隐私保护视角下的个人健康数据监管研究
2021-01-17粟丹
粟 丹
(浙江工业大学 法学院,浙江 杭州 310023)
随着大数据技术在健康医疗行业的广泛应用,全球医疗行业快速进入以 Prevention(预防)、Prediction(预测)、Precision(精准)、Personalization(个性化)和Participatory(参与)为主要特征的5P大数据时代。以大数据为驱动的个人健康数据及处理这些数据的自动化算法正悄无声息地改变我们的生活方式、健康观念和诊疗模式。它们在极大促进社会公共利益的同时,也带来了数据孤岛、信息安全及隐私泄露等多重挑战。为平衡健康医疗数据使用过程中的公益与私权、推进共享与保护的协同发展,世界各国相继推出了个人信息保护法或健康医疗法等相关法律法规,由此形成了较有代表性的欧盟以GDPR法案为代表的强监管模式及美国以HIPAA法案为代表的弱监管模式。中国将健康医疗大数据定义为国家基础性战略资源,强调数据价值的开发利用,采取了软法与硬法相结合的综合监管模式。这种模式虽然积极回应了技术发展的制度需求,但还是存在制度供给不足和制度有效性不够的现实困境。本文以隐私信息保护制度为中心,通过介绍和比较欧盟、美国及中国三个国家(地区)的个人健康数据监管模式,分析目前我国制度的不足,提出相应的完善建议,以期促进和规范我国健康医疗大数据应用发展。
一、个人健康数据化的产生及法律挑战
(一)个人健康数据化的产生
近年来,随着世界各国的医疗信息平台和人口健康信息平台的建成使用,全球的健康医疗数据以前所未有的态势爆发式增长,人类被带入一个解读生命密码、认识疾病本源、重新定义健康的颠覆医疗时代。(1)颠覆医疗是美国医生托普提出的概念,是指新兴技术与新商业模式在健康医疗行业的结合应用,全面颠覆了以往我们对医疗的认知结构。参见埃里克·托普《颠覆医疗:大数据时代的个人健康革命》,张南等译,北京:电子工业出版社,2014年。正如美国心脏病学专家埃里克·托普医生所言,随着传感、纳米等技术的发展,科技对人的信息感知已经打破了空间和时间的限制,医学诊断正演化为全人全程的信息跟踪、预测预防和个性化治疗。[1]大数据技术之所以能带来医疗行业的革命和颠覆性创新,是因为一方面医疗研究的对象是人体本身,现代生物信息技术的发展改变了人类关于“人”的认知和理解(2)在生物信息技术的话语中,人体和人类生活被认为是数据和信息流的组合,参见Luna Dolezal,“Human life as digitised data assemblage: health, wealth and biopower in Gary Shteyngart’s Super Sad True Love Story”, Medical Humanities, 1-6, 2016。,出现了数字人的概念(3)美国著名隐私法研究专家Solove教授早在2004年就提出了数字人(digital person)的概念。参见Daniel J. Solove, The Digital Person: Technology and Privacy in the Information Age, New York: NYU Press, 2004。;另一方面全球医疗的重心正从传统的诊断与治疗转向预防与康复,后者因为更多地依赖数据的采集和判断,从而使医疗的本质演变为健康数据的处理。[2]故美国医生科斯格罗夫一针见血地指出,无论医疗服务提供者是否愿意,医学必定从基于能力的艺术,转变为基于数据驱动的科学。[3]
大数据技术的核心不在于数据量大,而在于增强了从海量数据中提取有效信息的能力。[4](PP.330-338)如今,传统医疗的经验决策已经越来越多地被人工智能技术和自主决策技术所取代(4)Wang, Y., Kung, L., Byrd, T.A., “Big data analytics: understanding its capabilities and potential benefits for healthcare organizations”, Technological Forecasting & Social Change, 1, 2018. http://dx.doi.org/10.1016/j.techfore.2015.12.019. In Press. http://www.sciencedirect.com/science/article/pii/S0040162516000500.,传统医患关系中的患者也因此变成了e-患者。e-患者一词来源于与它特性相关的一些英文单词,如授权(empowered)、参与(engaged)、拥有(equipped)、能够(enable)、平等(equal)及专家(expert),这些词代表了互联网时代的新型医患关系。[5]从数据的角度而言,e-患者意味着医疗数字人的出现。医疗数字人是指利用现代信息技术,采集人体自身的数据,在电脑系统里合成三维人体结构,从而实现对人体细胞、组织、器官和整体等层次的精确模拟,构建人体的组织形态、物理功能和生物功能的信息系统。[6]医疗数字人的出现说明人类已经拥有数字化人体的能力,这种能力是一种拥有远程持续监测每次心跳、每时每刻血压读数、呼吸频率与深度、体温、血氧浓度、血糖、脑电波、活动、心情等所有生命与生活指征的能力。[1]
数字化人体同时也是将从无线生物传感器、基因组测序或成像设备中收集的个体信息与传统医学数据相结合,并不断更新的过程。这个不断更新的过程催生了个人健康数据化。个人健康数据化并非仅仅是指应用大数据技术收集人体数据,而是指对个人健康数据新价值的挖掘和利用,这是数据化(Datafication)区别于数字化(Digitalization)和信息化(Informationization)的重要特征。信息化一般是指将现实物理世界存在的事物,通过二进制编码,以电子终端形式呈现出来,但这个信息录入是通过人工完成的。数字化是信息化的发展,是指由机器完成数据的实时采集和分析。[7]而数据化则是数字化的进一步拓展和推进[8](P.16),是通过结构化聚合方式将数字化的信息进一步条理化,其核心内涵是对大数据的深刻认识和本质利用。[9]由此,可以将个人健康数据化定义为:存储并整合人体中固有的或与健康相关的数据,并将这些数据转换为具有与原始数据内容相关或不相关的有价值的新形式。[10](PP.37-55)
(二)个人健康数据化的隐私挑战
由个人健康数据化的定义可知,个人健康数据化是应用数据处理技术来挖掘并利用健康医疗数据价值的新型技术手段。有学者将个人健康数据化的数据来源和处理情形分为五个层级:第一层级是随时可以数据化的个人信息,主要是指由智能手机、互联网搜索、医疗和健身设备等方式采集的信息,也包括由药店、医疗诊所和医院等医疗保健提供商通过电子医疗记录收集和处理的数据;第二层级是指可识别的临床数据及其他与健康有关的数据,这些数据被收集、存储并分发给医疗机构、医疗保险组织、业务分析和市场分析公司等第三方;第三层级与第二层紧密相连,涉及数据代理公司的数据代理机制,主要是指负责数据代理和数据聚合的私人公司在数据主体不知情的情况下,[10](PP.37-55)从第一、第二层级收集原始数据进行分析,以及从其他公开的和私人的原始数据来源中收集与健康有关的个人信息;第四层级是国家政府、国际公共组织及私人组织,出于产品营销、欺诈检查、科学研究、政策建议、监督等各种目的而对我们的个人健康相关数据进行二次使用、销售、分发和处理;第五层主要是理论层面和制度层面的,包括个人健康数据保护的国际条约和协定等等。[10](PP.37-55)
健康医疗数据属于我们生活中高度敏感和私密的个人数据,但其处理行为却涉及了个人、政府、医药公司、保险公司、数据代理公司、互联网企业等多个利益相关者的多个流程和环节,这些社会主体无所不在的数据收集行为及完整的人格图像,极易挖掘出个人不愿为他人知晓的敏感信息并引发寒蝉效应。[11](P.93)如第一层级的智能手机公司可以长期收集和记录个人健康信息。第二层级的医疗相关机构和第三层级的数据代理人可以在我们知情同意的情况通过算法重构我们的数字身份。2017年2月27日,英国《卫报》报道,英国国家保健医疗系统丢失了高达70万份的医疗资料,这是NHS 建立以来出现的规模最大的医疗信息泄漏事件。[12]2019年,美国卫生与公共服务部(HHS)民权办公室网站数据显示,相较于2018年,全美医疗保健数据泄露事件增幅高达196%。[13] 2020年8月26日,浙江省卫健委公开通报了10个疫情防控期间的典型违法案件,其中浙江平湖市一医院的一位医师因泄露新冠患者的隐私而被暂停执业半年。[14]
健康医疗数据的处理行为对现有隐私制度的最大挑战在于,基于告知同意原则而带来的“无限授权效应”。所谓无限授权效应是指信息主体在原始的收集、使用目的之下的同意,产生了无限扩张至往后的针对个人资料所有的再使用或组合使用的效果。这种以收集阶段同意,无限贯穿或扩张至所有的个人信息处理行为,使得传统的告知同意原则在现实中显得左支右绌。[15](P.214)许多学者质疑以透明性与当事人自主选择为核心的告知同意制度是否能为数据人提供有效的信息隐私保护。[15](P.221)从法理上而言,无限授权效应也构成对现有立法中的隐私规则的最大挑战,世界各国都呼唤新的隐私规则来应对新技术带来的新挑战。
二、个人健康数据监管的域外模式
为保护个人健康数据中的隐私信息,大多数国家都出台或更新了个人信息保护立法,并形成以欧盟的《一般数据保护条例》(简称GDPR)为代表与以美国的《健康保险携带和责任法案》(简称HIPAA)为代表的两种监管模式。
(一)欧盟以GDPR为代表的集中监管模式
欧盟主要从个人基本权利和患者权利两方面来保护个人健康信息。(5)有学者指出,欧盟的患者权利法虽然没有直接规定数据保护立法,但患者的隐私权、身体完整权及医疗保密权等权利规定也间接影响了个人健康信息保护。参见Carlisle George,Diane Whitehouse,Penny Duquenoy, E-Health: Legal, Ethical and Governance Challenges, Berlin:Springer-Verlag, 2013。早在1995年,欧盟就在《关于个人数据处理中个人权利保护及促进数据自由流通的指令》(简称《1995指令》)中规定了个人数据保护的最低标准和目标。2009年针对物联网的兴起,欧盟制定了《欧盟物联网行动计划》,强调将持续监督隐私和个人数据保护,并提出将开展有关“芯片沉默权利”的技术和法律层面的辩论会。(6)《欧盟物联网行动计划》中的行动三指出,欧盟委员会将开展有关“芯片沉默权利”技术和法律层面的辩论,它将涉及不同的用户在使用不同的名字表达个人想法时,可以随时断开他们的网络。https://ec.europa.eu/transparency/regdoc/rep/1/2009/EN/COM-2009-278-F1-EN-MAIN-PART-1.PDF.同年欧盟还公布了《欧盟健康大数据行动计划》,以此来主导健康大数据产业的发展。2015年,《欧盟-美国隐私保护盾》作为新的跨大西洋数据流框架,取代了2000年的《欧盟-美国安全港》框架,就个人信息保护救济手段做出了专门规定。[16]2016年,欧盟议会通过《一般数据保护条例》(简称GDPR)。GDPR一方面将个人数据作为基本权利予以全面保护,另一方面大大拓宽其适用范围,规定无论是不是在欧盟境内成立的机构,只要其提供产品和服务的过程中处理了欧盟境内的个人数据都适用于GDPR。(7)如一个美国供应商向欧盟个人提供的云服务,即使该服务不需要支付费用,且供应商在欧盟没有设立机构,如果涉及处理个人数据,也要受到GDPR的监管。参见W. Gregory Voss, “European Union Data Privacy Law Reform: General Data Protection Regulation, Privacy Shield, and the Right to Delisting”, The Business Lawyer, vol. 72, 2016-2017, pp. 221-233。欧盟将个人数据权利视为基本权利进行严格保护,通过制定统一的个人信息保护法,规范数据企业的数据处理行为,设置统一的数据监管部门,加大处罚力度来保护个人的数据权利。这被认为是全世界最为严格的数据保护制度。在健康隐私信息方面,主要有以下一些代表性规定:
1.赋予个人数据权利并明确同意规则。由于健康信息往往多是高度敏感的私密信息,患者对如何收集这些信息、谁有权访问以及如何存储这些信息几乎一无所知。GDPR使患者有更多机会了解这些信息,并掌握自己的数据处理情况。(8)如条例第17条规定,当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方机构(或网站),数据控制者应通知该第三方删除该数据。数据主体有权向数据控制者索取本人数据并自主决定使用用途。参见Regulation (EU) 2016/679, Art.17. https://gdpr-info.eu/art-17-gdpr/。不仅明确了“基因数据”“生物性识别数据”“与健康相关的数据”(9)GDPR规定,“与健康有关的数据”是指和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据,包括与卫生保健相关的服务。参见Regulation (EU) 2016/679, Art.4. https://gdpr-info.eu/art-4-gdpr/。三个概念,还规定了数据主体的访问权、更正权、被遗忘权、可携带权等数据权利,以此来确保个体对自身健康数据的控制。除了明确数据权利之外,GDPR还明晰了同意规则,同意规则是数据处理的核心,因为数据处理的前提是要得到数据主体的同意。同《1995指令》一样,GDPR仍将个人同意作为个人信息收集和使用的前提,同时GDPR还进一步规定了“同意”概念(10)GDPR第7条规定,个人同意是指数据主体通过书面声明或经由一个明确的肯定性动作,表示同意对其数据进行处理。参见Regulation (EU) 2016/679, Art.4. https://gdpr-info.eu/art-7-gdpr/。以及“有效同意”的几种情形(11)其一,同意必须是建立在数据主体作出声明,或者作出清晰的肯定性动作的基础之上,才能被认为是有效;其二,数据主体可以随时撤回其同意,且数据控制方应当提前告知数据主体享有收回同意的权利;其三,若将不必要的个人数据处理作为契约履行的条件,则不被认为是同意。参见Regulation (EU) 2016/679, Art.7. https://gdpr-info.eu/art-7-gdpr/。。
2.严格问责数据控制者和数据处理者。健康医疗数据来源于多种数据源,尤其是对数据处理者而言,他们可以在我们知情同意或不知情的情况下收集、使用及传播我们已识别或可识别的个人健康信息,而作为数据主体的我们往往成为达到他们商业目的的一种手段。(12)参见S. Davies, “Re-Engineering the Right to Privacy: How Privacy Has Been Transformed from a Right to a Commodity”, in P. E. Agre, M. Rotenberg, eds., Technology and Privacy: The New Landscape, Cambridge, MA: MIT Press, 1998;Paul Schwartz, “For a discussion: Property, Privacy, and Personal Data”, Harvard Law Review, 117, 2004。为保障个体的合法权益,GDPR对数据控制者和数据处理者采取了严格问责制,这些责任主要体现在以下四方面:一是直接规定数据处理者的义务;二是要求数据控制者和数据处理者应当签署详细的数据处理协议;三是数据处理者只有在获得数据控制者的事先同意后,才能进行下一级数据处理;四是数据处理者在数据控制者允许的范围外开展数据处理行为,将被GDPR认定为数据控制方,同时应履行数据控制者相同的责任。[17]
3.追求公益与私利的平衡。GDPR虽然将个人数据作为公民基本权利予以全面保护,但这并非是其唯一的立法目的,其更主要的立法目的是要协调欧盟境内各成员国间不同的个人数据保护法令,实现个人信息保护与数据自由流动之间的平衡,以促进数据的跨境流通和公共领域的数据共享[18](P.31)。尤其是在涉及公共卫生、传染病监测等关乎公众重大利益的领域,GDPR授权的相关部门可以在未经个人同意的情况下收集和处理个人隐私数据,主要表现在:其一,赋予一定情形下的数据处理的合法性;(13)如第6条规定,当个人数据处理是为了“保护数据主体或其他自然人的重要利益所必要”时,可不征得数据主体的同意。参见Regulation (EU) 2016/679, Art.6. https://gdpr-info.eu/art-6-gdpr/。其二,赋予特殊类型的个人数据处理的合法性和正当性;(14)第9条规定,可以处理对于预防性医学或临床医学目的是必需的、为了实现公共健康领域的公共利益所必需的个人数据。参见Regulation (EU) 2016/679, Art.9. https://gdpr-info.eu/art-9-gdpr/。其三,赋予相关主体对公共健康和公共利益领域的数据处理行为(15)第23条规定,数据控制者或处理者可以处理关于公共健康和社会安全的数据。参见Regulation (EU) 2016/679, Art.23. https://gdpr-info.eu/art-23-gdpr/。。当然,特殊情况下的数据处理也同样需要遵守合法性、准确性、最小化等个人数据保护基本原则,并应当采取匿名化处理方式。
4.建立完备的数据监管机制。与《1995指令》的指导性作用相比,GDPR建立了更为详尽和完备的监管机制。首先在监管主体方面,建立了数据监管最高机构。欧盟成立了数据监管的最高机构数据保护委员会,数据保护委员会具有现场调查、审计、命令修改、删除或销毁个人数据等权力,从而统一了各成员国数据监督机构的权力和任务。[10](PP.37-55)其次在监管内容方面,GDPR确立了一站式(one-stop-shop)监管机制,规定数据控制者与处理者的主营业机构决定主数据保护机构,主数据保护机构行使统一的管辖权,不同成员国数据保护机构与主数据监管机构之间进行监管合作。最后在执行措施方面,欧盟明确了监管机构的执法权力并加大了处罚力度。GDPR规定了各监管机构的行政执法权力范围,包括行政检查权、行政处罚权及诉讼权,针对一些重大违规事件处以高昂的罚金,最高罚金高达2000万欧元或前一年全球财产收入的4%。(16)一种违法行为是没有实施充分的IT安全保障措施,或没有提供全面透明的隐私政策等,处以罚金1000万欧元或上一年度全球营收2%的罚款。另一种是无法说明如何获得用户同意、违反数据处理的一般性原则、侵害数据主体合法权利等,处以罚金2000万欧元或前一财年全球收入的4%。参见Regulation (EU) 2016/679, Art.83. https://gdpr-info.eu/art-83-gdpr/。
(二)美国以HIPAA为中心的多重监管模式
美国主要是从隐私权和消费者权益保护的角度来保护个人健康信息。1996年,美国国会颁布了《健康保险携带和责任法案》(HIPAA),这部法案成为美国健康医疗信息保护的主体性制度。2000年美国卫生与人类服务部又制定了《个人可识别健康信息的隐私标准》,该隐私规则作为HIPAA法案的一部分,成为美国第一个个人医疗健康信息的保护标准,其主要目的是在保证医疗数据合理流动的同时,确保个人医疗健康信息得到法律保护。2003年HIPAA中的《安全标准》与《交易标准》生效。2009年,美国国会通过了《经济和临床健康的健康信息技术法案》(HITECH),HITECH进一步完善了1996年的HIPAA法。2015年,美国政府发布《消费者隐私权利法案(草案)》该法案旨在为消费者提供纲领性的隐私基本保障,以提升消费者信任及信心,同时确保充分的灵活性以促进数据的自由流动与开放。[11](P.96)2018年美国加州通过了隐私法《加州消费者隐私法》(CCPA),该法案赋予消费者更多的信息控制权,对企业施以更严苛的义务,被认为是最为全面和严厉的,也最接近GDPR的美国法律。同欧盟一样,美国的健康信息保护立法也强调患者的信息控制权,但它不是通过制定统一的联邦立法来进行集中监管,而是鼓励企业在医疗产品和服务的设计阶段就将安全性和隐私性融入其中,使风险通过嵌入式控制设计得以缓解,从而实现对个人医疗信息隐私的保护。[10](PP.37-55)同时还广泛使用标准化、准则和行业自律等监管工具作为实践指导,由此形成了多重监管模式。
HIPAA及其相关法案对健康医疗数据的规制主要表现为以下四个方面:
1.明确了HIPAA法案的适用范围。HIPAA法案规定的医疗信息可以广泛应用于与医疗信息接触的医疗保健提供者、数据处理者、药房及其他实体(Covered Entity,CE) 和商业伙伴(Associates Business,AB)。(17)2013年初美国HHS颁布综合规则(Omnibus Rule),增加了商业伙伴(Business Associate,BA),要求BA与CE应该遵守相同的法律准则。参见李莹莹、胡冉、朱烨琳《促进健康医疗大数据规范化应用》,《OMAHA白皮书》,2018年第10期,http://www.omaha.org.cn/data/upload/portal/20181029/5bd6d537a4ed1.pdf。HIPAA法案主要通过隐私、安全及交易三项规则来实施。“隐私规则”中规定了“个人身份识别健康信息隐私标准”,即受保护的健康信息的收集和使用范围。“安全规则”规定了“电子健康信息保护安全标准”,即受保护的健康信息的存储与使用的安全规则,强调数据使用者应遵守机密性、完整性和可用性的国家标准。“交易规则”规定了“电子交易标准”,即所有医疗机构都必须按统一标准提供电子数据,以此确保全国所有的医疗机构和医疗保险机构都使用同一套标准的医学编码。
2.明确了患者的信息支配权及授权规则。HIPAA法案的隐私规则中提出了“受保护的健康信息”(Protected Health Information,PHI)(18)受保护的健康信息是指由适用主体或其商业伙伴持有或传输的以口头、书面和电子等形式或媒体存在的可识别的个人健康信息。和“可识别的个人健康信息”(Individually Identifiable Health Information,IIHI)(19)可识别的健康信息是健康信息的一个子集,指的是个人过去、目前和未来的生理和心理健康状况、医疗护理状况及与医疗护理相关的支付信息,并且这些信息包含了法律规定的能够识别出个人的18项身份识别信息中的至少一项。两个概念,规定个人对自己的医疗信息具有访问权、修改权、携带权和知情权。患者的知情同意分为一般授权同意和特殊授权同意。当CE为了制作内部的病历索引或者告知患者家人病情时,只需要患者口头同意即可;而当CE使用患者的心理诊断记录或者利用患者的PHI获取经济利益时,则需要患者的特殊授权,且授权形式必须是书面语言,同时对于使用机构名称、使用目的、结束日期等具体内容,患者享有撤回权。
3.明确了医疗信息使用和披露的一般规则与特殊规则。HIPAA法案明确了CE和BA在处理个人数据过程中应遵守的一般规则。其一,隐私规则中要求CE首次使用PHI之前,必须告知患者本人使用和披露PHI的方式、患者的权利以及CE的法律责任等。其二,安全规则中的必选规则是CE和BA必须遵循的规则;推荐规则是CE和BA可以根据自身的情况决定是否采纳,其中不采纳的规则需要说明理由并采取其他的保障措施。HIPAA法案还规定了在一些特殊情况下CE不需要经过告知同意即可利用和披露的情形。这些情形包括公共健康活动、健康监督活动、避免严重健康安全危害、劳工保险等12项活动。[19](PP.79-116)此外,美国在关于人体研究管理的共同规则(Common Rule)中还规定,CE基于研究目的而制定的人类研究计划,若得到机构审查委员会的审查同意或隐私委员会的审查同意,可以在未经个人同意的情况下使用和披露受保护健康信息。
4.建立专门的健康医疗信息监管机构。美国主张积极利用个人数据,鼓励企业创新,对于数据保护采取以市场为主导、以行业自律为主要手段,以政府监管为辅助的监管模式。代表政府的执法机构是联邦贸易委员会(FTC)与联邦通信委员会(FCC)。FTC下属的消费者保护局负责处理由消费者、国会和行业组织等提出的互联网隐私投诉,并开展调查。卫生与公众服务部民权办公室(HHS)则专门负责《健康保险便利和责任法案》的执行,HHS不仅有权制定隐私规则,对侵犯患者信息隐私的案件展开调查并提出诉讼,而且还可以针对违法行为处以罚款或监禁。[20]
(三)模式比较
在前述的制度介绍中,我们不难发现,两种模式都追求个人健康信息保护与社会公共利益的平衡。[21](PP.973-993)基于这一立法宗旨,二者都强调数据主体的授权同意,并明确规定了数据主体的数据权利与数据处理者的义务。尽管三种模式在立法内容上存在趋同趋势,但由于各国的数据立法进程、文化背景及立法理念等方面的不同,还是表现出明显的差异,主要体现在以下几个方面:其一,数据立法的价值取向不同。欧盟强调数据处理行为的安全价值,通过扩充数据主体的权利范围,加大数据控制者与处理者的法律义务来实现数据处理的安全性。美国则更为追求数据处理行为的效益价值,鼓励企业将隐私风险嵌入到产品和服务的开发设计当中,最大限度实现数据价值的开发利用。其二,数据立法的适用范围不同。GDPR法案大大拓宽了其适用范围,其效力范围涉及了欧盟境内外。美国HIPAA法案的适用范围仅限于法案中明确提到的实体,而不适用于可能存储或传输个人可识别健康信息的其他实体,如Google health、Microsoft health vault等在线医疗服务或在线个人健康记录服务公司。其三,数据权利的理解不尽相同。欧盟GDPR的第17条明确规定了数据的被遗忘权[22],而美国HIPAA隐私规则中不仅没有赋予患者的被遗忘权,还要求受保实体自文件创建或最后生效之日起六年内保存隐私权规则要求的文件。[21](PP.973-993)其四,监管手段不同。欧盟采取严格的监管模式,通过制定统一的数据保护立法,严格要求数据控制者和数据处理者的合规行为,指定专门的监管机构并规定严苛的处罚数额,来实现对个人健康隐私信息的保护。美国则采取行业自律为主,政府监管为辅的监管方式。
三、个人健康数据监管的中国模式
我国尚未出台个人信息保护法,(20)我国《个人信息保护法(草案)》已经由全国人大常委会初步审议并向社会公开征求意见,现在进一步修改中。更没有针对个人健康数据处理行为的特别法,而是通过政策、法律、司法解释、标准、行业自治规则等多种手段,采取社会规范与法律规范相结合的方式来共同规制个人健康数据的收集和处理行为。因为医疗行业关乎人命,其重要性不言而喻,故我国一直采取较为严格的政府监管。政府监管又分为医疗行政管理部门的内部监管和多个政府部门之间的联合监管。同时,健康医疗数据不仅涉及医患关系,还涉及医疗服务供应商、互联网平台、互联网从业医生、保险机构以及相关信息技术软硬件供应商之间的关系[23](P.77),需要多部门共同合作来进行联合监管。近几年,中央网信办、工信部、公安部和市场监管总局等部门也采取专项治理的方式来对互联网企业进行联合管理。除了政府部门监管之外,数字医疗行业还需要通过制定行业规范进行自我约束和自我管理。近几年,我国的行业协会也出台了大量行业自治规范。笔者将这种多元主体共同治理的模式称之为综合监管模式。我国《基本医疗卫生与健康促进法》第86条也明确规定,国家建立健全机构自治、行业自律、政府监管、社会监督相结合等医疗卫生综合监督管理体系。
(一)中国的个人健康数据保护制度
中国的个人健康数据立法保护时间不长,其不仅伴随了隐私权保护与个人信息保护的立法进程,还与中国医疗卫生系统的信息化建设进程紧密相连(21)自改革开放以来,我国医疗卫生系统信息化建设经历了以医院信息系统建设为起始,以电子病历和电子健康档案两个数据库为基础,以区域卫生信息化为趋势的发展过程。王研敏《全人全程健康信息数据集》,浙江大学硕士论文,2011年,第7页。。2000年以前,我国的隐私保护诉求主要是通过司法解释进行间接保护。(22)如1988年最高人民法院通过《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见》第140条以及1993年最高人民法院公布的《关于审理名誉权案件若干问题的解答》第7条中关于隐私问题等规定。2000年以后,在修订和新制定的法律法规中频频出现了隐私和隐私权规定,与医疗相关的多用“患者隐私”或者“个人隐私”概念表述。(23)如《传染病防治法》《精神卫生法》《执业医生法》《护士条例》《乡村医生从业管理条例》等法律、法规中关于医疗隐私的规定。2012年,在全国人大的立法文件中出现了“涉及公民个人隐私的电子信息”的表述。(24)2012年全国人大常委会制定的《关于加强网络信息保护的决定》第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”2014年,最高人民法院司法解释中出现了基因信息、病历资料、健康检查资料等表述。(25)2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,侵权人请求其承担侵权责任的,人民法院应予支持。”2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“公民个人信息是指以电子或者其他方式记录能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”2016年的《网络安全法》首次对个人信息进行了明确界定。2020年,新颁布的《民法典》将健康信息规定为个人信息范畴,同时将隐私信息纳入隐私权的保护范围进行优先保护。代表性的规范主要有:
1.政策规范类。《促进大数据发展行动纲要》《“健康中国2030”规划纲要》《促进和规范健康医疗大数据应用发展的指导意见》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等。
2.法律法规类。《刑法》《网络安全法》《民法典》《基本医疗卫生与健康促进法》《人口健康信息管理办法(试行)》《人类遗传资源管理办法》《贵阳市健康医疗大数据应用发展条例》等。
3.司法解释类。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。
4.社会规范类。(1)标准规范类。《信息安全技术、公共及商用服务信息系统个人信息保护指南》《信息安全技术个人信息安全规范》。(2)行业自律规范类。《中国大数据行业自律公约》《服务隐私保护公约》《关于互联网医院提供规范化药事管理及服务的自律公约》《互联网搜索引擎服务自律公约》等等。
(二)主要的制度内容
1.明确界定了个人信息、个人敏感信息及人口健康信息等核心概念。我国多种类型的规范当中都较为关注个人信息的概念,这是信息保护的规范基础。如《网络安全法》第76条规定,“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。《民法典》在《网络安全法》对个人信息定义基础上,又将电子邮箱、健康信息、行踪信息规定为个人信息范畴。《安全规范》中将“个人信息”定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。“个人敏感信息”定义为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。《人口健康信息管理办法(试行)》将“人口健康信息”定义为依据国家法律法规和工作职责,各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。《国家健康医疗大数据标准、安全和服务管理办法(试行)》将“健康医疗大数据”定义为“在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”。
2.法律明确规定了对个人信息利益的保护。不同规范都明确了对个人信息利益的保护。其中《民法典》第1034条明确了自然人的个人信息受法律保护;第1035条规定了个人信息处理的限制;第1036条规定了处理个人信息的免责事由。《安全规范》则直接规定了信息主体的知情同意权、访问权、更正权、被遗忘权等权利。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,侵权人请求其承担侵权责任的,人民法院应予支持。”
3.明确规定了医疗机构的隐私保护义务和相关责任形式。健康医疗信息保护需要明确相关责任主体的责任。其中对医疗机构重点强调了患者隐私保护义务,《侵权责任法》《传染病防治法》《护士管理办法》《艾滋病防治条例》等都规定了医疗卫生部门不得泄露患者涉及个人隐私的有关信息、资料。《民法典》第1226条规定:“医疗机构及其医务人员应当对患者的隐私和个人信息保密。”《医疗机构病历管理规定》第6条规定:“不得泄露患者隐私。”《基本医疗卫生与健康促进法》第102条规定,对泄露公民个人健康信息的医疗卫生人员给予行政处罚。《刑法修正案(8)》第253条规定,国家机关或金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
四、完善我国个人健康数据监管的思考
通过前述的制度比较可见,欧盟的“硬”监管模式意在加强监管以强化个人权利保护,美国的“软”治理模式则极力限制监管范围以促进创新与发展。[24]这两种模式基于不同的隐私文化、立法传统及产业发展水平等多种因素。中国的个人信息立法保护时间不长,虽然初步形成了综合监管模式,但仍然存在政策落地困难、统一立法缺失及立法精细化程度不够等问题。未来我国在数字经济发展和健康中国战略的实施过程中,既要防止因监管过度而扼杀了健康医疗大数据的融合发展,也要警惕因监管不足而增加个人隐私泄露的风险。相对于技术的迭代发展而言,立法始终是后知后觉的,因为立法者无法预先对某个技术的规制进行全面的设计,而技术需要在不断演化中创新发展。立法者对于新技术的理性规制是以既有立法为主,再根据新技术的特点,适当予以立法上的增补和完善。具体可以从以下几个方面来完善:
(一)探索法律监管叠加技术治理的新型监管模式
现代社会的行政管理表现为专业性、技术性及公共性特征,完全依靠传统的行政管理手段已无法应对,必须采取行政监管叠加技术治理的合作治理模式。1995年,加拿大的隐私专员 Ann Cavoukian、荷兰应用科学研究组织的John Borking及荷兰数据保护局三方联合发表《隐私增强技术:匿名之路》报告。该报告中提出了隐私增强技术(Privacy-enhancing technologies, 简称“PET”),该技术随后融入了“数据最小化”原理,发展为“通过设计保护隐私”理论(Privacy by Design,简称“PbD”理论)。2011年,Ann Cavoukian又提出了7个基本的隐私设计原则,之后发展成为“PbD”理论的重要基础。(26)这七个原则包括:1.主动而非被动,预防而非补救;2.将隐私作为默认设置;3.隐私嵌入设计;4.所有的功能,正和而不是零和;5.端到端安全,全生命周期保护;6.可见性和透明度,保持开放;7.以用户为中心,尊重用户隐私。参见李维扬《通过设计保护隐私》,《信息安全与通信保密》,2018年第1期,第75页。PbD理论对数据产品和服务的开发研究具有重要的指导性意义,与其说它是大数据时代隐私信息保护的一项技术要求,不如说是一部技术纲领,使得各国政府和企业更为重视隐私侵权的事前预防而不是事后救济。[25]这一原则随后也被欧盟和美国的数据保护制度所采用。(27)如GDPR第25条规定,企业应当在产品设计之初采取技术和组织措施,比如以假名化的默认方式保护数据。参见Regulation (EU) 2016/679, Art.4. https://gdpr-info.eu/art-25-gdpr/。我国也应该借鉴西方国家的立法经验,采取包容审慎的新行政监管策略,探索激励相容的个人数据保护制度[26],鼓励企业将隐私保护嵌入到产品和服务的开发当中。如美国针对个人健康信息隐私保护,在信息的收集区、主要使用区及二次使用区同时采取了法律保护和技术保护两套保护系统。[27](PP.2-6)其中法律保护体现为知情同意原则;技术保护则体现为正式隐私模式、算法、协议、语言、架构及软件技术等技术手段的应用。[28](PP.1-14)
(二)促进并规范互联网医疗健康平台的自我规制
传统的市场秩序主要依靠政府的公共规制来维护,而随着平台经济的崛起,平台企业具有市场参与者和组织者的双重身份,使得平台企业成为维护公共利益的监管者。因此,在平台经济中出现了公共规制和私人监管的双重监管力量。[29]相对于政府规制而言,平台企业自我规制的优势在于,可以基于企业的实际需求和高度技术性的复杂事项管理而采取连续的、更为细致的规制手段[30](P.55),从而提高规制的专业性水平。如“互联网+医疗健康”模式中,涉及了智能医疗设备、医药电商、医疗人工智能等9个应用场景和多方企业(28)根据中国信息通讯研究院的报告,中国“互联网+医疗健康”领域常见的应用场景有以下9大类:1.智能健康医疗设备;2.健康管理应用;3.医药电商;4.在线问诊及健康咨询;5.院外看护;6.健康医疗资讯;7.医疗人工智能;8.医疗便民服务;9.医院信息化。参见中国信息通讯研究院《“互联网+行业”个人信息保护研究报告》,2020年,第2页,http://www.caict.ac.cn/kxyj/qwfb/bps/202003/P020200302576687898634.pdf。,完全依靠政府的理性和能力远远无法应对这种复杂的、多元的技术要求,只有通过灵活的、专业的企业标准或工作流程、程序等来进行自我约束与自我监督,才能保障健康医疗数据平台的健康良性发展。西方许多国家都极为鼓励行业的自我规制,最大限度地减少政府规制。我国一些知名的互联网企业也日益重视用户隐私政策和技术伦理在企业发展过程中的重要性。如2018年腾讯公司就首次发布了《隐私保护白皮书》,该《白皮书》强调以用户需求为中心,将隐私保护融入产品设计当中,搭建隐私保护平台,让用户可以进入平台查看《腾讯隐私政策》及配套政策文件。未来我国应完善相关政策法律,为新技术新业态行业发展松绑。一方面应当加强政府规制的法治化、规范化和公开化水平,提高政府规制的效能和正当性;另一方面应根据社会优先的理念,更多地放权于社会,让行业团体在更大范围内和更高程度上发挥自我规制作用。[31](P.132)
(三)加快制定政府数据开放隐私影响评估政策
大数据时代,数据开放成为各国政府必须提供的一项基本公共服务,但政府数据开放的同时也增加了个人隐私泄露的风险。2000年以后,西方许多国家都将隐私影响评价纳入政府数据开放实践,制定了相应的隐私影响评估政策并取得了显著的实践成效,如新西兰的《信息匹配隐私影响评估指南》、美国的《隐私影响评估指南》及英国的《隐私影响评估实践指导手册》等等[32](P.24)。所谓隐私影响评估(Privacy Impact Assessment,PIA)是指针对可能对个人隐私产生实际的或潜在影响的任意活动或提案进行评估,并提出减轻不利影响的方案。[33](PP.123-135)隐私影响评估不仅仅是一项合规检查,它还旨在识别隐私风险并克服或最小化这些风险。虽然不具有强制性,但它可以为立法者或政策制定者提供解决问题的思路和方法。[34](P.197)隐私影响评估对我国当前的数字政府建设具有直接的现实意义。一方面我国政府在数据开放过程中已经意识到了数据安全和个人隐私保护的重要性;另一方面由于我国隐私保护制度的供给不足,使得政府在数据开放过程中出现缺位或越位。因此,亟需明确和细化政府在数据开放过程中的职责,同时出台相应的隐私影响评估政策。这些政策应该包括以下几个方面内容:其一,建立贯穿全数据生命周期的隐私影响评估机制;其二,建立专门负责隐私影响评估的机构;其三,建立个人数据分类分级的保护制度;其四,制定信息安全标准和隐私保护标准。
(四)探索“自我规制+政府规制”的合作规制模式
健康医疗大数据的收集和处理是在一个完整的信息生态系统中完成的,各个构成要素之间存在着复杂的、共生共变和协同适应的关系。要想对这种复杂的共生关系实现有效规制,仅仅依靠自我规制或者政府规制任何一种单一手段都是无法实现的,必须有效整合自我规制与政府规制的优劣,引入合作规制模式。合作规制并不是自我规制与政府规制的简单叠加或混合使用,而是政府与私主体通过合作实现的处于自我规制与政府规制之间的一种规制形态。[35](P.79)它既可以克服自我规制无法解决的外部性和激励漏洞的问题,也可以弥补政府规制易失灵和政策滞后的弱点[35](P.72),最大限度实现政府与市场、政府与社会之间的有效合作。2017年,国家发改委等八部门联合印发《关于促进分享经济发展的指导性意见》,提出要探索建立政府、平台企业、行业协会及资源提供者和消费者共同参与的分享经济协同治理机制。协同治理机制对不同的社会主体提出了不同的要求,它也是实现合作规制的有效路径。其一,对政府而言,应坚持技术中立原则、合乎比例原则及市场完整性原则(29)这三个原则是欧盟委员会对金融科技领域的监管方法秉持的三大指导性原则,笔者认为同样适用于我国的健康医疗行业监管。参见申军《监管沙盒还是监管音盒?金融科技监管模式的欧盟探索》,《法治周末》,2019年12月19日,https://epaper.legalweekly.cn/Html/2019-12-19/1274.html。,政府既要为企业营造公平的竞争环境,也要限制科技巨头的过度收集和数据处理行为,为社会弱势群体提供最基础的制度保障;其二,对企业而言,要坚持以用户为中心,既要加强内部治理,也要主动推进与监管部门的互动,实现内部治理效益的外部化;[29]其三,对社会组织而言,要在标准化建设和行业自律方面发挥作用,研究制定行业服务标准和业务规范标准;其四,对用户而言,要努力提高个人健康信息素养,通过评价、反馈等机制对平台企业和政府实现监督,真正实现全民的共享共治。
