钟晓雯,孙占利
1西南政法大学民商法学院,重庆,401120;2广东财经大学法治与经济发展研究所,广东广州,510320
近年来,在现代数据挖掘和深度学习技术的辅助下,数据已经发生了“从不同类别的个体数据生产者概念到更复杂的数据生态系统概念的范式转变”[1],个体的医疗健康数据范畴也逐渐扩展至“医疗健康大数据”。医疗健康大数据的隐私保护问题成为了国内外学者积极关注的议题。当前国内外既有研究成果多围绕隐私保护技术展开,学者们结合医疗健康大数据的特征,相继提出了随机匿名、差分隐私、加密存储等技术的构建路径,也有部分文献从法学的角度提出了医疗服务与研究机构及其工作人员的隐私安全规范与管理标准的制定与完善路径。然而,既有研究成果鲜有关注医疗健康大数据下数据主体控制个人健康信息的问题。因此,本文拟在厘清个人健康信息概念的基础上,立足数据主体控制个人健康信息的理论基础,剖析现行数据主体在控制方式上的困境,并提出相应的解决对策。
我国现行法律文件有不少关于个人健康信息的规定,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第二十八条将“医疗健康个人信息”列为“敏感个人信息”,2020年《信息安全技术 个人信息安全规范》将“个人健康生理信息”列为“个人敏感信息”,并在附录B中的“表B.1”中作了举例说明。但上述法律文件均未明确界定“个人健康信息”的内涵与外延。美国是医疗健康数据领域立法的典型国家。1996年美国通过了《健康保险携带与责任法》(health insurance portability and accountability act,HIPAA),2003年HIPAA中的隐私规则和安全规则随之生效。HIPAA及其相关法案提出:“受保护的健康信息”是由适用主体或其商业伙伴以任何形式或媒体持有或传输的所有“可识别的个人健康信息”。其中“可识别的个人健康信息”是指个人过去,目前和未来的身体或精神健康状态、医疗保健状况以及与医疗保健相关的支付信息,并且这些信息可以识别该个人,或者有合理的基础认为可以用来识别该个人[2]。因传统健康数据通常包括实验室测试结果、诊断图像、病历,公共卫生注册数据以及在生物医学或临床研究中产生的数据,美国所确定的个人健康信息实际上是在传统健康数据的概念上增加了“可识别”的特征。欧盟《通用数据保护条例》(general data protection regulation,GDPR)第九条将“有关健康的数据”归属为“特殊种类的个人数据”,并于第四条中解释:与自然人身体或精神健康有关的个人数据,包括能揭示关于他/她的健康状况的健康保健服务所提供的数据。综合前述定义,个人健康信息是指:通过对健康数据进行分析获得的可识别个人健康状况的所有信息,既包括通过直接观察或测量个人行为,身体特征和病理生理状态等收集的健康数据,也包括通过分析其他类型数据获得的可间接识别个人健康状况的数据。
数据控制与自主、自决、隐私、信任、透明度以及问责制等价值观念相关,尤其在医疗健康领域,因患者或研究参与者的相对脆弱性,数据主体对个人健康信息的控制尤为重要。具体体现在以下3个方面。
第一,是个人信息自决权的重要体现。“信息自决权”是从《德国基本法》的“人性尊严”与“一般人格权”条款中衍生的权利,它在基本人权的意义上受到保护[3]。有学者对“信息自决权”作了详细阐述:是当事人对其自身相关数据自行决定是否披露与使用的终极掌控的权利,在积极维度体现为当事人对自身信息的全面知情与把握,即对信息的知情(可获取)、对使用的知情(可掌控)、对保护的知情(隐私),以及对占有的知情(财产);在消极维度体现为不知情。某些特殊信息仅具有统计学上的提示意义而不关乎当事人自身确定无误的知识,因而有些公民出于维护个体自由发展潜能的考量,会主动行使不知情权[4]。信息自决权不应被理解为防止数据收集和使用的手段,也不应理解为对医疗健康活动的开展存在潜在威胁。改善医疗服务、提升药物疗效、增强公共卫生防控措施,以及推动医学基础科学进步,实际上都是数据驱动型医学的预期效应。在未有充分证据证明前,认为数据主体控制个人健康信息会阻碍医疗健康领域的发展为时尚早。
第二,是行使数据“所有权”的重要体现。医疗健康大数据能够加速临床试验、医学研究和商业环境中产生的数据与在线检索到的数据间的融合,促使个人健康信息具有使用和交换价值,从而具备“财产”属性。通常认为个体应当对其财产拥有控制权,这种直观感受建立了控制权与所有权间的概念联系,因此有学者也将信息隐私归结为人们对拥有的信息资源的一种控制形式[5]。尽管当前我国数据权属制度缺失,临床或医学研究数据通常不会被视为数据主体的财产,通过公共资金收集的研究数据亦不会被视为研究人员或参与者的财产,但数据要素市场化配置已成既定国策,构建数据产权制度已经成为必然趋势。因此,立足未来我国数据产权制度的建立,有必要增强数据主体对个人健康信息的控制。
第三,有助于提高透明度与完善问责制。透明度、问责制是建立和维护研究参与者、患者与医疗服务和研究机构之间信任的基准[1]。增强数据主体对个人健康信息的控制能够促使相关机构将个人健康信息的使用目的、方式等如实告知数据主体,清楚标识并公开数据管理的负责人,以及安全存储数据、合理限制数据访问、合规监控数据使用。此外,依赖于现代信息技术,几乎任何形式的数据都可转化为医疗健康数据,个体数据生产者概念发生了向医疗健康大数据概念的范式转变[6],这模糊了其他数据类型与个人健康信息间的常规区别[7]。对此,只有增强数据主体对个人健康信息的控制,提高个人健康信息收集、使用以及治理的透明度,在数据主体与医疗服务和研究机构间建立可信机制,才能促使数据主体自愿提供个人健康信息,推动生物医学的研究与发展。
在医疗服务与研究中,数据主体通常是参加临床研究的健康或患病志愿者,他们主要以3种方式控制个人健康信息:签署知情同意书、达成专业保密协议和匿名化处理,其中签署知情同意书为直接控制方式,达成专业保密协议与匿名化处理属于间接控制方式。
目前各医疗服务与研究机构主要以签署知情同意书的形式收集个人健康信息。知情同意书通常会向数据主体披露如何使用、存储、分发和保护其个人健康信息,并由数据主体自主决定是否提供个人健康信息。通过该方式实现数据主体对个人健康信息控制的缺陷如下。首先,知情同意书难以以可理解的形式向数据主体披露相关信息,以便其作出是否同意的自主选择。盖因数据主体通常不会详细阅读知情同意书的内容,即便详细阅读后也会因难以理解其中专业、晦涩的术语表达,导致无法在深思熟虑的情况下自主作出决定。其次,医疗服务与研究机构与数据主体签署的通常为广泛知情同意书,此时数据主体无法预知其个人健康信息的未来使用目的以及访问主体。例如,在生物信息捐献活动中,自愿向生物样本库或信息数据库提供样本或数据的主体所签署的知情同意书,通常仅对自愿捐赠的适用设置部分限制,并未详细说明与健康数据访问、使用等行为相关的具体目的或条件[8]。最后,医疗健康大数据打破了“知情”的可预测性。“知情同意”模式需要数据控制者准确无误地告知数据主体与其有关的数据处理信息,如搜集数据的手段、范围,数据的用途,数据处理的结果以及数据的储存时间、位置等。但当前个人健康数据日趋形成了类比于“数据生态系统”的医疗健康大数据,几乎任何形式的数据依靠现代信息技术都可转化为与健康相关的数据,这导致知情同意模式,尤其是广泛的知情同意模式,具有相当的不确定性[9]。当数据主体接受广泛知情同意模式后,其原本并未同意采集的个别敏感健康信息(如基因组数据)有可能被识别并收集。
数据主体控制个人健康信息的间接方式是匿名化处理与达成专业保密协议。“匿名化处理”是指利用技术手段对个人数据进行加工处理,使其不再具有直接或间接识别性。“专业保密协议”是指医疗服务与研究机构通过与数据主体签订协议(约定数据使用范围,明确数据保密及隐私保护中的双方义务和责任)的方式收集个人健康信息。这两种控制方式亦存在缺陷。
第一,匿名化处理阻碍了数据主体的信息自决权且该技术存在缺陷。匿名化处理通常有两种形式:一是完全匿名化,即删除个人标识符;二是非完全匿名化,即通过将数据替换为代码或密钥使数据集不可识别,原始数据控制者可在必要时使用该代码或密钥重新识别数据。匿名化处理旨在限制他人采取任何合理可能的方式通过数据识别定位至特定个人[10]。匿名化处理的缺陷体现在两方面:一是匿名化处理可能会阻碍数据主体对其个人健康信息的自决权,例如,基于政治、文化、宗教等原因,个体可能不希望其健康信息用于某一特定医学研究领域,倘若此时数据已经匿名化,数据主体则无从知悉健康信息的使用去向;二是匿名化技术可能无法实现数据主体对个人健康信息保护的期待。现代信息技术增强了数据分析能力,通过海量数据的支撑,匿名化后的数据仍然有可能识别至特定个人。
第二,专业保密协议在医疗健康研究备受关注的背景下缺乏可预见性。达成专业保密协议后,若非出于初始信息收集目的的需要,相关机构不会将个人健康信息透露至第三方。就该层面而言,数据主体可通过专业保密协议在有限范围内间接实现对个人健康信息的控制,自主决定个人健康信息的访问和处理主体。但当前人口增长和老龄化加速,人类慢性病发病率提升,癌症、心脏病等疑难杂症尚未解决,尤其是2019年以来新冠肺炎疫情全球暴发,医疗健康研究引起了全球高度关注。人类的生物资源和数据作为用于健康相关研究的宝贵资产,出于医学研究的目的,相关机构将个人健康信息透露至第三方的可能性大大增加,这是数据主体签订专业保密协议时无法预见的。
破解数据主体控制个人健康信息的困境可从两个维度展开:一是落实数据主体对个人健康信息的可携带权,提高数据的互操作性和可访问性;二是构建个人健康信息电子动态知情同意机制,促使数据主体及时、充分了解其个人健康信息的使用目的、方式等。
GDPR自发布以来即受到各国关注,并被称为史上最严苛的个人数据保护条例。GDPR从多方面为个人数据提供了强有力的权利支持,其中“可携带权”(right to portability)强化了数据主体对其自身数据的控制。GDPR第二十条第一款规定了可携带权:数据主体应有权以结构化的,常用的且可机读的方式接收由他/她提供给控制者的有关其自身的数据,并有权将这些数据转移至其他控制者处,且不会受到已向其提供个人数据的控制者的阻碍。结合第二十九条工作组在《关于数据可携带权指南》(以下简称《指南》)中的解释,可携带权应从以下三方面解读[11]。
首先,数据主体有权从数据控制者处获得与其自身相关的个人数据子集,并将数据存储在私有设备或私有云上以备再次利用。GDPR颁布后,《指南》就“与数据主体有关的个人数据”进行了阐释说明。总体而言,除可以明确链接到数据主体的假名数据外,任何匿名的或与数据主体无关的数据都不在数据可携带权范围之内。由于大多数情况下数据控制者将处理包含多个数据主体在内的个人数据,故而数据控制者不应对“与数据主体有关的个人数据”一词作严格解释。除数据主体直接提供的数据信息(例如,邮寄地址、用户名,年龄等)外,数据控制者通过应用服务或设备观测数据主体而记录到的数据信息也应包括在该权利行使范围内,例如通过保健和健身应用程序、社交媒体,以及可穿戴设备等途径获取的健康信息,但不包括数据控制者基于“由数据主体提供的数据”进行后续分析而获得的推断数据和派生数据(例如,关于用户健康的评估结果或在风险管理和财务法规的背景下创建的个人资料)。GDPR及其《指南》对“与数据主体有关的个人数据”所作的适当扩大解释,恰恰使得数据可携带权能够适应当前医疗健康大数据的发展趋势。
其次,数据主体从数据控制者处获得的数据应为“结构化的”“常用的”以及“可机读的”。对于这3个术语,《指南》作了总体概述:这要求数据控制者提供的数据的格式应当是可互操作的。换言之,所提供的数据格式可以是开放的,也可以是专有的;可以是正式标准的,也可以是非正式标准的,但应当是可重复使用的,亦即不得以限制再利用的格式提供数据[12]。其中关于“可机读的”,指令2013/37/EU第二十九条作了阐释:一种结构化的文件格式,使软件应用程序可以轻松地辨认、识别和提取特定数据,包括单个事实陈述及其内部结构。这意味着数据主体能够充分增强其对个人健康信息的控制,因为在数据可携带权行使的范围内,数据主体可以使一个研究机构收集的数据被另一研究机构访问,抑或可以使来自商业应用程序或设备的数据(例如活动跟踪系统)等重复用于与健康相关的研究。
最后,数据主体有权不受障碍地将其个人数据从数据控制者处转移至其他数据控制者处。这蕴含两层含义:数据主体既可以自行转移数据,也可以要求数据控制者在技术可行的情况下直接转移数据。这一权利内容实质上要求数据控制者应当开发出可互操作性的数据格式。“可互操作性”并不要求数据控制者所采用或维护的处理系统能够实现技术上的兼容性,但禁止数据控制者为数据转移设置障碍。此外,根据GDPR第八十九条第二款的规定,出于科学研究目的,数据的“删除权”“纠正权”等权利在欧洲成员国法律中可能被克减,但数据主体的可携带权仍然需要保留。
总的来说,在数据可携带权中,数据主体将承担数据分发中心的角色(该角色过去由数据控制者保留),这使得数据主体取得了获取和重复使用个人数据的能力,并且能够将其向特定数据控制者提供的个人数据传输至另一服务提供商(在同一业务部门内或在不同业务部门间)[11]。除了通过防止“锁定”的方式来增强数据主体控制其个人数据的能力外,数据可携带权还有利于在数据主体的控制下以安全可靠的方式促使个人数据在数据控制者之间共享。故而,有必要探索在医疗健康领域落实数据可携带权的可行路径。
2018年《国家健康医疗大数据标准、安全和服务管理办法(试行)》要求相关责任单位应当为医疗健康数据主体提供安全的复制渠道。2020年《信息安全技术 个人信息安全规范》第七条第九款规定“个人信息主体获取个人信息副本”。这些规定和要求可以视为立法为中国版“数据可携带权”埋下的伏笔[12]。随后,2021年《个人信息保护法》第四十五条正式确立了个人信息可携带权,但该条仅为引致性规范,对于个人信息处理者应当以何种形式和程序实现数据主体的可携带权未有明确规定。可借鉴欧盟关于数据可携带权的具体规范,进一步明确我国个人信息可携带权的实施细则。值得注意的是,我国明确医疗健康领域的数据可携带权之具体规范时不应照搬欧盟的制度体系,应立足本国国情加以调试,从而实现真正的本土化。同时考虑到医疗健康领域的特殊性,还需要审慎思考应否采用广泛的数据可携带权。
构建个人健康信息电子动态知情同意机制可从三个层面着手:一是实现知情同意书的电子化;二是基于电子知情同意书建立电子同意管理机制;三是基于电子同意管理机制引入动态同意模式。
第一,实现知情同意书在医疗健康领域的电子化。信息通信技术使得纸上活动逐渐电子化,知情同意书亦由纸质化迈向电子化。2016年美国卫生与公共服务部和食品药品监督管理局发布特定指南《电子知情同意书在临床研究中的适用-问题和答案》。该指南提供了有关使用电子系统和流程的建议,明确了电子知情同意书(electronic informed consent,EIC)可用于提供通常包含在书面知情同意文件中的信息,评估受试者对所提供信息的理解,并记录受试者或受试者合法授权代表人的同意[13]。一方面,EIC的整个在线传输过程可以使用交互式界面,这将促进受试者保留和理解信息的能力;另一方面,EIC能够利用电子设计增强信息披露,并快速通知相关受试者与知情同意关联的任何修正,从而促进数据主体更好地理解其个人数据的流向和使用。目前上海市数字证书认证中心有限公司也推出了EIC解决方案,该方案通过将多功能移动安全认证、可靠电子签名系统以及医疗文书自动推送系统结合实现知情同意书的电子化。可见,我国在医疗健康领域已开始了EIC的探索,并取得了一定成果。
第二,基于电子知情同意书建立电子同意管理机制。当前大多数机构推行的EIC仍然是采用线下纸质加文件扫描的方式来形成电子文件格式。此种基于纸质的知情同意程序长期以来遭致批评,根源在于纸质知情同意程序难以以数据主体可理解的方式传达相关信息,阻碍了数据主体的自主选择意愿。为此,理论与实务界开始探索电子同意管理机制(electronic consent management mechanism,ECMM)。理论界中,有学者利用统一建模语言(unified modeling language,UML)模型设计ECMM[14],还有学者建议将ECMM与电子病历(electronic medical record,EMR)或电子人力资源管理(electronic human resource,EHR)进行系统集成[15-16]。实务界中,诸多医疗保健组织试图在EMR中进行电子同意书管理:退伍军人管理局医疗中心利用计算机系统工具(iMedConsent)支持以电子方式访问、填写,签署和存储知情同意书。如何在技术层面落实ECMM并非是法学学者所能解决的问题,但可以肯定的是,建立ECMM有利于增强数据主体对个人健康信息的控制,是推动我国智慧医疗建设的重要手段。
第三,基于电子同意管理机制引入动态同意模式。动态同意模式以分层同意为基础,旨在将不断发展变化的数据主体的偏好嵌入到参与者与研究人员的开放式交流过程中,是一种让个人参与到数据处理过程中的新方法。在初始知情同意程序中,首先由研究人员分别询问参与者同意与不同意使用的数据类型与数据使用目的,此后,当数据需要继续使用或用于不同研究项目时,仅根据参与者的偏好调整数据的使用情况并告知参与者。在整个项目过程中,参与者可以调整、修改或变更其对数据使用的偏好,甚至退出相关研究。概言之,动态同意模式将同意从静态过程转变为适应性过程,在医疗健康领域引入动态同意模式,可以强化数据主体的中心地位,提高数据主体对其个人健康信息的主动权。同时在该模式下,数据主体同意的作出与撤回是即时性的,能够帮助数据主体更好地应对瞬息万变的医疗健康大数据时代。我国《个人信息保护法》采用概括同意结合特定例外的形式,同时设置了单独同意、口头同意、书面同意、初始同意和再次同意五种类型,其中明确了采用“单独同意”的形式处理敏感个人信息。所谓“单独同意”是指信息处理者在处理个人信息时,不能通过一揽子告知同意的方式征得个人同意,而是需要逐一单独取得个人的同意。“单独同意”在《个人信息保护法》中的确立,可以认为是立法为动态同意模式提供了合法性基础。
动态同意模式在促进数据主体对个人健康信息精细化控制的同时,可能会对医学研究的质量产生影响,尤其是广泛地选择退出有可能致使研究数据集产生偏向性并损害特定科学领域中数据分析的可靠性与可重复性。实际上,数据主体的控制权并非绝对的,当其与其他立法价值发生冲突时,存在数据主体放弃控制权的可能性,正如《个人信息保护法》第十三条即明确了在应对突发公共卫生事件、履行法定职责等五种情况下,处理个人信息毋须征得主体同意,并设置了兜底条款,为其他法律、行政法规在此方面留下立法空间。总的来说,个人健康信息与个人、社会以及国家利益休戚相关,为实现不同立法价值间的利益平衡,当出于公共利益的目的要求数据主体放弃控制个人健康信息的权利时,应当有确凿证据证明控制权的存在与数据集研究质量下降之间具有因果关系。
数据安全问题贯穿了数据主体控制个人健康信息的全生命周期。《中华人民共和国数据安全法》(以下简称《数据安全法》)作为数据领域的首部基础性法律,全链条构建了数据分类分级、数据安全风险评估、报告、信息共享、监测预警机制、数据安全审查等制度,形成了数据安全保障的基本框架。数据分类分级制度作为关键环节,《数据安全法》“自上而下”地初步完成了分类分级工作,类型化区分设计了数据基本保护规则,其中对于个人信息保护,已通过第三十二条第二款、第五十三条第二款直接指向了《个人信息保护法》[17]。2021年实施的《信息安全技术 健康医疗数据安全指南》亦重点强调了健康医疗数据的分类分级合规要求,但该指南主要为倡导性规定,不宜作为医疗健康机构数据合规治理及监管机构执法的依据。如何在《数据安全法》的宏观指引下,以《个人信息保护法》为基础落实个人健康信息分类分级制度的配套实施细则仍然是当前立法和实务的难点。