大数据共享背景下的隐私权保护
——以生物银行为视角

田 野，刘慧玉

在当今的时代大数据成为一个不折不扣的热门词汇。大数据在给科学发展带来利好的同时也带来了一系列问题与挑战，特别是如何平衡数据共享与个人隐私保护之间的关系，生物银行则是反映该种矛盾关系的典型情境。自2003年4月人类基因组测序国际联盟宣布人类基因组草图绘制成功以来，生命科技研究逐渐进入大科学、大工程和大数据的研究模式。在这种研究模式下，科学家们开始从只看重因果关系，转向关注相关关系。[注]伍春艳、焦洪涛、范建得：《人类遗传数据的开放共享抑或知识产权保护》,载《知识产权》2014年第1期。生物银行作为海量生物样本与信息的存储库，是开展此类大数据、大科学研究的基础性平台。生物银行大数据是由众多捐献者的个人信息汇集而成，数据共享就是要使这些信息以便利的方式为公众(特别是科学研究者)所知、所用，这就不可避免地对个人隐私构成威胁。这是科学技术发展给法律带来的挑战。正如托夫勒在《未来的冲击》一书中所说：“日益加快的医学科技发展,引发了诸多令人吃惊的哲学、政治、伦理和法律问题,使我不得不改变目前的思维方式。”[注]阿尔文·托夫勒：《未来的冲击》,蔡伸章译，北京中信出版社2006年版,第89页。目前我国一方面将发展生物银行摆上战略高度，另一方面则在不断加大个人信息的保护力度。《“十三五”生物产业发展规划》中明确指出：“建设生物资源样本库、生物信息数据库和生物资源信息一体化体系，建设具有重要产业应用价值及科研前瞻性的国家精品样本库和实时全景生命数据库，……建立全球联盟体系，逐步实现与国际权威数据库的数据交换与共享。”推动生物银行建设及其数据共享的国家决心明白直接。对个人信息保护的提升则以不久前颁布的《民法总则》为最强音，其中第111条明确规定了对个人信息的特别保护。基因信息作为个人信息中私密性、敏感性最高的信息尤为值得关注和保护。既要数据共享，又要保护隐私，二者是鱼与熊掌只能取其一抑或是可以兼得？最理想的局面当是数据共享与隐私保护的双赢，然而，这样的目标说起来容易做起来难。借助怎样的法律路径才能实现二者的最佳平衡，是目前面临的重大挑战。进而，透过生物银行背景下的数据共享与隐私保护关系之协调这一点，对于更广阔领域内的数据共享与个人隐私保护问题的解决都具有重要启示意义。

一、 生物银行数据共享：全球发展与立法因应

所谓“生物银行”，又称为生物资料库或生物样本库，是指储存人类生物样本及其由此产生的各种信息的资料库。生物银行数据共享是指按既定协议将生物银行的生物样本与样本信息的使用权或知情权与其他生物银行或研究者共同拥有或使用。共享主要分为三类：生物样本实体共享、生物样本信息共享以及生物样本实体与信息共享。目前国内外已经广泛接受数据共享的理念，实现生物银行数据共享具有重要的现实意义。通过生物银行数据共享有助于加快攻克医学难题，实现基础研究向临床医学的转化。同时也有利于各研究机构或研究者之间加强交流，提升科研的整体品质。生物样本(包括实体与信息)是开展生命科学研究的基础，其重要性不言而喻，但实践中常常出现这样的问题：具有收集样本能力的单位不一定具备高科研能力，而具有高科研能力的机构又苦于样本稀少，生物银行数据共享恰好利于合理配置样本资源和科研力量，这是生物银行样本及数据开放共享在国内外快速发展并逐步获得立法认可的关键原因。

在国外，生物银行数据共享持续发展，围绕共享的法律规范也日益完善。全球生物技术的领跑者美国，其生物银行建设成就显著，截止到2012年，美国已建立630多个生物库，其中大多数生物库表示与其他卫生保健或研究机构有合作关系。[注]G.E.Henderson et al.Characterizing Biobank Organizations in the U.S.：Results from a National Survey，Genome Medicine 5, 2013, 3(1) ：pp.2—11.在欧洲，据2011年有关生物库的一项调查结果表明，欧洲50%以上的生物库从事定期的国际数据和样本共享，而且自调查以来，这一百分比仍在持续增加。[注]E.Zika et al.A European Survey on Biobanks：Trends and Issues，Public Health Genomics 14, 2011, 2(1)：pp.96—103.这些数据表明国外绝大部分生物银行已进入共享实践阶段，它们不再是独立的实体，而是和其他生物银行开展合作研究。例如，美国合作人体组织网络(Cooperative Human Tissue Network, CHTN)、英国生物样本库(UK bio—bank)，以及泛欧洲生物样本库与生物分子资源研究平台(Biobanking and Biomolecular Resources Research Infrastructure, BBMRI)都是比较大的生物银行数据共享组织。数据共享的实践发展推动了各国立法，规则日渐确定。挪威的《健康研究法》对个人数据共享进行了明确规范，[注]参见挪威《健康研究法》(医疗保健研究法)第37条。韩国2012年通过的《生物伦理与生物安全法》修正案则允许本国“非银行”存储库和生物银行[注]韩国根据研究人员及设备的配备情况的不同以及是否经过政府的正式批准将生物样本库分为“非银行”存储库和生物银行两种。生物银行的设立需要经过政府批准，满足一定的人员设备条件。以及研究者开展国际合作，同外国研究者共享数据，并尝试建立规则来保护生物银行数据共享过程中敏感的个人信息。[注]Won Bok, Lee.Biobank Regulation in South Korea，The Journal of Law, Medicine & Ethics, 2016, 44(1) ：pp.344.生物银行数据共享所具有的积极价值逐渐获得相关国家的立法认可。

近些年生物银行建设在我国同样获得长足进步，基于生物银行的数据共享也如火如荼发展。从20世纪70年代起，我国一些医院已经开始收集疾病样本。自此以后，我国陆陆续续建立了一些细胞库、肿瘤组织库、样本资源库等。2010年北京重大疾病临床数据和样本资源库成立，2011年国家基因库成立。此外由国家基因库主导发起的E—BioBank信息共享平台，于2014年8月24日正式对外开放，2015年7月23日平台“样本库目录”模块全新上线。目前该平台已整合人类、动物、植物、微生物等样本资源55.6万份，共享科研项目信息10余项，分享行业技术性文件400余份，与100多家单位建立联盟合作关系。[注]参见国家基因库资源信息共享平台网站。在生物银行于实践层面获得繁荣的同时，相关的法律规范与政策也处于逐步完善的进程当中。生物样本及其信息对于一国而言是一种重要的遗传资源，早在1998年科技部就制定了《人类遗传资源管理暂行办法》对其加以保护和规范。该《办法》允许在人类遗传资源领域开展国际合作——以获得有关部门批准为前提，实际上间接承认了生物样本及数据信息在国际间共享的可能。不过这部法律规范的侧重点却并不在于促进数据共享，而是限制生物样本等遗传资源的跨境流动，防止我国的遗传资源被国外攫取。2016年，国家卫计委颁布《涉及人的生物医学研究伦理审查办法》，其中对于生物样本及信息的使用做了更细致的规范，特别是关于知情同意原则的多个条文，从一定意义上讲是对数据共享的条件限制。总体而言，我国立法对于生物银行的数据共享，尚没有给出特别明确具体的规则指引，哪些数据可以共享？共享的条件到底是什么？程序机制如何？都尚不明朗，有待于未来的立法予以改进。

二、 大数据共享时代隐私权保护危机

生物银行作为大规模的人类样本存储库，资源的共享性是其一个典型特征，或者直白地说生物银行存在的价值就在于共享。生物银行数据共享是生物医学领域极力倡导的，其快速发展的同时面临着特殊的困境，突出表现为生物银行具备的共享性、开放性与个人信息私密性之间的矛盾，这实质上是个人人格尊严和科学发展利益之间的冲突。在生物大数据蓬勃发展的当下，缓和两者之间的冲突关系就在于化解共享过程中带来的隐私权保护危机，通过合理的权利保护制度兼顾共享与隐私权保护。数据共享背景下的隐私保护危机，在很大程度上是由生物银行、基因隐私的特殊性造成的。

(一)样本数据隐私特殊性致保护难度加大

生物银行背景下的隐私权与传统隐私权存在明显区别，传统隐私权重在保护私人领域以及个人私事不受他人侵扰，在其受侵害之时或之后才要求公权力机关介入保护，往往表现为一种消极性的权利。[注]张建文：《基因隐私权的民法保护》,载《河北法学》2010年第1期。而生物银行背景下的隐私权，则以样本以及样本所承载的个人信息为保护对象，在保护方法上往往表现为要求公权力机关或公共机构预先提示隐私风险并主动提供保护举措。

在生物银行背景下，样本和样本信息是隐私权保护的对象，或者更精确地说主要的保护对象是样本信息。对样本进行隐私保护是因为样本承载着指向特定个人的数据信息，科研机构使用样本也是为了获取样本中蕴含的数据信息。生物样本中包含的个人数据信息也就是基因信息，与之相对的隐私权则是基因隐私权。个人信息是一个具有高度涵摄性的概念，其下包含各种类型的信息，在众多个人信息的子类型当中基因信息具有特殊的重要性，故有必要受到法律的特别关照。基因信息的特别之处突出体现为高度的私密性、敏感性与家族关联性。基因是生命的密码，在所有个人信息中，基因信息具有最高的私密等级和敏感系数。再者基因揭示的不仅是个人的信息，基于其遗传特质也揭示了家庭、家族的信息。在研究以及共享过程中，样本提供者若携带某种致病基因或缺陷基因，一旦被泄露将会给个体带来致命的打击，甚至会对其整个家族以及后代人造成不可弥补的伤害。基因隐私的侵害可能导致严重的社会不良后果，使缺陷基因携带者在升学、就业、参加医疗保险、婚姻，甚至是社会交际方面遭受歧视性对待。上述特殊性使个人基因信息隐私获得重点保护具有充分正当性。

样本数据信息的特殊性，就权利内容来讲更加强调个人对样本及其数据信息使用的知情权和自我控制权，带有强烈积极权利的色彩。就具体的保护机制而言，知情同意被认为是可以使样本提供者最大限度地实现隐私权和自决权的最有效方式。[注]Hendriks, Aart C.& van Hellemondt, Rachèl E.Regulating Privacy and Biobanks in the Netherlands,The Journal of Law, Medicine & Ethics,2016, 44(1)：pp.81—82.基于样本及其所包含基因信息的高度人格属性，在针对生物银行样本开展科学研究之前，必须经过本人明确同意(未成年人等无、限制民事行为能力人要经过其监护人的明确同意)才可以公开使用该信息。而个人一旦同意公开，其个人信息便不再具有私密性,但对于生物样本数据信息而言因其关涉个人隐私的核心领域，具有高度敏感性，即便被公开仍有持续保护之必要。例如，2012年欧盟《个人数据保护条例》中就适应现代生物科技的发展水平，将基因信息列入特殊类型的数据之中，给予特殊的保护。[注]General Data Protection Regulation,Artice 9.此时，对于样本数据信息私密性保护更多的转变为对个人信息自主权的保护。事实上隐私权与个人信息权的边界问题一直是民法学界关注的焦点，二者存在一定的交叉重叠，尚未公开的个人信息同时构成隐私；对于一般的个人信息一旦公开即不具备保护之必要，而针对生物样本数据信息一旦被公开，即便其相对于共享数据的利用者而言已不再是私密的个人信息，但仍有保护之必要——以个人自主为中心。无论是生物样本数据隐私权还是独立的个人信息权，自主都是核心的价值，知情同意是其共通的核心保护机制。

生物银行架构下隐私权的特殊性还表现为持续保护之必要。样本和数据处于采集、使用、研究共享等不同阶段，应该注重提供动态持续的隐私保护。处于共享阶段的隐私保护更为特殊，个人样本数据信息作为个人信息中具有高度私密性、伦理性的内容，在进入开放共享之前，必须要征得样本提供者的明确同意。一旦个人样本及其数据信息进入共享阶段，说明个人样本及其数据信息将会在更广泛的范围内被应用于科学研究，此时研究项目的不确定性增高，个人数据信息隐私保护的程度也应随之加强，此时加强对个人样本数据信息的隐私保护应体现为赋予提供者更强的信息自决权，使样本提供者享有随时撤回个人信息以及选择退出的权利。

(二)样本信息海量性造成的困境

生物银行的出现使大数据研究成为可能，早期对生物样本的收集和存储是通过手工作坊的方法实现的，数量和种类十分有限，并不能满足科学研究的需要。生物银行的建立使这一状况明显改观，生物银行内丰富的样本资源为科学研究的开展提供了坚实的基础，但是，海量化的样本资源同样也给科学研究特别是隐私保护带来了新的难题。

在样本的收集之初就要做大量的登记、整理、保存等工作，对海量化的样本进行日常的管理和维护，进行编码或匿名化确保其数据隐私不被泄露也是一项非常复杂的工作。[注]Motta—Murguia, Lourdes & Saruwatari—Zavala, Garbi?e.Mexican Regulation of Biobanks,The Journal of Law, Medicine & Ethics, 2016, 44(1)：pp.63.而在日后真正共享使用时，确定访问样本及数据的标准规则、完成样本数据的现实转移交付都将成为必须克服的障碍。比如，CTRN(加拿大的组织库网络)[注]CTRN是一家非营利性的省级肿瘤库，致力于更好地了解癌症的预防和早期检测以及改善药物反应的预测和新药物靶点的鉴定。“物质释放政策”第6.1.2条指出访问应该是经过编码的组织样本和相关数据。而且根据生物银行和研究人员之间的合同协议指南，进一步指出生物银行对样本和个人数据信息承担隐私保护的责任，包括为研究目的转移给第三方的信息，并规定生物银行应使用合同手段确保在第三方使用样本或信息时提供类似水平的保护，这说明在共享样本和数据信息时不仅要求生物银行自身具备隐私保护能力，还要确保第三方具备同等的保护海量化数据隐私不被泄露的能力。[注]Saulnier, Katie M & Joly, Yann.Locating Biobanks in the Canadian Privacy Maze,The Journal of Law, Medicine & Ethics,2016, 44(q)：pp.11.而且为充分地保护样本提供者的隐私权，使样本提供者对自己的样本和数据信息的使用情况处于了解和控制的状态，在使用或者共享样本以及开展新的研究前都要征得样本提供者的同意，或者至少是通知样本提供者。因此，面对海量化的样本资源，基础性的告知工作都可能繁重无比，更何况事关每一个样本提供者的个人隐私问题，可能需要和成千上万的样本提供者重新取得联系，并披露相关信息征得同意，这对研究者来说是一项很难完成的工作，而且执行起来将消耗巨大的人力、财力、物力，阻碍科学研究的开展。

海量化的样本资源是生物银行在开展科学研究方面具有的无可比拟的优势，但是它显然提高了隐私保护的难度，这种优势可能会转变为一大劣势。前文已经论述在生物银行背景下对样本以及个人数据隐私权的保护更多的是要尊重样本提供者的个人信息自主权，因而面对海量化的样本以及数据采取恰当的知情同意模式是破解这一难题的关键，在科学研究中既要做到充分尊重和保护样本提供者的数据隐私，又不耗费过高的科研力量，这不仅仅是一个法律问题，还是一个技术问题，需要强大的科学技术做支撑。此外，在共享时确定访问样本和数据的合理标准与政策，是进行隐私权保护的重要内容。

综上所述，在生物银行的独特背景下，隐私权保护具有特殊的重要性，同时面临特别的挑战。生物银行数据共享与个人隐私权保护之间存在矛盾，但并非不可调和，关键在于找到调和二者的手段。首先需要明确的一个底线是，当数据共享与隐私权保护的冲突激化而必须作出取舍时，要优先尊重和保护个人隐私权。《世界生物伦理与人权宣言》明确指出“个人利益和福祉高于单纯的科学利益和社会利益”，《国际人类基因数据宣言》也确立了“个人利益优先原则”。因此，平衡生物银行数据共享与隐私保护的关系，核心关键在于化解共享过程中的隐私危机，提供尊重和保护个人隐私权的机制和特别措施。

三、知情同意作为隐私权保护的核心：困境与出路

基于共享样本数据信息的特殊性，其隐私保护更多的是强调个人对信息的知情和控制，因此，知情同意原则在生物银行数据共享过程中对于隐私保护发挥着举足轻重的作用。在我国，随着生物样本库的逐渐建立与发展，样本数据信息的隐私保护问题日益突出，我国隐私权立法还比较滞后，面对生物银行背景下隐私权保护的特殊性以及样本数据的海量性，我国现行的知情同意模式在保护隐私上存在一定的不适应性。在我国知情同意模式弊端逐渐暴露的当下，参详国外经验进而革新我国生物银行知情同意模式，对于实现信息共享与隐私权保护的平衡显然具有极大的现实意义。

现阶段，我国涉及生物银行背景下隐私权保护的规定散见于1998年通过的《人类遗传资源管理暂行办法》(以下简称《暂行办法》)和2016年12月1日新修订实施的《涉及人的生物医学研究伦理审查办法》(以下简称《审查办法》)。但是由于《暂行办法》以保护和管理人类遗传资源为立法目的，其并未规定个人隐私权益保护问题。目前我国正加紧制定新的管理条例以取代实施多年的《暂行办法》，新条例征求意见稿(《人类遗传资源管理条例(送审稿)》)于2016年年初公布，该征求意见稿第4条明确指出“开展人类遗传资源采集、收集、国际合作、出境等活动必须严格遵守知情同意原则，保护提供者的合法权益”，并对违反知情同意原则以及泄露隐私的行为设置了“责令停止违法行为处以罚款，构成犯罪的追究刑事责任”的法律责任。但该征求意见稿仍然针对人类遗传资源管理展开，其中虽规定了知情同意原则并对泄露隐私的行为进行处罚，但条文内容笼统，且存在较大的变动可能，使得其在解决新型的隐私危机方面并不能发挥实质作用。而2016年新修订的《审查办法》以规范“涉及人的生物医学研究和相关技术的应用，维护人的尊严，尊重和保护人类受试者的合法权益”为立法目的。其在第18条第1款及第4款中分别规定生物医学研究要遵循知情同意原则和个人隐私安全保护原则。第四章知情同意部分的第36条第5项明确要求知情同意书中应当包括个人资料的保密范围和采取的保密措施。同时在第13条规定伦理委员会委员对于所受理的研究项目方案以及受试者信息保密的保密义务。由此可见，我国也将知情同意作为生物研究过程中保护个人信息隐私权的重要方式。《审查办法》还明确要求在四种特定情况下[注]四种情形分别是：(一)研究方案、范围、内容发生变化的；(二)利用过去用于诊断、治疗的有身份标识的样本进行研究的；(三)生物样本数据库中有身份标识的人体生物学样本或者相关临床病史资料，再次使用进行研究的；(四)研究过程中发生其他变化的。，研究者应当再次获取受试者签署的知情同意书。目前我国采取的知情同意模式，使得一旦研究项目发生变化或是未来开展新的研究都必须重新获取提供者的同意书。而在随后的第39条中，则规定了经伦理委员会审查批准后可以免除获取知情同意书的两种情形。[注]两种除外情形：一是利用可识别身份信息的人体材料或者数据进行研究，已无法找到受试者且研究项目不涉及个人隐私和商业利益的；二是生物样本捐献者已经签署了知情同意书，同意所捐献样本及相关信息可用于所有医学研究的。该除外情形将不具身份识别性的样本以及经过受试者概括同意的样本使用排除在外，意在平衡个人私密信息保护和共享科学研究之间的紧张关系。总体看来，该《审查办法》确实对于生物医学研究中的样本信息隐私保护以及知情同意做出一定的规定，但是并未考虑到生物银行的特殊性。正如前文所述，在生物银行背景下数据隐私保护呈现出持续保护的特点，且共享数据的海量性加大了持续保护的难度。因此，我国目前采用的知情同意模式难以应对生物银行背景下反复且海量获取知情同意的状况，不具实践可能性。

对于知情同意模式，目前在理论界和实务界特定同意[注]特定同意又称为狭义同意，指要求针对拟进行的每一项新的研究尽可能全面地把一切信息和潜在的风险没有遗漏地揭示给参加者。和概括同意[注]概括同意，指在个人向生物银行捐献组织样本时，做出概括宽泛的承诺，同意未来针对其样本可能进行的各种类型的研究利用。模式主张成为两种代表性观点。特定同意模式中样本提供者的同意是特定的，基本形成“一项研究一个同意”的状态。我国现阶段所采用的正是特定同意模式，其优点在于充分尊重个人自主权，对于样本提供者的保护程度最高。但是频繁地联系提供者获取同意的工作繁重异常，不利于科学研究的开展。在此情景下，概括同意一经提出便被广泛接受和应用。概括同意只设定一个大概的研究框架，并不限定具体的研究项目，只要在该框架内进行的研究不需再重新获取同意。显然概括同意是为了推动未来新的研究，避免日后重新联系每个样本提供者，同时也节省了研究者的时间和金钱成本。站在支持生物银行数据共享的角度观察，概括同意无疑是最佳的知情同意模式。但是从样本提供者个人立场出发，概括同意模式将弱化个人对样本和数据的管理与控制，不利于隐私保护。而且该模式越来越受到学者的批判，认为概括同意违背了知情同意的本质精神，对样本提供者不公，将科学发展利益凌驾于个人权利之上，必须被修正。因此传统的特定和概括同意模式均难以满足生物银行数据共享背景下的隐私保护的需要。

针对特定同意模式以及概括同意模式都不能消解科学研究与个人信息自主权之间冲突的现状，许多国家转向探索新的知情同意模式，其中芬兰所尝试的弥补上述缺陷的“动态同意”模式[注]动态同意是指基于一个个性化的数字通信接口，连接研究人员和样本提供者，个人可以管理和访问自己所有的健康数据。，对我国生物银行共享背景下的隐私保护而言具有较大借鉴价值。目前芬兰正在开发服务于医疗保健、药房、个人的国家健康信息档案系统(KanTa)，该数据库一旦投入使用，有望整合包括电子处方、药品数据库、我的电子信息、病历记录档案以及个人同意管理等内容，这样，样本提供者就可以通过访问该系统实现对于个人数据信息的管理，这将是芬兰迈向“动态同意”的关键一步。[注]Soini, Sirpa.Biobanks as a Central Part of the Finnish Growth and Genomic Strategies：How to Balance Privacy in an Innovation Ecosystem? The Journal of Law, Medicine & Ethics, 2016, 44(1)：pp.29—30.芬兰的尝试为我国知情同意模式的革新提供了一个可行化思路，芬兰所倡导的“动态同意”实际上是依托现代科学技术手段连接研究人员与样本提供者，借助互联网平台页面允许样本提供者与生物银行以及管理者建立互动关系，幷使样本提供者参与决策的一种模式。在这种模式下，样本提供者与生物银行保持连续的联系，能够获得有关项目的具体信息，并得以保留授权或撤销对其样本及数据进一步共享或使用的权利。这种同意模式的优点在于既避免重新同意的繁琐程序又使样本提供者能持续灵活地控制个人信息，此时样本提供者不再处于被动参与的地位，其自主性得到有效的尊重，充分的知情权也为样本提供者控制和管理自己的样本信息奠定坚实的基础。特别是针对生物银行这种大规模的样本存储库来说，使其完成样本提供者知情同意的征集、变更以及撤回成为可能，不得不说“动态同意”是当前较为理想的一种保护隐私的知情同意模式。但是“动态同意”也存在弊端，一是在借助互联网平台实现与样本提供者沟通便捷的同时也带来信息轰炸的问题。通过互联网确实可以实时传送研究项目的相关信息以及个人样本信息的应用情况，但是大量的专业信息如不加以分类就投向样本提供者可能会适得其反，导致样本提供者在并不完全了解该信息的情况下做出草率的同意决定，这就违背了启用“动态同意”的初衷。二是“动态同意”是建立在互联网平台基础之上的，但是就现实情况来看，互联网虽然普及度很高，但并不是覆盖所有的区域且并不是所有的人都可以在网络上操作，特别是对生长在教育落后、科技不发达时期的中老年人来说应用网络是非常困难的，这样的客观障碍也不容忽视。

“动态同意”是目前比较流行的一种新型知情同意模式，但是鉴于其自身存在的弊端，也存在需要修正的地方。特别是在信息的推送上，一定要充分考虑到被推送者的信息接受能力和接受偏好，在此基础上做好向个人披露项目信息的工作，避免信息轰炸。而且，针对不能利用网络的人群可以提供其他适当的同意模式。在这方面巴西、挪威等国做出了独特的尝试，其中巴西为了平衡生物银行研究共享与个人隐私权保护之间的紧张关系，在CNS441/2011号决议中规定允许样本提供者在特定同意和广泛同意之间进行选择，一改此前采取的单一的概括同意模式。[注]Sueli Gandolfi Dallari et al.Biobanking and Privacy Law in Brazil,The journal of law, medicine & ethics, 2015, 44(1)：pp.721.挪威也采取了类似于巴西的知情同意立法模式，在其2008年颁布的《健康研究法》中给予样本提供者自由选择适用特定同意还是广泛同意的权利。巴西、挪威此举扩充了个人自主选择的权利，加强个人对私密信息的控制权，在很大程度上有利于保护隐私权，并加强了公众对生物库的信任和参与程度，对于弥补“动态同意”缺陷具有积极意义。因此，我国在革新生物银行知情同意模式的过程中允许多样化的同意模式并存，在目前看来是一种明智之举，同时也符合客观实际的要求。而且在数据共享的背景下，需要明确的一点是采取越宽泛的同意模式，生物银行要承担越严格的监管责任，这是平衡科学发展利益与隐私保护的关键，由此，除选择有利于隐私保护的知情同意模式以外，生物银行在数据共享时还要采取其他特别举措来确保样本数据提供者的隐私安全。

四、生物银行数据共享下隐私权保护的特别措施

在生物银行背景下，对隐私权进行保护除了以知情同意为基础性机制之外，尚存在一些特别的保护措施，这些特别措施与知情同意原则相辅相成，共同构建成生物银行数据共享下隐私保护的完整制度体系。在革新我国知情同意模式的同时，健全我国隐私权保护的特别措施，对于生物数据共享大背景下的隐私保护同样具有重要意义。

(一)数据加密或匿名化处理

数据加密或对数据进行匿名化处理，是生物银行领域保护隐私权最为常见的技术手段，其分为匿名化[注]匿名化又称为不可逆识别，是指生物样本一经获取，立即以密码表示，不记录或者直接去除记录的样本提供者的个人信息，因此永远无法追踪到提供样本及数据的个人。和可识别加密[注]可识别加密又称为可逆识别，是指用至少一个代码替换数据集中的个人标识符，样本以密码辨识。仅资料库的管理人知道密码，经伦理委员会书面告知同意后才可以追踪到来源。两种。其中芬兰要求生物银行提供隐私和保密规范，就是通过编码、假名化等方式来实现对样本和信息的去识别。但是我国在采用匿名化处理时，应当注意的是匿名或编码生物银行中的基因组或其他个人数据，虽起到一定程度保护隐私的作用，但对于样本提供者享有的其他自主性权利却带来一定负面影响。主要是指匿名化与编码因彻底的不可追溯到个人限制了样本提供者对个人数据的控制以及退出研究项目的自由，同时也局限了研究者将研究成果反馈给样本提供者的能力，[注]Dove, Edward S.Data Sharing, and the Drive for a Global Privacy Governance Framework, The journal of law, medicine & ethics, 2015, 44(1)：pp.679—681.因此，在采取该制度时对此缺陷应当尽量弥补，并对样本数据提供者进行详细说明，是否使用该保密措施应该充分尊重样本提供者个人的意愿。

(二)限制访问

在我国生物银行数据信息共享背景下，对生物样本与数据访问设置权限是保护隐私权的另一种重要方式。权限的划分和设置往往与共享协议以及样本提供者的知情同意相关联，一般来说，可以基于三种模型[注]开放访问允许任何人无限制地访问数据，此时需要个人对数据进行明确的知情同意才可将数据放置在公共网站上；控制性访问对访问权限的设置最为严格，要求享有访问权限的仅限于那些经过批准的研究者或是存在共享研究协议的人，并且受一定的访问期限限制；分层访问是介于开放访问与控制访问之间的一种访问方式，分层访问的权限设置是基于样本提供者的同意以及样本或数据的研究使用类型的不同而设置的，往往需要伦理委员会或是生物银行中相关部门的授权。实现对样本和数据的访问，包括开放访问、分层访问以及控制访问。三种访问方式均有可采之处，但由于开放访问对隐私保护程度最低，一般各国不采取。相比之下分层访问和限制访问在实践中应用较多，比如，美国国立卫生研究院(NIH)采取控制访问的方式，其规定访问申请需经NIH数据访问委员会批准。[注]Harrell, B Heather L & Rothstein, Mark A.Biobanking.Research and Privacy Laws in the United States, The Journal of Law, Medicine & Ethics, 2016, 44(1)：pp.108.而美国的dbGaP数据库则采取分层访问的模式，该数据库允许“基于不同的授权级别”访问单个级别的数据。其实分层访问以及控制访问的保密方式在我国生物银行共享过程中也有所体现，只是没有得到大范围的推广应用。例如，由国家基因库主导的E—Biobank信息共享平台自主制定的《生物样本数据共享平台建设与管理规范》要求对所有信息进行分级，并设置访问权限，特殊信息根据实际情况进行授权访问。[注]《生物样本数据共享平台建设与管理规范》将信息分为三级，实行分级浏览。一级信息指样本基本信息，包括样本编号、样本类型、样本来源途径、存储方式、数量、保存单位、资源分类等基本信息，这类信息完全公开共享，无需注册即可查询；二级信息指样本附属信息和生物信息分析数据，其中样本附属信息包括与样本相关的个体信息，包括诊断资料、治疗资料、图像、随访信息、家系信息、性别、民族、出生日期等，平台只展示这些信息的“有”或“无”，这类信息需进行平台注册，并通过身份核实验证后，才可查询；三级信息指样本附属信息中的病理诊断与分析资料、治疗资料、家系信息、随访信息、图像资料、知情同意书以及基因/分子信息等的具体内容，这类信息具体内容完全保密，使用这些信息的具体内容只能通过书面合作协议的形式获得。由此可见，限制访问的方式可以有效地辅助知情同意原则实现共享过程中的隐私保护，其在我国应得到推广应用。

(三)保密证书

保密证书是一种具有较大借鉴价值的别具特色的隐私权保护手段。在美国，保密证书由DHHS提前发布给涉及敏感性问题研究的研究者或研究机构，保密证书可以防止任何人在联邦或州民事、刑事、行政、立法或其他程序中披露样本提供者的姓名或其他身份特征。保密证书可以在授权生效期限内提供完全的隐私保护，而且，保密证书具有的极强保密能力可以增加样本数据提供者对生物银行等共享机构的信任，因此，建议研究者在生物银行领域获得保密证书。但是对于保密证书提供的保护存在一定限制，例如，对于无意释放受证书保护的信息的研究者可以免除责任。还应注意的是保密证书的应用范围有限，对于不可识别的数据，通常认为不适用保密证书，因为数据本身具有保密功能。但是，保密证书不限制对研究主题的披露，只需要在知情同意书上具体提及研究项目以及证书提示即可，因此，应用于生物银行背景下的隐私保护不存在特殊的障碍。

(四)“诚实经纪人”制度

“诚实经纪人”制度是指在涉及样本或数据的提供者与研究者之间指定一个独立的中间人，中间人会在样本送交研究者之前对个人信息进行加密，加密方法只有中间人可以掌握，以便及时地更新生物样本的信息和研究成果的反馈。其中中间人也被称为经纪人或代理人。在该制度中经纪人是识别样本提供者的关键，其可以与样本提供者签订委托合同，提供者委托经纪人管理生物样本和数据，经纪人具有法定的受托责任，同时又要受到伦理委员会的监管，因此在保护样本数据隐私方面诚实经纪人具有极高的注意义务。[注]Gordon, Wayne A et al.“Genetic Data Sharing and Privacy”, Published online, 2014.CHTN就是使用“诚实经纪人”制度来保护样本提供者的隐私权的。虽然，目前在共享过程中推行这一隐私保护方式的主要障碍是研究机构担心样本数据由第三方存储会使自己的样本使用权受到限制，但是这一障碍是完全可以克服的，第三方存储机构可以通过专业的业务规范来提升保存、提供样本数据及信息的能力，实现三主体的有效衔接。因此，法律关系明确的“诚实经纪人”制度应用于生物银行领域，对我国隐私保护来说具有极大的实践意义。

五、结 语

当人类社会发展步入大数据时代，数据共享成为不可逆转之趋势，如何平衡大数据共享与个人隐私保护的关系问题遂被凸显，生物银行则是管窥上述矛盾关系和寻求解决之道的最佳范例。生物银行作为生物大数据的载体，对于生物医学研究乃至国家发展都具有重大战略意义。受益于共享机制，研究者可从生物银行平台方便地获取样本和信息，科学得以飞速进步，然而隐私面临的风险亦因共享而剧增。基于生物样本及其数据信息的高度私密性、敏感性特征，生物银行背景下的隐私权呈现出不同于传统隐私权的特质，而生物银行存储样本的海量性又加大了隐私保护的难度。知情同意是既有制度架构下保护样本提供者隐私权的核心机制，在生物银行的特别情境下，知情同意的实现则遭遇特别的困境，突出表现为知情同意明确具体的要求与第三方共享者从事研究项目不确定之间的矛盾。为消弭上述紧张关系，应对知情同意模式进行革新，从过去静态、单一的知情同意转变为动态、多元的长效个性化知情同意模式。运用现代网络信息技术建立连接样本提供者和生物银行、共享研究者的信息交互平台，使知情同意得以实时更新，代表了生物银行知情同意的未来。同时还应采取保护隐私的一些特别制度设计，诸如数据加密与匿名化、访问权限限制、保密证书、诚实经纪人制度等等。

以生物银行数据共享与隐私保护之平衡为范例，折射出的更深层次问题则是大数据时代新的利益冲突格局，其实质是如何协调利用与保护、私益与公益、共享与个人自主的关系。随着大数据时代的进化，数据共享必将愈演愈烈，隐私权保护遭遇的问题将日趋复杂，法律调整面临更大的挑战。当前，人工智能的发展是一个颇值得关注的重大趋势，而人工智能的开发设计有赖于生物大数据的基础。展望未来，信息技术、生物技术与人工智能技术三重叠加，所衍生出的隐私保护议题必将更加个性化和富有挑战性。大数据时代开启了一扇大门，是通往人类幸福的大门，同时也可能是恶魔乘虚而入的大门。在发展中应特别警惕的是处理好工具理性与价值理性的关系，在挖掘利用大数据的价值时，必须坚持人类价值操守的底线。