论健康医疗大数据中的隐私信息立法保护

粟 丹

随着信息技术和计算机技术在医疗过程中的广泛应用，医疗保健行业发生了范式转变，以电子病历方式获得的临床数据大大增加。同时，伴随移动互联网及可穿戴可植入设备的推广应用，更多的健康医疗数据通过“健康+医疗”的互通融合形式得以采集、存储和关联分析，全世界医疗行业快速进入“大数据”时代，现代医疗也由传统的治病救人进入健康数据处理的颠覆医疗时代。①颠覆医疗是美国医生托普提出的概念，是指新兴技术与新商业模式在健康医疗行业的结合应用，全面颠覆了我们以往对医疗的认知结构。参见：[美]埃里克·托普：《颠覆医疗：大数据时代的个人健康革命》，张南等译，工业出版社2014年版。数据的开放与保护，自大数据概念被提出以来就相生相伴。如果说开放是要打破垄断，推动信息与数据的互联互通，通过拓展数字世界的“公共空间”来造福人类；保护则意味着在数字世界为个人留下一方“私人领地”，通过保护数据安全来维护人格尊严和数据处理的公平性。“公”与“私”的矛盾在健康医疗大数据中表现得更为突出。一方面，医疗大数据的最大价值在于交互共享；另一方面，交互共享又增加了数据泄露风险。近年来世界各国频繁爆出的个人健康信息泄露事件说明，隐私侵害不仅损害个人利益，更会动摇整个社会的信任体系。如何平衡公益与私利？如何推进数据共享与保护之间的齐头并进？这成为各国立法和司法实践中共同关注的问题。

中国自2013年以后，密集出台了多项政策来促进健康医疗大数据产业的发展。2016年《关于促进和规范健康医疗大数据应用发展的指导意见》明确指出：“到2020年，健康医疗大数据相关政策法规、安全防护、应用标准体系不断完善，适应国情的健康医疗大数据应用发展模式基本建立。”遗憾的是，中国健康医疗大数据领域的立法推进还存在明显的滞后性，目前对健康医疗信息相关的隐私利益没有设立专门立法，个人信息保护法也一直没有出台。健康医疗信息的隐私保护散见于《侵权责任法》《精神卫生法》《护士管理办法》等法律法规中的简单规定，①如中国《侵权责任法》第62条、《传染病防治法》第12条、《护士管理办法》第24条、《艾滋病防治条例》39条第二款等都作出了医疗卫生部门不得泄露患者涉及个人隐私的有关信息、资料的规定。可以说中国医疗隐私信息保护基本上处于缺位的状态。②刘士国、熊静文：《健康医疗大数据中隐私利益的群体维度》，《法学论坛》2019年第3期。法律制度的难产源于立法准备的不足，立法准备不足的原因在于信息隐私立法保护中的几个核心问题尚未澄清。如隐私信息究竟是保护个人信息还是个人隐私？其权利属性如何？其保护模式如何？其保护框架如何？等等。鉴于此，本文拟对健康医疗隐私信息保护中的几个问题逐一展开分析和论证，厘清健康医疗信息隐私的法律属性、保护框架等基本问题，以期对中国未来个人信息立法有所助益。

一、健康医疗大数据中隐私信息的出现及其特点

传统医疗活动中，患者隐私主要表现为一种物理隐私(physical privacy)，患者隐私权是指患者在医疗活动中拥有保护自身的隐私部位、病史、身体缺陷、特殊经历、遭遇等隐私，不受任何形式的外来侵犯的权利。这种隐私权除了患者的病情之外，还包括患者在就诊过程中只向医师公开的、不愿意让他人知道的个人信息、私人活动以及其他缺陷或者隐情。③奚晓明主编、最高人民法院侵权责任法研究小组编著：《中华人民共和国侵权责任法条文理解与适用》，人民法院出版社2010年版，第433页。随着信息技术在医疗行业的广泛使用，远程医疗(Telemedicine)④早在20世纪50年代末，美国就有研究人员将双向电视系统用于医疗。此后，不断有人利用通信和电子技术进行医学活动，并出现了“Telemedicine”一词，这就是远程医疗。通常远程医疗是指使用通讯设备和其他辅助技术为偏远地区的患者提供专业医疗服务。See Evan H.Dart，Heather M.Whipple，Jamie L.Pasqua，Christopher M.Furlow，(2016)Legal，Regulatory，and Ethical Issues in Telehealth Technology，Computer-Assisted and Web-Based Innovations in Psychology，Special Education，and Health，Pages，339-363.和电子病历(Electronic Medical Records)对患者隐私带来了革命性变革，患者隐私开始以信息隐私(Information privacy)的方式广泛存在于医院及其它机构部门，并贯穿了生物医学信息的全生命周期，集中存在于数据采集区、主要使用区和二次使用区三个区域。在数据采集区，信息隐私主要来源于对病人医疗信息的采集，这种采集行为可能是医疗保健机构直接对患者生理数据的采集，也可能是信息企业通过网站或者移动设备上应用程序的采集。⑤See Bradley A Malin，Khaled El Emam，and Christine M O'Keefe，Biomedical data privacy：problems，perspectives，and recent advances，J Am Med Inform Assoc.Jan-Feb.2013，(1)：2-6.在数据主要使用区，医疗信息隐私被存储、传输和应用，这些数据行为主要是由提供医疗护理或特定生物医学研究的机构做出，也包括一些专业的数据处理企业。在数据的二次使用区，信息隐私被广泛用于医疗保健服务之外的用途，⑥See c Safan，M Bloomrosen，WE Hammond，S Labkoff，S Markelfox，Toward a national framework for the secondary use of health data：an American Medical Informatics Association White Paper.Journal of the American Medical Informatics Association，2007，14(1)：1-9.包括对疾病的研究分析、公共卫生管理、卫生服务质量测评、卫生政策研究和商业应用，等等⑦李亚子、田丙磊、李艳玲等：《医疗健康信息二次利用中安全隐私保护研究》，《医学信息杂志》2014年第9期，第3页。。较之于传统的物理隐私，信息隐私呈现以下四个方面的特点：

第一，隐私信息的财产价值凸显。在大数据时代，个人健康信息被认为是最有价值的商品，尤其是健康医疗大数据的二次使用，更是对个人和社会产生了巨大的商业价值和积极影响。有学者甚至指出，健康医疗大数据的最大潜力就在于它可以组合和集成去识别的健康信息，以实现数据的二次使用。①See Isaac Cano，Akos Tenyi，Emili VelaFelip，Miralles，Perspectives on Big Data applications of health information，Current Opinion in Systems Biology，2017，(3)，36-42医疗数据的二次使用，对个体而言，可以增强个人的医疗保健体验，加强他们对有关疾病和治疗手段的认识。②See c Safan，M Bloomrosen，we Hammond，S Labkoff，S Markelfox，Toward a national framework for the secondary use of health data：an American Medical Informatics Association White Paper.Journal of the American Medical Informatics Association，2007，(1)：1-9如居家老人通过自我健康监测进行一般的疾病预防，减少去医院的繁琐；残疾人通过大数据预测来提高个人生活的独立性和安全性，等等。③See Anita L.Allen，Protecting One’s Own Privacy in a Big Data Economy，Harvard Law Review Forum，2016，Vol.130，Pg.71.对社会而言，则可以为国家的公共健康提供支持，帮助企业和科研机构有效控制研发成本，节省人力、物力和财力，满足客户的需求，④See c Safan，M Bl oomrosen，we Hammond，S Labkof f，S Markel f ox，Toward a national f ramework f or the secondary use of health data：an American Medical Informatics Association White Paper.Journal of the American Medical Informatics Association，2007，(1)：1-9实现消费者和经营者之间的精准对接。为此，西方许多国家都建立健康信息数据库来推动数据的二次使用，如美国在2006年发布的《面向国际架构的健康数据二次应用：美国医疗协会白皮书》就明确了医疗数据二次使用的重要性及具体保护方式。隐私的财产属性，对传统隐私权的人格权保护提出了新的挑战。如美国学者索洛夫教授所言，现代社会的个人隐私权所面临的威胁具有复杂性、系统性，个人在隐私管理时，常常面对卡夫卡式的困境，很难对伴之而来的相关风险进行分析和判断。⑤See Daniel J.Solove，，The Digital Technology and Privacy in the Information，New York University Press，2006，pp.47-55.

第二，不同群体的隐私保护诉求具有权重差异。医疗大数据中的数据生产者、收集者、处理者及消费者之间的复杂关系构成了一个生态系统，不同主体在信息圈内的互动形成一种相互依赖的共生关系。⑥[英]卢恰诺·弗洛里迪：《信息伦理学》，薛平译，上海译文出版社2018年版，第378页。这种关系一方面凸显出隐私保护的迫切性，另一方面也反映了不同主体之间隐私保护诉求的差异。这种差异体现为以下四类：(1)核心隐私相关者。个人是数据的生产者也是核心隐私相关者。因为个人数据具有强烈的人身属性，对主体具有高度的识别作用，是个人人格的外化反映。故个人是核心隐私相关者，其隐私相关性最为密切，强烈需要法律保护。(2)直接隐私相关者。医院、医疗科研机构、保险公司、数据企业等是数据的实际控制者也是直接隐私相关者。该类主体的范围广、利益诉求大且复杂。其中的企业包括数据收集、传输、储存、利用环节的各个企业。因为他们是数据的实际控制者且掌握先进的数据处理技术，其技术手段和企业伦理直接关系到隐私保护的实际效果。(3)重要隐私相关者。政府是重要隐私相关者。这是由政府在数字社会的职能和角色所决定的。政府在数据关系中既是数据的收集者，也是数据的使用者和监管者。政府的数据治理水平和能力直接影响到个人隐私保护和数据市场的健康发展。(4)间接隐私相关者。社会自治组织和媒体是间接隐私相关者。虽然这类主体与数据使用没有直接的关系，其隐私保护利益诉求小，权力也小，但其可以作为一种软约束力量监督政府和企业的数据行为，从而间接促进个人隐私信息保护。⑦以上四点分类参考王忠：《大数据时代个人数据隐私规制》，社会科学文献出版社2014年版，第93-94页。

第三，各国立法对隐私信息多采取场景化保护。在传统隐私理论中，隐私指向与公共领域相对的私生活领域。“隐”与“私”从字面来理解就是个人享有的隐匿、隐遁，免于公开和外来干扰的自由。⑧马特：《隐私语义考据及法律诠释》，《求索》2008年第5期。如《欧洲人权公约》第8条规定，人人有权享有使自己的私人和家庭生活、住所和通信得到尊重的权利。而到了互联网时代，由于虚拟世界和真实世界的交织、线上线下生活的同步，使得公共领域与私人领域的界限模糊，个人隐私也随之发生了公共性转变，即公共信息隐私的存在。美国学者马古利斯教授从社会心理学角度研究隐私对个人发展、群体团结及社会控制的相关性，他认为隐私是一种共同的利益、共同的社会价值及共同的社会福利。⑨Stephen T.Margulis，Privacy As a Social Issue and Behavioral Concept，Journal of Social Issues，2003，(2)243-261.隐私的社会价值表明，它在保护个人利益的同时也增进了社会公共利益。①Daniel J.Solove，“I’ ve Got Nothing to Hide”and Other Misunderstandings of Privacy，Social Science Electronic Publishing，2007，44，p.745-772.中国民法学者刘士国教授亦认为，大数据背景下的健康医疗信息发生了结构性变化，现行个体隐私保护规则几近失效，认可群体隐私利益的存在，识别隐私利益的群体维度可以作为一项有益尝试。②刘士国、熊静文：《健康医疗大数据中隐私利益的群体维度》，《法学论坛》2019年第3期。针对隐私的群体性特点，西方学者提出了隐私的场景化保护模式。1997年，美国学者尼森鲍姆教授首先提出了公共领域的隐私问题③Nissenbaum，H.Protecting Privacy in an Information Age：The Problem of Privacy in Public[J].Law and Philosophy，1998，17：559-596.，随后提出了“语境完整性”理论。在尼森鲍姆看来，现代科技的兴起改变了信息的流通方式，隐私保护并非是为隐私权或个人信息权划定一条固定的边界，相反，隐私保护应该采取场景化保护，即根据信息具体使用场景来进行规范。④Nissenbaum，H.Privacy in Context：Technology，Policy，and the Intergrity of Social Life[M].Stanford Law Books Press，2010，129-145.如今，隐私的场景化保护这一观点已经被美国、欧盟等国家(地区)采纳，其相关数据立法强调个人数据收集、使用的场景，特别是数据主体与数据实际控制者之间的关系。如美国在其《消费者隐私保护法案》中引入场景为主导的个人信息保护新机制，在国际上率先突破了既有的架构模式。欧盟的《一般数据保护条例》中增加了数据外泄通知、隐私影响评估、第三方认证等新规定，突出了场景导向、风险评估等新理念。⑤范为：《大数据时代个人信息保护的路径重构》，《环球法律评论》2016年第5期。

第四，隐私信息的技术保护在不断增强。传统隐私保护是通过法律上界定医患双方权利义务，以侵权责任作为救济手段来保护患者隐私。数字医疗时代的隐私保护除法律之外，更多是依赖隐私增强技术等手段来完成的。对此，英国信息哲学家卢恰诺·弗洛里迪教授就指出，数字信息与通信技术并不必然地侵犯信息隐私，它们也能增进并保护它。⑥[英]卢恰诺·弗洛里迪：《信息伦理学》，薛平译，上海译文出版社2018年版，第347页。如今，美国、加拿大及欧盟等国家(地区)都十分重视健康信息的隐私设计技术。⑦See D Mendelson，Legal protections for personal health information in the age of big data—a proposal for rehulatory famework，Ethics，Medicine and Public Health.2017，(3)37-55.首先，在数据收集区，隐私设计倾向于关注谁在什么时间、为了什么目的而收集健康信息，应该收集多少信息。与之相对应的隐私保护是匿名、内容限制和同意。匿名是指向数据的收集者是否知道信息的来源；内容限制是对收集信息的内容进行适当限制；同意是强调患者是否知情并同意数据收集。其次，在主要使用区，隐私保护倾向于关注数据使用者是否有权使用数据，数据的存储是否安全。隐私保护往往通过机密性和安全性来实现。机密性涉及到谁有权访问或使用这些数据；安全性则涉及如何确保数据库中的数据和传输过程中的数据不被误用或滥用。再次，在二次使用区，数据使用者和使用范围都较为广泛，其隐私保护的重点是匿名与同意。匿名是通过对个人信息进行隐藏或泛化的技术处理来保护个人隐私，减少数据的隐私泄漏风险；同意则是强调信息收集是否经个人或者群体的同意，尤其强调对特殊群体的信息收集必须经过他们同意。⑧See Bradley A Malin，Khaled El Emam，and Christine M O'Keefe，Biomedical data privacy：problems，perspectives，and recent advances，J Am Med Inform Assoc.Jan-Feb.2013，(1)：2-6.在这三个区域中存在相互作用又彼此独立的法律系统和技术系统。如二次使用区的匿名化处理是技术手段，而知情同意则是法律规定。法律保护系统是通过立法界分权利义务来实现的；技术保护系统则是通过正式隐私模式、算法、协议、语言、架构及软件技术等来实现的。⑨See Aris Gkoulalas-Divanis and Grigorios Loukides，Medical Data Privacy Handbook，Springer International Publishing Switzerland 2015，pp1-14.

二、隐私信息保护的是个人信息中的敏感信息

(一)个人隐私与个人信息的联系与区别

基于隐私信息所表现出来的异于传统隐私的新型特点，立法首先应该明确其保护的对象究竟是个人信息还是个人隐私。从现有法律法规来看，个人信息与个人隐私有着密切关联，如中国《加强网络信息保护的决定》第1条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。一方面，许多个人信息(如银行账号、手机登录密码)具有一定程度的私密性，都是个人不愿意公布的敏感信息。另一方面，从法律后果来看，侵犯个人信息往往也导致对个人隐私的侵害。此外，侵害个人信息的方式多采取披露个人信息的方式，与侵犯隐私权非常类似。①王利明：《人格权法》，(第二版)中国人民大学出版社2016年版。，

虽然“隐私”与“信息”的概念联系紧密，但并非完全等同。从文化的角度而言，隐私认识是一个极端主观化的过程，受社会文化背景和个人生活经验的制约。故人们虽然可以轻松说出自己隐私受到侵犯的例子，却难以表达隐私的确切含义，因为隐私在用法和意义上是多变的，不具有一个单一的本质特征。②美国学者索洛夫教授批评人们关于隐私的概念化研究方法，认为隐私由多个元素组成，不具有单一的本质，应基于隐私的相似性特征，采取多元的隐私概念，将隐私置于不同的问题和情景中具体考察。Daniel J.Solove，“I’ve Got Nothing to Hide”and Other Misunderstandings of Privacy，Social Science Electronic Publishing，2007，44，p.745-772.传统隐私的法律保护主要指向个人独处、亲密关系、匿名和缄默四项内容③See Westin A.Privacy and freedom.New York：Atheneum Press，1967.，具有个人自决的性质。④如美国学者弗里德认为，信息隐私权不应该局限于不让他人取得我们的信息，而应该扩张到由我们自由控制个人信息的使用和流转。See Charles Fried，Privacy(A Moral Analysis)，Yale Law Journal，1968，VOL.77：475.它体现了法律对人格尊严的保护。在计算机科学领域，数据是信息的数字化、电子化载体，是1和0表现的电磁记录。信息与数据体现为内容与形式的关系，信息是数据的内涵或内容，数据则是信息的载体或外在形式。单个的数据本身没有任何意义，当数据含有明确的内容成为信息后才能成为法律保护的对象。隐私包含了对个人数据的控制，但并非所有的个人数据都属于私人。最为典型的就是个人医疗信息，现实生活中大量个人医疗信息都必须由医院存储和使用。此外，对个人数据的控制可能取决于个人，但这并不是隐私存在的必要条件，如果这样的话，那就意味着只要个人数据处于不受本人控制的状态都属于隐私侵犯，这显然是不符合实际的。⑤如欧盟《数据条例》第6条当中，获得信息主体同意仅仅是“合法处理数据”的六种法定依据之一。可见，信息主体对个人信息所能享有的排他性是非常弱的。参见叶名怡：《个人信息的侵权法保护》，《法学研究》2018年第6期。数据的法律保护旨在保护隐私以外的价值，例如数据安全、数据质量、数据公平等，⑥Aris Gkoulalas-Divanis and Grigorios Loukides，Medical Data Privacy Handbook，Springer International Publishing Switzerland 2015，p639-678.其实质是要为个人的数据收集、存储、处理、传播及销毁等行为提供一套行为规则，最终目标是确保“数据处理过程和处理结果的公平性。⑦Aris Gkoulalas-Divanis and Grigorios Loukides，Medical Data Privacy Handbook，Springer International Publishing Switzerland 2015，p639-678.

(二)隐私信息保护的是个人敏感信息

可见，隐私与信息之间并非是包含与被包含的关系，而是一种相互交错的关系。一方面，个人信息包含了与隐私无关的信息；另一方面，个人信息也无法包含私人住所、私人生活等隐私权当中的物理隐私范围，二者之间既有重叠也有区隔。⑧王成：《个人信息民法保护的模式选择》，《中国社会科学》2019年第6期。隐私信息主要是指个人的信息处于不可访问或者访问受限的状态，以便本人能够决定是否使用、如何使用这些数据，以及了解这些数据的实际使用情况⑨Aris Gkoulalas-Divanis and Grigorios Loukides，Medical Data Privacy Handbook，Springer International Publishing Switzerland 2015，p639-678.。个人的隐私信息权也是个人的信息自决权，是指个人依照法律控制自己的个人信息并决定是否被收集和利用的权利。⑩王利明：《编纂一部网络时代的民法典》，《暨南学报》2016年第7期。不同于一般行业的数据，健康医疗大数据包括病历信息、医疗保险信息、健康日志、基因遗传、医学实验、科研数据等，是持续高增长的多态复杂数据，既包括可以互联共享的数据，也包括敏感度极高的隐私信息。并非所有个人医疗信息都属于信息隐私保护的范围，只有个人信息中的敏感信息才属于其保护范畴。敏感信息(sensitiveinformation)是指具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息，如有关性生活、基因信息、遗传信息、医疗记录、财务信息等个人信息。⑪张新宝：《从隐私到个人信息-利益再衡量的理论与制度安排》，《中国法学》2015年第3期。世界各国(地区)立法对敏感信息专门作了规定。如欧洲委员会在2012年通过的《个人数据处理的个人保护公约》第6条将“基因数据”和“可以识别个人身份的生物特征数据”归为敏感数据；2015年《美国消费者隐私保护法案》将包含面相、指纹、声音、视网膜、虹膜等在内的生物特征识别数据列为敏感个人可识别信息，2018年欧盟实施的《通用数据保护条例》明确界定“基因数据”、“生物学识别数据””和“健康相关的数据”概念，并在第9条明令禁止对以确定自然人特定身份为目的基因数据和生物特征的数据处理。中国现有法律中只是对个人信息进行了规定，如《网络安全法》第76条将个人信息界定为“指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号、个人生物识别信息等。”虽然国家法律中没有对敏感信息进行专门规定，但是在一些法规中则有关于敏感信息的分类。如《征信业管理条例》的第13条和第14条虽未采用个人一般信息与敏感信息的区分，但对其采集作差别性规定，即对个人一般信息允许经同意而采集，而对特殊信息禁止采集，隐含着对个人敏感信息的特殊保护。①胡文涛：《我国个人敏感信息界定之构想》，《中国法学》2018年第5期。

三、隐私信息应采取个人信息权保护

(一)个人信息权保护与人格权保护之争

在明确了健康医疗大数据中隐私信息保护是个人敏感信息保护之后，需要进一步探讨的是：立法应该以何种权利形态来保护健康医疗大数据中的隐私信息，是以创设新权利的形式给予保护，还是在现有人格权法律框架范围内进行保护。学界对这一问题尚存在不同看法。以王利明教授为代表的观点认为，应该在人格权中明确个人信息权的独立权利地位。②王利明：《论个人信息权的法律保护：以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期。杨立新教授更是从立法的角度进一步指出，中国《民法总则》第111条就是对个人信息权的明确。③杨立新：《个人信息：法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》，《法学论坛》2018年第1期。王成教授则从个人信息的法益保护与人格权保护的局限性指出，将个人信息作为法益保护，不仅无法回答中国法中的“合法利益”，也难以满足中国个人信息保护的实际需要。同时个人信息作为人格权的客体，无论被定位为具体人格权的客体还是一般人格权的客体，其本质还是属于间接的保护，这种保护既无法调整个人信息保护中的复杂利益关系，也不能给人们的行为提供确定性指导。④王成：《个人信息民法保护的模式选择》，《中国社会科学》2019年第6期。个人信息权应该是一项独立的人格权，以人格利益为客体，具有特定的支配对象，且具有特定的权利内容，不宜为其他人格权所涵盖。其作为一项独立的人格权，权利人享有信息控制权、信息利用权、信息知情权、信息收益权及信息完整权和安全维护请求权。⑤王利明：《人格权法》，中国人民大学出版社2016年版。

持相反观点的学者则从以下三个方面提出：首先，从个人信息的范围来看，个人信息的范围无法准确划定，其功能又与一般人格权发生部门重合，因此，个人信息权利最多算是在信息自动化处理环境中对姓名、肖像、隐私等人格利益的特别保护，不构成一种新的具体人格权。⑥刘召成：《论具体人格权的生成》，《法学》2016年第3期。其次，从个人信息的法律属性来看，个人信息属于具体人格权范畴。⑦叶名怡：《论个人信息权的基本范畴》，《清华法学》2018年第5期。个人信息的发展史与近代以来民法人格权的发展史密切相关，随着信息保护制度的日趋完善，信息权利已经发展为一种法律保护的具体人格权。⑧洪海林：《人格权理论的发展与个人信息保护制度的兴起》，《中国科技法学年刊》2007年卷，第175页。中国应借鉴德国模式，采用一般人格权来保护个人信息。⑨王甜莉：《大数据背景下个人信息之权属探析》，《社会科学动态》2018年第7期。最后，从现有立法来看，从中国《民法总则》第111条和《人格权草案》第813条来看，都采用个人信息的表述，说明个人信息在中国立法中并未被规定为一项单独的明确的权利，而只是对个人信息利益的一种保护性规定。⑩陈甦主编：《民法总则评注》下册，法律出版社2017年，第787页。

(二)应采取个人信息权保护

对于隐私信息应采取创制新权利方式还是采用既有的人格权保护模式，笔者认为应该从立法理论和立法实践两个维度进行考察和论证。

在立法理论方面，首先应该论证个人信息是作为一种利益保护还是一项具体的权利保护更为恰当。雷磊教授认为，一项新兴权利的证成需要满足两方面标准：(1)概念标准，它告诉我们什么是权利，或是一项利益值得作为权利来保护的理论标准。它包括两个方面：一是利益的正当性；二是保护个人选择的重要性。(2)实证标准，它包括两个方面：一是法律体系的可容纳性，二是被实现的可能性。①雷磊：《新兴(新型)权利的证成标准》，《法学论坛》2019年第3期。除此之外，笔者认为，实证标准还应该包括法律体系的必要性，即现有法律框架内的法规范是否已经能够保护该种利益，如果现有法律体系内的法规范可以保护该种利益，就不需要再创设新权利；如果现有法律体系不足以保护的，则需要创设新权利进行专门的保护。就个人信息而言，从概念标准来看，作为大数据时代的重要资源，个人信息具有明确的概念和范围，个人对自己的信息享有相应的支配权利，具有当然的道德正当性和现实必要性。从实证标准来看，中国现有法律体系中关于个人信息的保护表现出刑先民后、公法规范有余而私法规范不足的特点。②王成：《个人信息民法保护的模式选择》，《中国社会科学》2019年第6期。私法是采取人格权的间接保护和信息利益保护的模式，公法则是通过规定网络服务提供者、网络运营者及企业在收集、使用和保存等信息处理过程中的义务来保护个人信息。③如《中华人民共和国刑法修正案(七)》《网络安全法》等。按照《立法法》第8条规定，事关民事基本制度等事项应该由全国人大制定法律加以规定。对于个人信息权而言，需要在民事基本法的框架内进行设权性规定，④刘泽刚：《欧盟个人数据保护的“后隐私权”变革》，《华东政法学院学报》2018年第4期。第26页。以此划定公共利益与个人利益的边界，为刑法和行政法提供合法性基础。

在立法实践方面，一方面需要借鉴其他国家的个人信息保护模式，另一方面也需要考虑中国的实际情况。从西方国家对个人信息的立法保护来看，比较有代表性的是欧洲以个人信息保护法为代表的统一立法模式和美国以隐私保护个人信息的分别立法模式。欧洲对于个人信息是通过赋予信息主体具体的个人数据权进行保护的，个人数据保护权最早见于2000年《欧盟基本权利宪章》，宪章第八条第一款规定，每个人都拥有保护与他(或她)有关的个人数据的权利。⑤叶名怡：《个人信息的侵权法保护》《法学研究》2018年第4期，第87页。美国将个人信息保护纳入到隐私保护的范围当中，立法通过赋予信息主体广泛的知情权、访问权和删除权，强化个体对自身信息的控制。⑥王泽鉴：《人格权的具体化及其保护范围隐私权篇中》，《比较法研究》2009年第1期，第8页。台湾学者王泽鉴教授认为，美国法上的隐私信息权和德国法上的信息自主权其实是同一个概念，只是学者们的使用习惯不同而已。⑦王成：《个人信息民法保护的模式选择》，《中国社会科学》2019年第6期。具体就医疗数据权利立法，许多国家也明确规定了个人的医疗数据权利。如美国的《健康保险便利及责任法》规定，个人有权获得、修改个人健康医疗信息；有权知晓授权单位披露、使用个人医疗信息等细节；有权取消对个人健康医疗信息使用单位的授权；有权下载和传输个人的健康医疗信息。欧盟的《一般数据通用条例》同样规定，信息主体可以访问个人的健康医疗信息，享有修改权、知情权、被遗忘权及可携带权。这些权利的规定为权利人支配自己的个人信息提供了明确的法律依据。结合国外的立法经验和中国现有的规范体系结构，笔者认为应该在民法中确立个人信息权，如此才能对个人信息提供更为完善和全面的保护。

四、隐私信息法规范体系建构应以私法保护为主

(一)域外立法模式

从比较法的经验来看，世界各国对于健康医疗隐私信息的立法保护主要有以下三种模式：(1)整体的数据隐私立法。这类立法通常是基于宪法的人权原则对个人隐私进行全面保护。如欧盟的《一般数据通用条例》、加拿大的《个人信息保护及电子文件法案》及德国的《个人资料保护法》等。(2)专门的医疗领域隐私保护立法。这类法律是专门针对医疗领域的立法。最为典型的就是美国1996年《健康保险便利及责任法》《HIPAA法案》和2009年的《经济和临床健康信息技术法》(简称《HITECH法案》)。这两部法律都是针对医疗数据管理和医疗隐私保护的专门立法。《HITECH法案》进一步扩大了《HIPAA法案》中隐私和安全保护的范围，是美国医疗信息保护的主要立法。中国台湾地区对医疗数据以特殊立法的形式予以规定。在《人体生物资料库管理条例》《医院电脑处理个人资料管理办法》等法律中对医疗数据的收集和管理进行了专门规定。(3)行业规则和自律模式。一些国家为鼓励和促进网络产业的发展，倾向于依靠网络服务者的自我约束和行业协会的社会监督来实现隐私治理。如美国早在1998年就制定了《有效保护隐私权的自律规范》，此外还有很多行业联盟发布的隐私保护准则，如《在线隐私联盟》(OPA)、个人隐私认证(Trusts和WebTrust认证)、技术保护模式(P3P软件)①李明：《美国大数据隐私保护规则》，见：http：//www.tbtmap.cn/portal/Contents/Channel_2125/2015/0402/307617/content_307617.jsf？ztid=2222。及患者隐私权组织(PPR)，等等②黛博拉·皮尔：《健康隐私的未来》，载于[美]马克·罗滕伯格等著：《无处安放的互联网隐私》，苗焱译，中国人民大学出版社2017年版，第145页。。

(二)中国应采取“公私并进，私法为主，民先刑后，统筹监管”的立法模式

前已述及，中国尚未出台个人信息保护法，更缺乏医疗信息保护的专门立法，医疗隐私保护分散在《传染病防治法》《护士管理办法》《艾滋病防治条例》等法律及行政法规当中。医疗数据立法主要集中在《人类遗传资源管理办法》《人口健康信息管理办法》《互联网诊疗管理办法(试行)》《医疗机构病历管理规定》和《电子病历基本规范(试行)》等规范性文件。个人信息的保护模式是学界争议较大的一个问题，主要表现为私法学者与公法学者对于个人信息保护模式不同看法。持私法保护观点的学者认为，一切信息均属于侵权法保护的范畴，③叶名怡：《个人信息的侵权法保护》，《法学研究》2018年第3期。持公法和社会法保护的观点则认为，大数据时代的数据控制已经由个人控制走向了社会控制，应该用公法或社会法保护模式取代传统私权保护模式。④较有代表性的观点是高富平：《个人信息保护：从个人控制到社会控制》，《法学研究》2018年第3期。吴伟光教授认为，应该放弃以私权观念来规制个人信息的立法意图，建立以公法性质为主的治理模式。见吴伟光：《大数据技术下个人信息隐私权保护论批判》，《政治与法律》2016年第7期。丁晓东教授也提出中国应该建立“消费者权益保护法+公法模式”。见丁晓东：《个人信息私法保护的困境与出路》，《法学研究》2018年第6期。另参见刘泽刚：《欧盟个人数据保护的“后隐私权”变革》，《华东政法学院学报》2018年第4期。笔者认为，大数据时代的健康医疗隐私信息保护，不但不能弱化其私权保护功能，还应该加强私权保护，其保护模式应该是“公私并进，私法为主，民先刑后，统筹监管”模式，亦如学者说的“民法——行政法+刑法”的私法与公法共同管制的法律保护格局。⑤陈希：《大数据时代公民个人信息民法保护的制度构建——兼评〈民法总则〉第111条》，《河南师范大学学报》2019年第3期。理由如下：

首先，之所以要公私并进，是因为“公法规制+私法赋权”是世界各国普遍采用的信息保护方式。⑥程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期。中国的个人信息保护，不仅需要通过民法确权来明确个人信息权利，而且需要通过公法规制来维护社会信息秩序。只有公私法齐头并进、共同作用，才能为健康医疗大数据的健康发展提供完善的法律保障。

其次，之所以强调私法为主，这不仅是由信息时代的社会环境、人的存在方式及网络交往关系所决定的，更是由民法作为权利法的内在属性所决定的。第一，民法体现了对信息化实体的关怀和尊重。卢恰诺·弗洛里迪教授认为，我们正在见证划时代的人类迁徙，从牛顿式物理空间到自成其客观世界的信息圈本身，作为结果，人类将作为信息化实体存在。⑦[英]卢恰诺·弗洛里迪：《信息伦理学》，薛平译，上海译文出版社2018年版，第23页。信息化实体同样需要社会的关怀与尊重，而民法的个人信息确权正是体现了民法对每个信息体的尊重和平等保护。第二，民法能够界分公私利益。信息社会的信息突破了时间和空间界限，它是全球性的，没有内外之分，私人的事情可能成为公共知识，隐私侵犯类型也不同于传统社会。因此，需要民法确认个人的信息权利，为个人利益与公共利益划定边界。只有明确信息所有者的权利，才能对信息占有者和使用者设定相应义务，这意味着包括政府在内的所有社会主体都有尊重个人信息的义务①王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期，第64页。。第三，民法可以为信息主体提供更为广泛的救济渠道。在《民法总则》出台之前，公民信息权利救济只有刑法一个保护途径，而民法对个人信息权利的明确，可以为权利主体提供更为广泛的救济渠道。

再次，之所以要民先刑后，这是由大数据的基本属性和刑法的保护特点所决定的。大数据被喻为21世纪的石油，是中国经济社会发展的基础性战略资源，其真正价值在于资源整合和开放共享。刑法作为后盾法和责任法，具有谦抑性特点，主要功能是制裁严重侵害个人信息和扰乱社会秩序的犯罪行为。而生活中的大部分信息侵害是大规模的小微侵害行为，如果都采取严苛的刑法制裁，将会导致信息限制甚至信息禁止，②杨芳：《德国一般人格权中的隐私保护——信息自由原则下对自决观念的限制》，《东方法学》2016年第6期，第113页。这将严重影响大数据的互联共享。如刑法学者所言，中国长期采取的刑先民后信息保护方式，是试图通过制裁“点”来保护“面”，不仅效果不佳反而弊端重重。缺乏民法提供基础性保护前提下的刑法保护势必是独木难支的。③于志刚：《公民个人信息的权利属性与刑法保护思路》，《浙江社会科学》2017年第10期，第11页。鉴于大数据的基本属性和刑法的规制特点，我们应采取“民先刑后、民紧刑松”的立法模式来平衡数据利用与保护之间的利益关系。

最后，之所以要统筹监管，是因为作为本位法的民法与作为后盾法的刑法虽然可以为信息保护提供一个宽严相济的保护框架，但现实生活中还存在大量不宜入刑、民事救济渠道有限的侵害行为。针对这些行为就需要采取行政监管的方式来进行事前规范管理。如人类遗产资源的跨境传输，中国《人类遗传资源管理暂行办法》及其配套规范就明确规定，利用人类遗传资源进行注册用药物或医疗器械临床试验，应当执行严格的行政审批程序。同时，因为医疗数据监管涉及多个部门，可以参考美国的联邦贸易委员会、欧盟的数据保护委员会及日本的个人数据保护委员会等做法，设立独立的数据保护执法机构，加大统筹监管的力度，发挥行政监管体制的作用。

五、隐私信息保护应构建综合的法律保护框架

(一)域外法律框架

健康医疗大数据来源于信息技术和生物技术的结合，其价值在于共享和使用，这种共享不仅仅是在医疗系统内部，还包括了国内其他系统共享和跨境共享。而且，随着生物医学国际合作研究范式的转变，医疗数据的跨境流动呈指数级增长，这为数据监管和个人隐私保护提出了新的挑战。故有学者提出，健康信息的数据化要求我们建立一个从国际条约到国家立法的全新的法律框架。④See D Mendelson，Legal protections for personal health information in the age of big data-a proposal for regulatory famework，Ethics，Medicine and Public Health.2017，3(1)：37-55.这个法律框架应该是一个结合了政策、伦理等规范系统的综合性法律框架。框架内容除了法律之外还包括以下几个方面：(1)采取多种政策形式来规制数据使用行为和激励数据共享。如威康信托基金(WellcomeTrust)作为英国最大的非政府科研支柱机构，其在2007年发布了数据管理与共享政策。⑤Wellcome Trust Policy on data management and sharing.2008-9-4.http：//www.wellcome.ac.uk/政策要求每个申请人需要提交数据管理计划，计划中的关键内容是数据共享的方案设计，也包含了隐私保护的内容。⑥王巧玲、钟永恒、洪江：《英国科学数据共享政策法规研究》，《图书馆杂志》2009年第10期。这个政策以最大限度地提高公共利益(即促进健康)和最小化公共伤害(即侵犯隐私利益)的方式来解决数据共享问题。⑦See Aris Gkoulalas-Divanis and Grigorios Loukides，Medical Data Privacy Handbook，Springer International Publishing Switzerland 2015，pp58-59.(2)重视行业标准规制。目前多国开展了基因组计划和精准医疗计划来获取更多的医疗信息。如美国于2015年推出了“精准医疗计划”。在美国传统立法中，虽然已经制定了关于患者隐私保护的《HIPAA法案》和《HITECH法案》，但这些法案不能适应精准医疗的发展。为推进精准医疗计划的实施并保障信息安全，美国白宫召集了包括白宫科技政策办公室、卫生部、公民权利服务办公室、美国国立卫生研究院等跨部门工作小组，共同制定了精准医疗中的《隐私与信任原则》，以此来管理医疗数据的使用行为。该原则主要包含以下几个方面：1)管理应具有包容性、协作性和适应性；2)保障向患者与公众的信息透明度；3)尊重参与者偏好；4)数据共享、访问和使用；5)数据质量和完整性。①Final PMIPrivacy and Trust Principles，https：//allofus.nih.gov/about/program-overview/precision-medicine-initiativeprivacy-and-trust-principles。(3)重视道德伦理规则对健康医疗大数据治理的作用。虽然西方很多国家专门制定了隐私立法，但基于医疗大数据中物联网、云计算、人工智能等各种新技术的应用，需要相应的技术伦理规则进行规制。如欧盟针对电子健康记录提出了六项伦理规则，分别是：隐私影响评估、清单、咨询和调查、专家专题讨论、场景及道德技术评估。这些伦理规则虽然不具有强制性，但是可以为立法者或政策制定者提供解决问题的思路和方法。以隐私影响评估为例，其主要评估项目包括：收集哪些数据、收集的目的、如何使用数据、谁将使用数据、将采取何种保护措施，等等。隐私影响评估不仅仅是一项合规检查，它还旨在识别隐私风险以及克服或最小化这些风险。②See Carlisle George Diane Whitehouse Penny Duquenoy， EHealth：Legal，Ethical and Governance Challenges，Springer-Verlag Berlin Heidelberg 2013，pp197.

(二)如何构建中国法律保护框架

国外关于健康医疗大数据中隐私信息保护的法律框架是一个国家立法与其他社会规范共同组合而成的多元法律框架。中国的法律保护框架也应该以问题为中心，建立多元复合的保护框架。这个框架的构建是一个涉及了政治、法律、文化、技术及市场等方方面面因素的系统工程，不可能一蹴而就，需要不断探索、不断优化并遵循以下四个原则：(1)原则先行再制定规则。大数据时代的个人信息管理具有复杂性和技术性，立法应法律原则先行规制，等待时机成熟再上升为法律规则。如中国国家食品药品监督总局于2017年发布了首个关于移动医疗器械的《移动医疗器械注册技术审查指导原则》，该指导原则适用于采用无创“移动计算终端”实现一项或多项医疗用途的设备和/或软件，明确了移动医疗器械的定义、类型、判定原则和注册申报资料总体要求。这个指导原则与之前已经发布的《医疗器械软件注册技术审查指导原则》《医疗器械网络安全注册技术审查指导原则》共同规范中国医疗数据的采集和使用行为。(2)标准规范先行再上升为法律。健康医疗大数据需要众多技术标准规范对技术使用进行规范。如国家标准管理委员会于2018年发布的《信息安全技术个人信息安全规范》(以下简称《规范》)。《规范》首次定义了个人信息，明示同意等概念，明确了个人信息收集、保存、使用、委托处理、共享、转让、公开披露的具体要求，还提供了“个人信息示例”、“个人敏感信息判定”、“保障个人信息主体选择同意权的方法”、“隐私政策”模版等。《规范》一经出台之后，微信、淘宝、支付宝、新浪微博等APP均参照《规范》更新了相应的《隐私保护政策》。可见，《规范》虽然属于国家推荐性标准不具有国家强制力，但实质上却指导和约束了企业的信息使用行为。③沈志君等：《《信息安全技术个人信息安全规范》及中国个人信息法律保护之现状》，http：//www.senior-rm.com/detail.aspx？ nid=22 ＆ pid=0 ＆ tid=0 ＆ id=30455。尽管技术标准不具备法律规范的外形，但它通过设定量化的数值、指标、技术规范，来直接规定技术目标和工艺流程，通过行政机关对技术标准的反复适用，以及所采取的一系列后续确保标准实施的手段，从而间接地为私人规定了权利义务，对私人产生了外部法律效果。④宋华琳：《论技术标准的法律性质——从行政法规范体系角度的定位》，《行政法学研究》2008年第3期。立法机关和行政机关应采取援引的方式，实现技术规范的法律化。⑤张圆：《论技术标准的法律效力——以〈立法法〉的法规范体系为参照》，《中国科技论坛》2018年第12期。(3)政策先行再制定法律。从一般意义而言，政策也是法律，但从立法法的规定来看，⑥狭义的法律是指全国人大及其常委会依照一定立法程序制定的规范性文件，包括宪法及宪法之外的其他法律。广义上的法律则是指具有一定立法权限的国家机关依照立法程序制定的规范性文件，包括法律、行政法规、部门规章、地方性法规和地方政府规章等。政策则并不完全等同于法律，政策是大于法律的更为广义上的制度，其范围既包括法律，也包括法律之外的其他的制度形式。从国外的制度模式来看，技术政策、产业政策、隐私政策等政策是大数据时代的重要规制手段，我们也应该采取政策先行再逐渐上升为法律的办法。事实上，中国近几年也主要是通过中央和地方的各种政策来促进大数据的发展。如《“健康中国2030”规划纲要》《“十三五”生物技术创新专项规划》《感染性疾病相关个体化医学分子检测技术指南》，等等。(4)地方立法先行再制定国家立法。健康医疗大数据涉及不同地区不同群体的数据管理和隐私保护诉求，出台国家法律时机尚未成熟。应该在地方立法先行先试、积极探索的基础上再制定全国性立法。事实上中国近几年也是按照这样的思路和路径在不断探索大数据地方立法。如贵州省贵阳市自2017年开始，分别出台了《贵阳市大数据安全管理条例》《贵阳市政府数据共享开放条例》《贵阳市健康医疗大数据应用发展条例》三部大数据地方性法规，为贵阳市的大数据互联共享和隐私保护提供了重要法律保障，也为为未来国家立法提供了重要的参考和经验。

结 语

随着健康医疗产业的不断发展，世界各国逐渐意识到，技术虽然可以加强隐私保护，但无法彻底解决数据共享与隐私保护之间的矛盾。因为隐私保护高度依赖于社会文化与道德价值观的演变，①See Concetta Tania Di Iorio and Fabrizio Carinci，Privacy and Health Care Information Systems：Where Is the Balance？Springer-Verlag Berlin Heidelberg 2013，77-107.既需要自上而下的立法建立刚性法律保护框架；也需要自下而上的社会软法规范来构建多元主体利益协调机制。欧盟的统一数据立法模式虽然强化了个人隐私权保护，但相关公共卫生行业的利益需求却无法在法律中得到承认和保护。②See Concetta Tania Di Iorio and Fabrizio Carinci，Privacy and Health Care Information Systems：Where Is the Balance？Springer-Verlag Berlin Heidelberg 2013，77-107.美国的分散隐私保护立法加行业自律模式，虽然促进了数据产业的发展，但由于缺乏对医疗系统之外的数据企业的数据使用行为的全面规定，使得个人医疗隐私保护面临越来越大的威胁。③美国学者特里教授指出，美国法律只是针对传统医疗系统内部的信息流动，保险公司、医药公司等企业的数据收集和使用行为却不受约束。See N.Terry，Existential challenges for healthcare data protection in the United States，Ethics，Medicine and Health，2017，3：(1)19-27.See D Mendelson，D Mendelson，Legal protections for personal health information in the age of big data-a proposal for rehulatory fame work，Ethics，Medicine and Public Health.2017，3(1)：37-55.中国作为世界上人口最多的国家，拥有其他国家无法比拟的海量健康医疗信息，我们不可能照搬任何西方国家的立法经验，只能探索适合中国国情的中国方案。本文从隐私信息概念到隐私信息的权利保护，从隐私信息权利保护的模式选择到法律框架的建构，按照从微观到宏观的逻辑顺序，渐次论证了健康医疗大数据中隐私信息保护的现实必要性和立法可能性，澄清了隐私信息保护是个人信息权保护的基本事实。提出了在人工智能时代，立法者应该探索更为合理有效的隐私治理模式，这种模式应该是一种融合在中国的社会治理体系当中的生态治理模式，包括了法律、政策、伦理等几个方面。如吴汉东教授所言，面向未来时代的制度构成，应以人工智能的技术发展与规制为主题，形成包含法律规则、政策规定和伦理规范的社会治理体系。④吴汉东：《人工智能时代的制度安排与法律规制》，《法律科学》2017年第5期。