劉士國(guó) 熊靜文

(復(fù)旦大學(xué) 法學(xué)院，上海 200438)

引語(yǔ)

生物技術(shù)的發(fā)展以及大數(shù)據(jù)在醫(yī)療行業(yè)的深刻變革，使得人類健康醫(yī)療數(shù)據(jù)在種類和數(shù)量上急劇增長(zhǎng)，形成具有高度包容性的龐大數(shù)據(jù)集，內(nèi)容涵蓋臨床病例數(shù)據(jù)、醫(yī)學(xué)試驗(yàn)數(shù)據(jù)、健康管理數(shù)據(jù)、基因序列數(shù)據(jù)、生物樣本數(shù)據(jù)等等。據(jù)測(cè)算，一個(gè)人在整個(gè)生命周期內(nèi)所生成的健康醫(yī)療數(shù)據(jù)高達(dá)百萬(wàn)兆字節(jié)，大致相當(dāng)于3億本書(shū)的數(shù)據(jù)量。注參見(jiàn)Ariana Eunjung Cha, Watson’s Next Feat? Taking on Cancer: IBM’s Computer Brain Is Training Alongside Doctors to Do What They Can’t, Washington Post, June 27, 2015.數(shù)據(jù)的應(yīng)用價(jià)值，也突破了過(guò)去醫(yī)生與患者的狹窄空間，上升為國(guó)家的戰(zhàn)略性資源。注2016年6月21日，國(guó)務(wù)院辦公廳發(fā)布的國(guó)辦發(fā)[2016]47號(hào)文件《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見(jiàn)》中指出“健康醫(yī)療大數(shù)據(jù)是國(guó)家重要的戰(zhàn)略資源。健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展將帶來(lái)健康醫(yī)療模式的深刻變化，有利于激發(fā)深化醫(yī)藥衛(wèi)生體制改革的動(dòng)力和活力，提升健康醫(yī)療服務(wù)效率和質(zhì)量，擴(kuò)大資源供給，不斷滿足人民群眾多層次、多樣化的健康需求，有利于培育新的業(yè)態(tài)和經(jīng)濟(jì)增長(zhǎng)點(diǎn)?！苯】滇t(yī)療領(lǐng)域從“小”數(shù)據(jù)到“大”數(shù)據(jù)的變革，對(duì)傳統(tǒng)法律概念與研究范式提出質(zhì)疑。

隱私權(quán)自誕生時(shí)起就被視為一項(xiàng)個(gè)體性的權(quán)利——“個(gè)人獨(dú)處權(quán)”(the right to be let alone)，注Samuel D. Warren, Louis D. Brandeis, The Right to Privacy, Harvard Law Review, Vol.4, Issue 5, December 1890, p.195.在此之后的理論發(fā)展中仍然強(qiáng)調(diào)個(gè)體在隱私利益上的自主或者自治。就權(quán)利的性質(zhì)而言，隱私權(quán)直接反映了個(gè)體與外界的緊張關(guān)系；在權(quán)利的實(shí)現(xiàn)上，以“隱私的自我管理”注參見(jiàn)Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, Harvard Law Review, Vol.126, Issue 7, May 2013,p.1880.為實(shí)現(xiàn)方式。健康醫(yī)療領(lǐng)域?qū)﹄[私利益的保護(hù)，一直也圍繞著以患者為中心的個(gè)體層面展開(kāi)。然而，在大數(shù)據(jù)的背景下，健康醫(yī)療數(shù)據(jù)已出現(xiàn)結(jié)構(gòu)性變化，與之相關(guān)的隱私利益亦呈現(xiàn)出不同于以往的特征，局限于個(gè)體層面的隱私權(quán)理論，既不足以應(yīng)對(duì)個(gè)體與群組面臨的隱私威脅，亦不利于公共健康利益的實(shí)現(xiàn)，對(duì)此應(yīng)作理論上的補(bǔ)充。

一、大數(shù)據(jù)背景下健康醫(yī)療數(shù)據(jù)的結(jié)構(gòu)性變化及其對(duì)隱私利益的影響

(一)大數(shù)據(jù)背景下健康醫(yī)療數(shù)據(jù)的結(jié)構(gòu)性變化

傳統(tǒng)的健康醫(yī)療數(shù)據(jù)主要產(chǎn)生于診療過(guò)程，包括患者就診時(shí)的病歷記錄、影像資料、病理報(bào)告等。信息生成的場(chǎng)域?yàn)閱我坏尼t(yī)患關(guān)系，即特定的患者在就診時(shí)形成的特定醫(yī)療數(shù)據(jù)。各類醫(yī)療數(shù)據(jù)之間一般彼此孤立，用途也基本局限于單人單次的診療活動(dòng)，價(jià)值相對(duì)有限。生物技術(shù)的發(fā)展及大數(shù)據(jù)在醫(yī)療行業(yè)中的應(yīng)用，極大地拓寬了健康醫(yī)療數(shù)據(jù)的生成來(lái)源，種類與數(shù)量急劇增長(zhǎng)，應(yīng)用范圍也突破了原本狹窄的醫(yī)患關(guān)系。具體而言，呈現(xiàn)出以下變化：

第一，健康醫(yī)療數(shù)據(jù)呈指數(shù)增長(zhǎng)。一方面，醫(yī)學(xué)研究領(lǐng)域的擴(kuò)展促使醫(yī)療數(shù)據(jù)爆發(fā)，以基因序列數(shù)據(jù)最為典型。隨著基因測(cè)序成本的下降以及測(cè)序需求的增多，基因序列數(shù)據(jù)已達(dá)井噴之勢(shì)。研究顯示，到2025年預(yù)計(jì)將形成20億組人類基因測(cè)序，僅這些數(shù)據(jù)的存儲(chǔ)需求就可能高達(dá)40艾字節(jié)，而整個(gè)互聯(lián)網(wǎng)的存儲(chǔ)總量據(jù)估算不超過(guò)525艾字節(jié)。[注]參見(jiàn)Zachary D. Stephens et al., Big Data: Astronomical or Genomical?, PLoS Biology, Vol.13, Issue 7, July 2015, p.2.另一方面，大數(shù)據(jù)挖掘與機(jī)器學(xué)習(xí)技術(shù)在醫(yī)療領(lǐng)域的應(yīng)用，意味著我們有了更多方法來(lái)生成、收集、管理健康醫(yī)療數(shù)據(jù)，舊的數(shù)據(jù)能夠通過(guò)組合、分析重新生成新的數(shù)據(jù)，以實(shí)現(xiàn)二次利用。[注]參見(jiàn)Nuffield Council on Bioethics, The Collection, Linking and Use of Data in Biomedical Research and Health Care: Ethical Issues, February 2015, p.4.由此，臨床護(hù)理、醫(yī)學(xué)試驗(yàn)、基因組研究等重要醫(yī)療實(shí)踐領(lǐng)域生成的健康醫(yī)療數(shù)據(jù)遠(yuǎn)遠(yuǎn)多于以往任何時(shí)候。

第二，大量健康醫(yī)療數(shù)據(jù)生成于醫(yī)患關(guān)系之外，甚至是醫(yī)療領(lǐng)域之外。物聯(lián)網(wǎng)技術(shù)、可穿戴設(shè)備的普及使健康管理應(yīng)用融入普通人的日常生活。每一個(gè)使用者都成為健康數(shù)據(jù)的收集終端，醫(yī)療數(shù)據(jù)的生成不再局限于診療中醫(yī)方的單方采集，顯著增強(qiáng)了對(duì)醫(yī)患關(guān)系以外健康數(shù)據(jù)的收集能力。同時(shí)，健康醫(yī)療數(shù)據(jù)越來(lái)越多地產(chǎn)生于與健康醫(yī)療并無(wú)直接關(guān)系的領(lǐng)域。例如，實(shí)體購(gòu)物或者網(wǎng)上購(gòu)物的信息會(huì)透露消費(fèi)者的身體狀況。美國(guó)一家大型網(wǎng)絡(luò)零售平臺(tái)就曾經(jīng)根據(jù)顧客的消費(fèi)記錄，推測(cè)出女性顧客的懷孕情況，以便有針對(duì)性地發(fā)送產(chǎn)品信息與優(yōu)惠。[注]參見(jiàn)Michal Kosinski et al., Private Traits and Attributes Are Predictable from Digital Records of Human Behavior, Proceedings of The National Academy of Sciences of the United States of America, Vol.110, Issue 15, April 2013, p.5802.無(wú)處不在的社交媒體也促成了健康醫(yī)療數(shù)據(jù)的生成與傳播。統(tǒng)計(jì)顯示，“超過(guò)27%的互聯(lián)網(wǎng)用戶在網(wǎng)上分享他們的飲食、運(yùn)動(dòng)數(shù)據(jù)或其他健康指標(biāo)信息；4%的互聯(lián)網(wǎng)用戶發(fā)布過(guò)他們的用藥、治療經(jīng)歷；9%的社交網(wǎng)站用戶發(fā)起或加入了與健康相關(guān)的群組”。[注]Susannah Fox, The Social Life of Health Information(2011), http://www.pewinternet.org/files/old-media/Files/Reports/2011/PIP_Social_Life_of_Health_Info.pdf, 最后訪問(wèn)日期2018年7月4日。越來(lái)越多的健康醫(yī)療數(shù)據(jù)在醫(yī)療領(lǐng)域之外通過(guò)互聯(lián)網(wǎng)生成、聚合。

第三，健康醫(yī)療大數(shù)據(jù)的應(yīng)用價(jià)值滲透至個(gè)人、行業(yè)、政府管理等多個(gè)層面。隨著大數(shù)據(jù)信息化社會(huì)的推進(jìn)，“信息成為和物質(zhì)、能量同樣重要的資源，整個(gè)社會(huì)對(duì)于信息的依賴和利用需求增強(qiáng)”[注]張新寶：《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，載《中國(guó)法學(xué)》2015年第3期。。在個(gè)體層面，健康管理應(yīng)用生成的數(shù)據(jù)已成為普通人了解自身健康狀況的重要信息來(lái)源，如Fitbit等健康管理應(yīng)用所收集的數(shù)據(jù)，能夠服務(wù)于使用者飲食、睡眠、健身、心率指標(biāo)、慢性病管理等各個(gè)方面。對(duì)于醫(yī)療行業(yè)而言，大數(shù)據(jù)的分析預(yù)測(cè)催生了精準(zhǔn)醫(yī)學(xué)的新形式，整個(gè)行業(yè)迎來(lái)新變革。醫(yī)生能夠超越以往基于疾病臨床表現(xiàn)的診療方式，轉(zhuǎn)而從遺傳學(xué)和分子特征去尋找致病原因，[注]參見(jiàn)Jeffrey M. Skopek, Big Data’s Epistemology and Its Implications for Precision Medicine and Privacy, in I. Cohen et al.(eds.), Big Data, Health Law and Bioethics, Cambridge: Cambridge University Press, 2018, p.35.提高診斷與治療的準(zhǔn)確性。如IBM公司的Watson健康保健項(xiàng)目，能夠通過(guò)篩選、比對(duì)、分析疾病與治療史、基因數(shù)據(jù)等在內(nèi)的大量數(shù)據(jù)，在短短幾分鐘內(nèi)輔助醫(yī)生為患者提供個(gè)性化的治療建議。[注]參見(jiàn)Ariana Eunjung Cha, Watson’s Next Feat? Taking on Cancer: IBM’s Computer Brain Is Training Alongside Doctors to Do What They Can’t, Washington Post, June 27, 2015.除了醫(yī)療衛(wèi)生行業(yè)，健康醫(yī)療大數(shù)據(jù)也能夠助力其他行業(yè)的優(yōu)化，如保險(xiǎn)公司能夠借助健康醫(yī)療大數(shù)據(jù)識(shí)別投保人風(fēng)險(xiǎn)、防止欺詐。在社會(huì)管理與公共健康層面，健康醫(yī)療大數(shù)據(jù)對(duì)政府部門(mén)的疾病檢測(cè)與控制、掌握居民健康狀況同樣有重要作用，例如政府部門(mén)能夠通過(guò)數(shù)字疾病監(jiān)測(cè)系統(tǒng)增強(qiáng)疾病控制的效率。

(二)健康醫(yī)療大數(shù)據(jù)對(duì)隱私利益的影響

大數(shù)據(jù)技術(shù)下，不同的健康醫(yī)療數(shù)據(jù)之間呈現(xiàn)高度的相關(guān)性，原本孤立的隱私利益開(kāi)始彼此關(guān)聯(lián)。以基因組數(shù)據(jù)包含的隱私利益為例，一方面，由于基因組數(shù)據(jù)與其他類型的健康數(shù)據(jù)密切關(guān)聯(lián)，一旦數(shù)據(jù)主體面臨基因組數(shù)據(jù)上的隱私威脅，數(shù)據(jù)主體其他類型的健康數(shù)據(jù)同樣會(huì)受到威脅，如身體狀況、疾病風(fēng)險(xiǎn)等隱私信息可能隨之披露。另一方面，不同數(shù)據(jù)主體在基因組數(shù)據(jù)上可能彼此關(guān)聯(lián)。對(duì)某一基因數(shù)據(jù)的分析，可能進(jìn)一步推知其家族、社群甚至民族的基因信息。例如，某一位家庭成員披露了自己的基因數(shù)據(jù)以后，便可由此推知其親屬的基因信息，因?yàn)樗麄冊(cè)诨驍?shù)據(jù)上的相似度極高，且擁有相似的生活環(huán)境與習(xí)慣，而這可能違背其他人對(duì)基因信息的披露意愿。退一步而言，即使不存在親屬關(guān)系，科學(xué)研究也已表明，通過(guò)大數(shù)據(jù)技術(shù)提供的排除算法，完全可以推斷出給定基因組數(shù)據(jù)的所屬主體，且準(zhǔn)確度令人驚訝。在健康醫(yī)療大數(shù)據(jù)下，個(gè)體不同的隱私利益相互關(guān)聯(lián)，且“受他人行為的影響，并可能超出自己所能控制的范圍”[注]Gergely Biczo'k, Pern Hui Chia, Interdependent Privacy: Let Me Share Your Data, in Sadeghi AR.(eds) Financial Cryptography and Data Security, FC 2013, Vol. 7859 LNCS, Berlin Heidelberg: Springer, 2013, p.338.。

依靠大數(shù)據(jù)算法分類系統(tǒng)，能夠隨機(jī)地甚至自動(dòng)化地創(chuàng)建出不同群組，出現(xiàn)了群體層面的隱私形態(tài)。健康醫(yī)療數(shù)據(jù)的挖掘和匯總中，往往會(huì)對(duì)個(gè)體按照某些特征或者趨勢(shì)進(jìn)行分組、聚類，分散的個(gè)體最終形成有研究?jī)r(jià)值的群組。在這個(gè)過(guò)程中，群組內(nèi)的成員通常并不需要被單獨(dú)地識(shí)別出來(lái)，只是被有針對(duì)性地進(jìn)行了分類。就好比廣告商并不關(guān)心它的廣告具體是誰(shuí)在看，只在意廣告是否到達(dá)了某一類特定人群。所形成的這些健康數(shù)據(jù)群組，打亂了個(gè)體身份與隱私利益之間的聯(lián)系。因?yàn)檫@時(shí)只有將個(gè)體放在群組中才會(huì)體現(xiàn)隱私利益[注]參見(jiàn)Luciano Floridi, Open Data, Data Protection, and Group Privacy, Philosophy & Technology, Vol. 27, Issue 1, March 2014, pp.1-2.；由此，所揭示的疾病風(fēng)險(xiǎn)并非單純地針對(duì)某個(gè)可識(shí)別個(gè)體，只有在個(gè)體的相互關(guān)聯(lián)中才有意義。以一個(gè)例子來(lái)說(shuō)明，在大數(shù)據(jù)分析中，若研究人員統(tǒng)計(jì)出有30000個(gè)具有相同個(gè)體特征的人之中有3人患有某種疾病，而這種疾病正是由某種特殊基因直接導(dǎo)致的，研究人員可能會(huì)預(yù)測(cè)擁有此類個(gè)體特征的人群患病概率是1/10000。然而，這里概率預(yù)測(cè)的價(jià)值是在針對(duì)群體的統(tǒng)計(jì)學(xué)意義上實(shí)現(xiàn)的，對(duì)其中某個(gè)個(gè)體并無(wú)確切的意義。因?yàn)閷?duì)個(gè)體而言，這種基因只可能全無(wú)或全有。在健康醫(yī)療領(lǐng)域，大量的分析、預(yù)測(cè)都是針對(duì)群組進(jìn)行的，在群體層面共享的隱私利益就此凸顯。

二、現(xiàn)行健康醫(yī)療信息隱私保護(hù)機(jī)制及其個(gè)人主義局限

我國(guó)目前對(duì)健康醫(yī)療信息相關(guān)的隱私利益沒(méi)有專門(mén)的立法保護(hù)，個(gè)人信息保護(hù)法也一直暫未出臺(tái)。健康醫(yī)療信息的隱私保護(hù)規(guī)則，散見(jiàn)于《執(zhí)業(yè)醫(yī)師法》《精神衛(wèi)生法》等醫(yī)療衛(wèi)生法律法規(guī)中且一筆帶過(guò)，基本處于缺位狀態(tài)。從世界范圍看，對(duì)健康醫(yī)療隱私利益的保護(hù)，目前有兩種立法模式，一種是將健康醫(yī)療信息從個(gè)人信息中劃出來(lái)單獨(dú)立法施以保護(hù)，如美國(guó)1996年《健康保險(xiǎn)攜帶和責(zé)任法案》(Health Insurance Portability and Accountability Act，通稱為HIPAA法案)及配套的《個(gè)人可識(shí)別健康信息的隱私標(biāo)準(zhǔn)》(Standards for Privacy of Individually Identifiable Health Information，通稱為隱私規(guī)則)、澳大利亞新南威爾士州《健康記錄與信息隱私法案》(Health Records and Information Privacy Act)。另一種方式是將個(gè)人醫(yī)療健康信息與其他個(gè)人信息一同施以綜合保護(hù)，如歐盟1995年《數(shù)據(jù)保護(hù)指令》(EU Data Protection Directive, 95/46/EC)、2018年《一般數(shù)據(jù)保護(hù)條例》(EU General Data Protection Regulation，通稱為歐盟GDPR)，以及英國(guó)《數(shù)據(jù)保護(hù)法》(The Data Protection Act)。其中，美國(guó)的HIPAA法案及隱私規(guī)則與歐盟GDPR，代表著目前健康醫(yī)療信息隱私保護(hù)的主流態(tài)度與趨勢(shì)，且對(duì)其他國(guó)家和地區(qū)的立法與實(shí)踐影響巨大，故本文主要依托這兩部文件分析現(xiàn)行健康醫(yī)療信息隱私保護(hù)規(guī)則的特點(diǎn)與局限。

(一)美國(guó)HIPAA法案及隱私規(guī)則提供的保護(hù)機(jī)制

美國(guó)HIPAA法案對(duì)健康醫(yī)療信息的傳輸、訪問(wèn)與儲(chǔ)存做出詳細(xì)規(guī)定，是美國(guó)醫(yī)療服務(wù)行業(yè)必須遵守的信息安全標(biāo)準(zhǔn)；與之配套的隱私規(guī)則首次建立起保護(hù)健康醫(yī)療信息隱私的國(guó)家標(biāo)準(zhǔn)，以解決個(gè)人健康醫(yī)療信息使用與披露的問(wèn)題。

首先，并非所有的健康醫(yī)療信息都在保護(hù)范圍之內(nèi)，隱私規(guī)則將“受保護(hù)的健康信息”明確為“個(gè)人可識(shí)別健康信息”(Individually Identifiable Health Information)[注]45 C.F.R. §160.103.，包括任何可以辨識(shí)出個(gè)人身份特征的信息，例如姓名、指紋、基因、醫(yī)療活動(dòng)中的詳細(xì)情況等。抵消隱私風(fēng)險(xiǎn)的一個(gè)常用辦法是去識(shí)別化。隱私規(guī)則提供了一套完整的去識(shí)別化處理機(jī)制，規(guī)定如果以下這18種個(gè)人標(biāo)識(shí)符被移除，就屬于不可識(shí)別的個(gè)人健康信息，具體包括：“姓名；州級(jí)別以下的地址信息；生日、入學(xué)日、死亡日等特定日期；電話號(hào)碼；傳真號(hào)碼；電子郵箱；社會(huì)安全號(hào)碼；醫(yī)療記錄編號(hào)；健康計(jì)劃受益人編號(hào)；銀行賬戶號(hào)碼；身份證件號(hào)碼；車輛識(shí)別碼與序列號(hào)；設(shè)備識(shí)別碼與序列號(hào)；網(wǎng)址；IP地址；生物識(shí)別信息；完整的面部照片；以及其他任何能夠用于重新識(shí)別的唯一代碼或特征”[注]45 C.F.R. §164.514(b).。經(jīng)過(guò)去識(shí)別化處理之后，健康醫(yī)療信息的使用與披露則不再受隱私規(guī)則的限制。

關(guān)于“受保護(hù)的健康信息”的使用與披露，HIPAA隱私規(guī)則的要求十分嚴(yán)格，只有在兩種情況下才可進(jìn)行：一是經(jīng)隱私規(guī)則允許或要求，二是經(jīng)信息主體書(shū)面授權(quán)。關(guān)于書(shū)面授權(quán)，有嚴(yán)格的形式規(guī)范，要求必須使用通俗易懂的語(yǔ)言，明確包含要披露或使用的信息、披露和接收信息的人員、授權(quán)到期日、撤銷權(quán)以及其他數(shù)據(jù)的具體信息。[注]45 C.F.R. §164.532.隱私規(guī)則同時(shí)規(guī)定了一些可不經(jīng)個(gè)體授權(quán)的例外情況，如將數(shù)據(jù)用于治療、支付和其他醫(yī)療保健活動(dòng)；偶然的使用與披露；滿足所列12種公共利益目的之一；在醫(yī)學(xué)研究、公共衛(wèi)生或醫(yī)療保健活動(dòng)中使用、披露有限的數(shù)據(jù)集等。[注]45 C.F.R. §164.502(a)(1).可見(jiàn)，HIPAA隱私規(guī)則對(duì)健康醫(yī)療信息隱私的保護(hù)，采用了強(qiáng)調(diào)個(gè)體同意權(quán)并輔之以例外規(guī)定的模式。

除此以外，HIPAA隱私規(guī)則還有兩項(xiàng)特別規(guī)定，一是最低限度原則(Minimal Necessary)，它是貫穿隱私規(guī)則的核心原則，要求在使用、披露或向他人索取受保護(hù)的健康信息時(shí)，必須作出合理努力，將受保護(hù)的健康信息量限制在合乎目的的最小必要范圍。[注]45 C.F.R. §164.502(b).二是限制使用請(qǐng)求權(quán)(Restriction Request)，規(guī)定個(gè)人可以提出限制信息使用的請(qǐng)求，要求對(duì)受保護(hù)健康信息提供隱私保護(hù)；用于治療、支付或健康照護(hù)運(yùn)作時(shí)，可要求有限制地使用或披露受保護(hù)健康信息。[注]45 C.F.R. §164.522(a)(1)(i).

(二)歐盟GDPR提供的保護(hù)機(jī)制

2018年5月施行的歐盟GDPR，是目前個(gè)人信息綜合保護(hù)的代表性文件，其中對(duì)健康數(shù)據(jù)、生物數(shù)據(jù)的特別規(guī)定，反映了大數(shù)據(jù)時(shí)代歐盟對(duì)待個(gè)人健康醫(yī)療信息保護(hù)的態(tài)度。

在保護(hù)對(duì)象上，GDPR將受保護(hù)的個(gè)人數(shù)據(jù)定義為“與被識(shí)別或者可識(shí)別的自然人相關(guān)的任何數(shù)據(jù)”[注]GDPR Article 4(1).，這一點(diǎn)與美國(guó)HIPAA隱私規(guī)則一致，均強(qiáng)調(diào)受保護(hù)數(shù)據(jù)的可識(shí)別性。GDPR對(duì)數(shù)據(jù)處理同樣設(shè)置了原則性的限制，如目的限定原則(Purpose Limitation)要求數(shù)據(jù)控制者只能基于具體、明確、合法的目的收集個(gè)人數(shù)據(jù)；且一旦基于特定目的收集以后，則不能再基于與收集時(shí)所確定的目的不相容的其他目的進(jìn)行處理；數(shù)據(jù)最小化原則(Data Minimisation)類似于HIPAA隱私規(guī)則中的最低限度原則，同樣要求將數(shù)據(jù)限制在與處理目的相關(guān)的必要范圍之內(nèi)。[注]GDPR Article 5(1)(b)(c).

雖然GDPR是個(gè)人數(shù)據(jù)保護(hù)的綜合性條例，但對(duì)數(shù)據(jù)進(jìn)行了分類，并針對(duì)特殊類型數(shù)據(jù)制定了不同的規(guī)則。條例規(guī)定，對(duì)于“個(gè)人基因數(shù)據(jù)、生物特征數(shù)據(jù)”，原則上可以處理，但不得以識(shí)別自然人身份為目的；對(duì)于“健康數(shù)據(jù)、性生活、性取向等相關(guān)數(shù)據(jù)”，原則上完全禁止處理。[注]GDPR Article 9(1).只有當(dāng)滿足條例第9條第2款提供的合法性基礎(chǔ)時(shí)，才可以突破特殊類型數(shù)據(jù)的處理限制。其中，同意被作為重要的合法性基礎(chǔ)之一，且規(guī)定對(duì)這幾種特殊類型數(shù)據(jù)的同意必須為“明確同意”(Explicit Consent)[注]GDPR Article 9(2)(a).；同時(shí)允許成員國(guó)對(duì)此維持或增加更嚴(yán)格的限制[注]GDPR Article 9(4).。

相比美國(guó)HIPAA隱私規(guī)則的個(gè)體事先同意，歐盟GDPR更加強(qiáng)調(diào)主體在數(shù)據(jù)使用過(guò)程中的個(gè)人控制。具體而言，數(shù)據(jù)主體有權(quán)拒絕出于以下目的對(duì)其個(gè)人數(shù)據(jù)的處理：為實(shí)現(xiàn)公共利益或行政管理職能；為數(shù)據(jù)控制者或第三方的合法利益；銷售目的。同時(shí)，數(shù)據(jù)主體根據(jù)自身特殊情況，有權(quán)隨時(shí)拒絕數(shù)據(jù)控制者基于科學(xué)、歷史研究以及統(tǒng)計(jì)目的的數(shù)據(jù)處理。[注]GDPR Article 21(1)(2)(6).條例新增的(Right to Erasure)，允許數(shù)據(jù)主體在特定情形下要求控制者刪除與其相關(guān)的個(gè)人數(shù)據(jù)。[注]GDPR Article 17(1).限制處理權(quán)(Right to Restriction of Processing)，賦予了數(shù)據(jù)主體在法律規(guī)定的特定情形發(fā)生時(shí)，限制數(shù)據(jù)控制者處理的權(quán)利。[注]GDPR Article 18(1).數(shù)據(jù)便攜權(quán)(Right to Data Portability)，允許數(shù)據(jù)主體從數(shù)據(jù)控制者處獲得以結(jié)構(gòu)化、通用化和可機(jī)讀形式呈現(xiàn)的個(gè)人數(shù)據(jù)，并有權(quán)將該數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)控制者。[注]GDPR Article 20(1).

(三)以個(gè)人主義為中心的制度局限

總體而言，美國(guó)HIPAA隱私規(guī)則與歐盟GDPR對(duì)個(gè)人健康醫(yī)療信息的隱私保護(hù)相當(dāng)嚴(yán)格。前者以去識(shí)別化機(jī)制與個(gè)體同意權(quán)為主線；后者將同意作為數(shù)據(jù)處理的合法性基礎(chǔ)，以數(shù)據(jù)使用的個(gè)人控制為核心，并對(duì)健康數(shù)據(jù)、生物數(shù)據(jù)使用作出特別限制。兩部文件設(shè)置了嚴(yán)格的個(gè)體同意與控制規(guī)則，并輔之以眾多例外情形，試圖在尋求隱私利益保護(hù)的同時(shí)促進(jìn)必要的健康醫(yī)療信息流動(dòng)，這種理念值得肯定。但我們不難發(fā)現(xiàn)，這兩部文件所提供的保護(hù)機(jī)制均是以個(gè)人主義為中心的，無(wú)法應(yīng)對(duì)前文所闡述的隱私利益出現(xiàn)的新變化。

首先，關(guān)于健康醫(yī)療數(shù)據(jù)的個(gè)人身份可識(shí)別性與去識(shí)別化機(jī)制。在大數(shù)據(jù)背景下，針對(duì)個(gè)人身份的去識(shí)別化處理機(jī)制幾乎很難再發(fā)揮作用。由于數(shù)據(jù)的積累以及相應(yīng)的處理和分析能力日益增強(qiáng)，個(gè)人身份能輕易地被反向識(shí)別。不論是在醫(yī)患關(guān)系之內(nèi)還是醫(yī)療領(lǐng)域以外，健康醫(yī)療數(shù)據(jù)的收集滲透到各個(gè)角落，形成了多元的數(shù)據(jù)流與數(shù)據(jù)群組。將這些數(shù)據(jù)流連接在一起，便能夠完整地創(chuàng)建出我們每一個(gè)人縱向的健康醫(yī)療記錄。這些記錄具有深刻的描述性，顯示出我們彼此無(wú)法復(fù)制的生命軌跡，足以反向地準(zhǔn)確定位到具體某一個(gè)人。因此，即使其中明顯的個(gè)人標(biāo)識(shí)符被去除，當(dāng)我們將記錄中的所有參數(shù)結(jié)合起來(lái)，最終仍只可能與世界上的一個(gè)人相匹配，因?yàn)檫@些數(shù)據(jù)本身就是獨(dú)一無(wú)二的標(biāo)識(shí)符。[注]參見(jiàn)Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, UCLA Law Review, Vol.57, Issue 6, 2010, pp.1716-1723; Mark A. Rothstein, Is Deidentification Sufficient to Protect Health Privacy in Research?, American Journal of Bioethics, Vol.10, Issue 9, 2010, pp.5-6.例如，世界上只有一個(gè)黑色頭發(fā)、棕色眼睛、身高165公分的女性在三歲九個(gè)月零五天時(shí)摔斷了鎖骨，并且在二十二歲八個(gè)月零七天時(shí)拔掉智齒、在二十七歲五個(gè)月零三天時(shí)生下一個(gè)女兒、在七十六歲時(shí)患上老年癡呆。鑒于我們很難防止數(shù)據(jù)被重新識(shí)別，個(gè)人身份可識(shí)別性數(shù)據(jù)與不可識(shí)別性數(shù)據(jù)也不再有區(qū)別。

其次，關(guān)于數(shù)據(jù)處理前的個(gè)體同意規(guī)則。一般認(rèn)為，個(gè)體所面臨隱私風(fēng)險(xiǎn)的程度與其同意分享數(shù)據(jù)的程度成正比，因此往往會(huì)通過(guò)同意規(guī)則賦予個(gè)體自主管理隱私風(fēng)險(xiǎn)的權(quán)利。但目前同意機(jī)制對(duì)數(shù)據(jù)主體隱私權(quán)保護(hù)的實(shí)現(xiàn)已經(jīng)不那么有效了。[注]參見(jiàn)Fred H. Cate, Protecting Privacy in Health Research: The Limits of Individual Choice, California Law Review, Vol.98, Issue 6, 2010, p.1797.HIPAA隱私規(guī)則的個(gè)體同意權(quán)，原本是在范圍相對(duì)較小的臨床研究和信息研究基礎(chǔ)上設(shè)計(jì)的，個(gè)體同意曾經(jīng)是保護(hù)隱私相當(dāng)有效的工具。但在隱私利益互相牽連的健康醫(yī)療大數(shù)據(jù)背景下，孤立的個(gè)體同意權(quán)不再足以保護(hù)個(gè)人隱私，反而對(duì)他人的隱私利益構(gòu)成威脅。在同意機(jī)制下，若要徹底消除所有人面臨的個(gè)體隱私威脅，唯一的辦法就是限制所有人同意分享自己健康醫(yī)療數(shù)據(jù)的權(quán)利，而這與維護(hù)數(shù)據(jù)主體自主權(quán)的目標(biāo)背道而馳。雖然歐盟GDPR沒(méi)有將同意作為一項(xiàng)個(gè)體權(quán)利，而是將其作為合法性基礎(chǔ)，并制定了嚴(yán)格的同意規(guī)則，特別是對(duì)生物數(shù)據(jù)、基因數(shù)據(jù)、健康數(shù)據(jù)提出更加嚴(yán)格的要求，同樣仍面臨隱私利益在互相關(guān)聯(lián)中遭受損害的風(fēng)險(xiǎn)。因此，在大數(shù)據(jù)環(huán)境中，個(gè)體同意的傳統(tǒng)規(guī)則可能不再符合其設(shè)計(jì)的主要目標(biāo)。

第三，關(guān)于數(shù)據(jù)后續(xù)個(gè)人控制與限制使用規(guī)則。后續(xù)使用的持續(xù)控制權(quán)利被視為歐盟GDPR最大的亮點(diǎn)。與HIPAA個(gè)體同意規(guī)則的區(qū)別在于，它將自主權(quán)或自治權(quán)延伸到數(shù)據(jù)使用的過(guò)程當(dāng)中。后續(xù)使用中持續(xù)控制的權(quán)利為數(shù)據(jù)主體有效控制其個(gè)人數(shù)據(jù)提供了可能，且使得數(shù)據(jù)主體也能從數(shù)據(jù)處理與流通中獲得收益，一定程度上促進(jìn)了數(shù)據(jù)的流通與使用。然而，GDPR這種孤立強(qiáng)化個(gè)人權(quán)利的思路，仍然不能適應(yīng)大數(shù)據(jù)下隱私利益互相關(guān)聯(lián)的狀態(tài)。單純對(duì)個(gè)體自治的強(qiáng)化本身包含著忽視他人利益的權(quán)利。從公共利益的角度考慮，個(gè)體對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)后續(xù)使用的強(qiáng)有力控制，必然對(duì)公共健康目標(biāo)的實(shí)現(xiàn)不利。例如，如果在健康醫(yī)療數(shù)據(jù)初次收集的目的完成后，數(shù)據(jù)主體請(qǐng)求刪除數(shù)據(jù)，將會(huì)影響整體數(shù)據(jù)研究的連續(xù)性、完整性，影響數(shù)據(jù)的再利用。由于后續(xù)挖掘已然成為數(shù)據(jù)價(jià)值的主要來(lái)源，其他限制使用的規(guī)則如目的限定原則、最低限度原則也都面臨著現(xiàn)實(shí)的挑戰(zhàn)與合理性質(zhì)疑。[注]參見(jiàn)范為：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》，載《環(huán)球法律評(píng)論》2016年第5期。強(qiáng)化數(shù)據(jù)的個(gè)人控制與限制使用規(guī)則并不完全適應(yīng)大數(shù)據(jù)時(shí)代的需要。

以美國(guó)HIPAA、歐盟GDPR為代表的健康醫(yī)療信息隱私保護(hù)機(jī)制，暴露了以個(gè)人主義為中心的弊端。去識(shí)別化、同意規(guī)則、后續(xù)使用中的持續(xù)控制，均是以個(gè)人主義為中心設(shè)置的機(jī)制，一方面難以有效地保護(hù)個(gè)體隱私權(quán)，另一方面也限制了健康醫(yī)療數(shù)據(jù)多元價(jià)值的實(shí)現(xiàn)。更重要的是，在現(xiàn)有機(jī)制中還沒(méi)有一個(gè)理論框架承認(rèn)群體作為隱私利益的主體，這對(duì)于群組化研究盛行的健康醫(yī)療領(lǐng)域中隱私利益的完整保護(hù)極為不利。反觀我國(guó)，屈指可數(shù)的健康醫(yī)療隱私保護(hù)規(guī)則同樣以個(gè)人主義為中心，在2018年發(fā)布的《基本醫(yī)療衛(wèi)生與健康促進(jìn)法案(草案)》中仍然原則性地規(guī)定“除法律法規(guī)規(guī)定或本人同意外，任何組織和個(gè)人不得獲取、利用和公開(kāi)公民個(gè)人健康信息”，且未設(shè)置任何例外條款?？梢?jiàn)我們的立法過(guò)程中尚未意識(shí)到大數(shù)據(jù)時(shí)代信息結(jié)構(gòu)與隱私利益的特殊變化。

三、隱私利益群體維度的正當(dāng)性基礎(chǔ)

以個(gè)人主義為中心的隱私保護(hù)機(jī)制，被證明已無(wú)法滿足大數(shù)據(jù)背景下個(gè)人隱私權(quán)與群體隱私利益的保護(hù)需要，亦不足以緩解隱私保護(hù)與健康醫(yī)療數(shù)據(jù)利用之間的緊張關(guān)系。為了適應(yīng)健康醫(yī)療數(shù)據(jù)與相關(guān)隱私利益的結(jié)構(gòu)性變化，需要在隱私保護(hù)的理念與規(guī)則上作出調(diào)整，識(shí)別隱私利益包含的群體維度不失為一種有益的嘗試。將隱私利益保護(hù)放在群體維度下，意味著三個(gè)方面的補(bǔ)充：以集體行動(dòng)的方式保護(hù)個(gè)體隱私權(quán)；平衡隱私利益保護(hù)與健康醫(yī)療數(shù)據(jù)利用的關(guān)系；對(duì)群體所享有隱私利益的認(rèn)可與保護(hù)。而這一設(shè)想是否具有合理性，需要一一進(jìn)行分析。

(一)生命倫理的轉(zhuǎn)向：個(gè)體隱私權(quán)的集體保護(hù)

健康醫(yī)療領(lǐng)域的個(gè)體自治，強(qiáng)調(diào)個(gè)體通過(guò)醫(yī)療過(guò)程中的自主決策維護(hù)自己的利益，意味著患者有權(quán)知曉并選擇醫(yī)療照護(hù)方式，有權(quán)決定誰(shuí)能知道其私人信息。這種對(duì)個(gè)體自治的重視始于二十世紀(jì)中葉生命倫理學(xué)形成之時(shí)。紐倫堡審判披露的非法人體試驗(yàn)，以及父權(quán)主義醫(yī)療下?lián)碛薪^對(duì)權(quán)威的醫(yī)師對(duì)患者權(quán)利的漠視，在當(dāng)時(shí)激起病患權(quán)利保護(hù)的潮流，引發(fā)人們對(duì)生命醫(yī)學(xué)倫理的重視。在此背景下，生命倫理運(yùn)動(dòng)便圍繞著病患的知情同意、自主決定而進(jìn)行，主要保護(hù)對(duì)象是在家長(zhǎng)式醫(yī)療模式中對(duì)抗醫(yī)生的患者，以及在人體試驗(yàn)中對(duì)抗研究人員的受試者。由此，二十世紀(jì)中葉的生命倫理學(xué)接受了康德“原子式”個(gè)體自治的概念，將病患視作原子式的抽象個(gè)體，即他可以完全獨(dú)立于所有的社會(huì)關(guān)系，強(qiáng)調(diào)自我管理、自力更生、個(gè)人主義以及根本上的獨(dú)立。[注]參見(jiàn)Alfred I. Tauber, Patient Autonomy and the Ethics of Responsibility, Cambridge: MIT Press, 2005, p.117.這個(gè)概念類似于學(xué)者Richard Fallon所總結(jié)的“歸屬性自治”(Ascriptive Autonomy)[注]參見(jiàn)Richard H. Fallon, Jr., Two Senses of Autonomy, Stanford Law Review, Vol.46, Issue 4, April 1994, pp. 890-893.，承認(rèn)每個(gè)人對(duì)其道德選擇的主動(dòng)權(quán)。在當(dāng)時(shí)的生命倫理學(xué)中，原子式的個(gè)體自治被視為應(yīng)對(duì)個(gè)體利益威脅的強(qiáng)大解藥。

然而，純個(gè)人主義的自治模式過(guò)于狹窄，它重在描述醫(yī)患關(guān)系框架與權(quán)力格局中病患天生的弱勢(shì)地位，而且忽視了其他外在力量的重要性，在新的技術(shù)、政策環(huán)境中易出現(xiàn)問(wèn)題。1980年代，部分生命倫理學(xué)家試圖探尋能夠轉(zhuǎn)變個(gè)體自治的替代性設(shè)想，如提出互動(dòng)性自治，認(rèn)為自治“不僅僅是內(nèi)在的、心理的特征，而且還是外部的或者社會(huì)的”[注]Grace Clement, Care, Autonomy, and Justice: Feminism and the Ethic of Care, Boulder: Westview Press, 1996, p.22.。按照這種觀點(diǎn)，個(gè)人是通過(guò)社會(huì)合作，而不是獨(dú)立分散的行動(dòng)來(lái)增強(qiáng)他們的自主能力?！白晕冶焕斫鉃閭€(gè)體關(guān)系與社會(huì)義務(wù)的結(jié)合”，有時(shí)可以“合法地服從于其他道德原則，而這些道德原則決定在社會(huì)背景下自我應(yīng)當(dāng)如何被管理”。[注]Alfred I. Tauber, Patient Autonomy and the Ethics of Responsibility, Cambridge: MIT Press, 2005, p.85.但是，這種觀點(diǎn)只是當(dāng)時(shí)生命倫理學(xué)發(fā)展中的支流。

直到健康醫(yī)療大數(shù)據(jù)研究盛行的本世紀(jì)，生命倫理的轉(zhuǎn)向重新受到關(guān)注。有學(xué)者指出，適合醫(yī)療大數(shù)據(jù)研究的倫理框架“將在很大程度上背離目前臨床醫(yī)療與醫(yī)學(xué)研究的倫理觀念”[注]Ruth R. Faden et al., An Ethics Framework for a Learning Health Care System: A Departure from Traditional Research Ethics and Clinical Ethics, Ethical Oversight of Learning Health Care Systems, Hastings Center Report Special Report 43, No.1, January-February 2013, S16.；認(rèn)為“原子式自治”這個(gè)貧乏的概念，淡化了個(gè)體通過(guò)形成共同體來(lái)解決自身問(wèn)題的能力[注]參見(jiàn)Barbara J. Evans, Power to the People: Data Citizens in the Age of Precision Medicine, Vanderbilt Journal of Entertainment and Technology Law, Vol.19, Issue 2, 2017, p.246.，造成個(gè)體混亂無(wú)序的后果。這在二十一世紀(jì)的數(shù)據(jù)研究中可能適得其反，因?yàn)樗鼤?huì)使得生命倫理原本旨在保護(hù)的對(duì)象再次失權(quán)。這種“獨(dú)立自主”的風(fēng)險(xiǎn)，在霍布斯的框架中被稱為“烏合之眾的混亂狀態(tài)”[注][英]霍布斯：《利維坦》，黎思復(fù)、黎廷弼譯，商務(wù)印書(shū)館1985年版，第133頁(yè)。。在隱私利益相互依存的時(shí)代，堅(jiān)持原子式自治的生命倫理，將導(dǎo)致個(gè)體利益實(shí)現(xiàn)機(jī)制失效，分散的個(gè)體無(wú)法對(duì)共同面臨的威脅采取統(tǒng)一有效的應(yīng)對(duì)措施。因此，自主決策不再是實(shí)現(xiàn)個(gè)體利益的有效方式，保護(hù)個(gè)體隱私利益需要集體行為。在健康醫(yī)療大數(shù)據(jù)的背景下，個(gè)體自治的生命倫理不能不轉(zhuǎn)向社會(huì)合作，通過(guò)集體行動(dòng)將混亂、分散的人群聚合在一起形成數(shù)據(jù)共同體，以實(shí)現(xiàn)個(gè)體隱私權(quán)的有效保護(hù)。

(二)健康醫(yī)療數(shù)據(jù)的公共屬性：隱私利益保護(hù)與數(shù)據(jù)利用的平衡

健康醫(yī)療數(shù)據(jù)具有私人屬性，是個(gè)人主義自主決策的理論預(yù)設(shè)。然而這一理論前提并不完整，健康醫(yī)療數(shù)據(jù)不僅關(guān)涉?zhèn)€人利益，而且與其他人以及整個(gè)社會(huì)利益緊密聯(lián)系，具有強(qiáng)烈的公共屬性。

健康醫(yī)療數(shù)據(jù)自產(chǎn)生之時(shí)，往往就是與其他主體共享的。個(gè)體無(wú)疑是醫(yī)療數(shù)據(jù)產(chǎn)生的主要源頭，我們?nèi)粘Ｅ宕鞯闹悄苁汁h(huán)、手機(jī)上的健康管理應(yīng)用、慢性疾病患者接入的醫(yī)療監(jiān)測(cè)設(shè)備等，都直接地指向、關(guān)聯(lián)我們的個(gè)人健康信息。然而，數(shù)據(jù)與特定個(gè)體的關(guān)聯(lián)，并不足以認(rèn)可個(gè)體對(duì)健康數(shù)據(jù)的獨(dú)占利益，因?yàn)檫@種關(guān)聯(lián)只在于數(shù)據(jù)所表達(dá)的意義，而不是該數(shù)據(jù)本身。[注]參見(jiàn)高富平：《個(gè)人信息保護(hù)：從個(gè)人控制到社會(huì)控制》，載《法學(xué)研究》2018年第3期。健康醫(yī)療數(shù)據(jù)的最終生成，往往來(lái)自于其他主體所創(chuàng)建的服務(wù)或管理系統(tǒng)，[注]參見(jiàn)吳偉光：《大數(shù)據(jù)技術(shù)下個(gè)人數(shù)據(jù)信息私權(quán)保護(hù)論批判》，載《政治與法律》2016年第7期。其中一部分甚至大部分都是由其他主體所創(chuàng)建的數(shù)據(jù)。從一開(kāi)始便具有共享性質(zhì)的數(shù)據(jù)，已經(jīng)不能完全以私人屬性進(jìn)行界定。[注]參見(jiàn)中國(guó)社會(huì)科學(xué)院民法典工作項(xiàng)目組：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)模式需改變》，載《經(jīng)濟(jì)參考報(bào)》2018年4月18日。有學(xué)者指出，假使存在健康數(shù)據(jù)的法定所有權(quán)，那么也必須是非排他性的，[注]參見(jiàn)Barbara J. Evans, Barbarians at the Gate: Consumer-Driven Health Data Commons and the Transformation of Citizen Science, American Journal of Law and Medicine, Vol.42, Issue 4, 2016, p.664.類似于自然資源環(huán)境中的共享所有權(quán)。從數(shù)據(jù)生成的角度來(lái)看，健康醫(yī)療數(shù)據(jù)具有公共屬性，其包含的信息隱私“需要一定程度的社會(huì)控制來(lái)構(gòu)建與維護(hù)”[注]Edward J. Janger & Paul M. Schwartz, The Gramm-Leach-Bliley Act, Information Privacy, and the Limits of Default Rules, Minnesota Law Review, Vol.86, Issue 6, June 2002, p.1254.。

健康醫(yī)療數(shù)據(jù)具有價(jià)值多元性，除數(shù)據(jù)主體之外的許多其他主體，都對(duì)該健康數(shù)據(jù)有合法利益，包括醫(yī)院、診所、醫(yī)學(xué)研究機(jī)構(gòu)、保險(xiǎn)公司、政府部門(mén)等。如文章第一部分的分析，健康醫(yī)療數(shù)據(jù)可以用于改善醫(yī)療實(shí)踐、合理分配醫(yī)療資源，提供更有效的衛(wèi)生服務(wù)；通過(guò)龐大的數(shù)據(jù)庫(kù)創(chuàng)新治療方法，實(shí)現(xiàn)疾病的精準(zhǔn)治療；公共衛(wèi)生管理也有了更豐富的資源或依據(jù)。因此，個(gè)體獨(dú)立的自主決策對(duì)公共利益的實(shí)現(xiàn)不利，如果每一個(gè)個(gè)體都擁有阻止他人訪問(wèn)其數(shù)據(jù)的權(quán)利，將不能有效地匯集用于推動(dòng)公共衛(wèi)生和其他患者健康的數(shù)據(jù)資源，無(wú)法為促進(jìn)公共健康目的共同行事。個(gè)體細(xì)密而分散的同意，也限制了形成高度包容性的數(shù)據(jù)集、捕捉特殊樣本的能力，因?yàn)楹币?jiàn)的遺傳基因變異、對(duì)特定療法產(chǎn)生不良反應(yīng)的發(fā)現(xiàn)往往依賴于包含大量樣本的數(shù)據(jù)集。[注]參見(jiàn)Institute of Medicine, Beyond the HIPAA Privacy Rule: Enhancing Privacy, Improving Health Through Research, Washington: The National Academies Press, 2009, pp.209-214; Brian Buckley et al., Selection Bias Resulting from the Requirement for Prior Consent in Observational Research: A Community Cohort of People with Ischaemic Heart Disease, Heart, Vol.93, Issue 9, 2007, p.1116.健康數(shù)據(jù)具備的公共屬性與多元價(jià)值，決定了保護(hù)方式的公共性和社會(huì)性，這是不能單純地采取個(gè)人主義隱私保護(hù)方式的深層理由。[注]參見(jiàn)高富平：《個(gè)人信息保護(hù)：從個(gè)人控制到社會(huì)控制》，載《法學(xué)研究》2018年第3期。

(三)數(shù)據(jù)群組以群體名義享有隱私利益的可能

承認(rèn)健康數(shù)據(jù)群組作為隱私利益的主體，是突破隱私利益?zhèn)€人主義保護(hù)的重要一步。在此之前，須考慮這一設(shè)想的邏輯是否自洽，是否與現(xiàn)有理論框架相容。這里包含兩個(gè)問(wèn)題：一是數(shù)據(jù)群組能否被識(shí)別為受法律保護(hù)的群體；二是隱私利益歸于群體的理論基礎(chǔ)。

“群體”往往依人群所擁有的共同背景來(lái)識(shí)別與界定，有共同目的的集體組織進(jìn)一步被賦予群體性的權(quán)利，如集會(huì)、游行、示威的權(quán)利，針對(duì)環(huán)境污染提起集體訴訟的權(quán)利等。這些傳統(tǒng)類型的群體均具備兩個(gè)基本要素：一是在一定時(shí)期內(nèi)，群體的形態(tài)相對(duì)穩(wěn)固；二是群體成員有鮮明的自我意識(shí)，認(rèn)同該群體的存在。如果從這兩個(gè)基本特征來(lái)觀察，數(shù)據(jù)群組并不被傳統(tǒng)的群體概念所涵蓋。一方面，互聯(lián)網(wǎng)絡(luò)瞬息萬(wàn)變，數(shù)據(jù)個(gè)體形成無(wú)數(shù)個(gè)分散、動(dòng)態(tài)的數(shù)據(jù)節(jié)點(diǎn)，群組成員每時(shí)每刻都可能發(fā)生變化，具有相當(dāng)強(qiáng)的流動(dòng)性；另一方面，算法分類的方法會(huì)對(duì)數(shù)據(jù)個(gè)體隨機(jī)地創(chuàng)建新的分組，個(gè)體很多時(shí)候根本無(wú)法意識(shí)到自己已經(jīng)成為某個(gè)群組的一部分，難以具備對(duì)群體的自我意識(shí)。以大數(shù)據(jù)為基礎(chǔ)創(chuàng)建的健康醫(yī)療數(shù)據(jù)群組，顯然已經(jīng)突破了傳統(tǒng)群體的概念。這是否意味著數(shù)據(jù)群組不應(yīng)當(dāng)被識(shí)別為群體呢？實(shí)際上，數(shù)字化社會(huì)與算法分類的出現(xiàn)影響著我們對(duì)群體的識(shí)別，自動(dòng)化的數(shù)據(jù)分析如機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘，已經(jīng)悄然改變了群體的形成方式。首先，在算法分類中，我們根據(jù)某些預(yù)先設(shè)置的參數(shù)，可以識(shí)別出先前并不明顯的群體。例如，通過(guò)任意選擇某個(gè)或某幾個(gè)參數(shù)，如早上7點(diǎn)跑步、體重70公斤以上，便能在數(shù)據(jù)庫(kù)中準(zhǔn)確識(shí)別出所有看似不相關(guān)、但表現(xiàn)出類似特征的數(shù)據(jù)主體，從而生成數(shù)據(jù)群組。其次，即使沒(méi)有人工預(yù)先設(shè)置任何參數(shù)或數(shù)據(jù)特征，機(jī)器學(xué)習(xí)也能夠從大量非結(jié)構(gòu)化數(shù)據(jù)中自動(dòng)推斷、獲取信息，發(fā)現(xiàn)數(shù)據(jù)之間先前難以察覺(jué)的相互關(guān)系，為個(gè)體識(shí)別與群組形成提供了新的手段。[注]參見(jiàn)Lanah Kammourieh et al., Group Privacy in the Age of Big Data, in Linnet Taylor et al.(eds.), Group Privacy: New Challenges of Data Technologies, Springer, 2017, p.38.這個(gè)過(guò)程是一個(gè)智能化的聚合過(guò)程，不同數(shù)據(jù)點(diǎn)之間的聯(lián)系變得復(fù)雜且難以預(yù)料，群體可以自動(dòng)地形成于龐大的數(shù)據(jù)集之中。這種自動(dòng)化的群組形成方式，使得穩(wěn)固性與自我意識(shí)這兩個(gè)傳統(tǒng)的基本要素在數(shù)據(jù)群組的構(gòu)建中越來(lái)越不重要。鑒于此，大數(shù)據(jù)提供了群體形成的新路徑，也帶動(dòng)我們對(duì)“群體”認(rèn)知的轉(zhuǎn)變。即使缺乏穩(wěn)固性與成員的自我意識(shí)，被動(dòng)形成的數(shù)據(jù)群組也應(yīng)識(shí)別為受法律保護(hù)的群體。

隱私權(quán)與生俱來(lái)的個(gè)體屬性是認(rèn)可群體隱私利益的一大障礙。在隱私權(quán)理論發(fā)展中，逐漸形成六大類代表性定義[注]包括個(gè)人獨(dú)處理論、限制接觸理論、秘密理論、個(gè)人信息控制理論、人格權(quán)理論與親密關(guān)系理論。參見(jiàn)Daniel J. Solove, Conceptualizing Privacy, California Law Review, Vol.90, Issue 4, July 2002, p.1094.，其概念呈現(xiàn)“令人不安的多樣化形式”[注]James Q. Whitman, The Two Western Cultures of Privacy: Dignity Versus Liberty, The Yale Law Journal, Vol.113, Issue 6, 2004, p.1154.，同時(shí)均存在著個(gè)體權(quán)利視角的局限[注]參見(jiàn)Mantelero, Alessandro, Personal Data for Decisional Purposes in the Age of Analytics: From an Individual to A Collective Dimension of Data Protection, Computer Law and Security Review, Vol. 32, Issue 2, 2016, p.245.，似乎并不能為群體性的隱私利益提供正當(dāng)性依據(jù)。學(xué)者Edward Bloustein于1978年首次提出的“群體隱私”概念，曾被認(rèn)為是對(duì)個(gè)體隱私權(quán)的理論突破。然而，這一突破事實(shí)上極為有限，因?yàn)樵谒目蚣苤腥匀灰噪[私的個(gè)人主義理解為基礎(chǔ)，并且在討論中將群體又還原為個(gè)人。他將群體隱私定義為“一種人們?cè)趯で笈c他人聯(lián)系時(shí)的隱私形式。群體隱私是個(gè)人與群體中其他人發(fā)生聯(lián)系的屬性，而不是群體本身的屬性?！盵注]Edward J. Bloustein, Individual and Group Privacy, New Brunswick: Transaction Books, 1978, p.124.核心在于，個(gè)人不僅在單獨(dú)行事時(shí)需要受到隱私保護(hù)，在群體情景下行事時(shí)同樣應(yīng)得到隱私保護(hù)。Bloustein同時(shí)明確指出自己是拒絕整體論的個(gè)人主義者，由此直接駁斥了群體以群體名義擁有隱私利益的觀念。鑒于此，Bloustein的群體隱私理論，仍然沒(méi)有擺脫對(duì)隱私權(quán)個(gè)體屬性的默認(rèn)，只是將群體隱私作為個(gè)人隱私概念的附屬，并無(wú)獨(dú)立、可靠的理論基礎(chǔ)。

現(xiàn)有的理論障礙并非意味著群體隱私的概念行不通。首先，相對(duì)于物理性隱私(physical privacy)，我們?cè)诖髷?shù)據(jù)背景下討論的隱私屬于信息性隱私(informational privacy)。兩者具有明顯的差異，物理性隱私具有清晰的邊界性與可及性，以身體、住所、私人物理空間為依托，意味著物理性隱私利益一般以個(gè)體形式存在。而信息性隱私，體現(xiàn)的是在對(duì)信息進(jìn)行數(shù)字化或其他形式的收集、儲(chǔ)存、流通、分享中產(chǎn)生的隱私期待[注]參見(jiàn)Terence Craig, Mary E. Ludloff, Privacy and Big Data: The Players, Regulators, and Stakeholders, Sebastopol: O’Reilly Media, 2011, p.14.，信息本身所具有的模糊性、公共性、共享性，在個(gè)體性的權(quán)利表達(dá)之外為群體性隱私利益的認(rèn)同留下余地。其次，現(xiàn)有的隱私理論并非完全不與群體隱私利益的設(shè)想相容。當(dāng)我們將隱私作為一種“身份構(gòu)成”來(lái)描述[注]參見(jiàn)Luciano Floridi, The Informational Nature of Personal Identity, Minds and Machines, Vol.21, Issue 4, 2011.，將隱私與身份信息的完整性聯(lián)系起來(lái)，即能夠作為群體隱私可行的理論基礎(chǔ)。在這種路徑下，身份由描述個(gè)體或者群體的信息所構(gòu)成，保護(hù)隱私即是尊重“信息主體不被以不知情或無(wú)意的方式改變自己身份的權(quán)利”[注]Luciano Floridi, Group Privacy: A Defence and an Interpretation, in Linnet Taylor et al.(eds.), Group Privacy: New Challenges of Data Technologies, Springer, 2017, p.94.。群體隱私的構(gòu)想，即旨在保護(hù)群體身份的完整性，揭示了群體身份的共享對(duì)隱私的影響。這與完整論述信息隱私的Alan F. Westin觀念一致，在他的定義中，群體也是信息隱私的主體。[注]Westin對(duì)信息隱私權(quán)的定義是“個(gè)人、群體或機(jī)構(gòu)自主地決定何時(shí)、如何以及在何種程度上向他人傳達(dá)自身信息的權(quán)利”。Alan F. Westin, Privacy and Freedom, New York: Atheneum, 1967, p.7.由此，算法分類構(gòu)建的數(shù)據(jù)群組擁有自身隱私利益的構(gòu)想并不存在理論障礙，可以以控制群組身份的權(quán)利為理論基礎(chǔ)予以承認(rèn)，通過(guò)關(guān)注群體身份的完整性，以確保隱私得到全面保護(hù)，而不受數(shù)據(jù)分析、處理的影響。

四、健康醫(yī)療大數(shù)據(jù)群體維度下的隱私保護(hù)

當(dāng)我們將隱私權(quán)從個(gè)人主義轉(zhuǎn)移至群體層面的考察，首先意味著對(duì)其私人屬性的弱化，尤其是當(dāng)我們考慮到個(gè)人隱私與公共健康利益的平衡關(guān)系時(shí)，似乎要求個(gè)體對(duì)自身隱私權(quán)作出讓渡，并且加重了對(duì)健康醫(yī)療數(shù)據(jù)的共享義務(wù)。恰如生命倫理學(xué)家Art Caplan所言，為了潛在的公共利益，“現(xiàn)在是我們勉強(qiáng)地告別健康數(shù)據(jù)隱私的時(shí)候了”[注]Art Caplan, Why Privacy Must Die, http://thehealthcareblog.com/blog/2016/12/19/goodbye-privacy-we-hardly-knew-ye/, 最后訪問(wèn)日期2018年7月4日。。個(gè)體權(quán)利與公共利益的平衡，證明了數(shù)據(jù)共享義務(wù)的合理性，但前述論斷似乎過(guò)于悲觀。為了公共健康利益的實(shí)現(xiàn)而全然犧牲個(gè)體隱私權(quán)利，這并非我們討論的終點(diǎn)。倘若僅出于對(duì)公共健康目標(biāo)的促進(jìn)，對(duì)所有的健康醫(yī)療數(shù)據(jù)作出強(qiáng)制性共享的要求似乎更為直接和有效。這種辦法顯然相當(dāng)極端，并充滿了法律與現(xiàn)實(shí)的復(fù)雜性，極易遭致道德反感與社會(huì)性恐慌。因此，除非在極其特殊情況下，如為追蹤流行病等，強(qiáng)制性的健康醫(yī)療數(shù)據(jù)共享永遠(yuǎn)不應(yīng)當(dāng)成為一般性的解決方案。我們努力的方向應(yīng)當(dāng)是在分散的個(gè)體控制與健康數(shù)據(jù)的強(qiáng)制性共享之間找到折中選擇。如前所述，隱私利益群體維度的考察涉及三個(gè)方面的補(bǔ)充，由于前兩者均涉及個(gè)體隱私權(quán)的實(shí)現(xiàn)問(wèn)題，在此將其合并論述，即從個(gè)體隱私權(quán)與群體隱私利益兩個(gè)層面展開(kāi)：一是改變個(gè)體隱私權(quán)的實(shí)現(xiàn)方式，將其放在群體語(yǔ)境下去完成；二是認(rèn)可與保護(hù)其中蘊(yùn)含的群體隱私利益。

(一)個(gè)人隱私權(quán)在群體語(yǔ)境中的實(shí)現(xiàn)方式

將健康醫(yī)療數(shù)據(jù)包含的個(gè)體隱私權(quán)放在群體語(yǔ)境下考察，首先需要個(gè)體適當(dāng)?shù)亟档碗[私期待。大數(shù)據(jù)在健康醫(yī)療領(lǐng)域帶來(lái)的個(gè)人隱私威脅，比人們普遍所認(rèn)為的通常更為有限，有時(shí)候?qū)】敌畔⒌念A(yù)測(cè)與推理甚至根本不涉及隱私。如文章開(kāi)頭所舉關(guān)于研究預(yù)測(cè)某類人群患病概率的例子，表明大數(shù)據(jù)的分析預(yù)測(cè)通常不會(huì)揭示關(guān)于個(gè)人的隱私信息，因?yàn)閷?duì)單一的個(gè)體而言，這些看似包含著自身健康信息的概率預(yù)測(cè)實(shí)際上是毫無(wú)意義的?；诖?，個(gè)人隱私很多時(shí)候并不會(huì)受到健康醫(yī)療數(shù)據(jù)的大規(guī)模分析預(yù)測(cè)所生成大量概率信息的影響。另一方面，機(jī)器學(xué)習(xí)與數(shù)據(jù)挖掘技術(shù)，使研究人員在不直接掌握個(gè)體及其健康數(shù)據(jù)的情況下，也能夠從外部的公共數(shù)據(jù)推斷出個(gè)體原本期望保守秘密的醫(yī)學(xué)事實(shí)。而關(guān)于“推斷是否侵犯隱私”的問(wèn)題，聯(lián)邦最高法院Kyllo v. United States案[注]Kyllo v. United States, 533 U.S. 27 (2001).1992年，一名聯(lián)邦探員懷疑Danny Kyllo在家中種植大麻，于是將熱成像儀固定在Kyllo房屋的后街，探測(cè)房屋的熱輻射。熱成像結(jié)果顯示車庫(kù)屋頂與房間側(cè)墻比房屋的其他部分溫度都高，而且比其他相鄰的房屋溫度高許多。聯(lián)邦探員據(jù)此確信Kyllo在家中使用鹵化燈種植大麻，于是他申請(qǐng)并獲得了搜查令。在隨后的搜查中發(fā)現(xiàn)在Kyllo屋內(nèi)的確生長(zhǎng)有近百株大麻。Kyllo因此被起訴。Kyllo申請(qǐng)要求排除非法證據(jù)，而這一申請(qǐng)被法院駁回。提供了一個(gè)很好的類比。該案中，盡管九位大法官在熱成像技術(shù)性質(zhì)的理解上存在分歧，但都認(rèn)為推理不是搜查，并不違反隱私的合理期待。這種從外圍的公共健康數(shù)據(jù)推斷出個(gè)體健康信息的行為與之極為相似，區(qū)別在于物理性的房屋邊界在這里變?yōu)槌橄蟮男畔⑦吔纾又畔⒈旧淼哪：?，更不宜視為?duì)個(gè)人隱私權(quán)的侵犯。

另一個(gè)重要方面是，轉(zhuǎn)變針對(duì)健康醫(yī)療數(shù)據(jù)的個(gè)體同意與持續(xù)控制的理念。個(gè)體同意不應(yīng)當(dāng)再作為健康醫(yī)療數(shù)據(jù)收集與使用的前提。就個(gè)人數(shù)據(jù)處理而言，同意本就缺乏必要性與真實(shí)性。[注]參見(jiàn)任龍龍：《論同意不是個(gè)人信息處理的正當(dāng)性基礎(chǔ)》，載《政治與法律》2016年第1期。個(gè)體同意與持續(xù)控制模式僅僅是收集與使用信息的合法性基礎(chǔ)中一種代價(jià)頗高的選擇。在“隱私的合理期待標(biāo)準(zhǔn)”下，個(gè)體隱私權(quán)是否受到侵犯也并不取決于個(gè)人數(shù)據(jù)是否被發(fā)現(xiàn)，而取決于如何被發(fā)現(xiàn)，使用是否合法。[注]參見(jiàn)Jeffrey M. Skopek, Big Data’s Epistemology and Its Implications for Precision Medicine and Privacy, in I. Cohen et al.(eds.), Big Data, Health Law and Bioethics, Cambridge: Cambridge University Press, 2018, p.39.我們應(yīng)當(dāng)建立原則上可不經(jīng)個(gè)體同意、直接允許收集、使用的規(guī)則，轉(zhuǎn)而將重心放在監(jiān)管、規(guī)制如何合理使用這些健康醫(yī)療數(shù)據(jù)之上?？上攵?，這一轉(zhuǎn)變會(huì)遇有相當(dāng)大的障礙。因?yàn)榻】滇t(yī)療數(shù)據(jù)相對(duì)于一般數(shù)據(jù)較為特殊，在多數(shù)研究中都將其作為隱私敏感度更高的數(shù)據(jù)類型。但基于前述分析，健康醫(yī)療數(shù)據(jù)利用帶來(lái)的個(gè)人隱私威脅事實(shí)上并不如人們所想象的嚴(yán)重。公眾對(duì)個(gè)人健康數(shù)據(jù)強(qiáng)烈的控制欲望，主要源于其對(duì)數(shù)據(jù)訪問(wèn)、使用及隱私規(guī)則的不知情或者充滿疑慮。破除這種不信任的關(guān)鍵即在于，盡可能將整個(gè)利用過(guò)程透明化，使個(gè)體充分知曉健康數(shù)據(jù)的利用方式與去向，以拓寬知情與參與的方式弱化同意與控制。同時(shí)，可以借鑒美國(guó)學(xué)者提出的自律模式，為數(shù)據(jù)共同體提供參與各行業(yè)隱私政策制定的平臺(tái)以減輕疑慮與不安。在這個(gè)過(guò)程中，個(gè)體對(duì)數(shù)據(jù)收集、利用的同意權(quán)，將轉(zhuǎn)化為進(jìn)入或者不進(jìn)入特定的數(shù)據(jù)共同體、并參與集體決策過(guò)程的權(quán)利。[注]參見(jiàn)Barbara J. Evans, Power to the People: Data Citizens in the Age of Precision Medicine, Vanderbilt Journal of Entertainment and Technology Law, Vol.19, Issue 2, 2017, p.263.這與個(gè)體細(xì)密地針對(duì)每一項(xiàng)健康數(shù)據(jù)作出是否同意使用的過(guò)程相比將更有效率，也更有利于健康醫(yī)療數(shù)據(jù)資源價(jià)值的充分實(shí)現(xiàn)。

(二)對(duì)群體隱私利益的認(rèn)可

承認(rèn)群體隱私利益，需要對(duì)可識(shí)別信息重新進(jìn)行解釋。雖然個(gè)人可識(shí)別信息對(duì)于傳統(tǒng)的數(shù)據(jù)處理活動(dòng)仍然有用，但在健康醫(yī)療大數(shù)據(jù)時(shí)代，我們應(yīng)重點(diǎn)關(guān)注關(guān)于類別或群組的信息。這意味著我們需要從對(duì)個(gè)體可識(shí)別健康信息的關(guān)注，轉(zhuǎn)移至更廣泛、包容的統(tǒng)計(jì)學(xué)意義上的可識(shí)別健康信息，比如某一家族、某一社群，甚至某一國(guó)家整體的基因特質(zhì)或患病概率等。如前所述，大數(shù)據(jù)分析使得個(gè)體很多時(shí)候不再是中心。因?yàn)槲覀冴P(guān)注的不再是關(guān)于某個(gè)特定個(gè)體或一小群人的數(shù)據(jù)，而是大型和不確定的群體性數(shù)據(jù)。由此，某些收集、使用群體性健康醫(yī)療數(shù)據(jù)的做法，雖然不涉及個(gè)體隱私權(quán)的侵犯，但可能是違反群體隱私利益的行為。一個(gè)典型的例子是，從上世紀(jì)90年代中期開(kāi)始，哈佛大學(xué)公共衛(wèi)生學(xué)院、千禧制藥公司等一些機(jī)構(gòu)在我國(guó)安徽省偏遠(yuǎn)農(nóng)村地區(qū)開(kāi)展針對(duì)哮喘病、慢性阻礙性肺病的基因研究項(xiàng)目，該項(xiàng)目在當(dāng)?shù)剡M(jìn)行了大規(guī)模的血液、基因樣本篩選、采集。[注]參見(jiàn)Margaret Sleeboom, The Harvard Case of Xu Xiping: Exploitation of the People, Scientific Advance, Or Genetic Theft, New Genetics and Society, Vol. 24, No. 1, April 2005, p.59-62；褚程駿、劉俊：《人類基因資源提取的跨國(guó)保護(hù)——基于哈佛大學(xué)在安徽的基因研究項(xiàng)目的個(gè)案分析》，載《法學(xué)》2002年第11期。這些獨(dú)一無(wú)二的基因數(shù)據(jù)成為制藥公司無(wú)價(jià)的資源，顯然也與社群隱私利益息息相關(guān)，甚至涉及國(guó)家層面的隱私利益。雖然這一事件引發(fā)大量關(guān)于生命倫理與國(guó)家基因安全的討論，但由于群體隱私利益處于尚未被重視的灰色地帶，難以受到有效的保護(hù)。關(guān)注統(tǒng)計(jì)學(xué)意義上可識(shí)別信息的嘗試或許是一個(gè)好的開(kāi)始。

在群體隱私利益框架的設(shè)想下，健康醫(yī)療數(shù)據(jù)群組中的成員作為整體，對(duì)該群組的健康數(shù)據(jù)以及以該群組名義進(jìn)行的活動(dòng)享有共同的利益。這有一些類似于消費(fèi)者協(xié)會(huì)對(duì)侵害眾多消費(fèi)者共同合法權(quán)益的行為、環(huán)境保護(hù)組織針對(duì)污染環(huán)境侵害共同利益的行為提起公益訴訟的權(quán)利。區(qū)別在于，健康醫(yī)療領(lǐng)域的群體隱私侵犯，往往比消費(fèi)者權(quán)益損害或環(huán)境損害更加微妙、難以追溯，而這不能否定群體隱私利益概念在健康醫(yī)療數(shù)據(jù)利用與保護(hù)中的巨大潛力。

另外，這里之所以強(qiáng)調(diào)群體隱私利益，而非群體隱私權(quán)，是考慮到群體隱私的概念或許尚未成熟到作為一種法律權(quán)利來(lái)對(duì)待，暫時(shí)還需要一個(gè)認(rèn)識(shí)期與適應(yīng)期。同時(shí)，也是為了減弱新權(quán)利的產(chǎn)生對(duì)現(xiàn)有權(quán)利的沖擊。群體隱私利益有獨(dú)立的價(jià)值，旨在保護(hù)群體身份的完整性，理論上不可還原為個(gè)人隱私權(quán)。而群體隱私權(quán)的提法，意味著將群體作為與個(gè)人完全平行的權(quán)利主體，不可避免會(huì)與現(xiàn)有的個(gè)人隱私權(quán)產(chǎn)生沖突。因此，在充分認(rèn)識(shí)到群體擁有足夠重要的隱私利益并上升到群體隱私權(quán)之前，宜以正式認(rèn)可群體隱私利益的方式作為過(guò)渡。

結(jié)語(yǔ)

法學(xué)研究沒(méi)有一成不變的范式。隨著社會(huì)現(xiàn)實(shí)的變遷，傳統(tǒng)的法律概念隨時(shí)可能生發(fā)出新的屬性。隱私權(quán)能夠?yàn)閭€(gè)體提供保護(hù)，但是在健康醫(yī)療數(shù)據(jù)資源價(jià)值日益多元、隱私利益互相依存、并產(chǎn)生群體樣態(tài)的大數(shù)據(jù)時(shí)代，僅將其理解為個(gè)體性的權(quán)利、單純給予個(gè)人主義的保護(hù)是不現(xiàn)實(shí)的。公共健康利益價(jià)值追求的實(shí)現(xiàn)，有賴于健康醫(yī)療數(shù)據(jù)資源的有效整合與利用，這是不能采取個(gè)人主義保護(hù)觀念的重要理由。另一個(gè)易被忽視的現(xiàn)實(shí)是，個(gè)體分散的自主決策已經(jīng)不再能夠?yàn)榻】禂?shù)據(jù)隱私利益提供充分保護(hù)，集體力量反而變得更為有效。因此，個(gè)人主義向群體維度的轉(zhuǎn)化也許會(huì)在某個(gè)時(shí)點(diǎn)變成自發(fā)的行動(dòng)。這也啟發(fā)我們，需要在法律與政策的激勵(lì)機(jī)制上作出轉(zhuǎn)變，公共健康利益在價(jià)值權(quán)衡中并不總是唯一的考慮因素，在“隱私敏感”的時(shí)代，自利性價(jià)值的追求或許是說(shuō)服人們放棄對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)的絕對(duì)性控制、走出囚徒困境更加有力的理由。因?yàn)?，沒(méi)有人是大數(shù)據(jù)時(shí)代的孤島。