数字时代个人健康信息合理使用中的利益冲突与弥合
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数字时代个人健康信息合理使用中的利益冲突与弥合
作者:何红锋张宇轩
来源:《科技与法律》2023年第04期
摘要:合理使用个人健康信息是数字时代的务实选择,但其引发的利益冲突问题同样值得深思。
个人健康信息攸关多方利益,信息保护和开发都是不可偏废的。
“设计保护”是适应时代发展的新模式,可为实现冲突弥合提供解决思路。
通过“设计”实现个人健康信息合理使用中的冲突弥合需依靠伦理、法律和技术融合治理:在伦理指引上,应以以人为本、安全无害、公平公正、透明可控和正和共赢为价值追求;在法律要求上,应以“敏感个人信息处理规则”和“信息合理使用规则”为基本遵循,对处理目的、处理手段和保护措施予以约束;在技术支撑上,应从系统要素确定、保护措施选择、运行流程设计和设计方案改进四个方面推进。
基于个人健康信息合理使用的场域性,“设计保护”的适用应把握重点,实现各方利益的帕累托最优。
关键词:大数据技术;个人健康信息;信息合理使用;设计保护;利益平衡
中图分类号:D 923.8 文献标志码:A 文章编号:2096⁃9783(2023)04⁃0043⁃10
大数据技术与医疗健康技术的融合发展引发了一场“健康革命”,使个人健康信息成为社会发展的新动能,加快信息开发成为社会共识。
知情同意规则在应对当前语境切换时显得左支右绌,信息合理使用是指无须经主体同意,为维护正当利益而使用其个人信息[1],可为推进信息共享提供思路。
2021年《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)出台,其第十三条第一款第二至七项(以下简称信息合理使用规则)为合理使用个人健康信息提供了法律注脚。
由于无须获取同意,信息合理使用会对主体自决产生遮蔽效应,频发的个人健康信息安全事件引发社会热议。
个人健康信息攸关多方利益,如何在既有框架下规范个人健康信息合理使用,实现信息安全和共享的耦合,化解利益冲突是亟待解决的痛点问题。
数字时代,处理者的非具身性、处理行为的无形性、损害结果的不可逆性等问题导致依托于公平实践原则的传统治理模式难以奏效。
若要走出困境,还需探索一套更符合时代特征的治理模式,强调事先预防的“设计保护”是一条充满希望的新路径。
一、个人健康信息合理使用中的权益之争
大数据技术加强了个体与社会的依系关系,使个人健康信息超脱个人领域成为辅助社会治理和观照人民生命健康权的益品[2]。
域外纷纷推出立法推进健康信息共享,如美国《21世纪治愈法案》、日本《次世代医疗基础法》、澳大利亚《我的健康记录规则》等。
2018年,我国国务院办公厅发布《关于促进“互联网+医疗健康”发展的意见》,指明了健康产业数字化的发展方向。
2020年新冠疫情的暴发将健康关注的目光由“个人”转向“整体”,个人健康信息的利用需求被推向极致,信息处理也由“ 权利导向”转向“ 责任导向” [3]。
技术昌明时代,信息个人控制主义备受诘难,一味固守知情同意显得不合时宜,信息合理使用的重要性日益凸显。
然而,合理使用个人健康信息的副作用也不容忽视。
当下,信息合理使用与大数据技术的对接使得信息风险轮廓改变,风险从物理转向系统、技术层面,主要包括:(1)角色错位,数字科技企业主导了当下信息驱动的健康服务市场,但其是否需遵循特定職业伦理和法律,尚不明晰,这使其可能无意识突破法律底线①;(2)隐私越界,数据转化技术可根据人机互动产生的数字痕迹揭示主体健康信息,这可能会破坏信息交互语境,造成隐私越界;(3)信息外泄,个人健康信息处理多需分布式传输和去中心化储存,共享流程简化、权责界定困难,流通边界模糊等问题使信息极易外泄;(4)信息滥用,个人健康信息附着丰富价值,极易被过度开发,信息滥用带来的“有害记忆”,如为主体刻下电子烙印,歧视、污名化等问题将接踵而至。
数字时代,公益与私权的博弈在个人健康信息合理使用中被展现得淋漓尽致,若全然不顾信息安全,则将引发“寒蝉效应”,但若一味强调主体控制,又将导致“信息烟囱”,如何实现利益冲突弥合成为无法回避的议题。
二、个人健康信息合理使用的法理解读
若要实现利益冲突弥合,应先从法理层面对个人健康信息的内涵、其合理使用的制度精神及处理中的利益关系进行剖析。
(一)个人健康信息的内涵厘定
我国《个人信息保护法》第二十八条将个人健康信息认定为敏感个人信息,但就何为个人健康信息并未过多着墨。
当前我国有关文件对个人健康信息②的表述不一,如表1所示,其内涵还需明晰。
首先,个人健康信息是“大健康场景”下产生的信息。
个人信息应被置于场景中解读[4],个人健康信息的研究肇始于医疗领域,先前常以医疗信息代替健康信息,但健康服务的多元发展使信息的产出超脱狭隘的医疗场景[5],演变为所有与健康相关的社会领域,外延也日益丰富,包括临床信息、医学试验信息、健康管理信息等。
其次,个人健康信息是反映主体内在健康状况的信息。
个人健康信息承载的是主体生理与心理的健康状态。
生理健康信息和生物识别信息均是主体物理身体的集中反映,但生物识别信息主要反映主体外在生物特征,而生理健康信息侧重揭示信息与生老病死间的联系。
以基因信息为例,其是主体DNA链中带有遗传本质的信息,可揭示主体的生物特征和健康状态。
美国《健康保险携带和责任法案》将基因信息归为健康信息;欧盟《通用数据保护条例》(以下简称GDPR)将其与生物识别信息、有关健康的数据并列;巴西《通用数据保护法》则将三者杂糅为一种信息。
我国尚未明确基因信息归属,笔者认为其归属应依场景分析,若处理者利用其进行基因筛查,完成遗传疾病等深层测算,应被认定为生理健康信息;若利用碱基排序识别个人,则应被认定为生物识别信息。
最后,个人健康信息是具有可识别性的信息。
个人健康信息不仅包括可直接识别出主体的信息,如电子病历等,也包括具有间接识别性的医保支付记录、输血麻醉记录、健康检测设备ID等。
综上,个人健康信息是主体在医疗、健康管理、公共卫生等“大健康场景”中产生的,反映其内在身心健康,具有可识别性的信息。
(二)个人健康信息合理使用的规则解读
先前,《中华人民共和国精神卫生法》《中华人民共和国传染病防治法》等立法中均设有关于个人健康信息合理使用的零星规定,但适用范围过于狭窄。
2020年《中华人民共和国民法典》出台,其通过第九百九十九条和第一千零三十六条将信息合理使用纳入民法规制范畴;2021年我国《个人信息保护法》出台,其第十三条“信息合理使用规则”列举了合理使用的法定情形③,成为我国个人健康信息合理使用的核心理据。
我国《个人信息保护法》第十三条将“知情同意规则”和“信息合理使用规则”列为平级的信息处理方式,旨在通过干预主体的信息自决,有序推进信息共享。
“信息合理使用规则”利用价值优先评价机制,当信息使用价值高于主体自主价值时,优先保障使用价值的实现。
个人健康信息上
集结多方利益,林林总总的利益间发生纠葛是极为常见的,“信息合理使用规则”的应用可有效缓解信息保护和利用间的冲突。
在法条设计上,“信息合理使用规则”通过“赋权”要件允许主体特定情况下强制使用个人信息,再搭配“限权”要件(“必需”或“合理范围”)收敛处理者行为。
(三)个人健康信息合理使用中的利益关系
个人健康信息兼顾情感功能和工具功能,汇集多方利益,在其合理使用中各项利益间呈隐性的对抗关系[6]。
(1)人格利益。
个人健康信息承载的是主体有关精神、身体状况的私密细节,所蕴含的人格要素甚巨。
主体对自身健康信息的控制即是对其人格发展、亲密关系、私密空间的自主选择。
(2)社会利益。
个人健康信息开发对增进公共健康颇有裨益,许多公共卫生和医学研究都需依靠个人健康信息提升研究精度。
当前世界各国都在积极构建健康数据库[7],如英国人群生物资料库,我国国家基因库样本信息共享平台等。
(3)商业利益。
个人健康信息是健康产业数字化的重要原料,对推进产业转型,优化服务质量意义重大。
在信息合理使用中,个人健康信息的情感功能和工具功能被置于利益天平两端,其中情感功能衍生出主体的人格利益,工具功能派生出社会利益和商业利益。
合规的信息合理使用可在保障信息安全的前提下,推动公共利益和商业利益的实现,保持利益天平稳定,而失范的信息合理使用则将打破利益平衡,使利益冲突从隐性转为显性。
三、通过“设计”实现个人健康信息合理使用中冲突弥合的思路
当前部分个人健康信息合理使用不仅未能体现平衡精神,反而激化利益冲突。
究其根本,是因为处理者过度侵占主体权益,导致制度运行陷入恶性循环。
(一)个人健康信息合理使用中冲突弥合的对策取向
依据康德的“人是目的”的伦理观,无论是社会公共利益还是产业发展利益,最终都应落实到“人”上。
尊重人格是健康服务的大厦之基[3],即使算法将主体分解为一个个生物数字符号,其人格也不会在信息洪流中被消耗殆尽。
处理者应认识到个人健康信息荷载的人格要素,坚持安全为先的价值立场。
“风险社会”的背景下,不当的信息使用会给主体带来难以预计的信息风险,这是激化利益冲突的主要症结,所以利益冲突弥合应以确保行为的合法合规为主线。
传统治理方式依托于公平实践原则,依靠知情同意实现主体风险自治,并在侵权行为出现时通过事后救济弥补主体损失。
但信息合理使用缺乏主体同意的要素,与公平实践原则并不适配,且个人健康信息受损具有不可逆性,寄希望单纯依靠“查漏补缺”式事后救济是难以填平主体损失,实现利益平衡的[8]。
相较于事后的算法问责,事先的算法预防显然更具成本效益。
“元规制”要求通过外部规范刺激规制对象针对问题做出源头的、自我规制式的回应[9],可为化解利益冲突提供思路。
亚太经合组织《隐私保护纲领》第14条便规定了预防损害原则;新加坡《个人
信息保护法》亦是将预防性保护作为内核,在立法中一以贯之;我国《个人信息保护法》第七条规定的“透明原则”、第五十五条的“事先评估”也都体现了“元规制”理念。
(二)个人健康信息合理使用中冲突弥合的解决工具
“元规制”的实施需依托于适宜工具,“设计保护”作为一项组织自我治理的手段,可为其提供工具支持。
“设计保护”要求处理者在系统设计伊始,解读相关法规,并将其融入系统DNA 之中,以控制系统。
起初,“设计保护”是在计算机领域被广泛应用的一种安全保障措施,后被作为一项公共政策在个人信息保护领域被多次提及,其中最经典论述便是加拿大AnnCavoukian博士提出的“隐私设计”理论,其阐释了“设计”的七项内容,包括事先预防、默认保护、嵌入系统、完整功能、全生命周期保护、用户至上和可视透明[10]。
“设计保护”成为一项正式的法律规则则经历了漫长的发展过程。
在2008年“I v. Finland”案④中,法院认为芬兰未通过技术措施全面记录查阅健康记录的人员,违反了《欧洲保护人权和基本自由公约》中规定的积极作为义务。
尽管本案法院并未正面提及“设计保护”,但其判决的要旨体现了“设计保护”的思维方式,被认为是培育“设计保护”规则的重要判例[11]。
在立法层面,欧盟《数据保护指令》序言第46段曾表示应采取“适当的技术和组织措施”,“在处理系统设计时和处理时”保护数据利益[12]。
2018年,欧盟GDPR生效,其第25条规定了处理者的“设计保護”义务,“设计保护”正式成为有法可循的硬性要求。
2020年,欧洲数据保护委员会又通过《关于第25条数据保护的指导方针》,用以指导“设计保护”条款的应用。
时至今日,“设计保护”被作为处理者的法定义务出现在多国立法中,如英国信息专员办公室的《数据保护指南》、法国国家信息与自由委员会的《GDPR开发者指南》、西班牙数据保护局的《隐私设计指南》等。
实践中,谷歌、苹果、腾讯等互联网企业均在积极探索将“设计保护”嵌入产品,且颇具成效。
“设计保护”的核心内容有三[13]:一是规则嵌入系统,保证系统运行有规可循;二是系统默认保护,即在默认情况下选择最安全信息处理配置[11],可提高主体对信息合理使用的钝感系数;三是通过“正和博弈”,链接各利益攸关方,平衡各方利益。
虽我国《个人信息保护法》并未直接规定“设计保护”,但依解释论仍可为其运行找到有力支撑。
我国《个人信息保护法》第九条规定了“必要保护”原则,要求信息处理应附加必要保障措施,“设计保护”本质上是依法选择和部署隐私增强技术,可直接对接第九条。
此外,我国《个人信息保护法》第二十八条的“严格保护”要求、第五十一条对保护措施要件的阐释均可为其运行提供具体指引。
(二)个人健康信息合理使用的规则解读
先前,《中华人民共和国精神卫生法》《中华人民共和国传染病防治法》等立法中均设有关于个人健康信息合理使用的零星规定,但适用范围过于狭窄。
2020年《中华人民共和国民法典》出台,其通过第九百九十九条和第一千零三十六条将信息合理使用纳入民法规制范畴;2021年我国《个人信息保护法》出台,其第十三条“信息合理使用规则”列举了合理使用的法定情形③,成为我国个人健康信息合理使用的核心理据。
我国《个人信息保护法》第十三条将“知情同意规则”和“信息合理使用规则”列为平级的信息处理方式,旨在通过干预主体的信息自决,有序推进信息共享。
“信息合理使用规则”利用价值优先评价机制,当信息使用价值高于主体自主价值时,优先保障使用价值的实现。
个人健康信息上集结多方利益,林林总总的利益间发生纠葛是极为常见的,“信息合理使用规则”的应用可有效缓解信息保护和利用间的冲突。
在法条设计上,“信息合理使用规则”通过“赋权”要件允许主体特定情况下强制使用个人信息,再搭配“限权”要件(“必需”或“合理范围”)收敛处理者行为。
(三)个人健康信息合理使用中的利益关系
个人健康信息兼顾情感功能和工具功能,汇集多方利益,在其合理使用中各项利益间呈隐性的对抗关系[6]。
(1)人格利益。
个人健康信息承载的是主体有关精神、身体状况的私密细节,所蕴含的人格要素甚巨。
主体对自身健康信息的控制即是对其人格发展、亲密关系、私密空间的自主选择。
(2)社会利益。
个人健康信息开发对增进公共健康颇有裨益,许多公共卫生和医学研究都需依靠个人健康信息提升研究精度。
当前世界各国都在积极构建健康数据库[7],如英国人群生物资料库,我国国家基因库样本信息共享平台等。
(3)商业利益。
个人健康信息是健康产业数字化的重要原料,对推进产业转型,优化服务质量意义重大。
在信息合理使用中,个人健康信息的情感功能和工具功能被置于利益天平两端,其中情感功能衍生出主体的人格利益,工具功能派生出社会利益和商业利益。
合规的信息合理使用可在保障信息安全的前提下,推动公共利益和商业利益的实现,保持利益天平稳定,而失范的信息合理使用则将打破利益平衡,使利益冲突从隐性转为显性。
三、通过“设计”实现个人健康信息合理使用中冲突弥合的思路
当前部分个人健康信息合理使用不仅未能体现平衡精神,反而激化利益冲突。
究其根本,是因为处理者过度侵占主体权益,导致制度运行陷入恶性循环。
(一)个人健康信息合理使用中冲突弥合的对策取向
依据康德的“人是目的”的伦理观,无论是社会公共利益还是产业发展利益,最終都应落实到“人”上。
尊重人格是健康服务的大厦之基[3],即使算法将主体分解为一个个生物数字符号,其人格也不会在信息洪流中被消耗殆尽。
处理者应认识到个人健康信息荷载的人格要素,坚持安全为先的价值立场。
“风险社会”的背景下,不当的信息使用会给主体带来难以预计的信息风险,这是激化利益冲突的主要症结,所以利益冲突弥合应以确保行为的合法合规为主线。
传统治理方式依托于公平实践原则,依靠知情同意实现主体风险自治,并在侵权行为出现时通过事
后救济弥补主体损失。
但信息合理使用缺乏主体同意的要素,与公平实践原则并不适配,且个人健康信息受损具有不可逆性,寄希望单纯依靠“查漏补缺”式事后救济是难以填平主体损失,实现利益平衡的[8]。
相较于事后的算法问责,事先的算法预防显然更具成本效益。
“元规制”要求通过外部规范刺激规制对象针对问题做出源头的、自我规制式的回应[9],可为化解利益冲突提供思路。
亚太经合组织《隐私保护纲领》第14条便规定了预防损害原则;新加坡《个人信息保护法》亦是将预防性保护作为内核,在立法中一以贯之;我国《个人信息保护法》第七条规定的“透明原则”、第五十五条的“事先评估”也都体现了“元规制”理念。
(二)个人健康信息合理使用中冲突弥合的解决工具
“元规制”的实施需依托于适宜工具,“设计保护”作为一项组织自我治理的手段,可为其提供工具支持。
“设计保护”要求处理者在系统设计伊始,解读相关法规,并将其融入系统DNA 之中,以控制系统。
起初,“设计保护”是在计算机领域被广泛应用的一种安全保障措施,后被作为一项公共政策在个人信息保护领域被多次提及,其中最经典论述便是加拿大AnnCavoukian博士提出的“隐私设计”理论,其阐释了“设计”的七项内容,包括事先预防、默认保护、嵌入系统、完整功能、全生命周期保护、用户至上和可视透明[10]。
“设计保护”成为一项正式的法律规则则经历了漫长的发展过程。
在2008年“I v. Finland”案④中,法院认为芬兰未通过技术措施全面记录查阅健康记录的人员,违反了《欧洲保护人权和基本自由公约》中规定的积极作为义务。
尽管本案法院并未正面提及“设计保护”,但其判决的要旨体现了“设计保护”的思维方式,被认为是培育“设计保护”规则的重要判例[11]。
在立法层面,欧盟《数据保护指令》序言第46段曾表示应采取“适当的技术和组织措施”,“在处理系统设计时和处理时”保护数据利益[12]。
2018年,欧盟GDPR生效,其第25条规定了处理者的“设计保护”义务,“设计保护”正式成为有法可循的硬性要求。
2020年,欧洲数据保护委员会又通过《关于第25条数据保护的指导方针》,用以指导“设计保护”条款的应用。
时至今日,“设计保护”被作为处理者的法定义务出现在多国立法中,如英国信息专员办公室的《数据保护指南》、法国国家信息与自由委员会的《GDPR开发者指南》、西班牙数据保护局的《隐私设计指南》等。
实践中,谷歌、苹果、腾讯等互联网企业均在积极探索将“设计保护”嵌入产品,且颇具成效。
“设计保护”的核心内容有三[13]:一是规则嵌入系统,保证系统运行有规可循;二是系统默认保护,即在默认情况下选择最安全信息处理配置[11],可提高主体对信息合理使用的钝感系数;三是通过“正和博弈”,链接各利益攸关方,平衡各方利益。
虽我国《个人信息保护法》并未直接规定“设计保护”,但依解释论仍可为其运行找到有力支撑。
我国《个人信息保护法》第九条规定了“必要保护”原则,要求信息处理应附加必要保障措施,“设计保护”本质上是依法选择和部署隐私增强技术,可直接对接第九条。
此外,我国《个人信息保护法》第二十八条的“严格保护”要求、第五十一条对保护措施要件的阐释均可为其运行提供具体指引。
(二)个人健康信息合理使用的规则解读
先前,《中华人民共和国精神卫生法》《中华人民共和国传染病防治法》等立法中均设有关于个人健康信息合理使用的零星规定,但适用范围过于狭窄。
2020年《中华人民共和国民法典》出台,其通过第九百九十九条和第一千零三十六条将信息合理使用纳入民法规制范畴;2021年我国《个人信息保护法》出台,其第十三条“信息合理使用规则”列举了合理使用的法定情形③,成为我国个人健康信息合理使用的核心理据。
我国《个人信息保护法》第十三条将“知情同意规则”和“信息合理使用规则”列为平级的信息处理方式,旨在通过干预主体的信息自决,有序推进信息共享。
“信息合理使用规则”利用价值优先评价机制,当信息使用价值高于主体自主价值时,优先保障使用价值的实现。
个人健康信息上集结多方利益,林林总总的利益间发生纠葛是极为常见的,“信息合理使用规则”的应用可有效缓解信息保护和利用间的冲突。
在法条设计上,“信息合理使用规则”通过“赋权”要件允许主体特定情况下强制使用个人信息,再搭配“限权”要件(“必需”或“合理范围”)收敛处理者行为。
(三)个人健康信息合理使用中的利益关系
个人健康信息兼顾情感功能和工具功能,汇集多方利益,在其合理使用中各项利益间呈隐性的对抗关系[6]。
(1)人格利益。
个人健康信息承载的是主体有关精神、身体状况的私密细节,所蕴含的人格要素甚巨。
主体对自身健康信息的控制即是对其人格发展、亲密关系、私密空间的自主选择。
(2)社会利益。
个人健康信息开发对增进公共健康颇有裨益,许多公共卫生和医学研究都需依靠个人健康信息提升研究精度。
当前世界各国都在积极构建健康数据库[7],如英国人群生物资料库,我国国家基因库样本信息共享平台等。
(3)商业利益。
个人健康信息是健康产业数字化的重要原料,对推进产业转型,优化服务质量意义重大。
在信息合理使用中,个人健康信息的情感功能和工具功能被置于利益天平两端,其中情感功能衍生出主体的人格利益,工具功能派生出社会利益和商业利益。
合规的信息合理使用可在保障信息安全的前提下,推动公共利益和商业利益的实现,保持利益天平稳定,而失范的信息合理使用则将打破利益平衡,使利益冲突从隐性转为显性。
三、通过“设计”实现个人健康信息合理使用中冲突弥合的思路
当前部分个人健康信息合理使用不仅未能体现平衡精神,反而激化利益冲突。
究其根本,是因为处理者过度侵占主体权益,导致制度运行陷入恶性循环。
(一)个人健康信息合理使用中冲突弥合的对策取向
依据康德的“人是目的”的伦理观,无论是社会公共利益还是产业发展利益,最终都应落实到“人”上。
尊重人格是健康服务的大厦之基[3],即使算法将主体分解为一个个生物数字符号,其人格也不会在信息洪流中被消耗殆尽。
处理者应认识到个人健康信息荷载的人格要素,坚持。