个人医疗数据利用中知情同意的伦理探讨

王 欢，李雅琴

(天津医科大学医学人文学院，天津 300070，wh_0221@126.com)

个人医疗数据是指“与健康、医疗相关的个人数据”，和自然人的身体、生理或精神健康相关。个人医疗数据显示其个人健康状况、卫生保健服务信息[1]，主要形式包括但不限于个人基因、生物识别、电子诊疗病历等，具有可识别性、易复制性以及商品化等特征。

1 个人医疗数据利用中的知情同意

1.1 传统知情同意的含义

传统知情同意作为一项原则或权利在医疗领域中体现着数据主体的自主权，在消极意义上，保障主体权益(无论知情同意所保护的权益为何)避免不当干涉。传统知情同意作为一项传统原则和权利在《纽伦堡法典》和《赫尔辛基宣言》中确立，以保护患者或者受试者的生命健康免受不公正的对待。医学伦理学把传统知情同意定义为：当个人①有必须、有能力作正当判断与告知病情；②以可理解的形式了解治疗方案；③在没有强迫的情况下，自主地作出治疗决定，才是在法律或伦理上有意义的同意[2]。就上述③中所提及的自主而言，Luke Gelinas等[3]对自主区分为授予他人权利来实现自己的利益的“积极自主”与希望避免他人不当的干涉的愿望的“消极自主”。在个人医疗数据利用中，所谓知情是指数据主体对数据利用中收集、分析以及共享各个环节都有明确了解；所谓同意则涉及数据主体自主权，数据利用者不得以引诱、哄骗甚至欺诈的方式征得同意。因此，在“消极自主”的意义上，无论传统知情同意所保护的权益为何，都能够通过主体知情同意即自主权保证权益不被干扰。

1.2 知情同意所保护的权益之转变

数据技术的应用转变了对传统知情同意所保护的权益，生命健康权益不再是知情同意所保护的对象，而转变为个人医疗数据所承载的人格权益(隐私和个人信息)和财产权益。

第一，知情同意保护人格权益。具体而言，个人医疗数据是数据主体隐私权和个人信息权的客体，若医疗卫生机构未经数据主体知情同意而擅自利用其医疗数据就可能侵犯其个人信息和隐私，给数据主体造成精神上的困扰。匿名化是一种在处理个人医疗数据中对数据脱敏的方式，但难以有效地将数据有效地模糊化。个人医疗数据中的性别、年龄、临床症状、诊疗方案等信息仍然能够聚焦于具体数据主体个人，因此，知情同意在个人医疗数据利用中对数据主体的保护仍不可或缺。

第二，知情同意保护财产权益。随着社会经济发展，不仅大数据能够用于商业用途，而且个人信息也逐渐演化为商品。个人医疗数据兼具财产属性，即其本质上是人格符号的延伸，对此类人格符号可以商业化利用，即通过许可他人将自己的某项人格符号与某项商品或服务相联系，实现其经济价值[4]。知情同意在承载着财产权益的个人医疗数据利用中同样不可或缺，只是个人医疗数据的转让不等于数据主体隐私和个人信息的转让，数据主体转让个人医疗数据也仅限数据利用者对其数据的合理使用而非支配所有。

1.3 知情同意所保护的权益与知情同意的关系

数据主体知情同意所保护的权益即个人医疗数据所承载的权益(人格权益和财产权益)，与知情同意本身不同。前者人格和财产权益与自主权不属于同一维度，是权益主体的自然权利；后者是自然权利所引出的一项权能，即可以通过知情同意所体现出的自主权来实现对权益主体自然权利的保护，反之则不能。

因此，知情同意所保护的权益之转变可能给知情同意造成限制。例如，在实现公共利益的情况下，自主权行使的限度取决于知情同意所保护的权益：就现有立法而言，在传统的治疗或受试场合如《赫尔辛基宣言》第二十五条所述，医疗机构须严格地遵守征得患者或受试者知情同意的程序以保障其生命健康，是否有助于实现公共利益则在所不问；而在个人医疗数据利用的场合，如欧盟《一般数据保护条例》第六条第二款(e)、《中华人民共和国民法典》第一千零三十六条第三款所述，实现公共利益能够作为无须征得数据主体知情同意的凌驾性事由与免责事由。

2 个人医疗数据利用中知情同意的伦理争议

个人医疗数据利用中，由于知情同意所保护的权益发生了转变，这使得在公域和私域中可能对知情同意本身造成限制，前者表现在政府对公共利益的实现，后者表现在医疗卫生机构对数据的商业共享。

2.1 公共利益与主体知情同意

为了公共利益使用个人医疗数据可能会使实现公共利益与个人权益发生冲突。这里的公共利益包括：重大公共卫生安全、流行病学研究，以及医学诊断与治疗等对公众有重大影响的利益。政府为了公共利益公开个人医疗信息通常会损害数据主体的个人信息及隐私。例如新冠病毒向全球蔓延后，各国政府搜集并公开该国患者的个人信息，来寻找与患者曾经有接触史的个人，并将患者信息提供给医疗卫生机构作为流行病学调查研究以及作为研发病毒的检测试剂的依据。匿名化的措施不能够完全保证个人信息与隐私明确指称具体个人，且如果使个人信息过度的模糊化(如消除患者年龄、性别、生活行踪等信息)，则会丧失信息的准确性，不利于公共利益的实现，因此实现公共利益和保护个人权益之间就产生了不可避免的冲突，第一，政府为实现紧迫的公共利益而损害患者个人权益，如何才能够说明该行动的正当性？第二，若该行动具有正当性则不必要求征得数据主体知情同意[5]，那么数据主体的知情同意在实现公共利益的情况下为何不再必要？

2.2 医疗大数据商业共享与主体知情同意

个人医疗数据具有两重价值属性，除公共利益之外，如美国的Explorys平台、CardioNet系统[6]还将大数据用于商业目的。与个人医疗数据不同，医疗大数据是指通过个人医疗数据，医疗卫生机构对患者信息统筹收集、分析，并通过互联网平台共享、交叉检索中形成的信息数据，一般认为，其权属于数据利用者。将大数据用于商业目的，数据利用者通常是医疗卫生机构或企业等私权主体，主要环节在于通过对个人医疗数据分析所形成大数据的共享。大数据的共享在研发生产医疗产品、制定商业医疗保险等活动中体现出商业价值。

大数据商业共享的争议在于：如何在保护个人权益的前提下给数据的商业共享留出空间。大数据的共享是对个人数据的再利用[7]，在大数据用于商业共享环节中大数据在共享者与被共享之间的转换，个人医疗数据实际上也在共享者与被共享者之间流转，本质上是对个人医疗数据的再次收集与利用。因此，即使大数据权属于医疗卫生机构，若大数据没有阻断与个人数据的关联性，在大数据的商业共享环节中也需要征得数据主体知情同意以保护其权益。

3 个人医疗数据利用中知情同意的伦理辨析

与传统知情同意相比，个人医疗数据利用中数据主体知情同意受到限制。尽管如此，还应该划分公域和私域来对数据主体知情同意作不同限制：在实现公共利益的情况下知情同意不再必要，公共利益而非商业利益才是限制知情同意的事由，同时，也应结合公私领域重新考虑知情同意的伦理原则。

3.1 基于公共利益限制知情同意

就政府为公共利益公开个人信息而言，不仅要说明为公共利益而利用个人医疗信息的正当性，还要进一步解释为何数据主体知情同意不再必要。通过比较传统受试场合与个人医疗数据利用的场合，可以看出康德义务论和传统功利主义的解释具有局限性。按照黑尔的功利主义[8]则能够解释：在实现公共利益的情况下知情同意所保护的权益的转变使得知情同意不再必要。

①以康德义务论为视角。按照康德义务论的观点，一种行动的正当性在于要求行动者按照“为义务而义务”的动机去履行，这样一种独立于行动预期结果而普遍的、客观的义务即绝对命令(例如不得杀人)通过理性或者意志确定下来[9]52-53。康德认为绝对命令支配下行动的目的由于不取决于偶然的欲望而具有普遍有效性，这种目的就是将理性存在者视为目的本身而不是作为的手段[9]62-63，因此人是目的而不是手段。在义务论看来未经同意公开个人医疗数据的行动不具有正当性，因为未能保障个人自主权即将数据主体仅仅作为手段。

②以传统功利主义为视角。按照以边沁和密尔所代表的传统功利主义的观点，一种行动的好坏在于行动所预期带来的结果，并以增加每个人或社会幸福的总量作为衡量行动预期结果的标准[10]。传统功利主义能够说明为公共利益而公开个人医疗信息的行动的正当性，原因在于这种行动能够给总体幸福带来增量。

但是，传统功利主义仅在结果论上说明公开个人医疗数据的正当性，却不能说明为什么公共利益先于个人自主权、对数据主体知情同意的合理限制。如在药品受试场合中，受试者的自主权被严格地保护，医疗卫生机构不得为实现公共利益而未征得受试者同意进行试验，这在义务论而非传统功利主义的观点下是正当的；政府为公共利益而公开个人数据的行动则无须考虑数据主体的知情同意，这在传统功利主义而非义务论的观点下是正当的。由此看来，同样为实现公共利益的情况下，前者仍须以保护受试者自主权为必要前提，这缺乏实践上的合理性因而未必真正地正当；后者在实现公共利益情况下无须考虑数据主体自主权，完全架空了主体知情同意。就此而言，无论传统功利主义还是义务论都有其自身的局限性。

③以黑尔功利主义为视角。黑尔的观点能够更好解决最大化功利和个人自主权之间冲突：“实现公共利益”或者“保障个人自主权”都是在人们的直觉层面上自明的一般性道德原则。如果不同种道德原则所产生的义务之间发生冲突时，黑尔认为在批判思维层面上应该选取最好道德原则，即在考察了该原则的逻辑结果以及实际情形后，仍能接受的原则[8]。这种反思应以不偏不倚的方式对待每一团体、每一个人以及它们的偏好，即自己所考虑实现的偏好，也是在相同情景中自己处在他人的角色下同样考虑实现的偏好[11]。如果人们为实现公共利益而损害个人权益且人们处于数据主体的角色时也同样认同，那么实现公共利益而损害个人权益的行动就是正当的，在此意义上行动所遵循的道德原则意味着对所有相关团体和个人不偏不倚偏好的最大满足[12]。

按照黑尔的观点，之所以在公开个人医疗数据的场合中数据主体的自主权让位于公共利益，是因为人们处于数据主体的角色时仍能够接受自治权让位与公共利益，但在传统受试的场合中人们处于受试者的角色则难以接受其自治权让位于公共利益。人们在两种实现公共利益场合下对个人自主权有取有舍，考察其现实原因就在于：知情同意所保护权益的转变(由生命健康转变为个人信息和隐私)，这种转变削弱了知情同意的绝对性。首先，从权益的重要性看，生命健康是人性尊严存在的基础，较之个人信息和隐私更为重要；其次，从权益的属性看，伦理和法律以家长主义的方式保护生命健康，受试者自主权是他人对其生命健康支配的必要前，提并且生命健康权益不完全在个人自主权的处分范围内；而个人信息和隐私则处于数据主体自主权的处分范围之内，是可以被放弃的权益；最后，从对权益的损害看，对主体生命健康所造成的伤害通常不可逆，而个人数据和隐私信息能够通过及时删除而停止侵害，且匿名化等数据脱敏措施能够尽可能地减轻其权益损害。正是因为个人医疗数据使用中知情同意受保护的权益不同于传统受试中的权益，这些差别使得人们处于数据主体的角色中仍能够接受自主权让位于公共利益，从而使实现公共利益能够成为限制个人知情同意的事由。

3.2 以保障主体知情同意为前提的数据商业共享

医疗卫生机构为商业用途对大数据共享是对个人医疗数据的再利用。一方面，商业利益不同于公共利益，实现商业利益不能作为限制个人知情同意的事由；另一方面，只有在保障个人权益的前提下才能对数据进行商业共享，否则必须征得数据主体知情同意。

将数据用于商业目的不能作为限制数据主体知情同意的事由。有学者分析由黑格尔提出的近代意义上国家与市民社会的概念，并在此结构上确定公共利益之所处：一方面国家承认市民社会的独立性，使市民社会具有合法的活动空间；另一方面国家对市民社会无力解决的利益方面的矛盾和冲突进行协调[13]。可见，公共利益与个人权益之间的冲突不属于在市民社会中能解决的冲突，应由国家或政府予以协调。个人与医疗卫生机构两者之间的关系无涉公共利益，而是处于平等地位并按照自己或共同的意愿自主行事。因此，商业利益(医疗卫生机构对大数据商业共享)并不优先于个人自主权，不是限制个人知情同意的事由。

若大数据没有阻断与个人数据的关联性，那么数据主体知情同意是大数据商业共享的必要前提。公共利益是未经个人知情同意而公开其数据的事由，公共利益主体不特定且公共利益的享有具有非排他、不可分性[14]；在大数据商业共享中商业利益的主体及其利益享有限于医疗卫生机构或企业。数据主体与医疗卫生机构之间的平等地位，数据主体权益不应被数据利用者的任意干预，应通过知情同意实现主体意思自治进而保障其权益。如果医疗卫生机构不能做到完全的匿名化，那么在数据搜集、分析和大数据共享的各个环节都须征得数据主体知情同意。

3.3 个人医疗数据利用中的伦理原则

在传统受试或医疗场合中告知原则、自主原则与合理限制原则是知情同意的基本原则[2]。在个人医疗数据利用中，实现公共利益是限制个人知情同意的事由；但若大数据没有阻断与个人数据的关联性，那么数据主体知情同意是大数据商业共享的必要前提。伦理原则应结合两种情形加以考虑。

第一，告知原则。医疗卫生机构将大数据用于商业用途，应充分告知数据主体在个人医疗数据利用过程中(收集、储存以及共享等)的风险，充分告知要求数据主体在充分了解风险之后同意利用其个人数据才能有效，防止其以隐瞒、引诱以及欺骗等方式取得数据主体的同意。为实现公共利益，政府仅告知数据主体公开个人医疗数据的依据与理由即可。

第二，自主原则。该原则要求医疗卫生机构对大数据商业使用但不能完全脱敏时，应明确征得数据主体知情同意。同意形式以明示为主，严格限制概括同意。政府为实现公共利益而公开个人医疗数据时，不以个人知情同意为必要前提，但应尽量减少个人权益的损害。

第三，合理限制原则。医疗卫生机构对大数据的商业共享应按照数据主体知情同意授权为范围进行，对个人医疗数据的利用不得超过对数据主体所告知同意的范围、时长。依照公共利益进行的项目，政府应当采取必要的匿名化等脱敏措施，尽量减少对个人权益的侵害。在公共利益实现之后，须及时地删除所公开的信息。

4 个人医疗数据利用中保障知情同意实现路径

4.1 完善数据主体知情同意权益立法

将知情同意作为保护主体权益的基础，协调好个人权益与数据商业共享之间的关系。明确数据利用者的使用范围，数据主体共享者应当在主体授权内利用其信息，尤其是细化在数据共享环节中主体知情同意规则，进一步完善数据利用者的安全保障义务。

首先，数据主体向数据利用者的处分内容仅限于使用和收益。个人数据是人格权的客体，承载着人格权益和财产权益。个人医疗数据信息兼有财产权益的属性，但仍属于人格权，即使确认了数据主体的知情同意权，也不意味着数据主体的人格权益被转让。

其次，针对个人数据的类别和敏感程度设计同意规则。不同类型的个人信息，数据主体个人生活和人格尊严的关联程度也有所差异。医疗卫生机构对敏感个人数据(如姓名、住址、基因信息等)应当征得数据主体的明示同意，对与个人生活关联程度较低或已经公开的个人数据可以弱化同意规则[7]。

最后，确立医疗卫生机构对个人数据匿名化处理的规则，阻断数据信息与个人身份的相关性，数据共享的阻碍也会降低。除确定数据主体对个人信息删除权之外，建议将此类权能以被遗忘权的概念，作为个人信息权的内容[15]，数据利用者在达到特定目的之后应及时将数据删除。

4.2 政府的合理利用与严格监管

政府本身不仅是数据利用者，也应该是其他数据利用机构的监督者。一方面，“法无授权不可为”，政府公开个人医疗数据应符合法律规定及其目的。根据《政府信息公开条例》第十五条、第二十条所述，应当将公开信息的公共利益的具体情形进一步细化，公共利益越重要越倾向于公开，应在寻找可代替公开的解决方案之后决定对涉及个人信息的主动公开。公开过程应遵循最小伤害原则，采取必要匿名化措施使个人权益的损害降至最低，在目的实现后及时将公开信息删除。

另一方面，政府应帮助数据机构构建将技术数据主体的权益内化嵌合于技术的行业、国家标准[1]，按照利用目的的不同采取不同的标准，尽量避免主体权益损害。建立健全相应的法规规章，以保障主体知情同意。以公权力的形式强制数据机构贯彻落实标准及规范，对医疗卫生机构进行监管。让专门机构对符合行业要求的医疗卫生机构给予许可，根据行业标准设定明确合理的处罚标准作为处罚依据，赋予专门的机构对不符合行业要求的医疗卫生机构处罚的权力，对不符合行业规范的数据利用者及时采取措施。

5 结语

相比传统知情同意保护受试者生命健康权益，在个人数据利用中，个人医疗数据所承载的人格权益和财产权益均是知情同意所保护的权益。基于国家与市民社会的概念结构区分公共利益和商业利益，数据主体知情同意在不同所处中的必要性也不同。在实现公共利益的场合中，公共利益先于个人自主权，知情同意所保护权益的转变使得数据主体知情同意不再绝对化；在大数据用于商业目的时，大数据的共享是对个人数据的二次利用。如果数据的匿名化没能阻断与个人信息之间的联系，那么数据主体的知情同意是大数据共享的必要前提。介于此，政府在公开个人医疗信息时应尽量减少对数据主体的侵害；医疗卫生机构将数据用于商业目的时，应充分保障数据主体知情同意。