田 野

内容提要：消费性基因检测的兴起催生了大量的个人基因信息处理活动，检测机构成为特殊的大数据公司。基因信息是一种高度敏感的个人信息，基因检测的商业化给个人基因信息的法律保护带来严峻挑战。消费性基因检测中的个人信息处理质量堪忧，检测报告的科学性和有用性不足，对此应通过完善基因信息处理的相关科学标准来解决。由于基因信息固有的极强的身份识别能力，匿名化作为基因信息处理合法基础的正当性存疑，应适度提高基因信息匿名化的认定标准，并对检测公司等信息处理者课以动态风险评估义务。针对消费者基因信息处理中的同意作用虚化问题，应实行严格的单独同意，不能将同意条款简单混杂在隐私政策或服务协议中。检测公司不能仅仅告知消费者可能与第三方共享基因信息，而应当向消费者如实告知可能通过与第三方共享基因信息而营利。

随着基因技术的进步和应用普及，基因检测成为一种消费活动，走入寻常百姓之中。消费性基因检测，亦称直接面向消费者的基因检测(direct-to-consumer genetic testing，简称DTC基因检测)，是指消费者可不经过医疗机构开具处方而直接从市场上购买的基因检测。(1)See Juan Pablo Sarmiento Rojas，Direct-to-Consumer Genetic Testing：Rethinking Privacy Laws in the United States，14 Health Law &Policy Brief 21(2020).基因检测的获取方式便捷，在京东、淘宝等电商平台上以“基因检测”为关键词进行搜索可以得到成百上千条基因检测商品信息。(2)笔者在京东上以“基因检测”为关键词进行搜索，得到了4100多条基因检测商品信息(截止到2023年8月8日)，涉及数十家检测公司，价格从几百元到数万元不等。消费者在线下单之后，只需用商家邮寄的工具包提取口腔黏膜或者唾液样本并寄给商家，过一段时间即可下载检测报告。市场上的基因检测商品名目繁多，包括健康体检、祖源检测、备孕检测、药物反应检测、营养检测、儿童天赋基因检测等等。基因检测在方便消费者获取个人健康资讯方面具有积极意义，但另一方面则给个人基因信息保护带来了严峻挑战。(3)See Jacqueline Moran，Privacy Perspectives on Direct-to-Consumer Genetic Testing in the Era of Big Data：Role of Blockchain Technology in Genomics，22 Tulane Journal of Technology and Intellectual Property 185(2020).

一、基因检测的商业帝国与个人基因信息危机

向消费者提供基因测序服务成为一桩火爆的生意，并逐渐发展成为一个庞大的新兴产业。越来越多消费者购买这项时髦的高科技服务，由此产生了大量的个人基因信息处理行为。基因信息是一种极为特殊和高度敏感的个人信息，消费性基因检测的市场乱象给个人基因信息保护蒙上一层阴影。(4)See Gaia Bernstein，Direct-to-Consumer Genetic Testing：Gatekeeping the Production of Genetic Information，79 UMKC Law Review 283(2010).有的检测公司不满足于仅仅收取检测服务的对价，而是野心勃勃地希望成为大数据公司，通过向研究机构、生物科技公司、药品企业、司法部门有偿共享基因信息而获利丰厚。2018年，美国警方借助GEDmatch公司的基因数据库提供的DNA检测将一名臭名昭著的罪犯——“金州杀手”——绳之以法。(5)从20世纪70年代到80年代，“金州杀手”制造了至少12起谋杀案、50起强奸案、100多起盗窃案，但一直到2018年“金州杀手”的真面目才被揭开——72岁的迪安杰洛(DeAngelo)。这归功于一家叫做GEDmatch的基因检测公司，这家公司原本致力于提供寻找失散亲人的DNA样本，而在他们的开放数据库里，警方通过上传凶犯的DNA匹配到了“金州杀手”一位远亲的DNA样本，并顺藤摸瓜地找到了“金州杀手”。案件的侦破令人拍手称快，然而基因检测公司擅自向公权力机关分享个人基因信息的合法性问题却引起巨大争议。(6)See Teneille R.Brown，Why We Fear Genetic Informants：Using Genetic Genealogy to Catch Serial Killers，21 Columbia Science &Technology Law Review 114(2019).在基因检测商业化的大背景下，保护消费者个人基因信息的迫切性愈发凸显。

(一)基因检测及基因数据的商品化

随着基因检测产业化程度的不断提高，越来越多的消费者购买基因检测服务，基因检测公司借此积累了海量的基因数据。在数据被视为石油的数字时代，这些包含生命密码的基因数据库无疑是一笔巨大的财富。检测公司对基因数据的价值进行积极的挖掘利用而从中牟利，使基因数据成为一种被交易的商品。

基因检测从科学实验室和医院走向市场，空间像天空一样广阔，获取基因检测服务的便捷和廉价使基因数据越来越多地被创造出来，拥有这些珍贵数据的检测机构则摇身一变成为大数据公司。经过十几年的发展，消费性基因检测已积累的基因大数据规模十分庞大，并且仍在不断增长。《麻省理工科技评论》上的一份研究报告显示，截止到2019年初，美国4家头部基因检测公司已累计获取了2600多万消费者的基因数据。(7)参见前引〔3〕，Jacqueline Moran文。其中两大行业巨头Ancestry和23andMe各自拥有1000多万用户的基因数据。我国消费性基因检测的起步比美国晚，不过有研究显示到2020年底，我国基因检测的用户数也已超过1200万，其中23魔方拥有60多万人的基因数据，微基因积累了50多万人的基因数据。(8)参见李秀芝：《消费级基因检测：智商税还是生命密码？》，载《中国企业家》2021年第10期。当然，相对于我国十几亿人口的庞大基数，基因数据库的扩张空间巨大。

在当下的大数据时代，掌握数据者为王，消费性基因检测领域也不例外。值得玩味的是，在激烈市场竞争下基因检测价格被压低至几百元的时代，检测公司究竟通过什么实现盈利？2017年8月，23魔方公司将其基因检测产品的价格从999元降到499元，2018年6月又再次降价到299元。对此，23魔方自己给出的解释是，降价与烧钱补贴不同，目的是获取更多的用户，基因大数据成为基因检测企业竞相逐鹿的资本。全球基因检测行业霸主23andMe也毫不掩饰这一动机，一名公司高管在一次采访中宣称，长远来看公司不是要靠卖基因检测包赚钱，尽管其对于获取基础数据必不可少。一旦拥有了数据，公司就将成为个性化健康服务领域里的“谷歌”。(9)See Sara A.Mahmoud-Davis，Direct-to-Consumer Genetic Testing：Empowering EU Consumers and Giving Meaning to the Informed Consent Process within the IVDR and GDPR Frameworks，19 Washington University Global Studies Law Review 1(2020).这段采访暴露了基因检测公司成为大数据寡头的野心，检测机构不甘心于单纯提供检测服务的小角色，而渴望成为大数据领域里的狠角色。从表面来看，基因检测服务是交易的直接标的，收取价款是公司营利的直接来源，而获得基因数据只是其副产品。但从更长远和深刻的实质角度看，检测服务恐怕只是幌子和手段，积累基因数据才是终极目的。在野心勃勃的基因检测公司的未来蓝图里，检测价款在利润中所占的比重可能甚微，基因大数据才是财源滚滚的真正宝藏。消费者成为提供基因数据“原材料”的工具人，成千上万消费者的个人基因信息成就了检测公司的基因数据库。基因检测工具包不是产品，消费者自己才是。从一定意义上讲，这是大数据时代的背景使然，不能指望基因检测公司守着基因数据这个金矿而不动凡心。

基因检测公司的大数据战略并非只有蓝图，而是正在实施之中。基因数据的价值不是空头支票，而是现金。基因大数据的商品化正在悄无声息中一步步展开，一些头部公司已经初步尝到了甜头，从基因数据中获利丰厚。数据具有价值，基因数据作为一种特殊数据价值尤为突出。对科学研究而言，基因数据是珍贵的生物样本。对于医药企业而言，基因数据更是进行新药研发的基础性资源。在诸多领域基因数据皆大有用武之地。基因检测公司积极探索以各种方式兑现基因数据的潜在利用价值。首先，基因检测公司可能自己利用基因数据开展有关个性化健康医疗方面的研究。例如，23andMe已经发表了数百篇科学研究论文。一些研究甚至可能获得专利，从而带来经济利益。23andMe在2008年发起一项活动，号召消费者与公司开展攻克疾病的合作研究。消费者在疾病列表上投票，公司相应设计了一系列调查，要求参加者分享个人信息。公司宣传称该项目旨在帮助人们将个性化医疗从梦想转化到现实方面迈出一些步伐。可是，2012年，针对该项目数据进行的研究诞生了一项关于帕金森综合症患病倾向判断的专利。许多消费者对此感到了背叛。(10)Ibid.其次，基因检测公司也可能与其他机构合作开展研究。在合作中，基因数据是检测公司最重要的“出资”。最后，基因检测公司可能直接出售基因数据库的访问权，以最直截了当的方式使基因数据转化为金钱。23andMe就通过授予药业巨头葛兰素史克公司基因数据许可使用权而获利3亿美元。(11)See Ayesha K.Rasheed，Personal Genetic Testing and the Fourth Amendment，2020 University of Illinois Law Review 1249(2020).这些事例表明，基因数据的商业利用不是假想的，而是正在发生的事实。当然，目前基因数据的商品化只是小荷才露尖尖角，未来将愈演愈烈。

(二)消费者的个人基因信息危机

基因检测公司的基因大数据源自一个个消费者的基因信息累积，基因信息是一种极为敏感的个人信息，基因数据的商品化利用给消费者个人基因信息保护带来严峻挑战。

个人信息的种类繁多，与其他一般的个人信息相比，基因信息具有以下特性。第一，家族遗传性。基因信息不仅可以揭示个人的生物特征，还可以揭示该个人所属家庭成员乃至更大范围族群的生物特征。因此，基因信息的非法处理损害的不仅是消费者的个人权益，还可能包括其家族群体利益，带来族群污名化问题。第二，不可变性。人类基因组的排列顺序是不变的(排除基因编辑和基因突变的例外因素)，这意味着基因信息泄露后，信息主体没有办法通过更改信息的方式避险。第三，增殖性。基因所蕴藏的信息十分丰富，特别体现在基因信息的可无限更新性。尽管个人DNA的碱基对排列顺序是固定不变的，但是对这些排列顺序进行科学分析所能揭示的意义却是可变的。随着生物技术的进步，对于相同的基因检测结果，通过新的科学分析手段，可以得出新的不同的数据结果。基因信息并不是一个固定的信息，而是一个源源不断地产生新信息的无尽宝藏。第四，难以真正匿名性。匿名化是个人信息保护的重要手段之一，然而对基因信息而言真正匿名化在客观上几乎是不可能完美实现的。每个人的DNA都是独一无二的，由于基因信息固有的强大识别功能，通过一定的科学手段进行分析足以使已经被匿名化处理的基因信息再次与特定自然人的身份建立联系。第五，高度的私密性和伦理性。(12)参见田野：《雇员基因信息保护的私法进路》，载《法商研究》2021年第1期。基因信息被视为生命密码，控制生物特征的遗传和生成，因此可能引发基于基因信息评价个体优劣的社会问题，导致“基因决定论”之弊病。一些并不“光彩”的基因信息泄露可能使信息主体蒙羞，在社会生活中遭受不公正的对待。基因信息的上述特征使其有别于一般的个人信息，甚至比其他类型的敏感个人信息更加敏感，故此应当被“另眼相看”。(13)See Kristen L.Burge，Personalized Medicine，Genetic Exceptionalism，and the Rule of Law：An Analysis of the Prevailing Justification for Invalidating BRCA 1/2 Patents in Association of Molecular Pathology v.USPTO，8 Washington Journal of Law，Technology &Arts 501(2013).在域外的个人信息保护立法上，基因信息常常被作为特殊类型的敏感个人信息，受到更高层级的保护。例如，欧盟《通用数据保护条例》就对基因信息保护作出了特别规定。(14)参见欧盟《通用数据保护条例》第9条“特殊种类的个人数据保护”。

在消费性基因检测的商业化模式下，极端重要的个人基因信息面临多重损害风险。尽管所有基因检测公司无一例外地均对保护消费者个人基因信息作出信誓旦旦的承诺——体现为隐私政策或检测协议中的相关条款，但现实则是另外一番景象。若从个人信息处理原则和规则的角度审视，在逐利动机下基因检测公司的很多操作均值得质疑。第一，超出目的范围的信息处理。基因检测中个人信息处理的原初目的本来是为消费者提供检测服务，在检测报告出具后该目的即已实现，但检测公司却将从消费者个人基因信息提取的基因数据存储起来，用作后续商业上的开发利用，甚至反客为主地将攫取数据作为首要目的，远远超出提供检测服务的目的，违反了个人信息处理的目的限制原则。第二，检测公司永久保留消费者基因数据，违反了依据最小化原则的最长保存期限限制和销毁义务。第三，与更严肃的医疗性基因检测相比，消费性基因检测的科学性、准确性堪忧，检测结果报告可能对消费者造成误导，违反个人信息处理的质量原则。第四，消费性基因检测市场乱象丛生，存在大量夸大宣传、虚假广告的现象，违反个人信息处理的诚信原则。第五，检测公司的告知义务履行不充分，消费者对基因检测的风险不能充分知情，检测公司在协议中通过格式条款为自己保留大量数据处理的权利，消费者的麻木同意徒具躯壳。第六，检测公司将取自消费者的基因数据与医药公司、研究机构等第三方分享而从中牟利，可能违反个人信息处理的分享规则。

如何平衡消费者个人基因信息保护和公司对基因数据商业化利用的关系，是主要问题之所在。如果不能禁止消费性基因检测，那么通过良法善治使基因数据的商业化利用在合法合规的轨道上运行，是应然的不二选择。

二、消费性基因检测中的个人信息处理质量

消费者购买基因检测服务的目的在于了解自身的基因信息以助力个人的自由发展，因此消费者所获取的基因信息的质量至关重要。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第8条规定：“处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。”该条确立了个人信息处理的质量原则。(15)参见张新宝：《个人信息处理的基本原则》，载《中国法律评论》2021年第5期。消费性基因检测作为个人信息处理的特殊场景，当然也必须贯彻质量原则。然而从现实的情况来看，消费性基因检测市场乱象丛生，个人信息处理质量堪忧。(16)参见耿姗姗、张莉：《商业化基因检测应用的法律规制研究》，载《河南社会科学》2019年第12期。

(一)基因检测的市场乱象与基因信息处理质量之忧

消费性基因检测下的个人信息处理质量之忧，首先是源于管制漏洞。相比于管制程度较高的医疗性基因检测，目前对于消费性基因检测的监管存在很大盲区。检测公司极力将自己提供的基因检测商品与医疗基因检测划清界限，刻意营造基因检测服务仅是为个人提供遗传资讯而非诊疗的印象，借此避开严厉的监管而觅得自由发展空间。(17)参见焦艳玲、田野：《论直接面对消费者的基因检测之法律规制》，载《武汉理工大学学报(社会科学版)》2014年第6期。也因为如此，消费性基因检测下的个人信息处理质量与医疗基因检测不可同日而语。在京东、淘宝等电商平台上购买基因检测服务与购买普通商品没有任何差别，鉴于基因信息的高度敏感性，目前的管制强度是远远不够的，这是消费场景下个人基因信息处理质量不高的制度根源。

其次是基因检测结果科学性、有效性方面的局限。基因检测报告往往并不准确，并且对消费者没有什么实际效用。即使是针对相同的检测项目，不同检测公司所出具的检测报告结果却大相径庭。美国政府问责办公室(Government Accountability Office，简称GAO)曾于2006年和2010年两次开展针对DTC基因检测质量的调查。在2006年的调查中，GAO的工作人员以消费者的身份向四家DTC基因检测公司购买检测服务，结果证明被调查的四家公司提供的检测报告十分模糊，几乎没什么价值。一些公司提供的建议只是单纯的生活方式指导，诸如少吸烟。(18)See Kayte Spector-Bagdady &Elizabeth R.Pike，Consuming Genomics：Regulating Direct-to-Consumer Genetic and Genomic Information，92 Nebraska Law Review 677(2014).

最后是过度营销。在逐利动机驱使下，检测公司对基因检测的包装夹杂着大量虚假广告、夸大宣传和推销行为，使消费者获取不实甚至欺诈性的信息，严重违背个人信息处理的质量原则。在检测公司的宣传攻势下，从患病风险预测到护肤检测、营养检测、天赋检测，基因检测无所不能，俨然成为“基因算命”的神器。而购买这些时髦的“高科技”服务的消费者，可能只是在缴纳“智商税”。有调查显示，在一份天赋基因检测报告中，用于检测孩子智力情况的一个叫作CPXCR1的基因，在国际权威基因数据库中根本查不到。(19)参见《能预知未来？“基因检测”真有这么神奇吗？》，载http：//www.china.com.cn/news/2017-06/26/content_41094805_2.htm，最后访问时间：2023年8月8日。据《中国青年报》报道，一名老人在购买某公司的基因检测后，300多页的检测报告预测老人有严重的患癌风险，而公司推荐的解决办法是大量购买该公司的保健品，最终该名老人花光30多万元的毕生积蓄，在得知被骗后投河自尽。(20)参高珮莙：《藏在基因里的野心与欺骗》，载《中国青年报》2016年8月17日，第11版。

(二)消费者基因信息处理质量的提升：以标准化为进路

基因检测的市场乱象令人担忧，检测公司只是醉心于攫取消费者的基因数据，而无视提供给消费者的基因信息的质量。不科学的信息、无用处的垃圾信息和误导性的虚假信息，不仅不能真正实现消费者的个人信息自决和自由发展，还使其陷入有害信息的牢笼。

缺乏统一的科学标准，是造成目前消费性基因检测结果混乱和基因信息处理质量低下的技术根源。虽然原始基因数据是固定不变的，但是各大基因检测公司形成检测报告所采用的科学分析手段却是多种多样的。实践中各基因检测机构根据自建的数据库确定相应检测位点、进行分析判断的结果一致性较差，导致不同检测机构检测报告大相径庭成为常态，使其可信度、权威性大打折扣。基因检测作为一项高科技服务，其科学性不足的缺陷仍需从科学本身的角度予以补足，加强基因检测及基因信息处理的标准化是对症下药之良策。

从最新的发展来看，基因检测及基因信息处理的标准化已经在路上。在国际上，ISO/TC 276生物技术委员会(Biotechnology)和ISO/TC 215/SC1基因组信息学分委员会(Genomics Informatics)作为该领域的国际标准化组织，在推动基因检测及基因信息标准化方面做出了大量努力，已经出台了一些重要标准，如《健康信息学——电子健康记录中描述结构化临床基因组序列信息的数据元素及其元数据》(ISO/TS 20428：2017 Health Informatics—Data Elements and Their Metadata for Describing Structured Clinical Genomic Sequence Information in Electronic Health Records)、《基因组信息学——高通量基因表达数据的可靠性评估标准》(ISO/TS 22690：2021 Genomics Informatics—Reliability Assessment Criteria for high-throughput Gene-expression Data)、《基因组信息学——组学标记语言》(ISO 21393：2021 Genomics Informatics—Omics Markup Language)、《生物技术——生命科学中数据格式化和描述的要求》(ISO 20691：2022 Biotechnology—Requirements for Data Formatting and Description in the Life Sciences)等等。

我国也已出台一些相关技术标准。如国家质量监督检验检疫总局和国家标准化管理委员会颁布的《人体疾病易感DNA多态性检测基因芯片》(GB/T 29889—2013)、《高通量基因测序技术规程》(GB/T 30989—2014)、《染色体异常检测基因芯片通用技术要求》(GB/T 35533—2017)。除了国家标准之外，还有一些团体标准，如深圳基因产学研联盟于2018年发布的《人类全基因组遗传变异解读的高通量测序数据规范》(T/SZGIA 2—2018)。

从总体上看，对于基因检测及其基因信息处理的技术标准还是比较匮乏的，不能满足基因检测消费市场蓬勃发展和数字化时代的现实需要，因此标准化的步伐还应加快。围绕基因检测应当制定一系列行业标准，如基因测序、质谱关键技术、生物大数据分析核算、测序人员能力水平等方面的标准。对于基因检测中的个人基因信息处理，应逐步建立覆盖信息的收集、存储、传输、共享、分析评估、保密、销毁等全链条的权威科学标准。通过树立统一的标准体系，可在很大程度上避免基因检测市场的混乱，使消费者获得的基因信息的质量在科学层面得到确保。

三、消费者基因信息的匿名化困境与出路

匿名化是保护个人信息的重要技术手段之一。(21)《个人信息保护法》第73条第4项规定：“匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。”《个人信息保护法》第4条第1款规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”根据该条文，已识别或可识别是个人信息的基本特征，经过匿名化处理的信息因失去识别能力而不再是法律意义上受保护的个人信息。(22)参见张新宝主编：《〈中华人民共和国个人信息保护法〉释义》，人民出版社2021年版，第40页。在消费性基因检测商业模式下，这一规则成为检测公司的“法宝”，只要将基因信息加以匿名化处理，就可名正言顺地将原本归属于消费者的个人基因信息转化为归自己控制的基因数据。当语境从“个人基因信息”转化为“基因数据”，也就完成了权利的交接，消费者失去了《个人信息保护法》的庇佑，而检测机构可以施展成为大数据公司的抱负了，匿名化则是完成这一神奇转化的催化剂。(23)See Benjamin T.Van Meter，Demanding Trust in the Private Genetic Data Market，105 Cornell Law Review 1527(2020).问题的关键在于，匿名化对于个人信息的保护是否令人放心，匿名化后的消费者基因信息是否仍存在被再识别以及其他剩余风险。鉴于基因信息作为生命密码固有的超强识别能力，基因信息匿名化的可靠性比一般个人信息更加令人怀疑。

(一)基因信息的匿名化难题

通过匿名化实现基因信息的数据化已成为基因检测公司的“常规操作”。各大头部检测公司的隐私政策或者用户协议格式条款中，均明确宣示对匿名化基因信息的数据主权。例如，23魔方公司的《隐私政策》就规定：“个人信息经匿名化处理后所得的信息不属于个人信息，23魔方有权对匿名化处理后的用户数据库进行挖掘、分析和利用，有权对产品/服务使用情况进行统计并与公众/第三方共享脱敏的统计信息。”(24)23魔方公司《隐私政策》，载https：//www.23mofang.com/protocol/privacy，最后访问时间：2023年9月12日。该政策阻断了匿名化信息与个人的联系，赋予公司自由利用和与第三方分享的权利。美因基因的《用户服务协议》也规定：“美因基因对可以指向特定个人的信息分离后的相关数据和信息享有所有权，有权与美因基因合作伙伴(包括但不限于科学研究机构，药品研发中心、医疗卫生组织、经销商、关联公司等)进行共享。”(25)美因基因公司《用户服务协议》，载https：//www.megagenomics.cn/Index/index/id/5.html，最后访问时间：2023年9月12日。该条款将公司对匿名化数据信息的权利径称为“所有权”，对数据的权利欲一览无余。北京泛生子基因科技有限公司的《隐私政策》规定：“匿名化处理后的信息不再属于个人信息，因此不受本政策的约束和保护。”(26)泛生子公司《隐私政策》，载https：//www.genetronhealth.com/privacyPolicy.html，最后访问时间：2023年9月12日。这一政策明明白白地将匿名化信息排除在保护范围之外。由此观之，匿名化确实是使基因检测公司获取基因数据“白化”的神器。

从法律实施效果的社会评价来看，匿名化规则的适用面临不小的困境，消费性基因检测则是管窥这一困境的绝佳场域。《个人信息保护法》匿名化规则的立法初衷，乃在于实现个人信息保护与利用的平衡。这样的立法目的无可厚非，在大数据时代信息处理的需求无时无处不在，为处理者保留一定的自由空间无疑是必要的。匿名化规则为信息处理者利用信息提供了极大的便利，其无需获得信息主体的同意，免除了个人信息保护法上的一切义务，并且是无期限限制的。(27)参见王勇旗：《数字时代匿名化个人信息处理的正当性问题》，载《图书馆》2022年第1期。对于包括基因检测公司在内的众多信息处理者而言，这样的自由是弥足珍贵的。然而，立法确立的匿名化规则一直饱受诟病——无论在国际还是国内。批判的观点认为匿名化规则过于理想化了，真正的匿名化难以实现，试图通过匿名化技术手段保护个人信息被证明是失败的。(28)参见齐英程：《我国个人信息匿名化规则的检视与替代选择》，载《环球法律评论》2021年第3期。

匿名化规则获得正当性的预设前提是有关个人身份的识别性信息已经被有效剥离，不能再根据这些信息追溯到特定的个人，因此保护目标已经实现。然而在现实中这恐怕只是虚幻的理想，随着技术的进步对匿名信息的再识别变得越来越容易，真正的匿名化很难做到。在谈论匿名化时，还必须关注到不同类型个人信息识别能力的差异。相比于一般的个人信息，基因信息的识别能力更加强大，匿名化基因信息被再识别的风险更高，这是由基因信息作为生命密码的本质所决定的。基因信息的再识别不是一件难事，有研究已经证明，使用被认为是匿名化的公共基因数据库中的一小段基因就能识别出其所属的个人。不仅如此，由于基因信息的家族性特质，通过对个人匿名基因信息的再识别还能揭示出数据库中没有的其亲属的身份信息。一项研究表明，60%的欧裔美国人可以通过基因数据库的家族树匹配被识别出身份。(29)参见前引〔23〕，Benjamin T.Van Meter文。如果说个人信息的匿名化难题是一个带有普遍性的问题，那么基因信息的匿名化则是难上加难。

匿名化的另一个弊病是使信息的利用价值降低。当信息与个人的身份联系被彻底剥离，其有用性也就大打折扣了，基因信息尤其如此。由于基因信息最重要的价值就体现在被用于有关人类健康的研究或药品研发，而基因信息只有在与特定人建立对应关系时，才能更好地揭示健康意义。基因检测公司将消费者基因信息共享给生物医药公司，后者在进行新药研发时，真正完全匿名化的基因信息的价值可能是有限的。在精准医疗和个性化靶向用药的场景下，基因信息的匿名化构成阻碍。要突破这些障碍而提升信息可用性，生物科技公司、制药公司难免有对匿名基因信息进行再识别的冲动。

(二)基因信息匿名化困境的破解之道

1.路径抉择：不可匿名抑或严格规制下的有条件匿名

匿名化不能为消费者个人基因信息提供有效的保护，需要探索走出困境的道路。在笔者看来，匿名化的解困之路大概有二：一是将基因信息作为不可匿名的特殊信息对待，排除在匿名化规则适用范围之外；二是在肯定匿名化规则仍适用于基因信息的情况下，对其适用予以严格的限制。显然前者是更为彻底和简单直接的改革路径，对极为特殊的个人基因信息给予了更高程度的尊重和保护，其潜在的疑虑是处理者获得数据信息的便利程度降低，从而对基因信息利用产生阻抑效应。不过，匿名化不是检测公司积累和利用基因信息的唯一正当化途径。在排除匿名化规则的适用后，基因信息即回归到个人信息的范畴而须适用《个人信息保护法》的规定，检测公司可依据该法第13条规定，使基因信息处理行为获得正当性基础，包括征得消费者的同意或者存在无需同意的合理利用情形。后者是更为温和的道路，一方面为检测公司保留了仍得通过匿名化获得基因信息利用之便的可能，另一方面通过更严格的限制措施化解匿名基因信息的剩余风险，使消费者能够获得更好的保护。上述两条道路何者为优，不是一个非黑即白的是非问题而是政策取舍问题，其均具备一定的合理性和可行性，关键在于追求怎样的政策目标。相比较而言，第二条道路可能是阻力更小的易路，更有利于实现利用与保护的平衡。在严格规制模式下，重点是通过各种限制措施矫正匿名化规则的当然、绝对豁免效果，使之成为受约束的有条件豁免。具体而言，可大概从两个面向上限制基因信息的匿名化适用：一是适度提高匿名化认定标准的门槛，二是对匿名化基因信息的处理进行动态风险控制，对检测公司等处理者仍课以一定程度的持续保护义务。

2.基因信息匿名化的认定标准

检测公司对消费者基因信息身份剥离的技术处理达到何种程度方可认为是匿名了，这是一个至关重要的前提性问题。是否真正匿名，不应仅凭检测公司的单方宣告认定，而应依据客观合理的标准。因此，认定标准举足轻重。然而麻烦恰恰在于，匿名化的认定标准并不清晰。尽管《个人信息保护法》第73条第4项对匿名化下了定义，但对于什么是“无法识别”，没有更详细的认定标准和解释。

是否可识别究竟应以谁的识别能力为参照系？围绕这一中心问题，在理论上对匿名化的标准有众多学说，包括一般人标准、处理者标准、专家标准、有动机的入侵者标准和任何人标准等等。(30)参见李润生：《个人信息匿名化的制度困境与优化路径——构建“前端宽松+过程控制”规制模式之探讨》，载《江淮论坛》2022年第5期。这些标准从宽松到严格，跨度很大，在域外个人信息保护法中均能找到一些影子。例如，欧盟《通用数据保护条例》序言部分第26条规定，为确定自然人是否可识别，应考虑控制者或其他人为直接或间接识别自然人而可能使用的所有合理手段。确定什么是可能被使用的合理地识别自然人的手段，应当综合考虑识别的成本和时间等所有客观要素，同时考虑识别时的可用技术及技术的发展。另据欧盟第29条数据保护工作组发布的《关于匿名化的意见》，只有当信息处理者和任何第三方在使用所有合理可能的方法仍无法识别特定自然人且无法复原时，才能认为是达到了匿名化的标准。分选(single out)、联结(linkability)和推断(inference)三种形式皆可认定为“可识别”。可见，欧盟对匿名化采取了较为严格的“任何人标准”。英国信息专员办公室发布的《匿名化：数据保护的风险管理实务守则》(Anonymization：Managing Data Protection Risk，Code of Practice)采取了相对宽松的具备动机的入侵者标准，美国《健康保险可携性和责任法隐私规则》(Privacy Rule of Health Insurance Portability and Accountability Act)以特定领域专家的识别能力为判断标准。

匿名化标准的宽严程度差异反映了各国不同的法律政策导向。过于宽松的认定标准可能导致大量的信息被排除在法律保护之外而产生蚁穴效应，使个人信息保护的千里之堤被掏空，过于严格的认定标准则会阻碍信息的利用，应在利益平衡后作出取舍。再者，匿名化的认定标准不是绝对化的，应当放在特定的场景下进行讨论。具体到基因信息，考虑到其极高的敏感性和可识别性，宜采取从严的认定标准。原则上，对基因信息应采取类似欧盟的任何人标准。当然，在消费性基因检测的特定场景下，那些与检测公司合作而获取基因信息共享利益的生物科技公司、制药公司和研究机构应被作为“任何人”中的重点关注对象。事实上，由于天然的技术优势，科学家、生物科技公司对于基因信息的识别能力处于“任何人”中的顶层，如果连他们都不能还原匿名基因信息，缺乏科学背景的一般人更加难以做到。为了增强可操作性，逐步完善基因信息匿名化的技术标准十分重要，有利于消除匿名化的模糊性，匿名化标准是完整标准化体系中的重要一环。此外，在程序意义上，检测公司及其利益相关者应当对匿名化负担举证责任。

3.匿名基因信息的动态风险评估

基因信息一旦符合前述认定标准而匿名化就可以一劳永逸了吗？处理者由此就可以免除一切义务了吗？答案是否定的，将匿名化豁免效果绝对化的倾向是有必要加以矫正的。

应当从动态的视角看待匿名化。当下暂时不能识别的基因信息，不代表将来不能识别。事实上，随着技术的发展，对信息的识别能力不断增强，之前的匿名基因信息可能随着时间的推移而变得可识别。为了应对不断增加的再识别风险，十分有必要对匿名基因信息进行动态化的风险评估。《个人信息保护法》规定了个人信息影响评估制度，遗憾的是匿名化信息被排除在该法适用范围之外。不过，《中华人民共和国数据安全法》(以下简称《数据安全法》)规定了数据安全风险评估制度，其既适用于个人数据，也适用于匿名化数据。《数据安全法》第30条规定：“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。”该条确立的风险评估制度适用对象是“重要数据”。《数据安全法》第21条第1款规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。”根据该条规定，数据分类分级的标准是数据在经济社会发展中的重要程度，以及一旦遭受侵害可能造成的危害程度。按照这一标准，基因数据属于“重要数据”当无疑问。此外，全国信息安全标准化技术委员会于2022年发布的《信息安全技术 重要数据识别指南》(征求意见稿)第5条h项规定：“反映群体健康生理状况、族群特征、遗传信息等的基础数据，如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据。”因此，可以肯定基因数据(包括匿名基因数据)作为重要数据应适用数据安全风险评估制度。

基因检测公司以及生物科技公司、药品企业、研究机构等共享基因数据的第三方应当共同履行对匿名化基因数据开展风险评估的义务，特别是关注基因数据被再识别的风险。根据《数据安全法》第30条的规定，风险评估应当是定期展开的而不是一次性的，因此检测公司及共享数据的第三方应当周期性地对基因数据利用过程中的风险进行动态评估。此外，针对评估发现的匿名基因数据的剩余风险，检测公司及共享数据的第三方还应当采取与风险水平相当的保护措施。如果说提升基因信息匿名化的标准是事前规制，动态风险评估则是事中的过程规制，二者相互协同可有效消弭消费性基因检测中匿名化豁免制度适用中的风险。

四、消费者同意的虚化与实化

对于那些没有经过匿名化处理的消费者基因信息，检测公司要进行处理就落入《个人信息保护法》的规制范围之内。根据该法第13条第1款第1项的规定，获得信息主体的同意是个人信息处理的首要正当性基础。(31)参见程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第118页。基于这一规则，基因检测公司通过获得消费者的同意，实现基因信息的收集、存储、利用和共享等目标。从形式上看，检测公司遵循了法律的要求，但是从实际效果看，知情同意则有空洞化之嫌。在不充分的告知下，消费者往往并不透彻知晓自己的基因信息将被如何利用，特别是不知晓自己的基因信息可能会被出售或者用于其他营利目的，由此所作出的同意决定可能不是消费者内心真意的表达而形同虚设。(32)See Brennan Canuteson，The Risks of Relying on Direct-to-Consumer Genetic Testing Service Agreements to Protect Genetic Information，5 The Business，Entrepreneurship &Tax Law Review 35(2021).如何使同意规则在消费性基因检测中发挥实效，是亟待解决的问题。

(一)消费者基因信息处理中同意作用的虚化

同意规则在消费性基因检测中有着十分广泛的应用。所有的检测公司都会在隐私政策或者用户协议中加入有关同意的格式条款，承诺未经消费者同意不会擅自处理其个人基因信息。例如，微基因公司的《隐私保护政策》规定：“我们不会将您的个人信息转让给任何公司、组织和个人，但以下情况除外：1.事先获得您明确的同意或授权……”(33)微基因公司《隐私保护政策》，载https：//www.wegene.com/page/privacy，最后访问时间：2023年9月12日。各色基因公司的《服务协议》规定：“各色科技未经您的同意或者由于特殊法律要求，不会将您的个人信息泄露给第三方；……”(34)各色基因公司《用户协议》，载https：//www.gesedna.com/service-agreement/，最后访问时间：2023年9月12日。23魔方的《隐私政策》也规定：“我们不会向第三方分享您的个人信息，但以下情况除外：a)在获取明确同意的情况下共享：获得您的明确同意后，我们会与其他方共享您的个人信息。”(35)前引〔24〕。这些同意条款表面上看是为了保护消费者的个人信息自决权，但从实质上看则是使基因检测公司的信息处理行为获得阻却违法的“洗白”效应。

在大数据背景下，被寄予厚望的知情同意规则陷入重重困境。海量场景下高频次的个人信息处理，冗长的隐私政策，使消费者疲于招架，不同意就不能获得服务和便利，同意常常空洞化为不假思索的麻木点击。(36)参见田野：《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》，载《法制与社会发展》2018年第6期。这一困境在消费性基因检测场景下表现得尤为突出。检测公司基于自身获取信息便利的需要精心设计了同意条款，消费者很少特别关注到这些条款，不透彻了解个人基因信息处理背后可能涉及的利益和风险，同意徒具躯壳。(37)参见前引〔32〕，Brennan Canuteson文。多方面的因素促成了这一困境。第一，在形式上，同意条款被“埋藏”于检测公司的隐私政策或与用户签订的服务协议中，不够引人注目。我国普通消费者的个人信息保护权利意识本就比较薄弱，对于隐藏在冗长政策或协议条款中的同意条款，很少给予特别的关注。第二，检测公司营造一种利他主义的氛围，使消费者沉浸其中。检测公司常常向消费者宣称，获取和利用基因信息是为了推动科学研究，用于找到攻克人类疾病的先进方法或者研发新的药物，以更好地为消费者乃至提升全人类健康水平服务，而消费者通过个人基因信息处理的同意授权为此作出了积极贡献。第三，检测公司的告知义务履行不充分，特别是刻意回避可能将消费者的基因信息有偿销售给第三方或者用于其他营利目的这一关键因素。大多数检测公司的同意条款通常只是笼统地表述为公司可能为了科学研究等目的而与第三方分享消费者的基因信息，却不挑明公司可能从消费者基因信息处理中获得巨大的经济利益。这与消费者的利他情结是相悖的，如果消费者得知自己无偿贡献的基因信息却被检测公司拿去赚钱，可能不会作出同意，但不了解检测公司商业模式的消费者没有机会作出这样的理性决定。美国的一项调查报告显示，40%左右的消费者不了解检测公司基因信息销售商业模式的存在。(38)See Aviad E.Raz et al.，Transparency，Consent and Trust in the Use of Customers’ Data by an Online Genetic Testing Company：An Exploratory Survey Among 23andme Users，39 New Genetics and Society 459(2020).充分知情是有效同意的前提，若知情不充分，则同意不自由。在检测公司的“攻略”下，大多数消费者都会顺从，签署协议也就意味着作出个人基因信息处理的同意授权。以行业巨头23andMe为例，约80%的消费者都会选择同意公司为研究等目的对个人基因信息的处理。现实的效果是，消费者一方面向检测公司付费，另一方面其向公司免费提供的个人基因信息被出售，公司获得两份利润。有观点尖锐地指出，这是伪装成同意的剥削。(39)See Reinaldo Franqui Machin，Stop Looking at my Genes！：Direct-To-Consumer Genetic Testing and the Illusion of Privacy and Consent，61 Revista de Derecho Puertorriqueno 233(2022).

(二)消费者基因信息处理中同意的“实化”

同意作用的虚化使保护消费者基因信息的一道重要关卡失守。如何摆脱这一困境，使同意得以真正发挥实效，值得更深入地思考。尽管对个人赋权的保护路径在学界受到不少质疑，批判的观点认为个人没有能力通过自我决定权保护自己，(40)参见任龙龙：《论同意不是个人信息处理的正当性基础》，载《政治与法律》2016年第1期。但不可否认的是同意仍位列《个人信息保护法》第13条规定的个人信息处理的正当性基础之首。(41)参见石佳友：《个人信息保护的私法维度——兼论〈民法典〉与〈个人信息保护法〉的关系》，载《比较法研究》2021年第5期。面对基因检测中的同意虚化，出路不应当是放弃同意，而是通过有效的方法使同意由虚转实。在笔者看来，可大体从同意的形式和内容两个方面着手来实现同意的实化。

1.消费者基因信息处理的“单独同意”

在个人信息保护法上同意具有层次性，对基因信息这样高度敏感的个人信息，应当实行更加严格的同意规则。(42)参见王利明：《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》，载《当代法学》2022年第1期。《个人信息保护法》第29条规定：“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”基因信息作为典型的敏感个人信息，根据该条规定应当适用“单独同意”规则。

单独同意是比一般同意要求更高的特殊同意类型。立法设置单独同意的旨意在于，鉴于特殊的个人信息处理活动的重大性和高风险性，以格外明显的方式提醒信息主体给予特别关注，审慎地作出决定。(43)参见前引〔22〕，张新宝主编书，第245-246页。“单独同意的要求本质上就是法律强制地要求个人信息处理者将个人针对某类处理活动作出的同意与对其他的处理活动作出的同意区分、凸显出来。”(44)程啸：《论个人信息处理中的个人同意》，载《环球法律评论》2021年第6期，第54页。将敏感个人信息与一般个人信息相混杂，或者对未来各种不确定的信息处理行为作笼统的一揽子同意，是单独同意重点应对的两个突出问题。

从消费性基因检测的实践来看，很多公司的做法实际上违反了单独同意的法律规定。一方面，绝大多数检测公司都没有置备专门针对消费者基因信息处理的知情同意书，而是将同意条款混杂在隐私政策或者服务协议中。消费者的隐私不限于基因信息，还包括姓名、地址、电话号码等其他隐私信息，服务协议则是关于检测机构与消费者之间权利义务的完整约定，包含各种各样的条款，将基因信息处理的同意条款混杂在这些条款中，起到了掩护和淡化的效应，不利于引起消费者的注意和重视。另一方面，大多数检测公司对基因信息处理的同意条款都规定得十分含糊，常笼统地表述为基因信息可能被用于开展科学研究，或者是与第三方共享，至于用于何种研究、与谁共享等细节则言之不详。这样的一揽子同意条款为检测公司一方预留了极大的自由空间，却使消费者因一次不经意的同意就丧失了对个人基因信息的全面控制。这种状况应当得到改观。

要摆脱同意虚化的困境，就必须在消费性基因检测中真正贯彻单独同意的要求。首先，对消费者个人基因信息的处理必须采取独立的形式，不能与其他信息混杂在一起。在隐私政策或服务协议中加入同意条款的方式不符合这一要求，公司应当针对基因信息处理设计专门的知情同意书，具体形式可以是纸质书面的，也可以采取弹窗、界面、提示条、提示音等电子交互的方式。总之，要通过与其他一般信息的区分以足够明显的方式引起消费者的重视。其次，对消费者个人基因信息处理的目的必须予以特定，不能采取一揽子的概括同意。诸如“您同意对您的基因信息进行数据挖掘和相关科学研究”这样门户大开式的同意条款不符合单独同意的要求。数据挖掘活动到底指什么，相关研究是何种研究，如果在信息收集阶段尚无法确定，那么在该活动或研究实际展开时应当征得消费者单独同意。最后，需特别关注的是，对消费者基因信息的共享应当获得单独同意。《个人信息保护法》第23条规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。”该条特别强调了信息共享的单独同意。根据这一规定，基因检测公司必须针对基因信息共享这一处理环节设置专门的同意程序，不能含糊地表述为“您同意对您基因信息的共享”，应当向消费者提供生物科技公司、药品企业、研究机构等信息共享第三方的详细联络信息，以及基因信息处理的目的、方式等等。

2.同意的透明度：对利用消费者基因信息牟利动机的披露

充分知情是有效同意的关键要素，这有赖于基因检测公司告知义务的适当履行。在既往的实践中，检测公司努力塑造利用消费者基因信息开展科学研究以增进人类健康福祉的高尚形象，使消费者作为样本捐献者而产生自豪感，却刻意回避和掩饰公司从中牟利的动机。(45)See Gauri Prabhakar，To Gene or Not to Gene：Genetic Privacy Implications in the Age of Big Data，8 Public Interest Law Journal of New Zealand 60(2021).问题的关键不在于公司是否牟利，从发展生物经济的战略高度看，牟利无可厚非，关键在于透明度，检测公司应当将其可能从基因信息处理中获取经济利益这一点开诚布公地披露给消费者，使其充分知情。因此，同意条款不应是迷惑性地表述为“公司可能将您的基因信息与其他合作者共享”，而应是“公司可能从您的基因信息共享中获得经济利益”。(46)参见前引〔39〕，Reinaldo Franqui Machin文。基因信息处理背后的利益，是影响同意决定的重要因素，因此是告知义务重点披露的对象。一部分消费者在得知公司的牟利动机之后，可能会拒绝授予同意，但有一部分消费者可能仍旧愿意作出同意决定。无论同意或者不同意，都是消费者在充分知情并权衡利弊之后的内心真意表达。消费者究竟是对什么作出同意，应该明明白白。透明度是同意正当性的保证。

五、结 论

消费性基因检测逐渐发展成为一个新兴产业，以高度自由的纯市场化方式使消费者获取自身的生命密码。检测公司一方面收取检测服务的对价，另一方面还从消费者基因信息的商业利用中牟利。基因信息是一种极为特殊和重要的敏感个人信息，基因检测的商业化将消费者个人基因信息置于险境。提升消费性基因检测中个人基因信息的处理质量是当务之急，完善基因检测及基因信息处理的科学标准是质量提升的重要手段。鉴于基因信息本身的强识别能力，对匿名化豁免规则的适用应加以限制，一是实行较严格的匿名化认定标准，二是使检测公司及其他共享消费者基因信息的第三方负担持续的动态风险评估义务。应严格贯彻《个人信息保护法》第29条“单独同意”的规定，对消费者基因信息处理的同意应区别于其他一般的个人信息处理，不能隐没在冗长的隐私政策或服务协议中。同意正当性所赖以建立的知情应当是充分的，检测公司应当坦诚地向消费者告知可能通过与第三方共享其基因信息获利，而不应是刻意隐藏营利动机和商业模式。

当下，对消费者的个人基因信息保护只能仰赖对《中华人民共和国民法典》(以下简称《民法典》)和《个人信息保护法》一般性条款的解释。展望未来，加强对个人基因信息保护的特别立法是长远之计。纵观全球，很多国家都有这方面的特别立法，大概有以下几种模式：(1)在民法典中加入个人基因信息保护特别条款。采取这种模式的典型国家是法国，在1994年和2004年的修订中，《法国民法典》加入了大量关于基因权保护的条文。(47)参见王康：《基因权的私法规范》，中国法制出版社2014年版，第180-181页。(2)在个人信息保护一般法中将基因信息作为敏感个人信息加以特别保护。欧盟《通用数据保护条例》就采取了这种模式，许多欧洲国家都采此模式。(3)制定专门的基因信息保护法。例如，美国就出台了《基因信息反歧视法》。(4)针对特定场景的特别立法。例如，德国针对基因检测制定了专门的《人体基因检测法》。以上模式按照立法特别化的程度是逐步深入的。相比之下，我国个人基因信息特别保护立法则十分滞后，无论《民法典》还是《个人信息保护法》都没有任何条文提及基因信息的概念，更别提专门的基因信息保护法。鉴于个人基因信息的极端重要性和特殊性，特别立法具有充分的正当性，应被适时纳入立法规划。(48)参见郭少飞：《论个人信息法律体系下的基因信息保护》，载《暨南学报(哲学社会科学版)》2023年第5期。基因信息特别立法应当以场景化为重要的规范进路，消费性基因检测作为一个有广泛实践基础的特殊场景应当得到重点关注。进而，在未来时机成熟时还可考虑制定专门的消费性基因检测特别法。