杨朝晖
大数据时代医疗健康产业蓬勃发展,“互联网+医疗”健康支撑体系的构建促进了全民健康信息共享应用,个人健康信息也被赋予了增进社会整体福利的公共属性。个人健康信息经过共享与挖掘,有望提升免疫规划、网络直报管理力、风险预警响应、卫生保健服务等公共卫生服务的质量。但具体至公共卫生领域,我国现行适用于个人健康信息处理监管的法律规制有待进一步完善。本文拟通过分析域外公共卫生领域个人健康信息保护相关法制建设情况,为我国相关法律规制后续完善提供借鉴。
《民法典》第一千零三十八条规定,信息处理者处理经过加工无法识别特定个人且不能复原的个人信息,无需获得信息主体的同意。此外,《民法典》第一千零三十六条规定维护公共利益属于个人信息合理使用情形,以充分发挥个人信息的社会治理价值,其中,合理使用情形包括合理处理自然人自行公开的或者其他已经合法公开的信息。上述条款对未获得信息主体同意的个人健康信息处理条件作了原则性规定,一是允许维护公共利益而处理个人健康信息,二是出于研究或商业目的对个人健康信息去标识化处理后再进行利用或合理处理个人已公开的信息。《民法典》为后续法律法规的制定确定了立法方向,但具体至公共卫生领域,后续法律法规亟需对以下方面予以完善。
公共利益在我国立法中是一个空泛的概念,缺乏实操性。《民法典》以及2021年发布的《个人信息保护法》并没有对“公共利益”的具体定义或定义方法做出明确的规定。一些法律中相关法条对公共利益界定做列举性说明,如《信托法》第六十条、《公共事业捐赠法》第三条、《土地管理法》第四十五条,将“医疗卫生事业”“卫生事业”列举为公共利益范围之一,而卫生事业涵括了公共卫生范围。《传染病防治法》第十二条和《突发公共卫生事件应急条例》第十一条赋予了有关部门和机构出于疾病防控目的而收集个人信息的权利,条款中个人信息合理使用目的仅限于疾病防控。上述法律法规并没有明确界定何为公共利益与公共卫生,以及公共利益除了疾病防控外,还包括的公共卫生具体范围。我国相关立法既没有从法律层面界定公共卫生概念及范围,也没有建立维护公共利益处理个人健康信息而豁免信息主体同意可约束、可访问和可评估的机制,导致任意以“公共利益”为借口未经信息主体同意的个人健康信息处理缺乏监管,给个人健康信息隐私和安全保护带来严峻挑战。立法的空缺导致相关法律实践中执法机关和司法机关无章可循以及过于广泛的自由裁量权。
《国家健康医疗大数据标准、安全和服务管理办法》(以下简称《办法》)第二条明确规定,对我国境内所产生的健康医疗数据进行管理和开发利用的基础是保障公民知情权,《办法》适用于涉及健康医疗大数据管理的所有机构和个人[1]。《个人信息保护法》对告知事项采取“一般规定+特殊规定”的立法模式,第十七条规定收集个人健康信息的处理者应履行信息处理前告知义务;第二十三条规定个人信息处理者向其他个人信息处理者提供处理的个人信息,应当向个人告知接受者名称、联系方式、处理目的、处理方式和个人信息种类,并取得个人单独同意;第三十条规定了处理敏感个人信息前应告知事项。根据《个人信息保护法》上述规定,公共卫生领域个人健康信息二次处理,由信息收集的信息处理者履行对信息主体的告知义务。公共卫生活动和公共卫生领域研究的对象均为人群,公共卫生领域处理个人健康信息往往会涉及使用大数据分析和挖掘技术对大量个人健康信息进行二次处理,大数据分析技术通过分析信息以确定相关性,从而生成预测;大数据挖掘技术是从数据集中发现不确定、未知和潜在价值的隐藏信息的过程[2]。应用大数据技术的信息处理并不局限于特定目的,往往随着场景、情势等因素的变化而调整新的目的。在这种背景下,信息处理者在收集、使用个人健康信息之前给出未来个人健康信息公共卫生领域二次处理的明确目的说明将有难度。根据《个人信息保护法》第二十三条规定,由于技术创新,收集信息的信息处理者未能在收集信息之前对未来信息二次处理给出明确的目的说明而导致个人信息用于约定目的之外目的的,接收信息的信息处理者需再次履行告知义务。信息处理者应用大数据技术二次处理个人健康信息,每次处理目的变更都需要履行对信息主体告知,法律的合规成本较高,操作层面实现难度大。
公共卫生活动和公共卫生领域研究往往会使用相同数据集,公共卫生活动可能随后演变为相关研究,如以确定疾病暴发原因为目的的调查,后又涵括了评估新药疗效的研究。目前,我国立法并不明确上述公共卫生领域研究是否参照涉及人类参与者研究的法律监管,即要求信息主体明确同意或者个人健康信息去标识处理,还是属于为维护公共利益处理个人健康信息的可豁免参与者同意情形。监管规则不明确导致公共卫生活动收集的个人健康信息与二次使用于公共卫生领域研究的个人健康信息之间界限不清,公共卫生领域研究人员可能不受限制访问公共卫生活动收集的个人健康信息,而不是只能访问其研究所需最低必要的个人健康信息;而研究参与者由于不知道自身的健康信息正在被用于研究目的,将不能行使知情同意和退出研究等合法权利。
美国《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act, HIPAA)是个人健康信息隐私和安全保护的专门法律。HIPAA涉及个人健康信息处理的部分是主题Ⅱ中的隐私规则[3]。隐私规则规定允许为公共卫生活动及卫生监督活动等12个国家优先的公共利益,在未经个人授权或许可的情况下使用和披露受保护的健康信息(protected health information, PHI)。HIPAA隐私规则定义公共卫生实践和研究包括使用PHI来确定、监测和应对疾病、死亡以及人口中的残疾的公共卫生活动(如项目运营、公共卫生监测、项目评估、恐怖主义防范、疫情调查)以及直接卫生服务和公共卫生研究[4]。
欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR)被称为史上最严格的数据保护立法。公共利益属于GDPR在第六条规定的合法性基础的六种情况之一。GDPR鉴于条款第五十四条明确公共卫生构成重大公共利益,公共卫生应当按照欧洲议会和欧盟理事会的条例ECNo.1338/2008的定义来解释,即所有与健康有关的因素、健康状况,包括疾病和残疾、对健康状况有影响的决定性因素、健康护理需要、健康护理资源分配、健康护理的提供和普遍接受途径、健康护理的花费和费用支出及致死的原因。GDPR规定在公共卫生领域未取得数据主体的同意进行健康数据等特别种类的数据处理可能是必要的。
GDPR第十三条、第十四条分别区分从数据主体处收集个人数据应提供的信息和并非从数据主体处获取个人数据的情况下应提供的信息。GDPR第十四条规定当数据控制者并非从数据主体处获取个人数据的情况下应向数据主体提供两类信息:第一类是在数据控制者收集数据时应当提供的信息,包括:控制者身份和详细联系方式;数据保护官的详细联系方式;处理目的及处理法律依据;相关个人数据种类;个人数据接受方或接受方种类等。第二类是数据控制者已经取得个人数据时应提供的信息,包括:个人数据的储存期限;数据主体权利;个人数据获取来源,是否通过公共方式获取;自动化决策机制等。GDPR规定当处理出于公共利益,信息提供是不可能或者需要付出不成比例的工作量,或告知义务有可能导致处理目标无法实现或严重影响处理目标的实现,GDPR第十四条并非从数据主体处获取个人数据的情况下应提供的信息相关规定不适用,但控制者应当采取适当措施(包括公开信息措施)保护数据主体权利和自由以及合法利益。
HIPAA隐私规则定义研究旨在开发或促进可概括的知识。研究的目的是检验假设,得出结论,从而发展或贡献可归纳的知识。HIPAA隐私规则指出大多数公共卫生活动,如公共卫生监测、疾病预防和控制项目是基于科学证据和数据收集,或类似于研究中使用的分析方法开展,但其设计目的不是为了提供可概括的知识,而是通过疾病监测、预防或控制等活动来保护人口的健康。一些最初公共卫生活动可能随后演变为研究,在这种情况下最初根据隐私规则的公共卫生相关条款进行披露,当公共卫生活动成为正在进行的研究时,应适用研究相关条款获取信息[4]。此外,当活动既是研究活动又是公共卫生活动,如正在进行的一项旨在监测人群健康状况的调查,其信息也用于研究目的分析,可以适用研究或公共卫生相关条款披露PHI,具体视情况而定,信息处理者不需要遵守这两套规定。
目前,我国一些法律对公共利益作了列举说明,将卫生事业列举为公共利益之一,卫生事业是医疗、卫生、防疫、保健事业的总称[5],并不是所有卫生事业中的个人健康信息处理均需要豁免信息主体同意,如医疗机构以诊疗目的处理个人健康信息需个人的知情同意。比较法上,HIPAA及GDPR均明确规定公共卫生构成公共利益。建议用公共卫生取代卫生事业作为公共利益豁免信息主体同意的列举情况之一。公共卫生与医疗、保健等服务有本质区别,公共卫生关注整体人群的健康,医疗、保健关注于个体病人的健康。公共卫生是旨在为公众带来健康和福利的卫生事业[6],其具有非竞争性、非排他性等公共产品的属性,体现了设置个人信息处理合理使用情形以充分发挥个人信息的社会治理价值的初衷。此外,明确公共卫生的概念。近年来,随着社会不断进步,特别是人类疾病谱系变化、医学界运用新的科学诊疗方法,以及生物医学模式向生物心理社会医学模式转变,使得公共卫生所涉及的范围不断扩大,如健康教育和临终关怀、打击和阻止跨越国境的烟草走私与贩毒行为、运动员滥用兴奋剂等都应属于公共卫生范畴[7]。相对于HIPAA采用列举法定义公共卫生活动,GDPR采用概括、列举并用的方式定义公共卫生,使其概念更具弹性。内容上,GDPR总体概括了公共卫生即所有与健康有关的因素、健康状况,确定了公共卫生的核心是健康,并对其进行了列举说明,其中对健康状况有影响的决定性因素包含了预防疾病、改善环境卫生等。建议我国公共卫生法律层面定义采用概括、列举并用的定义方式,使其具备适度弹性,为公共卫生的发展预留空间。在大健康理念的时代背景下,公共卫生法律层面内容定义应从更广义的角度进行,确定公共卫生核心是健康,而健康才是其具有终极意义的目标追求,凸显其公共性和主体人的主体性。
公共卫生是政府主导的公共事业,关系到所有人利益,任何社会人员都可以均等享受,因此必须由国家公权力机构承担主导责任。以公共利益处理个人健康信息,合法性的转向不再以信息主体同意为前提,但这并不代表信息主体一并让渡了自己的知情权[8]。无论是基于个人同意处理个人信息,还是依据法律、行政法规的规定处理个人信息,原则上个人信息处理者都必须履行告知义务[9]。保护个人信息的权利不是一项绝对权利,需要维持信息主体权利与公共利益的平衡。出于公共利益的信息处理过程中,技术的不断创新可能使告知义务履行付出不成比例的工作量,后续相关法规的制定在保障信息主体知情权的基础上,也应为技术创新和行业发展留有空间。这一点在比较法上非常明确,GDPR细化了出于公共利益个人信息二次处理不向信息主体提供有关告知的具体情形。《个人信息保护法》第三十五条规定免除告知义务的情形包括告知将妨碍国家机关履行法定职责,未来我国法律法规还是有必要对该情形予以细化,制定国家机关维护公共利益而二次处理个人健康信息免于告知的具体情形,如数据挖掘等技术处理的具体目的告知不需穷尽所有的细节,也可是框架性和方向性的,以免责之过苛。
公共卫生领域研究活动缺乏监管会导致对个人健康信息不受限制的访问和共享,不能保障研究参与者知情同意参与研究的基本权利。HIPAA从法律层面清晰区分公共卫生活动和公共卫生领域研究并分类予以规制[10]。建议我国相关法律法规分类规制公共卫生活动和公共卫生领域研究的个人健康信息处理:公共卫生活动等出于公共利益的个人健康信息处理的属合理使用情形,可以豁免信息主体的同意;《个人信息保护法》目的特定原则规定,个人信息的处理目的发生变更的,应当重新取得个人同意,根据上述规定公共卫生活动随后演变为研究活动时,研究人员应在处理个人健康信息前获得信息主体明确同意;公共卫生活动同时也是研究活动,是否需要信息主体明确同意,HIPAA规定较为模糊,为相关监管机构预留了一定的自由裁量权。建议该情形监管以法律文本为基础,结合具体业务实践确定[11]。对公共卫生领域研究的监管全程需具有高度的透明度和建立相应的问责制[12],以实现研究人员对知识的追求和研究参与者合法权益之间的平衡。