醫(yī)療科研中的生物醫(yī)療數(shù)據(jù)“匿名化”問題研究*

葉竹盛 劉婉君

一、問題提出

新冠疫情暴發(fā)后，多個醫(yī)療機構(gòu)迅速行動，收集了大量生物醫(yī)療數(shù)據(jù)，并迅速將之用于醫(yī)療科研、追尋病毒淵源、研究其致病機理和診治方案等；在此過程中，生物醫(yī)療數(shù)據(jù)體現(xiàn)出了重要的醫(yī)療學術(shù)價值和公共價值，獲得了高度關(guān)注。生物醫(yī)療數(shù)據(jù)是醫(yī)療科研領(lǐng)域的重要資源，是數(shù)字化和智能時代醫(yī)學研究的驅(qū)動力——擁有數(shù)據(jù)資源就擁有了科研創(chuàng)新的主動權(quán)。生物醫(yī)療數(shù)據(jù)一方面包括高度私密的個人敏感醫(yī)療信息；另一方面，又對醫(yī)療科研人員了解生命機制、提高醫(yī)療診治的服務(wù)質(zhì)量，以及完善公共衛(wèi)生管理機制、促進人類健康事業(yè)發(fā)展等，都有重大價值。因此如何在醫(yī)療科研過程中保護生物醫(yī)療數(shù)據(jù)安全，妥當處理個人信息保護和醫(yī)療科研公共利益兩種價值之間的沖突，就顯得尤為重要。

生物醫(yī)療數(shù)據(jù)來源于醫(yī)療診治過程，出于醫(yī)療科研和公共衛(wèi)生的目的，在多個領(lǐng)域均有對其進行處理的需要。《中華人民共和國個人信息保護法》（以下簡作《個人信息保護法》）和《中華人民共和國數(shù)據(jù)安全法》（以下簡作《數(shù)據(jù)安全法》）針對個人信息保護的一系列制度，未能充分考慮到醫(yī)療科研領(lǐng)域的具體情況，尤其是未能平衡醫(yī)療科研和公共衛(wèi)生目標與個人信息保護目標之間的價值沖突，因而其核心的“去標識化”“匿名化”處理等制度，難以直接運用于生物醫(yī)療數(shù)據(jù)的處理過程。筆者結(jié)合自身在醫(yī)療機構(gòu)參與醫(yī)療科研工作的實踐，分析了生物醫(yī)療數(shù)據(jù)的法律屬性；結(jié)合醫(yī)療科研的不同環(huán)節(jié)，來介紹醫(yī)療機構(gòu)和人員處理個人生物醫(yī)療數(shù)據(jù)的習慣做法和“去標識化”制度，以及實現(xiàn)個人信息“脫敏”的效果。以對信息不同程度的“脫敏”對于醫(yī)療科研之學術(shù)效果、數(shù)據(jù)流通效率的可能影響，現(xiàn)行的“匿名化”制度對于發(fā)揮醫(yī)療科研之公益性所存在的不當制約，等等，以“匿名化”制度為核心進行討論并結(jié)合對域內(nèi)外相關(guān)規(guī)范的分析，為如何完善我國現(xiàn)有相應(yīng)制度提出建議。

二、價值沖突之下的生物醫(yī)療數(shù)據(jù)

（一）“數(shù)據(jù)”與“信息”的概念辨別

從技術(shù)上看，“數(shù)據(jù)”表現(xiàn)為文字、符號、圖片等不同形式，“信息”是傳播的具體內(nèi)容，兩者是依存關(guān)系；其不同則在于，“數(shù)據(jù)”是“信息”的表現(xiàn)形式，“信息”是“數(shù)據(jù)”的具體內(nèi)容。[1]根據(jù)《數(shù)據(jù)安全法》對“數(shù)據(jù)”的定義（“任何以電子或者其他方式對信息的記錄”）和《個人信息保護法》第四條的規(guī)定（“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”），筆者將“數(shù)據(jù)”定義為“具有身份識別可能性且與自然人具有關(guān)聯(lián)性的信息”；將“匿名化數(shù)據(jù)”定義為“匿名化后，不可識別任何自然人的信息”。

（二）生物醫(yī)療數(shù)據(jù)的類別與范圍

2020 年由全國信息安全標準化技術(shù)委員會發(fā)布的《健康醫(yī)療數(shù)據(jù)安全指南》（GB/T3925-2020），將“個人健康醫(yī)療數(shù)據(jù)”定義為“單獨或者與其他信息結(jié)合后能夠識別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)”。醫(yī)療科研包括生命科學基礎(chǔ)研究與醫(yī)學研究，其研究素材涵蓋了通過生物技術(shù)分析所取得的數(shù)據(jù)和由醫(yī)療活動產(chǎn)出的數(shù)據(jù)。本文的研究對象主要是指后者產(chǎn)出的生物醫(yī)療數(shù)據(jù)。根據(jù)實際情況，由醫(yī)療活動產(chǎn)生的科研數(shù)據(jù)一般來源于個體的醫(yī)療活動，與《健康醫(yī)療數(shù)據(jù)安全指南》附錄A所列舉的“個人健康醫(yī)療數(shù)據(jù)”①的大部分數(shù)據(jù)類型存在重疊。除特別說明外，“生物醫(yī)療數(shù)據(jù)”和“健康醫(yī)療數(shù)據(jù)”屬于同義概念。

在醫(yī)療科研過程中常用的數(shù)據(jù)有三類，包括醫(yī)學科研相關(guān)數(shù)據(jù)、醫(yī)療機構(gòu)所采集的與個人有關(guān)的健康數(shù)據(jù)和個人接受醫(yī)療服務(wù)而產(chǎn)生的數(shù)據(jù)。從數(shù)據(jù)性質(zhì)的維度，又可以將這些數(shù)據(jù)分為個人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)和醫(yī)療應(yīng)用數(shù)據(jù)三類。②根據(jù)《健康醫(yī)療數(shù)據(jù)安全指南》對“個人健康醫(yī)療數(shù)據(jù)”的定義，如果未經(jīng)“匿名化”處理，則上述生物醫(yī)療數(shù)據(jù)屬于可識別的個人信息，落入《個人信息保護法》的調(diào)整范圍。

2010 年，原衛(wèi)生部頒布了《電子病歷基本規(guī)范（試行）》，2011年又發(fā)布了《電子病歷系統(tǒng)功能規(guī)范（試行）》，推進以電子病歷為核心的醫(yī)療系統(tǒng)信息化，規(guī)范生物醫(yī)療數(shù)據(jù)的收集、使用、保存、管理與共享活動。2018 年，國家衛(wèi)生健康委員會發(fā)布了《關(guān)于進一步推進以電子病歷為核心的醫(yī)療機構(gòu)信息化建設(shè)工作的通知》，提出“推進系統(tǒng)整合和互聯(lián)互通”。到2020 年，全國的三級醫(yī)院基本實現(xiàn)了信息化診療服務(wù)的全覆蓋，生物醫(yī)療數(shù)據(jù)在醫(yī)院系統(tǒng)內(nèi)實現(xiàn)了高度信息化。③雖然醫(yī)院中也同時存在以其他方式記錄的非電子化數(shù)據(jù)，例如紙質(zhì)病歷、膠片等，但非電子化數(shù)據(jù)一般都是電子數(shù)據(jù)的原始數(shù)據(jù)或衍生數(shù)據(jù)，并不構(gòu)成一種新的生物醫(yī)療數(shù)據(jù)類別。

（三）生物醫(yī)療數(shù)據(jù)在醫(yī)療科研中的應(yīng)用

在互聯(lián)網(wǎng)、云計算、云存儲等科技的發(fā)展下，數(shù)據(jù)與技術(shù)融合，形成了挖掘生物醫(yī)療數(shù)據(jù)背后的科研價值和科學規(guī)律的新的科研方法，進一步支持了對自然規(guī)律的研究及技術(shù)轉(zhuǎn)化工作。[2]所收集的數(shù)據(jù)須達到一定的量而成為數(shù)據(jù)集或者數(shù)據(jù)庫，才能形成一定的價值；再經(jīng)過一定的智力活動，進行數(shù)據(jù)的清洗、異質(zhì)數(shù)據(jù)的排除，形成結(jié)構(gòu)化數(shù)據(jù)，才能形成價值較高的標的物。結(jié)構(gòu)化的生物醫(yī)療數(shù)據(jù)庫具有極高的醫(yī)療科研價值，醫(yī)生、科研人員可以將其用于探索研究對象的機制、發(fā)表學術(shù)成果，建立數(shù)據(jù)模型，進行藥物成分、生物材料、醫(yī)用材料等高分子模擬，發(fā)現(xiàn)基因新序列，匯編整理后用于開發(fā)生物醫(yī)用軟件，等等，這些形成的成果大部分都屬于可申請專利的范圍。

（四）生物醫(yī)療數(shù)據(jù)的多重法律屬性及其價值沖突

生物醫(yī)療數(shù)據(jù)雖然具有極高的科研價值，但在醫(yī)療科研中對其的處理和應(yīng)用受到其法律屬性的制約。首先，患者、醫(yī)療機構(gòu)、第三方數(shù)據(jù)處理者對數(shù)據(jù)權(quán)屬的認識和關(guān)注重點有明顯的不同；其次，數(shù)據(jù)的人格屬性制約著數(shù)據(jù)的處理與流通，且根據(jù)數(shù)據(jù)的財產(chǎn)屬性，相關(guān)主體對數(shù)據(jù)享有一定的支配權(quán)[3]；最后，醫(yī)療科研活動的公益性同樣也影響著對生物醫(yī)療數(shù)據(jù)的合法利用。

1.生物醫(yī)療數(shù)據(jù)的人格屬性較強。

生物醫(yī)療數(shù)據(jù)具有較高的隱私性與敏感性，其所承載著的人格利益比一般個人數(shù)據(jù)更高。如果個人的一些疾病、基因缺陷、病癥等被他人知曉，會引起他人的恐慌、歧視，患者甚至可能被外界惡意攻擊，對其人格尊嚴、人身安全造成侵害，這也會導致個人產(chǎn)生羞恥感和精神損害。

2.生物醫(yī)療數(shù)據(jù)具有財產(chǎn)屬性。

一方面，從法教義學角度分析，生物醫(yī)療數(shù)據(jù)與其他載體結(jié)合，可以成為專利權(quán)、著作權(quán)的客體。在數(shù)字經(jīng)濟環(huán)境下，數(shù)據(jù)成為眾多市場主體重要的經(jīng)營資源乃至關(guān)鍵資產(chǎn)。[4]另一方面，生物醫(yī)療數(shù)據(jù)經(jīng)過“保管人”——醫(yī)療機構(gòu)——的收集、存儲，再被醫(yī)療科研或服務(wù)機構(gòu)加工，醫(yī)療機構(gòu)或者處理機構(gòu)均對其具有支配可能性和利益性，故其具備財產(chǎn)權(quán)益的基本條件[5]；尤其是數(shù)據(jù)被采取消毒、整理、分析、可視化等手段而結(jié)構(gòu)化后，其在形式和內(nèi)涵上均轉(zhuǎn)化為具有科學和經(jīng)濟價值的數(shù)據(jù)，故相關(guān)主體的智力勞動成果應(yīng)當獲得法律認可[6]。

3．生物醫(yī)療數(shù)據(jù)具有公益屬性。

醫(yī)療科研本身就具有公益性。根據(jù)2011 年國務(wù)院發(fā)布的《關(guān)于分類推進事業(yè)單位改革的指導意見》，公共醫(yī)療機構(gòu)為公益二類的非營利機構(gòu)。醫(yī)療機構(gòu)應(yīng)當堅持公益性，承擔人才培養(yǎng)、醫(yī)學基礎(chǔ)科研、醫(yī)療教學、公共衛(wèi)生治理等任務(wù)。即使是營利性的醫(yī)療機構(gòu)，只要將生物醫(yī)療數(shù)據(jù)用于醫(yī)療科研，則同樣具有公益性。具備財產(chǎn)權(quán)益屬性的生物醫(yī)療數(shù)據(jù)被研究人員匯編、清洗、重組、分析、總結(jié)等增值處理后，就成為有價值的資產(chǎn)，應(yīng)當作為無形資產(chǎn)按照《行政事業(yè)性國有資產(chǎn)管理條例》和《國有資產(chǎn)評估管理規(guī)定》法律規(guī)范管理。

綜上所述，生物醫(yī)療數(shù)據(jù)的多重法律屬性注定對其運用會面臨價值上的沖突和平衡：既不能以保護個人信息之名偏廢生物醫(yī)療數(shù)據(jù)在醫(yī)療科研中的巨大公益價值，也不能因為對生物醫(yī)療數(shù)據(jù)的開發(fā)利用而忽視對數(shù)據(jù)所內(nèi)涵的人格利益的保護。如何調(diào)和這種價值沖突？關(guān)鍵的問題在于，“去標識化”和“匿名化”同時作為數(shù)據(jù)“脫敏”的技術(shù)性措施和規(guī)范要求，這兩者之間存在相當?shù)哪：臻g。如何在醫(yī)療科研領(lǐng)域提出更為準確的判斷準則，在實現(xiàn)對數(shù)據(jù)價值的最大化利用的同時又能實現(xiàn)對個人信息的保護，這是值得探討的問題。

三、醫(yī)療科研中之生物醫(yī)療數(shù)據(jù)處理的域內(nèi)外規(guī)范分析

不同國家基于自身的國情，并不拘泥于對生物醫(yī)療數(shù)據(jù)采用“匿名化”處理方法，這樣更便于數(shù)據(jù)流通，而經(jīng)過處理的數(shù)據(jù)要達到“不具識別性”的程度才能在科研中被使用，在這一點上大多數(shù)國家的規(guī)定是趨同的。下文分析國內(nèi)的法律規(guī)制沖突，并對其他國家和地區(qū)的生物醫(yī)療數(shù)據(jù)處理制度進行考察和審慎借鑒。

（一）國內(nèi)的規(guī)范

我國對數(shù)據(jù)安全與個人信息保護的規(guī)則有很多，其中指導醫(yī)療信息數(shù)據(jù)加工、處理過程，保護數(shù)據(jù)安全的法律與規(guī)范，主要有《個人信息保護法》和《健康醫(yī)療數(shù)據(jù)安全指南》。根據(jù)《健康醫(yī)療數(shù)據(jù)安全指南》中6.2 對數(shù)據(jù)的分級劃分，科研中對生物醫(yī)療數(shù)據(jù)的使用屬于“較大范圍內(nèi)訪問使用”，需要對數(shù)據(jù)進行“去標識化”處理，且不能識別到個人身份?！秱€人信息安全規(guī)范》（GB/T35273-2020）中第5.6 條k項規(guī)定，個人信息控制者為學術(shù)研究機構(gòu)的，其出于公共利益而有必要開展統(tǒng)計或?qū)W術(shù)研究的，對個人信息進行“去標識化”處理后，可對外提供學術(shù)研究或描述的結(jié)果，此情況下可不必征得個人同意?！叭俗R化”處理后的信息可被用于科研已成為行業(yè)習慣，但是根據(jù)《個人信息保護法》的規(guī)定，“去標識化”的信息不等同于“匿名化”信息。如前文所述，只有經(jīng)過“匿名化”處理后的信息才屬于“脫敏”的數(shù)據(jù)，而僅“去標識化”的信息因為仍可能被復原并識別出個人，所以依然具有個人信息的屬性。如果“不能識別到個人身份的個人信息”不屬于“匿名化”信息，那么根據(jù)《個人信息保護法》第十三條，他人就需要得到個人的同意才能獲取該信息。鑒于生物醫(yī)療數(shù)據(jù)中所包含的個人信息之瑣碎，涉及到多個系統(tǒng)、多個科室、不同時間段，且醫(yī)療科研活動一般為探索活動，數(shù)據(jù)收集后的用途具有未知性，若事后再取得每個信息主體的明示同意，則工作量大、成本高，可能嚴重妨礙醫(yī)療科研工作的順暢開展，因此如果不能調(diào)和醫(yī)療數(shù)據(jù)使用的行業(yè)技術(shù)規(guī)范與《個人信息保護法》中“去標識化”與“匿名化”處理的分歧，則將導致對生物醫(yī)療數(shù)據(jù)的使用存在違法的可能性。

（二）其他國家或地區(qū)的經(jīng)驗

域外其他國家或地區(qū)的法律中，除了有與域內(nèi)類似的規(guī)則如遵守有限使用、目的明確、必要等數(shù)據(jù)收集的核心原則，注意個人信息的處理給個人可能造成的后果，要求在使用過程中采取加密、脫敏等保障措施外，對于醫(yī)療科研等基于非營利目的使用個人信息的限制顯得更寬松。

例如，我國臺灣地區(qū)的“個人資料保護法”第六條第一項第四款規(guī)定，統(tǒng)計或?qū)W術(shù)研究機構(gòu)基于醫(yī)療、公共衛(wèi)生或預(yù)防犯罪的目的，為統(tǒng)計或?qū)W術(shù)研究的需要而收集、處理、使用個人信息的，可以不告知個人或不需經(jīng)個人同意，但只能披露無法識別特定當事人的信息。美國的《健康保險可攜性和責任法案》（以下簡稱“HIPAA”）是規(guī)范個人健康信息使用的立法，其允許以科學研究為目的披露未經(jīng)授權(quán)的去除了16種直接標識符的個人信息，前提是接收數(shù)據(jù)者與機構(gòu)簽訂了使用協(xié)議，并提供了數(shù)據(jù)保護措施。[7]

HIPAA 認為切斷以下18 種直接標識符，就能去除對信息主體的辨識要素，達到“不可識別”的規(guī)范要求。這些直接標識符包括姓名、具體的地理位置、與個人直接相關(guān)的日期、電話號碼、傳真號碼、電子郵箱、社會保障號碼、病歷編號、健康醫(yī)療保險號、賬戶、身份證、駕照號碼、車輛識別號、網(wǎng)址、IP地址、指紋和聲音等生物識別信息、人臉照片影像等個人可識別信息。HIPAA 除了規(guī)定要去除上述18 種直接身份標識外，還要求數(shù)據(jù)處理者若無其他理由，不得從主觀上嘗試將信息單獨地或者與其他信息結(jié)合地用于識別特定的人，以此來進一步保證個人信息的安全。[8]歐盟《通用數(shù)據(jù)保護條例》（以下簡作“GDPR”）第八十九條，規(guī)定了用于公共利益、科學歷史研究或者統(tǒng)計等目的的數(shù)據(jù)處理，可以通過“假名制度”（即用假名代碼替換直接標識符）來實現(xiàn)保護數(shù)據(jù)的目的。同時，GDPR 也規(guī)定，無論是數(shù)據(jù)控制者還是數(shù)據(jù)處理者，均受到同等規(guī)制。[9]2022 年歐洲議會和歐盟理事會提出《關(guān)于歐洲健康數(shù)據(jù)空間條例》提案，利用“歐洲數(shù)字健康平臺”所提供的服務(wù)，在GDPR規(guī)制下促進個人健康數(shù)據(jù)的自由流動。這一提案旨在促進歐盟電子健康數(shù)據(jù)的市場使用和推動對其的科學利用，目標是創(chuàng)建使研究人員，醫(yī)療設(shè)備、試劑、藥品的開發(fā)商，公共衛(wèi)生政策的決定者，跨境分析者等可以高質(zhì)量地二次利用的電子健康數(shù)據(jù)，建立一個在醫(yī)療科研上使用個人信息而無須基于個人單獨同意的高效數(shù)據(jù)治理機制。[10]

值得注意的是，美國允許在科研領(lǐng)域使用“與個人直接相關(guān)的日期”與“除前面列舉的個人識別號碼外，其他可唯一關(guān)聯(lián)個人的號碼”這兩種個人直接標識符。具體到醫(yī)療科研領(lǐng)域，即可以使用時間類與醫(yī)院編號等標識符。因此，在美國，“不具識別性”并不等于徹底的“去標識化”，也不等于徹底地無法重新識別個人的“匿名化”數(shù)據(jù)處理。再看歐盟的標準，在特定科研語境下，被“假名化”處理后的個人信息也可供科研使用，但這也并非徹底的“匿名化”處理。反觀我國，根據(jù)《個人信息保護法》，在科研過程中使用個人信息，要么取得個人同意，要么對數(shù)據(jù)進行徹底的“匿名化”處理；否則，只要數(shù)據(jù)和個人存在聯(lián)系或可能有識別性，在使用過程中就可能因為損害了個人對信息的同意權(quán)而構(gòu)成侵權(quán)。[11]如果科研過程中對數(shù)據(jù)采取徹底的“匿名化”處理措施，會否損害數(shù)據(jù)內(nèi)涵的豐富程度，限制從中提取有意義的科學信息，這有待下文論證。[12]在此之前，有必要在厘清醫(yī)療科研中使用生物醫(yī)療數(shù)據(jù)流程的基礎(chǔ)上，精準識別具體情境，并以此指引生物醫(yī)療數(shù)據(jù)“匿名化”處理的程度性要求，平衡個體利益保護和醫(yī)療科研的公益屬性兩個價值目標。下文將分析醫(yī)療科研過程中使用數(shù)據(jù)的主要技術(shù)環(huán)節(jié)與存在的問題。

四、醫(yī)療科研中之生物醫(yī)療數(shù)據(jù)處理的技術(shù)環(huán)節(jié)與“匿名化”規(guī)則的不當制約

《個人信息保護法》規(guī)定，對敏感信息之使用的合法基礎(chǔ)包括知情同意規(guī)則、其他合法規(guī)則和“匿名化”制度。所謂“知情同意規(guī)則”的時間過長及經(jīng)濟成本過高，“科研使用”這一行為亦沒有落入所謂“其他合法規(guī)則”之使用的范圍，因此利用生物醫(yī)療數(shù)據(jù)之最方便的合規(guī)途徑就是“匿名化”處理制度。申言之，在使用生物醫(yī)療數(shù)據(jù)的提取、調(diào)用、分析、共享、發(fā)布等不同環(huán)節(jié)上，醫(yī)療機構(gòu)主要根據(jù)上述兩部法律規(guī)范與實際需求，采用側(cè)重點不同的技術(shù)來處理數(shù)據(jù)，以滿足使用需求與隱私保護的規(guī)范要求。

（一）從收集、存儲到使用：“去標識化”對生物醫(yī)療數(shù)據(jù)使用的制約

從生物醫(yī)療數(shù)據(jù)收集、存儲到使用階段的保密管理皆極為復雜。就目前的生物醫(yī)療數(shù)據(jù)使用情況，醫(yī)療機構(gòu)鼓勵研究人員積極從數(shù)據(jù)中挖掘課題創(chuàng)新點，將其轉(zhuǎn)化為有價值的科技成果，但又需采取一定措施來保護患者的個人隱私，因此大部分醫(yī)療機構(gòu)采用對申請人所申請的數(shù)據(jù)備案、課題審核，并使用較簡單的“去標識化”手段來處理生物醫(yī)療數(shù)據(jù)。

數(shù)據(jù)的使用階段又可進一步細分為數(shù)據(jù)的提取和數(shù)據(jù)發(fā)布階段。數(shù)據(jù)的提取者一般為醫(yī)生或者醫(yī)療機構(gòu)的科研人員。他們可以通過科室向信息科申請一個只有瀏覽權(quán)限的賬號，登錄數(shù)據(jù)的存儲系統(tǒng)后，查看醫(yī)院的電子病歷系統(tǒng)，根據(jù)自己的課題尋找相關(guān)病歷，記錄下病歷號或者所需的信息類型和數(shù)據(jù)庫字段，再向統(tǒng)計與數(shù)據(jù)管理辦公室和臨床研究中心申請，申請人需要填寫項目名稱、數(shù)據(jù)內(nèi)容、數(shù)據(jù)使用時間，并要簽署保密承諾書。待行政審批通過后，統(tǒng)計與數(shù)據(jù)管理辦公室會通過系統(tǒng)調(diào)取去除直接標識符后的數(shù)據(jù)。例如，對出生日期采用了泛化技術(shù)后，所得到的結(jié)果只有年齡；對地址信息沒有特殊要求的，系統(tǒng)會將其泛化到區(qū)或者市，保證覆蓋的人群在2萬人以上。除此以外，其他的檢驗結(jié)果，遺傳史，病情或者手術(shù)描述，基因片段數(shù)據(jù)，病歷中所描述的詳細的生理狀況（例如切除范圍、病灶點、生理指標等沒有辦法作其他修改的圖片影像），以及泛化、抑制后不準確的數(shù)據(jù)，無法處理或者確定需要原始數(shù)據(jù)的，只能有條件地提供給數(shù)據(jù)申請者；使用這些數(shù)據(jù)的項目還需要得到倫理批件，即經(jīng)過倫理委員會對申請者的研究目的、研究人員名單、實驗技術(shù)等審查后，這些數(shù)據(jù)才能被發(fā)送到申請者的公務(wù)郵箱。換言之，醫(yī)療機構(gòu)在以科研為目的內(nèi)部傳輸數(shù)據(jù)過程中，尤其強調(diào)數(shù)據(jù)申請者對數(shù)據(jù)安全的保存義務(wù)，例如采取存儲妥當、管理到位、杜絕未授權(quán)的第三方訪問等有效措施。但如前所述，《個人信息保護法》生效后，明確了“去標識化”信息仍為個人信息，對數(shù)據(jù)的提取、調(diào)用和二次使用，已改變了收集數(shù)據(jù)的最初目的，因此是否需要重新獲取當事人的同意存在爭議。

（二）發(fā)布前的階段：“去標識化”的生物醫(yī)療數(shù)據(jù)被再識別的風險

根據(jù)《健康醫(yī)療數(shù)據(jù)安全指南》，對生物醫(yī)療數(shù)據(jù)進行“去標識化”的加工處理后可將其公開共享，但科研數(shù)據(jù)存在被重新識別的風險，這可能違反《個人信息保護法》?；谏镝t(yī)療數(shù)據(jù)的特殊性，具有一定科研價值的數(shù)據(jù)本身常常包含了較為敏感的個人信息。如果在研究中過多使用“去標識化”的技術(shù)手段，會影響數(shù)據(jù)的科學價值、影響科學統(tǒng)計的準確率、引起計算結(jié)果偏差，從而失去科學的真實性。[13]也有實踐表明，患者的出生年月、性別、基因組數(shù)據(jù)、宗教信仰、罕見病等間接標識的數(shù)據(jù)組合有被重新識別的風險。[14]例如，2019 年底新冠病毒在武漢傳播期間，某科研團隊就發(fā)表了關(guān)于發(fā)現(xiàn)新冠病毒的論文，文章里面含有病人的編號標識，也提到病人來自武漢的醫(yī)院，有入院日期、收樣品日期、檢測日期和是否去過華南海鮮市場等信息。[15]這種數(shù)據(jù)雖然刪除了可被直接識別的信息，但是還存在數(shù)個間接標識符，是否有被重新識別的風險？答案是肯定的。事實上，該類文章也在科學界引發(fā)了廣泛的關(guān)注，最開始的部分患者也被網(wǎng)民“人肉”出來。雖然這種識別不一定是借助了文章上的信息，也可能聚合了網(wǎng)絡(luò)上的各種信息，但不可否認的是，這些間接識別的信息是調(diào)查類的醫(yī)學論文的重要內(nèi)容，是支撐結(jié)論的必須證據(jù)。因此，對于樣品量少的流行病學的醫(yī)學論文、在公開會議上或者論文中分享罕見病患者的治療成功或失敗的案例，包括其照片、影像資料、個體化治療參數(shù)等，如果按照《個人信息保護法》所規(guī)定的對個體化數(shù)據(jù)的“匿名化”要求進行處理，就可能會失去數(shù)據(jù)的科學價值。為了平衡個人信息保護和醫(yī)學研究的公共價值，在科研過程中對生物醫(yī)療數(shù)據(jù)的“匿名化”處理要求應(yīng)當尊重科研活動的內(nèi)在規(guī)律。

（三）機構(gòu)合作的環(huán)節(jié)：“匿名化”技術(shù)處理與合同的規(guī)制

醫(yī)療機構(gòu)與國內(nèi)高校、企業(yè)、院外機構(gòu)等合作開展醫(yī)學研究是使用生物醫(yī)療數(shù)據(jù)的常見場景。醫(yī)療機構(gòu)合作研究的方式一般是資源互補、技術(shù)互助、互利式合作，包括技術(shù)委托、共建大數(shù)據(jù)平臺等，一般以合同規(guī)制合作行為；合同中除了明確知識產(chǎn)權(quán)等權(quán)益分配外，還包括合作的內(nèi)容、工作人員、合同目標、風險等內(nèi)容，但鮮有對數(shù)據(jù)的安全提出要求和管理的內(nèi)容。雖然《健康醫(yī)療數(shù)據(jù)安全指南》附錄E3有機構(gòu)間在科研和醫(yī)療保健業(yè)務(wù)方面的數(shù)據(jù)使用協(xié)議模板，通過“一般性規(guī)制+列舉”的方式落實數(shù)據(jù)安全義務(wù)和保密措施，但該協(xié)議側(cè)重于規(guī)定數(shù)據(jù)處理活動的安全性，并未涵蓋數(shù)據(jù)安全風險防范的全部標準，并不完全符合《個人信息保護法》的法定原則，故實務(wù)中少見實際簽訂與落實此類協(xié)議的情況。

總體上，可以將上述環(huán)節(jié)劃分為醫(yī)療機構(gòu)內(nèi)部處理環(huán)節(jié)和對外合作環(huán)節(jié)。為提高處理數(shù)據(jù)的效率，提高醫(yī)療質(zhì)效和醫(yī)療科研的學術(shù)價值，可以在醫(yī)療機構(gòu)內(nèi)部存儲和使用環(huán)節(jié)降低對數(shù)據(jù)處理的要求，即在醫(yī)療機構(gòu)內(nèi)部，醫(yī)生、科研人員出于臨床調(diào)查、科學研究、醫(yī)院管理目的調(diào)閱數(shù)據(jù)時，應(yīng)保留盡量多的數(shù)據(jù)類型，采用醫(yī)院ID 號碼替代姓名，刪除身份證號、醫(yī)保號等直接可識別信息，就足以兼顧個人信息安全和數(shù)據(jù)利用價值。在對外合作環(huán)節(jié)，目前保護數(shù)據(jù)安全的最佳解決方案仍是合同約束與采取合規(guī)的技術(shù)措施。[16]當數(shù)據(jù)需要外發(fā)時，醫(yī)療機構(gòu)應(yīng)以協(xié)議方式約束數(shù)據(jù)處理機構(gòu)的行為；且應(yīng)當在《個人信息保護法》框架下制定協(xié)議，針對保護對象，詳細列舉數(shù)據(jù)處理規(guī)則，使協(xié)議更具操作性。其具體完善的建議將在下文討論，這里先辨析在醫(yī)療科研環(huán)境下，“匿名化”與“去標識化”處理的具體技術(shù)及其區(qū)別，嘗試為生物醫(yī)療數(shù)據(jù)在醫(yī)療科研過程中的合理合法使用提出可能的解決思路。

五、醫(yī)療科研中生物醫(yī)療數(shù)據(jù)之使用的“匿名化”規(guī)范辨析

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡作《網(wǎng)絡(luò)安全法》）第四十二條，向他人提供的個人信息必須是“經(jīng)過處理無法識別特定個人且不能復原”的個人信息，即《個人信息保護法》第七十三條所指的“匿名化信息”。被“匿名化”后的信息不但可以滿足科研需求，還可被商業(yè)性利用，甚至可以被多次利用。但是如前所述，徹底的“匿名化”將導致信息內(nèi)涵的學術(shù)價值被極大削弱，甚至可能使其喪失科研價值?！澳涿背潭扰c數(shù)據(jù)實用性成正相關(guān)，但也非線性關(guān)系。[17]為了使生物醫(yī)療數(shù)據(jù)在醫(yī)療科研過程中被合規(guī)流轉(zhuǎn)，實現(xiàn)醫(yī)療科研的公共價值，同時又最大限度地保護個人信息，就要辨析“去標識化”和“匿名化”處理的邊界，探索在醫(yī)療科研的特定語境下，何種程度的“去標識化”可被認定為符合“匿名化”處理的要求。

（一）“匿名化”是“去標識化”的最高級形態(tài)

《個人信息保護法》定義了“匿名化信息”，但是未對“匿名化”的具體操作給出詳細指引，也未制定配套的關(guān)于“匿名化”的技術(shù)規(guī)范。2020 年，《個人信息去標識化指南》（GB/T37964-2019）實施，但其中卻未明確何種程度的“去標識化”足以達到“匿名化”效果。《個人信息保護法》也未針對生物醫(yī)療類特定信息的使用制定技術(shù)指引。此處先討論“匿名化”與“去標識化”技術(shù)的異同。第一，從技術(shù)的設(shè)計目的來看，“去標識化”技術(shù)的主要使用對象是有敏感屬性的信息。這可以使處理后的數(shù)據(jù)不具有泄露個人隱私的可能性。“去標識化”還能降低重新標識或復原信息的風險。第二，從技術(shù)手段來看，“去識別化”和“匿名化”的技術(shù)存在較大的重疊區(qū)間。“去標識化”的方法有統(tǒng)計，加密，抑制，泛化，假名，等等?，F(xiàn)有的去標識化模型有k-匿名，L-多樣性，差分隱私，等等。[18]匿名模型有k-匿名，L-多樣性，T-接近，等等。使用信息的方法包括假名化，加密，抑制，屏蔽，泛化，統(tǒng)計，等等。[19]總的來說，從技術(shù)角度看，“匿名化”也就是最高層級的“去標識化”——被“匿名化”的個人信息是窮盡所有技術(shù)也不可能被重新識別的信息，可轉(zhuǎn)變?yōu)椴皇艿健秱€人信息保護法》調(diào)整的“匿名化”數(shù)據(jù)。第三，從法律定義上講，《個人信息保護法》中“去標識化”是指對個人信息進行處理，使他人在不借助額外信息的情況下無法識別特定自然人的過程。因此，防止“去標識化”的個人信息被重新識別，就要采取一定的保障措施，將額外信息分開存儲。相應(yīng)地，運用“去識別”技術(shù)時可以采取保序加密、同態(tài)加密、獨立于標識符的假名創(chuàng)建等技術(shù)，通過私鑰權(quán)限和解密運算等法則，重新識別個人信息。而“匿名化”過程則是不允許存在可以重新識別個人的輔助信息的，也不能使用加密、假名這類可逆的“去標識化”技術(shù)。

歐盟《關(guān)于匿名技術(shù)的意見》主要從三個維度考慮“匿名化”技術(shù)的穩(wěn)定程度：篩選、關(guān)聯(lián)和推斷。[20]GDPR 第二十五條為數(shù)據(jù)處理的合理可能設(shè)定了標準，包括處理的時間和費用的成本、現(xiàn)行的處理技術(shù)、未來的“去匿名”技術(shù)等客觀因素，而且規(guī)定了數(shù)據(jù)處理者和控制者有列舉能直接或間接識別自然人的一切“所有、可能、合理”的手段的義務(wù)。因此，歐盟的“匿名化”標準是要達到通過“匿名化”信息不能重新識別個人的程度，同時對數(shù)據(jù)處理者或者控制者施加了很重的信息管理義務(wù)。所選取的“匿名化”模型不但要考慮當前，也需要考慮未來，防止他人對信息進行重新識別，更加注重技術(shù)的有效性。對于法律意義上的“非個人信息”的判斷，部分國家只強調(diào)通過去除標識而使信息喪失個人識別性，并不一定要對其進行“匿名化”處理。在美國，HIPAA 使用“去身份化”手段來保護個人健康隱私信息，經(jīng)過“去標識化”處理的個人健康信息不再受HIPAA的約束。被稱為“美國有史以來對消費者隱私保護最全面”的《加利福尼亞州消費者隱私保護法案》規(guī)定，個人信息不包括“去標識化”信息或聚合的消費者信息。其1798.145（a）（5）條規(guī)定，企業(yè)可收集、使用、保留、出售或披露已“去標識化”的消費者信息。相比而言，美國更強調(diào)數(shù)據(jù)的流通價值，其“去身份標識”的制度比歐盟的“匿名化”制度在技術(shù)認定上更寬松。

我國在“匿名化”問題上與歐盟有較相似的制度，都對數(shù)據(jù)控制者或者處理者課以較重的個人信息保護義務(wù)，對“匿名化”技術(shù)的要求很高。我國的《個人信息去標識化指南》和《個人信息安全影響評估指南》（GB/T 39335-2020）（附錄A 中A4）與歐盟的《關(guān)于匿名技術(shù)的意見》對于“匿名化”和“去標識化”技術(shù)效果的判斷標準相似，均強調(diào)能否通過額外信息“分選、關(guān)聯(lián)和推斷”而重新識別個人信息?！胺诌x”是指能在群體中分選出特定信息主體；“關(guān)聯(lián)”是指通過相關(guān)信息關(guān)聯(lián)到信息主體；“推斷”是指通過不同的信息準確地推斷出與信息主體對應(yīng)的其他屬性。如果存在上述任何一種情況，那么該個人信息就未達到“匿名化”的效果。[21]我國還有與美國“專家判斷標準”相類似的標準。《個人信息安全影響評估指南》中制定了對數(shù)據(jù)控制者或者處理者負有的個人信息安全監(jiān)督、檢查、評估義務(wù)的參考指標。相對于“去標識化”，《個人信息保護法》規(guī)定的“匿名化”的重點在于“無法識別”和“無法復原”。按照這個語義，“匿名化”的效果是“去標識化”達到“無法識別到個人+不存在額外的信息可以識別數(shù)據(jù)主體”的程度。

然而，上述“匿名化”的標準過于理想化，且在操作層面上未必具有可行性。徹底的“匿名化”可能嚴重影響醫(yī)療管理和醫(yī)療科研的效率和效果。根據(jù)現(xiàn)有研究，即使去除了額外信息，只要信息聚合到一定程度，也仍然存在關(guān)聯(lián)到具體個人的可能性。[22]“匿名化”強調(diào)“窮盡一切技術(shù)都不能識別到個人”，但是從“去標識化”到“匿名化”的量化標準卻不明確。具體到醫(yī)療領(lǐng)域，基于診療過程獲得的個人信息，經(jīng)過徹底“匿名化”處理后，形成特定的生物醫(yī)療數(shù)據(jù)庫，只要診療過程中的個人信息庫仍然存在，就能通過簡單的數(shù)據(jù)比對技術(shù)，將生物醫(yī)療數(shù)據(jù)庫中的數(shù)據(jù)與診療個人信息庫對應(yīng)后還原到具體的個人。顯然，出于醫(yī)療管理的目的，不可能在對診療信息做徹底“匿名化”處理后就徹底刪除診療信息庫。因此不可能實現(xiàn)生物醫(yī)療數(shù)據(jù)的徹底“匿名化”。為了實現(xiàn)價值平衡，應(yīng)對醫(yī)療科研中使用生物醫(yī)療數(shù)據(jù)的“匿名化”標準做限縮解釋。

（二）“匿名化”標準的限縮解釋

我國對生物醫(yī)療數(shù)據(jù)的應(yīng)用前提和安全保障問題更加謹慎?！督】滇t(yī)療數(shù)據(jù)安全指南》10.2建議，經(jīng)過《個人信息去標識化指南》“去標識”模型處理的數(shù)據(jù)只被用于受控公開共享或領(lǐng)地公開共享。對用于醫(yī)療科研目的的區(qū)域性的開放式使用，該指南列舉了數(shù)個經(jīng)典的點對點的數(shù)據(jù)交換場景，但并未針對如世界衛(wèi)生組織死亡數(shù)據(jù)庫、美國癌癥基因組圖譜數(shù)據(jù)庫（TCGA數(shù)據(jù)庫）、美國SEER數(shù)據(jù)庫、歐洲Orphanet罕見病數(shù)據(jù)庫等類似數(shù)據(jù)庫提供具體的操作流程。國內(nèi)眾多研究者希望在國內(nèi)醫(yī)療科研領(lǐng)域也建立類似的公開或者半公開數(shù)據(jù)庫，并圍繞這類數(shù)據(jù)庫，制定統(tǒng)一的數(shù)據(jù)安全與隱私保護規(guī)范。以這種公共數(shù)據(jù)庫的形式建立生物醫(yī)療數(shù)據(jù)處理者的責任“護城河”，不失為一種可行的途徑。雖然進入公共數(shù)據(jù)庫的信息可能與數(shù)據(jù)庫外的其他信息結(jié)合，重新關(guān)聯(lián)或推斷出具體個人，但這已足以實現(xiàn)在一般情境下的信息“脫敏”效果。

筆者認為，針對生物醫(yī)療數(shù)據(jù)可以在“分選、關(guān)聯(lián)和推斷”三個維度內(nèi)建立“去標識化”標準，并對“匿名化”標準作限縮解釋；而其中關(guān)鍵一點，在于區(qū)分直接標識與間接標識，并在一定程度上允許在“匿名化”數(shù)據(jù)中留存間接標識符。

在生物醫(yī)療科研領(lǐng)域中，研究人員要通過獲取符合生物醫(yī)學統(tǒng)計學的數(shù)據(jù)樣本量，對數(shù)據(jù)進行統(tǒng)計分析，以解釋、驗證、預(yù)測疾病的發(fā)生發(fā)展?？煽康慕Y(jié)論與數(shù)據(jù)類型和樣本數(shù)量密切關(guān)聯(lián)，不同的數(shù)據(jù)類型和樣本數(shù)量又直接影響通過間接標識符重新識別生物醫(yī)療數(shù)據(jù)的可能性。目前生物醫(yī)療領(lǐng)域除對“能單獨識別個人的信息為直接標識符”存在共識外，對于需要結(jié)合其他信息才能識別個人信息的“間接標識符”的范圍尚存在爭議。對間接標識符的判斷標準隨著使用背景的變化而發(fā)生改變，受到數(shù)據(jù)樣本量的大小、類別與性質(zhì)等的影響。[23]《健康醫(yī)療數(shù)據(jù)安全指南》附錄G用列舉的方式，規(guī)定了哪些數(shù)據(jù)類型為間接標識符，這些間接標識符大致分為四類：時間類，地理位置類，醫(yī)療機構(gòu)編制的識別碼和少數(shù)人有的生物學特征。這可以作為一種數(shù)據(jù)類型的參考標準。個人信息“可識別”的關(guān)鍵就在于對直接標識符和間接標識符的判斷。去除了直接標識符就相當于去除了識別個人信息的大部分要素，經(jīng)過泛化處理后的間接識別符的可識別性也被大大削弱。在司法實務(wù)層面上，間接識別信息并不被認為是個人信息。2018 年的“淘寶訴美景不正當競爭案”中，法院認為，經(jīng)過“匿名化”處理后，用戶進行瀏覽、搜索、收藏、交易而形成的行為痕跡信息，即使可以從中推導得出行為人的性別、職業(yè)、區(qū)域及偏好等信息，也均屬于“無法單獨或通過與其他信息相結(jié)合”而識別自然人個人身份的“匿名化”信息。④2015年的“北京百度網(wǎng)訊科技有限公司與朱燁隱私權(quán)糾紛案”二審中，法院認為，cookies 沒有與用戶身份相匹配，無法確定信息的歸屬主體，因此不是個人信息。[24]法院通常認為，去除直接識別信息且使用間接信息無法指向特定主體的信息是已“匿名化”處理的信息。如前所述，生物醫(yī)療數(shù)據(jù)中可能被界定為間接標識符的信息內(nèi)容，也恰恰可能是具有較高學術(shù)價值的信息，一旦將其抹除，則可能顯著影響醫(yī)療科研的效果。

照此邏輯，應(yīng)按照“去除直接標識符”和“泛化間接標識符”兩個步驟判斷生物醫(yī)療數(shù)據(jù)是否已經(jīng)達到“匿名化”標準，而不應(yīng)采用嚴格、徹底的“去標識化”標準。當然，上述標準依然受到具體樣本類型和數(shù)量的影響，如果是特殊個體檢測研究、樣本量稀少的群體研究等科研活動，由于數(shù)量較少導致數(shù)據(jù)的間接標識強、容易引起大眾對該群體關(guān)注，此時則應(yīng)當采取更為嚴格的去除間接標識符的標準。[25]即使對“匿名化”標準做如上限縮解釋，在如前文所述新冠肺炎暴發(fā)期間這種緊急情況下，這種標準依然可能導致醫(yī)療科研的學術(shù)性和公益性受到嚴重約束。鑒此，在緊急情況下，患者的同意規(guī)則也應(yīng)從“單獨同意”調(diào)整為“泛知情同意”。

（三）“泛知情同意”規(guī)則對“匿名化”規(guī)則的兜底調(diào)適

保障個人的知情同意權(quán)是使用醫(yī)療數(shù)據(jù)的倫理要求。生物材料、醫(yī)療數(shù)據(jù)的使用一般需要獲得患者的泛知情同意授權(quán)書?！胺褐橥狻本哂虚_放性，患者知情同意的內(nèi)容一般被高度概括為“患者的生物材料和醫(yī)療數(shù)據(jù)可能會在未來被用于科研”，但是科研的具體內(nèi)容、使用的限期、是否具有知識產(chǎn)權(quán)收益、后續(xù)是否商業(yè)化等細節(jié)并沒有被列出?！胺褐橥狻迸c《個人信息保護法》的第二十九條、第三十條規(guī)定的“處理敏感個人信息告知同意規(guī)范”有一定的區(qū)別，但是《個人信息保護法》中對“知情”的規(guī)定并不適用于醫(yī)療科研中的生物醫(yī)療數(shù)據(jù)使用，尤其是在發(fā)生類似新冠疫情的緊急情況下。[26]基于此，針對醫(yī)療科研數(shù)據(jù)的使用，應(yīng)當允許在特定情況下以“泛知情同意”替代“單獨同意”，降低“匿名化”處理的要求。

六、“匿名化”規(guī)制下生物醫(yī)療數(shù)據(jù)處理制度之完善的路徑

如前文討論，《個人信息保護法》規(guī)定“匿名化”處理后的個人信息屬于“數(shù)據(jù)”的范疇。但在醫(yī)療科研的場景下，這一規(guī)定缺乏可行性，且無法使生物醫(yī)療數(shù)據(jù)發(fā)揮最大的學術(shù)價值。為調(diào)和價值沖突，在醫(yī)療科研領(lǐng)域中更好地適用“匿名化”處理規(guī)則，筆者從實務(wù)層面提出如下完善路徑。

（一）建立科研用途之“匿名化”處理的特別規(guī)范

如果在最嚴格的意義上適用《個人信息保護法》第四條，將徹底的“不可識別”作為數(shù)據(jù)“匿名化”處理的判斷標準，將導致生物醫(yī)療數(shù)據(jù)喪失或部分喪失其重要的科研學術(shù)價值。生物醫(yī)療數(shù)據(jù)是一種對人類健康具有科學意義的數(shù)據(jù)，降低對科學數(shù)據(jù)“匿名化”的要求，有利于維護正常的科研活動，使科研工作者免于陷入違法的困境?？茖W數(shù)據(jù)作為創(chuàng)新發(fā)展的重要資源，有助于促進科學探索活動，推動認知，推動生產(chǎn)力進步，最終推動經(jīng)濟社會發(fā)展。例如，2016 年國務(wù)院辦公廳印發(fā)的《關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導意見》提到，國家鼓勵和支持醫(yī)療數(shù)據(jù)共享；2018年國務(wù)院辦公廳印發(fā)的《科學數(shù)據(jù)管理辦法》旨在更好地管理科學數(shù)據(jù)，保障其安全，提高其開放共享率；2021年《科學技術(shù)進步法》（2021 年修訂）第一百零二條提出，要建立科學技術(shù)數(shù)據(jù)庫，并根據(jù)使用制度安排使用。為實現(xiàn)數(shù)據(jù)的科研使用價值，對于醫(yī)療科研中使用生物醫(yī)療數(shù)據(jù)的情況，不應(yīng)盲目擴張“可識別性”“相關(guān)性”的外延，夸大潛在的間接識別對個人關(guān)聯(lián)的可能性。[27]平衡個人信息保護與科技數(shù)據(jù)利用之間的沖突，建立較低要求的“匿名化”處理信息的管理和法律制度，減少合規(guī)存疑性對科研工作的干預(yù)，是促進數(shù)據(jù)利用和開放共享的重要手段。

（二）建立“去標識化”分級制度

如前文所述，在處理生物醫(yī)療數(shù)據(jù)的不同環(huán)節(jié)，出于平衡個人信息安全和醫(yī)療管理與科研效率的考慮，應(yīng)當對其采用不同的“去標識化”技術(shù)。但目前我國《個人信息保護法》和一系列行業(yè)技術(shù)規(guī)范對于“去標識化”的規(guī)定尚不夠明晰，尤其是沒有針對不同處理場景規(guī)定不同層次的“去標識”技術(shù)規(guī)范。2019年全國信息安全標準化技術(shù)委員會發(fā)布的《信息安全技術(shù)個人信息告知同意指南（草案）》主要解決個人信息保護中告知與同意的問題，其中第六條列舉了在學術(shù)研究的情形下可使用“去標識化”信息來免除告知義務(wù)。2023 年3 月，國家市場監(jiān)督管理總局和國家標準化管理委員會發(fā)布了《個人信息去標識化效果評估指南》（GB/T 42460-2023），該指南旨在對不同程度的“去標識化”的個人信息進行評估，但仍無法解決其法律效果的差異。誠然，在機構(gòu)內(nèi)部使用生物醫(yī)療數(shù)據(jù)，用于提升醫(yī)療技術(shù)、科學發(fā)現(xiàn)、產(chǎn)出公共產(chǎn)品，做有利于公共利益的研究時，“去標識化”信息的使用與個人利益的矛盾還不算突出。但是學術(shù)機構(gòu)的研究人員開展以產(chǎn)業(yè)應(yīng)用為目的的商業(yè)性科研時，數(shù)據(jù)使用就具有偏私性，此時數(shù)據(jù)可能會外流到企業(yè)，“去標識化”標準就有待調(diào)整。根據(jù)科研目的，科研行為可以分為三種：以探索科學規(guī)律為目的的研究，政府資助以產(chǎn)出特定的公共產(chǎn)品目的的研究和商業(yè)性質(zhì)的研究。[28]如果對不同類型的科研行為均使用同樣的“去標識化”標準，有失公允。

據(jù)此，首先應(yīng)當盡快明確“去標識化”的概念，針對不同類型的醫(yī)療科研行為，設(shè)計出能夠在技術(shù)上確定特定級別的“去標識化”規(guī)范，尤其是要明確“去標識化”可被視為“匿名化”的特定情形。其次，應(yīng)當細化科研領(lǐng)域內(nèi)“去標識化”的使用標準，尤其應(yīng)當重視對“數(shù)據(jù)使用范圍”和“是否具有商業(yè)屬性”兩個維度的考量。他人的使用目的直接影響個人授權(quán)同意他人處理其個人信息的意愿。[29]最后，應(yīng)當區(qū)分“可識別個人身份的信息”與“體現(xiàn)個人生理健康狀況的信息”，不能因為有可能通過個人生理健康狀況推測或關(guān)聯(lián)到具體個人，便一概將個人生理健康狀況的信息歸類為個人身份識別符。[30]具體而言，應(yīng)當根據(jù)數(shù)據(jù)屬性、數(shù)據(jù)類型及其與個人身份的關(guān)聯(lián)性，制定分層次的“去標識化”標準。其分級如下：第一類，個人屬性數(shù)據(jù)，即直接標識符，包括個人統(tǒng)計信息（如住址、出生與死亡日期），個人通訊信息，個人生物識別信息（如基因、指紋）等個人唯一的可識別身份數(shù)據(jù)；第二類，健康狀況數(shù)據(jù)，如年齡、個人所在區(qū)域、人體體征數(shù)據(jù)、病史，等等；第三類，醫(yī)療應(yīng)用數(shù)據(jù)與支付數(shù)據(jù)，即醫(yī)囑、用藥信息、出入院記錄、支付記錄、保險等；第四類為公衛(wèi)數(shù)據(jù)。根據(jù)數(shù)據(jù)與個人身份關(guān)聯(lián)層次的不同和使用環(huán)境的不同，制定不同等級的“去標識化”處理標準，避免在科研領(lǐng)域內(nèi)采用“一刀切”的“去標識化”標準，損害生物醫(yī)療數(shù)據(jù)內(nèi)在的科研價值，更好地平衡數(shù)據(jù)使用便利性和數(shù)據(jù)安全之間的沖突。

（三）完善機構(gòu)間的合作合同

合同是約束數(shù)據(jù)控制者與使用者數(shù)據(jù)利用行為的基本形式。通過合同形成寬嚴適宜的數(shù)據(jù)保護條件。對此，應(yīng)當重視以下幾點：第一，數(shù)據(jù)控制者在接受合同約束的同時，應(yīng)當遵守《個人信息保護法》的數(shù)據(jù)處理原則。數(shù)據(jù)“去標識化”的質(zhì)量對數(shù)據(jù)安全尤為重要。數(shù)據(jù)離開收集機構(gòu)時，數(shù)據(jù)控制者應(yīng)遵循“最小授權(quán)”原則，提供數(shù)據(jù)細粒度訪問控制機制。第二，由于生物醫(yī)療數(shù)據(jù)為敏感數(shù)據(jù)，在合同里應(yīng)明確數(shù)據(jù)泄露的通知義務(wù)、可控措施、挽救方法、給予數(shù)據(jù)本體的補償方案等內(nèi)容，并約定各方的責任。第三，依據(jù)《健康醫(yī)療數(shù)據(jù)安全指南》，醫(yī)療機構(gòu)對外輸出的數(shù)據(jù)應(yīng)當首先做“去標識化”處理。由于“去標識化”與“匿名化”的技術(shù)存在模糊空間，醫(yī)療機構(gòu)的“去標識化”意味著《個人信息保護法》對數(shù)據(jù)控制者的責任要求轉(zhuǎn)移到了后續(xù)的數(shù)據(jù)處理者身上，這可能是制約合作的瓶頸。第四，合作單位應(yīng)具備更多的注意義務(wù)。合同應(yīng)明確在何種情況下，對敏感信息的傳輸加工仍應(yīng)當重新獲得患者的同意。

（四）建立生物醫(yī)療數(shù)據(jù)處理的倫理審查機制

2016 年施行的《涉及人的生物醫(yī)學研究倫理審查辦法》側(cè)重于審查醫(yī)療活動對受試者的個人權(quán)益的影響，包括知情同意、隱私保護、特殊保護、風險控制、補償與依法賠償。2023年2月國家衛(wèi)生健康委、科技部、教育部聯(lián)合發(fā)布的《涉及人的生命科學和醫(yī)學研究倫理審查辦法》（以下簡作《審查辦法》）在生物醫(yī)療數(shù)據(jù)使用方面明確了兩個問題：第一，把“敏感”的和“用于商業(yè)”的生物醫(yī)療數(shù)據(jù)納入醫(yī)學倫理審查范圍，明確倫理委員會對此負有管理義務(wù)，但是可免除對“匿名化”信息的倫理審查。該規(guī)定更突顯出構(gòu)建基于科研用途的信息“匿名化”處理規(guī)范的必要性。第二，《審查辦法》第二十八條規(guī)定，倫理審查范圍包括醫(yī)療數(shù)據(jù)的處理行為是否符合隱私保護要求。隨著個人信息保護制度的完善，倫理委員會要對項目中對醫(yī)療數(shù)據(jù)“脫敏”的合法性和合理性進行審查，應(yīng)當重視對醫(yī)療信息處理的技術(shù)方案的風險控制、科學研究的效益等方面的審查。同時，應(yīng)當制定關(guān)于數(shù)據(jù)使用的審查手段、審查的時間節(jié)點、審查結(jié)果的公示等指引與規(guī)范。倫理委員會需要對科研成果的內(nèi)容是否存在被重新識別的可能性進行評估，在維護醫(yī)療科研學術(shù)價值的同時，恰當保護患者的充分知情與選擇權(quán)。

七、結(jié)語

新冠疫情暴發(fā)后，生物醫(yī)療數(shù)據(jù)的學術(shù)與公共衛(wèi)生價值獲得了高度重視。為了提高醫(yī)療科研中處理生物醫(yī)療數(shù)據(jù)的學術(shù)有效性和法律規(guī)范性，提出不應(yīng)當機械適用《個人信息保護法》和《數(shù)據(jù)安全法》中由“去標識化”規(guī)則、“匿名化”規(guī)則等組成的個人信息保護制度，而應(yīng)當以“匿名化”制度為核心，精準識別不同場景下或每個流程環(huán)節(jié)中的具體情境，并以此指導生物醫(yī)療數(shù)據(jù)“匿名化”的處理，形成分級規(guī)范，平衡“個體利益保護”和“公益利益維護”兩個價值目標。

注釋

①個人健康醫(yī)療數(shù)據(jù)包括：a）提供健康醫(yī)療服務(wù)時登記的個人信息。b）出于健康醫(yī)療目的，例如治療、支付或保健護理等，分配給個人的唯一標識號碼或符號等。c）在向個人提供健康醫(yī)療服務(wù)過程中采集的有關(guān)個人的任何數(shù)據(jù)，例如既往病史、社會史、家族史、癥狀和生活方式等各類病歷記載的數(shù)據(jù)。d）來自身體部位或身體物質(zhì)，例如組織、體液、血、尿、便、氣體，以及DNA、RNA、蛋白質(zhì)等生物大分子、代謝小分子、腸道微生物等檢查或檢驗的結(jié)果數(shù)據(jù)。e）可穿戴設(shè)備采集的與個人健康相關(guān)的數(shù)據(jù)。f）接受的健康醫(yī)療服務(wù)相關(guān)數(shù)據(jù)，例如檢驗檢查醫(yī)囑、診斷、操作、藥物、醫(yī)療效果，等等。g）為個人提供健康醫(yī)療服務(wù)的服務(wù)者身份數(shù)據(jù)。h）關(guān)于個人的支付或醫(yī)保相關(guān)數(shù)據(jù)。i）醫(yī)學科研相關(guān)數(shù)據(jù)，例如臨床研究病例數(shù)據(jù)、生物樣本庫、全基因組等多種生物組學測序結(jié)果、醫(yī)學相關(guān)隊列研究結(jié)果，等等。j）公共衛(wèi)生與預(yù)防醫(yī)學數(shù)據(jù)，例如疾控中心、公共衛(wèi)生管理部門收集的疾病衛(wèi)生監(jiān)測個人數(shù)據(jù)。k）婦幼保健數(shù)據(jù)，例如婦幼保健院、醫(yī)療衛(wèi)生機構(gòu)等收集的婦幼保健服務(wù)與健康管理數(shù)據(jù)。

②健康醫(yī)療數(shù)據(jù)可分為六類：a）個人屬性數(shù)據(jù)；b）健康狀況數(shù)據(jù)；c）醫(yī)療應(yīng)用數(shù)據(jù)；d）醫(yī)療支付數(shù)據(jù)；e）衛(wèi)生資源數(shù)據(jù)；f）公共衛(wèi)生數(shù)據(jù)。詳見《健康醫(yī)療數(shù)據(jù)安全指南》第六章第一節(jié)數(shù)據(jù)類別范圍。

③參見《關(guān)于進一步推進以電子病歷為核心的醫(yī)療機構(gòu)信息化建設(shè)工作的通知》（國衛(wèi)辦醫(yī)發(fā)〔2018〕20 號），“三、不斷加強電子病歷信息化建設(shè)。（三）推進系統(tǒng)整合和互聯(lián)互通?！?/p>

④浙江省杭州市中級人民法院2018浙01民終7312號民事判決書。