【摘 要】 隨著大數(shù)據(jù)時(shí)代的到來(lái)，個(gè)人信息的經(jīng)濟(jì)價(jià)值逐漸被社會(huì)廣泛關(guān)注。其中患者的個(gè)人信息，不僅醫(yī)院應(yīng)該著重加以保護(hù)，醫(yī)藥公司同樣也負(fù)有不可推卸的責(zé)任。目前國(guó)內(nèi)對(duì)這一問(wèn)題的探討多集中于醫(yī)院，恰恰忽略了具備一定的關(guān)聯(lián)性卻商業(yè)性更強(qiáng)的醫(yī)藥公司對(duì)患者數(shù)據(jù)的利用和保護(hù)。立法上的欠缺、公民個(gè)人維權(quán)意識(shí)淡薄，都導(dǎo)致此類(lèi)事件屢見(jiàn)不鮮。未來(lái)中國(guó)立法將參考國(guó)際通行做法進(jìn)行變革，醫(yī)藥公司應(yīng)提前做好準(zhǔn)備，規(guī)避法律風(fēng)險(xiǎn)。

【關(guān)鍵詞】 醫(yī)藥公司;個(gè)人信息保護(hù);數(shù)據(jù)控制者;被遺忘權(quán);數(shù)據(jù)披露

為更好了解本公司藥物在臨床上的實(shí)際使用情況，醫(yī)藥公司派人前往與自己有長(zhǎng)期合作關(guān)系的醫(yī)院收集患者姓名、性別、癥狀、診療信息、用藥情況等，后將這些信息進(jìn)行匯總和分析，作為市場(chǎng)調(diào)研結(jié)果發(fā)布到公司內(nèi)部網(wǎng)站上，指導(dǎo)后續(xù)的研發(fā)和經(jīng)營(yíng)。這樣的行為看似是公司的內(nèi)部經(jīng)營(yíng)行為，但其在收集患者相關(guān)信息時(shí)沒(méi)有征得患者同意，也沒(méi)有遵循相關(guān)原則加以使用，已經(jīng)侵犯了患者的個(gè)人信息。

一、“個(gè)人信息”與“個(gè)人隱私”的概念辨析

關(guān)于這兩個(gè)概念，目前有幾種不同的“出鏡”方式：在2015年《網(wǎng)絡(luò)安全法》（草案）（以下簡(jiǎn)稱(chēng)《草案》）的法條表述中，這兩個(gè)概念并列出現(xiàn);在2013年《信息安全技術(shù)-公用及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱(chēng)《保護(hù)指南》）中，“個(gè)人信息”被定義為全部或部分經(jīng)過(guò)信息系統(tǒng)處理的數(shù)據(jù);而在2012年歐盟新制定的《一般數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱(chēng)GDPR）中，將其定義為與一個(gè)身份已經(jīng)被識(shí)別或者身份可以被識(shí)別的自然人相關(guān)的任何信息[1];在國(guó)際社會(huì)上，美國(guó)、香港用的是“Privacy Act”，而歐洲用的則是“Data Protection Act”的概念。

對(duì)此，筆者個(gè)人認(rèn)為：“個(gè)人信息”是人類(lèi)進(jìn)入信息時(shí)代的產(chǎn)物，而個(gè)人隱私是傳統(tǒng)民法上的概念，強(qiáng)調(diào)對(duì)公民個(gè)人人格利益的保護(hù)。[2]在目前大數(shù)據(jù)時(shí)代背景下，“個(gè)人信息”的概念日漸受到重視。因此筆者將采用“個(gè)人信息”的概念闡述在數(shù)字經(jīng)濟(jì)時(shí)代中對(duì)個(gè)人信息利用與保護(hù)并重的政策。

二、立法規(guī)制現(xiàn)狀

針對(duì)上述情況，現(xiàn)有的立法規(guī)制包括：2012年《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（以下簡(jiǎn)稱(chēng)《保護(hù)決定》）、2013年《保護(hù)指南》、2015年《草案》）以及《刑法》（2015年）第253條之一“侵犯公民個(gè)人信息罪”。這些法條要求在收集患者個(gè)人信息時(shí)，必須本著合法、正當(dāng)、必要的原則，明示一些事項(xiàng)，并征得其同意。后續(xù)處理和轉(zhuǎn)移時(shí)也必須經(jīng)過(guò)患者同意。另外對(duì)于違反規(guī)定向他人提供公民個(gè)人信息，情節(jié)嚴(yán)重的，還可能承擔(dān)刑事責(zé)任。

實(shí)踐中，類(lèi)似的情況屢見(jiàn)不鮮，但卻并沒(méi)有引發(fā)大量的維權(quán)訴訟，一是因?yàn)槟壳肮駥?duì)就這一問(wèn)題的法律意識(shí)相對(duì)較為薄弱，二是立法上對(duì)此類(lèi)問(wèn)題的規(guī)制并沒(méi)有予以充分的懲罰措施：《保護(hù)指南》單純進(jìn)行了行為規(guī)范，沒(méi)有提到相應(yīng)的法律責(zé)任和救濟(jì)途徑;《保護(hù)決定》中雖然提到救濟(jì)途徑和懲罰措施，但范圍僅限于網(wǎng)絡(luò)服務(wù)，且內(nèi)容十分粗略。因此現(xiàn)階段類(lèi)似行為雖然存在法律風(fēng)險(xiǎn)，但尚未引發(fā)較為嚴(yán)重的法律后果。

三、未來(lái)可能產(chǎn)生的變化

盡管目前我國(guó)有很多規(guī)范性文件涉及到個(gè)人信息保護(hù)，但從整體來(lái)看：立法碎片化現(xiàn)象突出;利益衡量不清晰;相關(guān)文件位階偏低，高位階的規(guī)范性文件多為宣示性規(guī)定;相關(guān)行政執(zhí)法部門(mén)的定位、權(quán)限等不明確……隨著數(shù)字經(jīng)濟(jì)時(shí)代的到來(lái)，未來(lái)中國(guó)立法會(huì)日益加強(qiáng)對(duì)公民個(gè)人數(shù)據(jù)保護(hù)，不論是仿照歐盟將個(gè)人數(shù)據(jù)保護(hù)上升到人權(quán)高度加以規(guī)制，還是參考美國(guó)在不同行業(yè)內(nèi)根據(jù)經(jīng)營(yíng)者的承諾進(jìn)行約束，這種保護(hù)都將是切實(shí)落在每一個(gè)數(shù)據(jù)控制者身上的法律責(zé)任?！恫莅浮返某雠_(tái)就是一個(gè)最好的例證。

從《草案》來(lái)看，立法者認(rèn)為：目前實(shí)踐中非法獲取、泄露甚至倒賣(mài)個(gè)人信息的情況時(shí)有發(fā)生，已經(jīng)嚴(yán)重?fù)p害了公民的合法權(quán)益，立法必須予以重視;在法條內(nèi)容上將積極借鑒國(guó)外通行做法;當(dāng)然鑒于中國(guó)目前的環(huán)境，現(xiàn)階段的立法還只能停留在較為原則性的規(guī)定上，但會(huì)為未來(lái)具體規(guī)則預(yù)留接口。

那么未來(lái)中國(guó)立法將在哪些方面進(jìn)行努力？這些努力又會(huì)給醫(yī)藥公司帶來(lái)哪些新的法律風(fēng)險(xiǎn)呢？

1、明確不同角色的責(zé)任

目前在《保護(hù)指南》中，已經(jīng)出現(xiàn)個(gè)人信息主體、個(gè)人信息管理者、個(gè)人信息獲得者等不同角色的區(qū)分，而在GDPR規(guī)定下，所有法律責(zé)任的承擔(dān)者是數(shù)據(jù)控制者。[3]一旦中國(guó)未來(lái)參考了這種模式，醫(yī)藥公司公司就會(huì)成為最終的責(zé)任承擔(dān)者。

2、“被遺忘權(quán)”（“刪除權(quán)”）

《保護(hù)指南》5.5條規(guī)定了刪除行為，雖然借鑒了GDPR中“被遺忘權(quán)”的規(guī)定，但并沒(méi)有將其上升為一種權(quán)利。如果未來(lái)立法采納這一國(guó)際通行做法，將其規(guī)定為“被遺忘權(quán)”，那么醫(yī)藥公司在使用這些信息時(shí)就要另外承擔(dān)一個(gè)刪除的義務(wù)。

3、數(shù)據(jù)披露

《保護(hù)指南》4.1.3中規(guī)定：數(shù)據(jù)泄露以后，個(gè)人信息管理者應(yīng)向主管機(jī)關(guān)和受影響的主體披露該事實(shí)。這一規(guī)定在《草案》第36條第1款中也得到體現(xiàn)。披露給執(zhí)法機(jī)構(gòu)充其量是承擔(dān)相應(yīng)的行政責(zé)任，但如果披露給受影響的主體，對(duì)于醫(yī)藥公司來(lái)說(shuō)根本不現(xiàn)實(shí)：一方面，受影響的主體數(shù)量龐大且不確定;另一方面，一旦被公民知曉其個(gè)人信息遭到泄露，勢(shì)必會(huì)引起恐慌和較為嚴(yán)重的社會(huì)反應(yīng)，摧毀數(shù)據(jù)控制者的社會(huì)信譽(yù)，基本上等于將其“置于死地”。

4、增加公民個(gè)人的救濟(jì)途徑和相關(guān)監(jiān)管措施

根據(jù)《草案》第42、43條，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)該建立投訴、舉報(bào)機(jī)制，主管機(jī)關(guān)也應(yīng)該履行監(jiān)管職責(zé)，采取相應(yīng)的措施阻止侵權(quán)行為。一旦建立了這樣具體的規(guī)定，一方面會(huì)喚醒公民的維權(quán)意識(shí)，同時(shí)也為公民提供了切實(shí)的維權(quán)途徑。

四、醫(yī)藥公司如何應(yīng)對(duì)

1、明確角色定位

實(shí)踐中，容易與數(shù)據(jù)控制者產(chǎn)生混淆的主要是“數(shù)據(jù)處理者”的概念。根據(jù)29條工作組意見(jiàn)，二者的區(qū)分可以從以下幾個(gè)方面入手：誰(shuí)直接面對(duì)消費(fèi)者;是否存在在先指令;是否足夠透明以及專(zhuān)業(yè)性。其實(shí)就算借助上述標(biāo)準(zhǔn)，二者的界限也是比較模糊的，因此公司應(yīng)盡量讓自己成為信息處理者而不是信息控制者。比如：與醫(yī)院達(dá)成合作協(xié)議，由醫(yī)院發(fā)出指令，收集相關(guān)藥物信息。這樣，直接面對(duì)消費(fèi)者的是醫(yī)藥公司，在先指令由醫(yī)院發(fā)出。這種方式具有一定的合理性：醫(yī)藥公司與醫(yī)院本身就存在長(zhǎng)期的合作關(guān)系，且醫(yī)院收集信息在目前醫(yī)患關(guān)系較為緊張的情況下已經(jīng)受到眾多限制，由醫(yī)藥公司操作更加容易進(jìn)行。其實(shí)這樣的方式在歐洲已經(jīng)在使用：兩個(gè)關(guān)聯(lián)公司之間簽訂協(xié)議完成數(shù)據(jù)轉(zhuǎn)移，不過(guò)這份協(xié)議必須使用歐盟提供的模板。

2、關(guān)注“被遺忘權(quán)”

正如上面提到的，“被遺忘權(quán)”會(huì)是醫(yī)藥公司未來(lái)面臨的一項(xiàng)義務(wù)，不過(guò)其卻是一個(gè)解決目前困境的非常好的方式。一般而言，病人不太愿意向陌生人提供自己的疾病信息，此時(shí)如果醫(yī)藥公司承諾病人自己將在多長(zhǎng)時(shí)間內(nèi)或者什么情形下刪除這些信息，病人會(huì)相對(duì)減輕排斥心理。這種承諾可以通過(guò)保密條款的方式實(shí)現(xiàn)。保密條款是目前德國(guó)在保護(hù)個(gè)人信息上的做法。按照一般原則，意思自治只要沒(méi)有違反強(qiáng)行法即可有效，雙方的這種保密條款在現(xiàn)階段立法背景下，其效力應(yīng)該可以獲得認(rèn)可。另外在保密條款中，公司可以加入“去個(gè)人化”的內(nèi)容，這樣可以避免后續(xù)使用中增加的成本。

3、數(shù)據(jù)披露

正如上面提到的，向受影響的主體披露信息泄露的事實(shí)根本無(wú)法實(shí)現(xiàn)，因此，在未來(lái)立法中，醫(yī)藥公司應(yīng)積極去游說(shuō)。對(duì)此可以參考華為的做法：在華為2012年-2016年發(fā)布的四版《網(wǎng)絡(luò)安全白皮書(shū)》中[4]，其極力倡導(dǎo)行業(yè)內(nèi)所有公司關(guān)注網(wǎng)絡(luò)安全及數(shù)據(jù)保護(hù)的最新立法動(dòng)態(tài)，嘗試借助自己的力量，通過(guò)學(xué)界、實(shí)務(wù)界，建立與政府高層的溝通平臺(tái)，影響立法者的決策，使未來(lái)立法能更貼近行業(yè)的實(shí)際情況，滿(mǎn)足自身的利益訴求。

其實(shí)對(duì)于一些大型的醫(yī)藥公司，自身已經(jīng)具備足夠的談判實(shí)力，完全可以通過(guò)積極游說(shuō)，為本公司乃至本行業(yè)爭(zhēng)取到更多的利益，促進(jìn)立法的科學(xué)化。短期而言，醫(yī)藥公司可以結(jié)合國(guó)家立法的原則性規(guī)定，在自身業(yè)務(wù)實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，制定更為詳細(xì)的適用于本行業(yè)的行為準(zhǔn)則，通過(guò)行業(yè)統(tǒng)一規(guī)范來(lái)影響后續(xù)立法進(jìn)程。

目前我國(guó)在患者個(gè)人信息保護(hù)方面的立法還不是很健全，部分行為規(guī)范不足以應(yīng)對(duì)數(shù)字經(jīng)濟(jì)迅猛發(fā)展的新趨勢(shì)。未來(lái)中國(guó)在這一領(lǐng)域的法制發(fā)展將會(huì)有很大的變動(dòng)，因此醫(yī)藥公司應(yīng)該培養(yǎng)應(yīng)對(duì)快速變革的能力，未雨綢繆，一方面積極尋找應(yīng)對(duì)之策，另一方面也可以借助自身的力量努力游說(shuō)，盡可能在未來(lái)立法中體現(xiàn)自己的利益。

【參考文獻(xiàn)】

[1] See General Data Protection Regulation，Article 4.

[2] 張新寶.從隱私到個(gè)人信息：利益再衡量的理論與制度安排[J].中國(guó)法學(xué)，2015.3.39.

[3] 何治樂(lè)、黃道麗.大數(shù)據(jù)環(huán)境下我國(guó)被遺忘權(quán)之立法構(gòu)建—?dú)W盟《一般數(shù)據(jù)保護(hù)條例》被遺忘權(quán)之借鑒[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.5.172.

[4] 華為網(wǎng)絡(luò)安全白皮書(shū)（2012-2016）共四版[EB/OL]. http：//www.huawei.com/cn/cyber-security，2016-7-4.

【作者簡(jiǎn)介】

劉玉潔（1993-）女，漢族，山西大同人，華東政法大學(xué)國(guó)際法學(xué)院2015級(jí)國(guó)際法學(xué)專(zhuān)業(yè)碩士研究生，研究方向：國(guó)際私法.