關(guān)鍵詞：個(gè)人信息保護(hù)；健康醫(yī)療數(shù)據(jù)；數(shù)據(jù)脫敏；隱私權(quán)；數(shù)據(jù)處理標(biāo)準(zhǔn)

0 引言

健康醫(yī)療數(shù)據(jù)與個(gè)人隱私密切相關(guān)，在大多數(shù)國(guó)家被視為敏感信息，需要進(jìn)行嚴(yán)格保護(hù)。這類(lèi)數(shù)據(jù)在提高醫(yī)療服務(wù)質(zhì)量、優(yōu)化醫(yī)療資源配置和推進(jìn)醫(yī)學(xué)研究等方面具有極高的價(jià)值。然而，個(gè)人健康醫(yī)療數(shù)據(jù)涉及身份信息、健康狀況、疾病診斷等高度敏感的內(nèi)容，一旦泄露，不僅會(huì)影響個(gè)人隱私權(quán)，還可能威脅到個(gè)人的身體健康和社會(huì)安全。在大數(shù)據(jù)時(shí)代，如何在有效應(yīng)用數(shù)據(jù)的同時(shí)保護(hù)個(gè)人隱私，已成為健康醫(yī)療領(lǐng)域面臨的重大挑戰(zhàn)。為了更好地保護(hù)健康醫(yī)療數(shù)據(jù)，需要針對(duì)當(dāng)前的問(wèn)題進(jìn)行分析和探討。

在國(guó)際層面，美國(guó)通過(guò)《健康保險(xiǎn)可攜性和責(zé)任法案》（HIPAA） 及其隱私規(guī)則，構(gòu)建了較為完善的健康醫(yī)療數(shù)據(jù)保護(hù)體系，并設(shè)立了明確的數(shù)據(jù)脫敏標(biāo)準(zhǔn)。歐盟則通過(guò)《通用數(shù)據(jù)保護(hù)條例》（GDPR） ，對(duì)數(shù)據(jù)使用進(jìn)行了嚴(yán)格規(guī)范，明確規(guī)定了數(shù)據(jù)主體的權(quán)利及數(shù)據(jù)處理者的義務(wù)。上述法律體系相對(duì)成熟，在一定程度上有效降低了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

我國(guó)《個(gè)人信息保護(hù)法》將健康醫(yī)療數(shù)據(jù)歸類(lèi)為敏感信息，但由于缺乏具體細(xì)則和技術(shù)標(biāo)準(zhǔn)，實(shí)踐中仍存在數(shù)據(jù)濫用、脫敏標(biāo)準(zhǔn)不統(tǒng)一、個(gè)人控制權(quán)不足等問(wèn)題。此外，監(jiān)管機(jī)制的不完善也增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。因此，有必要全面考量個(gè)人健康醫(yī)療數(shù)據(jù)的獨(dú)特性，通過(guò)完善數(shù)據(jù)脫敏標(biāo)準(zhǔn)、加強(qiáng)對(duì)數(shù)據(jù)處理者的監(jiān)管、健全數(shù)據(jù)安全評(píng)估機(jī)制，以及賦予個(gè)人更多的數(shù)據(jù)控制權(quán)，維護(hù)大數(shù)據(jù)在健康醫(yī)療領(lǐng)域的安全應(yīng)用及有序發(fā)展。

1 健康醫(yī)療數(shù)據(jù)概述

1.1 健康醫(yī)療數(shù)據(jù)的定義

健康醫(yī)療數(shù)據(jù)通常指為實(shí)現(xiàn)健康醫(yī)療和公共衛(wèi)生目標(biāo)而生成或挖掘的數(shù)據(jù)，范圍十分廣泛，包括但不限于在診療過(guò)程中所產(chǎn)生的數(shù)據(jù)。實(shí)踐中，這類(lèi)數(shù)據(jù)包含與個(gè)體健康狀態(tài)相關(guān)的各種信息，如個(gè)人病歷、體檢數(shù)據(jù)、醫(yī)學(xué)影像資料、用藥記錄等。

各國(guó)立法中關(guān)于健康醫(yī)療數(shù)據(jù)的描述與涉及的部門(mén)法律不盡相同。美國(guó)在健康醫(yī)療數(shù)據(jù)領(lǐng)域制定了多部法律，其中1996年頒布的《健康保險(xiǎn)可攜性和責(zé)任法案》（Health Insurance Portability and Account? ability Act，簡(jiǎn)稱(chēng)HIPAA） 為美國(guó)醫(yī)療保健行業(yè)提供了第一套專(zhuān)門(mén)針對(duì)健康信息的保密性、完整性和可用性的標(biāo)準(zhǔn)措施。HIPAA中將健康醫(yī)療數(shù)據(jù)定義為“受保護(hù)的健康信息”“（ protected health information”，簡(jiǎn)稱(chēng)PHI） ，并在HIPAA頒布四年后，由美國(guó)衛(wèi)生與公眾服務(wù)部（HHS） 頒布《HIPAA隱私規(guī)則》，為PHI制定了保障措施，將大多數(shù)可識(shí)別個(gè)人身份的健康信息包含在PHI之中。

歐盟在2018 年頒布的《通用數(shù)據(jù)保護(hù)條例》（GDPR） 中，使用了“有關(guān)健康的數(shù)據(jù)”，指與自然人身體或精神健康相關(guān)的個(gè)人數(shù)據(jù)，包括能夠體現(xiàn)其健康狀況的健康保健服務(wù)所提供的數(shù)據(jù)。我國(guó)《個(gè)人信息保護(hù)法》將健康醫(yī)療數(shù)據(jù)歸類(lèi)為敏感個(gè)人信息，但目前缺少專(zhuān)門(mén)的配套法律在細(xì)則層面對(duì)此進(jìn)行定義與規(guī)制。在2020年由國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布的《健康醫(yī)療數(shù)據(jù)安全指南》中指出：健康醫(yī)療數(shù)據(jù)包括個(gè)人健康醫(yī)療數(shù)據(jù)以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)。然而，該指南作為推薦性指南，缺少法律強(qiáng)制力。

1.2 健康醫(yī)療數(shù)據(jù)的特性

健康醫(yī)療數(shù)據(jù)的應(yīng)用涵蓋醫(yī)療機(jī)構(gòu)、個(gè)人健康管理和科研等多個(gè)層面。在應(yīng)用層面，各領(lǐng)域?qū)】滇t(yī)療數(shù)據(jù)不僅具有較強(qiáng)的使用需求，還十分依賴(lài)其時(shí)效性。同時(shí)，由于健康醫(yī)療數(shù)據(jù)來(lái)源于敏感個(gè)人信息，因而具有人身屬性和高度敏感性。

1.2.1 應(yīng)用價(jià)值高

首先，健康醫(yī)療數(shù)據(jù)的應(yīng)用對(duì)醫(yī)療機(jī)構(gòu)至關(guān)重要。醫(yī)療機(jī)構(gòu)通過(guò)對(duì)健康醫(yī)療數(shù)據(jù)的收集和分析，能夠更好地了解患者的健康狀況，從而為患者提供個(gè)性化的治療方案和健康管理建議。醫(yī)護(hù)人員在分析患者的病歷、影像資料等數(shù)據(jù)后，能夠準(zhǔn)確診斷疾病并制定最合適的治療方案。同時(shí)，還能通過(guò)健康醫(yī)療數(shù)據(jù)對(duì)疾病進(jìn)行監(jiān)測(cè)和預(yù)防，及時(shí)發(fā)現(xiàn)潛在的健康風(fēng)險(xiǎn)。

其次，隨著移動(dòng)互聯(lián)網(wǎng)和智能設(shè)備的普及，健康醫(yī)療數(shù)據(jù)的應(yīng)用場(chǎng)景逐漸從傳統(tǒng)醫(yī)療機(jī)構(gòu)延伸到個(gè)人領(lǐng)域，數(shù)據(jù)在個(gè)人健康管理中也發(fā)揮著重要作用。越來(lái)越多的人為了了解自身健康狀況，積極采集和分析自己的健康數(shù)據(jù)。個(gè)人可以利用健康醫(yī)療數(shù)據(jù)進(jìn)行健康監(jiān)測(cè)、健身管理和飲食控制。如通過(guò)穿戴式智能設(shè)備或手機(jī)應(yīng)用程序獲取身體指標(biāo)數(shù)據(jù)，了解健康的實(shí)時(shí)狀態(tài)，從而對(duì)健康規(guī)劃進(jìn)行相應(yīng)的調(diào)整，例如調(diào)整飲食習(xí)慣或增加運(yùn)動(dòng)量等。

再者，健康醫(yī)療數(shù)據(jù)在科研領(lǐng)域的重要性不言而喻。其應(yīng)用能夠?yàn)榭蒲泄ぷ魈峁┴S富的資源和數(shù)據(jù)支持，從而加快科學(xué)研究進(jìn)程。研究人員通過(guò)對(duì)海量健康醫(yī)療數(shù)據(jù)進(jìn)行分析，能夠發(fā)現(xiàn)潛在疾病規(guī)律，評(píng)估藥品療效，從而研究出新的治療方法或藥物。

1.2.2 時(shí)效性要求高

健康醫(yī)療數(shù)據(jù)的時(shí)效性要求高。在醫(yī)療領(lǐng)域，準(zhǔn)確和及時(shí)的數(shù)據(jù)對(duì)于診斷和治療尤為重要，因此健康醫(yī)療數(shù)據(jù)的采集、處理和存儲(chǔ)必須具備高效性能和快速響應(yīng)能力。實(shí)踐中，可穿戴式醫(yī)療保健設(shè)備能夠通過(guò)監(jiān)測(cè)使用者的情況定期生成健康醫(yī)療數(shù)據(jù)。因此，時(shí)效性不僅要求有關(guān)主體在獲取個(gè)人信息后的短時(shí)間內(nèi)將其轉(zhuǎn)化為有效數(shù)據(jù)，還對(duì)數(shù)據(jù)的保護(hù)提出了更高要求，確保數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中不被篡改、丟失或泄露。

1.2.3 人身屬性和敏感性強(qiáng)

健康醫(yī)療數(shù)據(jù)具有極強(qiáng)的人身屬性和高度敏感性。首先，健康醫(yī)療數(shù)據(jù)的主要來(lái)源是個(gè)人身體健康信息，其中包含個(gè)人身份、疾病診斷、用藥記錄等隱私信息，結(jié)合其他信息后能夠識(shí)別個(gè)體身份。其次，《個(gè)人信息保護(hù)法》明確將健康醫(yī)療數(shù)據(jù)歸類(lèi)為敏感個(gè)人信息，其安全與保密性直接關(guān)系到個(gè)體健康和生命安全。對(duì)于個(gè)體而言，姓名、身份證號(hào)碼、通訊地址、健康狀況等數(shù)據(jù)一旦泄露或不當(dāng)處理，將對(duì)個(gè)人隱私權(quán)和身體健康造成嚴(yán)重影響。同時(shí)，這也關(guān)系到公共衛(wèi)生和社會(huì)穩(wěn)定，對(duì)社會(huì)公共安全構(gòu)成威脅。個(gè)人信息的失控可能導(dǎo)致診療過(guò)程和疫情防控等方面出現(xiàn)嚴(yán)重后果，因此，保護(hù)健康醫(yī)療數(shù)據(jù)對(duì)維護(hù)社會(huì)穩(wěn)定和公眾福祉具有重要意義。

2 健康醫(yī)療數(shù)據(jù)在個(gè)人信息保護(hù)中存在的問(wèn)題

2.1 個(gè)人信息保護(hù)中健康醫(yī)療數(shù)據(jù)的有關(guān)規(guī)定

首先，《中華人民共和國(guó)民法典》第一千零三十四條中明確規(guī)定：“自然人的個(gè)人信息受法律保護(hù)”，并對(duì)個(gè)人信息進(jìn)行了界定。而我國(guó)《個(gè)人信息保護(hù)法》第四條對(duì)此進(jìn)行了進(jìn)一步規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”由此可知，匿名化處理后的個(gè)人健康醫(yī)療信息已不屬于該法的保護(hù)范疇。

《個(gè)人信息保護(hù)法》第五章和第七章分別就數(shù)據(jù)處理者的義務(wù)和法律責(zé)任進(jìn)行了規(guī)定。當(dāng)作為敏感個(gè)人信息的健康醫(yī)療數(shù)據(jù)存在泄露、篡改、丟失情況或可能性時(shí)，數(shù)據(jù)處理者應(yīng)積極采取補(bǔ)救措施。如果在數(shù)據(jù)處理過(guò)程中出現(xiàn)違法行為或未履行保護(hù)義務(wù)，將根據(jù)情節(jié)嚴(yán)重性追究數(shù)據(jù)處理者的法律責(zé)任。

此外，《個(gè)人信息保護(hù)法》第四章對(duì)于信息處理中個(gè)人所享有的權(quán)利進(jìn)行了規(guī)定，包括知情權(quán)、決定權(quán)、查閱權(quán)、刪除權(quán)等一系列權(quán)利。對(duì)于敏感個(gè)人信息的處理，該法第十三條中規(guī)定以取得個(gè)人同意為前提，并在第五十五條中明確規(guī)定處理前需對(duì)個(gè)人信息保護(hù)影響進(jìn)行評(píng)估，并對(duì)處理情況進(jìn)行記錄。當(dāng)信息處理者向其他信息處理者提供個(gè)人信息時(shí)，需依照第二十三條的規(guī)定取得個(gè)人同意，并向個(gè)人履行接收方的信息告知義務(wù)。當(dāng)信息接收方變更信息處理目的、方式時(shí)，需重新取得作為信息主體的個(gè)人同意。這意味著個(gè)人在信息處理、信息傳輸、變更使用的全過(guò)程中享有知情權(quán)與決定權(quán)。

綜上所述，《中華人民共和國(guó)民法典》和《個(gè)人信息保護(hù)法》對(duì)健康醫(yī)療數(shù)據(jù)的保護(hù)做出了原則性規(guī)定。然而，由于數(shù)據(jù)處理與存儲(chǔ)環(huán)節(jié)缺乏明確標(biāo)準(zhǔn)，個(gè)人獲取信息方面存在滯后性，導(dǎo)致實(shí)踐中仍然存在數(shù)據(jù)脫敏失效、數(shù)據(jù)泄露風(fēng)險(xiǎn)以及個(gè)人信息保護(hù)能力不足等問(wèn)題。

2.2 數(shù)據(jù)脫敏缺少標(biāo)準(zhǔn)并存在可識(shí)別風(fēng)險(xiǎn)

在我國(guó)，匿名化處理的信息已不屬于個(gè)人信息的保護(hù)范疇，數(shù)據(jù)脫敏是處理健康醫(yī)療數(shù)據(jù)的主要方式。然而，我國(guó)法律并未對(duì)其作出明確規(guī)定?！秱€(gè)人信息保護(hù)法》第五十一條第三款中將其規(guī)定為信息處理者的義務(wù)，即“采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施?！钡捎跀?shù)據(jù)處理的范疇、方法、流程等缺乏統(tǒng)一的標(biāo)準(zhǔn)，相關(guān)主體在處理數(shù)據(jù)時(shí)往往依賴(lài)個(gè)人主觀判斷，以個(gè)人偏好或商業(yè)需求為處理宗旨，難以保障數(shù)據(jù)處理的有效性。

其次，數(shù)據(jù)處理手段并非絕對(duì)安全。脫敏處理通過(guò)對(duì)數(shù)據(jù)中的敏感信息進(jìn)行修改或刪除，使其無(wú)法被直接識(shí)別，從而保障數(shù)據(jù)在傳輸、共享和存儲(chǔ)過(guò)程中的安全性。該原理是將敏感信息轉(zhuǎn)化為不具有識(shí)別性的數(shù)據(jù)，只保留數(shù)據(jù)的統(tǒng)計(jì)特征或結(jié)構(gòu)，以保護(hù)個(gè)人隱私。具體而言，數(shù)據(jù)脫敏的操作原理包括替換、刪除和加密等方法。替換是將敏感信息替換為其他無(wú)關(guān)的數(shù)據(jù)，例如將姓名替換為隨機(jī)生成的編碼；刪除是直接刪除敏感信息，使其無(wú)法識(shí)別，例如刪除手機(jī)號(hào)碼中的后四位；加密是將敏感信息進(jìn)行加密處理，只有授權(quán)用戶(hù)才能解密并獲取原始數(shù)據(jù)。

常用的數(shù)據(jù)脫敏方法包括匿名化、泛化、擾動(dòng)和隱私保護(hù)算法等。其中，匿名化是一種常見(jiàn)的數(shù)據(jù)脫敏技術(shù)，通過(guò)刪除或替換敏感信息中的個(gè)人標(biāo)識(shí)符，使其無(wú)法識(shí)別具體個(gè)體。例如，對(duì)身份證號(hào)碼進(jìn)行脫敏處理。泛化是將具體的敏感信息進(jìn)行模糊化處理，例如將年齡從具體的數(shù)值轉(zhuǎn)化為年齡段。擾動(dòng)是向敏感信息添加噪聲，使其難以恢復(fù)原始數(shù)據(jù)，例如在收集體重?cái)?shù)據(jù)時(shí)，隨機(jī)添加一個(gè)小范圍的偏差值。此外，隱私保護(hù)算法可以對(duì)敏感信息進(jìn)行更復(fù)雜的處理，以增加數(shù)據(jù)的安全性。

盡管經(jīng)過(guò)復(fù)雜的數(shù)據(jù)脫敏過(guò)程，仍有人擔(dān)心，積累的大數(shù)據(jù)如果用于商業(yè)用途，可能會(huì)促進(jìn)個(gè)人信息的商品化。實(shí)際上，2020年的一項(xiàng)研究對(duì)我國(guó)80多萬(wàn)名患者的脫敏信息進(jìn)行了風(fēng)險(xiǎn)評(píng)估，結(jié)果表明，在有限數(shù)據(jù)集政策下，19.58%的患者可以被重新識(shí)別；而根據(jù)美國(guó)HIPAA安全港政策，約0.072%的患者的脫敏信息能夠結(jié)合背景知識(shí)被恢復(fù)出身份。這表明，對(duì)醫(yī)療數(shù)據(jù)進(jìn)行脫敏處理仍存在數(shù)據(jù)被重新識(shí)別的風(fēng)險(xiǎn)。同時(shí)，這組數(shù)據(jù)的對(duì)比顯示，美國(guó)的HIPAA安全港政策在降低脫敏數(shù)據(jù)被重新識(shí)別的風(fēng)險(xiǎn)方面更具成效。

相比之下，由于我國(guó)在數(shù)據(jù)脫敏方面缺乏明確的標(biāo)準(zhǔn)，并在數(shù)據(jù)處理時(shí)賦予相關(guān)主體更多的決策自由，難以保障數(shù)據(jù)脫敏的有效性。因此，中國(guó)的數(shù)據(jù)保護(hù)方式在實(shí)踐中仍面臨諸多挑戰(zhàn)，尤其是在防止個(gè)人信息被重新識(shí)別方面，亟須進(jìn)一步強(qiáng)化和完善相關(guān)措施。

2.3 數(shù)據(jù)使用與儲(chǔ)存期間存在泄露風(fēng)險(xiǎn)

醫(yī)療機(jī)構(gòu)作為健康醫(yī)療數(shù)據(jù)的主要收集者，其數(shù)據(jù)收集及利用的首要目的通常是為了治療患者的疾病。然而，通過(guò)科學(xué)研究和統(tǒng)計(jì)分析后生成的數(shù)據(jù)也能為醫(yī)療技術(shù)的發(fā)展做出貢獻(xiàn)。因此，醫(yī)療數(shù)據(jù)的相關(guān)主體不僅包括醫(yī)療機(jī)構(gòu)，還涵蓋科研機(jī)構(gòu)以及與健康保健相關(guān)的公司等。

在國(guó)外，一些科技巨頭如蘋(píng)果和谷歌等正在收購(gòu)以健康為基礎(chǔ)的科技初創(chuàng)公司，以尋找新的醫(yī)療數(shù)據(jù)供應(yīng)線(xiàn)。這些公司通過(guò)與醫(yī)院和傳統(tǒng)醫(yī)療服務(wù)提供商合作，開(kāi)發(fā)數(shù)據(jù)驅(qū)動(dòng)的機(jī)器學(xué)習(xí)和算法醫(yī)療設(shè)備，以換取對(duì)患者健康記錄的訪問(wèn)權(quán)。隨著健康醫(yī)療數(shù)據(jù)的利用需求不斷提高，原本儲(chǔ)存在電子設(shè)備中的醫(yī)療數(shù)據(jù)將被不同的主體使用，這增加了數(shù)據(jù)泄露或被竊取的可能性。

根據(jù)國(guó)際商業(yè)機(jī)器公司發(fā)布的《2022年數(shù)據(jù)泄露成本分析報(bào)告》，醫(yī)療保健行業(yè)已經(jīng)連續(xù)12年成為平均數(shù)據(jù)泄露成本最高的行業(yè)。高昂的數(shù)據(jù)泄露成本意味著健康醫(yī)療數(shù)據(jù)的安全保護(hù)價(jià)值極高。目前，數(shù)據(jù)泄露的主要途徑包括黑客攻擊和相關(guān)行業(yè)人員的非法獲取。

首先，醫(yī)療數(shù)據(jù)所具有的特殊價(jià)值使得黑客不斷將其相關(guān)主體作為攻擊目標(biāo)，以達(dá)到獲取醫(yī)療數(shù)據(jù)的目的。然而，并非所有數(shù)據(jù)使用主體都開(kāi)發(fā)了強(qiáng)大的安全機(jī)制，這使得黑客能夠利用應(yīng)用程序中的漏洞獲取用戶(hù)的健康醫(yī)療數(shù)據(jù)。例如，國(guó)外一款流行的生育和月經(jīng)周期跟蹤應(yīng)用程序“Glow”曾存在漏洞，黑客可以在不需要高超技術(shù)的情況下獲取用戶(hù)的敏感個(gè)人信息。

其次，在數(shù)據(jù)存儲(chǔ)期間，除了可能受到黑客攻擊外，能夠接觸到存儲(chǔ)信息的相關(guān)從業(yè)人員也可能成為侵害個(gè)人信息的對(duì)象。這些人員可能通過(guò)向他人非法提供大量健康醫(yī)療數(shù)據(jù)的方式，牟取非法利益。2021年，最高人民法院發(fā)布的7起懲處醫(yī)保騙保犯罪的典型案例中，有多起案例涉及行業(yè)人員利用自身職務(wù)便利獲取他人健康醫(yī)療數(shù)據(jù)，直接或間接進(jìn)行非法牟利。例如，“靳利娟、羅安君等詐騙案”“馬良、郭萬(wàn)靈詐騙案”“金葉、張川、高峰、陶玉銓、顧翠霞詐騙案”和“王韜貪污案”等案例均顯示出醫(yī)療數(shù)據(jù)在不當(dāng)利用時(shí)的風(fēng)險(xiǎn)。

2.4 個(gè)人難以保障數(shù)據(jù)安全

《中華人民共和國(guó)民法典》與《個(gè)人信息保護(hù)法》明確規(guī)定，處理個(gè)人信息、向他人提供信息以及進(jìn)行變更處理時(shí)應(yīng)取得個(gè)人同意。然而，在實(shí)際操作中，數(shù)據(jù)的整合和多次利用常常超出了個(gè)人最初同意的數(shù)據(jù)收集范圍。這種情況使得個(gè)人數(shù)據(jù)更容易被分析，增加了數(shù)據(jù)風(fēng)險(xiǎn)，導(dǎo)致個(gè)人信息更容易暴露和受到侵害。國(guó)外甚至存在數(shù)據(jù)處理者在未向個(gè)人披露的前提下，與其他主體共享數(shù)據(jù)的情況。例如，關(guān)于抑郁癥和戒煙方面排名靠前的應(yīng)用程序中，超過(guò)80%的應(yīng)用出于營(yíng)銷(xiāo)目的與谷歌和Facebook共享數(shù)據(jù)，但只有不到一半的應(yīng)用程序向用戶(hù)披露了這一共享情況。

與此同時(shí)，知情同意原則表面上賦予個(gè)人自我決策的權(quán)利，實(shí)際上卻使個(gè)人陷入被動(dòng)選擇的困境。數(shù)據(jù)處理者更容易接觸和控制個(gè)人的健康醫(yī)療數(shù)據(jù)，而個(gè)人由于信息缺失和信息獲取的滯后性，在數(shù)據(jù)安全存在風(fēng)險(xiǎn)時(shí)無(wú)法及時(shí)得知。信息處理機(jī)構(gòu)與個(gè)體之間存在高度不對(duì)稱(chēng)的權(quán)力結(jié)構(gòu)，形成了“數(shù)據(jù)壟斷”，這使得信息處理機(jī)構(gòu)對(duì)個(gè)體造成的壓迫感愈發(fā)強(qiáng)烈，增加了個(gè)人的無(wú)力感。個(gè)人不僅無(wú)法判斷風(fēng)險(xiǎn)發(fā)生的時(shí)間點(diǎn)、危害程度及后續(xù)效應(yīng)，事后的損害認(rèn)定也愈發(fā)困難，往往難以獨(dú)自開(kāi)展司法救濟(jì)。

在信息泄露發(fā)生時(shí)，個(gè)人不僅缺乏保護(hù)能力，還會(huì)被迫承擔(dān)由此產(chǎn)生的不利后果。以患者接受醫(yī)療服務(wù)為例，對(duì)于絕大多數(shù)個(gè)體而言，他們對(duì)疾病的危害程度、醫(yī)療信息處理?xiàng)l款的合理程度知之甚少，因而在面臨治療疾病的急切心態(tài)時(shí)，往往難以拒絕專(zhuān)業(yè)醫(yī)療機(jī)構(gòu)對(duì)自身數(shù)據(jù)的采集。個(gè)體對(duì)自身數(shù)據(jù)的后續(xù)處理和應(yīng)用情況知之甚少，也難以判斷其合理性。

此外，匿名化信息不再屬于個(gè)人信息的范疇，個(gè)人失去了對(duì)這些信息進(jìn)行保護(hù)的資格。當(dāng)這類(lèi)信息發(fā)生再識(shí)別、泄露等損害時(shí)，法律中缺乏明確規(guī)定對(duì)此進(jìn)行規(guī)制。另一方面，我國(guó)法律尚未對(duì)公共利益的具體范圍作出明確界定，這為部分醫(yī)療機(jī)構(gòu)能夠以公共利益之名，實(shí)施侵害患者個(gè)人信息并謀取利益的行為提供了契機(jī)。例如，在實(shí)施計(jì)劃生育宣傳時(shí)，某些機(jī)構(gòu)可能會(huì)公布患者的結(jié)扎程序；為了宣傳防止近親婚姻，可能會(huì)公布患者的照片；在宣傳性病和艾滋病防治時(shí)，患者的個(gè)人信息也可能受到侵害。

3 健康醫(yī)療數(shù)據(jù)應(yīng)用中個(gè)人信息保護(hù)問(wèn)題的應(yīng)對(duì)建議

3.1 明確數(shù)據(jù)脫敏標(biāo)準(zhǔn)，進(jìn)行定期評(píng)估

我國(guó)在數(shù)據(jù)脫敏標(biāo)準(zhǔn)方面的缺失，主要原因在于相關(guān)制度建設(shè)與技術(shù)發(fā)展不協(xié)調(diào)，且對(duì)數(shù)據(jù)處理者的監(jiān)管力度不足?，F(xiàn)行法律對(duì)數(shù)據(jù)脫敏的原則性要求較多，但缺乏明確的技術(shù)標(biāo)準(zhǔn)和操作指南，導(dǎo)致在具體方法和流程上，數(shù)據(jù)處理者享有較大的自由裁量空間。這種缺乏規(guī)范的現(xiàn)狀不僅影響了數(shù)據(jù)處理的有效性，也增加了數(shù)據(jù)泄露和再識(shí)別的風(fēng)險(xiǎn)。

為保障數(shù)據(jù)處理的有效性，首先應(yīng)明確數(shù)據(jù)脫敏的指導(dǎo)規(guī)范，為數(shù)據(jù)處理者提供統(tǒng)一的處理標(biāo)準(zhǔn)。國(guó)外在健康醫(yī)療數(shù)據(jù)脫敏處理方面的立法提供了有益的借鑒。例如，在美國(guó)，去識(shí)別化的健康信息（即去除個(gè)人標(biāo)識(shí)符的數(shù)據(jù)或其他信息）不再受隱私規(guī)則的保護(hù)。根據(jù)HIPAA法案，去識(shí)別化有三種認(rèn)定方法：

1） 由有資質(zhì)的統(tǒng)計(jì)學(xué)家基于“普遍接受的統(tǒng)計(jì)和科學(xué)原理及方法”進(jìn)行去識(shí)別化的評(píng)估。

2） 使用安全港方法去標(biāo)識(shí)化，即承保實(shí)體或業(yè)務(wù)協(xié)作方刪除18個(gè)特定標(biāo)識(shí)符，且承保實(shí)體并不實(shí)際知曉剩余信息可用于識(shí)別個(gè)人身份，或與其他信息結(jié)合使用。

3） 對(duì)標(biāo)識(shí)符進(jìn)行加密或編碼，并且不公開(kāi)解密該信息的方法。

然而，隨著技術(shù)的發(fā)展，經(jīng)過(guò)數(shù)據(jù)脫敏后信息仍具有被識(shí)別的可能性，因此有必要采取更多措施，保障數(shù)據(jù)的安全性。信息的可識(shí)別風(fēng)險(xiǎn)判斷基于客觀建立的統(tǒng)計(jì)或科學(xué)原理的閾值，用于保護(hù)患者身份的機(jī)密性免受已知風(fēng)險(xiǎn)的影響。然而，風(fēng)險(xiǎn)會(huì)隨著時(shí)間的推移而變化，以跟上技術(shù)的發(fā)展和當(dāng)前其他來(lái)源的公開(kāi)信息，這可能導(dǎo)致過(guò)去被認(rèn)定為“非常小”的風(fēng)險(xiǎn)在未來(lái)變得顯著。

具體而言，首先應(yīng)明確數(shù)據(jù)脫敏處理的具體標(biāo)準(zhǔn)，為數(shù)據(jù)處理提供指導(dǎo)規(guī)范。我國(guó)當(dāng)前缺少治理健康醫(yī)療數(shù)據(jù)相關(guān)問(wèn)題的專(zhuān)門(mén)立法，其他法律中關(guān)于健康醫(yī)療數(shù)據(jù)的內(nèi)容多為一般性規(guī)定，側(cè)重敏感個(gè)人信息與人身屬性的層面?？紤]到健康醫(yī)療數(shù)據(jù)具有特殊價(jià)值及其泄漏所帶來(lái)的問(wèn)題，有必要針對(duì)健康醫(yī)療數(shù)據(jù)制定專(zhuān)門(mén)的立法，明確具有強(qiáng)制力的數(shù)據(jù)處理標(biāo)準(zhǔn)，完善和細(xì)化數(shù)據(jù)治理規(guī)則。我國(guó)可以參照美國(guó)HIPAA法案中的去識(shí)別化方式，結(jié)合實(shí)際情況制定適用于健康醫(yī)療數(shù)據(jù)的強(qiáng)制性脫敏標(biāo)準(zhǔn)，包括明確數(shù)據(jù)脫敏的操作步驟，細(xì)化數(shù)據(jù)替換、加密、泛化等脫敏技術(shù)的應(yīng)用場(chǎng)景。同時(shí)，在法律層面對(duì)數(shù)據(jù)處理者設(shè)立強(qiáng)制性遵守的要求，以確保脫敏技術(shù)在處理個(gè)人信息時(shí)的有效性。

其次，考慮到再識(shí)別風(fēng)險(xiǎn)并非一成不變，需要對(duì)脫敏數(shù)據(jù)進(jìn)行動(dòng)態(tài)監(jiān)管，采取定期評(píng)估，對(duì)風(fēng)險(xiǎn)等級(jí)的認(rèn)定標(biāo)準(zhǔn)進(jìn)行合理調(diào)整。為確保數(shù)據(jù)脫敏標(biāo)準(zhǔn)能夠隨著技術(shù)的發(fā)展而動(dòng)態(tài)調(diào)整，可以增設(shè)專(zhuān)門(mén)的評(píng)估審查機(jī)構(gòu)，并與計(jì)算機(jī)等相關(guān)領(lǐng)域的技術(shù)人員進(jìn)行合作，建立由政府、行業(yè)協(xié)會(huì)、技術(shù)專(zhuān)家組成的多方聯(lián)合監(jiān)管主體，對(duì)脫敏處理方法的安全性、數(shù)據(jù)再識(shí)別風(fēng)險(xiǎn)、數(shù)據(jù)傳輸和存儲(chǔ)的安全保障措施等進(jìn)行定期評(píng)估。評(píng)估審查機(jī)構(gòu)應(yīng)對(duì)數(shù)據(jù)脫敏的處理情況進(jìn)行審查，技術(shù)領(lǐng)域的專(zhuān)家則負(fù)責(zé)評(píng)估年限和當(dāng)前的可識(shí)別風(fēng)險(xiǎn)。當(dāng)數(shù)據(jù)脫敏處理標(biāo)準(zhǔn)無(wú)法滿(mǎn)足現(xiàn)狀時(shí)，監(jiān)管主體可提出動(dòng)態(tài)調(diào)整脫敏標(biāo)準(zhǔn)的具體建議，例如引入新技術(shù)進(jìn)行加密處理、更新替換和刪除標(biāo)識(shí)符的要求，或調(diào)整數(shù)據(jù)脫敏的應(yīng)用場(chǎng)景。

3.2 增加對(duì)數(shù)據(jù)處理者的管控，對(duì)數(shù)據(jù)訪問(wèn)予以限制

為減少數(shù)據(jù)存儲(chǔ)與流通過(guò)程中發(fā)生泄露的風(fēng)險(xiǎn)，有必要明確信息處理者的數(shù)據(jù)保護(hù)義務(wù)。通過(guò)建立數(shù)據(jù)處理者監(jiān)管機(jī)制，確保個(gè)人數(shù)據(jù)在其整個(gè)生命周期中受到保護(hù)。

歐盟GDPR第25條引入了“通過(guò)設(shè)計(jì)和默認(rèn)方式保護(hù)數(shù)據(jù)”的概念，這意味著從設(shè)計(jì)階段開(kāi)始就創(chuàng)建一個(gè)技術(shù)上保護(hù)個(gè)人數(shù)據(jù)的框架。在此過(guò)程中，處理者應(yīng)采取適當(dāng)?shù)募夹g(shù)和措施，同時(shí)考慮技術(shù)水平、實(shí)施成本、處理性質(zhì)和范圍、背景、目的，以及處理可能對(duì)個(gè)人權(quán)利和自由造成的修改、影響和風(fēng)險(xiǎn)；這些措施包括盡量減少個(gè)人數(shù)據(jù)的處理、確保數(shù)據(jù)主體的權(quán)利（包括控制權(quán)）以及實(shí)行匿名化。值得一提的是，GDPR第25條意在保護(hù)信息的“內(nèi)容”。該條款將個(gè)人敏感信息是否被處理、信息處理的脈絡(luò)、信息處理的目的、數(shù)據(jù)主體的權(quán)利和自由等各種可能性考慮在內(nèi)，明確了從決定信息處理手段開(kāi)始，就必須考慮保障信息的保護(hù)。

作為歐盟成員國(guó)，芬蘭在GDPR的基礎(chǔ)上，建立了名為Findata的單一數(shù)據(jù)許可機(jī)構(gòu)，負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行去識(shí)別化預(yù)處理。該機(jī)構(gòu)通過(guò)用統(tǒng)一代碼替換所收集數(shù)據(jù)的識(shí)別信息，使數(shù)據(jù)能夠合并或存儲(chǔ)，并通過(guò)適當(dāng)?shù)墓芾砗图夹g(shù)措施維護(hù)數(shù)據(jù)的安全環(huán)境。當(dāng)相關(guān)主體希望使用數(shù)據(jù)時(shí)，需向Findata提交單獨(dú)申請(qǐng)，其中必須包括一份研究計(jì)劃或商業(yè)計(jì)劃，說(shuō)明所申請(qǐng)數(shù)據(jù)的使用目的、處理的法律依據(jù)以及數(shù)據(jù)安全和保護(hù)措施，包括存儲(chǔ)、刪除和歸檔等。

在實(shí)踐中，數(shù)據(jù)分析技術(shù)的快速發(fā)展使科技公司能夠從看似非醫(yī)療的數(shù)據(jù)中推斷出用戶(hù)的醫(yī)療特征，從而將社交媒體轉(zhuǎn)變?yōu)楂@取醫(yī)療數(shù)據(jù)的寶庫(kù)。根據(jù)美國(guó)賓夕法尼亞大學(xué)的研究，如果研究人員能夠訪問(wèn)人們的社交媒體時(shí)間線(xiàn)，就能夠利用預(yù)測(cè)模型推斷出人們的健康狀況，并且在多數(shù)情況下，得出的結(jié)論具有高度的準(zhǔn)確性。面對(duì)未來(lái)可能頻繁出現(xiàn)的信息預(yù)測(cè)情況，更應(yīng)加強(qiáng)對(duì)數(shù)據(jù)處理者的監(jiān)管，明確其數(shù)據(jù)來(lái)源。

首先，可以通過(guò)增設(shè)數(shù)據(jù)許可部門(mén)，評(píng)估處理者的數(shù)據(jù)安全保障系統(tǒng)的有效性。為有效監(jiān)管數(shù)據(jù)獲取方式，應(yīng)明確數(shù)據(jù)處理者的數(shù)據(jù)報(bào)告提交義務(wù)，對(duì)數(shù)據(jù)來(lái)源的合法性及數(shù)據(jù)是否獲得個(gè)人同意等進(jìn)行合規(guī)性審查。其次，在數(shù)據(jù)處理者對(duì)數(shù)據(jù)進(jìn)行脫敏等加工后，相關(guān)部門(mén)應(yīng)進(jìn)行審查，只有符合標(biāo)準(zhǔn)后才允許使用。同時(shí)，應(yīng)對(duì)數(shù)據(jù)控制者的數(shù)據(jù)加密環(huán)節(jié)進(jìn)行監(jiān)管，以防止相關(guān)從業(yè)人員竊取健康醫(yī)療數(shù)據(jù)。

3.3 保障個(gè)人的匿名化處理數(shù)據(jù)的控制權(quán)，提高信息保護(hù)意識(shí)

我國(guó)《個(gè)人信息保護(hù)法》對(duì)于個(gè)人信息的認(rèn)定采用準(zhǔn)“識(shí)別＋關(guān)聯(lián)”的標(biāo)準(zhǔn)，并將經(jīng)匿名化處理后的信息排除在外?？紤]到當(dāng)前尚未開(kāi)發(fā)出絕對(duì)安全的、不存在被識(shí)別風(fēng)險(xiǎn)的數(shù)據(jù)處理方法，保障個(gè)人對(duì)匿名化處理的健康醫(yī)療數(shù)據(jù)的控制權(quán)顯得尤為必要。歐盟、韓國(guó)等國(guó)在保障個(gè)人對(duì)匿名化處理數(shù)據(jù)的控制權(quán)方面積累了一些經(jīng)驗(yàn)，值得我國(guó)借鑒。

歐盟確保數(shù)據(jù)主體對(duì)于匿名化處理的數(shù)據(jù)能夠積極行使自己的權(quán)利。根據(jù)GDPR第11（2）條規(guī)定，即使數(shù)據(jù)控制者無(wú)法從其持有的數(shù)據(jù)中識(shí)別數(shù)據(jù)主體，數(shù)據(jù)主體仍可保障其權(quán)利。原則上，如果數(shù)據(jù)控制者證明其持有的數(shù)據(jù)不能識(shí)別個(gè)體身份，數(shù)據(jù)主體將無(wú)法行使訪問(wèn)權(quán)（第15條）、糾正權(quán)（第16條）、刪除和遺忘權(quán)（第17條）、限制處理權(quán)（第18條）以及數(shù)據(jù)可移植性權(quán)利（第20條）。然而，如果數(shù)據(jù)主體提供補(bǔ)充信息以表明其身份，并希望行使與個(gè)人數(shù)據(jù)有關(guān)的權(quán)利，數(shù)據(jù)控制者不得拒絕。這意味著，即使數(shù)據(jù)控制者擁有匿名化或不可識(shí)別的數(shù)據(jù)，數(shù)據(jù)主體仍有權(quán)控制對(duì)數(shù)據(jù)的處理，前提是數(shù)據(jù)主體為行使其權(quán)利而提供有關(guān)其本人的補(bǔ)充信息。

由韓國(guó)保健福祉部發(fā)布的《健康醫(yī)療數(shù)據(jù)利用指南》中也包含保障數(shù)據(jù)主體控制權(quán)的相關(guān)規(guī)定。首先，對(duì)于尚未開(kāi)發(fā)出安全匿名化方法的信息，在開(kāi)發(fā)出匿名化方法之前，不可對(duì)其匿名化處理的可行性進(jìn)行判斷，此類(lèi)信息只有在征得數(shù)據(jù)主體同意后才能使用。其次，該指南界定了需要特別保護(hù)的數(shù)據(jù)，包括精神疾病信息、性傳播傳染病信息、獲得性免疫缺陷病信息、罕見(jiàn)病信息以及有關(guān)虐待和墮胎的信息；此類(lèi)信息一經(jīng)泄露將對(duì)數(shù)據(jù)主體產(chǎn)生嚴(yán)重?fù)p害，因此對(duì)其匿名化處理進(jìn)行了例外規(guī)定，使用原則是必須經(jīng)過(guò)數(shù)據(jù)主體的個(gè)人同意。即使是用于研究等被公認(rèn)為有必要進(jìn)行匿名化處理的信息，使用前也必須向?qū)彶槲瘑T會(huì)提交理由、行動(dòng)計(jì)劃以及特別保護(hù)措施，并經(jīng)同意后才能使用。

為了保障個(gè)人的信息安全，有必要增加個(gè)人對(duì)處理后數(shù)據(jù)的控制權(quán)，以防止健康醫(yī)療數(shù)據(jù)泄露所產(chǎn)生的不利影響。具體而言，即使數(shù)據(jù)經(jīng)過(guò)處理后不能識(shí)別到個(gè)人，在個(gè)人提供補(bǔ)充信息以表明其身份后，仍應(yīng)賦予個(gè)人行使與數(shù)據(jù)有關(guān)的權(quán)利。同時(shí)，立法中需對(duì)匿名化處理后的數(shù)據(jù)進(jìn)行進(jìn)一步界定，明確需予以特別保護(hù)的數(shù)據(jù)分類(lèi)，并針對(duì)這類(lèi)數(shù)據(jù)實(shí)施更為嚴(yán)格的管控。只有在個(gè)人與專(zhuān)門(mén)的審查評(píng)估機(jī)構(gòu)的雙重同意后，方可賦予對(duì)特別保護(hù)數(shù)據(jù)的使用權(quán)。當(dāng)需要特別保護(hù)的數(shù)據(jù)存在泄露、篡改、損害等風(fēng)險(xiǎn)時(shí)，要求信息處理者采取與個(gè)人信息出現(xiàn)該類(lèi)情形相同的保護(hù)措施，履行保護(hù)義務(wù)；因信息處理者的過(guò)錯(cuò)導(dǎo)致?lián)p失結(jié)果時(shí)，應(yīng)承擔(dān)《個(gè)人信息保護(hù)法》所規(guī)定的法律責(zé)任。

此外，作為信息主體的個(gè)人也應(yīng)提高個(gè)人信息保護(hù)意識(shí)。可通過(guò)加強(qiáng)信息安全教育和普及相關(guān)知識(shí)，引導(dǎo)個(gè)人理性使用和管理自身信息。當(dāng)健康醫(yī)療數(shù)據(jù)需要被獲取時(shí)，應(yīng)認(rèn)真閱讀相關(guān)條款，關(guān)注自身信息的流轉(zhuǎn)與使用動(dòng)態(tài)。例如，平時(shí)應(yīng)多加學(xué)習(xí)保護(hù)個(gè)人信息的相關(guān)知識(shí)，接受醫(yī)療機(jī)構(gòu)的服務(wù)后，關(guān)注自身信息的存儲(chǔ)和使用情況，在使用健康相關(guān)程序時(shí)避免勾選不必要的授權(quán)條款等。面對(duì)可能超出獲取權(quán)限或個(gè)人信息受到侵犯的情況，積極行使知情權(quán)、查閱權(quán)、決定權(quán)等各項(xiàng)權(quán)利，并及時(shí)尋求司法救濟(jì)。通過(guò)不斷增強(qiáng)個(gè)人的信息保護(hù)意識(shí)，有助于減少因數(shù)據(jù)泄露帶來(lái)的潛在風(fēng)險(xiǎn)。

4 結(jié)論

隨著科技發(fā)展帶來(lái)的數(shù)據(jù)應(yīng)用場(chǎng)景增加，健康醫(yī)療數(shù)據(jù)作為敏感個(gè)人信息，同時(shí)又具有極高的科研價(jià)值，如何平衡其使用與保護(hù)至關(guān)重要。在健康醫(yī)療數(shù)據(jù)的應(yīng)用中，存在脫敏被識(shí)別、存儲(chǔ)與使用具有泄露風(fēng)險(xiǎn)、個(gè)人難以保障自身數(shù)據(jù)安全等問(wèn)題，個(gè)人的信息安全面臨嚴(yán)峻挑戰(zhàn)。

針對(duì)現(xiàn)存問(wèn)題，首先需明確數(shù)據(jù)脫敏的標(biāo)準(zhǔn)，并對(duì)數(shù)據(jù)處理情況進(jìn)行定期評(píng)估。同時(shí)，應(yīng)加強(qiáng)對(duì)數(shù)據(jù)處理者的監(jiān)管，賦予個(gè)人更多的數(shù)據(jù)控制權(quán)，并提高個(gè)人的數(shù)據(jù)保護(hù)意識(shí)，從而確保在健康醫(yī)療數(shù)據(jù)的應(yīng)用場(chǎng)景中，個(gè)人的信息安全得到有效保障。