楊朝暉

(天津醫(yī)學(xué)高等?？茖W(xué)校，天津 300222)

隨著大數(shù)據(jù)技術(shù)的發(fā)展，來自電子健康檔案、生物醫(yī)學(xué)影像和信號(hào)、自發(fā)性報(bào)告系統(tǒng)、科學(xué)文獻(xiàn)、分子醫(yī)學(xué)、基因組學(xué)等來源的個(gè)人健康隱私信息越來越多以電子形式收集存儲(chǔ)并應(yīng)用于醫(yī)學(xué)研究實(shí)踐中。這些信息可作為醫(yī)學(xué)研究的寶貴資源，同時(shí)其保護(hù)也面臨著新挑戰(zhàn)。醫(yī)學(xué)研究對(duì)象健康信息的處理要處理好保護(hù)和利用的關(guān)系，既要保證個(gè)人健康隱私信息不被濫用，又要為醫(yī)學(xué)研究保駕護(hù)航。本文選取美國保護(hù)個(gè)人健康信息相對(duì)比較成熟的《健康保險(xiǎn)攜帶與責(zé)任法案》，與我國醫(yī)學(xué)研究對(duì)象健康信息處理相關(guān)規(guī)定比較分析，為我國未來出臺(tái)相關(guān)法律法規(guī)提出可借鑒建議。

1 研究對(duì)象健康信息處理的法律依據(jù)

1.1 美國

美國1996年出臺(tái)的《健康保險(xiǎn)攜帶與責(zé)任法案》(Health Insurance Portability and Accountability Act ，下文簡(jiǎn)稱HIPAA)是該國保護(hù)個(gè)人健康隱私信息的主體法律[1]。HIPAA涵蓋機(jī)構(gòu)包括健康計(jì)劃、健康照顧清算中心和以電子形式傳輸任何與該規(guī)則所涵蓋交易有關(guān)之健康信息的健康提供者。HIPAA法案涉及研究對(duì)象健康信息處理的部分是主題II中的隱私規(guī)則。HIPAA中將受保護(hù)的健康信息(protected health information，下文簡(jiǎn)稱PHI)定義為由涵蓋機(jī)構(gòu)或其業(yè)務(wù)伙伴以任何形式或媒介傳輸、維護(hù)的個(gè)人可識(shí)別健康信息，一般包括個(gè)人在醫(yī)療衛(wèi)生活動(dòng)中的詳細(xì)情況以及個(gè)人特征性標(biāo)識(shí)符[1]。

1.2 中國

我國尚未出臺(tái)《個(gè)人信息保護(hù)法》等信息保護(hù)的專門法律法規(guī)，涉及研究對(duì)象健康信息處理的法律法規(guī)主要有： 2012年發(fā)布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(下文簡(jiǎn)稱《決定》)、2017年施行的《中華人民共和國網(wǎng)絡(luò)安全法》(下文簡(jiǎn)稱《網(wǎng)安法》)、2021年施行的《中華人民共和國民法典》(下文簡(jiǎn)稱《民法典》)等，相關(guān)法律條款多為原則性的規(guī)定，這種寬泛性規(guī)定也為相關(guān)配套法規(guī)的后續(xù)制定確定了立法方向，預(yù)留了一定空間。

2 研究對(duì)象健康信息處理的條件和原則

2.1 美國

HIPAA隱私規(guī)則規(guī)定涵蓋機(jī)構(gòu)不得使用或披露PHI，但以下情況除外：根據(jù)隱私規(guī)則允許或要求；或作為該信息主體的個(gè)人(或個(gè)人代表)以書面授權(quán)。當(dāng)出于研究目的而獲得授權(quán)時(shí)，隱私規(guī)則要求其僅與特定研究相關(guān)。隱私規(guī)則要求使用和披露PHI遵循最低必要原則，比如涵蓋機(jī)構(gòu)不得出于特定目的使用或披露某病人的全部病歷，除非可以明確證明該使用和披露出于合理目的。

特定條件下，涵蓋機(jī)構(gòu)可以不受隱私規(guī)則限制使用和披露去標(biāo)識(shí)的PHI。滿足隱私規(guī)則中去標(biāo)識(shí)要求有兩種方法:安全港和專家決定[2]。安全港指涵蓋機(jī)構(gòu)可通過刪除PHI的18個(gè)標(biāo)識(shí)符以去標(biāo)識(shí)化，刪除的標(biāo)識(shí)符包括：(1)姓名，(2)住址，(3)包括個(gè)人直接有關(guān)的日期(包括出生日期/入院日期/死亡日期)，(4)電話號(hào)碼，(5)傳真號(hào)碼，(6)電子郵件，(7)社會(huì)保險(xiǎn)號(hào)碼，(8)病歷號(hào)碼，(9)健康醫(yī)療保險(xiǎn)號(hào)碼，(10)賬戶號(hào)，(11)資格/駕照編號(hào)，(12)車輛識(shí)別編號(hào)及序列號(hào)，(13)證書識(shí)別信息及序列號(hào)碼，(14)URLs，(15)網(wǎng)絡(luò)IP地址，(16)含有指紋和聲音的生物識(shí)別信息，(17)面部的正面照片或影像，(18)其它固有的識(shí)別碼/特征/符號(hào)。

專家決定指涵蓋機(jī)構(gòu)可以從“對(duì)一般公認(rèn)的統(tǒng)計(jì)和科學(xué)原理方法有適當(dāng)知識(shí)和經(jīng)驗(yàn)以使信息無法單獨(dú)識(shí)別的人”處獲得證明，以證明通過統(tǒng)計(jì)方法去標(biāo)識(shí)后的信息單獨(dú)或與其他合理可用信息結(jié)合被用來識(shí)別信息主體的風(fēng)險(xiǎn)很小。

2.2 中國

《決定》第2條確立合法、正當(dāng)、必要為收集、使用個(gè)人信息之基本原則，設(shè)定了告知義務(wù)、同意義務(wù)以及合法守約義務(wù)為信息控制主體的三項(xiàng)基本義務(wù)[3]。該條文的主要內(nèi)容被《網(wǎng)安法》第41條和《民法典》第1035條所采納。不同之處在于《民法典》把受保護(hù)的個(gè)人信息“收集、使用”行為擴(kuò)展為“處理”，包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等全部個(gè)人信息生命周期?！睹穹ǖ洹返?033條規(guī)定除了法律另有規(guī)定或者權(quán)利人明確同意外，任何組織或個(gè)人不得處理他人的私密信息。研究對(duì)象的診療數(shù)據(jù)、藥物等健康信息屬于私密信息的范疇，《民法典》要求處理上述信息，要獲得權(quán)利人的“明確同意”。綜上所述，在我國針對(duì)個(gè)人健康信息等私密信息的處理，“合法、正當(dāng)、必要原則”是處理基本原則，并要履行三項(xiàng)具體義務(wù)，在履行同意義務(wù)中，同意的形式要求“明確同意”。

《民法典》第1038條第一款規(guī)定：未經(jīng)自然人同意，不得向他人非法提供其個(gè)人信息，但是經(jīng)過加工無法識(shí)別特定個(gè)人且不能復(fù)原的除外?！毒W(wǎng)安法》第42條也有類似的表述?！缎畔踩夹g(shù) 個(gè)人信息去標(biāo)識(shí)化指南GB/T37964-2019》定義去標(biāo)識(shí)化是通過對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識(shí)別個(gè)人信息主體的過程[2]。綜上所述，處理去標(biāo)識(shí)化信息符合《民法典》1038條的規(guī)定，可豁免信息主體的同意。

3 研究對(duì)象健康信息合理使用情形

3.1 美國

3.1.1 公益活動(dòng)

隱私規(guī)制規(guī)定涵蓋機(jī)構(gòu)被允許出于公益活動(dòng)目的，未經(jīng)個(gè)人授權(quán)而使用和披露PHI,研究屬于隱私規(guī)則規(guī)定的12種公益活動(dòng)之一。隱私規(guī)則中“研究”被定義為旨在發(fā)展或促進(jìn)可概括性知識(shí)的所有系統(tǒng)研究。隱私規(guī)則允許涵蓋機(jī)構(gòu)出于研究目的未經(jīng)個(gè)人授權(quán)而使用和披露PHI，但前提是涵蓋機(jī)構(gòu)符合以下條件之一(1)獲得隱私委員會(huì)或機(jī)關(guān)倫理審議委員會(huì)批準(zhǔn)的為研究目的更改或放棄個(gè)人授權(quán)以使用或披露PHI的證明文件。(2)研究人員表示PHI的使用或披露僅是為了準(zhǔn)備研究協(xié)議或出于類似目的而進(jìn)行的研究準(zhǔn)備，不會(huì)從涵蓋機(jī)構(gòu)中刪除任何PHI，并且研究需要獲取PHI。(3)使用或披露死者的PHI來進(jìn)行研究。

3.1.2 有限的數(shù)據(jù)集

僅為研究、公共衛(wèi)生或衛(wèi)生保健業(yè)務(wù)目的，涵蓋機(jī)構(gòu)可以未經(jīng)個(gè)人授權(quán)使用或披露有限的數(shù)據(jù)集以進(jìn)行研究，前提是涵蓋機(jī)構(gòu)與接收者簽訂了數(shù)據(jù)使用協(xié)議，接收者承諾在有限的數(shù)據(jù)集使用中為PHI提供特定的保護(hù)措施。有限的數(shù)據(jù)集不包括以下16個(gè)類別的個(gè)人信息標(biāo)識(shí)符：(1)姓名(2)地址(3)電話號(hào)碼(4)傳真號(hào)碼(5)電子郵件(6)社會(huì)保險(xiǎn)號(hào)碼(7)病歷號(hào)碼(8)健康醫(yī)療保險(xiǎn)號(hào)碼(9)賬號(hào)(10)資格/駕照編號(hào)(11)車輛識(shí)別編號(hào)及序列號(hào)(12)證書識(shí)別信息及序列號(hào)(13)URLs(14)網(wǎng)絡(luò)IP地址(15)包括指紋和聲音的生物學(xué)識(shí)別信息(16)面部正面照片或影像。由于有限的數(shù)據(jù)集可能包含可識(shí)別的個(gè)人健康信息，因此其仍然是PHI。

3.2 中國

《民法典》第1036條規(guī)定了維護(hù)公共利益屬于個(gè)人信息合理使用情形。但《民法典》第1036條并未對(duì)公共利益的范圍予以定義與解釋。目前我國還沒有任何一部法律對(duì)“公共利益”的具體定義或定義方法做出明確的規(guī)定[4]。一些法律中相關(guān)法條對(duì)公共利益進(jìn)行界定嘗試，比如《信托法》第60條、《公共事業(yè)捐贈(zèng)法》第3條等法條對(duì)公共利益做了一些簡(jiǎn)單的類別表述，并未能對(duì)公共利益概念做出一個(gè)較為完整的外延劃定[4]，“科學(xué)研究”也并不屬于上述法條公共利益類別表述中的任一類別。

《信息安全技術(shù):個(gè)人信息安全規(guī)范GB/T35273-2020》(下文簡(jiǎn)稱《規(guī)范》)是我國迄今為止保護(hù)個(gè)人信息最全面的標(biāo)準(zhǔn)?！兑?guī)范》第5.6條對(duì)征得授權(quán)同意的例外規(guī)定：個(gè)人信息控制者為學(xué)術(shù)研究機(jī)構(gòu)，出于公共利益開展統(tǒng)計(jì)或?qū)W術(shù)研究所必要，且其對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí)，對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理的，個(gè)人信息控制者收集、使用個(gè)人信息無需征得個(gè)人信息主體的授權(quán)同意。但《規(guī)范》屬于部門規(guī)范性文件，尚未上升到法律層面，并且規(guī)范對(duì)象是非公共管理機(jī)構(gòu)，內(nèi)容上僅限于技術(shù)標(biāo)準(zhǔn)。

4 中美研究對(duì)象健康信息處理相關(guān)規(guī)定比較及建議

綜上所述，我國醫(yī)學(xué)研究人員以研究目的處理個(gè)人健康信息的合法路徑有二：一是獲得信息主體的明確同意；二是對(duì)個(gè)人健康信息去標(biāo)識(shí)化處理后再進(jìn)行利用。美國HIPAA法案規(guī)定涵蓋機(jī)構(gòu)以研究目的處理PHI的合法路徑有三：一是需要信息主體或代表以書面授權(quán)；二是使用和披露去除18個(gè)標(biāo)識(shí)符的PHI；三是以公益活動(dòng)中的研究為目的，在符合三項(xiàng)條件之一的情況下使用和披露PHI；出于研究、公共衛(wèi)生或衛(wèi)生保健業(yè)務(wù)目的而使用的有限數(shù)據(jù)集。我國和美國相關(guān)法律均以知情同意作為個(gè)人健康信息處理原則的合法性的條件，并允許處理去標(biāo)識(shí)化信息。但美國HIPAA法案對(duì)個(gè)人健康信息去標(biāo)識(shí)化和合理使用情形作了更詳細(xì)的規(guī)定。結(jié)合我國《民法典》和美國HIPAA相關(guān)條款比較，(見表1)，對(duì)我國未來出臺(tái)的《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)或國家標(biāo)準(zhǔn)有關(guān)規(guī)定的制定提出以下建議：

4.1 明確個(gè)人健康信息去標(biāo)識(shí)化的范圍和方法

在大數(shù)據(jù)環(huán)境中多個(gè)去標(biāo)識(shí)化的數(shù)據(jù)集互相關(guān)聯(lián)仍有可能重新識(shí)別，且個(gè)人的隱私風(fēng)險(xiǎn)是相互依存的。醫(yī)學(xué)信息的可變性和高維性尤其容易出現(xiàn)識(shí)別屬性值組合的情況，屬性值組合很可能會(huì)導(dǎo)致個(gè)人信息披露[5]。因此需要評(píng)估重新識(shí)別的風(fēng)險(xiǎn)，開發(fā)有效且可靠的去標(biāo)識(shí)化技術(shù)，最大程度地降低個(gè)人信息隱私披露的風(fēng)險(xiǎn)。HIPAA允許涵蓋機(jī)構(gòu)不受隱私規(guī)則限制使用和披露刪除18種標(biāo)識(shí)符的PHI，根據(jù)HIPAA隱私規(guī)則標(biāo)準(zhǔn)去標(biāo)識(shí)的PHI能夠重新標(biāo)識(shí)的概率僅為0.013%[6]。我國法律允許對(duì)個(gè)人信息去標(biāo)識(shí)化處理后再進(jìn)行利用，但對(duì)于個(gè)人信息去標(biāo)識(shí)化沒有提出像HIPAA刪除18種標(biāo)識(shí)符類似明確的條件?！睹穹ǖ洹返?034條、《刑法》第253條、《網(wǎng)安法》第76條相關(guān)法條對(duì)個(gè)人信息定義的同時(shí)列舉了個(gè)人信息標(biāo)識(shí)，但均未明確個(gè)人信息標(biāo)識(shí)的范圍以及去標(biāo)識(shí)化的方法。在人類對(duì)象研究中，為了保護(hù)研究對(duì)象的個(gè)人信息，有必要對(duì)信息去標(biāo)識(shí)化的范圍和方法進(jìn)行追加討論。

表1 中美研究對(duì)象健康信息處理相關(guān)規(guī)定比較

另一方面，如果采用了有效的去標(biāo)識(shí)化方法，則取消身份標(biāo)識(shí)的健康信息在科學(xué)研究上應(yīng)用又會(huì)受到限制，因?yàn)槠錈o法鏈接在一起以形成對(duì)科學(xué)有價(jià)值的具有深度描述性的個(gè)人健康記錄，可借鑒HIPAA允許僅以研究、公共衛(wèi)生或衛(wèi)生保健業(yè)務(wù)目的，使用和披露有限的數(shù)據(jù)集的規(guī)定，允許以研究為目的處理有限制去標(biāo)識(shí)的研究對(duì)象健康信息，但也應(yīng)明確有限制去標(biāo)識(shí)化的范圍和方法。

4.2 制定靈活、具體的豁免同意使用制度

醫(yī)學(xué)研究對(duì)象健康信息處理要維持社會(huì)利益與個(gè)人利益之間的張力平衡。權(quán)衡取舍是為了權(quán)衡利弊，降低披露風(fēng)險(xiǎn)的方法可能會(huì)降低信息的效用。目前許多研究資助機(jī)構(gòu)和政府政策都將開放訪問或數(shù)據(jù)共享指定為研究資助的條件。開放科學(xué)是一些醫(yī)學(xué)研究實(shí)踐中的重要目標(biāo)[7]，可以提高研究的可靠性、透明度和社會(huì)影響力[8]，同時(shí)也加大了研究對(duì)象健康隱私信息保護(hù)的壓力。我國相關(guān)法律并沒有以研究為目處理個(gè)人健康信息而豁免信息主體同意的例外規(guī)定，HIPAA隱私規(guī)則允許涵蓋機(jī)構(gòu)以研究為目的在特定情況下未經(jīng)個(gè)人授權(quán)或許可使用和披露PHI，盡管相關(guān)條款一直是有爭(zhēng)議的，如使用和披露已故者的PHI會(huì)帶來倫理問題[9]。國家標(biāo)準(zhǔn)《規(guī)范》第5.6條將統(tǒng)計(jì)或?qū)W術(shù)研究歸入公共利益的范圍，將以研究目的處理信息主體信息歸入征得授權(quán)同意的例外規(guī)定中。但相對(duì)于HIPAA豁免信息主體的授權(quán)或同意的條款，《規(guī)范》缺乏更具體的規(guī)定，如研究、學(xué)術(shù)研究機(jī)構(gòu)等概念如何界定等。建議從多元主義的角度出發(fā)，合理平衡多方利益[10]，根據(jù)風(fēng)險(xiǎn)與場(chǎng)景理論確定研究對(duì)象權(quán)利與公共利益之間的哪些折衷是可以接受的以及此類折衷的閾值，制定靈活、具體的豁免同意使用制度，以維護(hù)公共利益與個(gè)人隱私信息保護(hù)之間的平衡。

4.3 鼓勵(lì)消費(fèi)者驅(qū)動(dòng)的數(shù)據(jù)共享模式

HIPAA隱私規(guī)則和我國相關(guān)法律中，研究對(duì)象健康信息處理原則的合法性均依賴于研究對(duì)象的知情同意。以知情同意原則為合法性基礎(chǔ)的監(jiān)管框架適用于臨床研究和小數(shù)據(jù)研究，其對(duì)個(gè)人同意的依賴限制了其生成、捕獲罕見事件，例如罕見的遺傳變異或?qū)μ囟ǒ煼ǖ漠惓７磻?yīng)數(shù)據(jù)集的潛力。罕見事件在精密醫(yī)學(xué)等專注于個(gè)人而非平均群體特征的研究領(lǐng)域具有重大意義。研究罕見事件通常需要大數(shù)據(jù)集來反映大人口樣本，有時(shí)還需要無選擇偏差的數(shù)據(jù)集[11]。在大數(shù)據(jù)科學(xué)的背景下，目前監(jiān)管框架并不能說服研究對(duì)象貢獻(xiàn)其信息來開發(fā)21世紀(jì)科學(xué)需要的信息資源[11]。對(duì)此，有學(xué)者提出了消費(fèi)者驅(qū)動(dòng)的數(shù)據(jù)共享概念，即由個(gè)人自治的社區(qū)，通過授權(quán)訪問自身的數(shù)據(jù)來共同為研究收集大規(guī)模數(shù)據(jù)資源，旨在構(gòu)建社區(qū)以擴(kuò)大研究的參與[12]。類似的概念還有美國食品藥品監(jiān)督管理局在醫(yī)療器械安全監(jiān)視系統(tǒng)的報(bào)告中描述的“患者為中介的數(shù)據(jù)共享”[12]。消費(fèi)者驅(qū)動(dòng)的數(shù)據(jù)共享模式將自下而上地通過成員自己設(shè)定的規(guī)則來管理成員的集體信息資源，而不是由監(jiān)管機(jī)構(gòu)自上而下地強(qiáng)加標(biāo)準(zhǔn)。因?yàn)殡[私保護(hù)高度依賴于社會(huì)文化與道德價(jià)值觀的演變,既需要自上而下的立法建立剛性法律保護(hù)框架；也需要自下而上的社會(huì)軟法規(guī)范來構(gòu)建多元主體利益協(xié)調(diào)[13]，消費(fèi)者驅(qū)動(dòng)的數(shù)據(jù)共享概念模式為推動(dòng)大數(shù)據(jù)科學(xué)，完善研究對(duì)象健康信息處理原則提供了新路徑。