殷明雪

西南政法大學(xué)民商法學(xué)院，重慶，401120

大數(shù)據(jù)是指以容量大、類型多、存取速度快、應(yīng)用價值高為主要特征的數(shù)據(jù)集合[1]，醫(yī)療衛(wèi)生領(lǐng)域的大數(shù)據(jù)開發(fā)利用始于2016年國務(wù)院發(fā)布的《關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》(簡稱《指導(dǎo)意見》)，其中提及2020年我國要建成100個區(qū)域臨床醫(yī)學(xué)數(shù)據(jù)示范中心。隨后，健康醫(yī)療大數(shù)據(jù)相關(guān)政策、法規(guī)、標(biāo)準(zhǔn)體系不斷完善。為促進健康醫(yī)療大數(shù)據(jù)服務(wù)管理和“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展，充分發(fā)揮健康醫(yī)療大數(shù)據(jù)作為國家重要基礎(chǔ)性戰(zhàn)略資源的作用，國家衛(wèi)生健康委員會2018年頒布《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》(簡稱《管理辦法》)，就健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理作出了規(guī)定。健康醫(yī)療領(lǐng)域的“大數(shù)據(jù)+網(wǎng)格化”等新技術(shù)手段的應(yīng)用，在新冠疫情預(yù)警、檢測、排查等工作中發(fā)揮了不可或缺的作用。不僅如此，在“精準(zhǔn)醫(yī)療”“健康管理”“新興智能醫(yī)療應(yīng)用”等領(lǐng)域，健康醫(yī)療大數(shù)據(jù)的運用也成為新的發(fā)展趨勢[2]。

已有文獻對健康醫(yī)療大數(shù)據(jù)的應(yīng)用場景和數(shù)據(jù)管理(包括數(shù)據(jù)的收集、審核、遴選、訪問等)問題進行了較為充分的討論，但對健康醫(yī)療大數(shù)據(jù)建設(shè)中個人隱私保護的探討相對較少，且多從倫理學(xué)和管理學(xué)視角展開。如有學(xué)者就健康醫(yī)療大數(shù)據(jù)的公平問題進行了研究，認為健康醫(yī)療大數(shù)據(jù)建設(shè)中公共健康發(fā)展的共同利益具有優(yōu)勢地位[3]。有學(xué)者從“谷歌流感趨勢”預(yù)測這一技術(shù)措施出發(fā)，分析了健康醫(yī)療大數(shù)據(jù)面臨的個體隱私和共同隱私之權(quán)衡、被動共享、算法黑箱和監(jiān)管缺失等倫理爭議[4]。還有學(xué)者從大數(shù)據(jù)技術(shù)角度分析了現(xiàn)階段基因數(shù)據(jù)脫敏技術(shù)可能產(chǎn)生的隱私風(fēng)險，從數(shù)據(jù)管理的技術(shù)角度提出降低健康醫(yī)療數(shù)據(jù)敏感度的技術(shù)措施(同態(tài)加密、硬件加密、差分隱私等)[5]。健康醫(yī)療大數(shù)據(jù)建設(shè)中個人隱私遭受侵犯的風(fēng)險，根源來自個人健康信息的高敏感性，加之傳統(tǒng)知情同意模式在健康醫(yī)療大數(shù)據(jù)場景中的落實存在局限，已有研究雖對健康醫(yī)療大數(shù)據(jù)的管理和倫理困境進行了探索，但對這些困境產(chǎn)生的原因探討不夠。本文擬從個人健康信息的特殊性出發(fā)，剖析健康醫(yī)療大數(shù)據(jù)應(yīng)用過程中復(fù)雜的利益關(guān)系給個人隱私保護帶來的問題及成因，并從完善事前預(yù)防的倫理審查程序、明確知情同意的倫理與法律原則以及加強行業(yè)自治與監(jiān)督角度提出健康醫(yī)療大數(shù)據(jù)領(lǐng)域的個人隱私保護的因應(yīng)之道。

1 健康醫(yī)療大數(shù)據(jù)中個人隱私的內(nèi)涵與特征

個人健康信息承載大量個人隱私，健康醫(yī)療大數(shù)據(jù)需以個人不愿為人所知的健康信息作為建設(shè)基礎(chǔ)，健康醫(yī)療大數(shù)據(jù)建設(shè)理應(yīng)關(guān)注個人健康信息的隱私保護問題。

1.1 健康醫(yī)療大數(shù)據(jù)的范圍及應(yīng)用場景

根據(jù)《管理辦法》的規(guī)定，健康醫(yī)療大數(shù)據(jù)指的是人們在疾病防治、健康管理過程中產(chǎn)生的與健康醫(yī)療相關(guān)的數(shù)據(jù)，但《管理辦法》并未對健康醫(yī)療大數(shù)據(jù)的具體類型作出規(guī)定。學(xué)界根據(jù)個人疾病防治、健康管理的具體應(yīng)用場景的轉(zhuǎn)換，將健康醫(yī)療大數(shù)據(jù)劃分為健康醫(yī)療服務(wù)數(shù)據(jù)(如電子病歷、檢查單等)、生物醫(yī)學(xué)數(shù)據(jù)(如基因序列、蛋白質(zhì)組等)、醫(yī)療保險數(shù)據(jù)(新型農(nóng)村合作醫(yī)療、城鎮(zhèn)職工基本醫(yī)療保險等)、醫(yī)藥研發(fā)與管理數(shù)據(jù)(藥物臨床試驗、藥物采購、疫苗電子監(jiān)管等)公共衛(wèi)生數(shù)據(jù)(疾病監(jiān)測、突發(fā)公共衛(wèi)生事件監(jiān)測、傳染病報告)、與患者行為表現(xiàn)、保健品購買記錄、健身信息等行為與情緒數(shù)據(jù)；衛(wèi)生資源與醫(yī)療服務(wù)調(diào)查、計劃生育統(tǒng)計等統(tǒng)計數(shù)據(jù)；居民婚姻、家庭、計劃生育等人口管理數(shù)據(jù)、與人類健康密切相關(guān)的空氣污染物和氣候狀況等環(huán)境數(shù)據(jù)[6]。

國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會于2020年12月14日發(fā)布《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》(簡稱《健康醫(yī)療數(shù)據(jù)安全指南》)對個人健康醫(yī)療數(shù)據(jù)(personal health data)與健康醫(yī)療數(shù)據(jù)(health data)分別進行了定義。前者是指，單獨或與其他信息結(jié)合后能夠識別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)；后者則是指，個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)的電子數(shù)據(jù)，如經(jīng)過對群體健康醫(yī)療數(shù)據(jù)處理之后得到的群體總體分析結(jié)果、趨勢預(yù)測、疾病防治統(tǒng)計數(shù)據(jù)等。從《健康醫(yī)療數(shù)據(jù)安全指南》的定義可以得出，二者的區(qū)別在于個人健康醫(yī)療數(shù)據(jù)具有一定的可識別性，而健康醫(yī)療數(shù)據(jù)則是經(jīng)過處理之后的脫敏數(shù)據(jù)，兩類數(shù)據(jù)均是健康醫(yī)療大數(shù)據(jù)的組成部分。值得注意的是，《健康醫(yī)療數(shù)據(jù)安全指南》對個人健康醫(yī)療數(shù)據(jù)和健康醫(yī)療數(shù)據(jù)的定義，均指向“電子數(shù)據(jù)”，是否意味著并不包括紙質(zhì)檔案？而《管理辦法》對健康醫(yī)療大數(shù)據(jù)規(guī)定的范圍顯然比《健康醫(yī)療數(shù)據(jù)安全指南》要寬泛得多。

目前國內(nèi)外醫(yī)療健康大數(shù)據(jù)的應(yīng)用主要集中在以下幾個方面：一是臨床環(huán)境下的精準(zhǔn)醫(yī)療應(yīng)用，典型的如個性化醫(yī)療、基因診療、診療決策輔助等；二是市場環(huán)境下的自我健康管理應(yīng)用，包括慢性病遠程監(jiān)測與居家干預(yù)、公眾日常健康監(jiān)測與干預(yù)等；三是學(xué)術(shù)環(huán)境下科研應(yīng)用，如預(yù)測建模、臨床試驗等；四是醫(yī)療衛(wèi)生精益管理應(yīng)用，如醫(yī)院醫(yī)療質(zhì)量管理、衛(wèi)生決策輔助、醫(yī)院績效分析和公共衛(wèi)生領(lǐng)域的預(yù)測及監(jiān)管等；五是新興的智能醫(yī)療應(yīng)用，如醫(yī)療AI、可穿戴設(shè)備以及移動醫(yī)療等[7]。廣泛的應(yīng)用場景給健康醫(yī)療大數(shù)據(jù)發(fā)展帶來新的發(fā)展動力，同時也為個人隱私的保護帶來不同領(lǐng)域呈現(xiàn)多樣化的挑戰(zhàn)。

1.2 健康醫(yī)療大數(shù)據(jù)中個人健康信息及其隱私內(nèi)涵

根據(jù)《中華人民共和國民法典》(簡稱《民法典》)第一千零三十二條第二款的規(guī)定，隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。該條明確了隱私的保護對象包括私密信息，且強調(diào)了隱私“不愿為他人知曉”的特征。私密信息是隱私與個人信息交叉的部分，《民法典》第一千零三十四條第二款規(guī)定，個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定。個人醫(yī)療健康方面的信息符合隱私這一特征，并且在司法實踐中也被認定為私密信息(具體內(nèi)容可參見重慶市黔江區(qū)人民法院(2008)黔法民初字第284號判決書)。因此在本文的語境下，強調(diào)個人健康隱私的保護實際上也是強調(diào)對個人健康信息的保護。

對于隱私，不僅是客觀上處于秘密狀態(tài)，當(dāng)事人主觀上也不愿讓其公開，為他人知悉。關(guān)于個人對其隱私享有的權(quán)能，保守的學(xué)者認為隱私權(quán)應(yīng)當(dāng)是一種消極權(quán)利，內(nèi)容限于排除他人對私人生活秘密、安寧的不法干涉。另外一些學(xué)者則認為隱私權(quán)不僅具有消極的防御功能，也蘊含對私人領(lǐng)域內(nèi)事務(wù)的支配力，側(cè)重個人主體對隱私信息的占有、使用、處分和限制他人的非法獲悉和披露，即對個人事務(wù)的“自我決定”。相較而言，隨著時代的發(fā)展，后一種觀點逐漸被廣泛接受，現(xiàn)主流學(xué)者大多認為隱私權(quán)的內(nèi)容應(yīng)當(dāng)包括隱私享有權(quán)、隱私利用權(quán)、隱私公開權(quán)和隱私維護權(quán)[8]。健康醫(yī)療領(lǐng)域的個人隱私的最主要表現(xiàn)方式同樣在于個人對自身健康狀況的隱瞞、公開以及健康信息的利用的自我決定權(quán)。

《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)第二十八條第二款通過“定義+列舉”的方式將醫(yī)療健康信息納入敏感個人信息范圍內(nèi)，蓋因此類信息通常涉及個人身體數(shù)據(jù)、健康狀況、醫(yī)保支付情況，甚至家庭收入等個人不愿為他人知曉的隱私，一旦被泄露或不當(dāng)利用，容易導(dǎo)致信息主體在日常生活和工作中遭受健康歧視、就業(yè)歧視等不公正對待。除了高敏感性，個人健康信息還具有一定的社會公益屬性，在精準(zhǔn)醫(yī)療、臨床試驗、基因檢測等增進社會公共健康福祉的醫(yī)學(xué)活動中，個人健康信息的匯聚、融合與應(yīng)用將發(fā)揮必不可少的作用[9]。個人健康信息的另一特點是信息主體的弱控制性，健康信息須經(jīng)專業(yè)機構(gòu)進行集成化處理方能充分發(fā)揮大數(shù)據(jù)價值[10]，健康信息的生成、處理和利用過程，個人主體難以參與其中。實踐中，個人除了在醫(yī)療機構(gòu)、企業(yè)平臺采集其健康信息時作出同意與否的表示之外，對自身健康信息后續(xù)利用的控制力度在逐漸減弱，典型如生物樣本庫研究，傳統(tǒng)的知情同意模式已不能完全滿足樣本提供者對自身樣本用于何種研究的控制力之需。

2 健康醫(yī)療大數(shù)據(jù)建設(shè)與個人隱私保護問題及成因剖析

大數(shù)據(jù)技術(shù)與醫(yī)療健康產(chǎn)業(yè)的深度融合使得對個人健康醫(yī)療數(shù)據(jù)的采集、共享、分析與預(yù)測變得更加容易，數(shù)據(jù)管理者只需利用大數(shù)據(jù)技術(shù)對所收集的個人健康數(shù)據(jù)進行分析，個人隱私就有可能從“隱形”變?yōu)椤帮@形”，個人隱私泄露的風(fēng)險急速攀升[11]。

2.1 知情同意原則的貫徹與落實存在困境

知情同意原則已成為協(xié)調(diào)醫(yī)患雙方利益平衡的一項重要法律和倫理原則，關(guān)乎患者的自主決定權(quán)?；颊咭蕾囜t(yī)務(wù)人員履行說明義務(wù)，并在充分知曉自己病情、了解診療方案及診療行為風(fēng)險的基礎(chǔ)上，做出是否同意某醫(yī)療措施的決定。傳統(tǒng)醫(yī)患關(guān)系中，醫(yī)方基于診療目的需要獲取患者的個人身份信息、患病情況、既往病史、遺傳病史等信息，呈現(xiàn)純粹、單一的“醫(yī)方——患方”的診療關(guān)系，采集和使用的個人健康信息也僅限于該患者個人診療之目的。然而，這種單一的“醫(yī)方——患方”的診療關(guān)系隨大數(shù)據(jù)技術(shù)的發(fā)展正在變得越來越復(fù)雜，涉及的主體范圍也越來越廣泛，健康醫(yī)療大數(shù)據(jù)不僅僅被應(yīng)用于傳統(tǒng)診療活動，在生物醫(yī)學(xué)研究中也有廣闊的適用空間。且個人健康信息要想轉(zhuǎn)化為高質(zhì)量的、可作為生產(chǎn)要素的健康醫(yī)療大數(shù)據(jù)，需歷經(jīng)多層次、多級別的獲取、分析和使用階段，醫(yī)療機構(gòu)、社會企業(yè)、公共衛(wèi)生部門均參與其中發(fā)揮作用。在如此復(fù)雜的數(shù)據(jù)集成應(yīng)用過程中，個人對自身健康信息后續(xù)轉(zhuǎn)化、衍生成為“大數(shù)據(jù)”的控制力度在逐漸減弱，知情同意原則的貫徹與落實難度也在層層“加碼”。不僅如此，健康醫(yī)療大數(shù)據(jù)本身具有一定的財產(chǎn)利益可供企業(yè)挖掘，基于趨利心理，容易出現(xiàn)企業(yè)平臺過度收集、濫用個人健康信息的情況，用戶隱私泄露的風(fēng)險加大。這一點從工信部發(fā)布的多批《關(guān)于侵害用戶權(quán)益行為的APP通報》及整改情況可以看出[12]，即使被工信部門通報，拒不整改的APP仍占多數(shù)，其中不乏有關(guān)健康管理和醫(yī)療咨詢類的APP。

此外，健康醫(yī)療大數(shù)據(jù)具有高集成化應(yīng)用價值，開放和共享是必然趨勢，若無有效監(jiān)督機制，個人知情同意權(quán)很有可能在這種開放和共享的大數(shù)據(jù)建設(shè)理念下被架空。以生物樣本庫為例，生物樣本庫的設(shè)立目標(biāo)是探究遺傳傾向和環(huán)境暴露之間的相互作用和對健康的影響，涉及群體研究和多個利益相關(guān)方的共同參與[13]。生物樣本庫包含的大量人類遺傳資源信息，從廣義上也可以被納入健康信息，根據(jù)《人類遺傳資源管理條例》第九條的規(guī)定“采集、保藏、利用、對外提供我國人類遺傳資源，應(yīng)當(dāng)尊重人類遺傳資源提供者的隱私權(quán)，取得其事先同意，并保護其合法權(quán)益”。但問題在于生物樣本庫在建立之初所獲取的樣本提供者知情同意的效力，是否可及于之后使用樣本庫資源和信息的其他所有研究人員？若需再次取得樣本提供者的知情同意，無疑加大研究人員負擔(dān)，甚至是不可能實現(xiàn)的。蓋因生物樣本庫僅為信息平臺，面對浩如煙海的樣本提供者，研究人員往往很難直接對接到具體的樣本提供者，遑論取得知情同意。

2.2 公共利益維護與個人隱私權(quán)保護的沖突明顯

健康醫(yī)療大數(shù)據(jù)建設(shè)的公益屬性與保護個人隱私的私益需求之間似乎存在某種天然的沖突，“公”與“私”的矛盾表現(xiàn)得尤為突出[14]?！睹穹ǖ洹返谝磺Ф俣鶙l規(guī)定了醫(yī)療機構(gòu)及其醫(yī)務(wù)人員對患者隱私和個人信息保密的義務(wù)，醫(yī)療機構(gòu)或其醫(yī)務(wù)人員泄露患者的隱私和個人信息，或未經(jīng)同意公開患者病歷資料的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任?！吨腥A人民共和國傳染病防治法》第十二條也有類似規(guī)定，然而在具體落實這些規(guī)定時，卻因信息不對稱和政策不透明出現(xiàn)侵害個人隱私的現(xiàn)象。

以應(yīng)對新冠疫情的防控措施為例，對新冠患者進行第一時間的流調(diào)信息分析是我國防疫政策的主要手段，也是健康醫(yī)療大數(shù)據(jù)應(yīng)用的重要場景之一。政府部門將收集的個人身份信息、社會關(guān)系信息、行動軌跡信息以及最重要的病情健康信息進行匯總分析之后予以公布，方便其他公眾對照是否存在軌跡交叉[15]，從而快速、有效地發(fā)現(xiàn)潛在密切接觸者、切斷傳播途徑。然而，盡管官方發(fā)布的流調(diào)信息一般做一定程度的“去標(biāo)識化”或“匿名化”處理。但通過與其他信息整合，公眾仍然很容易知悉患者的真實身份，從而給新冠患者及其家屬帶來新冠“污名化”的風(fēng)險[16]。

衛(wèi)生行政部門使用、處理健康醫(yī)療大數(shù)據(jù)(甚至是可識別的個人健康信息)，從保障公共衛(wèi)生的角度可以得到正當(dāng)性辯護。因公共衛(wèi)生健康政策的精準(zhǔn)制定和有效實施，有賴于收集的醫(yī)療健康信息的準(zhǔn)確性、正確性、可行性。一方面，有關(guān)個人健康信息的過度披露可能導(dǎo)致個人隱私的泄露，引發(fā)個人在工作、生活中的社交危機；另一方面，如果對患者患病信息的披露不完全或不到位，則會阻礙新冠病毒的追蹤溯源，導(dǎo)致無法有效制定防疫政策、準(zhǔn)確部署防疫措施。

2.3 個人主體在健康醫(yī)療大數(shù)據(jù)建設(shè)中處于弱勢地位

快速發(fā)展的數(shù)字時代，越來越多地個人健康信息被傳統(tǒng)醫(yī)療機構(gòu)之外的商業(yè)公司收集和利用，處于相對弱勢地位的個人主體人格權(quán)有遭受侵犯的風(fēng)險[17]。如提供可穿戴設(shè)備的企業(yè)用移動設(shè)備收集了大量個人健康信息(如情緒、壓力水平、習(xí)慣、睡眠模式、運動狀況等)，若企業(yè)將分析結(jié)果出售給其他商業(yè)主體作為信貸、保險和招聘決策的參考因素[18]，對個人用戶而言，可能帶來潛在的經(jīng)濟損失，甚至遭受健康歧視。此外，商業(yè)公司(如醫(yī)療保險公司)可基于大數(shù)據(jù)技術(shù)分析進行差別定價或者大數(shù)據(jù)殺熟以獲得利潤最大化[19]。因算法編寫的高度專業(yè)性，用戶無法知悉自身健康信息被抓取、處理以及應(yīng)用的細節(jié)[20]，商業(yè)公司常在當(dāng)事人一無所知的情況下對個人健康狀況進行剖析并自動化決策，從而侵犯個人自主選擇權(quán)。

隱私政策是衡量網(wǎng)絡(luò)服務(wù)提供者收集、利用用戶個人信息合法性的重要方式，既是企業(yè)自治的一種工具，又直接關(guān)系到用戶的個人信息保護[21]。向用戶提供隱私政策協(xié)議的方式看似能夠保障用戶的信息安全，然而由于統(tǒng)一的行業(yè)標(biāo)準(zhǔn)缺位和“算法黑箱”的現(xiàn)實阻礙，個人主體處于一種相對弱勢的地位，個人信息仍有被侵害的可能。筆者對幾款健康管理和醫(yī)療咨詢移動設(shè)備APP的隱私政策進行了條文分析，發(fā)現(xiàn)此類平臺向用戶提供的隱私政策整體偏重保護平臺利益，對用戶隱私保護并不周嚴。如過度收集個人健康信息、未明確區(qū)分處理個人健康信息與其他個人信息的處理方式、與第三方共享信息時并未征得用戶明確的二次同意等。例如，多數(shù)APP的隱私政策提到平臺收集、統(tǒng)計的信息將可能會與公眾或第三方共享，以展示產(chǎn)品或服務(wù)的整體使用趨勢[22]。但實際上并未在隱私政策中明確究竟何種具體情形下平臺會將收集的個人信息共享，且共享的第三方主體的范圍也不清晰。用戶只能被動選擇“接受”或者“不接受”該隱私政策，一旦選擇不同意，平臺將限制用戶繼續(xù)使用終端。個人用戶實際上并無能力也無途徑與平臺對話以調(diào)整不合理的隱私政策。隱私政策條款的設(shè)計與表達暫無統(tǒng)一明確的行業(yè)標(biāo)準(zhǔn)予以規(guī)制，可能出現(xiàn)企業(yè)平臺故意利用隱私政策的模糊性表達規(guī)避自身責(zé)任的情形。不禁要問，這種模糊不清的用語和表述是否可以構(gòu)成承諾并具有合同效力？不僅如此，筆者暫沒有發(fā)現(xiàn)健康相關(guān)企業(yè)平臺的隱私政策對“健康信息”有明確定義，各終端隱私政策的表述也都是“個人信息”，即盡管平臺收集了大量的個人健康信息(如心跳、血壓狀況，甚至是完整的個人體檢報告)，平臺仍未明確將個人健康信息作為敏感個人信息進行特殊處理。

3 健康醫(yī)療大數(shù)據(jù)建設(shè)與個人隱私保護之協(xié)調(diào)

大數(shù)據(jù)時代背景下，健康信息呈現(xiàn)利益多樣性與沖突性，個人對自身健康信息的控制力弱化，傳統(tǒng)知情同意模式發(fā)揮的作用有限，加之行業(yè)標(biāo)準(zhǔn)缺位及“算法黑箱”的技術(shù)壁壘，共同導(dǎo)致健康醫(yī)療大數(shù)據(jù)建設(shè)過程中個人隱私保護困境?？赏ㄟ^構(gòu)建隱私風(fēng)險事前預(yù)防機制、加強數(shù)據(jù)使用流轉(zhuǎn)過程的個人知情同意保護以及搭建隱私影響評估制度，以回應(yīng)健康醫(yī)療大數(shù)據(jù)建設(shè)中個人隱私保護之需。

3.1 倫理與法律原則完善：構(gòu)建動態(tài)知情同意模式

不論是《民法典》還是《個人信息保護法》，在保護個人隱私權(quán)方面的核心理念是知情同意原則的貫徹與落實，即個人信息的使用限定于信息主體知悉和同意目的范圍之內(nèi)。然而，在某些健康醫(yī)療大數(shù)據(jù)的應(yīng)用場景中，個人知情同意權(quán)會因為維護公共利益之需受到一定限制。明確個人權(quán)利在何種程度上應(yīng)讓位于公共利益，一方面要繼續(xù)堅持知情同意原則在個人隱私保護中的核心地位，另一方面需要在原有知情同意模式上創(chuàng)新理念，以期能應(yīng)對新技術(shù)發(fā)展帶來的新挑戰(zhàn)。

首先，充分尊重信息主體的知情同意權(quán)。醫(yī)療保健和研究專業(yè)人員有義務(wù)告知個人他們將如何收集、使用個人健康信息的具體情況，并取得信息主體的同意[23]?！秱€人信息保護法》第二十九條也明確規(guī)定，處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意。信息技術(shù)飛速發(fā)展的當(dāng)下，有觀點認為知情同意原則已不再適應(yīng)新的大數(shù)據(jù)時代，因個人信息使用的利益遠大于損害，一味強調(diào)知情同意已成為阻礙大數(shù)據(jù)開發(fā)與利用的絆腳石，也有學(xué)者作出了反駁，認為盡管知情同意原則的堅守會帶來法律制度實施中的成本問題，但如果這些成本對維護人格尊嚴是有必要的，那么就應(yīng)該承受這些成本[24]。筆者贊同后一種觀點，《民法典》新設(shè)人格權(quán)編正是對個人尊嚴守護的明確體現(xiàn)。在很大程度上，知情同意原則是基于其他更為基本的倫理原則衍生而來，如對自主性的維護以及對人格尊嚴的尊重。因此，堅守知情同意原則是個人在大數(shù)據(jù)時代保持自主性，不淪為數(shù)據(jù)“奴隸”的重要抓手。

其次，構(gòu)建動態(tài)知情同意模式。個人對自身健康隱私的知情同意的需求主要出現(xiàn)在數(shù)據(jù)共享和數(shù)據(jù)鏈接時，知情同意模式通常分為動態(tài)同意和靜態(tài)同意。在靜態(tài)同意中，必須在收集數(shù)據(jù)時對所有未來的數(shù)據(jù)的使用征得同意，且須形成紙質(zhì)文本，這種模式也是我國《個人信息保護法》所采用的。靜態(tài)同意模式雖對個人知情同意權(quán)保護最為嚴格，卻可能不適應(yīng)健康醫(yī)療大數(shù)據(jù)基于環(huán)境和使用場景轉(zhuǎn)變帶來的新的同意需求，如前述提到的生物樣本庫研究中的知情同意困境。動態(tài)知情同意則更具個性化和針對性，著重保障數(shù)據(jù)主體和數(shù)據(jù)保管人之間的雙向通信，個人主體可以隨時間的推移、信息使用場景的轉(zhuǎn)換，實時更新并針對不同場景給予不同程度的同意，甚至撤銷同意，確保個人在一定程度上控制自身健康信息的使用[25]。然而這一模式也存在挑戰(zhàn)，一是實施的經(jīng)濟和時間成本較高；二是同意的撤銷以及數(shù)據(jù)更正、刪除的保證需要更先進的技術(shù)支撐；三是對個人主體的信息素養(yǎng)要求較高；四是健康醫(yī)療大數(shù)據(jù)建設(shè)的算法需在一定程度上公開，以體現(xiàn)自動執(zhí)行知情同意過程的正當(dāng)性。雖然存在這些挑戰(zhàn)，但不妨突破傳統(tǒng)的知情同意理念，嘗試建立新型的動態(tài)同意模式以應(yīng)對健康醫(yī)療大數(shù)據(jù)建設(shè)中知情同意原則貫徹與落實的困境。

3.2 加強隱私風(fēng)險事前預(yù)防機制：充分發(fā)揮倫理審查程序的作用

不斷發(fā)展的網(wǎng)絡(luò)技術(shù)使得網(wǎng)絡(luò)安全、個人隱私等信息倫理問題日漸凸顯，在某種程度上對人的主體地位和自主性構(gòu)成了極大挑戰(zhàn)。為加強科技倫理治理，強化底線思維和風(fēng)險意識，中共中央辦公廳、國務(wù)院辦公廳于2022年3月20日印發(fā)了《關(guān)于加強科技倫理治理的意見》，明確提到“倫理先行”的治理要求，要求企業(yè)加強源頭治理，注重預(yù)防，將科技倫理要求貫穿科學(xué)研究、技術(shù)開發(fā)等科技活動的全過程[26]。健康醫(yī)療大數(shù)據(jù)中的公共利益維護與個人隱私權(quán)保護的沖突也可以通過加強科技倫理治理的方式予以舒緩。

為貫徹大數(shù)據(jù)技術(shù)建設(shè)中的倫理先行要求，引導(dǎo)科技向善，筆者認為可通過倫理審查制度緩解大數(shù)據(jù)技術(shù)中出現(xiàn)的利益失衡。例如，充分發(fā)揮醫(yī)療機構(gòu)倫理委員會的作用，在收集或使用患者個人健康信息時，通過倫理審查程序保障患者隱私。我國《涉及人的生命科學(xué)和醫(yī)學(xué)研究倫理審查辦法(征求意見稿)》(簡稱《征求意見稿》)正在修訂，有學(xué)者也提到涉及人的生命科學(xué)和醫(yī)學(xué)研究關(guān)涉大量健康信息、生物識別信息等敏感個人信息，對此類信息的保護需要得到重視[27]。筆者贊同這一觀點，且認為通過倫理審查的辦法可以較好地規(guī)制醫(yī)療機構(gòu)的健康信息管理，助益健康醫(yī)療大數(shù)據(jù)建設(shè)的同時保護個人隱私，理由如下：

倫理委員會制度在我國已經(jīng)過一段時間的發(fā)展，制度基礎(chǔ)趨于成熟[28]。倫理委員會在保護受試者權(quán)益方面發(fā)揮著不可或缺的作用，個人健康信息及隱私保護也是審查過程中不可回避的一方面。國外已有類似經(jīng)驗，澳大利亞《關(guān)于人類研究中的道德行為的國家聲明》規(guī)定，在研究過程中收集、儲存和分析個人健康數(shù)據(jù)需得到倫理委員會的批準(zhǔn)[29]。因此，在《征求意見稿中》明確倫理審查機構(gòu)對個人健康信息被用于健康醫(yī)療大數(shù)據(jù)建設(shè)時，對個人隱私保護狀況進行審查的權(quán)利和義務(wù)，可以較好地從源頭控制個人隱私被侵犯的風(fēng)險。

確立倫理審查機構(gòu)對健康醫(yī)療大數(shù)據(jù)建設(shè)中個人隱私保護進行審查的職責(zé)后，還需進一步明確大數(shù)據(jù)技術(shù)的倫理原則，以指導(dǎo)倫理審查工作的進行?；诒ＷC人的尊嚴和主體性地位，邱仁宗教授提到九項大數(shù)據(jù)技術(shù)倫理原則，用以指導(dǎo)個人信息的收集、保護、處理和利用：①基本目的；②負責(zé)研究；③利益沖突；④尊重；⑤隱私；⑥公正；⑦共濟；⑧透明；⑨參與[30]。筆者認為可以參照適用，但需注意個人健康信息中的隱私保護的特殊需求。首先，可識別的個人健康信息作為敏感個人信息有其獨特的法律地位，不能僅被視作商業(yè)財產(chǎn)或者研究商品；其次，個人健康信息主體有權(quán)了解可識別個人健康信息的收集與利用情況，包括但不限于信息存儲和刪除的期限、他人可使用的信息范圍；另外，數(shù)據(jù)控制者有義務(wù)保障個人查看、瀏覽、改正甚至在特定條件下刪除、修改個人健康信息的權(quán)利。

3.3 行業(yè)自治與監(jiān)督方面：建立隱私政策開放共享平臺

醫(yī)療企業(yè)，尤其是互聯(lián)網(wǎng)醫(yī)療企業(yè)，通常將醫(yī)療數(shù)據(jù)“脫敏”處理，包括“去標(biāo)識化”與“匿名化”兩種方式?！叭?biāo)識化”仍保留了個體顆粒度且有復(fù)原的可能性，而“匿名化”不但無法“識別+關(guān)聯(lián)”，且無法復(fù)原。一項調(diào)查研究表明，盡管已對個人健康信息進行了“去標(biāo)識化”處理，個人對掌握自身健康信息的信息控制者的信任度仍然不高，尤其擔(dān)心自己的健康信息在未經(jīng)許可的情況下被出售以牟利[31]。人們對健康醫(yī)療大數(shù)據(jù)建設(shè)中隱私保護的擔(dān)憂，來源于對大數(shù)據(jù)技術(shù)不透明可能造成的技術(shù)屏障以及對“去標(biāo)識化”與“匿名化”這兩種主要的數(shù)據(jù)脫敏技術(shù)的不信任。因此，為保護個人隱私，一方面要從技術(shù)本身予以完善，另一方面還需要增加大數(shù)據(jù)技術(shù)的透明度以提高公眾信任度。就增加大數(shù)據(jù)技術(shù)的算法透明度，可以通過制定相關(guān)行業(yè)標(biāo)準(zhǔn)，要求在不侵害商業(yè)秘密和知識產(chǎn)權(quán)的情況下，對如何收集、處理個人健康信息的流程進行公開，以提高公眾對其個人健康信息的掌控力。

此外，從行業(yè)監(jiān)督角度出發(fā)，通過政府部門建立隱私政策開放共享平臺，并進行隱私影響評估，不失為一種提高公眾信任度的可行方式。隱私影響評估(privacy impact assessments, PIA)在不同領(lǐng)域的解釋略有差別。醫(yī)療衛(wèi)生領(lǐng)域，根據(jù)美國衛(wèi)生和福利部的表述，隱私影響評估指的是企業(yè)、機構(gòu)在收集、使用、共享和維護個健康信息時需進行專業(yè)評估，內(nèi)容包括個人健康信息在生成、分析、共享的各項處理過程中，將在何種程度上影響到個人隱私，評估完成之后需要出具隱私影響評估報告(由衛(wèi)生行政部門完成)，并在公眾可以查詢到的平臺公示(筆者通過查閱美國衛(wèi)生福利部官網(wǎng)發(fā)現(xiàn)不僅企業(yè)的隱私影響評估報告需要在網(wǎng)站公開[32]，企業(yè)平臺的隱私政策和相關(guān)的法律法規(guī)等政策性文件也需一并附上)。目前我國并無統(tǒng)一國家層面隱私政策開放共享平臺，對隱私政策的制定標(biāo)準(zhǔn)、用語也無一致規(guī)定。筆者認為，我國可以參照美國做法，構(gòu)建完善的隱私影響評估程序，搭建隱私政策開放共享平臺。衛(wèi)生行政部門對平臺、企業(yè)收集個人健康信息的目的、方式進行隱私影響評估(主要通過隱私協(xié)議、政策等文件)并出具報告，讓用戶可以隨時查詢相關(guān)隱私政策及其配套隱私政策文件，增強個人用戶對自身健康信息的掌控力度。

4 結(jié)論

健康醫(yī)療大數(shù)據(jù)作為重要的國家戰(zhàn)略資源，其應(yīng)用十分廣泛，對生物醫(yī)學(xué)研究的重要性不言而喻。隨著可穿戴設(shè)備、物聯(lián)網(wǎng)等技術(shù)快速發(fā)展，健康醫(yī)療大數(shù)據(jù)所處的技術(shù)應(yīng)用環(huán)境將更加成熟，也將獲得更普遍的應(yīng)用。平衡個人健康隱私權(quán)益與公共健康利益，是因應(yīng)健康醫(yī)療大數(shù)據(jù)發(fā)展風(fēng)險的關(guān)鍵所在，現(xiàn)有的法律規(guī)范、政策措施尚待進一步完善。個人健康信息的醫(yī)學(xué)倫理屬性為其收集、利用過程可接受倫理委員會的倫理審查程序提供了正當(dāng)性基礎(chǔ)，且隨著生物科技的發(fā)展以及個人權(quán)利意識的覺醒和增強，傳統(tǒng)醫(yī)患關(guān)系的知情同意模式需要做出調(diào)整。此外隱私影響評估程序不僅可以適用于健康醫(yī)療大數(shù)據(jù)建設(shè)，在其他領(lǐng)域同樣有構(gòu)建必要，蓋個人隱私保護在各領(lǐng)域的大數(shù)據(jù)建設(shè)是一個永久的話題。