洪欣琳
2021年6月,《國務(wù)院辦公廳關(guān)于推動公立醫(yī)院高質(zhì)量發(fā)展的意見》發(fā)布,指出醫(yī)療大數(shù)據(jù)建設(shè)成為我國衛(wèi)生事業(yè)的重要發(fā)展目標(biāo),應(yīng)以互聯(lián)網(wǎng)技術(shù)賦能,實(shí)現(xiàn)從傳統(tǒng)醫(yī)學(xué)到信息醫(yī)學(xué)的巨大轉(zhuǎn)變。信息醫(yī)學(xué)時代,個人醫(yī)療數(shù)據(jù)信息在提升醫(yī)療服務(wù)質(zhì)量、轉(zhuǎn)變醫(yī)療服務(wù)模式,甚至惠及全民醫(yī)療衛(wèi)生事業(yè)方面的作用不可小覷。然而,高強(qiáng)度的信息處理也會顯著增大個人醫(yī)療數(shù)據(jù)信息被侵犯之風(fēng)險,進(jìn)而導(dǎo)致個人醫(yī)療數(shù)據(jù)信息保護(hù)的危機(jī)。作為高度敏感信息,個人醫(yī)療數(shù)據(jù)信息被侵犯的風(fēng)險不僅會危及其正常生活,極易導(dǎo)致其生理與心理的雙重傷害,且以長遠(yuǎn)計,還必然會妨礙國家信息醫(yī)學(xué)的戰(zhàn)略推進(jìn)與公共醫(yī)療的進(jìn)步發(fā)展。
本文立足于我國醫(yī)療大數(shù)據(jù)發(fā)展背景,擬分析個人醫(yī)療數(shù)據(jù)信息法律保護(hù)不力的客觀現(xiàn)實(shí)與原因,并借鑒域外個人醫(yī)療數(shù)據(jù)信息保護(hù)相關(guān)法治建設(shè)情況,結(jié)合我國實(shí)踐提出個人醫(yī)療數(shù)據(jù)信息保護(hù)的對策與建議,以期能促進(jìn)個人醫(yī)療數(shù)據(jù)信息的長效保護(hù),助力我國“互聯(lián)網(wǎng)+醫(yī)療健康”的長足發(fā)展。
我國對個人醫(yī)療數(shù)據(jù)信息的一般釋義尚無專門規(guī)定,在不同的辦法、標(biāo)準(zhǔn)等文件中,關(guān)于個人醫(yī)療數(shù)據(jù)信息的法律術(shù)語及其內(nèi)涵各有差異。①結(jié)合個人信息的可識別性等特征,“個人醫(yī)療數(shù)據(jù)信息”是指在疾病預(yù)防、診斷、治療等全部醫(yī)療過程中所獲取的與個人身心健康狀況相關(guān)的信息,是與特定個人相關(guān)聯(lián)、反映個體特征、具有可識別性的符號。[1]“健康信息”的外延隨著醫(yī)療衛(wèi)生產(chǎn)業(yè)的發(fā)展不斷擴(kuò)充,其可分為四大類:個人基本信息、個人診療信息、個人體檢信息與遺傳基因信息。“個人基本信息”即指輔助診療中的一般個人信息,如姓名、身份證號、家庭住址、電話號碼、醫(yī)保信息等;“個人診療信息”指的是既往病史、用藥記錄、病程記錄等;“個人體檢信息”指體檢結(jié)果、生活習(xí)慣、健康檢測結(jié)果、健康評估等;“遺傳基因信息”是指反映主體遺傳本質(zhì)的信息,其不僅與個體有關(guān),還可推算出家族等群體的健康狀況,例如家族病史、遺傳病史等。此外,“個人醫(yī)療數(shù)據(jù)信息”的外延隨著信息醫(yī)學(xué)產(chǎn)業(yè)的發(fā)展不斷擴(kuò)充,已然包含慢性病或老年病等疾病的日常健康管理信息、穿戴式APP所記錄的生理健康數(shù)據(jù)、遠(yuǎn)程診療的個人地理位置、語音與視頻信息、遠(yuǎn)程醫(yī)療云和影像云平臺的健康云信息等新興內(nèi)容;其外延的擴(kuò)充,意味著高強(qiáng)度的信息處理活動頻繁,從而導(dǎo)致信息泄露的風(fēng)險增加。因此,個人醫(yī)療數(shù)據(jù)信息亟待法律保護(hù),這一點(diǎn)在信息醫(yī)學(xué)發(fā)展的特殊背景下尤為凸顯。
“個人敏感信息”,是指一旦被泄漏或?yàn)E用,極易危及人身、財產(chǎn)安全或?qū)е氯烁褡饑?yán)受到損害、歧視性待遇的個人信息。[2]我國《個人信息保護(hù)法》第二十八條列舉了“生物識別、醫(yī)療健康、金融賬戶”等具體的信息類型,明確個人醫(yī)療數(shù)據(jù)信息屬于敏感個人信息。相較于一般個人信息,敏感個人信息的泄漏具有損害個人人格權(quán)的高風(fēng)險性,因?yàn)閭€人醫(yī)療數(shù)據(jù)信息所承載的是其主體的精神的、心理的和身體等隱秘細(xì)節(jié)與具體內(nèi)容,一旦發(fā)生泄露或?yàn)E用等侵犯行為,不僅其主體容易遭致人身歧視、下游犯罪等社會性問題,同時勢必嚴(yán)重?fù)p害主體的就業(yè)權(quán)、自由權(quán)等帶有人權(quán)性質(zhì)的基本權(quán)利。因此,個人醫(yī)療數(shù)據(jù)信息的高度敏感性決定了其應(yīng)當(dāng)適用更加嚴(yán)苛的保護(hù)規(guī)則。
2020年,全世界針對醫(yī)療行業(yè)的APT攻擊②事件增加了117%;其中,在我國發(fā)生的APT攻擊中,被黑客入侵的重點(diǎn)區(qū)域即醫(yī)療衛(wèi)生行業(yè)占據(jù)了23.7%③不僅如此,信息處理主體的多元性與處理場景的復(fù)雜性,亦使得個人醫(yī)療數(shù)據(jù)信息泄露事件頻發(fā),如在“佛山基因歧視案”中,3名初試成績優(yōu)異的考生因在復(fù)試體檢中被查出攜帶有地中海貧血基因而被拒絕錄用,嚴(yán)重侵犯個人就業(yè)權(quán)[3];又如,存某某在北京市肛腸醫(yī)院就診后病歷信息被泄露,致使其肛腸手術(shù)視頻以光盤形式在網(wǎng)站公然售賣,給尚在哺乳期的存某某造成經(jīng)常失眠并記憶力下降的精神損害;再如,黃山縣人民醫(yī)院未經(jīng)時某同意,致使其人流信息在黃山縣流傳,嚴(yán)重侵犯其名譽(yù)權(quán)。④特別是新冠疫情期間,確診患者疫病信息被惡意披露事件頻發(fā)亦如是,引發(fā)多輪網(wǎng)絡(luò)謾罵與現(xiàn)實(shí)騷擾⑤,不僅侵犯個人人格尊嚴(yán),更嚴(yán)重影響政府公信力與防疫工作有序推進(jìn)。不斷發(fā)生的信息被泄露事件表明,加強(qiáng)對個人醫(yī)療數(shù)據(jù)信息的保護(hù)刻不容緩。
目前,我國針對個人醫(yī)療數(shù)據(jù)信息保護(hù)的法律法規(guī)主要是行政法規(guī)和推薦性標(biāo)準(zhǔn),對公民個人醫(yī)療數(shù)據(jù)的保護(hù)具有一定的滯后性,亟需從立法層面予以修正和完善。
我國對個人醫(yī)療數(shù)據(jù)信息的法律保護(hù)散見于各類醫(yī)療衛(wèi)生法律法規(guī)、民事法律以及相關(guān)司法解釋中?!吨腥A人民共和國民法典》(以下簡作《民法典》)給予個人信息以私法保護(hù),規(guī)定個人私密信息適用隱私權(quán)的規(guī)定,并要求醫(yī)務(wù)人員對泄密行為承擔(dān)民事侵權(quán)責(zé)任。《個人信息保護(hù)法》對“敏感個人信息”作出界定,列舉了單獨(dú)同意規(guī)則、額外通知規(guī)則、限制未成年人規(guī)則等。此外,部分醫(yī)療法律法規(guī)亦對健康(醫(yī)療)信息或隱私保護(hù)作出粗略規(guī)定。⑥
然而,當(dāng)前我國個人醫(yī)療數(shù)據(jù)信息保護(hù)的立法不足以形成完整的法律保護(hù)框架,缺乏可實(shí)施性,難以有效保護(hù)個人醫(yī)療數(shù)據(jù)信息。首先,《民法典》對個人醫(yī)療數(shù)據(jù)信息保護(hù)僅作原則性表達(dá),將傳統(tǒng)民事制度與個人信息保護(hù)的有關(guān)制度融為一體,使得《民法典》“人格權(quán)編”有關(guān)個人信息的條款與其他人格權(quán)規(guī)定不一樣;雖然帶有專門化的特點(diǎn),但是由于條文太過簡單,無法形成與《個人信息保護(hù)法》的統(tǒng)一,勢必會在今后的應(yīng)用中出現(xiàn)矛盾并造成諸多的不確定性。[4]其二,《個人信息保護(hù)法》難以實(shí)現(xiàn)個人醫(yī)療數(shù)據(jù)信息的特殊性保護(hù)需求,缺乏對個人醫(yī)療數(shù)據(jù)信息的嚴(yán)格使用規(guī)則、刪除處理、泄露告知義務(wù)等實(shí)踐中所需遵守之具體規(guī)定。其三,制訂醫(yī)療衛(wèi)生法律法規(guī)的主要目的在于促進(jìn)我國健康醫(yī)療服務(wù)水平,而信息保護(hù)并非其重點(diǎn)規(guī)制的內(nèi)容,故大部分醫(yī)療類法律法規(guī)的相關(guān)條款都只有1~2條。
“知情-同意”原則是個人信息權(quán)利或權(quán)益得以實(shí)現(xiàn)的首要機(jī)制。然而,個人醫(yī)療數(shù)據(jù)信息的收集、存儲、處理到加值利用⑦等各個環(huán)節(jié)均具備不可預(yù)測性,信息處理者通常會違背信息的最初收集或者使用之目的,特別是利用大數(shù)據(jù)分析和挖掘技術(shù)對大量個人醫(yī)療數(shù)據(jù)信息進(jìn)行二次處理。即是說,藉由大數(shù)據(jù)分析技術(shù)找到并確定信息之間的相關(guān)性,以此生成預(yù)測并應(yīng)用于疫情監(jiān)測、AI診療、遠(yuǎn)程診斷等公共領(lǐng)域或私人領(lǐng)域的醫(yī)療信息服務(wù)。
比較法領(lǐng)域,處理個人醫(yī)療數(shù)據(jù)信息前應(yīng)征得信息主體的明示同意,默示同意規(guī)則不得適用。例如,日本《個人信息保護(hù)法》規(guī)定搜集和使用個人敏感信息只能適用明示同意規(guī)則(又稱選擇進(jìn)入規(guī)則,即OPT-IN);美國在醫(yī)療信息領(lǐng)域,亦通過《隱私規(guī)則》明確要求適用OPT-IN規(guī)則。根據(jù)我國《個人信息保護(hù)法》第十四條、第二十九條的規(guī)定,無論一般個人信息還是敏感個人信息,在處理前均應(yīng)獲得信息主體的明示同意,敏感個人信息的處理更應(yīng)獲得信息主體的“單獨(dú)同意”。
然而,在醫(yī)療信息化下,大數(shù)據(jù)挖掘和分析技術(shù)不僅導(dǎo)致信息處理者難以制定出完整且明確的知情同意協(xié)議,也導(dǎo)致信息主體無法對知情同意協(xié)議進(jìn)行實(shí)質(zhì)性理解。大數(shù)據(jù)分析的目的之一即在數(shù)據(jù)中找到無法預(yù)知的模式和相關(guān)性,這意味著無論是信息處理者還是信息主體都不太可能明確個人醫(yī)療數(shù)據(jù)信息的全部用途。此外,大數(shù)據(jù)技術(shù)應(yīng)用的信息處理并不局限于特定目的,往往隨著場景、情勢等因素的變化而調(diào)整,要求信息處理者在首次處理個人醫(yī)療數(shù)據(jù)信息之前,說明未來個人醫(yī)療數(shù)據(jù)信息加值利用的目的難度極大,強(qiáng)制信息處理者在每一次變更處理目的時進(jìn)行告知更會無限提高法律合規(guī)成本。
基于《民法典》第一千零三十五條等可知,個人信息項(xiàng)下得到明確規(guī)定的權(quán)益有四項(xiàng):知情同意權(quán)、復(fù)制查閱權(quán)、更改與刪除權(quán)與信息安全權(quán)。由于當(dāng)前我國并未明確個人信息的權(quán)利屬性,使得在權(quán)益保護(hù)模式下,通過控制他人行為來實(shí)現(xiàn)對權(quán)益主體利益的保護(hù),呈現(xiàn)出消極性和被動性。
在權(quán)益保護(hù)模式下,個人醫(yī)療數(shù)據(jù)信息的整體利益被分割,一部分給予權(quán)益主體(通常為患者),另一部分則給予信息處理者較大自由空間。例如,根據(jù)不完全的數(shù)據(jù),在這次疫情中采集大量個人醫(yī)療數(shù)據(jù)信息的主體至少有五種類型:教育部門、公安部門、基層社區(qū)工作者、電信運(yùn)營商和互聯(lián)網(wǎng)公司。[5]這些主體對個人醫(yī)療數(shù)據(jù)信息進(jìn)行重復(fù)采集,導(dǎo)致信息采集安全性降低,使其面臨著被泄露的風(fēng)險。在信息主體“個人信息權(quán)利”保護(hù)缺位的情況下,相對于數(shù)據(jù)平臺和政府機(jī)構(gòu)所壟斷的“數(shù)據(jù)權(quán)力”而言,私權(quán)顯得無足輕重,因而很難以私法途徑充分、全面、有效地保護(hù)個人信息。[6]
此外,《民法典》將個人醫(yī)療數(shù)據(jù)信息以隱私權(quán)路徑進(jìn)行保護(hù),可能會導(dǎo)致個人醫(yī)療數(shù)據(jù)信息的保護(hù)產(chǎn)生路徑?jīng)_突,因?yàn)榇艘?guī)定意味著無論隱私權(quán)規(guī)定相較于個人信息權(quán)益的規(guī)定是否更為有利,皆排除個人信息權(quán)益保護(hù)規(guī)定的適用。亦以知情同意為例,在個人信息權(quán)路徑下,對于個人醫(yī)療數(shù)據(jù)信息二次處理,如果改變處理的方式和范圍,則需要獲得再次同意;然而在隱私權(quán)路徑下,對隱私公開的同意是一次性的,一旦公開,就無須獲得權(quán)利主體再次同意。由于適用隱私權(quán)的相關(guān)條款,往往致使對個人信息權(quán)規(guī)定的適用被排除,這時個人醫(yī)療數(shù)據(jù)信息主體便會喪失一般的信息權(quán)利,例如知情同意、查閱、刪除等權(quán)利。
《個人信息保護(hù)法》第六十九條規(guī)定將過錯推定原則應(yīng)用于個人信息侵權(quán)責(zé)任認(rèn)定,免去了信息主體對信息處理者主觀過錯的證明責(zé)任,一定程度減輕了信息主體的救濟(jì)困難。然而,囿于侵權(quán)環(huán)節(jié)的復(fù)雜性、侵權(quán)主體多樣性以及侵權(quán)結(jié)果的無形性等特點(diǎn),使得在侵權(quán)責(zé)任請求權(quán)制度下,因果關(guān)系證明、損害認(rèn)定等規(guī)定仍不盡合理,無法與個人醫(yī)療數(shù)據(jù)信息的嚴(yán)格保護(hù)要求相因應(yīng),難以應(yīng)對多元化信息處理場景,遑論擔(dān)當(dāng)個人醫(yī)療數(shù)據(jù)信息侵權(quán)救濟(jì)使命。
其一,過錯推定歸責(zé)下,作為原告的受害人仍需承擔(dān)過錯的主張責(zé)任并提供初步證據(jù)以支持該主張,被告亦可提供證據(jù)證明其盡到合理的注意與提示義務(wù),從而對原告的主張進(jìn)行抗辯。若被告能夠舉證并證明其已采取信息安全的技術(shù)措施和其他必要措施,則有可能導(dǎo)致案件相反的裁判結(jié)果。在個人醫(yī)療數(shù)據(jù)信息侵權(quán)訴訟中,證據(jù)偏在的客觀事實(shí)直接導(dǎo)致當(dāng)事人舉證能力的失衡。于受害方之原告,過錯要件的主張責(zé)任及其初步舉證與證明也并非容易,且被告依仗信息技術(shù)優(yōu)勢、甚至市場壟斷地位,可輕易以多種方式證明已采取信息安全的技術(shù)措施和其他必要措施。
其二,因果關(guān)系證明不能。個人醫(yī)療信息的收集、使用、傳輸?shù)瓤梢栽谕粫r間內(nèi)由多個信息處理者同時進(jìn)行,而且在各個過程中都有可能出現(xiàn)侵權(quán),而造成損害的原因通常是由哪一方的信息處理人的行為造成的無從得知;而由于這因果關(guān)系的復(fù)雜性,在個人醫(yī)療數(shù)據(jù)信息侵權(quán)案件中,受到追究的侵權(quán)人數(shù)量十分有限。個人醫(yī)療數(shù)據(jù)信息的主體往往沒有相對應(yīng)的信息處理能力,亦無法獲取信息收集與處理的客觀事實(shí),從社會效益的角度來看,基于相同目的,使受害者而非信息處理者承擔(dān)因果關(guān)系的證明責(zé)任,不僅會增加受害者的成本,也會加大社會成本。
其三,損害結(jié)果認(rèn)定困難。個人醫(yī)療數(shù)據(jù)信息侵權(quán)的損害結(jié)果多體現(xiàn)內(nèi)心焦慮等非物質(zhì)損害,而我國很多法院均以無法確認(rèn)非物質(zhì)性損害為由直接駁回了原告的索賠請求⑧,被侵權(quán)人難以通過侵權(quán)賠償請求權(quán)獲得應(yīng)有的救濟(jì)。不僅如此,在某些非物質(zhì)性損害認(rèn)定的案件中,也出現(xiàn)認(rèn)定范圍不明、賠償金額差距過大等情況。《民法典》第一千一百八十三條明確侵害被侵權(quán)人可以請求精神損害賠償,可見精神損害應(yīng)當(dāng)是達(dá)到了“嚴(yán)重”的程度。然而,非物質(zhì)性損害的程度判斷缺乏標(biāo)準(zhǔn),司法機(jī)關(guān)“酌情認(rèn)定”極大限制了受害者獲得救濟(jì)的可能性。
大數(shù)據(jù)技術(shù)的更迭與個人醫(yī)療數(shù)據(jù)信息主體的弱勢地位使得知情同意原則流于形式,而過于嚴(yán)苛的知情同意規(guī)則又徒增法律合規(guī)成本,且不利于醫(yī)療健康事業(yè)發(fā)展,為了走出這種零和博弈的困境,可以構(gòu)建一種協(xié)調(diào)個人信息權(quán)益與產(chǎn)業(yè)發(fā)展應(yīng)用需要的“動態(tài)同意模式”。動態(tài)同意(Dynamic consent),是指讓個體可以根據(jù)知情的方式、頻率和內(nèi)容,自愿地決定是否給予同意或放棄。[7]該模式主張利用現(xiàn)代網(wǎng)絡(luò)信息技術(shù)搭建一個交流平臺,使得信息處理和知情同意成為一個持續(xù)、動態(tài)、開放的過程,信息主體可以隨時了解個人信息處理動態(tài),自由地選擇加入或退出。在動態(tài)同意模式下,個人醫(yī)療數(shù)據(jù)信息主體可以基于自己的個性化選擇去同意或不同意,具備諸多優(yōu)點(diǎn):
其一,動態(tài)知情模式能夠最大程度避免“知情-同意”機(jī)制流于形式,使得信息主體成為中心,授權(quán)有效性大大增加,能夠充分實(shí)現(xiàn)意思自治。個人能夠?qū)ζ溽t(yī)療數(shù)據(jù)信息進(jìn)行管理且更為知情,區(qū)別于現(xiàn)行的知情同意協(xié)議中需要信息主體閱讀過量信息,動態(tài)同意模式更好地保護(hù)了信息主體的知情權(quán)。其二,動態(tài)知情模式結(jié)合互聯(lián)網(wǎng)平臺技術(shù)發(fā)展,具有現(xiàn)實(shí)性與可行性,能夠克服傳統(tǒng)知情同意模式信息滯后的弊端。利用大數(shù)據(jù)、互聯(lián)網(wǎng)5G技術(shù)搭建動態(tài)同意平臺并非技術(shù)難題,通過醫(yī)療機(jī)構(gòu)或衛(wèi)生部門等主體已有的公眾號、小程序等平臺,信息處理者能夠及時獲得有效的同意,信息主體亦能及時知悉相關(guān)信息。此基礎(chǔ)上構(gòu)建一個動態(tài)的個人知情同意平臺有著技術(shù)基礎(chǔ)的支撐,能夠在不增加新技術(shù)研發(fā)壓力下實(shí)現(xiàn)個人醫(yī)療數(shù)據(jù)信息處理動態(tài)呈現(xiàn)。
在信息化的社會背景下,信息主體從被動的防衛(wèi)轉(zhuǎn)向主動的控制和使用,明確個人醫(yī)療數(shù)據(jù)信息權(quán)利可以拓展信息主體的法益保護(hù)范圍,如信息的知情、修改、查詢。不僅如此,實(shí)現(xiàn)個人信息權(quán)利亦有助于改善我國醫(yī)患關(guān)系長期以來不對等的關(guān)系,為信息權(quán)人提供傾斜性保護(hù),從而讓維權(quán)路徑更加清晰。
個人醫(yī)療數(shù)據(jù)信息權(quán)的權(quán)利主體直接指向自然人,客體為可識別的個人醫(yī)療數(shù)據(jù)信息權(quán)益,對權(quán)利主體和客體厘定后,應(yīng)當(dāng)對其權(quán)利的內(nèi)容進(jìn)一步闡釋,除《民法典》中已有的知情同意權(quán)、查閱更正權(quán)、刪除修改權(quán)之外,還應(yīng)列舉以下幾項(xiàng)權(quán)利,以期對個人醫(yī)療數(shù)據(jù)信息權(quán)的進(jìn)一步完善:
第一,個人醫(yī)療數(shù)據(jù)信息拒絕權(quán)。歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,以下簡稱“GDPR”)第二十一條對信息主體的拒絕權(quán)作了明確的規(guī)定,即使數(shù)據(jù)控制者的數(shù)據(jù)處理行為基于合法情形,但信息主體可以行使拒絕權(quán),要求該數(shù)據(jù)處理者停止行為。在“Google Spain SL,Google Inc.v.AEPD and Mario Costeja González案”中,歐盟法院認(rèn)定,信息主體的個人信息權(quán)利高于數(shù)據(jù)控制者的經(jīng)濟(jì)利益以及與之對應(yīng)的社會公眾利益,是一種更為強(qiáng)勢的選擇退出(opt-out)機(jī)制。目前我國并沒有明文的信息拒絕權(quán),《個人信息保護(hù)法》第二十四條可以看做是類似制度設(shè)計,但仍需進(jìn)一步明晰該權(quán)利的名稱、行使方式、救濟(jì)程序等細(xì)節(jié)性規(guī)定。
第二,個人醫(yī)療數(shù)據(jù)信息被遺忘權(quán)。歐盟法院在“谷歌訴岡薩雷斯被遺忘權(quán)案”的判決中認(rèn)為,被遺忘權(quán)是信息主體有權(quán)要求搜索引擎運(yùn)營商對網(wǎng)絡(luò)上存在的包含涉及自身的不好的、不相關(guān)的、過分的信息的鏈接予以刪除的權(quán)利。[8]個人對其個人醫(yī)療數(shù)據(jù)信息享有被遺忘權(quán),主要針對某些負(fù)面信息,諸如艾滋病、乙肝、肺炎等疾病病史等享有要求醫(yī)院刪除就診記錄的權(quán)利。但是,由于我國病歷保管有時間限制,且醫(yī)學(xué)科研、公共政策制定、疫情防治等處理行為背后的公共利益與被遺忘權(quán)會產(chǎn)生直接沖突,因此需要對被遺忘權(quán)進(jìn)行本土化構(gòu)建。
第三,個人醫(yī)療數(shù)據(jù)信息不受制于自動化決策權(quán)。信息主體有權(quán)拒絕利用其個人醫(yī)療數(shù)據(jù)信息實(shí)施自動決策,信息處理主體應(yīng)在自動化決策前取得信息主體的同意;尤其是將個人醫(yī)療數(shù)據(jù)信息用于商業(yè)化應(yīng)用時,應(yīng)當(dāng)禁止企業(yè)非法抓取大量個人醫(yī)療數(shù)據(jù)信息并進(jìn)行自動化決策;同時允許個人醫(yī)療數(shù)據(jù)信息主體在其信息遭受侵害時,可以進(jìn)行舉報或提起訴訟以維護(hù)個人醫(yī)療數(shù)據(jù)信息權(quán)。
完善侵權(quán)救濟(jì)機(jī)制能夠增大信息處理者的違法成本,同時促進(jìn)個人積極維權(quán)。個人醫(yī)療數(shù)據(jù)的信息侵權(quán)應(yīng)當(dāng)建立在侵權(quán)責(zé)任四要件的基礎(chǔ)上。信息主體與處理者之間原本存在著不平等的關(guān)系,而隨著大數(shù)據(jù)技術(shù)的引入,個人對其醫(yī)療數(shù)據(jù)信息的控制能力被限縮,使得信息主體在證明侵權(quán)要件方面更加無能為力。要想解決這個問題,就必須在四要件的基礎(chǔ)上不斷完善,使醫(yī)療數(shù)據(jù)信息的特殊性得到充分的體現(xiàn)。
1.適用無過錯歸責(zé)原則。
結(jié)合我國個人醫(yī)療數(shù)據(jù)信息的高度敏感性特征以及個人信息分級保護(hù)的價值導(dǎo)向,本文認(rèn)為個人信息侵權(quán)應(yīng)當(dāng)在當(dāng)前“過錯推定”原則基礎(chǔ)上,對敏感個人信息侵權(quán)適用無過錯責(zé)任。首先,采無過錯歸責(zé)原則并未突破現(xiàn)有的法律框架?!睹穹ǖ洹で謾?quán)責(zé)任編》對于特定的侵權(quán)行為,如產(chǎn)品責(zé)任、高度危險作業(yè)致人損害等,均采取無過錯責(zé)任的歸責(zé)原則,所以個人信息侵權(quán)損害賠償適用無過失責(zé)任原則并不會影響現(xiàn)行的法律架構(gòu),只是增加了無過錯歸責(zé)原則的侵權(quán)行為類型。此外,《德國聯(lián)邦數(shù)據(jù)保護(hù)法》以及我國臺灣地區(qū)的“個人資料保護(hù)法”等,都有對個人信息侵權(quán)損害賠償采用無過錯歸責(zé)原則的先例。其二,基于個人信息的分級保護(hù)理念,對個人醫(yī)療數(shù)據(jù)信息侵權(quán)應(yīng)實(shí)行比一般個人信息侵權(quán)更加嚴(yán)厲的嚴(yán)格責(zé)任原則。[9]無過錯責(zé)任原則作為大陸法系中最嚴(yán)格的歸責(zé)原則,能夠最大化保護(hù)敏感個人信息。由于醫(yī)療機(jī)構(gòu)等主體對個人醫(yī)療數(shù)據(jù)信息的控制和有關(guān)知識的掌握程度遠(yuǎn)超個人,過錯推定下的免責(zé)事由更像是傾斜向信息處理者的“自救機(jī)會”。無過錯原則與過錯推定原則不同,其相當(dāng)于“剝奪”了個人信息處理者證明自己無過錯的機(jī)會,能夠體現(xiàn)對敏感個人信息的最嚴(yán)格保護(hù)。其三,基于敏感個人信息禁止處理的基本原則,個人醫(yī)療數(shù)據(jù)信息處理者在沒有正當(dāng)理由處理信息時,其行為本身就足以證明其過錯,因?yàn)樵谛Ч吓c無過錯原則并無二致。因敏感個人信息原則上是不能被處理的,侵權(quán)與否的判定就簡化為對是否存在合理利用之除外情形進(jìn)行審查[10],《個人信息保護(hù)法》第二十八條第二款規(guī)定,只有具有特定的目的和充分必要性并采取嚴(yán)格保護(hù)措施,個人信息處理者才可處理敏感個人信息??梢钥闯鑫覈鴮γ舾袀€人信息保護(hù)借鑒歐盟GDPR規(guī)定,采取“禁止為原則、許可為例外”的原則,即無過錯原則與我國敏感個人信息處理原則具有同向性。
2.引入因果關(guān)系推定制度。
為有效解決囿于因果關(guān)系的不確定性而帶來的證明不能問題,學(xué)界部分學(xué)者提出可適用因果關(guān)系推定制度,比較法上亦有適用因果關(guān)系推定的立法先例。⑨因果關(guān)系推定的特別意義在于,如果一項(xiàng)表見的事實(shí)遭到了損害,則可以認(rèn)定其與事實(shí)之間存在著因果關(guān)系,并且受害者不需要證明二者的因果關(guān)系,便可請求損害賠償,而當(dāng)事人僅能用反證來證明其與事實(shí)沒有任何聯(lián)系。[11]依因果關(guān)系推定理論,只要被害人可以證明數(shù)個信息處理者所做出的整體性行為(即表見事實(shí))與侵害之間存在因果關(guān)系,就可以推斷出每個信息處理者的個人行為和侵權(quán)行為存在因果關(guān)系,除非信息處理者能夠證實(shí)這種損害不是由于其信息處理的結(jié)果,否則不能排除。一方面,給予“良善”信息處理者證明免責(zé)的機(jī)會,避免過于嚴(yán)苛的責(zé)任承擔(dān)阻礙個人醫(yī)療數(shù)據(jù)信息的流通使用;另一方面,當(dāng)信息處理者無法“自證清白”時,又予以嚴(yán)苛的后果,對個人醫(yī)療數(shù)據(jù)信息予以特別保護(hù)。
3.細(xì)化非物質(zhì)性損害認(rèn)定規(guī)則。
信息時代,個體的醫(yī)療數(shù)據(jù)信息所承載的價值與人身利益、財產(chǎn)利益相關(guān),如果個人的信息權(quán)益受到侵犯,會造成財產(chǎn)損失、人身傷害等物質(zhì)上的損失,也有可能造成諸如外在危險、內(nèi)在焦慮等非物質(zhì)傷害。相較于一般個人信息,個人醫(yī)療數(shù)據(jù)信息侵權(quán)更易造成非物質(zhì)性損害。由于法律對損害的救濟(jì)必須是可賠償?shù)?,物質(zhì)損害更容易被司法實(shí)踐認(rèn)定,而非物質(zhì)損害則需要根據(jù)法律的明確規(guī)定才能獲得支持。美國《隱私法案》(Privacy Act)與歐盟GDPR均承認(rèn)個人信息侵權(quán)的非物質(zhì)性損害可得民事賠償,我國《民法典》亦明確規(guī)定了精神損害賠償制度,可據(jù)此提煉出更具實(shí)施性的非物質(zhì)性損害認(rèn)定規(guī)則,以解決非物質(zhì)性損害認(rèn)定困難的問題。
其一,損害具有嚴(yán)重性。當(dāng)前世界各國(地區(qū))立法對于損害的顯著性或嚴(yán)重性規(guī)定不一,不同國家(地區(qū))呈現(xiàn)出不同態(tài)度。歐盟GDPR第八十二條第一款將損害分為物質(zhì)性損害和非物質(zhì)性損害,明確所有遭受損害的信息主體,都有權(quán)獲得損害賠償,由此可看出其未對損害的嚴(yán)重性作出要求,法國、比利時等部分國家與歐盟GDPR持相同態(tài)度。同時,我國《個人信息保護(hù)法》第六十九條所確定的“損害”亦沒有對損害程度作出限定。與之相反,大部分國家或地區(qū)將非物質(zhì)性損害的嚴(yán)重程度作為認(rèn)定標(biāo)準(zhǔn)。以德國為例,只有“嚴(yán)重侵犯人格權(quán)”的個人信息違法行為才被請求賠償。不僅如此,我國《民法典》第一千一百八十三條規(guī)定了尋求精神損害賠償?shù)膰?yán)格條件,即損害應(yīng)具有“嚴(yán)重性”,甚至有學(xué)者提出,原告無法證明自己遭受了嚴(yán)重的精神損害,則不得請求侵權(quán)人承擔(dān)精神損害賠償責(zé)任[12]。立法者之所以非物質(zhì)性損害程度提出要求,是因?yàn)閾p害程度過于寬泛可能會導(dǎo)致侵權(quán)行為認(rèn)定缺乏標(biāo)準(zhǔn),從而造成損害濫認(rèn)的不良結(jié)果。
《民法典》將動態(tài)系統(tǒng)論的觀點(diǎn)運(yùn)用于對人格權(quán)侵權(quán)責(zé)任的認(rèn)定,是除了生命權(quán)、身體權(quán)和健康權(quán),其他所有人格權(quán)侵權(quán)民事責(zé)任的認(rèn)定必須綜合考慮行為主體與受害人的職業(yè)、危害范圍、過錯程度、行為目的、方法、后果等多重因素。通過對法官在判決過程中需要考慮的諸多要素進(jìn)行明確規(guī)定,從而使法官的裁量范圍得到了決定性的限制,在一定程度上能夠?qū)崿F(xiàn)現(xiàn)實(shí)生活中多種事實(shí)與自由裁量兼顧。[13]因而,個人醫(yī)療數(shù)據(jù)信息侵權(quán)中非物質(zhì)性損害“嚴(yán)重性”可參考受害人的職業(yè)、影響范圍、過錯程度、信息敏感程度以及行為的目的、方式、后果等動態(tài)因素進(jìn)行全方位、專用景化的考量。
其二,損害具有客觀性??陀^性原則的應(yīng)用對于損害認(rèn)定,特別是非物質(zhì)性損害認(rèn)定規(guī)則的細(xì)化具有重要意義。美國聯(lián)邦最高法院在“Clapper v.Amnesty(2013)案”中規(guī)定了個人信息保護(hù)的訴訟請求要求,即應(yīng)當(dāng)證明損害是客觀真實(shí)的,“推測的”或“臆想的”損害無法獲得法院支持。例如,個人醫(yī)療數(shù)據(jù)信息泄露并不等于信息披露或販賣,泄露行為是否進(jìn)一步致使信息披露或販賣還需相關(guān)證據(jù)支撐??陀^性原則下,個人提出的非物質(zhì)性損害應(yīng)當(dāng)是實(shí)際的、特定的、業(yè)已發(fā)生或是可以預(yù)測即將發(fā)生的。
非物質(zhì)性損害發(fā)生的風(fēng)險是否具有客觀性與信息流轉(zhuǎn)事實(shí)息息相關(guān),并非所有的信息侵害案件都會呈現(xiàn)出相應(yīng)的損害結(jié)果。因而,針對存在損害風(fēng)險的案件,應(yīng)該選擇優(yōu)勢證據(jù)規(guī)則作為認(rèn)定尺度,即只要能夠證明個人醫(yī)療數(shù)據(jù)信息被篡改、冒用等,無需適用高度蓋然性標(biāo)準(zhǔn)就可以認(rèn)定為損害會發(fā)生,為此實(shí)施救濟(jì)而產(chǎn)生的正當(dāng)成本也可確定為損害。不過,雖然如果無法證明個人醫(yī)療數(shù)據(jù)信息被侵犯的事實(shí),但是該侵害所應(yīng)當(dāng)產(chǎn)生的普遍風(fēng)險能夠特定化到個人時,已出現(xiàn)的風(fēng)險就可等同于損害的發(fā)生。如果該風(fēng)險是可以消除的,那么消除這些風(fēng)險的成本就應(yīng)當(dāng)視為損害;如果該風(fēng)險是不可以消除的,由此給自然人增加的生活成本和障礙就構(gòu)成了損害。[14]
近幾年,隨著公民個人信息保護(hù)意識的萌發(fā)與提高,個人醫(yī)療數(shù)據(jù)信息關(guān)系到個人的自由與尊嚴(yán),愈發(fā)受到關(guān)注。2020年初新冠疫情的突發(fā),不僅使醫(yī)療衛(wèi)生領(lǐng)域個人信息收集與應(yīng)用風(fēng)險劇增,同時也暴露出我國法律法規(guī)在醫(yī)療數(shù)據(jù)信息保護(hù)方面存在的闕漏?!爸橥庠瓌t”采取靈活的動態(tài)知情方式可以防止其流于形式。個人醫(yī)療數(shù)據(jù)信息權(quán)的確立能夠?qū)崿F(xiàn)信息主體對個人醫(yī)療數(shù)據(jù)信息的有效控制。完善個人醫(yī)療數(shù)據(jù)信息侵權(quán)救濟(jì)機(jī)制,走出救濟(jì)路徑乏力與滯后的困境。在可以預(yù)測的未來,醫(yī)療大數(shù)據(jù)縱深發(fā)展,個人醫(yī)療數(shù)據(jù)信息加值處理將成為家常便飯,我們只有不斷地審視新技術(shù)的發(fā)展,并持續(xù)加強(qiáng)應(yīng)對風(fēng)險的能力,最大限度地確保并激發(fā)個人醫(yī)療數(shù)據(jù)信息在我國醫(yī)療衛(wèi)生事業(yè)中的優(yōu)勢。
注釋
①《人口健康信息管理辦法(試行)》第三條規(guī)定:“人口健康信息”包括人口基本信息、醫(yī)療衛(wèi)生服務(wù)信息等;《信息安全技術(shù)個人信息安全規(guī)范》(GB/T 35273-2020)附錄A規(guī)定:“個人健康生理信息”是基于醫(yī)療行為等產(chǎn)生的住院志、檢驗(yàn)報告、藥物食物過敏信息、家族病史、傳染病史等醫(yī)療信息,以及個人基本身體信息,如體重、身高等?!缎畔踩夹g(shù)健康醫(yī)療信息安全指南》(GB/T 39725-2020)第三條第一款規(guī)定:“個人健康醫(yī)療數(shù)據(jù)”是具有可識別性與可結(jié)合性的生理與心理健康電子數(shù)據(jù)。
②Advanced Persistent Threat,簡稱“APT攻擊”,即高級可持續(xù)威脅攻擊,也稱為“定向威脅攻擊”,指在計算機(jī)領(lǐng)域?qū)μ囟▽ο笳归_的持續(xù)有效的攻擊活動,攻擊者利用多種攻擊方式,通過在目標(biāo)基礎(chǔ)設(shè)施上建立并擴(kuò)展立足點(diǎn)來獲取信息。
③參見:《虎符智庫2021安全前瞻》
④北京市第二中級人民法院(2014)二中民終字第08046號民事判決書;參見:貴州省黔東南苗族侗族自治州中級人民法院(2020)黔26民終1623號民事判決書。
⑤參見:新浪新聞《深圳10萬孕產(chǎn)婦信息泄密》;新京報官微《青島一醫(yī)院密接人員名單被外傳6千余人隱私泄露,警方展開調(diào)查》;瀟湘晨報《成都確診女孩個人隱私被轉(zhuǎn)發(fā),警方調(diào)查!現(xiàn)在流傳的照片系冒用,當(dāng)事人報案》。
⑥《中華人民共和國執(zhí)業(yè)醫(yī)師法》第二十二條、《中華人民共和國傳染病防治法(2013修正)》第十二條、《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》第九十二條等,都對病人隱私權(quán)以及個人衛(wèi)生信息安全保護(hù)措施作出規(guī)定,但保護(hù)對象的外延與內(nèi)涵不一,分別為“患者隱私”“關(guān)于個人隱私的有關(guān)信息”“個人健康信息”。
⑦個人醫(yī)療數(shù)據(jù)信息加值利用即個人醫(yī)療數(shù)據(jù)信息首次收集后得以被其他信息處理者以不同目的再次使用,并創(chuàng)造出不同于首次使用的“新價值”。(詳見翁逸泓:《開放全民電子健康資料加值應(yīng)用之個資保護(hù)問題——以英國經(jīng)驗(yàn)為例》,《月旦法學(xué)雜志》2019年第285期:144-173)
⑧北京市第二中級人民法院(2020)京02民終10179號;上海市第二中級人民法院(2019)滬02民終717號;天津市第二中級人民法院(2020)津02民終4520號;浙江省嘉興市中級人民法院(2019)浙04民終3244號。
⑨歐盟GDPR第八十二條第三款和第四款規(guī)定,如果有證據(jù)表明數(shù)名數(shù)據(jù)處理者應(yīng)對其違法數(shù)據(jù)處理行為承擔(dān)侵權(quán)責(zé)任,而其不能證明自己不應(yīng)承擔(dān)任何責(zé)任,則每個數(shù)據(jù)處理者都應(yīng)該承擔(dān)全部侵權(quán)責(zé)任。