楊朝暉

(天津醫(yī)學(xué)高等?？茖W(xué)校，天津 300222)

隨著大數(shù)據(jù)技術(shù)的發(fā)展，來自電子健康檔案、生物醫(yī)學(xué)影像和信號、自發(fā)性報告系統(tǒng)、科學(xué)文獻(xiàn)、分子醫(yī)學(xué)、基因組學(xué)等來源的個人健康隱私信息越來越多以電子形式收集存儲并應(yīng)用于醫(yī)學(xué)研究實踐中。這些信息可作為醫(yī)學(xué)研究的寶貴資源，同時其保護(hù)也面臨著新挑戰(zhàn)。醫(yī)學(xué)研究對象健康信息的處理要處理好保護(hù)和利用的關(guān)系，既要保證個人健康隱私信息不被濫用，又要為醫(yī)學(xué)研究保駕護(hù)航。本文選取美國保護(hù)個人健康信息相對比較成熟的《健康保險攜帶與責(zé)任法案》，與我國醫(yī)學(xué)研究對象健康信息處理相關(guān)規(guī)定比較分析，為我國未來出臺相關(guān)法律法規(guī)提出可借鑒建議。

1 研究對象健康信息處理的法律依據(jù)

1.1 美國

美國1996年出臺的《健康保險攜帶與責(zé)任法案》(Health Insurance Portability and Accountability Act ，下文簡稱HIPAA)是該國保護(hù)個人健康隱私信息的主體法律[1]。HIPAA涵蓋機(jī)構(gòu)包括健康計劃、健康照顧清算中心和以電子形式傳輸任何與該規(guī)則所涵蓋交易有關(guān)之健康信息的健康提供者。HIPAA法案涉及研究對象健康信息處理的部分是主題II中的隱私規(guī)則。HIPAA中將受保護(hù)的健康信息(protected health information，下文簡稱PHI)定義為由涵蓋機(jī)構(gòu)或其業(yè)務(wù)伙伴以任何形式或媒介傳輸、維護(hù)的個人可識別健康信息，一般包括個人在醫(yī)療衛(wèi)生活動中的詳細(xì)情況以及個人特征性標(biāo)識符[1]。

1.2 中國

我國尚未出臺《個人信息保護(hù)法》等信息保護(hù)的專門法律法規(guī)，涉及研究對象健康信息處理的法律法規(guī)主要有： 2012年發(fā)布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(下文簡稱《決定》)、2017年施行的《中華人民共和國網(wǎng)絡(luò)安全法》(下文簡稱《網(wǎng)安法》)、2021年施行的《中華人民共和國民法典》(下文簡稱《民法典》)等，相關(guān)法律條款多為原則性的規(guī)定，這種寬泛性規(guī)定也為相關(guān)配套法規(guī)的后續(xù)制定確定了立法方向，預(yù)留了一定空間。

2 研究對象健康信息處理的條件和原則

2.1 美國

HIPAA隱私規(guī)則規(guī)定涵蓋機(jī)構(gòu)不得使用或披露PHI，但以下情況除外：根據(jù)隱私規(guī)則允許或要求；或作為該信息主體的個人(或個人代表)以書面授權(quán)。當(dāng)出于研究目的而獲得授權(quán)時，隱私規(guī)則要求其僅與特定研究相關(guān)。隱私規(guī)則要求使用和披露PHI遵循最低必要原則，比如涵蓋機(jī)構(gòu)不得出于特定目的使用或披露某病人的全部病歷，除非可以明確證明該使用和披露出于合理目的。

特定條件下，涵蓋機(jī)構(gòu)可以不受隱私規(guī)則限制使用和披露去標(biāo)識的PHI。滿足隱私規(guī)則中去標(biāo)識要求有兩種方法:安全港和專家決定[2]。安全港指涵蓋機(jī)構(gòu)可通過刪除PHI的18個標(biāo)識符以去標(biāo)識化，刪除的標(biāo)識符包括：(1)姓名，(2)住址，(3)包括個人直接有關(guān)的日期(包括出生日期/入院日期/死亡日期)，(4)電話號碼，(5)傳真號碼，(6)電子郵件，(7)社會保險號碼，(8)病歷號碼，(9)健康醫(yī)療保險號碼，(10)賬戶號，(11)資格/駕照編號，(12)車輛識別編號及序列號，(13)證書識別信息及序列號碼，(14)URLs，(15)網(wǎng)絡(luò)IP地址，(16)含有指紋和聲音的生物識別信息，(17)面部的正面照片或影像，(18)其它固有的識別碼/特征/符號。

專家決定指涵蓋機(jī)構(gòu)可以從“對一般公認(rèn)的統(tǒng)計和科學(xué)原理方法有適當(dāng)知識和經(jīng)驗以使信息無法單獨識別的人”處獲得證明，以證明通過統(tǒng)計方法去標(biāo)識后的信息單獨或與其他合理可用信息結(jié)合被用來識別信息主體的風(fēng)險很小。

2.2 中國

《決定》第2條確立合法、正當(dāng)、必要為收集、使用個人信息之基本原則，設(shè)定了告知義務(wù)、同意義務(wù)以及合法守約義務(wù)為信息控制主體的三項基本義務(wù)[3]。該條文的主要內(nèi)容被《網(wǎng)安法》第41條和《民法典》第1035條所采納。不同之處在于《民法典》把受保護(hù)的個人信息“收集、使用”行為擴(kuò)展為“處理”，包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等全部個人信息生命周期?！睹穹ǖ洹返?033條規(guī)定除了法律另有規(guī)定或者權(quán)利人明確同意外，任何組織或個人不得處理他人的私密信息。研究對象的診療數(shù)據(jù)、藥物等健康信息屬于私密信息的范疇，《民法典》要求處理上述信息，要獲得權(quán)利人的“明確同意”。綜上所述，在我國針對個人健康信息等私密信息的處理，“合法、正當(dāng)、必要原則”是處理基本原則，并要履行三項具體義務(wù)，在履行同意義務(wù)中，同意的形式要求“明確同意”。

《民法典》第1038條第一款規(guī)定：未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復(fù)原的除外?！毒W(wǎng)安法》第42條也有類似的表述。《信息安全技術(shù) 個人信息去標(biāo)識化指南GB/T37964-2019》定義去標(biāo)識化是通過對個人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程[2]。綜上所述，處理去標(biāo)識化信息符合《民法典》1038條的規(guī)定，可豁免信息主體的同意。

3 研究對象健康信息合理使用情形

3.1 美國

3.1.1 公益活動

隱私規(guī)制規(guī)定涵蓋機(jī)構(gòu)被允許出于公益活動目的，未經(jīng)個人授權(quán)而使用和披露PHI,研究屬于隱私規(guī)則規(guī)定的12種公益活動之一。隱私規(guī)則中“研究”被定義為旨在發(fā)展或促進(jìn)可概括性知識的所有系統(tǒng)研究。隱私規(guī)則允許涵蓋機(jī)構(gòu)出于研究目的未經(jīng)個人授權(quán)而使用和披露PHI，但前提是涵蓋機(jī)構(gòu)符合以下條件之一(1)獲得隱私委員會或機(jī)關(guān)倫理審議委員會批準(zhǔn)的為研究目的更改或放棄個人授權(quán)以使用或披露PHI的證明文件。(2)研究人員表示PHI的使用或披露僅是為了準(zhǔn)備研究協(xié)議或出于類似目的而進(jìn)行的研究準(zhǔn)備，不會從涵蓋機(jī)構(gòu)中刪除任何PHI，并且研究需要獲取PHI。(3)使用或披露死者的PHI來進(jìn)行研究。

3.1.2 有限的數(shù)據(jù)集

僅為研究、公共衛(wèi)生或衛(wèi)生保健業(yè)務(wù)目的，涵蓋機(jī)構(gòu)可以未經(jīng)個人授權(quán)使用或披露有限的數(shù)據(jù)集以進(jìn)行研究，前提是涵蓋機(jī)構(gòu)與接收者簽訂了數(shù)據(jù)使用協(xié)議，接收者承諾在有限的數(shù)據(jù)集使用中為PHI提供特定的保護(hù)措施。有限的數(shù)據(jù)集不包括以下16個類別的個人信息標(biāo)識符：(1)姓名(2)地址(3)電話號碼(4)傳真號碼(5)電子郵件(6)社會保險號碼(7)病歷號碼(8)健康醫(yī)療保險號碼(9)賬號(10)資格/駕照編號(11)車輛識別編號及序列號(12)證書識別信息及序列號(13)URLs(14)網(wǎng)絡(luò)IP地址(15)包括指紋和聲音的生物學(xué)識別信息(16)面部正面照片或影像。由于有限的數(shù)據(jù)集可能包含可識別的個人健康信息，因此其仍然是PHI。

3.2 中國

《民法典》第1036條規(guī)定了維護(hù)公共利益屬于個人信息合理使用情形。但《民法典》第1036條并未對公共利益的范圍予以定義與解釋。目前我國還沒有任何一部法律對“公共利益”的具體定義或定義方法做出明確的規(guī)定[4]。一些法律中相關(guān)法條對公共利益進(jìn)行界定嘗試，比如《信托法》第60條、《公共事業(yè)捐贈法》第3條等法條對公共利益做了一些簡單的類別表述，并未能對公共利益概念做出一個較為完整的外延劃定[4]，“科學(xué)研究”也并不屬于上述法條公共利益類別表述中的任一類別。

《信息安全技術(shù):個人信息安全規(guī)范GB/T35273-2020》(下文簡稱《規(guī)范》)是我國迄今為止保護(hù)個人信息最全面的標(biāo)準(zhǔn)?！兑?guī)范》第5.6條對征得授權(quán)同意的例外規(guī)定：個人信息控制者為學(xué)術(shù)研究機(jī)構(gòu)，出于公共利益開展統(tǒng)計或?qū)W術(shù)研究所必要，且其對外提供學(xué)術(shù)研究或描述的結(jié)果時，對結(jié)果中所包含的個人信息進(jìn)行去標(biāo)識化處理的，個人信息控制者收集、使用個人信息無需征得個人信息主體的授權(quán)同意。但《規(guī)范》屬于部門規(guī)范性文件，尚未上升到法律層面，并且規(guī)范對象是非公共管理機(jī)構(gòu)，內(nèi)容上僅限于技術(shù)標(biāo)準(zhǔn)。

4 中美研究對象健康信息處理相關(guān)規(guī)定比較及建議

綜上所述，我國醫(yī)學(xué)研究人員以研究目的處理個人健康信息的合法路徑有二：一是獲得信息主體的明確同意；二是對個人健康信息去標(biāo)識化處理后再進(jìn)行利用。美國HIPAA法案規(guī)定涵蓋機(jī)構(gòu)以研究目的處理PHI的合法路徑有三：一是需要信息主體或代表以書面授權(quán)；二是使用和披露去除18個標(biāo)識符的PHI；三是以公益活動中的研究為目的，在符合三項條件之一的情況下使用和披露PHI；出于研究、公共衛(wèi)生或衛(wèi)生保健業(yè)務(wù)目的而使用的有限數(shù)據(jù)集。我國和美國相關(guān)法律均以知情同意作為個人健康信息處理原則的合法性的條件，并允許處理去標(biāo)識化信息。但美國HIPAA法案對個人健康信息去標(biāo)識化和合理使用情形作了更詳細(xì)的規(guī)定。結(jié)合我國《民法典》和美國HIPAA相關(guān)條款比較，(見表1)，對我國未來出臺的《個人信息保護(hù)法》等相關(guān)法律法規(guī)或國家標(biāo)準(zhǔn)有關(guān)規(guī)定的制定提出以下建議：

4.1 明確個人健康信息去標(biāo)識化的范圍和方法

在大數(shù)據(jù)環(huán)境中多個去標(biāo)識化的數(shù)據(jù)集互相關(guān)聯(lián)仍有可能重新識別，且個人的隱私風(fēng)險是相互依存的。醫(yī)學(xué)信息的可變性和高維性尤其容易出現(xiàn)識別屬性值組合的情況，屬性值組合很可能會導(dǎo)致個人信息披露[5]。因此需要評估重新識別的風(fēng)險，開發(fā)有效且可靠的去標(biāo)識化技術(shù)，最大程度地降低個人信息隱私披露的風(fēng)險。HIPAA允許涵蓋機(jī)構(gòu)不受隱私規(guī)則限制使用和披露刪除18種標(biāo)識符的PHI，根據(jù)HIPAA隱私規(guī)則標(biāo)準(zhǔn)去標(biāo)識的PHI能夠重新標(biāo)識的概率僅為0.013%[6]。我國法律允許對個人信息去標(biāo)識化處理后再進(jìn)行利用，但對于個人信息去標(biāo)識化沒有提出像HIPAA刪除18種標(biāo)識符類似明確的條件。《民法典》第1034條、《刑法》第253條、《網(wǎng)安法》第76條相關(guān)法條對個人信息定義的同時列舉了個人信息標(biāo)識，但均未明確個人信息標(biāo)識的范圍以及去標(biāo)識化的方法。在人類對象研究中，為了保護(hù)研究對象的個人信息，有必要對信息去標(biāo)識化的范圍和方法進(jìn)行追加討論。

表1 中美研究對象健康信息處理相關(guān)規(guī)定比較

另一方面，如果采用了有效的去標(biāo)識化方法，則取消身份標(biāo)識的健康信息在科學(xué)研究上應(yīng)用又會受到限制，因為其無法鏈接在一起以形成對科學(xué)有價值的具有深度描述性的個人健康記錄，可借鑒HIPAA允許僅以研究、公共衛(wèi)生或衛(wèi)生保健業(yè)務(wù)目的，使用和披露有限的數(shù)據(jù)集的規(guī)定，允許以研究為目的處理有限制去標(biāo)識的研究對象健康信息，但也應(yīng)明確有限制去標(biāo)識化的范圍和方法。

4.2 制定靈活、具體的豁免同意使用制度

醫(yī)學(xué)研究對象健康信息處理要維持社會利益與個人利益之間的張力平衡。權(quán)衡取舍是為了權(quán)衡利弊，降低披露風(fēng)險的方法可能會降低信息的效用。目前許多研究資助機(jī)構(gòu)和政府政策都將開放訪問或數(shù)據(jù)共享指定為研究資助的條件。開放科學(xué)是一些醫(yī)學(xué)研究實踐中的重要目標(biāo)[7]，可以提高研究的可靠性、透明度和社會影響力[8]，同時也加大了研究對象健康隱私信息保護(hù)的壓力。我國相關(guān)法律并沒有以研究為目處理個人健康信息而豁免信息主體同意的例外規(guī)定，HIPAA隱私規(guī)則允許涵蓋機(jī)構(gòu)以研究為目的在特定情況下未經(jīng)個人授權(quán)或許可使用和披露PHI，盡管相關(guān)條款一直是有爭議的，如使用和披露已故者的PHI會帶來倫理問題[9]。國家標(biāo)準(zhǔn)《規(guī)范》第5.6條將統(tǒng)計或?qū)W術(shù)研究歸入公共利益的范圍，將以研究目的處理信息主體信息歸入征得授權(quán)同意的例外規(guī)定中。但相對于HIPAA豁免信息主體的授權(quán)或同意的條款，《規(guī)范》缺乏更具體的規(guī)定，如研究、學(xué)術(shù)研究機(jī)構(gòu)等概念如何界定等。建議從多元主義的角度出發(fā)，合理平衡多方利益[10]，根據(jù)風(fēng)險與場景理論確定研究對象權(quán)利與公共利益之間的哪些折衷是可以接受的以及此類折衷的閾值，制定靈活、具體的豁免同意使用制度，以維護(hù)公共利益與個人隱私信息保護(hù)之間的平衡。

4.3 鼓勵消費者驅(qū)動的數(shù)據(jù)共享模式

HIPAA隱私規(guī)則和我國相關(guān)法律中，研究對象健康信息處理原則的合法性均依賴于研究對象的知情同意。以知情同意原則為合法性基礎(chǔ)的監(jiān)管框架適用于臨床研究和小數(shù)據(jù)研究，其對個人同意的依賴限制了其生成、捕獲罕見事件，例如罕見的遺傳變異或?qū)μ囟ǒ煼ǖ漠惓７磻?yīng)數(shù)據(jù)集的潛力。罕見事件在精密醫(yī)學(xué)等專注于個人而非平均群體特征的研究領(lǐng)域具有重大意義。研究罕見事件通常需要大數(shù)據(jù)集來反映大人口樣本，有時還需要無選擇偏差的數(shù)據(jù)集[11]。在大數(shù)據(jù)科學(xué)的背景下，目前監(jiān)管框架并不能說服研究對象貢獻(xiàn)其信息來開發(fā)21世紀(jì)科學(xué)需要的信息資源[11]。對此，有學(xué)者提出了消費者驅(qū)動的數(shù)據(jù)共享概念，即由個人自治的社區(qū)，通過授權(quán)訪問自身的數(shù)據(jù)來共同為研究收集大規(guī)模數(shù)據(jù)資源，旨在構(gòu)建社區(qū)以擴(kuò)大研究的參與[12]。類似的概念還有美國食品藥品監(jiān)督管理局在醫(yī)療器械安全監(jiān)視系統(tǒng)的報告中描述的“患者為中介的數(shù)據(jù)共享”[12]。消費者驅(qū)動的數(shù)據(jù)共享模式將自下而上地通過成員自己設(shè)定的規(guī)則來管理成員的集體信息資源，而不是由監(jiān)管機(jī)構(gòu)自上而下地強(qiáng)加標(biāo)準(zhǔn)。因為隱私保護(hù)高度依賴于社會文化與道德價值觀的演變,既需要自上而下的立法建立剛性法律保護(hù)框架；也需要自下而上的社會軟法規(guī)范來構(gòu)建多元主體利益協(xié)調(diào)[13]，消費者驅(qū)動的數(shù)據(jù)共享概念模式為推動大數(shù)據(jù)科學(xué)，完善研究對象健康信息處理原則提供了新路徑。