“场景”理论视角下医疗数据的匿名化保护

郑闽 魏振华

近年来有涉医疗数据的侵权纠纷日益增多，该数据的权利利用、患者信息保护等问题成为社会热点；而该数据的匿名化是对个人信息进行技术处理，以达成在不借助额外信息的情况下使特定自然人无法被识别的过程，并且处理后的信息不能被复原。由于匿名化处理后的个人信息无法识别特定自然人，且无法与特定的个人信息主体进行关联，因此不再将其认定为个人信息。将数据进行匿名化，主要是为了兼顾个人信息利用与个人隐私保护。

一、我国医疗数据匿名化中存在的问题

我国现有法律法规，虽有涉及对公民医疗数据保护的规定，但却缺乏统一的标准和模式，并且没有明确界定医疗数据的性质。[1]正因为医疗数据的界限不清，所以个人医疗健康信息受到侵害的现象频繁发生，给患者带来困扰，严重影响居民幸福感和社会稳定[2]，也使对医疗数据的匿名化技术处理很难进行。这些医疗大数据泄露事件应该引起我们高度的警觉和深刻反思。[3]

法律虽然赋予了患者知情同意权，但其医疗数据的自主决定权存在被架空的风险。医疗数据的主体很难通过冗长的隐私声明意识到自己提供了哪些信息，甚至无法理解声明的内容。[4]患者在提供了医疗数据后，却没有对后续医疗数据之利用和流转的控制权，也无法查证数据如何被使用。在现代科技面前人类个体显得十分渺小，患者的权利更难以得到有效的保障。[5]

如何利用既有规范更好地保护个人医疗数据，如何利用匿名化制度更好地保护患者隐私权益，成为医疗数据利用开发过程中必须要面对的重要问题。

二、“场景”理论在医疗数据匿名化中的应用

根据《民法典》第一千零三十八条、第一千零三十九条之规定，信息处理者应当对所收集的个人信息采取必要的技术措施，确保个人信息的安全；国家机关及其工作人员对个人信息也负有保密义务，不得泄露或向他人非法提供。匿名化就是信息处理者应当采取的技术措施之一，这也是法律要求信息处理者必须负起的强制性技术安全义务。

（一）“场景”理论的基本概念

“场景”理论源于新闻传播领域，也被广泛应用于保护个人隐私数据的收集、处理、使用的规制当中。《美国消费者隐私权利法案（草案）》的主要起草人之一尼森鲍姆教授提出了信息保护中的“场景”理论，[6]并阐述了“场景”理论就是尊重数据收集的原始场景，不能超出初始“场景”利用数据[7]。“场景”下的个人信息、信息“场景”则通常用于指代可以反映用户接受程度、对信息利用敏感程度等的要素。[8]同一个信息会随着“场景”的变化而发生变化。

（二）“场景”理论在数据匿名化中的初步引入

数据匿名化逐渐成为数据自由流通的前提条件。法律规定数据匿名化要与当前的技术水平相当，同时要保护数据主体的权益，这是合理性原则在《个人信息保护法》中的体现。但是随着信息技术不断发展，将数据完全匿名化是几乎不可能实现的，特别是成本过高并且对数据的利用造成困难，这不符合合理性原则的要求。因为仅通过一个细胞中的基因就可以识别到特定的一个人，进一步识别到所有可以识别到的其他信息。“场景”理论认为，个人信息具有动态性，数据匿名化也要呈现动态性，在不同“场景”有不同的要求，并且与“场景”紧密相连。所以，“场景”理论可以促进医疗数据法律制度的构建。[9]

《美国消费者隐私权利法案（草案）》最先冲破了传统思维，在保护医疗数据的过程中应用“场景”理论，将隐私保护与“场景”相结合。[10]同时隐私权的保护模式也出现了变化，在利用和收集医疗数据时，最初是获得患者同意就可以，现已转变为超出最初应用“场景”时需要征求患者同意，并且如果在利用信息的过程中又重新获得敏感信息时，应用这类数据也应当征求患者的同意，否则就要承担侵权责任。由此，对于是否侵犯患者医疗数据隐私，就从静态判断转变为根据不同的情形承担不同责任的动态判断。[11]

（三）“场景”理论在数据匿名化中的主要体现

1.目的限制原则。

运用匿名化技术处理后的隐私信息，仍然存在再标识的风险。医疗数据一旦不当使用，将会给患者带来巨大的伤害。因此对医疗数据进行匿名化处理时，目的限制原则尤为重要。目的限制原则就是要根据商业利用最初的目的，对医疗数据进行收集和利用。[12]“场景”理论体现了目的限制的要求，一旦超出最初目的，“场景”就会改变，新“场景”出现的各种信息，可能会给数据匿名化的程度带来很大的不确定性，也不利于对公众权益的维护。

2.“场景一致”理论。

在医疗数据的流转、利用过程中，根据“场景一致”理论，如果对医疗数据进行商业利用的“场景”是一致的，那么第三方对该医疗数据的应用就不需要再经过数据主体的授权。[13]《个人信息保护法》第十四条在某种程度上也体现了“场景”理论在个人信息处理中的适用。随着不同“场景”的变化，医疗数据的敏感程度也会随之改变，评估数据在不同“场景”下的敏感程度，对保护患者隐私权益等至关重要。

3.数据分类分级动态化。

区分医疗数据的利用“场景”，对医疗数据使用的各个环节进行更加细致的划分，根据医疗数据不同敏感程度建立动态的医疗数据分类分级，就显得尤为必要。我国当前数据领域立法体现了分类、分级理念，并提出了分类、分级的标准。2021 年通过的《数据安全法》规定，国家建立数据分类、分级保护制度；对数据分类、分级的标准，为数据在经济社会发展中的重要程度，以及对合法权益造成的危害程度。但这些标准并非动态性标准，不符合“场景”理论的理念。

医疗数据具有专业性、特殊性等特征[14]，我国还未制定医疗数据分类、分级的标准，医疗数据保护法律制度也尚待完善[15]。虽然中国现行法律没有明确规定“场景”理论，但在对医疗数据的规制当中可以看到“场景”理论应用的影子，如《国家健康医疗大数据标准、安全和服务管理办法（试行）》第七条规定：“健康医疗大数据标准管理工作遵循政策引领、强化监督、分类指导、分级管理的原则。”2017 年由全国信息安全标准化技术委员会、大数据安全标准特别工作组发布的《大数据安全标准化白皮书》指出，将医疗数据所可能面临的风险分为动态、静态两类，这样的划分标准和“场景”理论有着异曲同工之妙。医疗数据作为一项对公民有着重要影响的数据，应当对其进行重点保护，结合其专业特点，进一步规定动态性分类、分级标准，以更加高效地保护医疗数据所涉及的患者隐私权。

三、“场景”理论下医疗数据匿名化制度的完善

个人信息的收集和利用，仍然需要结合具体“场景”细化，落实个人信息保护制度。[16]有学者提出构建“功能性匿名化”，即数据的匿名化程度取决于数据与“场景”之间的联系。“功能性匿名化”由数据环境和匿名化决策组成，其中数据环境，就是医疗数据应用的具体“场景”。[17]“功能性匿名化”的提出，实际上也是“场景”理论的应用。在不同的“场景”中，医疗数据的敏感程度不同，对其匿名化的程度要求也不同。根据“场景”理论的要求，应从医疗数据匿名化的合理性标准以及医疗数据的分类、分级制度入手，建立动态匿名化制度，并制定监督保障措施以保证匿名化制度顺利实施，保护患者隐私权。

（一）健全医疗数据匿名化的合理性标准

“医疗场景”，就是“医疗社会场景”，指包括技术场景、商业场景和行业场景在内的三个部分。在技术场景中，不同隐私保护等级的医疗数据所采取的处理技术不同；在商业场景中，利用医疗数据要符合最初的商业目的；在“行业场景”中，要遵守医疗领域不同行业所制定的规则。[18]在医疗场景中，利用“场景”理论对数据进行匿名化，就是将医疗数据中关于患者的敏感隐私进行“脱敏”处理，使其符合《网络安全法》第四十二条及《民法典》第一千零三十八条所规定的“无法识别且不能恢复”的要求。如果是可以直接识别到的医疗数据，就可以落入敏感信息的范畴，当作隐私权进行保护；如果医疗数据可以结合其他的个人信息识别到特定个人，也应当受到法律的保护。在间接识别中，医疗数据还没有和其他个人信息结合，没有识别到特定的患者，所以暂时不会侵犯信息主体的合法权益，对这类数据进行合理的商业利用、医学实验也是合法的。[19]

《个人信息保护法》第六条规定，个人信息处理需要合理、符合最初的目的。医疗数据匿名化的标准，是合理性标准，因为不可复原这个标准过于理想化，所以这个标准不是绝对性的。[20]不断发展的科学技术是“双刃剑”，破解者可以利用新技术将匿名医疗数据复原，保护者也可以利用新技术强化匿名化保护措施。基于医疗数据（个人信息）的动态性，合理性标准应当是动态性标准，即根据医疗数据具体“场景”和初始目的来进行使用；一旦偏离初始目的，就会导致数据利用的具体“场景”发生改变，不利于保障患者的合法权益。[21]

基于“医疗场景”对医疗数据的处理进行限制。对于符合医疗数据处理主体最初利用目的的医疗数据，在进行商业利用时可以保留，而其他的个人信息要完全进行匿名化处理。并且要设置更多的“场景”，根据不同的“场景”对合理性标准进行不同的解释，使得数据主体可以在不同的“场景”中都不会被识别出来。

合理性标准还体现在，对医疗数据的保护必须建立在实现公共利益的基础上。《个人信息保护法》第十三条规定，对医疗数据进行利用，前提是征得个人同意，或者为了应对突发公共卫生事件等情况，在合理范围内对医疗数据进行处理。因此即使是敏感个人信息也需要将一部分权利让渡给公共利益。但是公共利益并不是豁免责任的万能理由，仍需要受到社会监督和法律监督。[22]

（二）完善医疗数据分类分级保护制度

有学者以敏感程度为参考，将个人信息划分为无指向性个人信息、一般个人信息和敏感个人信息。[23]无指向性的个人信息，信息不会指向特定个人，即使利用这类信息，也不会产生不利影响。一般个人信息的敏感程度介于其他两种个人信息之间，具有一定的敏感性，只有在特定的场景中结合其他信息才会显现出来。[24]医疗数据就属于敏感信息，如果不能及时将其匿名化，就会在利用信息时对数据主体产生不利影响。针对敏感性较高的医疗数据，匿名化的程度也要比其他的个人信息更高。

根据医疗数据的敏感程度并结合学者对个人信息的分类、分级，可以将医疗数据进一步分类、分级。首先，是患者的一般个人信息，包含患者的姓名、年龄、职业等。其次，是患者的重要信息，包括身份证号码、通讯地址等能够直接识别到特定个人的信息，以及患者其他较为私密的信息。最后，是患者在诊疗活动中产生的信息，比如患者的基因、疾病情况、检查报告等，这类信息泄露会给患者的生活带来极大的困扰和影响。

在诊疗活动中的医疗数据主要包含了患者的电子病历、医学影像、用药剂量等在治疗中产生的数据。不同的医疗数据，可以继续细分，如影像数据中还有X 光片、CT 影像等。在完善医疗数据分类、分级的条件下，针对不同分类、分级的医疗数据制定不同的匿名化标准和程序，并随着科技的发展而不断更新，才能保护好患者的隐私权。

在认识到个人信息动态性的同时，也需要进一步完善匿名化的技术手段，尤其是基于动态数据的匿名化技术。美国通过《健康保险携带与责任法案》（HIPAA）等一系列法律规范来构建美国医疗大数据患者隐私权保护体系，确立了保护患者隐私权的相关制度。[25]由于医疗数据的原始数据和匿名化的算法都是由医疗机构掌控的，剥夺医疗机构去匿名化能力，才能使其医疗数据匿名化具有合法性。白皮书针对不同形态的风险制定了不同的应对措施，具有较强的灵活性。[26]

（三）建立医疗数据匿名化监督制度

在构建患者医疗数据分类、分级制度和匿名化合理性标准的基础上，仍要进一步完善对匿名化的监督制度。将医疗数据匿名化处理工序集中于经过行政许可的特定机构，并对匿名化进行事前、事中和事后监督。

1.事前监督。

首先，通过法律法规对匿名化处理者进行授权并作出相应限制。根据《个人信息保护法》第二十八条规定，医疗数据作为患者重要的敏感个人信息，一旦被泄露或者非法使用，容易导致自然人的人格尊严受到侵害。因此，只有在具有特定目的和必要性，并采取严格保护措施的情形下，医疗数据处理者才可以处理医疗数据。这也要求医疗数据处理者能够利用最新的匿名化技术对医疗数据进行匿名化处理，并保证其结果不会被现有的去匿名化技术破解。

其次，由医疗数据处理机构制定统一的《知情同意书》，并报卫生行政管理部门备案。《知情同意书》规定医疗数据利用者、患者的权利义务，匿名化的操作过程和注意事项等。其余具体事项，例如利用医疗数据的目的、方式和范围等，可以根据不同的情况进行约定。规范文本应尽量减少医疗数据利用者对医疗数据利用的“自由裁量”，减少口头同意的数量。将医疗数据匿名化处理集中在经过行政许可的信息处理机构，机构负责拟定并分发规范的《知情同意书》给医疗数据采集者，再由医疗数据采集者根据医疗数据利用者的要求分发给患者签署，这也给“取得患者单独同意”提供了便捷途径。

最后，对匿名化处理过程进行详细的规定和监督。根据《个人信息保护法》的相关规定，对医疗数据的处理规则，应当明示处理的目的、方式和范围。处理规则首先可以在《知情同意书》中详细展示给患者，并将相关处理规则制作成海报展示在医疗数据处理机构的大厅中，并报给卫生行政管理部门备案。

此外，医疗数据处理机构还可以建立专家组，吸纳医务、科研、伦理学专家，一方面审查医疗数据是否合法合规获取，如是否签署了《知情同意书》，是否充分履行了说明义务；另一方面审核诊疗过程内容是否真实准确，信息的处理是否合乎科学性和伦理要求、《知情同意书》是否合规等。[27]

2.事中监督。

医疗数据处理机构应做好医疗数据匿名化处理的过程记录，并在后台形成数据备份存档，保留下每一份医疗数据匿名化的过程，以便卫生行政管理部门进行检查监督，督促医疗数据处理机构严格按照处理规则、步骤和医疗数据分类、分级制度进行匿名化处理。

对于委托医疗数据处理机构进行匿名化处理的委托人，应当对受托人医疗数据的匿名化处理活动进行监督，严格按照约定处理医疗数据，不得超出利用医疗数据的最初目的、处理方式。同时，委托人也应当监督受托人保护好医疗数据，避免医疗数据泄露损害患者的合法权益。委托合同终止，委托人应当监督受托人返还医疗数据或者删除，不得保留。

在应对公共卫生事件等涉及重大公共利益的情形中，由卫生行政管理部门严格监督医疗数据的采集与匿名化处理，遵照国家有关规定，不得将医疗数据用于其他目的。如果要将医疗数据用作其他目的，需要再次取得患者单独同意。

3.事后监督。

卫生行政管理部门对医疗数据匿名化过程中产生的《知情同意书》、医疗数据匿名化后台数据等过程性的文件、数据进行定期检查，确保医疗数据处理机构能够严格按照规定对医疗数据进行匿名化处理。对应当主动删除医疗数据的处理者，在合理期限没有删除的，应当由卫生行政管理部门监督删除，患者个人也有权请求医疗数据处理者删除数据。同时，卫生行政管理部门要加强对自身的监督，定期发布社会责任报告，接受社会监督，防止用于应对公共卫生事件的医疗数据被用作其他目的。

对动态匿名化进行监督，建立动态化风险评估制度。主管部门应重点监督医疗数据处理机构是否遵循“场景理论”，仅将医疗数据用作最初目的。匿名化处理后的医疗数据导致患者无法识别出数据是否有泄露的风险，无法对匿名医疗数据的具体应用以及后续处理过程进行风险评估。因此应建立动态化风险评估制度，监测在特定的场景下，医疗数据是否有泄露的风险，以及是否存在新的去匿名化技术可以将匿名化数据破解。[28]完善“禁止再识别”制度，从法律入手尽可能阻却匿名化数据再识别的可能性。[29]

四、结语

医疗数据属于敏感个人信息，对医疗数据的不规范利用，会侵犯患者的隐私权。由于医疗数据是近年来新兴的大数据种类，我国对医疗数据中的隐私权保护并不完善，存在规范不健全、患者知情同意制度被架空等问题。在科学技术发达的今天，除了利用医疗数据创造价值之外，还要兼顾对患者的隐私保护。将“场景”理论引入医疗数据的匿名化制度构建之中，运用“场景”理论完善匿名化的合理性标准以及构建动态匿名化制度，不断细化医疗数据分类、分级，对保护患者隐私权具有重要的意义。保护好患者的医疗数据不仅仅需要国家制定相关政策、完善匿名化制度，还需要行业协会、公民个人的共同参与。