基因信息的应用场景及其私法规范*

杨在会

基因安全不仅是国家生态安全层面的重大课题，在私人生活领域，基因权益同样面临来自多方位的严重侵害。2008年的“中国首例血友病产前基因诊断诉讼案”系因基因检测引发；2009年的“中国基因歧视第一案”则是将基因检测结果运用到就业体检中导致了“就业基因歧视”。近十年左右，我国迎来了个人信息保护问题的讨论高峰，传统的身份证号码、住址、健康信息等个人信息的保护基本达成共识。基因信息被运用于科学研究、医学治疗、商业检测、保险核保、就业体检等领域已愈发常见，而与此相反的是，理论与实务两界对于基因信息的保护均采取漠视态度。就与基因相关的案例而言，涉及基因信息保护的民事案件几近于无。

与比较法上较多地通过专门立法方式对基因信息进行保护不同，我国目前并未针对基因信息保护进行专门立法。2014年10月施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《规定》)第十二条第一款将基因信息规定为“个人隐私”进行保护，但适用范围仅限于网络侵权领域。《民法典》人格权编在法律层面明确保护“私密信息”，却并未言明私密信息之定义或范围。《个人信息保护法》采用了“敏感信息”的表述，第一次通过立法表达承认了敏感信息与一般个人信息的区分保护。

虽然《民法典》及其司法解释为基因信息保护提供了制度供给，但仍然忽视了基因信息与其他敏感信息或私密信息的差异。基因信息的保护不能片面依靠《民法典》及相关司法解释，而应结合《个人信息保护法》，因应基因信息在不同应用场景面临的具体侵权形态提供相应的保护方案。具言之，主要围绕下述三个问题展开：首先，在事实层面，什么是基因，基因信息有何特性；其次，在法律层面，解读基因信息及基因隐私的具体内涵，明确基因信息私法保护在不同应用场景面临的风险和困境；最后，在实践层面，在具体场景中存在哪些侵害基因信息的行为，分别如何应对以及如何界定合法披露基因信息的边界。

1 基因信息与基因隐私内涵之解读

据研究表明，超4 000种人类遗传性疾病由基因突变引起[1]。基因组学的研究不仅使疾病得以早发现、早治疗，还可以对疾病进行早预防。科学家们对“行为基因”的研究表明，基因还能关联(但并非决定)人类行为。基因信息区别于其他个人信息之处在于，人类的基因具有“(非绝对)预测性”，基因信息检测结果不仅可以明确权利主体现在的健康状况或生活习惯，还能够预测权利主体健康情况的未来走向。尽管这种预测并不具有绝对性，其准确率无法达到百分之百。此外，基因信息还具有“共享性”，特定的种群和家族成员可能携带特殊的基因。因此，对于基因信息的保护和利用也面临多个权利主体冲突的局面。

1.1 基因信息概念之界定

2012年的《信息安全技术公共及商用服务信息系统个人信息保护指南》作为我国首部个人信息保护国家标准，将基因信息规定为个人信息，并且进一步将其归类为个人敏感信息进行保护；2013年的《征信业管理条例》第十四条仍然沿用了基因信息为个人信息的表述；2014年的《规定》第十二条在网络侵权场合以“个人隐私”的名义保护基因信息。《民法典》和《个人信息保护法》虽区分了敏感信息(私密信息)和一般个人信息，且分别将个人生物识别信息纳入敏感信息和私密信息进行保护，但至今基因信息的审查标准仍旧缺位。各个国家或地区相关文本对基因信息的定义均不相同。美国《基因信息非歧视法》致力于保护雇佣和保险领域的基因信息安全，其将基因信息定义为：(1)个人基因检测；(2)该个人家庭成员的基因检测；(3)该个人家庭成员的疾病或障碍表现的信息。我国有学者将基因信息界定为“人类基因的成分、结构、功能、表征等生物遗传属性，兼具主观和客观属性的信息”[2]。基因信息除了可以用于预测个人及其家庭成员等主体的疾病倾向之外，其本身具有消极防御功能，旨在抵抗来自权利人之外的侵害行为。因此，界定基因信息应从其本身出发，结合基因信息保护的需求，可以将其定义为“能够直接或间接反映个人基因组成的材料和数据”。

1.2 不同表述对基因信息保护的影响

有学者认为，私密信息和敏感信息虽然在表述上不同，但本质都是指信息主体不愿意为他人知晓的信息，可做同等处理[3]。也有学者认为两者并不相同，敏感信息未必具备隐私属性[4]。《个人信息安全规范》依据重要程度将个人信息分为隐私信息(《民法典》规定的私密信息)、个人敏感信息和一般个人信息。由此看来，似乎私密信息和敏感信息系“平行”关系。但对《民法典》与《个人信息保护法》进行解读可以发现，私密信息与非私密信息、敏感信息与非敏感信息是基于不同规范目的所作的不同分类[5]，两者存在交叉的部分。《民法典》私密信息和非私密信息的分类适用于所有类型的个人信息侵权场合，由此确定行为人侵害的民事权益为隐私权抑或个人信息权益，从而精准定位请求权基础以明确责任构成要件及责任承担方式。而《个人信息保护法》是兼具公私属性的个人信息保护领域的综合性法律，规范对象是个人信息处理行为，根据《个人信息保护法》第七十二条的规定，其并不规制因个人或家庭事务处理个人信息的情形。其次，《民法典》并未列举私密信息的具体类型，故在信息属性的判断上，应该适用隐私权保护的相关理论，结合具体情形判断个人信息是否具有隐私属性。在判断标准上，如果仅考虑主观因素会导致私密信息范围不当扩大，无法实现《民法典》区分保护的目的，故而应在社会共识基础上综合客观认知以及主观判断认定信息属性。而敏感信息包括的具体类型一般由法律法规列明[6]，对敏感信息的判断须遵循客观标准，个人的主观判断一般对敏感信息的认定不产生影响[7]。虽然私密信息和敏感信息内涵并不相同，但是基因信息兼具敏感信息和私密信息的属性目前业已形成共识。有鉴于此，受害人可以根据实际情况自主选择请求权基础，以便因应不同场景切实保护基因信息。

1.3 基因隐私内涵之释明

Annas[8]于1999年提出基因信息应该受到隐私权保护。我国也有学者认为应把基因信息列入私密信息之中受隐私权保护[9-10]。《民法典》第一千零三十四条第二款在立法层面认可了私密信息的隐私属性，但当把基因信息放置在隐私权框架中进行保护时，“基因隐私权”的内容和边界该如何界定？

Westin将基因隐私定义为“基因信息的隐私，包括对基因信息的保密、隐名”[11]。我国学者普遍认可基因隐私包括“自主独占权”“排除使用权”“自主支配权”“不知情权”[2,10,12-13]，根据《国际人类基因数据宣言》，这些权利贯穿基因信息的采集、处理、使用、保存各阶段[14]。但前述权利存在范围交叉及内涵模糊等问题，需要结合其所处的信息利用阶段进行甄别。第一，基因信息自主独占权是指权利人同意通过技术手段检测自己的基因构成状况的权利，其他任何主体均负担不得非法侵扰和接近的义务。具体包括：在基因诊断、基因咨询和基因治疗中，权利人可以在知情同意的情况下同意基因信息采集行为，并且其在基因信息被采集前、使用后均可以任意撤销同意，任何主体不得侵害业已形成的基因信息。可见，基因信息排除使用权可以被自主独占权所涵盖。第二，基因信息自主支配权。基因隐私权保护不同于单纯个案场景式研究的传统隐私权保护，生物技术飞速发展的现实以及基因数据库在国内与国际间的建立是基因隐私问题处在风口浪尖的根本原因[14]。科学研究包括医药研究的刚需导致各国在保护基因信息的同时，不得不规定例外情况以促进基因研究的发展。有鉴于此，基因信息利用已经是一个不容争辩的事实，故而基因信息保护的规范目的应为，在基因信息利用的前提下如何平衡个人隐私和公共福祉之间的紧张关系。在基因信息利用层面，首先需要明确权利主体对于基因信息收集及使用行为的知情同意权、用途变更权以及利益共享权。在使用用途违背权利人知情同意范围及目的时，或者对基因信息的使用会对权利人造成损害的，权利人可以要求销毁储存的基因信息。第三，基因信息不知情权。基因信息不知情权指权利人有权拒绝他人告知自己基因检测结果的权利。检测样本可能属于权利人，也可能来自于其近亲属或者家族成员。这一权利在国际上也得到了承认。有些基因疾病目前并没有有效的治疗措施，携带者知悉自己携带可能患病的变异基因会产生负面效果[15]。据调查，携带“亨廷顿式舞蹈症”基因人群的自杀率是同年龄段普通人群的4倍[16]。因此，基因信息不知情权在个人基因信息保护方面同样具有重要作用。

2 具体场景中我国基因信息私法保护的困境及应对

2.1 基因信息的应用场景

基因检测在科技的助益下已经越发快捷方便，基因信息利用已经进入到人类社会的医疗、就业、科研等各领域。在科研领域，精准掌握基因的功能和表现机制会极大改善对疾病的诊断、治疗以及预防。在就业方面，把基因检测纳入就业体检，从而将特定基因携带者拒之门外是越来越多用人单位的常规操作。基因信息在就业领域的权利冲突表现为用人单位未经员工同意擅自收集员工基因信息用于决策雇佣与否或者售卖盈利。我国2010年“基因歧视第一案”以及美国1998年Norman-Blood Saw v.Lawrence Berkeley Laboratory案均因此成诉。在2013年的一项社会调查中，“不允许将遗传信息提供给保险公司和用人单位”的支持率达到了76.27%[17]。由此可见，“基因歧视第一案”的判决不仅背离“反基因歧视”的基本立场，也与社会大众预期相去甚远。此外，当基因信息运用于保险核保时，也需要在区分保险类别的前提下，实现权利人基因隐私保护与《保险法》对价平衡原则之间的均衡，避免因盲目反对基因信息适用于商业保险而造成“交叉补贴现象”。

2.2 基因信息源头的规制

基因信息具备的高度专业化特征使得权利人一般需要借助基因检测等专业手段才能解码自己的隐藏基因信息。权利人可以通过医院等医疗机构或者商业基因检测公司接受基因检测，获知其基因信息。此外，研究人员经由基因研究活动也可以获得受试者个人或群体的基因信息。研究人员以科研活动的名义收集受试者基因信息似乎具有天然的正当性基础，但科研活动中的基因信息保护问题同样十分严峻。

安徽“基因海盗”事件无疑是科研活动中基因隐私保护的反面案例。1995年，哈佛大学、哈佛大学附属布莱翰女子医院以及安徽医科大学在徐希平的牵头主导下，在安徽违规收集居民DNA用于基因研究。由于该地区人群携带的同质遗传构造的基因对人类基因与疾病关联的研究具有极高价值，徐希平等人通过让农民参加“体检”的方式多次抽血，实质为采集当地农民与哮喘病、高血压、肥胖症等疾病有关的基因样本。在该项目中，受试者的知情同意权和利益分享权均受到侵犯。根据熊蕾等[18]对受试农民的走访调查可知，该基因合作项目以“体检”的名义进行，在未告知受试者研究项目、抽血目的及用途的前提下，两次采集受试者血样。并且项目人员未告知受试者采集剂量，实际采集剂量为6茶匙而非项目批注的2茶匙。此外，在受试者为经济欠发达农村地区的农民的前提下，项目知情同意书采用了使其难以理解的复杂语言。根据记者的采访，受试者表明没有工作人员针对该项目对受试者群体进行解释和说明，甚至根本没有给他们看过或者念过知情同意书。项目知情同意书也没有明确列出部分项目可能导致的风险或者不适，在受试者签字部分也存在很大的补签嫌疑。此后熊蕾将其调查结果告知了美方，双方为此调查了3年，虽一致认定受试者知情同意权受到侵害的事实，但徐希平等侵权人并没有承担任何实质性的侵权责任。

基因研究在新冠肺炎疫情防治工作中十分重要，研究人员认为遗传因素是影响新型冠状病毒肺炎(corona virus disease 2019,COVID-19)症状严重性的重要因素，为了寻找特定基因，帮助解释COVID-19病毒易感性与患病严重性差异，世界各国的科学家联合开展了“COVID-19宿主遗传学计划”(COVID-19 Host Genetics Initiative)。2020年6月，《新英格兰医学杂志》刊登了COVID-19大样本全基因组关联研究论文，发现ABO血型系统可能与COVID-19病毒感染风险有关[19]。“COVID-19宿主遗传学计划”的成员对在意大利、西班牙、德国等7家医院接受治疗的数千名COVID-19患者及健康人进行了全基因组关联研究和荟萃分析。英国基因组公司和GenOMICC联盟的“COVID-19患者基因组检测计划”涉及英国3.5万名患者的基因组，用以了解个人基因如何影响其对病毒感染的反应，帮助患者进行分层，为患者护理、监测和药物处方提供信息，并为COVID-19治疗及疫苗临床试验提供基础。疫情发生以来，我国的新冠疫情防治工作从未停歇，这些都离不开基因研究工作的助力，但同时也不能放松研发过程中的基因隐私保护问题。

《民法典》第一千零九条为规制与人体基因、人体胚胎等有关的医学和科研活动提供了立法论依据，但规范表达的泛化及实践积淀的缺失导致该规则在具体适用中欠缺操作性。虽然我国颁布了相应的法规性文件来保护基因研究中受试者的知情同意权，但均存在宣示性过强及效力层级较低的弊病。因此，《民法典》及相关法规对科研活动中基因信息的保护存在力所不及之处[20]，《个人信息保护法》中保护敏感个人信息的条款则应发挥中流砥柱的作用，给予必要的补强。原则上应该禁止基因信息的采集行为，《通用数据保护条例》将为科学研究目的所做的必需处理作为允许采集的例外情况，但应该遵循更高标准的知情同意，信息处理者应积极主动地履行全面告知义务，由受试者针对特定目的做出特定的明示同意，默示同意和概括同意均应被认定为无效。我国《个人信息保护法》亦设专节对处理敏感个人信息的行为作出更严格的限制，只有在具有特定目的和充分必要性的情形下，方可处理敏感个人信息，并应取得个人的单独同意或书面同意，在事前进行风险评估。鉴于基因研究的持续性和后续用途不确定性，在信息处理者改变或者增加基因样本的实验用途时，应该再次取得受试者知情同意[21]，受试者享有拒绝的权利，也可以随时撤销其授权。

2.3 基因信息下游的矫治

基因信息源头的规制旨在保障权利主体对于个人基因信息的控制能力和自决意愿，而业已形成的基因信息后续走向的控制，则涉及基因信息下游的矫治问题。基因检测价格的大幅降低导致基因信息被运用到就业、保险等各领域，致病基因携带者可能遭受求职被拒或者购买保险被提高保费的不公平对待，从而引发“就业基因歧视”“保险基因歧视”等现象。

2.3.1 就业领域的基因信息保护

我国2010年“基因歧视第一案”的判决似乎不能平息基因歧视引起的激烈讨论。该案的审理显然忽视了基因信息在适用场景、法益性质及责任模式上的特殊性，进而作出了错误的裁判结果。针对该案需要明确以下问题。

首先，法院认为，在体检适用的相关文件及体检表均没有将基因检测列为体检项目的情况下，三名考生被发现平均红细胞体积(erythrocyte mean corpuscular volume，MCV)异常后使用基因检测技术作为确诊手段合法合理。医院一般按照临床指南进行常规体检，根据地中海贫血的诊断和治疗指南来看，基因检测确实可以作为确诊手段使用。但同时不能忽视的是，基因信息属于私密信息，除了例外情况之外禁止通过任何手段获取。三名考生作为地中海贫血基因的携带者，目前并没有明显的临床症状，完全可以胜任其所要从事岗位的工作。三人携带致病基因并不意味着一定会患病，他们可能一生都不会发病或者发病症状轻微。公务员招录并不属于能够获取基因信息的例外情形。但我国《个人信息保护法》并没有采取禁止收集加规定例外的立法模式，而是在第二十八条第二款规定“信息处理者必须具有特定的目的和充分的必要性”才能处理敏感个人信息。如前所述，人社局对三名考生进行基因检测并不满足“充分的必要性”的标准，也无法适用《民法典》第一千零三十五条规定的必要原则。

其次，从《个人信息保护法》第二十九条及第三十条的规定来看，处理敏感个人信息应该获得个人的单独同意，除了必须告知的一般事项外，行为人还应该告知权利主体处理敏感信息的必要性以及处理行为对其产生的影响。该案发生于2010年，即使无法适用前述规定，医院也应根据《执业医师法》第二十六条“医师应该如实向患者或者其家属介绍病情”的规定，向三名考生履行告知说明义务。但在该案中，三名考生未被告知检测必要性，也没有接受充分的说明，更未明确表示同意接受基因检测[22]。根据《执业医师法》第二十二条，医师必须保护患者隐私。基因隐私私密度极高，三名考生携带地中海贫血基因也并不属于《就业促进法》第三十条规定的考虑到公众安全健康而牺牲就业者平等就业权的情形，故而医师应被禁止披露三名考生的基因信息。

最后，法院认为人社局并未向第三人公开或泄露三名考生的基因信息，并不构成侵犯基因隐私权。鉴于基因信息的私密信息属性，主动公开或者泄露基因信息构成侵害基因隐私权，未经明确同意进行基因检测也属于侵犯基因隐私权的行为。此外，考生被动地得知自己的基因状况侵害了其基因不知情权。

早在1998年，就业领域的基因隐私权保护的诉讼案件就已经在美国现实发生。Norman-Blood Saw v.Lawrence Berkeley Laboratory案中，雇主在未经员工同意的情况下以一般性的工作体检为由秘密采集员工的基因信息。美国第九巡回上诉法院认为被告违背告知后同意原则，侵犯了员工的基因隐私权。在2002年，北圣菲铁路公司因擅自组织员工进行基因检测，向36名员工赔付了220万美元[23-24]。日本政府于2003年11月29日发表的《关于人类基因、遗传子解析研究的伦理指针》也明确规定采集人类基因样本、解析个人基因信息，应当遵循告知后同意原则，获得当事人事前明确表示的同意[25]。美国《基因信息非歧视法》致力于打击就业和保险领域的基因歧视行为，但其同时也规定了允许雇主获知雇员基因信息的特殊情形[26]。然而实践表明，这些例外规定容易被雇主利用使《基因信息非歧视法》的规范目的落空。例如，雇主能够以测试有害工作环境是否影响雇员健康为由，要求雇员进行基因检测，即工作场所基因检测。这一规定的初衷在于保护雇员身体健康，但会导致雇主获知雇员基因信息后做出解聘决定的负效应，并且雇员很难证明雇主的真实动机，从而形成“间接就业歧视”[27]。间接歧视意指有些政策制定目的是为了公正保护目标群体，但事实及结果上却会侵犯受保护主体的权益，雇员一般难以证明雇主制定该政策是出于故意的基因歧视目的。

为了防止雇主利用其强势地位侵犯雇员的基因隐私权，首先，雇主不得强迫雇员进行与工作无关的基因检测行为。这种强迫可能来自雇主的明示，也包括雇主利用其强势地位使雇员违背其真实意愿。其次，雇员被充分告知后同意基因检测的，医院应根据具体情形决定是否披露检测结果。如雇员仅为某种致病基因携带者，医院应严守雇员基因隐私；若雇员的基因缺陷已经出现临床症状且对履行工作产生不利影响，医院可以在征得雇员同意后披露。若雇员不同意告知雇主其基因状况的，在没有《就业促进法》规定的禁止就业情形时，医院仍不得对雇主披露雇员的基因信息。

2.3.2 保险领域的基因信息保护与披露

目前，各个国家及地区对基因信息能否适用于保险核保的态度不甚统一。根据我国《健康保险管理办法》第十七条、第三十八条的规定，被保险人的基因检测资料不能成为保险公司区别定价的依据；不得在销售健康保险产品时非法搜集、获取被保险人基因检测资料。《基因信息非歧视法》同样禁止人寿保险公司拒绝某种疾病的易感基因携带者的投保要求或者提高其保费的行为。

界定基因信息收集和使用的合理边界应基于保险类别作区别讨论。首先，美国《基因信息非歧视法》之所以禁止将基因信息作为核保依据，是因为美国没有建立覆盖全体国民的强制医疗保险体系，故而其商业保险本质上承担了部分社会保障责任。但我国除商业保险之外还存在社会保险、各种救助基金等，商业保险的社会福利属性过于浓厚会产生国家义务转嫁给商业保险公司承担的不公局面[28]。其次，基因信息较之其他信息的特殊性在保险领域却并不存在，因为基因信息具备的“(非绝对)预测性”契合保险制度“风险性”与“或然性”的特征。保险业的运行基础系根据不同个体的健康风险对其实施“区别对待”，即“理性的精算歧视”。这里的“歧视”偏向中性色彩，满足合法性要求及社会大众预期。投保人若不遵从“最大诚信原则”履行如实告知义务，则会导致保险公司与投保人之间信息不对称，进而形成精算不准确，在市场中则反映为低风险个体支付较高保费去补贴高风险个体的“交叉补贴现象”[29]，极易导致保险市场失灵。在功能发挥上，保险公司核保时收集的投保人年龄、性别、医疗信息、家族病史等信息与基因信息别无二致，均是为了预测投保人有无健康风险以及健康风险的大小，从而决定是否承保或提高保费。年龄大小对于自然人患病与否并不具备决定性作用，与此同理，投保人携带致病基因也并不意味着其最终会罹患该疾病。保险公司在基因信息显示投保人患某种疾病的可能性较大时拒绝承保或者提高保费，与其在投保人患某种疾病或者家族有某种疾病史时拒保或提高保费本质上并没有区别。最后，基因信息用于核保的前提是投保人自己进行了基因检测并得知基因检测结果。在投保人已经自主进行基因检测的情况下，将基因信息作为核保依据是为了保障投保时双方信息对称，避免形成逆向选择和交叉补贴现象。基因信息虽然在保险领域中使用不具有强烈特殊性，但其仍属私密信息，若投保人投保前不曾主动检测，保险公司不能为了满足其核保需求而强制或暗示投保人进行基因检测从而获知其基因信息。

利用基因信息核保的最终目的是为了形成“保险人+被保险人”的良性合作机制。在加拿大魁北克省的Audet v.Industrielle-Alliance 案中，投保人投保时隐瞒了自己携带强直性肌营养不良症1型病基因以及其父兄已经发病的事实，法院判决保险合同因投保人没有尽到如实告知义务而无效。而在另一个案例中，投保人将自己BRCA1基因检测为阳性的结果据实告知了保险公司，保险公司并没有就此拒保，而是在保期内持续性地向投保人提供身体健康检测服务以及采取相关预防措施，被保险人最终并未罹患乳腺癌[30]。因此，相较于完全禁止使用已经产生的基因信息，在权益冲突的投保人和保险公司之间形成良性合作机制显然更有利于实现“共赢”的目的。

3 结语

《民法典》及《个人信息保护法》为基因信息保护提供了请求权基础，但需要结合具体个案来确定权利保护的具体路径。基因信息保护在不同的社会维度会面临不同的困境。基因信息同时兼具私密信息和敏感信息属性，原则上禁止采集，在科研活动中采集基因信息应遵循更高标准的知情同意。在就业领域，雇主不得强制或引导雇员进行基因检测以获取雇员基因信息作为其决策依据。而在商业保险领域，由于基因信息的“(非绝对)预测性”符合保险制度“风险性”的价值预设，故而基因信息丧失了其在其他领域的特殊性。投保人应如实向保险公司披露其已经获知的基因信息，防止双方由于信息不对称造成精算不准确，进而导致“交叉补贴现象”。