【摘 要】 随着大数据时代的到来,个人信息的经济价值逐渐被社会广泛关注。其中患者的个人信息,不仅医院应该着重加以保护,医药公司同样也负有不可推卸的责任。目前国内对这一问题的探讨多集中于医院,恰恰忽略了具备一定的关联性却商业性更强的医药公司对患者数据的利用和保护。立法上的欠缺、公民个人维权意识淡薄,都导致此类事件屡见不鲜。未来中国立法将参考国际通行做法进行变革,医药公司应提前做好准备,规避法律风险。
【关键词】 医药公司;个人信息保护;数据控制者;被遗忘权;数据披露
为更好了解本公司药物在临床上的实际使用情况,医药公司派人前往与自己有长期合作关系的医院收集患者姓名、性别、症状、诊疗信息、用药情况等,后将这些信息进行汇总和分析,作为市场调研结果发布到公司内部网站上,指导后续的研发和经营。这样的行为看似是公司的内部经营行为,但其在收集患者相关信息时没有征得患者同意,也没有遵循相关原则加以使用,已经侵犯了患者的个人信息。
一、“个人信息”与“个人隐私”的概念辨析
关于这两个概念,目前有几种不同的“出镜”方式:在2015年《网络安全法》(草案)(以下简称《草案》)的法条表述中,这两个概念并列出现;在2013年《信息安全技术-公用及商用服务信息系统个人信息保护指南》(以下简称《保护指南》)中,“个人信息”被定义为全部或部分经过信息系统处理的数据;而在2012年欧盟新制定的《一般数据保护条例》(以下简称GDPR)中,将其定义为与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息[1];在国际社会上,美国、香港用的是“Privacy Act”,而欧洲用的则是“Data Protection Act”的概念。
对此,笔者个人认为:“个人信息”是人类进入信息时代的产物,而个人隐私是传统民法上的概念,强调对公民个人人格利益的保护。[2]在目前大数据时代背景下,“个人信息”的概念日渐受到重视。因此笔者将采用“个人信息”的概念阐述在数字经济时代中对个人信息利用与保护并重的政策。
二、立法规制现状
针对上述情况,现有的立法规制包括:2012年《关于加强网络信息保护的决定》(以下简称《保护决定》)、2013年《保护指南》、2015年《草案》)以及《刑法》(2015年)第253条之一“侵犯公民个人信息罪”。这些法条要求在收集患者个人信息时,必须本着合法、正当、必要的原则,明示一些事项,并征得其同意。后续处理和转移时也必须经过患者同意。另外对于违反规定向他人提供公民个人信息,情节严重的,还可能承担刑事责任。
实践中,类似的情况屡见不鲜,但却并没有引发大量的维权诉讼,一是因为目前公民对就这一问题的法律意识相对较为薄弱,二是立法上对此类问题的规制并没有予以充分的惩罚措施:《保护指南》单纯进行了行为规范,没有提到相应的法律责任和救济途径;《保护决定》中虽然提到救济途径和惩罚措施,但范围仅限于网络服务,且内容十分粗略。因此现阶段类似行为虽然存在法律风险,但尚未引发较为严重的法律后果。
三、未来可能产生的变化
尽管目前我国有很多规范性文件涉及到个人信息保护,但从整体来看:立法碎片化现象突出;利益衡量不清晰;相关文件位阶偏低,高位阶的规范性文件多为宣示性规定;相关行政执法部门的定位、权限等不明确……随着数字经济时代的到来,未来中国立法会日益加强对公民个人数据保护,不论是仿照欧盟将个人数据保护上升到人权高度加以规制,还是参考美国在不同行业内根据经营者的承诺进行约束,这种保护都将是切实落在每一个数据控制者身上的法律责任。《草案》的出台就是一个最好的例证。
从《草案》来看,立法者认为:目前实践中非法获取、泄露甚至倒卖个人信息的情况时有发生,已经严重损害了公民的合法权益,立法必须予以重视;在法条内容上将积极借鉴国外通行做法;当然鉴于中国目前的环境,现阶段的立法还只能停留在较为原则性的规定上,但会为未来具体规则预留接口。
那么未来中国立法将在哪些方面进行努力?这些努力又会给医药公司带来哪些新的法律风险呢?
1、明确不同角色的责任
目前在《保护指南》中,已经出现个人信息主体、个人信息管理者、个人信息获得者等不同角色的区分,而在GDPR规定下,所有法律责任的承担者是数据控制者。[3]一旦中国未来参考了这种模式,医药公司公司就会成为最终的责任承担者。
2、“被遗忘权”(“删除权”)
《保护指南》5.5条规定了删除行为,虽然借鉴了GDPR中“被遗忘权”的规定,但并没有将其上升为一种权利。如果未来立法采纳这一国际通行做法,将其规定为“被遗忘权”,那么医药公司在使用这些信息时就要另外承担一个删除的义务。
3、数据披露
《保护指南》4.1.3中规定:数据泄露以后,个人信息管理者应向主管机关和受影响的主体披露该事实。这一规定在《草案》第36条第1款中也得到体现。披露给执法机构充其量是承担相应的行政责任,但如果披露给受影响的主体,对于医药公司来说根本不现实:一方面,受影响的主体数量庞大且不确定;另一方面,一旦被公民知晓其个人信息遭到泄露,势必会引起恐慌和较为严重的社会反应,摧毁数据控制者的社会信誉,基本上等于将其“置于死地”。
4、增加公民个人的救济途径和相关监管措施
根据《草案》第42、43条,网络运营者应该建立投诉、举报机制,主管机关也应该履行监管职责,采取相应的措施阻止侵权行为。一旦建立了这样具体的规定,一方面会唤醒公民的维权意识,同时也为公民提供了切实的维权途径。
四、医药公司如何应对
1、明确角色定位
实践中,容易与数据控制者产生混淆的主要是“数据处理者”的概念。根据29条工作组意见,二者的区分可以从以下几个方面入手:谁直接面对消费者;是否存在在先指令;是否足够透明以及专业性。其实就算借助上述标准,二者的界限也是比较模糊的,因此公司应尽量让自己成为信息处理者而不是信息控制者。比如:与医院达成合作协议,由医院发出指令,收集相关药物信息。这样,直接面对消费者的是医药公司,在先指令由医院发出。这种方式具有一定的合理性:医药公司与医院本身就存在长期的合作关系,且医院收集信息在目前医患关系较为紧张的情况下已经受到众多限制,由医药公司操作更加容易进行。其实这样的方式在欧洲已经在使用:两个关联公司之间签订协议完成数据转移,不过这份协议必须使用欧盟提供的模板。
2、关注“被遗忘权”
正如上面提到的,“被遗忘权”会是医药公司未来面临的一项义务,不过其却是一个解决目前困境的非常好的方式。一般而言,病人不太愿意向陌生人提供自己的疾病信息,此时如果医药公司承诺病人自己将在多长时间内或者什么情形下删除这些信息,病人会相对减轻排斥心理。这种承诺可以通过保密条款的方式实现。保密条款是目前德国在保护个人信息上的做法。按照一般原则,意思自治只要没有违反强行法即可有效,双方的这种保密条款在现阶段立法背景下,其效力应该可以获得认可。另外在保密条款中,公司可以加入“去个人化”的内容,这样可以避免后续使用中增加的成本。
3、数据披露
正如上面提到的,向受影响的主体披露信息泄露的事实根本无法实现,因此,在未来立法中,医药公司应积极去游说。对此可以参考华为的做法:在华为2012年-2016年发布的四版《网络安全白皮书》中[4],其极力倡导行业内所有公司关注网络安全及数据保护的最新立法动态,尝试借助自己的力量,通过学界、实务界,建立与政府高层的沟通平台,影响立法者的决策,使未来立法能更贴近行业的实际情况,满足自身的利益诉求。
其实对于一些大型的医药公司,自身已经具备足够的谈判实力,完全可以通过积极游说,为本公司乃至本行业争取到更多的利益,促进立法的科学化。短期而言,医药公司可以结合国家立法的原则性规定,在自身业务实践经验的基础上,制定更为详细的适用于本行业的行为准则,通过行业统一规范来影响后续立法进程。
目前我国在患者个人信息保护方面的立法还不是很健全,部分行为规范不足以应对数字经济迅猛发展的新趋势。未来中国在这一领域的法制发展将会有很大的变动,因此医药公司应该培养应对快速变革的能力,未雨绸缪,一方面积极寻找应对之策,另一方面也可以借助自身的力量努力游说,尽可能在未来立法中体现自己的利益。
【参考文献】
[1] See General Data Protection Regulation,Article 4.
[2] 张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015.3.39.
[3] 何治乐、黄道丽.大数据环境下我国被遗忘权之立法构建—欧盟《一般数据保护条例》被遗忘权之借鉴[J].网络安全技术与应用,2014.5.172.
[4] 华为网络安全白皮书(2012-2016)共四版[EB/OL]. http://www.huawei.com/cn/cyber-security,2016-7-4.
【作者简介】
刘玉洁(1993-)女,汉族,山西大同人,华东政法大学国际法学院2015级国际法学专业硕士研究生,研究方向:国际私法.