孫禎鋒

(上海交通大學(xué) 凱原法學(xué)院，上海 200030)

0 引言

隨著數(shù)字化時(shí)代的到來(lái)，數(shù)據(jù)的價(jià)值愈加顯要。2020年3月30日，中共中央、國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》，將數(shù)據(jù)作為一種新興要素與土地要素、勞動(dòng)力要素、資本要素、技術(shù)要素并列。在國(guó)際競(jìng)爭(zhēng)局勢(shì)愈演愈烈的情形下，如何合理利用數(shù)據(jù)、發(fā)揮數(shù)據(jù)的巨大價(jià)值是未來(lái)國(guó)家發(fā)展的核心議題。其中，科學(xué)研究是數(shù)據(jù)利用的一個(gè)重要領(lǐng)域，能夠大規(guī)模處理數(shù)據(jù)將是第四次工業(yè)革命時(shí)代科學(xué)研究迭代更新的主要標(biāo)志。然而，科學(xué)研究中大量處理數(shù)據(jù)對(duì)個(gè)人數(shù)據(jù)主體權(quán)利的侵害成為一個(gè)無(wú)法回避的問(wèn)題。只有有效保障數(shù)據(jù)主體的合法權(quán)利，才能贏得數(shù)據(jù)主體的信任，科學(xué)研究才具有可持續(xù)性，“科技是第一生產(chǎn)力”的效應(yīng)才能得到充分發(fā)揮。因此，當(dāng)科學(xué)研究的公益性與個(gè)人數(shù)據(jù)包含的個(gè)人權(quán)利發(fā)生激烈碰撞時(shí)，法律需要在不同權(quán)益之間折沖權(quán)衡，以達(dá)到雙贏效果。換言之，當(dāng)科學(xué)研究以公共利益為名處理個(gè)人數(shù)據(jù)時(shí)，應(yīng)當(dāng)秉持何種法律界限？回答這一重要問(wèn)題具有緊迫的現(xiàn)實(shí)意義，需要慎重對(duì)待和深入研究。

1 作為一種數(shù)據(jù)應(yīng)用場(chǎng)景的科學(xué)研究

在大數(shù)據(jù)時(shí)代，科學(xué)研究成為一種典型的數(shù)據(jù)應(yīng)用場(chǎng)景[1]。各式各樣的移動(dòng)應(yīng)用程序、物聯(lián)網(wǎng)技術(shù)和智能設(shè)備聚集了海量個(gè)人數(shù)據(jù)，這些數(shù)據(jù)包含與個(gè)人休戚相關(guān)的最細(xì)微數(shù)據(jù)點(diǎn)。在先進(jìn)的技術(shù)條件下，可以對(duì)這些數(shù)據(jù)進(jìn)行前所未有的細(xì)致分析，以挖掘其對(duì)于科學(xué)研究所具有的巨大潛在價(jià)值。例如，新冠疫情防控中通過(guò)健康碼等移動(dòng)應(yīng)用程序廣泛獲取感染者、密切接觸者以及普通人群的位置數(shù)據(jù)和健康數(shù)據(jù)，既可以監(jiān)測(cè)和研究傳染病的傳播趨勢(shì)與變異模式，也能有效提供疾病篩查、疫苗接種等公共衛(wèi)生事務(wù)所需信息。此外，個(gè)人數(shù)據(jù)還在常規(guī)研究中廣泛使用，如分析心理行為、確定遺傳和環(huán)境因素的致病性等。英國(guó)的一項(xiàng)研究對(duì)小孩出生時(shí)家庭住址是否接近高壓電源線與其兒童期患癌風(fēng)險(xiǎn)的相關(guān)性進(jìn)行調(diào)查，從5個(gè)癌癥登記處獲得31 000名年齡介于0～14歲之間的兒童出生信息，對(duì)照病例之后初步得出正相關(guān)結(jié)論，而進(jìn)一步的研究還需要處理更大規(guī)模數(shù)據(jù)[2]。

科學(xué)研究的數(shù)據(jù)來(lái)源多由研究者從研究對(duì)象處獲取，也可以借助相關(guān)數(shù)據(jù)庫(kù)獲得。科學(xué)研究處理的個(gè)人數(shù)據(jù)類型既包括一般個(gè)人數(shù)據(jù)，也包括敏感個(gè)人數(shù)據(jù)。以生物醫(yī)學(xué)研究為例，可穿戴設(shè)備等數(shù)字技術(shù)、在線網(wǎng)絡(luò)查詢痕跡、醫(yī)學(xué)檢查或電子健康記錄均可以提供大量數(shù)據(jù)，數(shù)據(jù)類型包括但不限于軀體、血液、腫瘤樣本、細(xì)胞、DNA、體液、排泄物等身體數(shù)據(jù)，病歷、健康檢查記錄、藥物清單等診療數(shù)據(jù)，以及飲食習(xí)慣、睡眠時(shí)間、步數(shù)、定位信息等私生活數(shù)據(jù)。藉由這些個(gè)人數(shù)據(jù)，有關(guān)性或心理健康、酗酒或?yàn)E用藥物、終止妊娠等敏感型研究得以進(jìn)行。

根據(jù)海倫·尼森鮑姆(Helen Nissenbaum)提出的場(chǎng)景理論，科學(xué)研究處理個(gè)人數(shù)據(jù)具有豐富的場(chǎng)景內(nèi)涵。場(chǎng)景理論將個(gè)人數(shù)據(jù)保護(hù)與特定情境下的個(gè)人數(shù)據(jù)流通規(guī)范連結(jié)起來(lái)，作為評(píng)估數(shù)據(jù)在行動(dòng)者之間流動(dòng)的基礎(chǔ)架構(gòu)，有助于確認(rèn)和解釋為何在某種情況下某些數(shù)據(jù)流動(dòng)的模式是可以接受的，而在另外一種情境下卻受到質(zhì)疑[3]。在尼森鮑姆的研究中，其重點(diǎn)闡述了參與者(actors)、數(shù)據(jù)信息種類(information type)、傳輸原則(transmission principle)等要素[4]。在此理論架構(gòu)下，對(duì)于個(gè)人數(shù)據(jù)利用的評(píng)價(jià)無(wú)法脫離其所處場(chǎng)景。在科學(xué)研究中，研究機(jī)構(gòu)、研究人員與數(shù)據(jù)主體之間既具有共同利益，又秉持不同立場(chǎng)?？茖W(xué)研究取得醫(yī)療進(jìn)步、公共管理效能提升等效益，研究人員與數(shù)據(jù)主體都是受惠者。但是，當(dāng)科學(xué)研究處理個(gè)人數(shù)據(jù)損害到數(shù)據(jù)主體的權(quán)利時(shí)，就會(huì)形成利益對(duì)抗。此外，科學(xué)研究可以處理的數(shù)據(jù)類型和數(shù)據(jù)范圍，以及處理過(guò)程中需要遵循的合法性要件，都將對(duì)數(shù)據(jù)應(yīng)用場(chǎng)景的整體圖景產(chǎn)生影響。因此，作為一種數(shù)據(jù)應(yīng)用場(chǎng)景，科學(xué)研究需要全面整體地綜合考慮數(shù)據(jù)主體自主意志、研究者合理注意義務(wù)以及數(shù)據(jù)處理過(guò)程中的合法性要求，推動(dòng)科學(xué)研究持續(xù)健康發(fā)展。

2 科學(xué)研究處理個(gè)人數(shù)據(jù)引致的權(quán)益沖突

科學(xué)研究是一項(xiàng)以認(rèn)識(shí)世界、探索世界、改造世界為目的的公益事業(yè)[5]。1945年，美國(guó)科學(xué)研究與開(kāi)發(fā)辦公室主任萬(wàn)尼瓦爾·布什(Vannevar Bush)向時(shí)任美國(guó)總統(tǒng)羅斯福提交《科學(xué)：沒(méi)有止境的前沿》報(bào)告，認(rèn)為沒(méi)有科學(xué)進(jìn)步就無(wú)法保障國(guó)民健康、生活水平、就業(yè)和國(guó)家安全。這份報(bào)告在此后的幾十年里成為美國(guó)科學(xué)研究和創(chuàng)新的指導(dǎo)方針[6]。在大數(shù)據(jù)時(shí)代，科學(xué)研究的公益效應(yīng)被進(jìn)一步放大?？茖W(xué)研究通過(guò)大量數(shù)據(jù)的匯聚、分析、使用，可以準(zhǔn)確描述、精準(zhǔn)預(yù)測(cè)，以快速、高效地作出決斷。例如，數(shù)字技術(shù)與醫(yī)學(xué)研究相結(jié)合催生出一個(gè)新的醫(yī)學(xué)領(lǐng)域——數(shù)字健康，可以有效監(jiān)測(cè)人們的健康狀況、及早推斷健康問(wèn)題、幫助患者應(yīng)對(duì)突發(fā)情況、對(duì)不同患者提供個(gè)性化治療方案、降低醫(yī)療成本并改進(jìn)效率以及促進(jìn)醫(yī)學(xué)發(fā)現(xiàn)和加速藥物開(kāi)發(fā)。研制的數(shù)字藥丸與患者胃液接觸后會(huì)激活微電路，可以告知外部傳感器患者是否以及應(yīng)何時(shí)服用藥物[7]。大數(shù)據(jù)與公共管理學(xué)相結(jié)合，可以造就社會(huì)信用評(píng)級(jí)、預(yù)測(cè)性執(zhí)法等新型治理手段，引導(dǎo)治理的重心由事中與事后轉(zhuǎn)向事前預(yù)防，有效降低治理成本、提升治理效能，我國(guó)疫情管理的顯著成效一定程度上歸功于數(shù)字技術(shù)應(yīng)用于應(yīng)急管理。

然而，科學(xué)研究對(duì)于個(gè)人數(shù)據(jù)的廣泛處理也會(huì)侵犯?jìng)€(gè)人數(shù)據(jù)權(quán)利?？此破胀ǖ臄?shù)據(jù)可以用來(lái)對(duì)個(gè)人行為加以推斷和預(yù)判，哪怕是一天之內(nèi)行走步數(shù)這類簡(jiǎn)單數(shù)據(jù)，也可以揭示下班后員工是否真的病倒在床[8]。更遑論美國(guó)曾經(jīng)開(kāi)展的臭名昭著的“塔斯基吉梅毒實(shí)驗(yàn)”，造成“醫(yī)學(xué)種族主義”(Medical racism)的破壞性效應(yīng)[9]?？茖W(xué)研究所用數(shù)據(jù)可能包含最敏感的個(gè)人信息，如果人們知道其個(gè)人數(shù)據(jù)可能用于涉及動(dòng)物、胚胎干細(xì)胞、針對(duì)特定性能開(kāi)發(fā)避孕藥或基因測(cè)試等研究，他們就會(huì)選擇使用匿名數(shù)據(jù)[10]。因此，科學(xué)研究要確保數(shù)據(jù)安全性，若公眾喪失對(duì)科學(xué)研究的信任，那么，研究的可持續(xù)性就會(huì)被打破。盡管如此，科學(xué)研究中不當(dāng)處理個(gè)人數(shù)據(jù)的情形并不鮮見(jiàn)。以基因信息的不當(dāng)處理為例，在公共部門和私營(yíng)部門的推動(dòng)下，基因數(shù)據(jù)集聚規(guī)模日益擴(kuò)大。英國(guó)100K基因組隊(duì)列(the 100K genomes cohort)的目標(biāo)是到2017年對(duì)國(guó)家醫(yī)療服務(wù)體系(NHS)中的10萬(wàn)癌癥患者基因組進(jìn)行測(cè)序；美國(guó)精準(zhǔn)醫(yī)學(xué)計(jì)劃收集100萬(wàn)美國(guó)人的樣本、表型和臨床數(shù)據(jù)，其百萬(wàn)退伍軍人計(jì)劃構(gòu)成目前世界上最大的基因組數(shù)據(jù)庫(kù)；截至2015年6月，基因檢測(cè)公司23&Me已收集超過(guò)100萬(wàn)用戶數(shù)據(jù)并進(jìn)行基因分型[7]。然而，2018年11月賀建奎事件引發(fā)激烈的研究倫理爭(zhēng)議，表明科學(xué)界對(duì)于基因數(shù)據(jù)并沒(méi)有形成完善的保護(hù)和處理機(jī)制。此外，自Moore v. Regents of the University of California案以來(lái)，科研機(jī)構(gòu)假借研究之名或者展開(kāi)與個(gè)體需求無(wú)關(guān)的研究向營(yíng)銷公司、制藥企業(yè)等第三方出售個(gè)人數(shù)據(jù)以及研究成果不當(dāng)獲利的情形時(shí)有發(fā)生[11]。

有研究認(rèn)為個(gè)人信息保護(hù)涉及的個(gè)人權(quán)利呈同心圓狀的差序格局：由內(nèi)而外，以人性尊嚴(yán)為核心，依次為一般人格權(quán)、個(gè)別人格權(quán)之隱私權(quán)、隱私權(quán)中之信息隱私權(quán)，最后是信息自主決定權(quán)[12]。就科學(xué)研究而言，除個(gè)人權(quán)利外，個(gè)人信息處理中還包含研究人員和研究機(jī)構(gòu)研究自由的權(quán)利以及公共利益。根據(jù)已有研究，研究自由面臨兩方面限制：一是公共利益，二是他人的權(quán)利和自由[13]。因此，科學(xué)研究對(duì)于個(gè)人數(shù)據(jù)的處理涉及多重權(quán)益沖突，其中，最為根本的是個(gè)人權(quán)利與公共利益的沖突。有研究將這種矛盾稱為“道德倫理問(wèn)題上的不對(duì)稱性”(an ethically problematic asymmetry)[14]：一方面，人們普遍認(rèn)識(shí)到將個(gè)人數(shù)據(jù)用于科學(xué)研究對(duì)于促進(jìn)公共利益具有重要意義；另一方面，科學(xué)研究濫用個(gè)人數(shù)據(jù)會(huì)損害個(gè)人一系列權(quán)利。加之在目前發(fā)展趨勢(shì)下，國(guó)家不可能罔顧公共利益需求而禁止科學(xué)研究使用個(gè)人數(shù)據(jù)。2020年德國(guó)聯(lián)邦教育和研究部發(fā)起醫(yī)學(xué)信息學(xué)計(jì)劃 (MII)，各大學(xué)醫(yī)院的生物樣本庫(kù)聯(lián)合成立了德國(guó)生物樣本庫(kù)協(xié)會(huì) (GBA)，負(fù)責(zé)科學(xué)研究以及常規(guī)臨床護(hù)理中生物樣本的采樣、儲(chǔ)存和供給；同時(shí)期荷蘭大學(xué)醫(yī)院協(xié)會(huì)協(xié)同荷蘭衛(wèi)生、福利和體育部資助數(shù)據(jù)研究計(jì)劃，研究人員可通過(guò)全國(guó)組織細(xì)胞病理學(xué)登記處 (PALGA) 獲取臨床護(hù)理過(guò)程中收集的生物樣本[15]?？梢?jiàn)，大規(guī)模以及常態(tài)化使用個(gè)人數(shù)據(jù)進(jìn)行研究已成為各國(guó)科研發(fā)展共同趨勢(shì)。

利用個(gè)人數(shù)據(jù)進(jìn)行科學(xué)研究的價(jià)值與風(fēng)險(xiǎn)并存，目前的中心問(wèn)題不是是否應(yīng)將數(shù)據(jù)用于研究，而是如何以尊重道德和隱私為基本原則獲取科學(xué)研究收益[16]。科學(xué)研究本就不是法外之地，當(dāng)其可能對(duì)研究對(duì)象或其他相關(guān)人員造成侵害時(shí)，法律需要適時(shí)介入并為之設(shè)定界限，而且這種限制本身也應(yīng)恪守法律規(guī)定。

3 我國(guó)科學(xué)研究處理個(gè)人數(shù)據(jù)的法律規(guī)制現(xiàn)狀及問(wèn)題

3.1 《中華人民共和國(guó)個(gè)人信息保護(hù)法》

2021年8月20日，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議正式通過(guò)《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)，為個(gè)人信息保護(hù)領(lǐng)域奠定了法制基礎(chǔ)。但是，縱覽全部條文，《個(gè)人信息保護(hù)法》并沒(méi)有就“科學(xué)研究”目的作出直接規(guī)定。在《草案》(一審稿)出臺(tái)前，有學(xué)者呼吁將“偵查機(jī)關(guān)進(jìn)行刑事偵查所必要的；為支持學(xué)術(shù)研究工作或統(tǒng)計(jì)項(xiàng)目而進(jìn)行的個(gè)人信息比對(duì)；為得到統(tǒng)計(jì)資料……”[17]等作為國(guó)家公權(quán)機(jī)關(guān)可進(jìn)行信息比對(duì)的理由，試圖從另一側(cè)面規(guī)定“目的限制”的例外，但最終提交審議的草案中并未包含突破目的限制使用個(gè)人信息的例外情形。從目前的規(guī)范內(nèi)容來(lái)看，其并未允諾收集目的之外的其它延伸目的的使用。無(wú)論是公權(quán)機(jī)關(guān)還是私人主體如欲突破目的限制，都必須重新獲得信息主體的同意。因此，為學(xué)術(shù)研究、藝術(shù)表達(dá)、文學(xué)創(chuàng)作等目的處理個(gè)人信息的活動(dòng)，面臨豁免適用目的限制原則的問(wèn)題，有待國(guó)家相關(guān)部門出臺(tái)細(xì)則予以規(guī)范[18]。

從規(guī)范釋義的潛在空間來(lái)看，與科學(xué)研究行為可能相關(guān)的條文包括：第5～9條確立了個(gè)人信息處理的一般原則，強(qiáng)調(diào)處理方式要“合法、正當(dāng)”，規(guī)定了誠(chéng)信原則、目的明確合理原則、限制利用原則、公開(kāi)透明原則、信息準(zhǔn)確原則、信息安全原則等。第13條第(六)項(xiàng)規(guī)定：“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個(gè)人信息?！钡?8條第2款規(guī)定：“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，方可處理敏感個(gè)人信息。”另外，第32條進(jìn)一步規(guī)定：“法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得相關(guān)行政許可或者作出其它限制的，從其規(guī)定?！睆奈牧x上看，如果科學(xué)研究一體遵循第5～9條個(gè)人信息處理一般原則，則科學(xué)研究與其它數(shù)據(jù)處理行為沒(méi)有任何分別而且科學(xué)研究將會(huì)受到嚴(yán)格限制；如果將科學(xué)研究納入第13條的“公共利益”范疇，則可以在“合理的范圍內(nèi)”處理信息；如果科學(xué)研究屬于第28條“特定的目的”，則需要兼具“充分的必要性”才可以處理敏感個(gè)人信息。

根據(jù)上述分析，《個(gè)人信息保護(hù)法》中關(guān)于科學(xué)研究規(guī)定的缺位可能產(chǎn)生兩方面后果：一是科學(xué)研究與一般數(shù)據(jù)利用目的處于同等位階，科學(xué)研究所需相對(duì)寬松的發(fā)展條件得不到保障；二是即使對(duì)科學(xué)研究進(jìn)行文義解釋，歸入“公共利益”或“特定的目的”范疇，科學(xué)研究處理個(gè)人信息的法定條件依然模糊難辨。

3.2 其它相關(guān)規(guī)范

在以北大法寶為主的學(xué)術(shù)網(wǎng)站上，通過(guò)關(guān)鍵詞“科學(xué)研究”“學(xué)術(shù)”“個(gè)人信息”“個(gè)人數(shù)據(jù)”進(jìn)行組合檢索和閱讀篩選，發(fā)現(xiàn)我國(guó)法規(guī)范中直接調(diào)控科學(xué)研究處理信息行為的并不多見(jiàn)?，F(xiàn)對(duì)法律、司法解釋、規(guī)范性文件層面涉及的法規(guī)范及其內(nèi)容分別加以概述。

3.2.1 憲法、民法典與《中華人民共和國(guó)科學(xué)技術(shù)進(jìn)步法》

憲法分別在第20條和第47條提及科學(xué)研究，均表現(xiàn)出國(guó)家對(duì)于科學(xué)研究的正向激勵(lì)態(tài)度。尤其是第47條規(guī)定“公民有進(jìn)行科學(xué)研究……的自由”，以及國(guó)家鼓勵(lì)和幫助從事科學(xué)等有益于人民的創(chuàng)造性工作。學(xué)界普遍將第47條作為公民學(xué)術(shù)自由權(quán)的憲法依據(jù)，同時(shí)，認(rèn)可憲法第51條為公民基本權(quán)利的限制條款。根據(jù)第51條的規(guī)定，公共利益構(gòu)成學(xué)術(shù)自由的外在界限，他人權(quán)利和自由構(gòu)成學(xué)術(shù)自由的內(nèi)在界限。與此規(guī)范意旨相近，民法典第1009條與《中華人民共和國(guó)科學(xué)技術(shù)進(jìn)步法》第29條均作出了不得違背公共利益與倫理道德等基本價(jià)值的底線設(shè)定。此外，民法典第1020條第(一)項(xiàng)還規(guī)定，在必要范圍內(nèi)使用肖像權(quán)人已經(jīng)公開(kāi)的肖像進(jìn)行課堂教學(xué)或者科學(xué)研究等可以不經(jīng)肖像權(quán)人同意。

3.2.2 司法解釋

2020年最新修正的最高人民法院司法解釋《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》第12條第3款規(guī)定：“學(xué)校、科研機(jī)構(gòu)等基于公共利益為學(xué)術(shù)研究或者統(tǒng)計(jì)的目的，經(jīng)自然人書(shū)面同意，且公開(kāi)的方式不足以識(shí)別特定自然人”，可以不予承擔(dān)利用網(wǎng)絡(luò)公開(kāi)個(gè)人信息造成他人損害的侵權(quán)責(zé)任。此處，“公共利益+權(quán)利人書(shū)面同意+公開(kāi)的方式不足以識(shí)別特定自然人”構(gòu)成科學(xué)研究公開(kāi)個(gè)人信息的責(zé)任豁免條件。

3.2.3 規(guī)范性文件

規(guī)制內(nèi)容直接關(guān)涉科學(xué)研究的規(guī)范性文件目前主要有兩部：一是《涉及人的生物醫(yī)學(xué)研究倫理審查辦法》，其是與科學(xué)研究直接相關(guān)的部門規(guī)章，其中第18條規(guī)定了涉及人的生物醫(yī)學(xué)研究應(yīng)當(dāng)符合的六大倫理原則，在控制風(fēng)險(xiǎn)原則中提出“將受試者人身安全、健康權(quán)益放在優(yōu)先地位，其次才是科學(xué)和社會(huì)利益”的指導(dǎo)理念。此外，該辦法第四章對(duì)“知情同意”辟專章加以規(guī)定，對(duì)知情同意作出嚴(yán)格要求。

二是國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)——健康醫(yī)療數(shù)據(jù)安全指南》，第7-b-4規(guī)定數(shù)據(jù)控制者“用于科學(xué)研究、醫(yī)學(xué)/健康教育、公共衛(wèi)生或醫(yī)療保健操作目的的受限制數(shù)據(jù)集”在沒(méi)有獲得主體的授權(quán)時(shí)可以使用或披露相應(yīng)個(gè)人健康醫(yī)療數(shù)據(jù)。在臨床研究中，第11.4.4.2-a-2規(guī)定“申辦者出于公共利益開(kāi)展統(tǒng)計(jì)或?qū)W術(shù)研究所必要，且其對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí)，對(duì)結(jié)果中包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理的，不需要獲得受試者知情同意”。“科學(xué)研究目的+去識(shí)別化處理”構(gòu)成數(shù)據(jù)主體授權(quán)或同意的例外情形。

3.3 現(xiàn)行法制中存在的問(wèn)題分析

觀察上述法規(guī)范，我國(guó)既定法制中對(duì)于科學(xué)研究行為的規(guī)制呈零星分布狀態(tài)，遠(yuǎn)遠(yuǎn)未臻體系化?？v使包含科學(xué)研究處理個(gè)人信息內(nèi)容的法規(guī)范，也缺少穩(wěn)妥權(quán)衡科學(xué)研究目的與個(gè)人數(shù)據(jù)保護(hù)的法律機(jī)制。首先，作為個(gè)人信息保護(hù)領(lǐng)域的基本法，無(wú)論是直接的條文內(nèi)容還是規(guī)范解釋，《個(gè)人信息保護(hù)法》都未能為科學(xué)研究處理個(gè)人數(shù)據(jù)提供明確、妥適的指引。其它法規(guī)范中也未見(jiàn)對(duì)科學(xué)研究目的予以“另眼相待”，科學(xué)研究相較于一般數(shù)據(jù)利用場(chǎng)景所應(yīng)有的“特權(quán)地位”無(wú)法得到有效保障，對(duì)于科研行為的嚴(yán)苛規(guī)定不利于科學(xué)研究長(zhǎng)足發(fā)展。其次，對(duì)比現(xiàn)有法規(guī)范內(nèi)容，對(duì)于同類科研行為的法律規(guī)制有時(shí)呈現(xiàn)不一致情形。在幾部規(guī)范性文件之間，既有規(guī)定簽署知情同意書(shū)、承擔(dān)詳細(xì)的說(shuō)明義務(wù)、使用目的變更時(shí)需要重新獲取知情同意的嚴(yán)格要求，也有規(guī)定利用去識(shí)別化數(shù)據(jù)開(kāi)展研究無(wú)需征得信息主體授權(quán)或者同意的寬松要求。這種錯(cuò)位狀況亟待體系化梳理和規(guī)范整合，否則難以發(fā)揮整體有效的指引作用。再次，法規(guī)范中多次出現(xiàn)的“公共利益”“合理的范圍”“充分的必要性”等措辭以及不確定性法律概念的使用，使得科學(xué)研究處理數(shù)據(jù)的行為要件呈現(xiàn)模糊狀態(tài)，也使得研究人員和數(shù)據(jù)主體無(wú)所適從。這需要對(duì)科學(xué)研究處理個(gè)人信息的具體類型進(jìn)行條分縷析，通過(guò)行為要件的設(shè)置限定不確定概念的內(nèi)涵和外延。最后，法規(guī)范中缺少專門的數(shù)據(jù)處理監(jiān)管機(jī)關(guān)以及比較完善的監(jiān)督機(jī)制。盡管既有法規(guī)中已經(jīng)設(shè)有“倫理委員會(huì)”等機(jī)構(gòu)，但這些機(jī)構(gòu)的職能偏向于一端，要么側(cè)重于科學(xué)研究活動(dòng)保障，要么側(cè)重于個(gè)人數(shù)據(jù)保護(hù)，鮮有能夠兼顧和平衡二者的督責(zé)機(jī)構(gòu)，而且監(jiān)管機(jī)構(gòu)的職權(quán)獨(dú)立性不足，監(jiān)管實(shí)效性難以保障。

4 域外法制比較考察

據(jù)聯(lián)合國(guó)貿(mào)易和發(fā)展會(huì)議(UNCTAD)統(tǒng)計(jì)，194個(gè)國(guó)家中有128個(gè)已經(jīng)制定了保護(hù)數(shù)據(jù)和隱私的立法。其中，非洲和亞洲的水平相當(dāng)，有55%的國(guó)家通過(guò)了此類立法，包括23個(gè)最不發(fā)達(dá)國(guó)家[19]。整體而言，既有立法呈現(xiàn)出兩種法律模式，一種是以美國(guó)為代表的隱私法模式，一種是以歐盟為代表的數(shù)據(jù)保護(hù)法或信息保護(hù)法模式[20]。前者較為小眾，目前僅包括美國(guó)、加拿大、澳大利亞、新西蘭等少數(shù)幾個(gè)國(guó)家，他們將個(gè)人數(shù)據(jù)處理中的主體權(quán)利納入國(guó)內(nèi)成熟的隱私法保護(hù)體系，毋須在隱私法之外另行立法；后者得到大多數(shù)國(guó)家的采行，將個(gè)人數(shù)據(jù)處理中的權(quán)利視為公民基本權(quán)利，確立了與隱私法并行的數(shù)據(jù)保護(hù)法模式。兩種法律模式的分別采納源于各國(guó)法制傳統(tǒng)和對(duì)個(gè)人數(shù)據(jù)處理中主體權(quán)利的不同法律定位。新中國(guó)成立以來(lái)，我國(guó)法律體系總體上屬于大陸法系，同時(shí)，《中華人民共和國(guó)個(gè)人信息保護(hù)法》已經(jīng)全國(guó)人大常委會(huì)審議通過(guò)。因此，我國(guó)法制傳統(tǒng)和法律模式都傾向于數(shù)據(jù)保護(hù)法模式。為此，本文引介歐盟《一般數(shù)據(jù)保護(hù)條例》[21]中關(guān)于科學(xué)研究的規(guī)范譜系以及德國(guó)、日本等國(guó)家個(gè)人數(shù)據(jù)保護(hù)法相應(yīng)內(nèi)容，并加以比較討論。

4.1 法規(guī)范的定位

從法規(guī)范的設(shè)置路徑來(lái)看，個(gè)人數(shù)據(jù)保護(hù)法對(duì)于科學(xué)研究的法律規(guī)制存在3種定位：一是“基本法”，只做基本的原則性規(guī)定，具體規(guī)則由行政規(guī)定、各行業(yè)準(zhǔn)則以及軟法規(guī)范予以落實(shí)；二是專項(xiàng)法，對(duì)科學(xué)研究處理數(shù)據(jù)行為進(jìn)行全面的體系性和集中性規(guī)定；三是“空白法”，不作任何直接性規(guī)定。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》采取基本法定位，有6個(gè)條文8款內(nèi)容對(duì)“科學(xué)或歷史研究”進(jìn)行規(guī)定，并于第89條第2款授予歐盟所屬國(guó)國(guó)內(nèi)立法的有限調(diào)整權(quán)。日本在個(gè)人信息保護(hù)法立法時(shí)，對(duì)于是否應(yīng)將醫(yī)療研究、學(xué)術(shù)研究以及媒體與宗教政治團(tuán)體加以規(guī)范引起巨大爭(zhēng)議，最終立法時(shí)將其排除在外[22]。2020年修訂的日本《個(gè)人信息保護(hù)法》[23]第76條依然規(guī)定，“以供學(xué)術(shù)研究之用為目的”的個(gè)人信息處理行為排除適用該法第四章關(guān)于個(gè)人信息處理的一系列義務(wù)性規(guī)定。

鑒于個(gè)人信息類型龐雜，科學(xué)研究只是處理個(gè)人數(shù)據(jù)的一種較為特殊的應(yīng)用場(chǎng)景，對(duì)其進(jìn)行專項(xiàng)法式的規(guī)范設(shè)定不具有可行性?！翱瞻追ā蓖耆珶o(wú)涉科學(xué)研究，不利于保障科學(xué)研究的應(yīng)有地位和公益事業(yè)開(kāi)展。因此，基本法定位同時(shí)輔以較低位階的其它相關(guān)規(guī)范的立法路徑被大多數(shù)國(guó)家采納。

4.2 可處理的數(shù)據(jù)范圍

目前已通過(guò)的個(gè)人數(shù)據(jù)保護(hù)法尚沒(méi)有出現(xiàn)完全禁止科學(xué)研究處理某類數(shù)據(jù)的規(guī)定。通行的模式是立法中先對(duì)個(gè)人數(shù)據(jù)進(jìn)行類型區(qū)分，然后，規(guī)定科學(xué)研究在處理不同類型的數(shù)據(jù)時(shí)需要遵循不同的合法性條件。一般而言，對(duì)于一般個(gè)人數(shù)據(jù)，科學(xué)研究毋須采取任何措施即可直接處理；對(duì)于敏感個(gè)人數(shù)據(jù)，則需要履行不同程度的處理義務(wù)。如歐盟《一般數(shù)據(jù)保護(hù)條例》第9條第1款規(guī)定“對(duì)于顯示種族或民族背景、政治觀念、宗教或哲學(xué)信仰或工會(huì)成員的個(gè)人數(shù)據(jù)、基因數(shù)據(jù)、為了特定識(shí)別自然人的生物性數(shù)據(jù)以及與自然人健康、個(gè)人性生活或性取向相關(guān)的數(shù)據(jù)，應(yīng)當(dāng)禁止處理”，但是，隨后第2款第(j)項(xiàng)解除了第1款對(duì)“科學(xué)或歷史研究目的”的限制，盡管需要依法采取第89條第1款設(shè)定的防護(hù)措施。

由于科學(xué)研究所具有的公益性且基于研究者表意自由的考慮，立法的趨向是不在個(gè)人數(shù)據(jù)類型和范圍上對(duì)科學(xué)研究進(jìn)行絕對(duì)限制，對(duì)數(shù)據(jù)處理行為施加限制條件，從而為科學(xué)研究創(chuàng)造寬松環(huán)境。

4.3 目的限制原則的適用

目的限制原則主要體現(xiàn)在數(shù)據(jù)處理的兩個(gè)階段：一是數(shù)據(jù)收集目的明確，收集者以不遲于收集時(shí)間為時(shí)間節(jié)點(diǎn)確定數(shù)據(jù)收集目的；二是數(shù)據(jù)利用階段的使用目的不得突破收集時(shí)確定的初始目的。除此之外，還包括儲(chǔ)存期限的限制，數(shù)據(jù)儲(chǔ)存期限不得超過(guò)實(shí)現(xiàn)其處理目的所必需的時(shí)間[24]。歐盟《一般數(shù)據(jù)保護(hù)條例》第5條第1款規(guī)定了包括合法性、合理性和透明性，目的限制，數(shù)據(jù)最小化，準(zhǔn)確性，限期儲(chǔ)存，數(shù)據(jù)完整性與保密性在內(nèi)的6項(xiàng)個(gè)人數(shù)據(jù)處理基本原則。但是，第1款的(b)項(xiàng)排除目的限制原則對(duì)于科學(xué)研究的適用。同時(shí)，第1款的(e)項(xiàng)規(guī)定，用作科學(xué)研究目的的能夠識(shí)別數(shù)據(jù)主體的個(gè)人數(shù)據(jù)不受儲(chǔ)存期限的約束。至此，歐盟《一般數(shù)據(jù)保護(hù)條例》在數(shù)據(jù)處理目的上對(duì)科學(xué)研究給予例外豁免。

日本《個(gè)人信息保護(hù)法》第15條規(guī)定：“個(gè)人信息處理者在處理個(gè)人信息時(shí)，應(yīng)當(dāng)盡可能地將使用該個(gè)人信息的目的特定”，從而確立個(gè)人信息處理的目的限制原則。但是，該法第76條第3款將學(xué)術(shù)研究移出了目的限制原則的適用范圍。

科學(xué)研究的創(chuàng)新性源于其不確定性，新材料的發(fā)現(xiàn)或者研究方法的改進(jìn)都會(huì)改變當(dāng)初特定的研究目的，如果對(duì)其數(shù)據(jù)處理行為進(jìn)行嚴(yán)格的目的限定則可能抑制科學(xué)研究的活力。因此，不受目的限制原則的拘束成為域外立法的主流模式。

4.4 數(shù)據(jù)主體同意的規(guī)定

歐盟《一般數(shù)據(jù)保護(hù)條例》第4條第(11)項(xiàng)將“同意”界定為數(shù)據(jù)主體出于自由意志以聲明或者積極行為作出的允許個(gè)人數(shù)據(jù)被處理的意思表示。同時(shí)，第7條第3款賦予數(shù)據(jù)主體隨時(shí)撤回同意的權(quán)利?？梢?jiàn)歐盟對(duì)于同意條件的嚴(yán)格要求。但是，歐盟沒(méi)有就科學(xué)研究處理個(gè)人數(shù)據(jù)的同意要件作出直接規(guī)定?！兑话銛?shù)據(jù)保護(hù)條例》第6條第1款規(guī)定了數(shù)據(jù)處理的6項(xiàng)合法性要件，滿足其一即為合法：同意、契約、履行法定義務(wù)、維護(hù)核心利益、公共利益或行政任務(wù)、正當(dāng)利益。有研究將該條內(nèi)容解讀為合法性要件的雙階構(gòu)造：第一階為同意作為獨(dú)立要件；第二階為“其他事由+必要性”的復(fù)合要件模式，通過(guò)必要性關(guān)聯(lián)補(bǔ)足主體意志的流失[25]。在六項(xiàng)要件中，能夠作為科學(xué)研究合法性依據(jù)的包括同意、公共利益以及正當(dāng)利益。那么，同意要件如何作用于科學(xué)研究行為呢？鑒于科學(xué)研究不受目的限制原則的拘束，同意要件的約束力隨之減弱。從文義上看，當(dāng)科學(xué)研究于目的外處理個(gè)人數(shù)據(jù)時(shí)，數(shù)據(jù)主體無(wú)法知情，同意也就無(wú)從談起；當(dāng)科學(xué)研究于約定目的內(nèi)處理個(gè)人數(shù)據(jù)時(shí)，同意的適用條件仍需要遵循條例的規(guī)定。但是，舉重以明輕，目的外處理尚且不需要同意，目的內(nèi)處理是否需要征求同意頗為可疑?？傮w而言，歐盟弱化了同意要件適用于科學(xué)研究行為的拘束力。

2018年8月14日通過(guò)的巴西《通用數(shù)據(jù)保護(hù)法》第11條第II(c)項(xiàng)規(guī)定，在數(shù)據(jù)主體沒(méi)有給予同意的情況下，“敏感個(gè)人數(shù)據(jù)+科學(xué)研究目的+匿名化處理”為必不可少的合法條件。處理一般個(gè)人數(shù)據(jù)對(duì)是否同意不作要求。2021年2月9日審議的越南《個(gè)人數(shù)據(jù)保護(hù)法》(草案)第12條第1款規(guī)定，對(duì)于加密數(shù)據(jù)開(kāi)展科學(xué)研究不需要征求同意。該條第4款規(guī)定：“若未獲得同意，科學(xué)研究的數(shù)據(jù)處理應(yīng)采取如下相關(guān)措施：承諾；安全措施；具有保護(hù)數(shù)據(jù)的物理設(shè)備；設(shè)有保護(hù)數(shù)據(jù)的專門部門；個(gè)人數(shù)據(jù)保護(hù)委員會(huì)已對(duì)上述措施進(jìn)行書(shū)面確認(rèn)[26]。”

綜上，在科學(xué)研究中，同意要件仍存在適用空間。對(duì)于具有識(shí)別力的個(gè)人數(shù)據(jù)需要征求主體同意或者采取替代性措施，對(duì)于不具有識(shí)別力的個(gè)人數(shù)據(jù)無(wú)需獲取同意?？傮w而言，在目的限制原則被豁免適用的情形下，同意的約束力正趨于弱化。

4.5 數(shù)據(jù)主體權(quán)利的克減

歐盟《一般數(shù)據(jù)保護(hù)條例》對(duì)科學(xué)研究的價(jià)值與個(gè)人數(shù)據(jù)權(quán)利進(jìn)行兩相權(quán)衡后作出折沖的規(guī)定。條例第14條規(guī)定當(dāng)告知義務(wù)不可能履行或者需要付出不相稱努力時(shí)，科學(xué)研究收集數(shù)據(jù)可以免于告知，對(duì)數(shù)據(jù)主體的知情權(quán)施加限制。第89條第2款規(guī)定，當(dāng)該條例第15、16、18、21 條所規(guī)定的訪問(wèn)權(quán)、更正權(quán)、限制處理權(quán)與反對(duì)權(quán)徹底阻礙或嚴(yán)重阻礙科研目的時(shí)，成員國(guó)法律可以對(duì)數(shù)據(jù)主體的上述權(quán)利予以克減，同時(shí)，克減方案需滿足兩個(gè)條件：一是此類克減對(duì)于實(shí)現(xiàn)科研目的是必要的；二是克減需要符合第89條第1款規(guī)定的情形與防護(hù)措施。

2019年11月20日修正的《德國(guó)聯(lián)邦數(shù)據(jù)保護(hù)法》第27條第(2)項(xiàng)重申了《一般數(shù)據(jù)保護(hù)條例》第89條第2款對(duì)數(shù)據(jù)主體權(quán)利的克減方案，并且進(jìn)一步規(guī)定當(dāng)個(gè)人數(shù)據(jù)為科學(xué)研究目的所必需且答復(fù)查詢將產(chǎn)生不合比例的費(fèi)用時(shí)，不得依據(jù)《一般數(shù)據(jù)保護(hù)條例》第15條主張?jiān)L問(wèn)權(quán)，此處也沒(méi)有要求符合第89條第1款所規(guī)定的情形與防護(hù)措施。此外，《德國(guó)聯(lián)邦數(shù)據(jù)保護(hù)法》第36條重述了《一般數(shù)據(jù)保護(hù)條例》第21條第1項(xiàng)的反對(duì)權(quán)，即當(dāng)超過(guò)個(gè)人法益的緊迫公共利益或法定義務(wù)出現(xiàn)時(shí)，數(shù)據(jù)主體的反對(duì)權(quán)將被壓制[27]。

域外法制基本認(rèn)可了科研行為對(duì)于個(gè)人數(shù)據(jù)權(quán)利的克減，只是在克減的權(quán)利類型和克減程度方面做法不一。目前的共識(shí)是，對(duì)于數(shù)據(jù)主體的權(quán)利克減不僅要符合法定的前提條件，還應(yīng)采取相應(yīng)防護(hù)措施。

4.6 技術(shù)性與組織性保障措施

歐盟《一般數(shù)據(jù)保護(hù)條例》第89條第1款規(guī)定：“為了實(shí)現(xiàn)公共利益、科學(xué)或歷史研究或統(tǒng)計(jì)目的而處理，應(yīng)當(dāng)采取符合本條例的恰當(dāng)防護(hù)措施，保障數(shù)據(jù)主體的權(quán)利與自由。這些防護(hù)措施應(yīng)當(dāng)確保，為了保證數(shù)據(jù)最小化原則，已經(jīng)采取技術(shù)與組織性的措施。”可見(jiàn)，《一般數(shù)據(jù)保護(hù)條例》采取防護(hù)措施的直接目的是確保數(shù)據(jù)最小化，措施的類型包括技術(shù)性措施和組織性措施。至于包括哪些具體措施，條例沒(méi)有詳加規(guī)定。從第89條第1款后半段“這些措施可以包括匿名化”的表述來(lái)看，匿名化是可以采取的技術(shù)措施。此外，組織性措施包括兩個(gè)部分：一是條例第四章第四部分規(guī)定的“數(shù)據(jù)保護(hù)官”，屬于數(shù)據(jù)控制者和處理者委任的內(nèi)部自律性組織；二是條例第六章規(guī)定的“獨(dú)立監(jiān)管機(jī)構(gòu)”，從外部對(duì)數(shù)據(jù)控制者和處理者的行為進(jìn)行監(jiān)督。數(shù)據(jù)保護(hù)官和獨(dú)立監(jiān)管機(jī)構(gòu)內(nèi)外配合，保證條例在歐盟實(shí)施的一致性。

與歐盟層面的規(guī)定相較，德國(guó)設(shè)定的保護(hù)措施更為細(xì)致?！兜聡?guó)聯(lián)邦數(shù)據(jù)保護(hù)法》第27條第(1)項(xiàng)規(guī)定，當(dāng)科學(xué)研究可以處理《一般數(shù)據(jù)保護(hù)條例》第9條第1項(xiàng)所稱的敏感個(gè)人數(shù)據(jù)時(shí)，處理者應(yīng)依據(jù)該法第22條第(2)項(xiàng)第2句采行特定且適當(dāng)?shù)拇胧┚S護(hù)數(shù)據(jù)主體權(quán)益。《德國(guó)聯(lián)邦數(shù)據(jù)保護(hù)法》第22條第(2)項(xiàng)共包括10則內(nèi)容，規(guī)定的具體措施如下：記錄數(shù)據(jù)處理過(guò)程以確保透明度和可回溯性；提高處理參與者的認(rèn)知水平；任命數(shù)據(jù)保護(hù)官；認(rèn)證處理者訪問(wèn)數(shù)據(jù)的權(quán)限；數(shù)據(jù)的假名化處理；數(shù)據(jù)加密；確保與處理個(gè)人數(shù)據(jù)有關(guān)的系統(tǒng)及其服務(wù)能力；對(duì)防護(hù)措施進(jìn)行經(jīng)常性查核、評(píng)估；確保目的外處理或傳輸數(shù)據(jù)的特殊程序規(guī)范符合《一般數(shù)據(jù)保護(hù)條例》和《德國(guó)聯(lián)邦數(shù)據(jù)保護(hù)法》的要求[27]。

當(dāng)前，科學(xué)研究處理個(gè)人數(shù)據(jù)的保障性措施包括技術(shù)性措施和組織性措施，兩類措施的具體類型還處于探索之中。德國(guó)的防護(hù)措施周密而系統(tǒng)，但是，是否對(duì)科學(xué)研究過(guò)于嚴(yán)苛尚存疑慮。

5 我國(guó)科學(xué)研究處理個(gè)人數(shù)據(jù)的規(guī)范建構(gòu)

如今，以歐盟《一般數(shù)據(jù)保護(hù)條例》為代表的數(shù)據(jù)保護(hù)立法為科學(xué)研究處理個(gè)人數(shù)據(jù)行為搭建了相對(duì)完整的規(guī)范體系。中國(guó)可以在明確所要解決問(wèn)題的基礎(chǔ)上辯證地借鑒域外法制經(jīng)驗(yàn)，總體思路上，個(gè)人數(shù)據(jù)保護(hù)法的本質(zhì)是行為法，保護(hù)數(shù)據(jù)處理行為中的個(gè)人權(quán)益，而非單純地保護(hù)個(gè)人權(quán)利。在明晰數(shù)據(jù)保護(hù)規(guī)則法律定位的基礎(chǔ)上，厘清數(shù)據(jù)處理行為的合法性要件是解決科學(xué)研究中權(quán)益沖突的允正中道。

5.1 基本法與專門法的規(guī)范定位和體系構(gòu)造

科學(xué)研究等處理個(gè)人數(shù)據(jù)的公益目的應(yīng)納入《個(gè)人信息保護(hù)法》的正式條文之中，此舉能夠明晰科研行為在法律上的定位，意義有二：一是對(duì)科學(xué)研究活動(dòng)的重視，也是對(duì)科學(xué)研究作為特殊數(shù)據(jù)應(yīng)用場(chǎng)景的價(jià)值宣示；二是對(duì)科學(xué)研究處理個(gè)人數(shù)據(jù)行為的豁免條件予以規(guī)定，通過(guò)限制與例外的規(guī)范設(shè)置為各類具體研究行為提供基準(zhǔn)性指引。在個(gè)人信息保護(hù)法提供“基本法定位”之后，規(guī)范各類具體研究行為的專門法需要根據(jù)各自情形提供更加細(xì)致的規(guī)則。這些規(guī)則可以在個(gè)人信息保護(hù)法的規(guī)定區(qū)間內(nèi)進(jìn)行適度調(diào)整，但是，不能突破個(gè)人信息保護(hù)法設(shè)定的合法邊界。各項(xiàng)專門法橫向之間也需要銜接搭配，在出現(xiàn)重復(fù)或者沖突時(shí)需要及時(shí)清理規(guī)整，以維護(hù)科學(xué)研究法律規(guī)制的體系性效應(yīng)。目前我國(guó)《涉及人的生物醫(yī)學(xué)研究倫理審查辦法》與《信息安全技術(shù)——健康醫(yī)療數(shù)據(jù)安全指南》均是醫(yī)學(xué)研究方面的具體規(guī)定，其它類型研究處理數(shù)據(jù)行為的法律調(diào)控還需要補(bǔ)強(qiáng)。

個(gè)人信息保護(hù)法提供基礎(chǔ)依據(jù)的作用不容忽視，這可能是域外大多數(shù)個(gè)人數(shù)據(jù)保護(hù)立法例中對(duì)科學(xué)研究進(jìn)行直接規(guī)定的原因。我國(guó)個(gè)人信息保護(hù)法可以借鑒這一法制經(jīng)驗(yàn)，為科學(xué)研究中的個(gè)人數(shù)據(jù)保護(hù)提供價(jià)值準(zhǔn)則。

5.2 激勵(lì)相容取向下數(shù)據(jù)處理行為要件的重塑

無(wú)論何種數(shù)據(jù)應(yīng)用場(chǎng)景，在保護(hù)數(shù)據(jù)主體個(gè)人權(quán)利的基礎(chǔ)上同時(shí)為數(shù)據(jù)控制者和處理者設(shè)定適度義務(wù)是促進(jìn)利用激勵(lì)與保護(hù)激勵(lì)進(jìn)而達(dá)成激勵(lì)相容的基本途徑[28]。此外，數(shù)據(jù)技術(shù)進(jìn)步也會(huì)影響數(shù)據(jù)處理中的權(quán)益衡量，數(shù)據(jù)處理的法律條件有適時(shí)調(diào)整的必要。

5.2.1 數(shù)據(jù)處理者的義務(wù)豁免

基于公益擴(kuò)展的考慮，科學(xué)研究者處理個(gè)人數(shù)據(jù)可以獲得特別的優(yōu)待。首先，對(duì)于科學(xué)研究者可以處理的個(gè)人數(shù)據(jù)類別不作限制。因?yàn)槊恳环N數(shù)據(jù)的研究結(jié)果都具有對(duì)公共利益帶來(lái)不確定增益的潛在可能性。其次，目的限制原則的豁免適用?？茖W(xué)研究的旨趣在于探索不確定性中的規(guī)律性，往往是一個(gè)從完全不確定到相對(duì)不確定的過(guò)程。因此，科學(xué)研究豁免適用目的限制原則是釋放研究可能性的有益之舉。最后，對(duì)科學(xué)研究者的義務(wù)豁免需要保持最低限度，因而研究者要擔(dān)負(fù)基本的研究注意義務(wù)。歐盟對(duì)于一般數(shù)據(jù)應(yīng)用場(chǎng)景中的目的限制原則呈現(xiàn)“窄進(jìn)寬出”的雙階構(gòu)造：在數(shù)據(jù)收集階段，遵循“合法、特定、明確”的約定目的；在數(shù)據(jù)利用階段，約定目的與不背離約定目的的額外目的都在許可范圍內(nèi)，以實(shí)現(xiàn)信息保護(hù)與流動(dòng)的平衡[29]。不背離約定目的雖然放寬了目的限制，但是，仍然要接受“合理期待”或“平衡測(cè)試”等標(biāo)準(zhǔn)的限定。依此而言，當(dāng)科學(xué)研究者漠視基本常識(shí)、有違數(shù)據(jù)適當(dāng)性使用規(guī)定時(shí)，將會(huì)受到監(jiān)管機(jī)構(gòu)的審查和懲處。

5.2.2 數(shù)據(jù)主體同意要件更新及其權(quán)利克減的合比例性控制

域外同意的適用條件是根據(jù)數(shù)據(jù)識(shí)別力判斷同意與否，對(duì)同意的形態(tài)本身未作深入考究。隨著數(shù)字技術(shù)的發(fā)展，傳統(tǒng)全有全無(wú)式的僵化的同意形態(tài)遭致批評(píng)。有研究提出寬泛同意(broad consent)模式，即由數(shù)據(jù)主體一次性同意后續(xù)研究對(duì)其個(gè)人數(shù)據(jù)的使用，盡管后續(xù)研究還需要通過(guò)研究審查機(jī)構(gòu)的批準(zhǔn)[30]。實(shí)際上，包括世界醫(yī)學(xué)協(xié)會(huì)、國(guó)際醫(yī)學(xué)科學(xué)組織理事會(huì)和世界衛(wèi)生組織在內(nèi)的國(guó)際衛(wèi)生研究管理機(jī)構(gòu)已批準(zhǔn)將寬泛同意作為一種可接受的替代方案[31]。作為使醫(yī)學(xué)數(shù)據(jù)二次研究合法化的一種手段，寬泛同意模式在德國(guó)和荷蘭得到越來(lái)越廣泛的采用，參與者作出一攬子同意的動(dòng)機(jī)包括利他主義、互惠、團(tuán)結(jié)和感恩[15]。面對(duì)寬泛同意可能將同意的實(shí)質(zhì)功能消釋掉的危險(xiǎn)，有研究提出動(dòng)態(tài)同意(dynamic consent)模式，不再將同意視為一次性事件，而是一種隨著變化的環(huán)境持續(xù)協(xié)商、調(diào)整的過(guò)程，參與者可以隨著研究進(jìn)展自由選擇同意加入 (opt in) 或退出 (opt out)，還可以根據(jù)自己的偏好選擇接收信息處理的幅度[32]。這對(duì)于研究中數(shù)據(jù)主體參與度、研究過(guò)程透明度都有很高的要求。同意是一個(gè)正在發(fā)展中的概念，隨著科學(xué)研究處理個(gè)人數(shù)據(jù)類型化的逐步清晰，分類同意 (tiered consent)和分層同意(layered consent)模式的精確適用更能凸顯同意的效能。

權(quán)利減損程度也會(huì)影響數(shù)據(jù)主體對(duì)于科學(xué)研究的信任度。數(shù)據(jù)處理中的權(quán)益沖突在所難免，保持合比例性是公共利益與個(gè)人權(quán)利之間的應(yīng)然界限。最佳情形是科研行為包含的公益性足夠突出，同時(shí)，對(duì)個(gè)人權(quán)利的影響微乎其微。在比例性并不明顯時(shí)需要進(jìn)行比例性評(píng)估，要求科研人員證明所研究的內(nèi)容可以滿足緊迫的社會(huì)需求并且對(duì)個(gè)人權(quán)利的減損不超過(guò)實(shí)現(xiàn)研究目的所必需的程度?！秱€(gè)人信息保護(hù)法》第四章專章規(guī)定了“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”，第44-48條分別規(guī)定了知情權(quán)、決定權(quán)(反對(duì)權(quán))、訪問(wèn)權(quán)、更正權(quán)、刪除權(quán)、解釋說(shuō)明權(quán)，同時(shí)規(guī)定存在“法律、行政法規(guī)規(guī)定的其他情形”時(shí)可以對(duì)知情權(quán)、決定權(quán)(反對(duì)權(quán))、訪問(wèn)權(quán)、刪除權(quán)予以克減?？茖W(xué)研究處理個(gè)人數(shù)據(jù)對(duì)于個(gè)人各類權(quán)利均可以克減，但是，克減程度需要通過(guò)比例性評(píng)估視具體情形而定。

5.3 保障性措施的輔助設(shè)置

對(duì)于數(shù)據(jù)處理的保障性措施，《個(gè)人信息保護(hù)法》已經(jīng)作出一般性規(guī)定。科學(xué)研究處理個(gè)人數(shù)據(jù)行為可以在適用一般性規(guī)定的基礎(chǔ)上進(jìn)行個(gè)性化局部調(diào)整和規(guī)范創(chuàng)新。

《個(gè)人信息保護(hù)法》第4條規(guī)定“匿名化處理后的信息”不屬于該法所界定的“個(gè)人信息”范圍；第51條第(三)項(xiàng)規(guī)定信息處理者負(fù)有“采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施”的義務(wù)；第73條第(三)、(四)項(xiàng)分別解釋了去標(biāo)識(shí)化和匿名化的含義?？傮w而言，《草案》只對(duì)技術(shù)性措施作出概括性規(guī)定，對(duì)噪音添加、屬性交換、差分隱私、數(shù)據(jù)聚合等具體技術(shù)手段未作要求。這可能是因?yàn)榧夹g(shù)性措施不僅僅承載不可被識(shí)別的技術(shù)判斷，同時(shí)，隱含相當(dāng)程度的價(jià)值權(quán)衡——不對(duì)識(shí)別可能性進(jìn)行過(guò)分細(xì)致和嚴(yán)苛的要求，為信息處理和流通保留必要空間。技術(shù)性措施具有復(fù)合屬性，同時(shí)，隨著數(shù)字技術(shù)的發(fā)展，數(shù)據(jù)識(shí)別標(biāo)準(zhǔn)是動(dòng)態(tài)變化的，因此，受到時(shí)間、技術(shù)條件等情境規(guī)定性的約束。在科學(xué)研究中，對(duì)于不同研究類型不能一味地要求絕對(duì)地去識(shí)別化，符合當(dāng)時(shí)情境下不能識(shí)別或者不損害數(shù)據(jù)主體權(quán)益情形下識(shí)別可能性極低的經(jīng)處理數(shù)據(jù)均為可接受的情況。此外，隨著技術(shù)的發(fā)展，再識(shí)別的風(fēng)險(xiǎn)日益突出。除全面清除個(gè)人標(biāo)識(shí)符外，還需要定期評(píng)估和監(jiān)測(cè)是否存在新的風(fēng)險(xiǎn)以及已采取的技術(shù)手段是否有更新和調(diào)整的必要。

對(duì)于組織性保障措施，《個(gè)人信息保護(hù)法》第58條規(guī)定提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)的個(gè)人信息處理者應(yīng)“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)，對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督”。第六章對(duì)“履行個(gè)人信息保護(hù)職責(zé)的部門”進(jìn)行專章規(guī)定，其中，第60條規(guī)定了國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下的職責(zé)部門組織體系。此間的問(wèn)題有二：一是科學(xué)研究的自律性組織設(shè)置不足，既有研究倫理審查機(jī)構(gòu)的審查重點(diǎn)并非個(gè)人數(shù)據(jù)處理，而是一般性的倫理道德評(píng)價(jià)；二是個(gè)人信息保護(hù)職責(zé)部門未包括科研行為的專門監(jiān)督機(jī)構(gòu)，并且其主要組成人員多為政府部門工作者，缺少能夠?qū)茖W(xué)研究進(jìn)行專業(yè)把控的科學(xué)專家。對(duì)此，在內(nèi)部自律性組織建設(shè)中，需要在大學(xué)或者研究機(jī)構(gòu)中設(shè)置個(gè)人數(shù)據(jù)處理風(fēng)險(xiǎn)的事前評(píng)估與認(rèn)證機(jī)構(gòu)，促進(jìn)數(shù)據(jù)侵害風(fēng)險(xiǎn)的內(nèi)部過(guò)濾和消化；在外部監(jiān)管機(jī)構(gòu)設(shè)置中，應(yīng)逐步建立科學(xué)研究的專職獨(dú)立監(jiān)管機(jī)構(gòu)，提升科學(xué)研究處理數(shù)據(jù)的審查和監(jiān)督能力。

6 結(jié)語(yǔ)

在大數(shù)據(jù)時(shí)代浪潮下，數(shù)字經(jīng)濟(jì)的迅猛發(fā)展格外亮眼。相對(duì)而言，科學(xué)研究處理個(gè)人數(shù)據(jù)的應(yīng)用場(chǎng)景未獲得應(yīng)有的重視。面對(duì)個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)利用的張力，需要轉(zhuǎn)變現(xiàn)行法制中不確定法律概念架構(gòu)下的模糊規(guī)制立場(chǎng)，轉(zhuǎn)而細(xì)致梳理和建構(gòu)科學(xué)研究中數(shù)據(jù)處理的合法性要件，確立科學(xué)研究處理個(gè)人數(shù)據(jù)的應(yīng)然法律界限。首先，在個(gè)人信息保護(hù)法作出基本規(guī)定的基礎(chǔ)上結(jié)合專門法的規(guī)范設(shè)計(jì)確立科學(xué)研究處理個(gè)人數(shù)據(jù)的規(guī)范體系。其次，妥適配置數(shù)據(jù)處理者的義務(wù)范圍和數(shù)據(jù)主體的個(gè)人權(quán)利比重，構(gòu)筑激勵(lì)相容的數(shù)據(jù)處理行為要件。最后，通過(guò)完善技術(shù)性和組織性保障措施確保數(shù)據(jù)處理規(guī)范有序。此外，法律規(guī)制體系需要摒棄封閉和僵化的觀念，秉持開(kāi)放和革新的立場(chǎng)，唯有如此才能在數(shù)字技術(shù)不斷進(jìn)步的趨勢(shì)下保持充足的回應(yīng)力。