【法治前沿】
健康医疗大数据中隐私利益的群体维度
刘士国 熊静文
(复旦大学 法学院,上海 200438)
摘要: 大数据背景下健康医疗信息的结构性变化,使原本孤立的个体隐私利益彼此关联,同时生发出群体层面的隐私形态。现行健康医疗隐私规则所提供的个体隐私保护机制几近失效,且缺乏群体隐私的理论框架,暴露出个人主义保护观念的弊端。为适应大数据下健康医疗隐私利益的新特征,识别隐私利益的群体维度可以作为一项有益的尝试。生命伦理从个体自治到社会合作的转向、健康医疗数据的公共属性以及群体隐私利益的逻辑自洽,为此构想提供了正当性基础。识别隐私利益的群体维度,意味着一方面将个人隐私权放在群体语境中实现,个体需要适当地降低隐私期待,并弱化对健康医疗数据使用的个体同意与持续控制;另一方面认可群体隐私利益的存在,将对个人可识别健康信息的关注转移到统计学意义上的群体可识别健康信息上来。
关键词: 健康医疗;大数据;隐私利益;个人主义;群体维度
引语
生物技术的发展以及大数据在医疗行业的深刻变革,使得人类健康医疗数据在种类和数量上急剧增长,形成具有高度包容性的庞大数据集,内容涵盖临床病例数据、医学试验数据、健康管理数据、基因序列数据、生物样本数据等等。据测算,一个人在整个生命周期内所生成的健康医疗数据高达百万兆字节,大致相当于3亿本书的数据量。注 参见Ariana Eunjung Cha, Watson’s Next Feat? Taking on Cancer: IBM’s Computer Brain Is Training Alongside Doctors to Do What They Can’t, Washington Post, June 27, 2015. 数据的应用价值,也突破了过去医生与患者的狭窄空间,上升为国家的战略性资源。注 2016年6月21日,国务院办公厅发布的国办发[2016]47号文件《关于促进和规范健康医疗大数据应用发展的指导意见》中指出“健康医疗大数据是国家重要的战略资源。健康医疗大数据应用发展将带来健康医疗模式的深刻变化,有利于激发深化医药卫生体制改革的动力和活力,提升健康医疗服务效率和质量,扩大资源供给,不断满足人民群众多层次、多样化的健康需求,有利于培育新的业态和经济增长点。” 健康医疗领域从“小”数据到“大”数据的变革,对传统法律概念与研究范式提出质疑。
综上所述,阿维A胶囊和卡泊三醇软膏联合治疗银屑病临床疗效优于单用卡泊三醇软膏。根据患者的实际情况对症、联合用药,能够有效缓解其皮损与瘙痒症状,疗效良好,提高了总有效率,临床疗效得到显著提升,效果很好,值得在临床上进行推广。
隐私权自诞生时起就被视为一项个体性的权利——“个人独处权”(the right to be let alone),注 Samuel D. Warren, Louis D. Brandeis, The Right to Privacy, Harvard Law Review, Vol.4, Issue 5, December 1890, p.195. 在此之后的理论发展中仍然强调个体在隐私利益上的自主或者自治。就权利的性质而言,隐私权直接反映了个体与外界的紧张关系;在权利的实现上,以“隐私的自我管理”注 参见Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, Harvard Law Review, Vol.126, Issue 7, May 2013,p.1880. 为实现方式。健康医疗领域对隐私利益的保护,一直也围绕着以患者为中心的个体层面展开。然而,在大数据的背景下,健康医疗数据已出现结构性变化,与之相关的隐私利益亦呈现出不同于以往的特征,局限于个体层面的隐私权理论,既不足以应对个体与群组面临的隐私威胁,亦不利于公共健康利益的实现,对此应作理论上的补充。
一、大数据背景下健康医疗数据的结构性变化及其对隐私利益的影响
(一)大数据背景下健康医疗数据的结构性变化
传统的健康医疗数据主要产生于诊疗过程,包括患者就诊时的病历记录、影像资料、病理报告等。信息生成的场域为单一的医患关系,即特定的患者在就诊时形成的特定医疗数据。各类医疗数据之间一般彼此孤立,用途也基本局限于单人单次的诊疗活动,价值相对有限。生物技术的发展及大数据在医疗行业中的应用,极大地拓宽了健康医疗数据的生成来源,种类与数量急剧增长,应用范围也突破了原本狭窄的医患关系。具体而言,呈现出以下变化:
[21]Matt Burgess, “UK police are using AI to inform custodial decisions——but it could be discriminating against the poor”, WIRED, March 1, 2018.
第三,健康医疗大数据的应用价值渗透至个人、行业、政府管理等多个层面。随着大数据信息化社会的推进,“信息成为和物质、能量同样重要的资源,整个社会对于信息的依赖和利用需求增强”[注] 张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。 。在个体层面,健康管理应用生成的数据已成为普通人了解自身健康状况的重要信息来源,如Fitbit等健康管理应用所收集的数据,能够服务于使用者饮食、睡眠、健身、心率指标、慢性病管理等各个方面。对于医疗行业而言,大数据的分析预测催生了精准医学的新形式,整个行业迎来新变革。医生能够超越以往基于疾病临床表现的诊疗方式,转而从遗传学和分子特征去寻找致病原因,[注] 参见Jeffrey M. Skopek, Big Data’s Epistemology and Its Implications for Precision Medicine and Privacy, in I. Cohen et al.(eds.), Big Data, Health Law and Bioethics, Cambridge: Cambridge University Press, 2018, p.35. 提高诊断与治疗的准确性。如IBM公司的Watson健康保健项目,能够通过筛选、比对、分析疾病与治疗史、基因数据等在内的大量数据,在短短几分钟内辅助医生为患者提供个性化的治疗建议。[注] 参见Ariana Eunjung Cha, Watson’s Next Feat? Taking on Cancer: IBM’s Computer Brain Is Training Alongside Doctors to Do What They Can’t, Washington Post, June 27, 2015. 除了医疗卫生行业,健康医疗大数据也能够助力其他行业的优化,如保险公司能够借助健康医疗大数据识别投保人风险、防止欺诈。在社会管理与公共健康层面,健康医疗大数据对政府部门的疾病检测与控制、掌握居民健康状况同样有重要作用,例如政府部门能够通过数字疾病监测系统增强疾病控制的效率。
晋城市是以煤炭煤化工为支柱产业的资源型城市,工业用水量占全市总用水量的46.2%,抓好煤化工企业的节水就是抓住了节水的龙头,以此为突破口带动各行各业全面节水工作。根据晋城市煤矿分布状况,规划利用煤矿排水3 500万m3,主要用于煤矿自身生产生活和附近农业节水园区灌溉用水。试点期内全市规划了129座煤矿的采煤排水综合利用规划,工程实施后可规范利用矿坑水3 500 m3,中水回用5 430 m3总投资38 890万元。
第二,大量健康医疗数据生成于医患关系之外,甚至是医疗领域之外。物联网技术、可穿戴设备的普及使健康管理应用融入普通人的日常生活。每一个使用者都成为健康数据的收集终端,医疗数据的生成不再局限于诊疗中医方的单方采集,显著增强了对医患关系以外健康数据的收集能力。同时,健康医疗数据越来越多地产生于与健康医疗并无直接关系的领域。例如,实体购物或者网上购物的信息会透露消费者的身体状况。美国一家大型网络零售平台就曾经根据顾客的消费记录,推测出女性顾客的怀孕情况,以便有针对性地发送产品信息与优惠。[注] 参见Michal Kosinski et al., Private Traits and Attributes Are Predictable from Digital Records of Human Behavior, Proceedings of The National Academy of Sciences of the United States of America, Vol.110, Issue 15, April 2013, p.5802. 无处不在的社交媒体也促成了健康医疗数据的生成与传播。统计显示,“超过27%的互联网用户在网上分享他们的饮食、运动数据或其他健康指标信息;4%的互联网用户发布过他们的用药、治疗经历;9%的社交网站用户发起或加入了与健康相关的群组”。[注] Susannah Fox, The Social Life of Health Information(2011), http://www.pewinternet.org/files/old-media/Files/Reports/2011/PIP_Social_Life_of_Health_Info.pdf, 最后访问日期2018年7月4日。 越来越多的健康医疗数据在医疗领域之外通过互联网生成、聚合。
第一,健康医疗数据呈指数增长。一方面,医学研究领域的扩展促使医疗数据爆发,以基因序列数据最为典型。随着基因测序成本的下降以及测序需求的增多,基因序列数据已达井喷之势。研究显示,到2025年预计将形成20亿组人类基因测序,仅这些数据的存储需求就可能高达40艾字节,而整个互联网的存储总量据估算不超过525艾字节。[注] 参见Zachary D. Stephens et al., Big Data: Astronomical or Genomical?, PLoS Biology, Vol.13, Issue 7, July 2015, p.2. 另一方面,大数据挖掘与机器学习技术在医疗领域的应用,意味着我们有了更多方法来生成、收集、管理健康医疗数据,旧的数据能够通过组合、分析重新生成新的数据,以实现二次利用。[注] 参见Nuffield Council on Bioethics, The Collection, Linking and Use of Data in Biomedical Research and Health Care: Ethical Issues, February 2015, p.4. 由此,临床护理、医学试验、基因组研究等重要医疗实践领域生成的健康医疗数据远远多于以往任何时候。
(二)健康医疗大数据对隐私利益的影响
大数据技术下,不同的健康医疗数据之间呈现高度的相关性,原本孤立的隐私利益开始彼此关联。以基因组数据包含的隐私利益为例,一方面,由于基因组数据与其他类型的健康数据密切关联,一旦数据主体面临基因组数据上的隐私威胁,数据主体其他类型的健康数据同样会受到威胁,如身体状况、疾病风险等隐私信息可能随之披露。另一方面,不同数据主体在基因组数据上可能彼此关联。对某一基因数据的分析,可能进一步推知其家族、社群甚至民族的基因信息。例如,某一位家庭成员披露了自己的基因数据以后,便可由此推知其亲属的基因信息,因为他们在基因数据上的相似度极高,且拥有相似的生活环境与习惯,而这可能违背其他人对基因信息的披露意愿。退一步而言,即使不存在亲属关系,科学研究也已表明,通过大数据技术提供的排除算法,完全可以推断出给定基因组数据的所属主体,且准确度令人惊讶。在健康医疗大数据下,个体不同的隐私利益相互关联,且“受他人行为的影响,并可能超出自己所能控制的范围”[注] Gergely Biczo'k, Pern Hui Chia, Interdependent Privacy: Let Me Share Your Data, in Sadeghi AR.(eds) Financial Cryptography and Data Security, FC 2013, Vol. 7859 LNCS, Berlin Heidelberg: Springer, 2013, p.338. 。
皮肤颜色分型由Chardon等于1991年提出,采用国际照明学会CIE规定的L*a*b*色度空间测量皮肤颜色。皮肤肤色个体类型角(individual typological angle,ITA°)是被测个体的肤色在L*值和b*值构成的几何平面中所处的位置角度,根据此角度确定皮肤肤色,角度越大肤色越浅,越小肤色越深。有研究表明,构成性肤色(非曝光部位的皮肤颜色)与MED的相关性很好,用来评价皮肤对紫外线的敏感性较为理想。同时,采用肤色ITA°来确定MED,不仅可以缩短受试者进行测试的时间,还可以减少因操作人员造成的主观误差。
依靠大数据算法分类系统,能够随机地甚至自动化地创建出不同群组,出现了群体层面的隐私形态。健康医疗数据的挖掘和汇总中,往往会对个体按照某些特征或者趋势进行分组、聚类,分散的个体最终形成有研究价值的群组。在这个过程中,群组内的成员通常并不需要被单独地识别出来,只是被有针对性地进行了分类。就好比广告商并不关心它的广告具体是谁在看,只在意广告是否到达了某一类特定人群。所形成的这些健康数据群组,打乱了个体身份与隐私利益之间的联系。因为这时只有将个体放在群组中才会体现隐私利益[注] 参见Luciano Floridi, Open Data, Data Protection, and Group Privacy, Philosophy & Technology, Vol. 27, Issue 1, March 2014, pp.1-2. ;由此,所揭示的疾病风险并非单纯地针对某个可识别个体,只有在个体的相互关联中才有意义。以一个例子来说明,在大数据分析中,若研究人员统计出有30000个具有相同个体特征的人之中有3人患有某种疾病,而这种疾病正是由某种特殊基因直接导致的,研究人员可能会预测拥有此类个体特征的人群患病概率是1/10000。然而,这里概率预测的价值是在针对群体的统计学意义上实现的,对其中某个个体并无确切的意义。因为对个体而言,这种基因只可能全无或全有。在健康医疗领域,大量的分析、预测都是针对群组进行的,在群体层面共享的隐私利益就此凸显。
二、现行健康医疗信息隐私保护机制及其个人主义局限
我国目前对健康医疗信息相关的隐私利益没有专门的立法保护,个人信息保护法也一直暂未出台。健康医疗信息的隐私保护规则,散见于《执业医师法》《精神卫生法》等医疗卫生法律法规中且一笔带过,基本处于缺位状态。从世界范围看,对健康医疗隐私利益的保护,目前有两种立法模式,一种是将健康医疗信息从个人信息中划出来单独立法施以保护,如美国1996年《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,通称为HIPAA法案)及配套的《个人可识别健康信息的隐私标准》(Standards for Privacy of Individually Identifiable Health Information,通称为隐私规则)、澳大利亚新南威尔士州《健康记录与信息隐私法案》(Health Records and Information Privacy Act)。另一种方式是将个人医疗健康信息与其他个人信息一同施以综合保护,如欧盟1995年《数据保护指令》(EU Data Protection Directive, 95/46/EC)、2018年《一般数据保护条例》(EU General Data Protection Regulation,通称为欧盟GDPR),以及英国《数据保护法》(The Data Protection Act)。其中,美国的HIPAA法案及隐私规则与欧盟GDPR,代表着目前健康医疗信息隐私保护的主流态度与趋势,且对其他国家和地区的立法与实践影响巨大,故本文主要依托这两部文件分析现行健康医疗信息隐私保护规则的特点与局限。
(一)美国HIPAA法案及隐私规则提供的保护机制
美国HIPAA法案对健康医疗信息的传输、访问与储存做出详细规定,是美国医疗服务行业必须遵守的信息安全标准;与之配套的隐私规则首次建立起保护健康医疗信息隐私的国家标准,以解决个人健康医疗信息使用与披露的问题。
为了保证盾构设备安全,在K49+818处增设中间竖井,作为检修通道和通风作业通道。结合该桩号水文地质条件,并考虑盾构机掘进速度,在中间竖井四周设置降水试验井,以便水位降至安全水位,中间竖井能够顺利施工,从而减少盾构到达时发生涌砂涌水的风险[1]。
首先,并非所有的健康医疗信息都在保护范围之内,隐私规则将“受保护的健康信息”明确为“个人可识别健康信息”(Individually Identifiable Health Information)[注] 45 C.F.R. §160.103. ,包括任何可以辨识出个人身份特征的信息,例如姓名、指纹、基因、医疗活动中的详细情况等。抵消隐私风险的一个常用办法是去识别化。隐私规则提供了一套完整的去识别化处理机制,规定如果以下这18种个人标识符被移除,就属于不可识别的个人健康信息,具体包括:“姓名;州级别以下的地址信息;生日、入学日、死亡日等特定日期;电话号码;传真号码;电子邮箱;社会安全号码;医疗记录编号;健康计划受益人编号;银行账户号码;身份证件号码;车辆识别码与序列号;设备识别码与序列号;网址;IP地址;生物识别信息;完整的面部照片;以及其他任何能够用于重新识别的唯一代码或特征”[注] 45 C.F.R. §164.514(b). 。经过去识别化处理之后,健康医疗信息的使用与披露则不再受隐私规则的限制。
关于“受保护的健康信息”的使用与披露,HIPAA隐私规则的要求十分严格,只有在两种情况下才可进行:一是经隐私规则允许或要求,二是经信息主体书面授权。关于书面授权,有严格的形式规范,要求必须使用通俗易懂的语言,明确包含要披露或使用的信息、披露和接收信息的人员、授权到期日、撤销权以及其他数据的具体信息。[注] 45 C.F.R. §164.532. 隐私规则同时规定了一些可不经个体授权的例外情况,如将数据用于治疗、支付和其他医疗保健活动;偶然的使用与披露;满足所列12种公共利益目的之一;在医学研究、公共卫生或医疗保健活动中使用、披露有限的数据集等。[注] 45 C.F.R. §164.502(a)(1). 可见,HIPAA隐私规则对健康医疗信息隐私的保护,采用了强调个体同意权并辅之以例外规定的模式。
除此以外,HIPAA隐私规则还有两项特别规定,一是最低限度原则(Minimal Necessary),它是贯穿隐私规则的核心原则,要求在使用、披露或向他人索取受保护的健康信息时,必须作出合理努力,将受保护的健康信息量限制在合乎目的的最小必要范围。[注] 45 C.F.R. §164.502(b). 二是限制使用请求权(Restriction Request),规定个人可以提出限制信息使用的请求,要求对受保护健康信息提供隐私保护;用于治疗、支付或健康照护运作时,可要求有限制地使用或披露受保护健康信息。[注] 45 C.F.R. §164.522(a)(1)(i).
最严格水资源管理制度进一步落实。起草了《自治区最严格水资源管理制度实施意见》《自治区实行最严格水资源管理制度考核办法》。完成盟市、旗县“三条红线”控制指标分解确认,建立起覆盖三级行政区域的“三条红线”指标体系,并纳入自治区党委组织部对各盟市领导班子年度目标考核体系。出台了《自治区地下水管理办法》,自2013年10月1日起施行。自治区水资源管理系统一期工程建设基本完成,对全区80家重点用水企业实施了在线监控。开展了全区地下水专项执法检查,核查关闭自备水源井,治理区域违规取用地下水行为。呼和浩特市、鄂尔多斯市全国节水型社会建设试点通过水利部验收。
(二)欧盟GDPR提供的保护机制
2018年5月施行的欧盟GDPR,是目前个人信息综合保护的代表性文件,其中对健康数据、生物数据的特别规定,反映了大数据时代欧盟对待个人健康医疗信息保护的态度。
在保护对象上,GDPR将受保护的个人数据定义为“与被识别或者可识别的自然人相关的任何数据”[注] GDPR Article 4(1). ,这一点与美国HIPAA隐私规则一致,均强调受保护数据的可识别性。GDPR对数据处理同样设置了原则性的限制,如目的限定原则(Purpose Limitation)要求数据控制者只能基于具体、明确、合法的目的收集个人数据;且一旦基于特定目的收集以后,则不能再基于与收集时所确定的目的不相容的其他目的进行处理;数据最小化原则(Data Minimisation)类似于HIPAA隐私规则中的最低限度原则,同样要求将数据限制在与处理目的相关的必要范围之内。[注] GDPR Article 5(1)(b)(c).
虽然GDPR是个人数据保护的综合性条例,但对数据进行了分类,并针对特殊类型数据制定了不同的规则。条例规定,对于“个人基因数据、生物特征数据”,原则上可以处理,但不得以识别自然人身份为目的;对于“健康数据、性生活、性取向等相关数据”,原则上完全禁止处理。[注] GDPR Article 9(1). 只有当满足条例第9条第2款提供的合法性基础时,才可以突破特殊类型数据的处理限制。其中,同意被作为重要的合法性基础之一,且规定对这几种特殊类型数据的同意必须为“明确同意”(Explicit Consent)[注] GDPR Article 9(2)(a). ;同时允许成员国对此维持或增加更严格的限制[注] GDPR Article 9(4). 。
然而,纯个人主义的自治模式过于狭窄,它重在描述医患关系框架与权力格局中病患天生的弱势地位,而且忽视了其他外在力量的重要性,在新的技术、政策环境中易出现问题。1980年代,部分生命伦理学家试图探寻能够转变个体自治的替代性设想,如提出互动性自治,认为自治“不仅仅是内在的、心理的特征,而且还是外部的或者社会的”[注] Grace Clement, Care, Autonomy, and Justice: Feminism and the Ethic of Care, Boulder: Westview Press, 1996, p.22. 。按照这种观点,个人是通过社会合作,而不是独立分散的行动来增强他们的自主能力。“自我被理解为个体关系与社会义务的结合”,有时可以“合法地服从于其他道德原则,而这些道德原则决定在社会背景下自我应当如何被管理”。[注] Alfred I. Tauber, Patient Autonomy and the Ethics of Responsibility, Cambridge: MIT Press, 2005, p.85. 但是,这种观点只是当时生命伦理学发展中的支流。
相比美国HIPAA隐私规则的个体事先同意,欧盟GDPR更加强调主体在数据使用过程中的个人控制。具体而言,数据主体有权拒绝出于以下目的对其个人数据的处理:为实现公共利益或行政管理职能;为数据控制者或第三方的合法利益;销售目的。同时,数据主体根据自身特殊情况,有权随时拒绝数据控制者基于科学、历史研究以及统计目的的数据处理。[注] GDPR Article 21(1)(2)(6). 条例新增的(Right to Erasure),允许数据主体在特定情形下要求控制者删除与其相关的个人数据。[注] GDPR Article 17(1). 限制处理权(Right to Restriction of Processing),赋予了数据主体在法律规定的特定情形发生时,限制数据控制者处理的权利。[注] GDPR Article 18(1). 数据便携权(Right to Data Portability),允许数据主体从数据控制者处获得以结构化、通用化和可机读形式呈现的个人数据,并有权将该数据转移给其他数据控制者。[注] GDPR Article 20(1).
The time-effective regression was tested with Pearson's correlative coefficient(95%confidence interval)as-0.7844(-0.9665-0.07621)in CFA group(P<0.05),0.8209(0.1776-0.9727)and in SLP group(P<0.05),respectively(Figure 5).
(三)以个人主义为中心的制度局限
总体而言,美国HIPAA隐私规则与欧盟GDPR对个人健康医疗信息的隐私保护相当严格。前者以去识别化机制与个体同意权为主线;后者将同意作为数据处理的合法性基础,以数据使用的个人控制为核心,并对健康数据、生物数据使用作出特别限制。两部文件设置了严格的个体同意与控制规则,并辅之以众多例外情形,试图在寻求隐私利益保护的同时促进必要的健康医疗信息流动,这种理念值得肯定。但我们不难发现,这两部文件所提供的保护机制均是以个人主义为中心的,无法应对前文所阐述的隐私利益出现的新变化。
第三,关于数据后续个人控制与限制使用规则。后续使用的持续控制权利被视为欧盟GDPR最大的亮点。与HIPAA个体同意规则的区别在于,它将自主权或自治权延伸到数据使用的过程当中。后续使用中持续控制的权利为数据主体有效控制其个人数据提供了可能,且使得数据主体也能从数据处理与流通中获得收益,一定程度上促进了数据的流通与使用。然而,GDPR这种孤立强化个人权利的思路,仍然不能适应大数据下隐私利益互相关联的状态。单纯对个体自治的强化本身包含着忽视他人利益的权利。从公共利益的角度考虑,个体对个人健康医疗数据后续使用的强有力控制,必然对公共健康目标的实现不利。例如,如果在健康医疗数据初次收集的目的完成后,数据主体请求删除数据,将会影响整体数据研究的连续性、完整性,影响数据的再利用。由于后续挖掘已然成为数据价值的主要来源,其他限制使用的规则如目的限定原则、最低限度原则也都面临着现实的挑战与合理性质疑。[注] 参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。 强化数据的个人控制与限制使用规则并不完全适应大数据时代的需要。
其次,关于数据处理前的个体同意规则。一般认为,个体所面临隐私风险的程度与其同意分享数据的程度成正比,因此往往会通过同意规则赋予个体自主管理隐私风险的权利。但目前同意机制对数据主体隐私权保护的实现已经不那么有效了。[注] 参见Fred H. Cate, Protecting Privacy in Health Research: The Limits of Individual Choice, California Law Review, Vol.98, Issue 6, 2010, p.1797. HIPAA隐私规则的个体同意权,原本是在范围相对较小的临床研究和信息研究基础上设计的,个体同意曾经是保护隐私相当有效的工具。但在隐私利益互相牵连的健康医疗大数据背景下,孤立的个体同意权不再足以保护个人隐私,反而对他人的隐私利益构成威胁。在同意机制下,若要彻底消除所有人面临的个体隐私威胁,唯一的办法就是限制所有人同意分享自己健康医疗数据的权利,而这与维护数据主体自主权的目标背道而驰。虽然欧盟GDPR没有将同意作为一项个体权利,而是将其作为合法性基础,并制定了严格的同意规则,特别是对生物数据、基因数据、健康数据提出更加严格的要求,同样仍面临隐私利益在互相关联中遭受损害的风险。因此,在大数据环境中,个体同意的传统规则可能不再符合其设计的主要目标。
首先,关于健康医疗数据的个人身份可识别性与去识别化机制。在大数据背景下,针对个人身份的去识别化处理机制几乎很难再发挥作用。由于数据的积累以及相应的处理和分析能力日益增强,个人身份能轻易地被反向识别。不论是在医患关系之内还是医疗领域以外,健康医疗数据的收集渗透到各个角落,形成了多元的数据流与数据群组。将这些数据流连接在一起,便能够完整地创建出我们每一个人纵向的健康医疗记录。这些记录具有深刻的描述性,显示出我们彼此无法复制的生命轨迹,足以反向地准确定位到具体某一个人。因此,即使其中明显的个人标识符被去除,当我们将记录中的所有参数结合起来,最终仍只可能与世界上的一个人相匹配,因为这些数据本身就是独一无二的标识符。[注] 参见Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, UCLA Law Review, Vol.57, Issue 6, 2010, pp.1716-1723; Mark A. Rothstein, Is Deidentification Sufficient to Protect Health Privacy in Research?, American Journal of Bioethics, Vol.10, Issue 9, 2010, pp.5-6. 例如,世界上只有一个黑色头发、棕色眼睛、身高165公分的女性在三岁九个月零五天时摔断了锁骨,并且在二十二岁八个月零七天时拔掉智齿、在二十七岁五个月零三天时生下一个女儿、在七十六岁时患上老年痴呆。鉴于我们很难防止数据被重新识别,个人身份可识别性数据与不可识别性数据也不再有区别。
同时,各省结合教师信息技术应用现状,发展测评的内容又各有侧重,例如安徽在发展测评中注重联系教师教育教学和专业发展实际,反应教师应用信息技术优化课堂教学、促进自身专业发展的程度;湖南在发展测评中注重利用教师个人空间和案例教学开展情境测评,帮助教师了解信息技术应用能力提升程度,科学评价信息技术应用能力发展水平;河南在发展测评中注重通过个人空间建设考察教师基本信息素养,通过教学资源评审考察教师在具体教学情境中的信息技术应用能力。
以美国HIPAA、欧盟GDPR为代表的健康医疗信息隐私保护机制,暴露了以个人主义为中心的弊端。去识别化、同意规则、后续使用中的持续控制,均是以个人主义为中心设置的机制,一方面难以有效地保护个体隐私权,另一方面也限制了健康医疗数据多元价值的实现。更重要的是,在现有机制中还没有一个理论框架承认群体作为隐私利益的主体,这对于群组化研究盛行的健康医疗领域中隐私利益的完整保护极为不利。反观我国,屈指可数的健康医疗隐私保护规则同样以个人主义为中心,在2018年发布的《基本医疗卫生与健康促进法案(草案)》中仍然原则性地规定“除法律法规规定或本人同意外,任何组织和个人不得获取、利用和公开公民个人健康信息”,且未设置任何例外条款。可见我们的立法过程中尚未意识到大数据时代信息结构与隐私利益的特殊变化。
三、隐私利益群体维度的正当性基础
健康医疗数据自产生之时,往往就是与其他主体共享的。个体无疑是医疗数据产生的主要源头,我们日常佩戴的智能手环、手机上的健康管理应用、慢性疾病患者接入的医疗监测设备等,都直接地指向、关联我们的个人健康信息。然而,数据与特定个体的关联,并不足以认可个体对健康数据的独占利益,因为这种关联只在于数据所表达的意义,而不是该数据本身。[注] 参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期。 健康医疗数据的最终生成,往往来自于其他主体所创建的服务或管理系统,[注] 参见吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7期。 其中一部分甚至大部分都是由其他主体所创建的数据。从一开始便具有共享性质的数据,已经不能完全以私人属性进行界定。[注] 参见中国社会科学院民法典工作项目组:《大数据时代个人信息保护模式需改变》,载《经济参考报》2018年4月18日。 有学者指出,假使存在健康数据的法定所有权,那么也必须是非排他性的,[注] 参见Barbara J. Evans, Barbarians at the Gate: Consumer-Driven Health Data Commons and the Transformation of Citizen Science, American Journal of Law and Medicine, Vol.42, Issue 4, 2016, p.664. 类似于自然资源环境中的共享所有权。从数据生成的角度来看,健康医疗数据具有公共属性,其包含的信息隐私“需要一定程度的社会控制来构建与维护”[注] Edward J. Janger & Paul M. Schwartz, The Gramm-Leach-Bliley Act, Information Privacy, and the Limits of Default Rules, Minnesota Law Review, Vol.86, Issue 6, June 2002, p.1254. 。
(一)生命伦理的转向:个体隐私权的集体保护
健康医疗领域的个体自治,强调个体通过医疗过程中的自主决策维护自己的利益,意味着患者有权知晓并选择医疗照护方式,有权决定谁能知道其私人信息。这种对个体自治的重视始于二十世纪中叶生命伦理学形成之时。纽伦堡审判披露的非法人体试验,以及父权主义医疗下拥有绝对权威的医师对患者权利的漠视,在当时激起病患权利保护的潮流,引发人们对生命医学伦理的重视。在此背景下,生命伦理运动便围绕着病患的知情同意、自主决定而进行,主要保护对象是在家长式医疗模式中对抗医生的患者,以及在人体试验中对抗研究人员的受试者。由此,二十世纪中叶的生命伦理学接受了康德“原子式”个体自治的概念,将病患视作原子式的抽象个体,即他可以完全独立于所有的社会关系,强调自我管理、自力更生、个人主义以及根本上的独立。[注] 参见Alfred I. Tauber, Patient Autonomy and the Ethics of Responsibility, Cambridge: MIT Press, 2005, p.117. 这个概念类似于学者Richard Fallon所总结的“归属性自治”(Ascriptive Autonomy)[注] 参见Richard H. Fallon, Jr., Two Senses of Autonomy, Stanford Law Review, Vol.46, Issue 4, April 1994, pp. 890-893. ,承认每个人对其道德选择的主动权。在当时的生命伦理学中,原子式的个体自治被视为应对个体利益威胁的强大解药。
规划建设方面,在规划指导下,13个建设项目已开工,还有3项正在进行前期准备中。中心河、福利河等5条河道清淤结束,正在着手护坡整治;桥梁建设陆续进场;还青洲路等道路施工正在推进;房前屋后及庭院开始整理,已完成违章搭建房屋拆除及部分房屋置换工作。先锋村民居改造工作率先启动,公厕等公共设施建设进场施工。
直到健康医疗大数据研究盛行的本世纪,生命伦理的转向重新受到关注。有学者指出,适合医疗大数据研究的伦理框架“将在很大程度上背离目前临床医疗与医学研究的伦理观念”[注] Ruth R. Faden et al., An Ethics Framework for a Learning Health Care System: A Departure from Traditional Research Ethics and Clinical Ethics, Ethical Oversight of Learning Health Care Systems, Hastings Center Report Special Report 43, No.1, January-February 2013, S16. ;认为“原子式自治”这个贫乏的概念,淡化了个体通过形成共同体来解决自身问题的能力[注] 参见Barbara J. Evans, Power to the People: Data Citizens in the Age of Precision Medicine, Vanderbilt Journal of Entertainment and Technology Law, Vol.19, Issue 2, 2017, p.246. ,造成个体混乱无序的后果。这在二十一世纪的数据研究中可能适得其反,因为它会使得生命伦理原本旨在保护的对象再次失权。这种“独立自主”的风险,在霍布斯的框架中被称为“乌合之众的混乱状态”[注] [英]霍布斯:《利维坦》,黎思复、黎廷弼译,商务印书馆1985年版,第133页。 。在隐私利益相互依存的时代,坚持原子式自治的生命伦理,将导致个体利益实现机制失效,分散的个体无法对共同面临的威胁采取统一有效的应对措施。因此,自主决策不再是实现个体利益的有效方式,保护个体隐私利益需要集体行为。在健康医疗大数据的背景下,个体自治的生命伦理不能不转向社会合作,通过集体行动将混乱、分散的人群聚合在一起形成数据共同体,以实现个体隐私权的有效保护。
(二)健康医疗数据的公共属性:隐私利益保护与数据利用的平衡
健康医疗数据具有私人属性,是个人主义自主决策的理论预设。然而这一理论前提并不完整,健康医疗数据不仅关涉个人利益,而且与其他人以及整个社会利益紧密联系,具有强烈的公共属性。
以个人主义为中心的隐私保护机制,被证明已无法满足大数据背景下个人隐私权与群体隐私利益的保护需要,亦不足以缓解隐私保护与健康医疗数据利用之间的紧张关系。为了适应健康医疗数据与相关隐私利益的结构性变化,需要在隐私保护的理念与规则上作出调整,识别隐私利益包含的群体维度不失为一种有益的尝试。将隐私利益保护放在群体维度下,意味着三个方面的补充:以集体行动的方式保护个体隐私权;平衡隐私利益保护与健康医疗数据利用的关系;对群体所享有隐私利益的认可与保护。而这一设想是否具有合理性,需要一一进行分析。
健康医疗数据具有价值多元性,除数据主体之外的许多其他主体,都对该健康数据有合法利益,包括医院、诊所、医学研究机构、保险公司、政府部门等。如文章第一部分的分析,健康医疗数据可以用于改善医疗实践、合理分配医疗资源,提供更有效的卫生服务;通过庞大的数据库创新治疗方法,实现疾病的精准治疗;公共卫生管理也有了更丰富的资源或依据。因此,个体独立的自主决策对公共利益的实现不利,如果每一个个体都拥有阻止他人访问其数据的权利,将不能有效地汇集用于推动公共卫生和其他患者健康的数据资源,无法为促进公共健康目的共同行事。个体细密而分散的同意,也限制了形成高度包容性的数据集、捕捉特殊样本的能力,因为罕见的遗传基因变异、对特定疗法产生不良反应的发现往往依赖于包含大量样本的数据集。[注] 参见Institute of Medicine, Beyond the HIPAA Privacy Rule: Enhancing Privacy, Improving Health Through Research, Washington: The National Academies Press, 2009, pp.209-214; Brian Buckley et al., Selection Bias Resulting from the Requirement for Prior Consent in Observational Research: A Community Cohort of People with Ischaemic Heart Disease, Heart, Vol.93, Issue 9, 2007, p.1116. 健康数据具备的公共属性与多元价值,决定了保护方式的公共性和社会性,这是不能单纯地采取个人主义隐私保护方式的深层理由。[注] 参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期。
(三)数据群组以群体名义享有隐私利益的可能
承认健康数据群组作为隐私利益的主体,是突破隐私利益个人主义保护的重要一步。在此之前,须考虑这一设想的逻辑是否自洽,是否与现有理论框架相容。这里包含两个问题:一是数据群组能否被识别为受法律保护的群体;二是隐私利益归于群体的理论基础。
“群体”往往依人群所拥有的共同背景来识别与界定,有共同目的的集体组织进一步被赋予群体性的权利,如集会、游行、示威的权利,针对环境污染提起集体诉讼的权利等。这些传统类型的群体均具备两个基本要素:一是在一定时期内,群体的形态相对稳固;二是群体成员有鲜明的自我意识,认同该群体的存在。如果从这两个基本特征来观察,数据群组并不被传统的群体概念所涵盖。一方面,互联网络瞬息万变,数据个体形成无数个分散、动态的数据节点,群组成员每时每刻都可能发生变化,具有相当强的流动性;另一方面,算法分类的方法会对数据个体随机地创建新的分组,个体很多时候根本无法意识到自己已经成为某个群组的一部分,难以具备对群体的自我意识。以大数据为基础创建的健康医疗数据群组,显然已经突破了传统群体的概念。这是否意味着数据群组不应当被识别为群体呢?实际上,数字化社会与算法分类的出现影响着我们对群体的识别,自动化的数据分析如机器学习和数据挖掘,已经悄然改变了群体的形成方式。首先,在算法分类中,我们根据某些预先设置的参数,可以识别出先前并不明显的群体。例如,通过任意选择某个或某几个参数,如早上7点跑步、体重70公斤以上,便能在数据库中准确识别出所有看似不相关、但表现出类似特征的数据主体,从而生成数据群组。其次,即使没有人工预先设置任何参数或数据特征,机器学习也能够从大量非结构化数据中自动推断、获取信息,发现数据之间先前难以察觉的相互关系,为个体识别与群组形成提供了新的手段。[注] 参见Lanah Kammourieh et al., Group Privacy in the Age of Big Data, in Linnet Taylor et al.(eds.), Group Privacy: New Challenges of Data Technologies, Springer, 2017, p.38. 这个过程是一个智能化的聚合过程,不同数据点之间的联系变得复杂且难以预料,群体可以自动地形成于庞大的数据集之中。这种自动化的群组形成方式,使得稳固性与自我意识这两个传统的基本要素在数据群组的构建中越来越不重要。鉴于此,大数据提供了群体形成的新路径,也带动我们对“群体”认知的转变。即使缺乏稳固性与成员的自我意识,被动形成的数据群组也应识别为受法律保护的群体。
隐私权与生俱来的个体属性是认可群体隐私利益的一大障碍。在隐私权理论发展中,逐渐形成六大类代表性定义[注] 包括个人独处理论、限制接触理论、秘密理论、个人信息控制理论、人格权理论与亲密关系理论。参见Daniel J. Solove, Conceptualizing Privacy, California Law Review, Vol.90, Issue 4, July 2002, p.1094. ,其概念呈现“令人不安的多样化形式”[注] James Q. Whitman, The Two Western Cultures of Privacy: Dignity Versus Liberty, The Yale Law Journal, Vol.113, Issue 6, 2004, p.1154. ,同时均存在着个体权利视角的局限[注] 参见Mantelero, Alessandro, Personal Data for Decisional Purposes in the Age of Analytics: From an Individual to A Collective Dimension of Data Protection, Computer Law and Security Review, Vol. 32, Issue 2, 2016, p.245. ,似乎并不能为群体性的隐私利益提供正当性依据。学者Edward Bloustein于1978年首次提出的“群体隐私”概念,曾被认为是对个体隐私权的理论突破。然而,这一突破事实上极为有限,因为在他的框架中仍然以隐私的个人主义理解为基础,并且在讨论中将群体又还原为个人。他将群体隐私定义为“一种人们在寻求与他人联系时的隐私形式。群体隐私是个人与群体中其他人发生联系的属性,而不是群体本身的属性。”[注] Edward J. Bloustein, Individual and Group Privacy, New Brunswick: Transaction Books, 1978, p.124. 核心在于,个人不仅在单独行事时需要受到隐私保护,在群体情景下行事时同样应得到隐私保护。Bloustein同时明确指出自己是拒绝整体论的个人主义者,由此直接驳斥了群体以群体名义拥有隐私利益的观念。鉴于此,Bloustein的群体隐私理论,仍然没有摆脱对隐私权个体属性的默认,只是将群体隐私作为个人隐私概念的附属,并无独立、可靠的理论基础。
现有的理论障碍并非意味着群体隐私的概念行不通。首先,相对于物理性隐私(physical privacy),我们在大数据背景下讨论的隐私属于信息性隐私(informational privacy)。两者具有明显的差异,物理性隐私具有清晰的边界性与可及性,以身体、住所、私人物理空间为依托,意味着物理性隐私利益一般以个体形式存在。而信息性隐私,体现的是在对信息进行数字化或其他形式的收集、储存、流通、分享中产生的隐私期待[注] 参见Terence Craig, Mary E. Ludloff, Privacy and Big Data: The Players, Regulators, and Stakeholders, Sebastopol: O’Reilly Media, 2011, p.14. ,信息本身所具有的模糊性、公共性、共享性,在个体性的权利表达之外为群体性隐私利益的认同留下余地。其次,现有的隐私理论并非完全不与群体隐私利益的设想相容。当我们将隐私作为一种“身份构成”来描述[注] 参见Luciano Floridi, The Informational Nature of Personal Identity, Minds and Machines, Vol.21, Issue 4, 2011. ,将隐私与身份信息的完整性联系起来,即能够作为群体隐私可行的理论基础。在这种路径下,身份由描述个体或者群体的信息所构成,保护隐私即是尊重“信息主体不被以不知情或无意的方式改变自己身份的权利”[注] Luciano Floridi, Group Privacy: A Defence and an Interpretation, in Linnet Taylor et al.(eds.), Group Privacy: New Challenges of Data Technologies, Springer, 2017, p.94. 。群体隐私的构想,即旨在保护群体身份的完整性,揭示了群体身份的共享对隐私的影响。这与完整论述信息隐私的Alan F. Westin观念一致,在他的定义中,群体也是信息隐私的主体。[注] Westin对信息隐私权的定义是“个人、群体或机构自主地决定何时、如何以及在何种程度上向他人传达自身信息的权利”。Alan F. Westin, Privacy and Freedom, New York: Atheneum, 1967, p.7. 由此,算法分类构建的数据群组拥有自身隐私利益的构想并不存在理论障碍,可以以控制群组身份的权利为理论基础予以承认,通过关注群体身份的完整性,以确保隐私得到全面保护,而不受数据分析、处理的影响。
分别称取0.500 g柠檬果醋试液,置于250 mL三角瓶中。加50 mL左右的水,并滴加2滴1%酚酞指示剂,用0.1 mol/L氢氧化钠标准滴定溶液,滴定至微红色30 s不褪色。记下滴定管上的数据,读数时应将视线与页面最低处相平,将此时的数值标位(V1)进行3次平行试验,同时做空白试验V2[8],计算方法见式(1)。
四、健康医疗大数据群体维度下的隐私保护
当我们将隐私权从个人主义转移至群体层面的考察,首先意味着对其私人属性的弱化,尤其是当我们考虑到个人隐私与公共健康利益的平衡关系时,似乎要求个体对自身隐私权作出让渡,并且加重了对健康医疗数据的共享义务。恰如生命伦理学家Art Caplan所言,为了潜在的公共利益,“现在是我们勉强地告别健康数据隐私的时候了”[注] Art Caplan, Why Privacy Must Die, http://thehealthcareblog.com/blog/2016/12/19/goodbye-privacy-we-hardly-knew-ye/, 最后访问日期2018年7月4日。 。个体权利与公共利益的平衡,证明了数据共享义务的合理性,但前述论断似乎过于悲观。为了公共健康利益的实现而全然牺牲个体隐私权利,这并非我们讨论的终点。倘若仅出于对公共健康目标的促进,对所有的健康医疗数据作出强制性共享的要求似乎更为直接和有效。这种办法显然相当极端,并充满了法律与现实的复杂性,极易遭致道德反感与社会性恐慌。因此,除非在极其特殊情况下,如为追踪流行病等,强制性的健康医疗数据共享永远不应当成为一般性的解决方案。我们努力的方向应当是在分散的个体控制与健康数据的强制性共享之间找到折中选择。如前所述,隐私利益群体维度的考察涉及三个方面的补充,由于前两者均涉及个体隐私权的实现问题,在此将其合并论述,即从个体隐私权与群体隐私利益两个层面展开:一是改变个体隐私权的实现方式,将其放在群体语境下去完成;二是认可与保护其中蕴含的群体隐私利益。
(一)个人隐私权在群体语境中的实现方式
将健康医疗数据包含的个体隐私权放在群体语境下考察,首先需要个体适当地降低隐私期待。大数据在健康医疗领域带来的个人隐私威胁,比人们普遍所认为的通常更为有限,有时候对健康信息的预测与推理甚至根本不涉及隐私。如文章开头所举关于研究预测某类人群患病概率的例子,表明大数据的分析预测通常不会揭示关于个人的隐私信息,因为对单一的个体而言,这些看似包含着自身健康信息的概率预测实际上是毫无意义的。基于此,个人隐私很多时候并不会受到健康医疗数据的大规模分析预测所生成大量概率信息的影响。另一方面,机器学习与数据挖掘技术,使研究人员在不直接掌握个体及其健康数据的情况下,也能够从外部的公共数据推断出个体原本期望保守秘密的医学事实。而关于“推断是否侵犯隐私”的问题,联邦最高法院Kyllo v. United States案[注] Kyllo v. United States, 533 U.S. 27 (2001).1992年,一名联邦探员怀疑Danny Kyllo在家中种植大麻,于是将热成像仪固定在Kyllo房屋的后街,探测房屋的热辐射。热成像结果显示车库屋顶与房间侧墙比房屋的其他部分温度都高,而且比其他相邻的房屋温度高许多。联邦探员据此确信Kyllo在家中使用卤化灯种植大麻,于是他申请并获得了搜查令。在随后的搜查中发现在Kyllo屋内的确生长有近百株大麻。Kyllo因此被起诉。Kyllo申请要求排除非法证据,而这一申请被法院驳回。 提供了一个很好的类比。该案中,尽管九位大法官在热成像技术性质的理解上存在分歧,但都认为推理不是搜查,并不违反隐私的合理期待。这种从外围的公共健康数据推断出个体健康信息的行为与之极为相似,区别在于物理性的房屋边界在这里变为抽象的信息边界,加之信息本身的模糊性,更不宜视为对个人隐私权的侵犯。
世界各地人民的民俗中也都要对红月的看法,都认为红月是不详之兆,将会给人带来灾难。这是世界各地人都有的一种普遍的意识,被称之为“集体无意识”。因此陀思妥耶夫斯基这个情境的描写能多数人所接受,主人公看到红月,也就联想到他未来的悲惨命运。
另一个重要方面是,转变针对健康医疗数据的个体同意与持续控制的理念。个体同意不应当再作为健康医疗数据收集与使用的前提。就个人数据处理而言,同意本就缺乏必要性与真实性。[注] 参见任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期。 个体同意与持续控制模式仅仅是收集与使用信息的合法性基础中一种代价颇高的选择。在“隐私的合理期待标准”下,个体隐私权是否受到侵犯也并不取决于个人数据是否被发现,而取决于如何被发现,使用是否合法。[注] 参见Jeffrey M. Skopek, Big Data’s Epistemology and Its Implications for Precision Medicine and Privacy, in I. Cohen et al.(eds.), Big Data, Health Law and Bioethics, Cambridge: Cambridge University Press, 2018, p.39. 我们应当建立原则上可不经个体同意、直接允许收集、使用的规则,转而将重心放在监管、规制如何合理使用这些健康医疗数据之上。可想而知,这一转变会遇有相当大的障碍。因为健康医疗数据相对于一般数据较为特殊,在多数研究中都将其作为隐私敏感度更高的数据类型。但基于前述分析,健康医疗数据利用带来的个人隐私威胁事实上并不如人们所想象的严重。公众对个人健康数据强烈的控制欲望,主要源于其对数据访问、使用及隐私规则的不知情或者充满疑虑。破除这种不信任的关键即在于,尽可能将整个利用过程透明化,使个体充分知晓健康数据的利用方式与去向,以拓宽知情与参与的方式弱化同意与控制。同时,可以借鉴美国学者提出的自律模式,为数据共同体提供参与各行业隐私政策制定的平台以减轻疑虑与不安。在这个过程中,个体对数据收集、利用的同意权,将转化为进入或者不进入特定的数据共同体、并参与集体决策过程的权利。[注] 参见Barbara J. Evans, Power to the People: Data Citizens in the Age of Precision Medicine, Vanderbilt Journal of Entertainment and Technology Law, Vol.19, Issue 2, 2017, p.263. 这与个体细密地针对每一项健康数据作出是否同意使用的过程相比将更有效率,也更有利于健康医疗数据资源价值的充分实现。
(二)对群体隐私利益的认可
承认群体隐私利益,需要对可识别信息重新进行解释。虽然个人可识别信息对于传统的数据处理活动仍然有用,但在健康医疗大数据时代,我们应重点关注关于类别或群组的信息。这意味着我们需要从对个体可识别健康信息的关注,转移至更广泛、包容的统计学意义上的可识别健康信息,比如某一家族、某一社群,甚至某一国家整体的基因特质或患病概率等。如前所述,大数据分析使得个体很多时候不再是中心。因为我们关注的不再是关于某个特定个体或一小群人的数据,而是大型和不确定的群体性数据。由此,某些收集、使用群体性健康医疗数据的做法,虽然不涉及个体隐私权的侵犯,但可能是违反群体隐私利益的行为。一个典型的例子是,从上世纪90年代中期开始,哈佛大学公共卫生学院、千禧制药公司等一些机构在我国安徽省偏远农村地区开展针对哮喘病、慢性阻碍性肺病的基因研究项目,该项目在当地进行了大规模的血液、基因样本筛选、采集。[注] 参见Margaret Sleeboom, The Harvard Case of Xu Xiping: Exploitation of the People, Scientific Advance, Or Genetic Theft, New Genetics and Society, Vol. 24, No. 1, April 2005, p.59-62;褚程骏、刘俊:《人类基因资源提取的跨国保护——基于哈佛大学在安徽的基因研究项目的个案分析》,载《法学》2002年第11期。 这些独一无二的基因数据成为制药公司无价的资源,显然也与社群隐私利益息息相关,甚至涉及国家层面的隐私利益。虽然这一事件引发大量关于生命伦理与国家基因安全的讨论,但由于群体隐私利益处于尚未被重视的灰色地带,难以受到有效的保护。关注统计学意义上可识别信息的尝试或许是一个好的开始。
在群体隐私利益框架的设想下,健康医疗数据群组中的成员作为整体,对该群组的健康数据以及以该群组名义进行的活动享有共同的利益。这有一些类似于消费者协会对侵害众多消费者共同合法权益的行为、环境保护组织针对污染环境侵害共同利益的行为提起公益诉讼的权利。区别在于,健康医疗领域的群体隐私侵犯,往往比消费者权益损害或环境损害更加微妙、难以追溯,而这不能否定群体隐私利益概念在健康医疗数据利用与保护中的巨大潜力。
另外,这里之所以强调群体隐私利益,而非群体隐私权,是考虑到群体隐私的概念或许尚未成熟到作为一种法律权利来对待,暂时还需要一个认识期与适应期。同时,也是为了减弱新权利的产生对现有权利的冲击。群体隐私利益有独立的价值,旨在保护群体身份的完整性,理论上不可还原为个人隐私权。而群体隐私权的提法,意味着将群体作为与个人完全平行的权利主体,不可避免会与现有的个人隐私权产生冲突。因此,在充分认识到群体拥有足够重要的隐私利益并上升到群体隐私权之前,宜以正式认可群体隐私利益的方式作为过渡。
结语
法学研究没有一成不变的范式。随着社会现实的变迁,传统的法律概念随时可能生发出新的属性。隐私权能够为个体提供保护,但是在健康医疗数据资源价值日益多元、隐私利益互相依存、并产生群体样态的大数据时代,仅将其理解为个体性的权利、单纯给予个人主义的保护是不现实的。公共健康利益价值追求的实现,有赖于健康医疗数据资源的有效整合与利用,这是不能采取个人主义保护观念的重要理由。另一个易被忽视的现实是,个体分散的自主决策已经不再能够为健康数据隐私利益提供充分保护,集体力量反而变得更为有效。因此,个人主义向群体维度的转化也许会在某个时点变成自发的行动。这也启发我们,需要在法律与政策的激励机制上作出转变,公共健康利益在价值权衡中并不总是唯一的考虑因素,在“隐私敏感”的时代,自利性价值的追求或许是说服人们放弃对个人健康医疗数据的绝对性控制、走出囚徒困境更加有力的理由。因为,没有人是大数据时代的孤岛。
Subject :Group Dimension of Privacy in Health and Medical Care Big Data
Author &unit :LIU Shiguo, XIONG Jingwen
(Law School, Fudan University, Shanghai 200438, China)
Abstract :Because of the structural changes of health and medical data in the context of big data, the isolated individual privacy interests become interdependent, at the same time group privacy come into being. The individual privacy protection mechanism provided by the current health care privacy rules is almost out of work, and we lack the framework of group privacy, which expose the drawbacks of individualism protection model. In order to adapt to the new characteristics of health care privacy interests in times of big data, identifying the group dimension of privacy interests might be an effective attempt. The bioethics evolving from individual autonomy to social collaboration, public attributes of health and medical care data, the logic of group privacy justify this idea. Identifying the group dimension of privacy means that personal privacy need be implemented in the group context, individuals have to reduce their privacy expectations appropriately, and individual consent and continuous control of health and medical data should be reduced. On the other hand, the existence of group privacy interests need to be recognized. The focus on individually identifiable health information should be transferred to the statistically identifiable health information of group.
Key words :health and medical care; big data; privacy interests; individualism; group dimension
收稿日期: 2019-02-21
基金项目: 本文为上海市教育委员会科研创新计划人文社科重大项目《中国特色民法典理论研究》(2017-01-07-00-07-E00003)的阶段性成果,并受国家留学基金委《国家建设高水平大学公派研究生项目》(留金发[2017]3109)资助。
作者简介: 刘士国(1954-),男,山东禹城人,法学博士,复旦大学法学院教授、博士生导师,研究方向:民法总论、民法解释学、侵权责任法、医事法;熊静文(1990-),女,湖北荆州人,复旦大学法学院、伊利诺伊大学法学院联合培养博士研究生,研究方向:侵权责任法、医事法。
中图分类号: D923.7
文献标志码: A
文章编号: 1009-8003(2019)03-0125-11
[责任编辑:满洪杰]