对人体的保护，更是应该对离开人体的部分延长保护。 基因从人体分离，虽然脱离本体，但是其中含有个体生物信息，所以具有人格属性。 基于此，个人健康数据是人体本身情况的反映，即使以数据的形式存在也应该认定为人体的一部分。所以，个人健康数据实际上是个体的外在延伸，个人健康数据当然也具有人格属性。

2 个人健康数据面临的问题

2.1 警惕个人健康数据权利保护泛滥

个人健康数据的保护一直以隐私为界限，是一种防御性保护。针对个人健康数据的保护应该回归对数据背后的利益的保护，而非仅针对数据本身保护。一方面，患者权利扩张对医疗大数据产业的影响。如何平衡患者权利和企业产权之间的关系是保护个人健康数据的前置问题。 过多赋权于患者，必然会阻碍个人健康数据的流通和交易，进而不利于医疗大数据产业的发展。另一方面，个人对权利使用的冷漠。 从前文的法经济学分析，可以得出个人在授权他人使用个人健康数据时，会衡量成本和效益。由此会产生“隐私悖论”（Privacy Paradox）的效果，即个人将自己的隐私或者数据置于网络流通环境中，但又同时担忧隐私的泄露。“隐私悖论”或许是一个很好的假设，但生活中存在大量、随意披露自己的个人隐私或数据的情况，个人通过快速披露个人数据以便换取更便捷的企业服务[6]。

2.2 个人健康数据的保护路径单一

目前，无论是我国的法律法规，还是有关数据的政策，均重点考虑数据的安全，且以隐私权作为其权利保护基础。 但是个人健康数据种类繁多，科技的进步会不断产生新的数据类型。比如，近些年才产生的移动医疗，患者的心率、体温、血液流速等私密信息会被随时记载下来，形成云端健康记录。数据的产生更加迅速，会对数据的保护造成极大的挑战。 比如“互联网+”下数据权利人很难迅速找到侵权人，并行使自己相关的数据的权利。仅仅以隐私权作为保护数据的权利基础会忽略数据的繁杂性、流动性和可交易性的特点。

2.3 个人健康数据产业的发展出路

大数据的兴起催生出大数据产业，健康产业和数据结合是未来发展的趋势。但实践中有关数据的流通和授权，因为缺乏相应的法律规则的顶层设计，在实际产业运作中遇到困难。 从深层次看，数据不适当利用可能会造成公众对新产业、新发展的抵触和不信任，从而造成很多产业无法发展。 目前，我国也逐渐开放了数据交易平台，各地也根据相关政策性文件制定了数据平台交易细则[7]，但从宏观角度来看这样的做法存在巨大隐患，个人权利扩张和健康数据产业的发展之间的冲突需要谨慎对待。 在制度上需要做好前瞻的设计，在促进健康大数据产业发展的同时也要兼顾个人权利的保护。

3 个人健康数据的权利保护学说争鸣

3.1 隐私权保护说

个人健康数据是否可以完全由隐私权进行保护的议题在大数据时代中显然受到明显的挑战。 首先，个人健康数据和隐私之间并非泾渭分明。比如个人的基因信息、指纹信息以及身体隐私，既属于个人隐私也属于个人健康数据。 医院为了更好地服务患者，利用患者的诊疗数据进行医院管理等活动，则不应被视为侵犯患者隐私权，但是有可能涉及到患者的知情同意。其次，隐私权体系不能兼容个人健康数据权益。法律上给予隐私以权利性质的保护，但仅给予个人健康数据以权益性质的保护，二者的保护强度不同，无法互通。 然后，个人健康数据涉及公共利益和国家利益，需要进行限制。 我国对于隐私权的规定还处在权利保护的层面，并未深入到权利限制层面[8]。《传染病防治办法》第31 条规定了发现疫情的上报制度。如果承认个人健康数据属于个人隐私，那么就会发生囚徒困境，个人的隐私得到充分保护，但是疫情不能及时上报可能会造成大面积的公共卫生事件[9]。最后，隐私权的固有性质可能会阻碍数据发展。 隐私权是一种消极的防御性权利，如果以隐私权保护个人健康数据，则会造成健康数据的流通困境，扼杀大数据健康产业发展积极性[10]。 综上，个人健康数据虽然和隐私权保护范围有重合，但是不宜按照隐私权规制。

3.2 个人信息权保护说

随着数据科学领域的不断发展，公众对数据利益背后的规制诉求日趋增长。 在《民法总则》111 条规定了个人信息的利益，明确其受法律保护的地位。 个人信息权实际上是一种人格权， 传统的人格利益和人身不可分离，但是个人信息权是一种可以和人本体相分离，并且可以移转的权利[11]。 此外，人格权商品化一般仅仅针对“姓名、肖像、声音等”的授权，且这种授权一般不会侵犯国家利益或者他人利益，但是个人健康数据涉及到的可能是国家全体公民的生物信息，所以人格权商品化在个人健康数据领域是失灵的。 可见，个人信息权并不能充分保护个人健康数据的双重属性。另一方面，个人信息权的保护范围过宽，不利于个人健康数据的自由商品数据流通。 个人信息权的基础是个人自决权[12]，这就赋予其更完善、更周全的权利集合。 目前，国家正在积极推进的大数据医疗系统以及云端共享诊疗信息战略，个人健康数据的权属明晰是前置条件。如果个人以自己享有的权利，限制健康数据的流通，则不利于打破医疗信息孤岛，更深层次是不利于维护公共利益和健康[13]。 综上，个人健康数据虽然是个人信息的下位概念，但由于前者本身的特殊属性，并不能完全将二者放置在同一语境下保护。

3.3 数据财产权利保护说

数据财产的理论和实践已经比较完善，但是针对个人健康数据是否可以设立，需进一步分析。 ①个人健康数据财产化是公共议题。个人健康数据的生产者必然是个人本体，设立数据财产权，赋予个体买卖、交易数据的权利，表面上看似只涉及个人利益，但是考虑到个人健康数据可能包含了一个民族基因、医学等信息，当许多个体集合共同向某企业出卖健康数据，很有可能造成种族信息泄露的风险。换句话说，从权利行使的角度，完全的财产权化个人健康数据，在公共健康的背景下，不当的权利行使可能会对其他公众造成风险，这并不符合设立数据财产权的初衷[14]。 ②个人健康数据财产化的价值困惑。 一旦个人享有绝对的数据财产权，如果想要获取个人健康数据需要和每个人都要签订类似的买卖合同，并且要支付对价，如何定价便成为行使数据财产权中最棘手的问题，因为个人健康数据的种类繁杂且人身依附性强。 ③个人健康数据财产化的伦理困境。 考虑到个人健康数据具有隐私的属性，交易个人健康数据可能会造成巨大的伦理困境[15]。 且个人健康数据必然具有可复制性，一旦发生泄露则会给个人带来巨大的负面影响。 从以上3 个方面，可知盲目地设立数据财产权会对个人健康数据权利制度构成冲击，并非是最佳的保护路径选择。

4 个人健康数据保护的冷思考

4.1 适当设立个人健康数据权利

个人健康数据的保护并不是必须确立某种权利，将个人健康数据的保护上升到权利的层面。根据目前的法律规定， 个人信息和数据在法律上仅仅是一种法益，而不是权利客体。我国的隐私权并不像美国的隐私权包罗万象，我国隐私权的保护客体并不能完全容纳个人健康数据的所有种类。后两种权利的法律属性还处在探讨之中，更不适合以此保护个人健康数据。①分类别。目前我国针对个人健康数据的保护主要集中在安全性和隐私性的保护上， 针对数据的授权以及其他的权利保护欠缺。个人健康数据具有双重属性，即财产性和人格性。不同的个人健康数据的财产性和人格性的占比也会有所不同，所以要注重保护的侧重点。②分层级。数据的保护应该在隐私权的基础上加以扩充。健康医疗数据类型繁多且更新速度快，所以在隐私权的基础上应该将个人健康数据扩充到其他权利保护的范围。 如此，才能对个人健康数据进行较为周全的保护。 ③分范围。 注重解决个人健康数据上权利竞合问题。此时应当结合个人健康数据的具体情况，分析其人格和财产属性的占比，再结合权利竞合的规则，选择适用能够最大化保护个人健康数据的权利类型。 ④分领域。 多领域多元化的保护。 保护个人健康数据的方法可以从不同法领域着手， 即在刑事、民事、行政等角度，对个人健康数据给予保护。

4.2 个人健康数据的监管体系优化

个人健康数据的形成更加迅速化、碎片化以及网络化，这对数据的监管造成更大的困难。从监督过程上，我国对个人健康数据的安全监管标准较为严格，但更侧重事后监督。 所以有必要加强事前和事中监督，首先从个人健康数据的采集源头作出必要的监管措施；其次将个人健康数据的流通过程透明化；最后对数据的销毁实行严格的监督模式。 ①增设个人对数据的监督，个人对自身的健康数据的监督应该贯彻数据的整个流通过程。个人作为健康数据的直接提供者，有权利对数据后续的使用、流转和销毁享有知情权。 ②加强行业对数据的自我监督。 医疗健康大数据产业发展势头迅猛，相关产业也逐渐发展，行业自身需要对数据的安全性、合法性做到有效的自我监督。 ③政府监管本位的巩固。 政府可以成为个人健康数据的收集者和利用者，此时需要政府针对该类数据的收集和使用应该做到严进严出，加强自身监管。 政府充当“守夜人”的角色，及时监管行业中数据的流动和交易，避免出现违法使用个人健康数据的情况。

4.3 构建知情同意为内核的个人健康数据保护体系

首先，知情同意原则是个人健康数据保护议题中不可或缺的部分。即使个人权利的行使的确会影响到其他利益相关方，但不可否认的是个人健康数据权利应该得到足够的重视[16]。其次，知情同意的模式需要转变。传统的知情同意模式更注重个体的一对一授权或者对具体某些事项分别授权，做法较为谨慎。 可以采用分层同意结合宽泛式同意，加上持续数据披露制度和撤回权的结构。 ①考虑到个人健康数据中的不同其敏感性、隐私性均不相同，可以对不同的数据进行分类采取不同级别的授权同意；②大数据场景应用具有多变性，所以针对个人健康数据的授权可以采取更为广泛性的授权，而非具体事项的授权，反之降低授权效率；③传统的知情同意是针对特定事项的一次授权，但是数据可能会经过反复几轮的流转，如果每一次的流转都需要授权，则降低数据流转效率，所以可以设定知情同意授权的一次性用尽原则，并且配套持续数据披露制度，通过将数据流转路径透明化，达到高效率的数据流转和保障个人知情的平衡状态； ④撤回权的设定是针对数据披露制度而设定的，一旦个人发现数据的适用有可能会危及到个人重大利益，可以行使撤回权，但这种权利的设定和行使需谨慎考量。

5 总结

个人健康数据的权利保护是影响个人权利、医疗健康大数据产业以及政府治理的重要议题，基于个人健康数据的双重属性，在现有法律体系下重新构建个人健康数据的权利体系较为困难。 但是，可以考虑从知情同意角度构建分层级、分类别、分范围、分领域的个人健康数据保护体系，并且加强针对个人健康数据的监管，做好事前、事中、事后监管一体化建设。保护个人健康数据不仅仅是捍卫个人权利的体现， 也是产业发展的需要，更是国家安全的基本要求。 保护个人健康数据的同时，也需兼顾医疗健康大数据产业的发展和公共利益的需求，力求达到三者之间的平衡。