辽宁大学法学院、辽宁知识产权学院研究员
要目
一、个人信息保护的法律适用困境
二、个人信息保护的本质——隐私权保护
三、大数据技术下医疗行为中个人信息保护规则适用的困境
四、大数据技术下医疗行为中个人信息保护的困境解决
我国个人信息保护法采取的规范形式与民法典人格权编中个人信息保护的规范形式是不同的,个人信息保护法采取了“事前同意”式的财产性规范模式,该法提出的个人信息权益概念,从解释论角度,也更像财产权。个人信息保护宗旨应是保护隐私权,个人信息保护法的财产性规范模式将会使医疗服务机构在提供服务时获取信息的成本增加,并且信息使用、处理成本和监管成本也增加。大数据技术应用下,对医疗行为适用的个人信息处理规则中的知情同意规则、匿名化规则、安全保障规则都将面临目的落空的困境。在大数据技术应用下的医疗行为个人信息保护,应当坚持以隐私权保护为目的的结果导向责任性规范模式。对待同意原则的适用应采取开放式的一般性原则,减少医疗机构获取信息的成本,并采取有利公众即是有利本人的原则,减少为促进医疗技术研发进步而信息获取时的阻碍。在信息安全保障注意义务及监管水平上,应当采用实用主义原则,按照平均技术标准来评价。按照数据生产、数据存储、数据管理、数据流转不同阶段采用符合该阶段本质的数据信息监管措施和监管规范。
个人信息本质判断的困境——权利还是权利客体
1.“个人信息保护”语义分析
“个人信息保护”称谓的语义逻辑可理解为:个人信息被看作是一种通过法律认可并予以保护的利益。“保护”意味着法律从各种利益诉求中选出认可的利益,这也是利益法学的观点,“利益是生活事实的组成部分,但把握所有生活事实是不可能的,法学只会强调对其目的很重要的特征,即本质利益”。因此,“个人信息保护法”的称谓意味着法律明确表明要“保护”的是“个人信息”利益。但“保护”方式不同决定了“保护法律”性质的不同,进而决定了法律调整的利益关系性质的不同。无论是个人信息保护法还是民法典,法条中反映的保护方式都是信息主体或信息利益主体平等关系上的保护方式,因此是一种私法性质的保护法律。所以,本文所探讨的个人信息法律关系都是在民法语境下探讨的利益关系。
2.个人信息是客观实在物而非社会关系
权利与权利客体是不同的,权利是抽象构造物,如物权、债权、知识产权,权利客体是体现社会关系的客观现实存在物,如物权客体的物、著作权的作品。“个人信息”从语义上并不是一个抽象物,而是一个实在物。个人信息是一种客观存在,不是某种特定社会关系的抽象概念,因为“个人信息”并不能直接表达出“法律上可能或可为”的社会关系内容。任何一个个体都有个人信息,信息本身就是对客观事物的反映,个人信息能反映社会关系但并不是社会关系,个人信息保护并不是保护个人信息而是保护个人信息所反映的权益关系。所以个人信息具有权利客体属性,不能被视为一个独立的民事权利。
3.个人信息保护法的法律适用困境
如果个人信息是权利客体,如前述,就应当围绕个人信息建立权利义务关系,个人信息就应当能够产生一个独立的民事权利或权益。但整个民法典所列举的权利类型中并无专门以个人信息为客体的,民法典人格权编中的个人信息规范并非如著作权法中“作品”一样的客体界定,而是一种人格权客体表现形式的界定。所以,从法律解释的角度,目前我国民法体系中反映的个人信息本质只是一种权利客体的表现形式。我国个人信息保护法第一条明确提出了“个人信息权益”概念,该条采用与民法典第一条相同用语,即规定“根据宪法,制定本法”,意思是个人信息保护法的位阶是依据宪法制定的层次。这说明立法者将个人信息保护法置于同民法典同样的地位,该法所表达的“个人信息权益”同民法典中“民事权利”具有同样的性质,都是基于宪法的基本权利。因此,按照个人信息保护法,“个人信息”应属于一种独立的民事权益。显然,这同“个人信息”这一事物的“客观实在物”本质是相矛盾的。
将“个人信息”作为一种基本民事权益对待,将造成法律适用上的混乱。因为,个人信息权益将被视为独立于人格权、物权、知识产权等的一种利益关系,在没有反映公认的法律保护利益价值如人格利益、所有权利益、知识产权利益的情况下,每个独立的个人信息将因本身的权益属性而产生排他性和支配性。单纯的“个人信息权益”若独立于人格权无疑是一种财产权性质的权益,而体现人格利益关系的个人信息保护会发生两种不同性质规范的竞合,进而发生法效果的相互排斥,这是法秩序所不允许的。人格利益应当优先于财产利益,但财产权利益保护方式因排他性和支配性的行为导向规范形式而具有高效性,因此会造成非人格利益个人信息保护优于人格利益信息保护。这显然不是立法意图。任何权利代表利益的正当性都是经过人类社会长期实践形成的共识,无论采用何种权利理论,任何私权都是为了社会生活秩序形成的公众利益与私人利益平衡妥协的结果。个人信息自古有之,并且无穷无尽,几乎与水和空气一样,如果不能表达除其他受法律保护的利益之外可独立存在的利益,将其作为独立民事权益是缺乏正当性的。
个人信息保护规范适用困境——财产性规范还是责任性规范
1.结果导向与行为导向
2.财产性规范与责任性规范
所谓从保护手段角度划分的规范,是指权利初始配置所考量地对客体利用需要的协商成本是否存在。财产性规范指非经权利人同意不能实施利用行为,行为人对客体利用必须先取得权利人同意,因此必然存在协商成本。责任性规范指行为人不需要事先获得权利人许可,可径行实施行为,但应当以给付对价为责任,对行为人而言,客体利用不需要协商成本。由此可以推论,一般排他性支配权规范都属于财产性规范,该种规范意味着非经权利人同意不得实施行为。责任性规范意味着不经权利人同意可实施行为,但要承担责任后果。财产性规范显然要比责任性规范赋予权利人更强的“法律之力“。
3.民法典与个人信息保护法规范模式的不一致
我国民法典有关“个人信息”的规范中,从语义解释角度,仅第1038条“信息安全”条款属于财产性规范。该条含有“未经同意,不得”的语义构成。其他规范如第1035条“信息处理限制”和第1036条“信息处理免责事由”,则属于责任性规范,尤其是第1036条的“免责事由”规范证明了民法典对于“个人信息保护”采用的是结果导向,保护方式采用了责任性规范模式。因为,“免责”意味着虽然行为符合保护规范的事实要件构成,但还需要有损害结果这一要件,才能适用规范上的法效果。既然“免责”考量的是行为事实要件,而非结果要件,故责任构成就是结果导向。
个人信息权益的本质——人格权还是财产权
1.个人信息与人格权的关系
财产性规范并非指规范保护的权利是财产权,而是指以财产权保护的模式构建的规范,人格权保护规范也存在财产性规范。人格权与财产权的利益本质区别是显而易见的,民法典关于人格权的概念也表明人格权是以维护人的尊严和自由为宗旨,人格权具有专属性不能转让而脱离主体。财产权以维护经济秩序为宗旨,不但可以转让并且只有能够转让才使财产权具有意义。人格权正当性是建立在人格自觉之上,即个人的自我认同和自主决定,是长期社会发展的产物,使个人从各种身份、阶级的束缚中解放出来,并因经历各种政治变动而深切体认到人格尊严及人格自由的重要性。人格权的复杂和广泛性,使保护规范也同样具有复杂和多样性。因此,民法典人格权保护规范既有财产性规范也有责任性规范,既有结果导向规范也有行为导向规范。民法典将个人信息保护纳入人格权编规范之中,很显然立法者认为个人信息是人格权的客体表现形式。
2.个人信息与财产权的关系
从个人信息的本质上,个人信息保护规范中不应包括财产权保护规范,但目前有鼓吹个人信息有财产价值从而应建立财产权保护规范的倾向,个人信息保护法虽然并未明确表示个人信息的财产性,但同样具有财产权保护色彩。财产权规范最核心的规范或者说与人格权规范最显著区别的规范就是处分规范。个人信息保护法很多规范就具有处分性规范特点,如个人信息保护法中的同意规则、删除规则、解释规则以及个人信息侵权归责原则中采用过错推定,都暗示了立法者对个人信息财产权属性的默认。但是,从个人信息权益本质来看,即使是带有财产权色彩的规范也应按照人格权保护路径来适用。
个人信息权益仅反映隐私权是普遍制度根源
美国是隐私权概念的发源地,该权利制度能肇端于美国的原因,就是因为美国因信息通信技术的发展形成对个人隐秘生活严重干扰的社会问题。隐私的本质是自然人主体对个人生活的排他性自主,不受包括公共部门在内任何他人的干预。美国司法界采纳了侵犯隐私权行为的四领域划分,即公开他人隐秘事实、侵扰他人生活安宁及私生活、公开扭曲他人形象、盗用他人姓名和肖像。美国近年尤其重视信息隐私规范发展,以信息为调整对象的规范几乎都以保护隐私权为目的。如联邦隐私法(theFederalPrivacyActof)是用以保障政府与金融机构银行记录的计算机信息因素,隐私权保护法(TheRighttoPrivacyProtectionAct)以保护新闻隐私为目的,电讯传播法(TheTelecommunicationAct)以保护电讯传播消费者隐私为目的,电子传讯隐私权法(TheElectronicCommunicationPrivacyAct)以规范有线、无线电子或口头传讯的谈话隐私为目的。最近美国又颁布了《数据隐私安全法(草案)》,明确该法宗旨是为消费者数据隐私建立强有力的监督机制。可以看出,美国一系列的关于数据信息的立法都以隐私保护为核心。
隐私权是人格权不是财产权
1.隐私权价值决定了其只能是人格权
隐私所产生的价值不在于从信息公开中获利,而在于(通过)因拥有防止任何信息公开的能力而获得的一种平和心态和信仰。从其通常意义来说,很难将其当作一种“资产性”权利。隐私的价值在于维护人的尊严和自由,隐私权的功能在于:个人自主(personalautonomy)、情感释放(emotionalrelease)、自我评估(selfevaluation)和有限度与受保护的沟通(limitedandprotectedcommunication)。因此隐私与财产从价值功能上看,有本质区别,隐私的人格性价值的核心是人的内在自主性,财产的人格性价值核心是人的外界关联性,两者是截然相反的利益诉求,隐私权与财产权有着天然的不一致。
2.隐私权的人格性是社会长期实践的结果
财产价值并非赋予个人数据信息财产权的理由
1.大数据技术下的个人信息财产价值
2.有价值未必要赋予财产权利
3.只有关涉隐私利益的数据信息才应是权利客体
同意规则的困境
1.同意规则的价值本源
2.医疗事务中的同意规则适用困境
按照个人信息保护法划分的信息类型,医学事务产生的个人信息皆为敏感信息。所以医学事务信息获取的“同意”形式只能是书面形式,包括电子书面形式。各国关于个人信息保护的规定中对于敏感信息均要求事前同意,并且这种事前同意是“知情下同意”。因此信息获取前必须进行协商,并且要充分披露,充分披露要达到“知情”标准。这显然极大地增加了信息协商成本。对于医学事务而言,尤其是紧急情况下的医疗行为,患者信息获取的重要性和及时性是不言而喻的。信息获取的事先同意协商过程无疑会造成治疗延误。紧急情况下生命健康权的价值显然大于隐私权的价值,医生不能因为未取得患者同意而不获取患者信息进而无法提供医疗。其实从医疗契约解释角度,医生问诊获取病人信息并不需要病人同意,这是医生诊疗契约的权利,也是病人的告知义务并且是默示契约下的同意获取。目前的个人信息隐私保护的“明示同意”规则无疑与医疗行为的内在秩序形成冲突,会形成了医疗事务信息获取法律适用的困境。
匿名的困境
1.匿名的目的——消除可识别性
匿名化是个人信息保护机制中实现隐私利益保护的核心方法,现代社会进化出利用匿名来保护隐私,既是通信技术发展的结果也是对抗通信技术的结果。匿名仅是手段,匿名的目的是消除识别性,当对于一个涉及隐私保护信息处理行为进行判断时,仅采取匿名方式,并不当然视为满足权利保护规范,而应当以是否达到消除识别性为判断标准。所以,我国个人信息保护法对于信息安全措施要求并非是“匿名”而是“去标识化”。《欧洲数据保护指令》(GDPR)对于“匿名”也以“与可识别信息隔离,确保不被识别或者可识别”为构成要件。
2.医疗信息消除可识别性的困境
大数据技术应用下的个性化医疗将使匿名化面临更严峻挑战。埃里克在《未来医疗》中预测大数据医疗普查技术可以做到“将多层信息进行汇集整合,从而创造属于个人的谷歌地图(GIS),而无数人的GIS组合正成为未来医学的一项基础性应用”。他将这种个人医疗信息数据系统(GIS)分成表型组(phenome)、生理组(physiome)、基因组(genome)、解剖组(anatome)、蛋白质组(proteome)、表观基因组(epigenome)、暴露组(exposome)。他认为,这些GIS类型组为建立全新的高度个性化医疗模式提供了很大可能性,“我们每个人都可以根据GIS信息作出重要的医疗选择。个体的GIS最终会通过个体小型无线传感设备传输,数据流的新模式将会使这些信息的所有权更加清晰。”他所构想并且目前也已经开始实践的这种个性化的医疗系统信息,即使每个数据都是匿名的,可一旦成为系统组合,也不可能消除识别性。因此,他也承认“我们每天留下的数字痕迹能揭露更多不为我们所知的信息,这可能变成一个隐私噩梦,但也可能变成一个更健康、更繁荣的世界。”
即使不是大数据的个性化医疗,一般的基因生物识别性也会使匿名的消除识别性功能无效。如罕见病、特殊个体基因,匿名化也无法消除可识别性。姓名是主体用以实现社会识别的方法,是人类社会进化的产物。但医疗中运用的生物识别方法却是自然现象的利用,从科学意义的识别效果看比姓名更有效。每个自然人个体都有独特的生物特征,准确识别更有利于开展医疗。正如前面提到的“美国在线”案表明的,只要“信息关涉到具体个体,就有可能识别到该个体。计算机技术的实质性进步和大量应用会通过连接融合不同数据源而轻松并快速地将数据中的信息变成可识别”。
安全保障与监管的困境
1.安全与损害概念的模糊
因此,可以这样理解,民法典和个人信息保护法对于“个人信息安全”概念的立法本意仍然是“个人信息处理安全”,是指不因个人信息处理产生人格权损害的可能。基于此,民法典第1038条第二款则仍然是责任性规范,因为该条对于发生规范禁止行为的后果设立了补救措施,而不是简单视为违法。该条规定“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失”,这里的“个人信息安全”是结果导向的,应当指“个人信息反映的人格权等权益安全”。
2.泄露的判断标准模糊
3.监管标准模糊
其次,监管规范不统一。因信息种类不同,医药健康领域信息的跨境传输和处理可能还会受到《医疗机构病例管理规定》、《人口健康信息管理办法(试行)》、《人类遗传资源管理条例》等行业法律法规的监管。这些有关医疗信息监管的规范,往往存在冲突与交叉,规则适用时需要协调和统一。但是,各个监管规则的目标不同,在医疗个人信息处理时,监管目标的不同造成监管规则适用的不同,同一信息涉及多个领域监管,会形成监管冲突和重叠。一方面降低监管效率,另一方面增加信息处理成本。更重要的是这些监管都是针对实体物理空间的监管模式,并非能够完全适用于网络虚拟空间,对于主要发生在网络空间的信息处理行为,这些监管并不适配。
最后,监管技术应用的不一致。由于网络技术应用主体和网络安全保护主体不一致性,对待同样信息处理问题,往往选择不同的技术标准。由此带来技术的不匹配和不协调,使得监管或者屈从于信息处理应用的技术或者排斥信息处理应用的技术,结果就是医疗行为实施者信息处理上的无所适从。另外,监管要求被监管者信息提供频率与数量的高强度同样带来泄露风险,监管主体也是信息处理者,监管关系也带来信息责任的不确定性。
明确医疗行为中个人信息保护法律关系
1.客体
医疗行为中个人信息权益客体包括一般性的受保护信息,即一切可识别信息,还包括一般性敏感信息。对于医疗行为信息而言,任何个人信息都不能被非法转让。这些受保护的专门信息如:病史、家族病史、病情、健康状况、药物不良反应、生物指标信息,身体缺陷、基因缺陷、基因检测结果、身体检验结果、治疗过程、治疗手段、治疗效果等(从患者进入医疗机构开始无论是接受询问主动提供信息,还是接受检验获得信息,已经接受医学诊疗整个过程形成的信息,甚至嗣后跟踪观察信息,都是敏感信息)。其中重点强化保护信息如:精神病信息、免疫信息,应当适用行为导向的财产性规范来保护。
医疗个人信息保护法律关系还涉及专门信息载体的利用管理关系,包括:病历、检验报告、记录、临床实验数据、影像资料、医疗设备存储器、电子档案、纸质档案。互联网技术应用下的数据库、云平台、存储器、处理器、服务器等的管理,根据该信息载体管理与利用的状况判断善良管理人注意义务标准。
2.医疗法律关系基本内容
3.医疗服务个人信息处理原则
首先,自治原则。接受医疗行为主体有权决定对自己身体做什么,有权拒绝接受医疗,即使对其生命是必要的。对重大事实虚假陈述获得同意也是无效的。其次,知情同意原则。除非信息主体无能力,否则他们有权获得关于任何建议实施医疗程序的实质性信息。归责原则是过失标准即过错责任,要证明的过失不是医疗行为而是未披露过失。披露标准为信息重要程度足以影响到接受医疗主体的自主决定和选择。但仍要适用因果关系标准,即使违反了披露义务,除非一个有理性的人也会拒绝,否则不承担责任。最后,必要原则。医疗信息获取以治疗为必要,同意接受医疗,就应当同意提供信息。信息处理的披露,还应当考虑披露成本,不应赋予过高的披露标准。一般披露内容包括:医学标准,官方确认的风险,医生应当知道的重要信息,影响理性的病人决定是否经历医疗过程的实质性信息,预后,经验及成功概率,医生动机及经济利益。
以隐私权保护为结果导向的规范适用
前面已经论述,个人信息保护的核心利益追求仅为隐私权,其他个人信息利用产生的基本权利利益都不需要个人信息保护规范专门调整,因为均有特别法规范予以适用。同样,医疗行为中个人信息保护更应当以隐私权保护为宗旨。并且要坚持隐私权的人格权属性。不应当按照财产权排他性的请求权模式以财产性规范适用个人信息保护法。因此,医疗行为中个人信息处理和使用应当采取结果导向的责任性规范模式,只有产生隐私权侵害后果的,医疗机构或者医疗个人信息处理者才承担责任。如前述,大数据技术背景下的同意规则与匿名规则只能获得相对化效果,为了医疗技术发展的公共利益需要,个人信息主体在未能举证证明隐私权被侵害的后果情况下,不能以财产权排他性请求权主张禁止利用和使用个人信息。
开放性同意原则
开发性同意原则目前越来越受到青睐。个人信息权益主体对于信息处理的自主和自治的有效性应当实质性提高,不应当受制于复杂的和难以理解的书面同意文件。医疗服务机构提供给服务对象的书面同意文件应当便于理解,格式简短,以一次性同意为主。复杂情形下的特殊条款是允许的,但是不应当给予医疗机构强制义务。应当参照欧洲GDPR的做法,对于用于医疗研究目的的个人信息处理和使用,免除书面同意限制。医药健康领域中真实世界研究分为前瞻性研究及回顾性研究,其中回顾性研究是从所能获得的医疗数据源中收集、利用已经形成的历史性患者诊疗信息,但是往往面临患者知情同意获取难的问题。我国2021年7月1日生效实施的《信息安全技术健康医疗数据安全指南》中对真实世界研究已经规定了知情同意的例外和豁免的情形。申办者可以患者广泛知情同意为基础开展研究,即“如患者此前未签署广泛知情同意,申办者仍可基于患者追溯的难度申请豁免知情同意”。虽然该规范层级不高,但其体现了科学的医疗信息规范思想,应当将该规范的价值追求在具体案件中用于个人信息保护法律、行政法规的解释和具体化。