鐘曉雯，孫占利

1西南政法大學(xué)民商法學(xué)院，重慶，401120；2廣東財(cái)經(jīng)大學(xué)法治與經(jīng)濟(jì)發(fā)展研究所，廣東廣州，510320

近年來(lái)，在現(xiàn)代數(shù)據(jù)挖掘和深度學(xué)習(xí)技術(shù)的輔助下，數(shù)據(jù)已經(jīng)發(fā)生了“從不同類別的個(gè)體數(shù)據(jù)生產(chǎn)者概念到更復(fù)雜的數(shù)據(jù)生態(tài)系統(tǒng)概念的范式轉(zhuǎn)變”[1],個(gè)體的醫(yī)療健康數(shù)據(jù)范疇也逐漸擴(kuò)展至“醫(yī)療健康大數(shù)據(jù)”。醫(yī)療健康大數(shù)據(jù)的隱私保護(hù)問(wèn)題成為了國(guó)內(nèi)外學(xué)者積極關(guān)注的議題。當(dāng)前國(guó)內(nèi)外既有研究成果多圍繞隱私保護(hù)技術(shù)展開，學(xué)者們結(jié)合醫(yī)療健康大數(shù)據(jù)的特征，相繼提出了隨機(jī)匿名、差分隱私、加密存儲(chǔ)等技術(shù)的構(gòu)建路徑，也有部分文獻(xiàn)從法學(xué)的角度提出了醫(yī)療服務(wù)與研究機(jī)構(gòu)及其工作人員的隱私安全規(guī)范與管理標(biāo)準(zhǔn)的制定與完善路徑。然而，既有研究成果鮮有關(guān)注醫(yī)療健康大數(shù)據(jù)下數(shù)據(jù)主體控制個(gè)人健康信息的問(wèn)題。因此，本文擬在厘清個(gè)人健康信息概念的基礎(chǔ)上，立足數(shù)據(jù)主體控制個(gè)人健康信息的理論基礎(chǔ)，剖析現(xiàn)行數(shù)據(jù)主體在控制方式上的困境，并提出相應(yīng)的解決對(duì)策。

1 個(gè)人健康信息及數(shù)據(jù)主體對(duì)其控制的理論基礎(chǔ)

1.1 個(gè)人健康信息的界定

我國(guó)現(xiàn)行法律文件有不少關(guān)于個(gè)人健康信息的規(guī)定，《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)第二十八條將“醫(yī)療健康個(gè)人信息”列為“敏感個(gè)人信息”，2020年《信息安全技術(shù) 個(gè)人信息安全規(guī)范》將“個(gè)人健康生理信息”列為“個(gè)人敏感信息”，并在附錄B中的“表B.1”中作了舉例說(shuō)明。但上述法律文件均未明確界定“個(gè)人健康信息”的內(nèi)涵與外延。美國(guó)是醫(yī)療健康數(shù)據(jù)領(lǐng)域立法的典型國(guó)家。1996年美國(guó)通過(guò)了《健康保險(xiǎn)攜帶與責(zé)任法》(health insurance portability and accountability act，HIPAA)，2003年HIPAA中的隱私規(guī)則和安全規(guī)則隨之生效。HIPAA及其相關(guān)法案提出：“受保護(hù)的健康信息”是由適用主體或其商業(yè)伙伴以任何形式或媒體持有或傳輸?shù)乃小翱勺R(shí)別的個(gè)人健康信息”。其中“可識(shí)別的個(gè)人健康信息”是指?jìng)€(gè)人過(guò)去，目前和未來(lái)的身體或精神健康狀態(tài)、醫(yī)療保健狀況以及與醫(yī)療保健相關(guān)的支付信息，并且這些信息可以識(shí)別該個(gè)人，或者有合理的基礎(chǔ)認(rèn)為可以用來(lái)識(shí)別該個(gè)人[2]。因傳統(tǒng)健康數(shù)據(jù)通常包括實(shí)驗(yàn)室測(cè)試結(jié)果、診斷圖像、病歷，公共衛(wèi)生注冊(cè)數(shù)據(jù)以及在生物醫(yī)學(xué)或臨床研究中產(chǎn)生的數(shù)據(jù)，美國(guó)所確定的個(gè)人健康信息實(shí)際上是在傳統(tǒng)健康數(shù)據(jù)的概念上增加了“可識(shí)別”的特征。歐盟《通用數(shù)據(jù)保護(hù)條例》(general data protection regulation，GDPR)第九條將“有關(guān)健康的數(shù)據(jù)”歸屬為“特殊種類的個(gè)人數(shù)據(jù)”，并于第四條中解釋：與自然人身體或精神健康有關(guān)的個(gè)人數(shù)據(jù)，包括能揭示關(guān)于他/她的健康狀況的健康保健服務(wù)所提供的數(shù)據(jù)。綜合前述定義，個(gè)人健康信息是指：通過(guò)對(duì)健康數(shù)據(jù)進(jìn)行分析獲得的可識(shí)別個(gè)人健康狀況的所有信息，既包括通過(guò)直接觀察或測(cè)量個(gè)人行為，身體特征和病理生理狀態(tài)等收集的健康數(shù)據(jù)，也包括通過(guò)分析其他類型數(shù)據(jù)獲得的可間接識(shí)別個(gè)人健康狀況的數(shù)據(jù)。

1.2 數(shù)據(jù)主體控制個(gè)人健康信息的理論基礎(chǔ)

數(shù)據(jù)控制與自主、自決、隱私、信任、透明度以及問(wèn)責(zé)制等價(jià)值觀念相關(guān)，尤其在醫(yī)療健康領(lǐng)域，因患者或研究參與者的相對(duì)脆弱性，數(shù)據(jù)主體對(duì)個(gè)人健康信息的控制尤為重要。具體體現(xiàn)在以下3個(gè)方面。

第一，是個(gè)人信息自決權(quán)的重要體現(xiàn)。“信息自決權(quán)”是從《德國(guó)基本法》的“人性尊嚴(yán)”與“一般人格權(quán)”條款中衍生的權(quán)利，它在基本人權(quán)的意義上受到保護(hù)[3]。有學(xué)者對(duì)“信息自決權(quán)”作了詳細(xì)闡述：是當(dāng)事人對(duì)其自身相關(guān)數(shù)據(jù)自行決定是否披露與使用的終極掌控的權(quán)利，在積極維度體現(xiàn)為當(dāng)事人對(duì)自身信息的全面知情與把握，即對(duì)信息的知情(可獲取)、對(duì)使用的知情(可掌控)、對(duì)保護(hù)的知情(隱私)，以及對(duì)占有的知情(財(cái)產(chǎn))；在消極維度體現(xiàn)為不知情。某些特殊信息僅具有統(tǒng)計(jì)學(xué)上的提示意義而不關(guān)乎當(dāng)事人自身確定無(wú)誤的知識(shí)，因而有些公民出于維護(hù)個(gè)體自由發(fā)展?jié)撃艿目剂?，?huì)主動(dòng)行使不知情權(quán)[4]。信息自決權(quán)不應(yīng)被理解為防止數(shù)據(jù)收集和使用的手段，也不應(yīng)理解為對(duì)醫(yī)療健康活動(dòng)的開展存在潛在威脅。改善醫(yī)療服務(wù)、提升藥物療效、增強(qiáng)公共衛(wèi)生防控措施，以及推動(dòng)醫(yī)學(xué)基礎(chǔ)科學(xué)進(jìn)步，實(shí)際上都是數(shù)據(jù)驅(qū)動(dòng)型醫(yī)學(xué)的預(yù)期效應(yīng)。在未有充分證據(jù)證明前，認(rèn)為數(shù)據(jù)主體控制個(gè)人健康信息會(huì)阻礙醫(yī)療健康領(lǐng)域的發(fā)展為時(shí)尚早。

第二，是行使數(shù)據(jù)“所有權(quán)”的重要體現(xiàn)。醫(yī)療健康大數(shù)據(jù)能夠加速臨床試驗(yàn)、醫(yī)學(xué)研究和商業(yè)環(huán)境中產(chǎn)生的數(shù)據(jù)與在線檢索到的數(shù)據(jù)間的融合，促使個(gè)人健康信息具有使用和交換價(jià)值，從而具備“財(cái)產(chǎn)”屬性。通常認(rèn)為個(gè)體應(yīng)當(dāng)對(duì)其財(cái)產(chǎn)擁有控制權(quán)，這種直觀感受建立了控制權(quán)與所有權(quán)間的概念聯(lián)系，因此有學(xué)者也將信息隱私歸結(jié)為人們對(duì)擁有的信息資源的一種控制形式[5]。盡管當(dāng)前我國(guó)數(shù)據(jù)權(quán)屬制度缺失，臨床或醫(yī)學(xué)研究數(shù)據(jù)通常不會(huì)被視為數(shù)據(jù)主體的財(cái)產(chǎn)，通過(guò)公共資金收集的研究數(shù)據(jù)亦不會(huì)被視為研究人員或參與者的財(cái)產(chǎn)，但數(shù)據(jù)要素市場(chǎng)化配置已成既定國(guó)策，構(gòu)建數(shù)據(jù)產(chǎn)權(quán)制度已經(jīng)成為必然趨勢(shì)。因此，立足未來(lái)我國(guó)數(shù)據(jù)產(chǎn)權(quán)制度的建立，有必要增強(qiáng)數(shù)據(jù)主體對(duì)個(gè)人健康信息的控制。

第三，有助于提高透明度與完善問(wèn)責(zé)制。透明度、問(wèn)責(zé)制是建立和維護(hù)研究參與者、患者與醫(yī)療服務(wù)和研究機(jī)構(gòu)之間信任的基準(zhǔn)[1]。增強(qiáng)數(shù)據(jù)主體對(duì)個(gè)人健康信息的控制能夠促使相關(guān)機(jī)構(gòu)將個(gè)人健康信息的使用目的、方式等如實(shí)告知數(shù)據(jù)主體，清楚標(biāo)識(shí)并公開數(shù)據(jù)管理的負(fù)責(zé)人，以及安全存儲(chǔ)數(shù)據(jù)、合理限制數(shù)據(jù)訪問(wèn)、合規(guī)監(jiān)控?cái)?shù)據(jù)使用。此外，依賴于現(xiàn)代信息技術(shù)，幾乎任何形式的數(shù)據(jù)都可轉(zhuǎn)化為醫(yī)療健康數(shù)據(jù)，個(gè)體數(shù)據(jù)生產(chǎn)者概念發(fā)生了向醫(yī)療健康大數(shù)據(jù)概念的范式轉(zhuǎn)變[6]，這模糊了其他數(shù)據(jù)類型與個(gè)人健康信息間的常規(guī)區(qū)別[7]。對(duì)此，只有增強(qiáng)數(shù)據(jù)主體對(duì)個(gè)人健康信息的控制，提高個(gè)人健康信息收集、使用以及治理的透明度，在數(shù)據(jù)主體與醫(yī)療服務(wù)和研究機(jī)構(gòu)間建立可信機(jī)制，才能促使數(shù)據(jù)主體自愿提供個(gè)人健康信息，推動(dòng)生物醫(yī)學(xué)的研究與發(fā)展。

2 數(shù)據(jù)主體控制個(gè)人健康信息的方式及其困境

在醫(yī)療服務(wù)與研究中，數(shù)據(jù)主體通常是參加臨床研究的健康或患病志愿者，他們主要以3種方式控制個(gè)人健康信息：簽署知情同意書、達(dá)成專業(yè)保密協(xié)議和匿名化處理，其中簽署知情同意書為直接控制方式，達(dá)成專業(yè)保密協(xié)議與匿名化處理屬于間接控制方式。

2.1 數(shù)據(jù)主體直接控制個(gè)人健康信息方式的困境

目前各醫(yī)療服務(wù)與研究機(jī)構(gòu)主要以簽署知情同意書的形式收集個(gè)人健康信息。知情同意書通常會(huì)向數(shù)據(jù)主體披露如何使用、存儲(chǔ)、分發(fā)和保護(hù)其個(gè)人健康信息，并由數(shù)據(jù)主體自主決定是否提供個(gè)人健康信息。通過(guò)該方式實(shí)現(xiàn)數(shù)據(jù)主體對(duì)個(gè)人健康信息控制的缺陷如下。首先，知情同意書難以以可理解的形式向數(shù)據(jù)主體披露相關(guān)信息，以便其作出是否同意的自主選擇。蓋因數(shù)據(jù)主體通常不會(huì)詳細(xì)閱讀知情同意書的內(nèi)容，即便詳細(xì)閱讀后也會(huì)因難以理解其中專業(yè)、晦澀的術(shù)語(yǔ)表達(dá)，導(dǎo)致無(wú)法在深思熟慮的情況下自主作出決定。其次，醫(yī)療服務(wù)與研究機(jī)構(gòu)與數(shù)據(jù)主體簽署的通常為廣泛知情同意書，此時(shí)數(shù)據(jù)主體無(wú)法預(yù)知其個(gè)人健康信息的未來(lái)使用目的以及訪問(wèn)主體。例如，在生物信息捐獻(xiàn)活動(dòng)中，自愿向生物樣本庫(kù)或信息數(shù)據(jù)庫(kù)提供樣本或數(shù)據(jù)的主體所簽署的知情同意書，通常僅對(duì)自愿捐贈(zèng)的適用設(shè)置部分限制，并未詳細(xì)說(shuō)明與健康數(shù)據(jù)訪問(wèn)、使用等行為相關(guān)的具體目的或條件[8]。最后，醫(yī)療健康大數(shù)據(jù)打破了“知情”的可預(yù)測(cè)性?！爸橥狻蹦Ｊ叫枰獢?shù)據(jù)控制者準(zhǔn)確無(wú)誤地告知數(shù)據(jù)主體與其有關(guān)的數(shù)據(jù)處理信息，如搜集數(shù)據(jù)的手段、范圍，數(shù)據(jù)的用途，數(shù)據(jù)處理的結(jié)果以及數(shù)據(jù)的儲(chǔ)存時(shí)間、位置等。但當(dāng)前個(gè)人健康數(shù)據(jù)日趨形成了類比于“數(shù)據(jù)生態(tài)系統(tǒng)”的醫(yī)療健康大數(shù)據(jù)，幾乎任何形式的數(shù)據(jù)依靠現(xiàn)代信息技術(shù)都可轉(zhuǎn)化為與健康相關(guān)的數(shù)據(jù)，這導(dǎo)致知情同意模式，尤其是廣泛的知情同意模式，具有相當(dāng)?shù)牟淮_定性[9]。當(dāng)數(shù)據(jù)主體接受廣泛知情同意模式后，其原本并未同意采集的個(gè)別敏感健康信息(如基因組數(shù)據(jù))有可能被識(shí)別并收集。

2.2 數(shù)據(jù)主體間接控制個(gè)人健康信息方式的困境

數(shù)據(jù)主體控制個(gè)人健康信息的間接方式是匿名化處理與達(dá)成專業(yè)保密協(xié)議。“匿名化處理”是指利用技術(shù)手段對(duì)個(gè)人數(shù)據(jù)進(jìn)行加工處理，使其不再具有直接或間接識(shí)別性?！皩I(yè)保密協(xié)議”是指醫(yī)療服務(wù)與研究機(jī)構(gòu)通過(guò)與數(shù)據(jù)主體簽訂協(xié)議(約定數(shù)據(jù)使用范圍，明確數(shù)據(jù)保密及隱私保護(hù)中的雙方義務(wù)和責(zé)任)的方式收集個(gè)人健康信息。這兩種控制方式亦存在缺陷。

第一，匿名化處理阻礙了數(shù)據(jù)主體的信息自決權(quán)且該技術(shù)存在缺陷。匿名化處理通常有兩種形式：一是完全匿名化，即刪除個(gè)人標(biāo)識(shí)符；二是非完全匿名化，即通過(guò)將數(shù)據(jù)替換為代碼或密鑰使數(shù)據(jù)集不可識(shí)別，原始數(shù)據(jù)控制者可在必要時(shí)使用該代碼或密鑰重新識(shí)別數(shù)據(jù)。匿名化處理旨在限制他人采取任何合理可能的方式通過(guò)數(shù)據(jù)識(shí)別定位至特定個(gè)人[10]。匿名化處理的缺陷體現(xiàn)在兩方面：一是匿名化處理可能會(huì)阻礙數(shù)據(jù)主體對(duì)其個(gè)人健康信息的自決權(quán)，例如，基于政治、文化、宗教等原因，個(gè)體可能不希望其健康信息用于某一特定醫(yī)學(xué)研究領(lǐng)域，倘若此時(shí)數(shù)據(jù)已經(jīng)匿名化，數(shù)據(jù)主體則無(wú)從知悉健康信息的使用去向；二是匿名化技術(shù)可能無(wú)法實(shí)現(xiàn)數(shù)據(jù)主體對(duì)個(gè)人健康信息保護(hù)的期待?，F(xiàn)代信息技術(shù)增強(qiáng)了數(shù)據(jù)分析能力，通過(guò)海量數(shù)據(jù)的支撐，匿名化后的數(shù)據(jù)仍然有可能識(shí)別至特定個(gè)人。

第二，專業(yè)保密協(xié)議在醫(yī)療健康研究備受關(guān)注的背景下缺乏可預(yù)見性。達(dá)成專業(yè)保密協(xié)議后，若非出于初始信息收集目的的需要，相關(guān)機(jī)構(gòu)不會(huì)將個(gè)人健康信息透露至第三方。就該層面而言，數(shù)據(jù)主體可通過(guò)專業(yè)保密協(xié)議在有限范圍內(nèi)間接實(shí)現(xiàn)對(duì)個(gè)人健康信息的控制，自主決定個(gè)人健康信息的訪問(wèn)和處理主體。但當(dāng)前人口增長(zhǎng)和老齡化加速，人類慢性病發(fā)病率提升，癌癥、心臟病等疑難雜癥尚未解決，尤其是2019年以來(lái)新冠肺炎疫情全球暴發(fā)，醫(yī)療健康研究引起了全球高度關(guān)注。人類的生物資源和數(shù)據(jù)作為用于健康相關(guān)研究的寶貴資產(chǎn)，出于醫(yī)學(xué)研究的目的，相關(guān)機(jī)構(gòu)將個(gè)人健康信息透露至第三方的可能性大大增加，這是數(shù)據(jù)主體簽訂專業(yè)保密協(xié)議時(shí)無(wú)法預(yù)見的。

3 數(shù)據(jù)主體控制個(gè)人健康信息困境的解決對(duì)策

破解數(shù)據(jù)主體控制個(gè)人健康信息的困境可從兩個(gè)維度展開：一是落實(shí)數(shù)據(jù)主體對(duì)個(gè)人健康信息的可攜帶權(quán)，提高數(shù)據(jù)的互操作性和可訪問(wèn)性；二是構(gòu)建個(gè)人健康信息電子動(dòng)態(tài)知情同意機(jī)制，促使數(shù)據(jù)主體及時(shí)、充分了解其個(gè)人健康信息的使用目的、方式等。

3.1 落實(shí)數(shù)據(jù)主體對(duì)個(gè)人健康信息的可攜帶權(quán)

GDPR自發(fā)布以來(lái)即受到各國(guó)關(guān)注，并被稱為史上最嚴(yán)苛的個(gè)人數(shù)據(jù)保護(hù)條例。GDPR從多方面為個(gè)人數(shù)據(jù)提供了強(qiáng)有力的權(quán)利支持，其中“可攜帶權(quán)”(right to portability)強(qiáng)化了數(shù)據(jù)主體對(duì)其自身數(shù)據(jù)的控制。GDPR第二十條第一款規(guī)定了可攜帶權(quán)：數(shù)據(jù)主體應(yīng)有權(quán)以結(jié)構(gòu)化的，常用的且可機(jī)讀的方式接收由他/她提供給控制者的有關(guān)其自身的數(shù)據(jù)，并有權(quán)將這些數(shù)據(jù)轉(zhuǎn)移至其他控制者處，且不會(huì)受到已向其提供個(gè)人數(shù)據(jù)的控制者的阻礙。結(jié)合第二十九條工作組在《關(guān)于數(shù)據(jù)可攜帶權(quán)指南》(以下簡(jiǎn)稱《指南》)中的解釋，可攜帶權(quán)應(yīng)從以下三方面解讀[11]。

首先，數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處獲得與其自身相關(guān)的個(gè)人數(shù)據(jù)子集，并將數(shù)據(jù)存儲(chǔ)在私有設(shè)備或私有云上以備再次利用。GDPR頒布后，《指南》就“與數(shù)據(jù)主體有關(guān)的個(gè)人數(shù)據(jù)”進(jìn)行了闡釋說(shuō)明。總體而言，除可以明確鏈接到數(shù)據(jù)主體的假名數(shù)據(jù)外，任何匿名的或與數(shù)據(jù)主體無(wú)關(guān)的數(shù)據(jù)都不在數(shù)據(jù)可攜帶權(quán)范圍之內(nèi)。由于大多數(shù)情況下數(shù)據(jù)控制者將處理包含多個(gè)數(shù)據(jù)主體在內(nèi)的個(gè)人數(shù)據(jù)，故而數(shù)據(jù)控制者不應(yīng)對(duì)“與數(shù)據(jù)主體有關(guān)的個(gè)人數(shù)據(jù)”一詞作嚴(yán)格解釋。除數(shù)據(jù)主體直接提供的數(shù)據(jù)信息(例如，郵寄地址、用戶名，年齡等)外，數(shù)據(jù)控制者通過(guò)應(yīng)用服務(wù)或設(shè)備觀測(cè)數(shù)據(jù)主體而記錄到的數(shù)據(jù)信息也應(yīng)包括在該權(quán)利行使范圍內(nèi)，例如通過(guò)保健和健身應(yīng)用程序、社交媒體，以及可穿戴設(shè)備等途徑獲取的健康信息，但不包括數(shù)據(jù)控制者基于“由數(shù)據(jù)主體提供的數(shù)據(jù)”進(jìn)行后續(xù)分析而獲得的推斷數(shù)據(jù)和派生數(shù)據(jù)(例如，關(guān)于用戶健康的評(píng)估結(jié)果或在風(fēng)險(xiǎn)管理和財(cái)務(wù)法規(guī)的背景下創(chuàng)建的個(gè)人資料)。GDPR及其《指南》對(duì)“與數(shù)據(jù)主體有關(guān)的個(gè)人數(shù)據(jù)”所作的適當(dāng)擴(kuò)大解釋，恰恰使得數(shù)據(jù)可攜帶權(quán)能夠適應(yīng)當(dāng)前醫(yī)療健康大數(shù)據(jù)的發(fā)展趨勢(shì)。

其次，數(shù)據(jù)主體從數(shù)據(jù)控制者處獲得的數(shù)據(jù)應(yīng)為“結(jié)構(gòu)化的”“常用的”以及“可機(jī)讀的”。對(duì)于這3個(gè)術(shù)語(yǔ)，《指南》作了總體概述：這要求數(shù)據(jù)控制者提供的數(shù)據(jù)的格式應(yīng)當(dāng)是可互操作的。換言之，所提供的數(shù)據(jù)格式可以是開放的，也可以是專有的；可以是正式標(biāo)準(zhǔn)的，也可以是非正式標(biāo)準(zhǔn)的，但應(yīng)當(dāng)是可重復(fù)使用的，亦即不得以限制再利用的格式提供數(shù)據(jù)[12]。其中關(guān)于“可機(jī)讀的”，指令2013/37/EU第二十九條作了闡釋：一種結(jié)構(gòu)化的文件格式，使軟件應(yīng)用程序可以輕松地辨認(rèn)、識(shí)別和提取特定數(shù)據(jù)，包括單個(gè)事實(shí)陳述及其內(nèi)部結(jié)構(gòu)。這意味著數(shù)據(jù)主體能夠充分增強(qiáng)其對(duì)個(gè)人健康信息的控制，因?yàn)樵跀?shù)據(jù)可攜帶權(quán)行使的范圍內(nèi)，數(shù)據(jù)主體可以使一個(gè)研究機(jī)構(gòu)收集的數(shù)據(jù)被另一研究機(jī)構(gòu)訪問(wèn)，抑或可以使來(lái)自商業(yè)應(yīng)用程序或設(shè)備的數(shù)據(jù)(例如活動(dòng)跟蹤系統(tǒng))等重復(fù)用于與健康相關(guān)的研究。

最后，數(shù)據(jù)主體有權(quán)不受障礙地將其個(gè)人數(shù)據(jù)從數(shù)據(jù)控制者處轉(zhuǎn)移至其他數(shù)據(jù)控制者處。這蘊(yùn)含兩層含義：數(shù)據(jù)主體既可以自行轉(zhuǎn)移數(shù)據(jù)，也可以要求數(shù)據(jù)控制者在技術(shù)可行的情況下直接轉(zhuǎn)移數(shù)據(jù)。這一權(quán)利內(nèi)容實(shí)質(zhì)上要求數(shù)據(jù)控制者應(yīng)當(dāng)開發(fā)出可互操作性的數(shù)據(jù)格式。“可互操作性”并不要求數(shù)據(jù)控制者所采用或維護(hù)的處理系統(tǒng)能夠?qū)崿F(xiàn)技術(shù)上的兼容性，但禁止數(shù)據(jù)控制者為數(shù)據(jù)轉(zhuǎn)移設(shè)置障礙。此外，根據(jù)GDPR第八十九條第二款的規(guī)定，出于科學(xué)研究目的，數(shù)據(jù)的“刪除權(quán)”“糾正權(quán)”等權(quán)利在歐洲成員國(guó)法律中可能被克減，但數(shù)據(jù)主體的可攜帶權(quán)仍然需要保留。

總的來(lái)說(shuō)，在數(shù)據(jù)可攜帶權(quán)中，數(shù)據(jù)主體將承擔(dān)數(shù)據(jù)分發(fā)中心的角色(該角色過(guò)去由數(shù)據(jù)控制者保留)，這使得數(shù)據(jù)主體取得了獲取和重復(fù)使用個(gè)人數(shù)據(jù)的能力，并且能夠?qū)⑵湎蛱囟〝?shù)據(jù)控制者提供的個(gè)人數(shù)據(jù)傳輸至另一服務(wù)提供商(在同一業(yè)務(wù)部門內(nèi)或在不同業(yè)務(wù)部門間)[11]。除了通過(guò)防止“鎖定”的方式來(lái)增強(qiáng)數(shù)據(jù)主體控制其個(gè)人數(shù)據(jù)的能力外，數(shù)據(jù)可攜帶權(quán)還有利于在數(shù)據(jù)主體的控制下以安全可靠的方式促使個(gè)人數(shù)據(jù)在數(shù)據(jù)控制者之間共享。故而，有必要探索在醫(yī)療健康領(lǐng)域落實(shí)數(shù)據(jù)可攜帶權(quán)的可行路徑。

2018年《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》要求相關(guān)責(zé)任單位應(yīng)當(dāng)為醫(yī)療健康數(shù)據(jù)主體提供安全的復(fù)制渠道。2020年《信息安全技術(shù) 個(gè)人信息安全規(guī)范》第七條第九款規(guī)定“個(gè)人信息主體獲取個(gè)人信息副本”。這些規(guī)定和要求可以視為立法為中國(guó)版“數(shù)據(jù)可攜帶權(quán)”埋下的伏筆[12]。隨后，2021年《個(gè)人信息保護(hù)法》第四十五條正式確立了個(gè)人信息可攜帶權(quán)，但該條僅為引致性規(guī)范，對(duì)于個(gè)人信息處理者應(yīng)當(dāng)以何種形式和程序?qū)崿F(xiàn)數(shù)據(jù)主體的可攜帶權(quán)未有明確規(guī)定?？山梃b歐盟關(guān)于數(shù)據(jù)可攜帶權(quán)的具體規(guī)范，進(jìn)一步明確我國(guó)個(gè)人信息可攜帶權(quán)的實(shí)施細(xì)則。值得注意的是，我國(guó)明確醫(yī)療健康領(lǐng)域的數(shù)據(jù)可攜帶權(quán)之具體規(guī)范時(shí)不應(yīng)照搬歐盟的制度體系，應(yīng)立足本國(guó)國(guó)情加以調(diào)試，從而實(shí)現(xiàn)真正的本土化。同時(shí)考慮到醫(yī)療健康領(lǐng)域的特殊性，還需要審慎思考應(yīng)否采用廣泛的數(shù)據(jù)可攜帶權(quán)。

3.2 構(gòu)建個(gè)人健康信息電子動(dòng)態(tài)知情同意機(jī)制

構(gòu)建個(gè)人健康信息電子動(dòng)態(tài)知情同意機(jī)制可從三個(gè)層面著手：一是實(shí)現(xiàn)知情同意書的電子化；二是基于電子知情同意書建立電子同意管理機(jī)制；三是基于電子同意管理機(jī)制引入動(dòng)態(tài)同意模式。

第一，實(shí)現(xiàn)知情同意書在醫(yī)療健康領(lǐng)域的電子化。信息通信技術(shù)使得紙上活動(dòng)逐漸電子化，知情同意書亦由紙質(zhì)化邁向電子化。2016年美國(guó)衛(wèi)生與公共服務(wù)部和食品藥品監(jiān)督管理局發(fā)布特定指南《電子知情同意書在臨床研究中的適用-問(wèn)題和答案》。該指南提供了有關(guān)使用電子系統(tǒng)和流程的建議，明確了電子知情同意書(electronic informed consent，EIC)可用于提供通常包含在書面知情同意文件中的信息，評(píng)估受試者對(duì)所提供信息的理解，并記錄受試者或受試者合法授權(quán)代表人的同意[13]。一方面，EIC的整個(gè)在線傳輸過(guò)程可以使用交互式界面，這將促進(jìn)受試者保留和理解信息的能力；另一方面，EIC能夠利用電子設(shè)計(jì)增強(qiáng)信息披露，并快速通知相關(guān)受試者與知情同意關(guān)聯(lián)的任何修正，從而促進(jìn)數(shù)據(jù)主體更好地理解其個(gè)人數(shù)據(jù)的流向和使用。目前上海市數(shù)字證書認(rèn)證中心有限公司也推出了EIC解決方案，該方案通過(guò)將多功能移動(dòng)安全認(rèn)證、可靠電子簽名系統(tǒng)以及醫(yī)療文書自動(dòng)推送系統(tǒng)結(jié)合實(shí)現(xiàn)知情同意書的電子化?？梢?，我國(guó)在醫(yī)療健康領(lǐng)域已開始了EIC的探索，并取得了一定成果。

第二，基于電子知情同意書建立電子同意管理機(jī)制。當(dāng)前大多數(shù)機(jī)構(gòu)推行的EIC仍然是采用線下紙質(zhì)加文件掃描的方式來(lái)形成電子文件格式。此種基于紙質(zhì)的知情同意程序長(zhǎng)期以來(lái)遭致批評(píng)，根源在于紙質(zhì)知情同意程序難以以數(shù)據(jù)主體可理解的方式傳達(dá)相關(guān)信息，阻礙了數(shù)據(jù)主體的自主選擇意愿。為此，理論與實(shí)務(wù)界開始探索電子同意管理機(jī)制(electronic consent management mechanism，ECMM)。理論界中，有學(xué)者利用統(tǒng)一建模語(yǔ)言(unified modeling language，UML)模型設(shè)計(jì)ECMM[14]，還有學(xué)者建議將ECMM與電子病歷(electronic medical record，EMR)或電子人力資源管理(electronic human resource，EHR)進(jìn)行系統(tǒng)集成[15-16]。實(shí)務(wù)界中，諸多醫(yī)療保健組織試圖在EMR中進(jìn)行電子同意書管理：退伍軍人管理局醫(yī)療中心利用計(jì)算機(jī)系統(tǒng)工具(iMedConsent)支持以電子方式訪問(wèn)、填寫，簽署和存儲(chǔ)知情同意書。如何在技術(shù)層面落實(shí)ECMM并非是法學(xué)學(xué)者所能解決的問(wèn)題，但可以肯定的是，建立ECMM有利于增強(qiáng)數(shù)據(jù)主體對(duì)個(gè)人健康信息的控制，是推動(dòng)我國(guó)智慧醫(yī)療建設(shè)的重要手段。

第三，基于電子同意管理機(jī)制引入動(dòng)態(tài)同意模式。動(dòng)態(tài)同意模式以分層同意為基礎(chǔ)，旨在將不斷發(fā)展變化的數(shù)據(jù)主體的偏好嵌入到參與者與研究人員的開放式交流過(guò)程中，是一種讓個(gè)人參與到數(shù)據(jù)處理過(guò)程中的新方法。在初始知情同意程序中，首先由研究人員分別詢問(wèn)參與者同意與不同意使用的數(shù)據(jù)類型與數(shù)據(jù)使用目的，此后，當(dāng)數(shù)據(jù)需要繼續(xù)使用或用于不同研究項(xiàng)目時(shí)，僅根據(jù)參與者的偏好調(diào)整數(shù)據(jù)的使用情況并告知參與者。在整個(gè)項(xiàng)目過(guò)程中，參與者可以調(diào)整、修改或變更其對(duì)數(shù)據(jù)使用的偏好，甚至退出相關(guān)研究。概言之，動(dòng)態(tài)同意模式將同意從靜態(tài)過(guò)程轉(zhuǎn)變?yōu)檫m應(yīng)性過(guò)程，在醫(yī)療健康領(lǐng)域引入動(dòng)態(tài)同意模式，可以強(qiáng)化數(shù)據(jù)主體的中心地位，提高數(shù)據(jù)主體對(duì)其個(gè)人健康信息的主動(dòng)權(quán)。同時(shí)在該模式下，數(shù)據(jù)主體同意的作出與撤回是即時(shí)性的，能夠幫助數(shù)據(jù)主體更好地應(yīng)對(duì)瞬息萬(wàn)變的醫(yī)療健康大數(shù)據(jù)時(shí)代。我國(guó)《個(gè)人信息保護(hù)法》采用概括同意結(jié)合特定例外的形式，同時(shí)設(shè)置了單獨(dú)同意、口頭同意、書面同意、初始同意和再次同意五種類型，其中明確了采用“單獨(dú)同意”的形式處理敏感個(gè)人信息。所謂“單獨(dú)同意”是指信息處理者在處理個(gè)人信息時(shí)，不能通過(guò)一攬子告知同意的方式征得個(gè)人同意，而是需要逐一單獨(dú)取得個(gè)人的同意。“單獨(dú)同意”在《個(gè)人信息保護(hù)法》中的確立，可以認(rèn)為是立法為動(dòng)態(tài)同意模式提供了合法性基礎(chǔ)。

動(dòng)態(tài)同意模式在促進(jìn)數(shù)據(jù)主體對(duì)個(gè)人健康信息精細(xì)化控制的同時(shí)，可能會(huì)對(duì)醫(yī)學(xué)研究的質(zhì)量產(chǎn)生影響，尤其是廣泛地選擇退出有可能致使研究數(shù)據(jù)集產(chǎn)生偏向性并損害特定科學(xué)領(lǐng)域中數(shù)據(jù)分析的可靠性與可重復(fù)性。實(shí)際上，數(shù)據(jù)主體的控制權(quán)并非絕對(duì)的，當(dāng)其與其他立法價(jià)值發(fā)生沖突時(shí)，存在數(shù)據(jù)主體放棄控制權(quán)的可能性，正如《個(gè)人信息保護(hù)法》第十三條即明確了在應(yīng)對(duì)突發(fā)公共衛(wèi)生事件、履行法定職責(zé)等五種情況下，處理個(gè)人信息毋須征得主體同意，并設(shè)置了兜底條款，為其他法律、行政法規(guī)在此方面留下立法空間?？偟膩?lái)說(shuō)，個(gè)人健康信息與個(gè)人、社會(huì)以及國(guó)家利益休戚相關(guān)，為實(shí)現(xiàn)不同立法價(jià)值間的利益平衡，當(dāng)出于公共利益的目的要求數(shù)據(jù)主體放棄控制個(gè)人健康信息的權(quán)利時(shí)，應(yīng)當(dāng)有確鑿證據(jù)證明控制權(quán)的存在與數(shù)據(jù)集研究質(zhì)量下降之間具有因果關(guān)系。

4 結(jié)論

數(shù)據(jù)安全問(wèn)題貫穿了數(shù)據(jù)主體控制個(gè)人健康信息的全生命周期?！吨腥A人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱《數(shù)據(jù)安全法》)作為數(shù)據(jù)領(lǐng)域的首部基礎(chǔ)性法律，全鏈條構(gòu)建了數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制、數(shù)據(jù)安全審查等制度，形成了數(shù)據(jù)安全保障的基本框架。數(shù)據(jù)分類分級(jí)制度作為關(guān)鍵環(huán)節(jié)，《數(shù)據(jù)安全法》“自上而下”地初步完成了分類分級(jí)工作，類型化區(qū)分設(shè)計(jì)了數(shù)據(jù)基本保護(hù)規(guī)則，其中對(duì)于個(gè)人信息保護(hù)，已通過(guò)第三十二條第二款、第五十三條第二款直接指向了《個(gè)人信息保護(hù)法》[17]。2021年實(shí)施的《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》亦重點(diǎn)強(qiáng)調(diào)了健康醫(yī)療數(shù)據(jù)的分類分級(jí)合規(guī)要求，但該指南主要為倡導(dǎo)性規(guī)定，不宜作為醫(yī)療健康機(jī)構(gòu)數(shù)據(jù)合規(guī)治理及監(jiān)管機(jī)構(gòu)執(zhí)法的依據(jù)。如何在《數(shù)據(jù)安全法》的宏觀指引下，以《個(gè)人信息保護(hù)法》為基礎(chǔ)落實(shí)個(gè)人健康信息分類分級(jí)制度的配套實(shí)施細(xì)則仍然是當(dāng)前立法和實(shí)務(wù)的難點(diǎn)。