健康医疗大数据的积极利用主义

2020-01-08 10:17王立梅
浙江工商大学学报 2020年3期
关键词:数据保护知情利用

王立梅

(中国政法大学 刑事司法学院,北京 100088)

一、 问题的提出

健康医疗大数据是指在疾病防治、健康管理等过程中产生的与健康医疗相关的数据,(1)参见《国家健康医疗大数据标准、安全和服务管理办法(试行)》第4条,欧盟《一般数据保护条例序言(35)》包括自然人从出生到死亡的完整生命过程中产生的与健康活动有关的全部数据,涉及患者诊疗信息、病历记录或者心理健康状况等个人健康生理信息。这些数据被广泛应用于临床应用(如临床决策辅助、远程医疗、精准医疗)、保险理赔与价格精算、药物和医疗器械的研发以及公共卫生等。健康医疗大数据具有较高的科研和实用价值,在利用过程中往往涉及疾病的研究诊治、药物开发、公共卫生治理、群体健康维护等公共利益,对健康医疗数据的积极利用有利于提升健康医疗服务效率和质量,不断满足人民群众多层次、多样化的健康需求;(2)参见《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(国办发〔2016〕47号)。对于照顾人类健康、提高人类福祉具有重大意义。同时,健康医疗大数据属于个人敏感信息,(3)参见《GBT 35273-2017 信息安全技术个人信息安全规范》附录B(资料性附录)个人敏感信息。对健康医疗大数据的分析利用给患者隐私权保护提出了新的命题,对健康医疗大数据的集中分析甚至可以得出一国国民医疗健康状况等关键信息,在数据跨境传输过程中也会给个人信息安全和国家安全埋下隐患。因此,如何合理设计制度,在确保数据安全同时充分发挥健康医疗大数据的社会效益,是必须要回答的问题。

二、 积极利用主义规制的意义和背景

我国的健康医疗领域数据量巨大,(4)德勤咨询发布的《2020年健康医疗预测报告》,反映了中国人群的医疗大数据。在总人口为13亿多的中国人中,中国高血压人口有1.6~1.7亿人,高血脂的有1亿多人,糖尿病患者达到9240万人,超重或者肥胖症7000万~2亿人,血脂异常的1.6亿人,脂肪肝患者约1.2亿人。载https:// www.sohu.com/a/272945392_762408,2019年11月25日访问。目前全国已有20多个省市申请了医疗健康大数据中心或产业园,医疗健康行业大数据占国内大数据市场规模的比重约为20%。(5)前瞻产业研究院:《2017—2022年全球健康医疗大数据行业发展前景预测与投资战略规划分析报告》,载https:// www.qianzhan.com/analyst/detail/220/170916-1ff76734.html,2020年1月5日访问。国家高度重视大数据和医疗大数据的开发利用,(6)2014年原国家卫计委发布《人口健康新管理办法(试行)》,确立了人口健康信息的“互联互通和共享利用”原则;2015年9月,国务院发布了《促进大数据发展行动纲要》,对促进我国大数据发展做了顶层设计;2016年6月,国务院办公厅发布《关于促进和规范健康医疗大数据应用发展的指导意见》,将健康医疗大数据应用发展纳入国家大数据战略布局;2016年10月,中共中央、国务院发布《健康中国2030》,明确鼓励医疗大数据的发展,建立统一归口的健康医疗数据共享机制;2018年4月,国务院发布《关于促进“互联网+医疗健康”发展的意见》,提出“健全基于互联网、大数据技术的分级诊疗信息系统,推动各级各类医院逐步实现电子健康档案、电子病历、检验检查结果的共享,推动大数据在不同等级医疗卫生机构间的授权访问和利用”;2019年国务院发布《人类遗传资源管理条例》,确立了“保护+利用”原则,倡导在可使用的范围内,在保护个人信息、隐私权的基础上充分利用健康医疗数据。这些战略意见为我国医疗大数据发展提供了有益的指引。健康医疗大数据应用前景广阔,在政府医疗监管、临床大数据应用、科研大数据应用、公共卫生大数据应用、医疗产品与服务个性化应用等方面都可以发挥重大作用。

有些国家高度重视健康医疗大数据事业的发展和规范,并通过专门立法予以引导和规制。例如,美国在1996年通过了专门规范医疗数据的《健康保险可携性和责任法》,并在此基础上制定了《个人可识别健康信息隐私标准》(以下简称《隐私规则》)和《受保护电子健康信息安全标准》(以下简称《安全规则》),为医疗大数据利用和管理提供了法律依据。再如日本,除制定有综合性的《个人信息保护法》外,有关主管部门还针对医疗领域制定了多项伦理指南,包括《染色体、遗传基因解析伦理指南》《疫学研究伦理指南》《临床研究伦理指南》等,通过间接规制的方式引导医疗数据的开放和利用[1]。比较而言,我国健康医疗大数据的相关立法存在一定的滞后性,尚无综合性的数据保护立法,(7)虽然《个人信息保护法》和《数据安全法》被列入《十三届全国人大常委会立法规划》,但都处于起草阶段。载http://www.npc.gov.cn/npc/c30834/202001/f67b0d8305ae48718ab15f50120a7481.shtml,2019年11月1日访问。也无健康医疗数据的专门法律规定,有关健康医疗数据的规定散见于《网络安全法》《刑法》《民法总则》《侵权责任法》以及《广告法》(8)我国这些法律并没有对健康医疗大数据的专门规定,而是将健康医疗数据涵盖在个人信息中统一规定。等法律有关条款中。

我国网络立法体系初现,(9)目前的网络安全法律体系主要包括《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《国家安全法》《反恐怖主义法》《网络产品和服务安全审查办法(试行)》等法律法规和相关规章。但其关注重点主要在于网络安全,(10)这些法律的立法目的重在网络安全,例如,我国《网络安全法》的指导思想是:坚持以总体国家安全观为指导,全面落实党的十八大和十八届三中、四中全会决策部署,坚持积极利用、科学发展、依法管理、确保安全的方针,充分发挥立法的引领和推动作用,针对当前我国网络安全领域的突出问题,以制度建设提高国家网络安全保障能力,掌握网络空间治理和规则制定方面的主动权,切实维护国家网络空间主权、安全和发展利益。参见关于《中华人民共和国网络安全法(草案)》的说明,载http://www.npc.gov.cn/wxzl/gongbao/2017-02/20/content_2007537.htm,2019年11月1日访问。关于数据安全的规范已经比较完善,其中也有关于健康医疗大数据发展安全风险的规定,(11)例如《网络安全法》《人口健康信息管理办法(试行)》《国家健康医疗大数据标准、安全和服务管理办法(试行)》都规定了数据分类、重要数据备份加密制度,以保障数据安全。但对于如何充分利用健康医疗大数据却鲜有规定。因此,未来立法应重点关注如何促进健康医疗大数据的发展和利用,采取积极利用主义,合理设计法律制度,确保健康医疗大数据产业发展安全,同时实现健康医疗大数据的积极利用。

积极利用主义是指在健康医疗大数据的利用行为中应以积极利用为主,法律制度应为健康医疗大数据的积极利用创造条件。在利用路径上,首先进行安全风险评估,在安全风险评估的基础上分类规制健康医疗大数据,建立动态同意机制,容许有条件的概括性同意,实现健康医疗大数据的积极利用。需要说明的是,积极利用主义绝非忽视对健康医疗数据的保护,而是强调保护方式和理念的变化,以一种更有助于引导数据利用的方式进行保护,实现“良法善治”。

(一) 健康医疗大数据积极利用可以带来积极的社会效益

目前,健康医疗行业面临诸多困境:人口的增长和老龄化、慢性病发病率提升、传统研发成本高、劳动力不足等问题,而我国医疗行业供需结构失衡、医保透支等问题较为突出。健康医疗大数据的积极利用有助于缓解我国医疗服务中存在的问题。例如,通过区域信息化、在线问诊、远程医疗等技术可以连接上下级医保机构,实现医疗资源优化配置,电子病历共享等,最终提升医药供给效率和能力。再如,通过基因测序、影响识别等技术挖掘更多维度的数据,可以缩短临床验证周期,提升新药研发效率,等等。(12)参见《2018年中国健康医疗大数据行业发展现状与发展趋势分析》,载http:// www.chyxx.com/industry/201806/649591.html,2019年11月1日访问。

健康医疗大数据积极利用还可以带来巨大的经济效益。据学者研究估算,到2035年,我国的健康产业有望超越百万亿元人民币,形成以数据驱动的新经济形态,将带动经济转型升级与提质增效,优化经济结构。与卫生健康等我国居民消费的重要领域相结合将以裂变方式引领跨界融合,丰富新经济内涵,成为世界新经济的竞争高地。(13)参见黄安鹏、王光宇:《健康医疗大数据已成新经济增长点》,载http:// www.cinic.org.cn/hy/yy/480906.html,2019年11月25日访问。美国通过对其医疗大数据的分析每年可产生3000亿美元的价值,减少8%的医疗保健支出[2]。我国基于人口和网络基础设施等因素有着先天的优势,必须强化数据利用,将优势转化为胜势,实现中华民族伟大复兴的时代梦想。

(二) 积极利用主义正在成为各国关注的焦点

从国际社会来看,强调健康医疗大数据的利用价值的积极利用主义正在成为关注的焦点。以美国为例,《健康保险可携性和责任法》下的《隐私规则》和《安全规则》虽然对健康医疗大数据的保护做了全面规范,但也规定了大量例外情形,保证了对医疗数据的利用空间,例如该法明确列举了利用前无需进行告知和征询同意的情形。(14)参见Lewis Bass, Thomas Parker Redick,Pharmaceutical Industry and FDA Use of Big Data,Prod.Liab.No.9,2017,PP43-47.与此同时,该法仅规范了医疗数据的利用和揭露行为,并未规范数据收集行为,因而对医疗数据的保护难言周全。甚至有学者认为,《健康保险可携性和责任法》中本没有保护个人隐私,其对医疗数据利用和揭露行为的限制,事实上只是在作保密规范[3]。此外,该法也未赋予民事主体以诉权,个人不能直接根据《健康保险可携性和责任法》提起诉讼。日本在医疗数据领域制定了多项伦理指南,通过间接而非直接、自律而非他律的方式进行缓和性规制,保证对医疗数据的利用,此外还在规定传统意义上的知情同意规则之外,设置了简略式知情同意和免除知情同意规则,详细规定了施行条件[4]。欧盟的《一般数据保护条例》中规定,数据处理在公共健康领域为公共利益之必要,如抵御严重的跨境健康威胁,确保卫生保健、药品或医疗器械高标准的质量和安全,依据欧盟或成员国的法律规定通过适当、具体的措施,尤其是专业保密措施,以保障数据主题的权利与自由等情形,可不适用特殊类型个人数据的禁止处理规定。(15)参见欧盟《一般数据保护条例》第9条。概括美国、日本以及欧盟的规定可以发现,这些规定都为健康医疗大数据的利用预留了很大空间,值得我国立法借鉴。

(三) 相关法律领域中对积极利用主义的肯定

现代财产权立法强调财产的利用,“财产由抽象的支配向具体的利用转变是世界财产权立法的普遍趋势”[5]。可以说,“物尽其用”作为现代社会的基本理念,深刻影响着法律的发展,这在物权法和知识产权法领域表现得尤为突出。现代物权法的一个重要趋势就是从“以所有权为中心”转向“所有权和使用权并重”。在所有权制度之外,用益物权制度(强调对物的使用价值的利用)、担保物权制度(强调对物的交换价值的利用)有了极大的发展[6]。他物权的地位日益突出,用益物权成为他物权乃至整个物权法的重心,担保物权的地位也日渐提升[7]。物权法“在使其利用,而不在使其所有,亦即法律所以保护所有权者,乃期其充分利用,以发挥物之效能,而裕社会之公共福利”[8]。《物权法》强调“明确物的归属,发挥物的效用”也表明,“制定物权法,就是要充分发挥物权法定纷止争和物尽其用这两个方面的作用,为权利人充分利用财产创造一个良好的法制环境,鼓励权利人创造财富,积累财富,使‘有恒产者有恒心’,保障安居乐业,促进经济发展和社会进步。”[9]可以说,“物尽其用”是物权法三大基本功能之一。(16)王利明认为,确认产权、物尽其用、保护物权是物权法的基本功能。参见王利明:《物权法研究(上卷)》,中国人民大学出版社2013年版,第125-132页。知识产权法领域亦有类似的变化。为了促进知识的传播和利用,著作权法逐步发展出合理使用制度、法定许可制度、强制许可制度等,专利法逐渐发展出专利权用尽制度、强制许可制度(包括合理条件的强制许可、国家强制许可和交叉专利强制许可)、国家计划许可制度等,这些都是“物尽其用”理念的生动体现[10]。数据,尤其是医疗数据,是新时代的战略性资源,虽然与主体关系密切,但毕竟是一种客观存在的信息,在法律定位上仍然应当是客体,与物、智慧成果具有相似性。物、智慧成果方面的法律存在已有从归属到利用的趋势,大数据的积极利用主义规制同样也是大势所趋。

三、 积极利用主义规制与知情同意原则的协调

健康医疗数据记录的是患者诊疗信息及健康相关信息,本质上属于个人信息,《人类遗传资源管理条例》第12条规定了采集需要事前告知,并以书面的形式征得提供者同意,这也从侧面证明了健康医疗数据的主体属性。而健康医疗大数据的流通使用虽是基于社会公共利益但也必然在一定程度上削弱患者知情权和隐私权。

(一) 积极利用主义规制与知情同意原则的冲突

个人信息保护是信息社会的焦点问题。对个人信息保护而言,知情同意原则是最基本的原则,必须予以坚持。关于医学领域知情同意原则(17)1999年全国人大常委会颁布实施的《执业医师法》第26条规定:“医师应当如实向患者或者其家属介绍病情,但应注意避免患者产生不利后果。”这是我国首次以法律的形式规定患者的知情同意权。的起源和发展,学术界一般都认同美国学者比彻姆和芳登的观点:知情同意在医学科研和医学实践两个领域有各自独立产生和发展的历程。(18)BEAUCHAMP T L,FADEN R R.History of imformed content.POST S G.Encyclopedia of Bioethics.3rd ed.New York:Macmilan Ref-erence,2004,p1.1891年普鲁士内政部长发布的一项指令中最早提及知情同意原则,其中要求治疗结核病“必须不能违背患者的意愿”[11];1946年纽伦堡军事法庭审判后发表的《纽伦堡法典》、1964年世界医学会通过的《赫尔辛基宣言》、美国1978年发布的《贝尔蒙报告(保护人类受试者的伦理原则与准则)》以及国际医学科学组织委员会和世界卫生组织1982年制定的《涉及人体的生物医学研究国际伦理指南建议》,都对知情同意原则做出了详细的阐述和规定。知情同意原则是个人自主权的体现,是医疗领域最重要的指导原则,贯穿于医疗活动的各环节、各领域。在健康医疗信息的收集、利用环节,应通过知情同意原则保护个人隐私、维护个人尊严。但在大数据时代,健康医疗大数据利用的具体情境中,知情同意原则的执行会遇到各种困难和障碍。(19)有学者认为,我国知情同意权实现在立法层面存在的问题不少,一是医方违反告知义务的标准没有统一,二是知情同意制度诸多问题在立法上尚未充分体现,三是相关法律条文规定过于笼统而不具有可操作性,四是法律规范之间相互抵触、矛盾,五是知情同意权适用例外规定不完善。参见陈燕红:《困境与出路:我国患者知情同意权法律保护与适用的完善建议》,载《河北法学》2014年第2期。第一是经济成本过高。健康医疗大数据的收集和利用涉及数十万条的数据记录和绝对量极大的患者群体,若按照传统方式进行告知并征询同意,经费和人力支出过高。第二是时间成本过高。传统知情同意程序的实施极可能造成时间的过度拖延,这明显有悖大数据的时效性特征。第三是可获得的授权比例有限。从实践情况来看,我国民众即使被告知和征询意见,真正愿意主动进行授权的比例十分有限,严重影响健康医疗大数据的分析利用。第四是二次利用的困扰。健康医疗大数据的利用方式和目的在数据收集后可能会发生新的变化,数据收集者往往无法全面、准确告知数据提供者数据的后续用途,而个人也难以同意这种未知的用途,但这却是健康医疗大数据的最大价值所在。正如学者所言:“大数据的价值不再单纯来源于它的基本用途,而更多来源于它的二次利用,很多数据在收集的时候并无意作其他用途,而最终却产生了很多创新性的用途。”[12]

(二) 积极利用主义规制与知情同意原则的冲突解决路径

知情同意原则与对健康医疗数据积极利用,二者并不是完全对立的关系,知情同意原则并非排斥对健康医疗数据的利用。一方面,我们可以对知情同意原则进行多元解释和灵活运用;另一方面,我们也可以寻找其他替代性或补充性的保护机制,在实现保护目标的同时,促进对健康医疗大数据的利用。

1. 知情同意原则的多元解释和灵活运用。知情同意原则在实施中包括知情和同意两个方面,而知情和同意又有不同的表现形式,我们可以更加灵活、多元地理解和运用知情同意原则,以体现“积极利用主义”的规制理念。

就知情和同意的不同组合方式而言,知情同意既包括传统的既进行告知又征询同意,也包括在特殊情况下仅进行告知而不再征询同意,还包括告知后仅给予同意与否的机会而不必正式取得个人同意,甚至还包括无需告知的情形等。可以按照具体情境采取多种知情同意方式,例如既需要事前充分告知又需得到特别授权的情形、应进行事前告知但仅需选择同意或不同意的情形、仅需告知的情形以及免除告知的情形。

就知情和同意的不同表现形式而言,告知既包括口头告知,也包括书面告知;既包括一一告知,也包括公告告知;既包括事前告知,也包括事后说明。同意既包括书面同意,也包括口头同意;既包括明示同意,也包括默示同意,即患者若不进行明确反对即推定其同意。(20)如根据美国的《健康保险可携性和责任法》规定有“OPT-OUT”即“选择退出”制度,数据提供者在得知其个人信息被收集、利用后,可主动选择退出,但若未作表示则默示其同意。

不同的表现形式和组合方式可以让知情同意原则有更加丰富的实施形式,而且可以在实现保护目标的同时最大限度地促进对数据的收集、分析和利用。以各国广泛使用的一种知情同意方式为例:在特定情形下,医疗数据的收集利用者经本机构伦理审查委员会审查通过审核同意后,在将数据利用计划和目的公告告知后,即可收集和利用该等数据,同时,数据提供者具有随时选择退出的权利。这种知情同意方式既满足了对医疗数据的收集和利用需求,也在一定程度上保障了数据提供者的自决权。

2. 替代性或补充性保护机制的运用。知情同意原则是保护患者医疗数据的重要方式,还有一些可供选择的替代性或补充性保护机制。这些保护机制在实现数据保护目标的同时也不会对数据的收集和利用带来阻断。以美国为例,其可供选择的替代性或补充性保护机制包括:

(1)明确数据保护责任人员,强化后端威慑。例如,美国《隐私规则》和《安全规则》要求医疗数据利用机构需指定1人担任安全官,负责制定并执行上述规则中的政策和程序。

(2)建立完善的内部数据安全体系,有效应对数据安全突发事件。例如,美国《安全规则》明确要求数据利用机构建立科学合理的授权和监督机制,层层授权,层层限制,并需制定适当的惩处政策,确保内部员工遵守数据安全准则。日本法也明确要求数据利用机构订立完善的内部管理规则,并制定事故发生时的应急处理办法,等等。

(3)设置兜底性原则,降低数据使用风险。例如,美国《隐私规则》设置了“最小必要资讯”原则,即在揭露或使用数据时,只能为达到使用目的而揭露最低的信息量,因此,数据利用机构在内部使用受保护健康数据时,其必须界定内部的工作人员,哪些人在工作职务上需要接触健康数据及其类别,以及在何种情况下需要接触该等数据。上述原则均具有防止医疗数据不当揭露的兜底性功能。

四、 积极利用主义的数据多重分类规制

健康医疗数据和普通数据相比,既涉及个人最敏感的信息,需特别保护,又涉及公共利益如疾病研究、公共卫生等,需适度开放共享。考虑到数据保护方式的多样性,在积极利用主义规制时应当平衡一般原则和例外情况的关系,对不同性质、不同类型、不同来源、功能、使用形式的医疗数据予以区分对待处理。

(一) 数据多重分类

1. 去识别化医疗数据和可识别医疗数据。去识别化数据又称匿名化数据、去连结数据,是指和个人身份信息失去连结、无法识别出特定个人的医疗数据;(21)例如,1995年欧盟《数据保护指令》第2(a)条规定对个人数据匿名化进行了原则性规定;欧盟“第29条工作小组”2014年《第05/2014号意见:匿名化技术》细化了技术标准;2016年《一般数据保护条例》第4(1)条规定进一步加强了对个人数据匿名化的立法规定。我国《网络安全法》第42条第1款规定:“……未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”可识别数据是指和个人身份信息相连、可识别出特定个人的医疗数据。这是医疗数据最重要的区分形式。去识别化数据不会对个人隐私产生威胁,无需专门保护,各国多将其排除于数据立法的保护范围,医疗数据保护立法的规制重点应当为可识别医疗数据。

2. 为公共利益而收集利用医疗数据和为非公共利益而收集利用医疗数据。从数据收集目的不同,可以将其分为为公共利益而收集利用医疗数据和为非公共利益而收集利用医疗数据。一般而言,为公共利益而收集利用医疗数据的行为往往会得到立法的宽容对待。例如,根据美国《隐私规则》的规定,为了公共健康活动而使用和揭露医疗数据的行为无需进行事前告知和征询同意;日本伦理指南规定,为进行对社会具有高度重要性的医学研究(如死因统计、法定传染病通报等)而需使用公民的健康数据时,因该医学研究方法、内容及其它理由而无法进行匿名化处理或预先公开或通知研究对象的,于伦理委员会审查通过和所属机构首长许可后可直接使用,不必再履行知情同意程序。

3. 特殊敏感的医疗数据和其他医疗数据。根据数据的敏感程度,可以将其分为特殊敏感数据和其他医疗数据。前者主要是指个人基因数据、性生活数据、心理诊疗记录等具有特殊敏感性的医疗数据,这类医疗数据涉及个人最重要的隐私,一旦泄露将极大地影响个人生活,因而需特殊保护。我国在立法时应对具有特殊敏感性的健康医疗数据进行明确列举并予特殊保护。

除上述区分外,医疗数据还有其他区分形式,如侵袭性医疗数据和非侵袭性医疗数据、既存医疗数据和非既存医疗数据、自人体采取的医疗数据和非自人体采取的医疗数据、进行介入研究而收集利用的医疗数据和进行观察研究而收集利用的医疗数据、公务机关利用的医疗数据和非公务机关利用的医疗数据等。我们应对医疗数据进行更细化的区分,并予区别对待,在引导医疗数据利用的同时,也对特定医疗数据进行专门保护。

(二) 去识别化医疗数据的规制

1. 去识别化医疗数据的法律效果。去识别化医疗数据不涉及个人隐私,可将其排除在医疗数据立法的保护范围。例如,美国《隐私规则》只规范可识别个人的健康数据,因此该规则并未禁止被涵盖机构揭露和利用去识别化的医疗数据;日本伦理指南规定,若医疗数据中得识别特定个人的信息已被全部移除,代之以符号或号码,且不提供符号或代码与原始数据的对应表,则该等医疗数据不属于伦理指南的保护范围[13];英国、德国及欧盟法虽然对去识别化医疗数据的界定有所不同,但均规定其不受个人数据保护法的保护[3],等等。

国外也有相关实例。例如在Steinberg v. CVS Caremark Corp.案(22)Steinberg v. CVS Caremark Corp., 899 F. Supp. 2d 331(E.D.Pa.2012).中,法院认为,系争处方数据已进行去识别化处理,将个人姓名、生日及社会安全号码等删除,仅保留治疗病史、开立的药物种类、分量及日期、诊断结果及医师姓名,无法识别出病人身份,并不属于《隐私规则》的保护范围。

2. 去识别化健康医疗大数据的界定。对于去识别化原始数据虽属可识别医疗数据而受保护,但去识别化后的数据已不受个人数据保护法的保护基本属于共识。(23)美国法对去识别化数据的规定更加宽泛、细致、可执行。根据《隐私规则》的规定,去识别化数据是指无法识别出特定个人且没有合理理由相信该数据可以被用来识别出特定个人的医疗数据。具体判断标准为:(1)具有统计学与科学背景且知道如何将数据去连结的专家认定,该等数据被他人获得后,将其单独或与其他合理方法可取得的数据结合,只有非常小的风险可以识别出该等数据对应之特定个人;(2)该专家提供他的书面分析。此外,《隐私规则》还规定了安全港条款,即只要法定的18种识别信息被从数据中移除,就可被直接认定为去识别化数据。

我国在医疗数据立法时,应以按照积极利用的原则,适当放宽对去识别化医疗数据的界定。具体来说:(1)应以数据接收者的角度判别所提供之数据是否可识别,即只要医疗数据中的身份信息被匿名化处理,且处理后的数据无从直接或间接识别出特定个人,此时,虽然数据原始保有者仍得将数据还原为可识别数据,但只要其未将对照表或解密方法等连结工具提供给数据接收者,该数据即为去识别化医疗数据,不要求其删除原始数据;(2)要求数据利用者聘请独立的数据保护专家出具书面分析意见,证明被接收的数据确已无法识别出特定个人;(3)关于证明标准,只要求证明数据仅有很小的风险可识别出特定个人即可,不必完全排除此风险,即此处所采为高度盖然性标准而非排除合理怀疑标准;(4)可设定安全港规则,并详细列举包括姓名、身份证号、电话号码、社保账号、工作单位等在内的法定识别信息,若上述识别信息被全部移除,则该等数据将被直接视作去识别化数据。

(三) 可识别医疗大数据的规制

可识别医疗大数据可以连结到特定个人,可以关联到公民个人隐私,因而成为各国数据保护立法的规制对象。但在大数据时代,为平衡数据保护和利用之间的关系,越来越多的国家和地区通过多种方式进行保护,而不再仅限于传统的知情同意原则。例如,美国立法规定了事前一一告知且一一授权、仅需告知且给予同意与否之机会、仅需告知而无需获得授权和无需告知等四种医疗数据保护方式,并明确了各种方式的适用范围。总的来说,传统知情同意原则的适用情形已十分有限[3]。再如,日本法除规定有传统的知情同意方式外,还规定了简略式知情同意和免除知情同意等方式。而且,传统的知情同意方式也有多种变通方式,这为医疗数据的利用提供了便利[13]。

我国未来医疗数据保护立法可以明确以下四种保护方式及其适用情形。

1. 利用前告知且给予选择退出的权利。这种方式是指收集和利用医疗数据前,须经伦理委员会审查通过许可,并对医疗数据连结对象进行充分告知(包括一一告知和公告),同时保障其选择退出的权利,如果连结对象未作表示,则推定其同意。将该种方式规定为法律保留方式,若无其他特殊规定,则适用该种方式。理由如下:第一,这种方式较好地平衡了数据保护和利用之间的关系。该方式既要求数据利用者进行告知并赋予连结对象以退出权,知情和同意兼而有之,此为周延保护;又进行了适当变通,允许数据利用者通过公告等方式进行告知,且仅赋予连结对象退出的权利,并不妨碍对数据的及时利用,此为促进利用。第二,这种方式较好地平衡了成本和效率之间的关系,很大程度上降低了数据使用的成本(包括金钱、时间、精力等成本),克服了传统知情同意原则导致的数据利用成本高的难题。从数据利用和保护的平衡来看,这种方式最能体现“积极利用主义”规制模式的理念和精髓。

2. 利用前告知且需获得特别授权。这种方式是指收集和利用数据前不但需对连结对象进行充分告知,而且仅当获得对方的特别授权后方可收集利用该数据。这是传统知情同意原则的表现形式,也是最严格的数据保护方式,适用于最重要、最敏感的医疗数据。主要包括以下几类数据:第一,最敏感最重要的医疗数据,如个人基因数据、性生活数据、心理诊疗记录等;第二,为了贩卖、营销等商业目的而收集利用的医疗数据,此时,虽然无涉公共利益,但是可能基于商业原因而损害连结对象的隐私和名誉,此外,若不给予连结对象以同意权,则可能导致风险与收益不对等问题;第三,具有人身侵袭性的医疗数据的收集和利用,如抽血、摘取人体组织、进行人体实验等,此时,由于对人身具有侵袭性,影响重大,必须获得个人特别授权;第四,其他重要且通过其他方式明显无法获得充分保护的医疗数据。

3. 利用前告知但无需征询同意。这种方式是指收集和利用数据前需对连结对象进行充分告知,但无需征询其同意,既无需获得其特别授权,亦无需赋予其选择退出的权利。这种方式相对来说给了数据利用者更大的便利和空间,却不利于对连结对象的保护,因而需要充分的法律支持理由。我国亦应明确该种方式仅适用于关涉公共利益的情形,大致包括以下几种情形:第一,公务机关或学术研究机关为了公共健康活动而收集利用医疗数据的行为,如为调查和防治传染病而收集利用医疗数据的行为;第二,公务机关进行健康监督活动而收集利用医疗数据的行为,但应以必要为限;第三,为了死后器官捐献而需使用和揭露医疗数据的情形;第四,为了特殊政府功能而需使用和揭露医疗数据的情形,如刑事侦查活动、国家安全保障活动等;第五,其他为了公共利益而需省略同意程序的情形。

4. 无需告知和征询同意的情形。这种方式是指不需要对连结对象进行告知和征询同意而可径自收集和利用其医疗数据的形式。这种方式较之第三种方式更为极端,连告知的程序也予省略,因而需予更严格之限定。一般来说,这种方式也仅适用于维护公共利益的情形,具体情形和第三种方式基本一致,但还应同时符合下列条件之一,以证明省略告知程序的合理性:第一,进行告知将妨碍法定职务的执行,如为追诉犯罪、维护国家安全而进行的秘密侦查活动等;第二,进行告知将妨碍公共利益的实现,如进行告知很可能引起公众恐慌、社会混乱等情形;第三,进行告知将明显不利于连结对象的利益,如进行告知将可能引导舆论进行不利于连结对象的报道等;第四,其他不宜进行告知的情形。

五、 结 论

确保数据安全的前提下,我国应充分利用自身医疗大数据的体量优势,顺应国际社会发展趋势,探索积极利用主义的规制,平衡数据利用与安全保护的关系,最大程度实现医疗数据的社会效益和经济效益。需要注意的是,积极利用主义规制与现有数据相关法律规定以及“知情—同意”等数据保护规则并不对立,在强调积极利用医疗数据的同时也需要关注对医疗数据的保护问题,通过对知情同意原则的多元解释和灵活运用,以及采取替代性或补充性保护机制等措施,寻求数据利用与保护的平衡。与此同时,我国在构建积极利用主义规制模式时应按照数据类型区分的原则,把握好一般要求和例外情形的关系,对医疗数据进行系统、合理的区分,尤其是明确去识别化医疗数据和可识别医疗数据的分类,在此基础上规定不同的保护方式和管理要求。

猜你喜欢
数据保护知情利用
利用min{a,b}的积分表示解决一类绝对值不等式
利用一半进行移多补少
数据保护护航IT转型
——戴尔易安信数据保护解决方案
欧洲数据保护委员会通过《一般数据保护条例》相关准则
利用数的分解来思考
欧盟“最严”数据保护条例生效
Roommate is necessary when far away from home
知情图报