大数据时代个人医疗信息利用的入罪界限
——对《刑法》第二百五十三条之一的再思考

医疗领域的大数据利用,既关系国民生命健康品质的实质提升,也存在侵害个人信息的风险。有学者认为“对个人信息保护”和“对个人信息利用”之间的矛盾是我国个人信息保护立法的三大矛盾之一①张新宝《我国个人信息保护法立法主要矛盾研讨》,《吉林大学社会科学学报》2018年第5期,第45页。。纵观诸国医疗信息的立法演变,呈现出从对医疗信息的严格刑法保护到促进医疗信息有效利用的倾向。以日本为代表,近期相关立法在设计上为医疗大数据的有效利用提供了宽松的制度环境,排除了刑法介入的空间。在我国也日渐重视医疗大数据社会价值的背景下,侵犯公民个人信息罪作为刑法上医疗大数据有效利用的制度隐患,在具体构成要件要素上,需要做更为实质的解释,以厘清其治理边界,为我国医疗大数据的有效利用扫清障碍。

一 医疗信息的特殊性

医疗信息一般是指公民在医疗保健过程中产生的、由医疗机构制作和获取的公民个人信息。一般表现为公民个人的身体数据、既往病史、检验或鉴定报告等形式。医疗信息是由公民的身体或行为所产生的信息,当然属于公民个人信息的范畴。但医疗信息由于其内容的特定性,又具有区别于其他一般个人信息的特殊性,具体体现在以下三个方面。

(一)极度的敏感性

由于医疗信息的内容往往是患者个人的身体数据、过往病史等,而患者的个人身体数据如DNA 信息、血型状况、骨骼状况乃至三围数据往往是与患者个人紧密联系的,是个人控制力度最强的生理信息,具有高度的私密性。在日常生活情景下,一般人都会认为个人的身体数据是高度敏感的信息,不愿意对公众公开。而对于既往病史类的医疗信息,由于其涉及到了患者本人的病史、病种、病情等,一般也认为其具有高度的私密性与敏感性。尤其是对于某些可能会引发社会歧视的传染病症的医疗信息,更是具有极端的敏感性,一旦泄露将会给患者带来精神上的痛苦乃至实质上的损失。这都与一般性个人信息如电话号码、身份识别号码等不同。

(二)高度的价值性

“医疗以医学研究的持续积累为基础而不断进步。而医疗的持续进步离不开对医疗信息的活用。”①甲斐克则《医疗信息保护与利用的刑事法问题——以精神鉴定医泄露秘密案最高裁决定为契机》,刘建利译,《法学论坛》2014年第5期,第30页。医学尤其是临床医学和药学作为应用型科学,其每一项医学研究和医疗技术的发展都需要大量的实验与数据为基础,通过对海量的病患信息进行分类归纳和类比可极大地推进医学进步,运用大数据进行研究的医学论文数量自2012年以来呈现出飞跃性增长趋势②中山健夫監修,21世紀医療フォーラム編『医療ビッグデータがもたらす社会変革』,日経BP社2014年版,第1页。。而医学的发展最终指向的是社会医疗福祉和全体人类健康水平的提高。从这个角度上来看,医疗信息又具备其他信息所不具有的对全人类整体性的巨大价值。

(三)规制方法的特殊性

鉴于医疗信息所具有的敏感性和价值性,在大数据时代,用与其他个人信息相同的规制方法对其进行规制,既容易造成医疗信息利用时因技术标准不当而导致医疗信息的泄露而造成巨大的损害,也更容易倾向于因过度的保护而抑制医疗大数据巨大价值的利用。因此,对于医疗信息需要特殊的规制手段和利用标准。世界各国往往都出台了专门规定医疗信息利用的法律法规和技术标准,如日本就出台了《针对医疗护理行业者的个人信息收集适当处理指南》。

二 传统的立场:个人医疗信息的严格保护

(一)个人医疗信息的保护:从道德义务到刑法法益

医术也被称之为沉默的艺术,和患者有关的秘密要保持沉默,这是自古代以来就为医生所必须注意的事情。有学者考证,医生的保密义务起源大约可以追溯到2800年前的古代。在希波克拉底誓言当中,就有如下的记述:凡我所见所闻,无论有无业务关系,我认为应守秘密者,我愿保守秘密。这一时期,对医生的保密要求还不是法律上的义务,只是医生职业道德上的内在要求。此时医生对于患者信息的保护,还属于伦理或道德上的义务。

此后,作为医生职业伦理的沉默义务,于各国经诸多法律规范确立为法律义务,位于各个法律的根源的共同的基础,这种道德义务在法律解释上的意义一直在持续。时间进入近代,医生地位之重要性逐渐增加,且出于对国民健康的维护,各国逐步制定法律规范附加给医生相关义务。其中,医生的保密义务开始带有法律拘束力,比如1725年普鲁士《医疗命令》当中规定,与健康相关的制度要想发挥足够的功能,必须要保证国家的机能,因此,其后制定了诸多医疗规则,其中就包含了对医生保密义务的规定。1794年《普鲁士一般法》首次以法律的形式来对医生保密义务进行规制,并通过刑罚来惩治医生泄露医疗信息的行为③医生、外科医师与助产人员就自己所知道的疾病和非犯罪相关的家族秘密,不得向任何人泄漏。违反者,根据情节将给予5-10泰勒(15-19世纪德国银币)的罚金。这一规定,并不是因泄漏秘密导致患者人格权侵害而设置刑罚,而是针对医生违反应该履行的义务所给予的刑罚处罚。。这一规定,经过1851年的《普鲁士刑法》第一百五十五条、《北德意志刑法》第二百九十六条、1871年《莱比锡刑法》第三百条的规定,于1975年被德国刑法典继承至今。现行《德国刑法》第二百零三条规定的私人秘密侵害罪④“医生、牙医、兽医、药剂师或者其他为执行业务行为或使用职务称谓而需要国家所规定教育之医疗职业成员,无故泄露因自己身份而知晓的他人秘密,特别是私人生活领域的秘密或经营业务秘密的”,构成私人秘密侵害罪。,其所保护的是针对保持秘密的个人法益,是在宪法上也受到保障的“一般人格权”的一部分,即“信息自我决定权”①Vgl.Schönke/Schröder/Lenckner.St GB,27.Aufl.,2006,203,Rn.3.。另外,对特定职业、行政机关等主体的保密行为的一般信赖——这一公共利益,也被认为是需要保护的法益。德国相关观点认为,医生刑法上的保密义务,除了追求个人利益之外,也一并保护社会的或者集体的法益。

而在日本,对于患者个人信息的保护也非常严格。从立法的经纬来看,不管是明治13年制定的旧《刑法》第三百六十条,还是明治40年通过的现行《刑法》第一百三十四条②日本《刑法》第一百三十四条第一款规定:“医师、药剂师、医药品贩卖业人员、助产师、律师、公证人以及从事这些工作的人,在不存在正当理由的情况下,泄露在从事业务中所得知的他人秘密的,处6个月以下有期徒刑或者10万日元以下罚金。”,都将医生泄露患者信息归类为侵害社会法益的犯罪,重点关注医生的“守密义务”,将行为主体限定为“在从事业务中知悉他人秘密”的人。这与明治7年开始的医师制度以及其后制定的一系列规则的内容和精神相一致。这一内容也毫无例外地被昭和23年通过的《医师法》和《牙科医师法》所继受,并影响到现行《刑法》第一百三十四条第一项。

在2006年发生的奈良县医生泄露放火、杀人案少年犯精神病信息一案中,作为鉴定医生的被告人,受法院委托,就涉嫌放火、杀人案的嫌疑人——少年A 的精神状态进行鉴定,并将所获知的A 的心理状态、心理检查结果等信息提供给某杂志社,供记者进行新闻报道所用③奈良地判平成21.4.15刑集66卷4号440页,判時2048号135页。。最高裁判所对泄露患者秘密的医生作出了维持有罪判决的决定:“医生基于知识和经验,被法院委托,进行包括诊断在内的医学判断为内容的鉴定活动的时候,属于医生实施业务行为,在该业务行为过程中所知悉患者的秘密,没有正当理由予以泄露,符合刑法第一百三十四条第一款的泄露秘密罪。”④最决平成24.2.13刑集66卷4号第405页。并补充指出:“《医师法》第十七条所言的医疗行为当中,实施针对患者的诊察、治疗业务中,医生和患者之间具有信赖关系,即使是和意识不明的患者之间,也可以通过合理的意思推测,来认定信赖关系的存在。基于这种信赖关系,患者才将病情、身体和精神特征等隐私信息,以及与此相关的第三人的信息,告知给医生。基本医疗行为正是在知悉秘密的前提下,才得以成立。《刑法》第一百三十四条泄露秘密罪的宗旨在于,重视在实行基本医疗行为中总是经常性地接触和保管患者等人秘密的医师业务,把泄露在业务过程中所知悉的秘密的行为规定为刑罚对象。因此,本罪的第一个目的是为了保护这些患者等人的秘密。”⑤甲斐克則『医療情報の保護と利用の刑事法的問题点』,载西田典之等《刑事法医事法新たな展開》,第66-67页。

关于泄露秘密罪的保护法益,传统观点一如日本最高裁判所法官的论述,只是具体的信赖保护利益,也即立法本意是将本罪所保护的重点放在当事人(如患者与医生)之间的具体信赖关系上。但是出于对本罪法益的重视,有观点将本罪的法益升格为社会信赖保护。如精神鉴定医生泄露患者秘密一案的补充意见认为,日本的泄露秘密罪“首先,是为了保护患者等的秘密,其次,是让患者等安心才能对医生开示自己的疾患信息(秘密),进而保障医生的基本医疗行为能够妥当地进行,也即是为了保护医生的业务本身”。这种社会信赖保护说受到越来越多的学者的支持⑥佐久間修『鑑定医による秘密漏示事件』,甲斐克則等《医事法判例百選(第2版)》,有斐阁2014年版,第56页。。

在我国,2009年出台的《刑法修正案(七)》首次将出售、非法提供、非法获取公民个人信息的行为认定为犯罪,为保护公民个人信息奠定了刑法基础。但由于《刑法修正案(七)》规定的非法获取公民个人信息的犯罪主体和侵犯个人信息行为的范围太窄,2015年出台的《刑法修正案(九)》对本罪条文进行了修改,正式设立了“侵犯公民个人信息罪”,并扩大了犯罪主体和侵犯个人信息行为的范围。2017年5月8日最高人民法院、最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),并于6月1日正式施行。“在公民个人信息泄露严重、利用公民信息的违法犯罪活动猖獗、公民生活安宁得不到保障的社会背景下,《解释》为公民个人信息的安全使用撑起了一把保护伞。”⑦付玉明《侵犯公民个人信息案件之“批量公民个人信息”的数量认定规则——〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉第11条第3款评析》,《浙江社会科学》2017年第10期,第24页。

三 转变的前提:大数据时代医疗信息的特殊性与社会价值

“大数据”一词自2010年在英国《经济学家》杂志首次出现,由美国政府使用并推广以来,数年间就为各国政府、企业在政策实施及商业战略制定中大力倡导和使用,成为人类行为选择的趋势①Daniel A.Farber，“The rule of law and the law of precedents，”Minnesota Law Review，90 no.5（January，2005）:1173.。“大数据”区别于传统数据的独特性在于压倒化的巨量性、数据种类的丰富性以及通过真实数据进行分析的快速性②左卫民《迈向大数据法律研究》,《法学研究》2018年第4期,第141页。。通过对大数据的有效利用所产生的新型附加值备受关注,并逐步在各个领域当中推广使用。医疗大数据的积累和分析所得到的成果,其重要性已经得到一致的认可,有效利用的框架已经开始在包括日本在内的各国形成。

从公共卫生、健康政策、医疗评价、医疗政策到医疗变革(向疾病预测预防的医疗转向)、新医疗技术的创设(包括药物创新)等领域,医疗大数据的使用范围正在变得更广。其最值得关注的应该是能够贡献于医疗健康的实质性改善、创新的推进部分,如日益产生的庞大诊疗数据、表现为信息爆发的基因信息的分析成果的反馈。另外,医疗大数据带来的包括相关服务和商业在内的社会范式的转变等,也备受期待。基于医疗大数据的有效利用,可能产生的主要社会价值包括表1所示方面。

表1 医疗大数据的价值类型

目前的医疗以发病后接受医学处理的治疗为中心,而在未来,通过对个人遗传、生活信息等大数据的分析,针对每个人发病风险的对策,可以在发病前制定并实施。与此同时,也可以在发病后为患者进行定制化的医疗。而且,医生基于治疗后的预测,对于病患的康复护理都能实现定制化服务,实现医疗对策质量的最优化。同时在当下大规模疫情应对方面,包括患者、疑似患者及密切接触者等个人信息的医疗大数据的收集与利用对疫情防控与社会情绪的稳定具有重要作用③江海洋《论疫情背景下个人信息保护——以比例原则为视角》,《中国政法大学学报》2020年第4期,第183页。。

四 新型趋势:大数据时代医疗信息有效利用的制度促进

(一)大数据时代医疗信息有效利用的方式转型

在医疗、健康领域,大数据的运用最开始是以事务处理的效率化为目的进行推进。在日本,医疗大数据的原始形态包括“诊疗报酬请求明细数据、有关的临床数据、药局的配药数据、健康诊疗的数据等。这些大数据信息的形成都是为了提高医疗行政和保险业务等办理的效率”④山田亮『ライフサイエンス領域におけるビッグデータの利活用』,『週刊医学界新聞』2015年第3107号。。然而,随着大数据时代的到来,医疗信息的有效利用有助于提高医疗质量和效率,增强医疗、健康领域的研究开发。因此,医疗信息的利用方式也开始转型,各国中央政府不再将医疗大数据作为提高医疗边缘事项效率的工具。“2013年,英国建立了英国国民医疗服务系统(National Health Service,NHS)。2013年5月,奥巴马政府宣布了‘大数据的研究和发展计划’”⑤刘孝男、付嵘、李连磊《大数据时代,医疗行业信息安全面临的机遇与挑战》,《中国信息安全》2018年第7期,第100页。,而日本政府甚至将大数据时代健康、医疗和护理作为经济正增长的一个重点领域⑥宇賀克也『次世代医療基盤法:医療ビッグデータの利用と保護』,《ジュリスト》2018年第1522号,第88-93页。。在《日本再兴战略(修订2015)》就曾提出,到2020年的5年间是集中投入时间,将在医疗等领域彻底推进ICT 化⑦『「日本再興戦略」改訂2015―未来への投資?生産性革命―』,参见首相官邸网站:http://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/dai1jp.pdf.最后访问日期:2018年10月1日。。其后,作为增长战略而新制定的《未来投资战略2017》也就医疗大数据的有效利用加以继承①『未来投資戦略2017―Society 5.0 の実現に向けた改革―』,参见首相官邸网站:https://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/miraitousi2017_t.pdf.最后访问日期:2018年10月1日。。厚生劳动省在2017年1月设置了“数据监控改革推进总部”,来推进通过充分利用保健医疗数据来实现国民健康生活的“数据健康改革”。因此,医疗大数据的利用,已成为日本政府推进发展战略的重点策略之一。

(二)大数据背景下医疗信息有效利用的制度促进

在日本,关于医疗信息的利用除了有前述的泄漏秘密罪的限制之外,还受到《个人信息保护法》的制约②日置巴美『健康·医療情報の活用と個人情報保護法制その他の関係法令(1)』,《NBL》2017年总第1098号,第4页。,2015年9月该法被修改,更是将病历、诊疗结果等医疗信息归属到“需谨慎对待的个人信息”当中,这些信息通过OPT-OUT 方式③所谓OPT-OUT 方式是指,预先对本人通知将个人数据向第三者提供,或者本人对此有认识,只要本人不明确反对,即视为同意,可以向第三者提供。禁止向第三方提供。如若将医疗信息向第三方提供的话,原则上必须事前取得每一个患者的明示同意。如果不满足《个人信息保护法》的规定提供患者信息,将受到刑法泄露秘密罪的处罚。

为此,日本要对医疗大数据进行有效利用的话,需要在法律制度上做好保障。2017年4月《未来医疗基础法》被制定出来。基于该法的规定,受到国家许可的“认定行业者”能够收集医院、药局等医疗机构所拥有的医疗信息,进行匿名化处理,可以向第三方提供。这成为了《个人信息保护法》限制提供个人信息的例外,患者的医疗信息数据的利用有望被激活。

《未来医疗基础法》所规定的医疗个人信息基本流程是:患者到医疗机构接受治疗,除非明示拒绝任何人将自己的个人医疗信息进行流转,否则医疗机构是可以将患者的医疗信息传送给认定行业者,由认定行业者对这些信息进行匿名化处理。当然,认定行业者需要通过高度信息安全认定来进行担保,否则就不能对这些信息进行匿名化处理。匿名化处理后的信息是无法识别个人以及难以复原的加工后的信息。这些匿名化处理后的信息会被流转到研究机构、医疗机关、制药公司或者卫生行政机关,它们作为信息的利用者,依托这些医疗大数据信息进行新药开发、疗效分析或者疾病控制等,最终向国民或者医院反馈,从而具体应用到患者的治疗当中。

该法具有下述三方面特性。

首先,关于匿名加工医疗信息的利用目的,《未来医疗基础法》规定为“为行政机关、学术研究机构以及以制药企业为代表的民间企业所有效利用”。具体来说,是“使用关于治疗评价的大量治疗数据,实施大规模的研究,统合相关疾病在不同的医疗机构、治疗领域的信息、治疗成绩评价,有效使用人工智能,进行图像数据分析,使得从一般性的支援医生诊断到治疗最尖端的治疗辅助软件的开发等,都成为可能”④第193回国会衆議院内閣委員会議録第6号第3頁(平29.4.12)。。

其次,《未来医疗基础法》将“医疗信息”界定为特定个人的病历,以及其他该个人身心状态相关的信息。使用者需要特别注意在使用这些信息时,不能因该身心状态信息,对该个人及其子孙带来不当差别、偏见及其他不利,也不能通过相关法律规定的个人信息识别出特定个人情况等。另外,“匿名加工医疗信息”是指,以无法识别特定个人为目标,将医疗信息进行加工所得到的和个人相关的信息,并且该医疗信息无法复原。

再次,《未来医疗基础法》的核心主体是“认定行业者”。“认定行业者”是实施匿名加工医疗信息制作行业的主体,以制药企业为代表的民间企业需要通过申请,得到相关主管大臣的认定,才能被认定为能够合法且可靠地进入该行业。主管大臣在进行认定之前,必须要和个人信息保护委员会进行协商讨论。患者本人在医疗机构接受治疗时,会预先收到自己的医疗信息向“认定行业者”提供的通知,如果患者没有明示拒绝的话,则视为允许提供。“认定行业者”接受来自医疗机关提供的包含个人信息的医疗信息,并对医疗信息进行匿名加工,使得该信息难以识别个人,最后将匿名加工后的信息向第三者提供。

五 本土语境:我国侵犯公民个人医疗信息入罪的限缩解释

在大数据时代,我国也不能无视医疗信息有效利用的价值。2015年国务院《促进大数据发展行动纲要》指出:“在全球信息化快速发展的大背景下,大数据已成为国家重要的基础性战略资源,正引领新一轮科技创新。”2016年《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》提出“健康医疗大数据是国家重要的基础性战略资源”。2018年4月《关于促进“互联网+医疗健康”发展的意见》规定,要“研究制定健康医疗大数据确权、开放、流通、交易和产权保护的法规”。根据以上文件内容及精神,《国家健康医疗大数据标准、安全和服务管理办法(试行)》制定出台。

在我国,目前个人信息立法中存在的突出问题之一就是“普遍重责任追究,尤其是刑事责任追究,轻过程规范,轻综合治理。只要发生不利结果,就责任很重,甚至可以直接刑罚制裁”①周汉华《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,《法学研究》2018年第2期,第14页。。医疗大数据有效利用的最大风险是刑法中所规定的侵犯公民个人信息罪。目前国内因医生提供和企业获取患者医疗信息而获罪的案件屡有发生。比如在张聪侵犯公民个人信息一案中,“被告人张聪在担任社区卫生服务站公卫医生期间,利用其负责公卫资料录入及掌握珠海市卫计局社区卫生服务信息系统的账户、密码的职务之便,在水拥社区卫生服务站内,通过QQ 以人民币400元的价格向孙某贩卖了约98009条珠海市患者的个人信息”,最终法院认定构成侵犯公民个人信息罪②《张聪侵犯公民个人信息一审刑事判决书》,珠海市香州区人民法院(2017)粤0402刑初159号刑事判决书。。又比如在邬某某、厉某某侵犯公民个人信息一案中,“被告人作为舟山开心人医疗产业有限公司采购人员,为获取其他医药机构的药品价格信息及药品销售情况,登录舟山市社会保险事业管理局的‘舟山市医保交互平台’,从该平台查看并非法下载病人的医保就诊数据”,被认定为构成侵犯公民个人信息罪③《邬某某、厉某某侵犯公民个人信息一审刑事判决书》,舟山市定海区人民法院(2017)浙0902刑初78号判决书。。如何在有效利用医疗大数据的流程中,防止《刑法》中侵犯公民个人信息罪成为负面因素,应成为我国理论和实务界所关注的核心问题。

(一)制度隐患:侵犯公民个人信息罪对医疗信息有效利用的限制

2015年《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围,体现了我国《刑法》对于公民个人信息的保护态度。但是,公民个人医疗信息所构成的医疗大数据是把双刃剑,具有极端的二重性。一方面,个人医疗信息往往事关公民的切身利益和个人隐私,具有极端的敏感性;另一方面,社会医疗保障体系的构建,医疗技术的数字化革命,医学研究的不断发展,都离不开医疗大数据的利用,具有极端的价值性。“不要仅仅因为是高度敏感性信息,就否定其公益利用的必要性”④宇贺克也《日本医疗领域的个人信息保护》,杨琴、余梦凝译,《贵州社会科学》2017年第8期,第54页。。我国现行《刑法》第二百五十三条之一“侵犯公民个人信息罪”及相关司法解释,虽然体现了法律加强对公民个人信息保护的态度,但也存在限制医疗大数据运用的因素。

1.“违反国家有关规定”对医疗大数据利用的限制

《刑法》第九十六条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,并将其中的“违反国家规定”改为“违反国家有关规定”。最高法、最高检的《解释》第二条将“违反国家有关规定”界定为“违反法律、行政法规、部门规章有关公民个人信息保护的规定”,对公民医疗信息大数据化的利用产生了限制作用。

首先,《刑法》二百五十三条之一规定“违反国家有关规定”,实际上是起到了提示违法性的作用。本罪的“违反国家有关规定”是在向司法者提示本罪的构成要件的消极事由⑤江耀炜《大数据时代公民个人信息刑法保护的边界——以“违反国家有关规定”的实质解释为中心》,《重庆大学学报(社会科学版)》2019年第1期,第155页。。“国家有关规定”实际上成为了公民个人信息合法利用的依据。《解释》第二条将全国人民代表大会及其常务委员会的决定、国务院规定的行政措施等排除在外,某种程度上限缩了公民信息大数据化收集、处理和利用的相关依据。

其次,《解释》第二条将国务院部门规章纳入到国家有关规定的范畴中来。但是,我国现行部门规章中除工信部于2013年出台的《电信和互联网用户个人信息保护规定》外,并没有专门规定关于公民个人信息尤其是医疗信息保护的规章,而关于公民个人信息保护尤其是医疗信息保护的规定零星地散布于不同部门颁布的大量规章中,如《结核病防治管理办法》第三十三条、《食品药品监督管理统计管理办法》第八条等。“部委规章涉及规定个人信息保护的领域比较宽泛,但是对个人信息的保护依然是泛泛规定,多为碎片化内容,法律操作性不强”①王秀哲《我国个人信息立法保护实证研究》,《东方法学》2016年第3期,第63页。。再者,现行部门规章对于公民个人信息保护尤其是医疗信息保护的规定往往比较绝对化,如《结核病防治管理办法》第三十三条规定:“在执行公务中应当保护患者的隐私,不得泄漏患者个人信息及相关资料等。”在条文上排除了对于其医疗信息利用的例外规定。而《医疗机构病历管理规定》第十五、十六条②《医疗机构病历管理规定》第十五条规定:“除为患者提供诊疗服务的医务人员,以及经卫生计生行政部门、中医药管理部门或者医疗机构授权的负责病案管理、医疗管理的部门或者人员外,其他任何机构和个人不得擅自查阅患者病历。”第十六条规定:“其他医疗机构及医务人员因科研、教学需要查阅、借阅病历的,应当向患者就诊医疗机构提出申请,经同意并办理相应手续后方可查阅、借阅。查阅后应当立即归还,借阅病历应当在3个工作日内归还。查阅的病历资料不得带离患者就诊医疗机构。”对于公民病历等医疗信息的收集与利用程序也作了相当严格的规定,制约了相关主体对公民医疗信息大数据化的利用。

2.“向他人出售或提供”对医疗大数据利用的制约

“向他人出售或者提供公民个人信息”属于本罪重要的构成要件要素,从行为要素上体现了本罪所要保护的法益。但是,在信息高度流通化、财产化的大数据时代下,将“向他人出售或提供”做形式解释,也会给医疗大数据的利用埋下入罪的隐患。

首先,“向他人出售或者提供公民个人信息”中的“他人”的范围界定过于宽泛和抽象。在如今现代化系统化的医疗体系中,患者于医疗保健机构就医受诊过程时,公民的个人信息尤其是医疗信息如身体数据、既往病史、检验报告等常常需要在不同的医务人员中流转。特别是近年来,随着团队医疗、医药分工合作的发展,与医疗信息保护要求的高涨相反,信息传达的必要性在增强,而其流转的范围也在扩大。在这个过程中,必然会涉及到向广义上的“他人”提供和交换公民医疗信息的行为。过于广泛而模糊的“他人”的定义会使得医疗诊断的进行陷入刑法规制的困境。

其次,“出售”和“提供”两种行为的差别性规定也存在着隐患。出售一般是指具有对价的交易行为,而提供则是无偿行为。“出售”行为一般表现出牟利的目的,会被认为社会危害性较重。在司法实践中,侵犯公民个人信息罪的客观行为也主要以“出售”为主③参见:《吴华添、黄斌公民个人信息一审刑事判决书》,舒城县人民法院(2017)皖1523刑初53号;《穆某某、鲍某侵犯公民个人信息一审刑事判决书》,滕州市人民法院(2018)鲁0481刑初91号;《石某犯侵犯公民个人信息罪一审刑事判决书》,龙岩市新罗区人民法院(2016)闽0802刑初465号。。《解释》第三条规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”这从反面确定了“提供”公民个人(医疗)信息的例外条件,射程在形式上不及于“出售”行为。这似乎符合一贯以来《刑法》对“出售”行为着重打击的态度。但是,以对价的有无作为评价法益侵害性大小的标准是有待商榷的。在信息流通化和财产化的大数据时代,对于出售行为仍然站在保守的立场上进行差别对待,不利于激发大数据潜在价值。美国顶级的癌症研究中心——纪念斯隆凯特林癌症中心近期提出,将把病人数据独家提供给人工智能创业公司Paige.AI并从中获利。而我国早在2015年,贵阳大数据交易所的业务板块中就已经有了医疗板块④商希雪《个人信息隐私利益与自决利益的权利实现路径》,《法律科学》2020年3期,第81页。。如果仅仅规定了“提供”行为的例外条款,而对“出售”行为采取绝对排除的态度,要求只能进行有限度的无偿提供行为,显然不符合现实情况。

(二)保障路径:通过实质解释促进医疗信息的有效利用

由于我国现行《刑法》第二百五十三条之一及相关司法解释偏重于对公民信息的保护,对于大数据,尤其是医疗大数据的收集、处理和利用实际上进行了较为严格的限制。那么,如何在现行严格的《刑法》规定下,让合理的医疗信息大数据化运用避免受到刑事规制,成为了一个亟待解决的重要问题。对此有必要对侵犯公民个人信息罪构成要件的部分概念进行实质解释,将部分行为排除出刑法规制的领域,合理限缩有关罪名的构成要件⑤张忆然《大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角》,《政治与法律》2020年第6期,第53页;张勇《APP个人信息的刑法保护:以知情同意为视角》,《法学》2020年第8期,第121页。。

1.“违反国家有关规定”范围的实质解释

如上文所言,《刑法修正案(九)》将原先的“违反国家规定”更改为“违反国家有关规定”,2017年的《解释》又进一步将“国家有关规定”的范围确定为“违反法律、行政法规、部门规章有关公民个人信息保护的规定的”。我们究竟应当如何理解这些变化?是否所有公民个人信息保护的规定在医疗大数据利用的过程中,都需要得到满足以保障合法?

有学者认为“违反国家有关规定”不同于“违反国家规定”,前者的范围更为宽泛①喻海松《网络犯罪的立法扩张与司法适用》,《法律适用》2016年第9期,第2页。。原因在于“违反国家有关规定”将“违反国家规定”中所没有的部门规章纳入其中,也符合了《刑法修正案(九)》和《解释》对公民信息扩张性保护的原则。但应当注意到的是,“违反国家有关规定”在将部门规章纳入其中的时候,又将全国人民代表大会及其常务委员会的决定等排除在外,而实际上这一部分也存在着诸多关于个人信息保护的规定,如《全国人大常委会关于加强网络信息保护的决定》等,因此很难说“违反国家有关规定”的范围较“违反国家规定”究竟是扩大了还是缩小了。

既然从范围上难以确定“违反国家规定”与“违反国家有关规定”的差异,那么又应当如何理解从前者到后者的立法变化呢?其关键在于“有关”的表述。“违反国家有关规定”不是指形式上所有有关个人信息的规定,而是实质上有关该特定种类涉案信息保护的规定。如对于公民网络信息,《网络安全法》《电信和互联网用户个人信息保护规定》就可以被认定为有关规定。而对于不涉及网络因素的特殊的公民医疗信息,规制电信业务经营者、互联网信息服务提供者的相关规定就很难被理解为“有关规定”。这也解释了为何“国家有关规定”要将原本不属于“国家规定”的部门规章纳入其中,其原因就在于国务院部门鉴于其主管事务的专门性,所出台的部门规章往往具有专业性和专门性。因此,为了满足“有关性”,需要将部门规章纳入其范围中去。总而言之,在规范体系中,当不存在针对医疗信息利用的约束性规定,那么《刑法》就不能以违反概括性的或者其他领域中信息利用的约束性条款,来对医疗信息利用行为,以“违反国家有关规定”为由加以入罪。

2.“他人”的实质解释

侵犯公民个人信息罪的条文中规定了“违反国家有关规定,向他人出售或者提供公民个人信息”,正如前文所述,过于宽泛和模糊的“他人”的概念会使得正常的医疗信息传递陷入构罪的危险之中,因此有必要对“他人”的范围进行实质解释。

首先,对于共同参与医疗诊断行为的医疗体系的内部机构和人员,不宜认定为“他人”。日本《针对医疗护理行业者的个人信息收集适当处理指南》中,同一医院内部的信息交换,不被视为向第三方提供②『医療·介護関係事業者における個人情報の適切な取扱いのためのガイダンス』第四章第五条第四款第2项。。然而在现代医疗体系中,由于区域医疗联合体的发展③区域医疗联合体,是将同一个区域内的医疗资源整合在一起,通常由一个区域内的三级医院与二级医院、社区医院、村医院组成一个医疗联合体。2017年5月,国务院办公厅印发指导意见,全面启动医疗联合体建设试点,推动医疗资源下沉,病人双向转诊,逐步缓解看病难问题。以及跨医院联合性医疗行为的增多,即使是不同医疗机构,只要是医疗体系中组成的医疗团队,也应当排除出“他人”的范围。第一,从实践上来说,现代化医疗技术的实现和发展,需要大量的不同类别甚至是不同病院的医务人员共同参与到某一个特定的诊疗行为之中,如果不将这些人排除出“他人”的范围,必然会造成在诊疗过程中信息传递时的违法性危险。尤其是在一些紧急状况时,往往没有时间进行这些排除违法性的工作。当然,在德国,也有学者认为此时应当推定患者默示的同意以阻止违法性④参见:村山淳子『医療情報の第三者提供の体系化(一)』,『西南学院大学法学論集』2006年第3号,第13页。。但该理论的问题在于,如果患者明示反对该种信息的传递,被推翻的默示的沉默就无法排除违法性,现代化的团队医疗体系就将陷入刑法苛责的困境中而无法运作,进而难以保障医疗效果。因此,现代医疗实践和健康发展要求将这部分人员排除出“他人”这一犯罪构成要件。第二,从理论上来说,患者之所以能够在受诊过程中将个人医疗信息告知医院,正是基于其对为自己进行诊疗的医务人员的信赖,而这种排他的信赖关系也正产生了传统意义上的医务人员守密义务。然而如前所述,在如今一体化的医疗体系中,患者所信赖的对象范围扩大至整个医疗体系,基于这种信赖关系,而得以自然地在该范围内传递患者个人医疗信息。在这种情况下,不应当再将其评价为“他人”。当然,由于该信赖是对于医疗团队的信赖,对于患者医疗信息的传递自然也不能超出医疗行为的范畴。

其次,对于接受医院委托进行医疗大数据处理的特定数据处理机构,也不宜被认定为“他人”。如日本《个人信息保护法》中第二十三条规定也体现了这一点①日本《个人信息保护法》第二十三条规定:凡属下述情形的,接受该个人数据的当事人就前三款之规定的适用,不属于第三人:一、个人信息处理业者在达到利用目的所需的范围内接受委托处理全部或者部分个人数据的;二、因合并或者其他事由而继受业务并接受个人数据的;三、特定当事人共同利用个人数据的,对于其宗旨以及共同利用的个人数据的项目、共同利用个人数据的当事人的范围、利用人的利用目的以及就该个人数据的管理负有责任的当事人的姓名或者名称,事先通知本人或者将其置于容易知悉相关内容的状态的。。医疗信息不同于其他公民个人信息,其产生的过程和适用场所具有特殊性。医疗信息一般是在公民医疗受诊过程中产生的,产生的机构场所一般是专门的医疗机构,其往往本身不具有处理和分析大数据的能力,需要委托其他专门数据处理机构进行。在这个过程中,存在着医疗机构——数据处理机构——医疗机构的闭环的信息传递过程。闭环内的数据处理机构不具有信息传递过程中的独立的“他人”的地位,其接受个人医疗信息并非为了自身利用,而是帮助医疗机构进行数据处理和分析,应当被视为医疗机构在大数据信息处理方面的延伸。同时,如果认为《刑法》第二百五十三条之一的目的是防止公民个人信息泄露,进而对公民产生不利,但将患者医疗信息提供给专门用来处理个人信息的专业机构,不仅不会产生该危险,反而会提高公民个人信息的安全程度。因此,应当将其排除出“他人”的范围。

3.“出售或提供”的实质解释

正如上文所交代,“出售”与“提供”两种行为在客观表现上具有显著的差异,即对价的有无。《刑法》第二百五十三条之一一方面规定了“出售或提供”行为,将二者都作为犯罪的构成要件的客观行为;另一方面《解释》第三条又仅仅针对“提供”行为作了但书规定,却没有针对合理的“出售”行为作出相关规定,限制了医疗大数据的交易和流通,不利于医疗大数据潜藏价值的进一步发掘。

我们应当认识到,在个人医疗信息的“出售”行为中,总是存在个人医疗信息需求方向个人医疗信息供给方支付价款,个人医疗信息供给方向个人医疗信息需求方移转个人医疗信息大数据的交易行为。在这一交易内部,供给方向需求方的信息移转行为也可以被理解为单独的提供行为。因此,虽然“出售”与“提供”两种行为在客观表现上具有差异,但在本质上,出售是指谋取对价后将某物提供给他人,其亦属“提供”行为的一种特殊形式。这种解释的正当性也可以体现在刑法分则中诸多涉及了“提供行为”而没有涉及“出售行为”的罪名中,如“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”、“非法提供信用卡信息罪”,这些罪名中都将“出售”囊括在“提供”行为范畴之内。

因此,基于实质性和体系性解释,将“出售”个人医疗信息的行为解释成特殊的“提供”行为,就可以把“出售公民个人(医疗)信息”的行为纳入到《解释》第三条的但书规定中去,有助于确定合理“出售”公民个人医疗信息的行为方式和行为依据。

当然,将“出售”理解为特殊的“提供”行为也会面临一个问题,即《刑法》第二百五十三条之一规定的是“出售或向他人提供公民个人(医疗)信息”,如果将“出售”也理解为“提供”的一部分,就无法解释为什么立法者要单独列出“出售”,导致刑法解释逻辑上的混乱。这可以从以下两个方面试作分析。首先,从立法沿革上来说,《刑法》第二百五十三条之一规定的侵犯公民个人信息罪是从《刑法修正案(七)》的“出售、非法提供公民个人信息罪;非法获取公民个人信息罪”的基础上发展而来,而原“出售、非法提供公民个人信息罪”实际上是一个选择性罪名,现行《刑法》第二百五十三条之一改变了罪名,但在内容上基本沿用了原规定。其次,从根本上来说,之所以将“出售”单独列出,实际上是起到了注意规定的作用。即使《刑法》第二百五十三条之一没有列出“出售”行为,违反国家有关规定“出售”公民个人信息的,也应当依照侵犯公民个人信息罪的规定定罪处罚。由于司法实践中侵犯公民个人信息罪的客观行为往往以“出售”公民个人信息为主,故为了提示司法人员注意,特将“出售”单独列举出来。