楊朝暉

大數據時代醫(yī)療健康產業(yè)蓬勃發(fā)展，“互聯網+醫(yī)療”健康支撐體系的構建促進了全民健康信息共享應用，個人健康信息也被賦予了增進社會整體福利的公共屬性。個人健康信息經過共享與挖掘，有望提升免疫規(guī)劃、網絡直報管理力、風險預警響應、衛(wèi)生保健服務等公共衛(wèi)生服務的質量。但具體至公共衛(wèi)生領域，我國現行適用于個人健康信息處理監(jiān)管的法律規(guī)制有待進一步完善。本文擬通過分析域外公共衛(wèi)生領域個人健康信息保護相關法制建設情況，為我國相關法律規(guī)制后續(xù)完善提供借鑒。

1 我國公共衛(wèi)生領域個人健康信息保護法律問題

《民法典》第一千零三十八條規(guī)定，信息處理者處理經過加工無法識別特定個人且不能復原的個人信息，無需獲得信息主體的同意。此外，《民法典》第一千零三十六條規(guī)定維護公共利益屬于個人信息合理使用情形，以充分發(fā)揮個人信息的社會治理價值，其中，合理使用情形包括合理處理自然人自行公開的或者其他已經合法公開的信息。上述條款對未獲得信息主體同意的個人健康信息處理條件作了原則性規(guī)定，一是允許維護公共利益而處理個人健康信息，二是出于研究或商業(yè)目的對個人健康信息去標識化處理后再進行利用或合理處理個人已公開的信息?！睹穹ǖ洹窞楹罄m(xù)法律法規(guī)的制定確定了立法方向，但具體至公共衛(wèi)生領域，后續(xù)法律法規(guī)亟需對以下方面予以完善。

1.1 未在法律層面界定公共衛(wèi)生概念及范圍

公共利益在我國立法中是一個空泛的概念，缺乏實操性。《民法典》以及2021年發(fā)布的《個人信息保護法》并沒有對“公共利益”的具體定義或定義方法做出明確的規(guī)定。一些法律中相關法條對公共利益界定做列舉性說明，如《信托法》第六十條、《公共事業(yè)捐贈法》第三條、《土地管理法》第四十五條，將“醫(yī)療衛(wèi)生事業(yè)”“衛(wèi)生事業(yè)”列舉為公共利益范圍之一，而衛(wèi)生事業(yè)涵括了公共衛(wèi)生范圍?！秱魅静》乐畏ā返谑l和《突發(fā)公共衛(wèi)生事件應急條例》第十一條賦予了有關部門和機構出于疾病防控目的而收集個人信息的權利，條款中個人信息合理使用目的僅限于疾病防控。上述法律法規(guī)并沒有明確界定何為公共利益與公共衛(wèi)生，以及公共利益除了疾病防控外，還包括的公共衛(wèi)生具體范圍。我國相關立法既沒有從法律層面界定公共衛(wèi)生概念及范圍，也沒有建立維護公共利益處理個人健康信息而豁免信息主體同意可約束、可訪問和可評估的機制，導致任意以“公共利益”為借口未經信息主體同意的個人健康信息處理缺乏監(jiān)管，給個人健康信息隱私和安全保護帶來嚴峻挑戰(zhàn)。立法的空缺導致相關法律實踐中執(zhí)法機關和司法機關無章可循以及過于廣泛的自由裁量權。

1.2 個人健康信息二次處理告知義務履行實現難度大

《國家健康醫(yī)療大數據標準、安全和服務管理辦法》(以下簡稱《辦法》)第二條明確規(guī)定，對我國境內所產生的健康醫(yī)療數據進行管理和開發(fā)利用的基礎是保障公民知情權，《辦法》適用于涉及健康醫(yī)療大數據管理的所有機構和個人[1]?！秱€人信息保護法》對告知事項采取“一般規(guī)定+特殊規(guī)定”的立法模式，第十七條規(guī)定收集個人健康信息的處理者應履行信息處理前告知義務；第二十三條規(guī)定個人信息處理者向其他個人信息處理者提供處理的個人信息，應當向個人告知接受者名稱、聯系方式、處理目的、處理方式和個人信息種類，并取得個人單獨同意；第三十條規(guī)定了處理敏感個人信息前應告知事項。根據《個人信息保護法》上述規(guī)定，公共衛(wèi)生領域個人健康信息二次處理，由信息收集的信息處理者履行對信息主體的告知義務。公共衛(wèi)生活動和公共衛(wèi)生領域研究的對象均為人群，公共衛(wèi)生領域處理個人健康信息往往會涉及使用大數據分析和挖掘技術對大量個人健康信息進行二次處理，大數據分析技術通過分析信息以確定相關性，從而生成預測；大數據挖掘技術是從數據集中發(fā)現不確定、未知和潛在價值的隱藏信息的過程[2]。應用大數據技術的信息處理并不局限于特定目的，往往隨著場景、情勢等因素的變化而調整新的目的。在這種背景下，信息處理者在收集、使用個人健康信息之前給出未來個人健康信息公共衛(wèi)生領域二次處理的明確目的說明將有難度。根據《個人信息保護法》第二十三條規(guī)定，由于技術創(chuàng)新，收集信息的信息處理者未能在收集信息之前對未來信息二次處理給出明確的目的說明而導致個人信息用于約定目的之外目的的，接收信息的信息處理者需再次履行告知義務。信息處理者應用大數據技術二次處理個人健康信息，每次處理目的變更都需要履行對信息主體告知，法律的合規(guī)成本較高，操作層面實現難度大。

1.3 公共衛(wèi)生領域研究監(jiān)管規(guī)制不明確

公共衛(wèi)生活動和公共衛(wèi)生領域研究往往會使用相同數據集，公共衛(wèi)生活動可能隨后演變?yōu)橄嚓P研究，如以確定疾病暴發(fā)原因為目的的調查，后又涵括了評估新藥療效的研究。目前，我國立法并不明確上述公共衛(wèi)生領域研究是否參照涉及人類參與者研究的法律監(jiān)管，即要求信息主體明確同意或者個人健康信息去標識處理，還是屬于為維護公共利益處理個人健康信息的可豁免參與者同意情形。監(jiān)管規(guī)則不明確導致公共衛(wèi)生活動收集的個人健康信息與二次使用于公共衛(wèi)生領域研究的個人健康信息之間界限不清，公共衛(wèi)生領域研究人員可能不受限制訪問公共衛(wèi)生活動收集的個人健康信息，而不是只能訪問其研究所需最低必要的個人健康信息；而研究參與者由于不知道自身的健康信息正在被用于研究目的，將不能行使知情同意和退出研究等合法權利。

2 域外相關法律規(guī)定

2.1 法律層面公共衛(wèi)生的界定

美國《健康保險攜帶和責任法案》(Health Insurance Portability and Accountability Act， HIPAA)是個人健康信息隱私和安全保護的專門法律。HIPAA涉及個人健康信息處理的部分是主題Ⅱ中的隱私規(guī)則[3]。隱私規(guī)則規(guī)定允許為公共衛(wèi)生活動及衛(wèi)生監(jiān)督活動等12個國家優(yōu)先的公共利益，在未經個人授權或許可的情況下使用和披露受保護的健康信息(protected health information， PHI)。HIPAA隱私規(guī)則定義公共衛(wèi)生實踐和研究包括使用PHI來確定、監(jiān)測和應對疾病、死亡以及人口中的殘疾的公共衛(wèi)生活動(如項目運營、公共衛(wèi)生監(jiān)測、項目評估、恐怖主義防范、疫情調查)以及直接衛(wèi)生服務和公共衛(wèi)生研究[4]。

歐盟《一般數據保護條例》(General Data Protection Regulation， GDPR)被稱為史上最嚴格的數據保護立法。公共利益屬于GDPR在第六條規(guī)定的合法性基礎的六種情況之一。GDPR鑒于條款第五十四條明確公共衛(wèi)生構成重大公共利益，公共衛(wèi)生應當按照歐洲議會和歐盟理事會的條例ECNo.1338/2008的定義來解釋，即所有與健康有關的因素、健康狀況，包括疾病和殘疾、對健康狀況有影響的決定性因素、健康護理需要、健康護理資源分配、健康護理的提供和普遍接受途徑、健康護理的花費和費用支出及致死的原因。GDPR規(guī)定在公共衛(wèi)生領域未取得數據主體的同意進行健康數據等特別種類的數據處理可能是必要的。

2.2 個人信息二次處理告知事項

GDPR第十三條、第十四條分別區(qū)分從數據主體處收集個人數據應提供的信息和并非從數據主體處獲取個人數據的情況下應提供的信息。GDPR第十四條規(guī)定當數據控制者并非從數據主體處獲取個人數據的情況下應向數據主體提供兩類信息：第一類是在數據控制者收集數據時應當提供的信息，包括：控制者身份和詳細聯系方式；數據保護官的詳細聯系方式；處理目的及處理法律依據；相關個人數據種類；個人數據接受方或接受方種類等。第二類是數據控制者已經取得個人數據時應提供的信息，包括：個人數據的儲存期限；數據主體權利；個人數據獲取來源，是否通過公共方式獲取；自動化決策機制等。GDPR規(guī)定當處理出于公共利益，信息提供是不可能或者需要付出不成比例的工作量，或告知義務有可能導致處理目標無法實現或嚴重影響處理目標的實現，GDPR第十四條并非從數據主體處獲取個人數據的情況下應提供的信息相關規(guī)定不適用，但控制者應當采取適當措施(包括公開信息措施)保護數據主體權利和自由以及合法利益。

2.3 公共衛(wèi)生領域研究監(jiān)管

HIPAA隱私規(guī)則定義研究旨在開發(fā)或促進可概括的知識。研究的目的是檢驗假設，得出結論，從而發(fā)展或貢獻可歸納的知識。HIPAA隱私規(guī)則指出大多數公共衛(wèi)生活動，如公共衛(wèi)生監(jiān)測、疾病預防和控制項目是基于科學證據和數據收集，或類似于研究中使用的分析方法開展，但其設計目的不是為了提供可概括的知識，而是通過疾病監(jiān)測、預防或控制等活動來保護人口的健康。一些最初公共衛(wèi)生活動可能隨后演變?yōu)檠芯?，在這種情況下最初根據隱私規(guī)則的公共衛(wèi)生相關條款進行披露，當公共衛(wèi)生活動成為正在進行的研究時，應適用研究相關條款獲取信息[4]。此外，當活動既是研究活動又是公共衛(wèi)生活動，如正在進行的一項旨在監(jiān)測人群健康狀況的調查，其信息也用于研究目的分析，可以適用研究或公共衛(wèi)生相關條款披露PHI,具體視情況而定,信息處理者不需要遵守這兩套規(guī)定。

3 完善建議

3.1 確定公共衛(wèi)生定義方式和內容定義角度

目前，我國一些法律對公共利益作了列舉說明，將衛(wèi)生事業(yè)列舉為公共利益之一，衛(wèi)生事業(yè)是醫(yī)療、衛(wèi)生、防疫、保健事業(yè)的總稱[5]，并不是所有衛(wèi)生事業(yè)中的個人健康信息處理均需要豁免信息主體同意，如醫(yī)療機構以診療目的處理個人健康信息需個人的知情同意。比較法上，HIPAA及GDPR均明確規(guī)定公共衛(wèi)生構成公共利益。建議用公共衛(wèi)生取代衛(wèi)生事業(yè)作為公共利益豁免信息主體同意的列舉情況之一。公共衛(wèi)生與醫(yī)療、保健等服務有本質區(qū)別，公共衛(wèi)生關注整體人群的健康，醫(yī)療、保健關注于個體病人的健康。公共衛(wèi)生是旨在為公眾帶來健康和福利的衛(wèi)生事業(yè)[6]，其具有非競爭性、非排他性等公共產品的屬性，體現了設置個人信息處理合理使用情形以充分發(fā)揮個人信息的社會治理價值的初衷。此外，明確公共衛(wèi)生的概念。近年來，隨著社會不斷進步，特別是人類疾病譜系變化、醫(yī)學界運用新的科學診療方法，以及生物醫(yī)學模式向生物心理社會醫(yī)學模式轉變，使得公共衛(wèi)生所涉及的范圍不斷擴大，如健康教育和臨終關懷、打擊和阻止跨越國境的煙草走私與販毒行為、運動員濫用興奮劑等都應屬于公共衛(wèi)生范疇[7]。相對于HIPAA采用列舉法定義公共衛(wèi)生活動，GDPR采用概括、列舉并用的方式定義公共衛(wèi)生，使其概念更具彈性。內容上，GDPR總體概括了公共衛(wèi)生即所有與健康有關的因素、健康狀況，確定了公共衛(wèi)生的核心是健康，并對其進行了列舉說明，其中對健康狀況有影響的決定性因素包含了預防疾病、改善環(huán)境衛(wèi)生等。建議我國公共衛(wèi)生法律層面定義采用概括、列舉并用的定義方式，使其具備適度彈性，為公共衛(wèi)生的發(fā)展預留空間。在大健康理念的時代背景下，公共衛(wèi)生法律層面內容定義應從更廣義的角度進行，確定公共衛(wèi)生核心是健康，而健康才是其具有終極意義的目標追求，凸顯其公共性和主體人的主體性。

3.2 制定個人健康信息免于告知的具體情形

公共衛(wèi)生是政府主導的公共事業(yè)，關系到所有人利益，任何社會人員都可以均等享受，因此必須由國家公權力機構承擔主導責任。以公共利益處理個人健康信息，合法性的轉向不再以信息主體同意為前提，但這并不代表信息主體一并讓渡了自己的知情權[8]。無論是基于個人同意處理個人信息，還是依據法律、行政法規(guī)的規(guī)定處理個人信息，原則上個人信息處理者都必須履行告知義務[9]。保護個人信息的權利不是一項絕對權利，需要維持信息主體權利與公共利益的平衡。出于公共利益的信息處理過程中，技術的不斷創(chuàng)新可能使告知義務履行付出不成比例的工作量，后續(xù)相關法規(guī)的制定在保障信息主體知情權的基礎上，也應為技術創(chuàng)新和行業(yè)發(fā)展留有空間。這一點在比較法上非常明確，GDPR細化了出于公共利益?zhèn)€人信息二次處理不向信息主體提供有關告知的具體情形?！秱€人信息保護法》第三十五條規(guī)定免除告知義務的情形包括告知將妨礙國家機關履行法定職責，未來我國法律法規(guī)還是有必要對該情形予以細化，制定國家機關維護公共利益而二次處理個人健康信息免于告知的具體情形，如數據挖掘等技術處理的具體目的告知不需窮盡所有的細節(jié)，也可是框架性和方向性的，以免責之過苛。

3.3 區(qū)分個人健康信息處理的監(jiān)管規(guī)制

公共衛(wèi)生領域研究活動缺乏監(jiān)管會導致對個人健康信息不受限制的訪問和共享，不能保障研究參與者知情同意參與研究的基本權利。HIPAA從法律層面清晰區(qū)分公共衛(wèi)生活動和公共衛(wèi)生領域研究并分類予以規(guī)制[10]。建議我國相關法律法規(guī)分類規(guī)制公共衛(wèi)生活動和公共衛(wèi)生領域研究的個人健康信息處理：公共衛(wèi)生活動等出于公共利益的個人健康信息處理的屬合理使用情形，可以豁免信息主體的同意；《個人信息保護法》目的特定原則規(guī)定，個人信息的處理目的發(fā)生變更的，應當重新取得個人同意，根據上述規(guī)定公共衛(wèi)生活動隨后演變?yōu)檠芯炕顒訒r，研究人員應在處理個人健康信息前獲得信息主體明確同意；公共衛(wèi)生活動同時也是研究活動，是否需要信息主體明確同意，HIPAA規(guī)定較為模糊，為相關監(jiān)管機構預留了一定的自由裁量權。建議該情形監(jiān)管以法律文本為基礎，結合具體業(yè)務實踐確定[11]。對公共衛(wèi)生領域研究的監(jiān)管全程需具有高度的透明度和建立相應的問責制[12]，以實現研究人員對知識的追求和研究參與者合法權益之間的平衡。