2. 中国科学院 学部工作局 北京 100190
2. Bureau of Academic Divisions, Chinese Academy of Sciences, Beijing 100190, China
伴随互联网和大数据技术的飞速发展,数据资源已成为创新的关键要素,也是企业和政府的重要战略资产,在推动社会经济全面发展中发挥着重要作用。法学和政策研究领域高度关注个人信息保护问题,尤其对个人敏感信息。通过梳理相关立法实践和理论,可以发现,在“发展原则”层面,国内外对鼓励个人数据流通与使用已达成一些基本共识。即,在促进数据驱动创新发展的大前提之下,推动“权利保护和数据流通的平衡”。
不同国家和地区由于在历史背景、法律文化及产业发展状况等方面存在差异,实现“权利保护和数据流通平衡”的具体方式也不尽相同,主要形成了欧盟和美国为代表的2条不同路线[1]。①欧盟。欧盟《一般数据保护指令》(GDPR)是为有效和有序利用个人数据建立的一套平衡规则,是基于自然人权利保护、协调用户与产业之间关系的数字产业发展法[2]。其立法逻辑起点是保护自然人基本人权,偏重对个人基础性权利尊重与保障的价值取向,因此倾向于“权利保护”模式。例如,GDPR通过创设数据主体删除权、可携权等新型数据权利,强化数据主体的数据控制权。②美国。相比之下,作为个人信息领域立法先行者和数据强国的美国,其立法逻辑起点是促进数据产业发展,侧重为数据开发应用提供宽松制度环境,而对个人信息的保护也需考虑技术进步、创新及企业所能承担的责任限度,不应对数据自由流通和利用造成实质性阻碍,因此倾向于“数据流通”模式[3]。美国分散在特定行业、不同数据类型的“拼凑式”联邦立法体系,主要以鼓励合理开发使用为导向,尽量减少政府强制干预,以降低规制成本对产业发展的影响。例如,在金融和信用信息领域,通过“opt-out”(选择退出)方式①,鼓励金融集团对个人信用信息的共享②;在医疗数据领域,不断完善《健康保险流通与责任法案》(HIPPA),明确向第三方提供医疗信息的安全标准,建立适应数字医疗产业发展需求的制度环境[4]。
① “opt-out”方式默认数据处理者可以使用数据,只有当数据主体明确表示拒绝时,才启动禁用程序;与之相对的是“opt-in”(选择进入)方式,只有当数据主体表示同意时,才可使用数据。
② 美国金融信用信息领域的联邦法主要包括《公正信用报告法》(FCRA)、《金融制度改革法》(GLBA)和《公平及准确信用交易法》(FACTA)。其中,FACTA中设计了“opt-out”方式以建立金融集团公司之间的个人信用信息共享制度。
由此可见,平衡数据驱动创新与个人信息保护之间的关系,在实际操作中有多种模式。哪种模式更适合我国现状和未来发展形势,抑或需要摸索一套“中国路线”?日本与我国同属大陆法系,在隐私文化传统方面也有很多共通之处。但是,较之于对欧盟和美国的研究,我国对日本数据规制的考察相对较少。其实日本早在1988年就出台了规范行政机构使用个人信息的法律;2003年颁布了《个人信息保护法》;为应对数字经济发展新趋势,2015年对《个人信息保护法》进行了修正。日本构建个人信息保护制度擅取各家所长,汲取了美国隐私权理念和欧盟立法模式经验,建立了具有本国特色的个人信息保护体系,或可成为供我国参考和借鉴的“第三种模式”。
1 数据驱动创新与个人信息保护的基本冲突个人信息蕴含人格价值、财产价值等多元价值,而不同利益主体以实现所得价值最大化为目的,对数据的价值开发和需求期待各有偏好。数据开发利用与个人信息保护的核心冲突关系体现在:个人数据主体(如用户、消费者、数据生产者)和数据处理者(如商业实体、数据开发利用者、数据创新者)之间的利益冲突和隐私冲突。
(1)利益冲突。大量个人数据汇聚成大数据产生的社会经济价值,具有明显的正外部性,产生个体和总体之间的利益不一致。基于个体最优决策所能提供的数据量,少于基于社会总体最优的数据量,因而存在个人数据对社会总体数据的供给不足问题。这种外溢的社会经济价值的实现,首先受制于个人数据能够在多大程度和范围内得以被充分应用、充分发挥价值;其次,需要数据处理者对这些大数据进行再生产和再加工,使其产生价值。此时,数据权利主体(个人)和数据处理者(企业)之间围绕“个人数据产权”衍生的利益分配产生冲突。如果个人拥有数据的全部产权及收益,就不能恰如其分地激励数据处理者从事数据的再生产和再加工;相反,如果数据处理者占有大数据产生的全部收益,个人数据所有者的相关权利得不到保障,那么就丧失了个人数据汇集为大数据的基本前提。需要注意的是,绝对、完全的个人数据产权,在实际应用中可能带来高成本及低效率问题,不仅最终影响数据处理者的创新,还可能背离数据使用和保护的平衡原则[5]。因此,个人数据产权的法定赋权问题需要谨慎为之。
(2)隐私冲突。个人信息保护与数据开发利用的另一个冲突是隐私问题,这源于数据主体的隐私权益被侵害而产生的风险或成本。数据处理者在收集、分析、使用个人数据的过程中,总是希望尽可能获得更多的信息,以挖掘和实现大数据的价值。而从数据权利主体角度看,数据开发利用的同时会带来潜在的隐私权益侵害风险。虽然从数据应用的现实场景来看,很多数据创新应用并不需要数据具有精确的个体识别性,甚至完全剔除掉直接或间接的可识别性后,并不影响大数据分析可产生的价值。比如医疗数据,更多地依靠对大量样本数据的统计分析,更关注信息主体的生理及自然属性等信息,而并不需要直接与具体个人进行对应和识别。此时,对个人信息进行匿名化处理,断开个人信息中直接或间接的个体可识别性,去除隐私属性,成为可行的理性做法。不过,大数据时代,数据之间千丝万缕的联系可能会使匿名处理后的数据再次被识别。
医疗数据是敏感私密的个人数据,毋庸置疑需要强化对个人医疗数据隐私相关权利的保护,但隐私权的保护不应以抹杀信息价值为代价。寻求数据应用与保护的平衡范式,是日本当下探讨的重要课题,并且已经有一些实践探索,以下仅以日本医疗数据为考察对象,对其规制模式进行系统考察。
2 日本医疗数据利用“基本法+专门法”的双重规制架构 2.1 以“基本法”确立“个人信息保护”的基本原则从20世纪80年代末期,日本开始探索对个人信息的保护,并将规制范围从行政部门扩大到民营企业。2003年5月,日本发布了“个人信息保护关联五法”——《个人信息保护法》《行政机关个人信息保护法》《独立行政法人个人信息保护法》《个人信息保护审查会设置法》和《行政机关个人信息保护法施行相关法律配置法》。2015年对《个人信息保护法》进行修正,新法进一步明确了个人信息保护的基本原则。其中,对医疗数据的保护与使用做出如下规定。
(1)以促进信息和数据开发利用为主要目的[6]。日本《个人信息保护法》试图在“个人权益保护”与“个人信息使用”之间求得平衡。《个人信息保护法》虽名为“保护法”,但并不是一部单纯以保护或者限制个人信息使用为目的的法律;相反,这部法律强调在充分考虑如何更好开发利用个人信息的前提下,保护个人的权利利益。该法对个人信息处理的透明性及对个人信息知情权和控制权的强调,也以如何更好实现个人信息开发利用为核心目的。
(2)以“需注意个人信息”(敏感信息)来规制医疗信息。根据新法规定,医疗数据不仅属于一般个人信息中的“个人识别符号”,还属于“需注意个人信息”,即敏感信息。“个人识别符号”是新增概念,包括2种形式:①身体特征类符号,如DNA、外貌识别数据、虹膜、声纹、步态、静脉认证信息、指纹和掌纹等数据信息;②公共号码类符号,如护照号码、养老金号码、驾照号码、住民票号码、My number③、各种保险证号码等[7]。医疗信息中的DNA等身体特征信息属于个人信息,患者的病历信息属于需要强化保护的“需注意个人信息”。除了病历信息之外,身体障碍、认知障碍、精神障碍等身心功能障碍相关信息,疾病预防或健康诊断及检查结果信息(包含基因检测结果),以及保健指导或配药信息等也属于“需注意个人信息” ④。可以说,在日本大部分医疗数据都属于“需注意个人信息”。
③ 类似我国的居民身份证号码。
④ 《个人信息保护法施行令》第2条。
(3)“需注意个人信息”的流通,不适用“ optout”方式。 “opt-out”和“opt-in”是通过调节数据主体“个人数据控制权”的强弱程度,来调节数据处理者和数据主体之间利益冲突的不同选择。为了实现数据价值最大化,一般个人信息流通适用“opt-out”方式,只要数据处理者事先将规定事项通知本人,或置于本人容易知悉的状态,同时向个人信息委员会提出申报,即可将该个人数据提供给第三人⑤。但对于医疗数据等“需注意个人信息”,除非存在特殊情形⑥,不可采用“opt-out”方式,提供给第三人必须取得本人的同意⑦。
⑤ 《个人信息保护法》第23条第4款。
⑥《个人信息保护法》第17条第2款规定的特殊情形包括:①基于法令;②为保护人的生命、身体或财产有必要获得该个人数据,且较难获得本人同意之时;③为提高公众卫生或者推进儿童健康成长非常有必要获得该个人数据,且较难获得本人同意之时;④国家机关、地方公共团体或者受其委托人员有必要配合实施法令规定事务之时,获得本人同意存在阻碍该项事务实施的可能性;⑤该“需注意个人信息”被本人、国家机关、地方公共团体、《个人信息保护法》第76条第1款规定人员及其他《个人信息保护法》施行规则中所规定人员公开的情形。
⑦《个人信息保护法》第23条第2款。
(4)接受或提供“需注意个人信息”时的确认、记录、保存义务。数据处理者向他人提供医疗数据等“需注意个人数据”时,负有“确认、记录、保存义务”。需要记录的内容包括:本人同意的意思表示;提供数据的时间(年、月、日);被提供者的姓名、名称或其他足以特定识别该被提供者的事项;该数据能够识别本人姓名或其他足以特定识别该人的事项;被提供数据的项目⑧。数据处理者从他人接受属于“需注意个人信息”时,接受者需要进行记录:本人同意的意思表示;提供者的姓名或名称等;提供者的取得过程;本人姓名或其他足以特定识别该人的事项;接受的个人数据项目⑨。
⑧《个人信息保护委员会规则》第13条。
⑨《个人信息保护委员会规则》第17条。
2.2 以“专门法”规制医疗数据的开发与利用按照《个人信息保护法》的规定,属于“需注意个人信息”的大量医疗数据,受到非常严格的保护性约束。若要求所有医疗机构在收集和提供医疗数据时,都必须取得每个患者的同意,成本巨大且不现实,不利于医疗大数据的开发使用。为了在保护医疗数据隐私的前提下,立足行业发展特点,使数据收集和提供简便易行,日本又制定了“专门法”——《次世代医疗基础法》 ⑩,作为“基本法”的重要补充。
⑩ 全称为《有助于医疗领域研究开发的匿名加工医疗信息相关法律》,也被称为《医疗大数据法》。
2.2.1 《次世代医疗基础法》简介日本实施全民医疗保险制度,医疗信息数据资源非常丰富。为更好地将广泛分散于个体的大量医疗数据用于医疗领域研究开发,日本于2017年5月颁布、2018年5月实施《次世代医疗基础法》。作为规范医疗信息相关数据使用规则的专门法,《次世代医疗基础法》在补充《个人信息保护法》原则性规定的同时,细化了医疗数据的流通规则与保护机制。该法的核心规制框架如图 1。
|
| 图 1 日本《次世代医疗基础法》的规制框架图 |
该法第1条明确了立法目的:“为推动医疗领域的研究开发,围绕匿名加工医疗信息,对国家责任、基本方针、匿名加工医疗信息制作者的认定、医疗信息及匿名加工医疗信息的处理等作出规定,以促进健康医疗领域的先端研究开发、新产业创造,实现健康长寿社会的目标”。该法以推动医疗研发为直接目的,而匿名加工医疗信息是其核心规制客体。通过实施匿名加工制度,使大学、研究机构、企业可以利用匿名加工医疗数据,开展相关研究、创新药物和医疗器械研发活动等,从而推动医疗数据经济社会价值的实现,因此该法也被称为《医疗大数据法》。
2.2.2 “匿名加工+认定”制度设计及配套措施(1)设立匿名加工制度,允许匿名加工医疗信息⑪的流通。通过匿名加工信息制度,去除医疗信息的个人隐私属性,允许匿名加工医疗信息基于特定目的、在特定主体之间实现流通,以平衡负外部性下的利益冲突关系。匿名加工方式包括5种:①全部或部分删除能够识别特定个人的记述等;②全部删除个人识别符号;③删除信息之间的连接符号;④删除特殊的记述;⑤根据医疗信息具体形式和性质,采取其他适当措施⑫。去除“个体识别性”的医疗信息,具有一定的公共属性[5]。“去个人识别性”并不要求穷尽一切技术手段排除所有识别可能性,仅达到使用“普通医疗从业者或者普通医疗机构经营者”的能力、手法无法识别特定个人且无法复原的程度即可。
⑪匿名加工医疗信息指,将医疗信息进行匿名加工所得到的已无法识别特定个人且无法复原的个人相关信息。⑫具体要求详细规定在《次世代医疗基础法相关指南》“匿名加工医疗信息篇”。
(2)创设国家认定制度,认定匿名加工医疗信息制作者。 《个人信息保护法》允许医疗机构自行对医疗信息进行匿名加工,但是要由医疗机构承担相关责任。出于对责任风险的担忧,医疗机构从事匿名加工的积极性并不高。实践中较难判断医疗机构是否具有充分适当的匿名加工处理技术和能力,存在处理不当的潜在风险。为应对以上各类风险,《次世代医疗基础法》创设国家认定制度,明确匿名加工信息制作者和使用者的资质标准,被认可准予匿名加工医疗信息的经营者为认定匿名加工医疗信息制作者(以下简称“认定制作者”)⑬。认定制作者也可委托其他由国家认定的法人加工医疗数据,该法人被称为“认定医疗信息处理受托者”。日本首家认定制作者是Life Data Initiative(一般社团法人),首家认定医疗信息处理受托者是NTT DATA株式公司。
⑬ 具体要求详细规定在《次世代医疗基础法相关指南》“认定经营者篇”。
(3)开辟特殊规制方式,允许认定制作者采用“opt-out”方式⑭。《次世代医疗基础法》允许认定制作者使用“opt-out”方式获得医疗信息。即,默认患者只要没有表示拒绝即为同意提供医疗数据,医疗机构可将医疗信息提供给认定制作者,以提升医疗信息匿名加工处理效率。“opt-out”方式也需符合一定程序要求,即医疗机构必须事先将使用目的、被提供的信息项目、提供方法、拒绝的权利、拒绝的方法等法定事项告知患者本人,并向个人信息保护委员会提出申请。
⑭ 《次世代医疗基础法》第30条。
(4)通过书面告知、保障拒绝权利等方式维护患者权利⑮。医疗机构一般在患者初次就诊时,书面告知患者将向认定制作者提供医疗数据的事项。另外,为了使患者充分知晓并有足够时间行使拒绝的权利,规定医疗机构在向认定制作者提供医疗信息之前,预留30天的权利行使期间。30天内患者可随时要求停止信息提供行为;当然,即使超过30天,医疗信息已被提供给了认定制作者,患者仍可随时向认定制作者提出拒绝的要求。
⑮ 通知的样式详细规定在《医疗机构等预先通知患者的例子》。
3 日本医疗数据开发利用与个人信息保护的经验(1)规制原则层面:在做好数据保护基础上,强调医疗数据开发应用与保护的平衡。对于数据保护,日本早在20世纪80年代就进行了较为系统的设计,国民整体隐私保护意识较高。目前和今后面临的主要课题是如何实现大数据的有效开发利用。数据保护是手段,数据应用是目的——“为应用而保护”,构建以促进数据应用为目标的数据保护体系,这一宗旨贯穿在日本数据规制的诸多方面。例如,对于数据权属问题的认识,日本并没有过于追求法律赋权,尤其是设定排他性私权,不对数据本身另行设定新型排他性财产权。如上所述,即使对于“需注意个人信息”的医疗数据,日本也没有一味强调隐私保护,依然坚持应用与保护间的平衡,为推进医疗数据开发应用设计解决路径。
(2)法律体系层面:“基本法”与“专门法”分层保护模式,实现“放管结合”。按照“专门法”优先于“基本法”的规则,日本立足行业发展特点,为特定数据的创新开辟一条发展道路,实现“放管结合”。一方面,缓和规制,突破《个人信息保护法》对敏感数据过于严格的原则性做法,许可医疗机构运用“opt-out”方式转移医疗数据,以减轻医疗机构在获取个人同意、匿名加工责任和风险成本等方面的压力。另一方面,强化监管,对需要特别把控的核心关键环节强化政府干预。制定详细的匿名加工指南,明确匿名加工标准和方法;直接采用国家认定准入方式,明确匿名加工准入资质、责任义务,并由个人信息保护委员会实施全程监管。
(3)推行手法层面:“硬制度”设计与“软意识”培养相结合,努力取得国民的理解与信任。 “信任”成为推动数字经济发展越来越重要的元素。在具有较高隐私保护意识的国家,培养国民信任意识,提升国民对数据提供行为的安全感和主动性,意义重大。在这方面,日本采取“硬制度”设计与“软意识”培养相结合的方式。做好国家认定制度、书面告知制度、30天权利行使期间等“硬制度”设计的同时,注重对政策和法律的宣传,以培养和提升国民的“软意识”。针对广大国民,强调:医疗数据对提升国家医疗研发水平的重要意义,研发成果用于提高诊疗效果,最终反馈于国民自身;医疗信息仅被提供给被国家认定的、具有较高安全处理水平的特定法人;匿名加工医疗数据已去除可识别性;国民拥有拒绝提供的权利。针对医疗机构,提升其向认定制作者提供医疗信息的积极性,简化提供行为的前置程序;医疗信息提供行为,属于《研究伦理指南》适用除外的情形,不需要伦理审查委员会认可。
总体来看,为抓住数字经济时代的发展机遇,日本围绕平衡隐私保护与开发应用关系做出了许多创新性探索。其立足本国法律文化特点和现实发展瓶颈,结合国际主流做法,“博采众长”并“有所取舍”的做法,值得深入考察和参考借鉴。但是,日本医疗数据的规制模式并非无懈可击,在具体实施中也存在需要进一步完善之处。例如,在个人(或医疗机构)激励机制方面,除了法律保障、认定制度、信任机制等措施外,如何在经济收益层面建立数据流通的激励机制,建立个人利益与公共利益之间的良性转化,提升个人(或医疗机构)的利益还原期待,以缓解个人信息保护与数据开发利用中的利益冲突,尚存在探讨空间。相比一般数据,在医疗数据领域建立数据交易机制需要更加谨慎、严苛的制度设计,日本在该领域仍在不断探索,值得持续关注。
4 对我国的启示与建议我国医疗大数据资源丰富,潜在开发价值巨大,其应用对于提升我国医疗诊断水平、提高医疗服务质量等具有重要意义;但是,也同样面临如何平衡数据保护与开发利用关系的难题。目前,我国对医疗大数据“保护”与“发展”两方面的规则均缺位。一方面,作为基本法的《个人信息保护法》尚未出台,下一步针对医疗信息制定专门法的进程更为遥远;另一方面,对数据保护和运用关系的顶层设计尚缺乏系统性。理论界过于偏重数据保护,对数据应用的具体制度设计和针对性举措探讨不足。为应对医疗数据产业发展面临的诸多挑战,建议我国从以下3个方面积极完善。
(1)加快推进数据保护体系构建,弥补“保护缺位”。日本从规范“政府对个人信息的保护”到实现“普遍性的个人信息保护”,再到“推动信息和数据的开发应用”,根据时代发展的不同需求,环环相扣、层层推进。“基础不牢,地动山摇”,对于大数据开发来说,只有在建立较为完备的数据保护体系,形成高标准的数据保护环境,国民隐私保护意识较为成熟的前提下,才有底气谋求数据开发应用。针对我国发展现状,建议首先在信息和数据保护领域打好“制度基础”,加快建立严格、规范的数据信息保护体系。
(2)系统思考数据保护与运用的平衡关系,探索实效性发展举措,弥补“发展缺位”。发展不能只停留在原则性规定和基本方针层面,需要切实管用、行之有效的制度和机制创新。日本一贯的做法是,积极吸收借鉴欧美的先进做法,结合本国制度特点和发展优、劣势,小心论证、大胆推出具有本国特色的规制方案。例如,1998年创设的“隐私标识”(privacy mark)认证制度,以及现行的匿名加工制度、准入认定制度等。建议我国在参考国外经验基础上,针对我国实际问题,推出更多具有实效性的发展对策。
(3)从具体举措来看,日本的做法值得借鉴,但相关配套措施不可忽略。日本的匿名加工制度对于缓解“隐私冲突”、“opt-out”方式对于缓解“利益冲突”都具有积极意义。但是,我们并不认为只要引入“匿名加工制度”或者“opt-out”方式就可以使所有问题迎刃而解。大数据时代,匿名加工技术无法完全规避个人识别可能性,“opt-out”方式也不仅仅是简单的路径选择问题,任何制度的落实都离不开配套措施的切实保障。日本的匿名加工制度有国家认定制度的底层保障,在准入标准、责任义务和社会监督机制等方面都有一系列配套支撑。同样,“opt-out”方式也需要辅之以告知义务、申请制度、30天权利行使期间、拒绝权等具体细节制度的保障。在参考借鉴时,需要对配套制度进行充分考察,然后结合我国国情进行详细设计。
通过对日本个人信息和医疗数据规制模式的考察和分析,希望能够为我国相关领域法律政策的制定和实施提供一些参考,助力符合我国国情、具有我国特色的个人信息保护体系和医疗数据规制模式的早日构建。
| [1] |
黄道丽, 张敏. 大数据背景下我国个人数据法律保护模式分析. 中国信息安全, 2015, 6(6): 111-116. |
| [2] |
林凌, 李昭熠. 个人信息保护双轨机制:欧盟《通用数据保护条例》的立法启示. 新闻大学, 2019, 35(12): 1-15. |
| [3] |
周辉, 孟兆平, 敖重淼, 等. 网络环境下消费者数据的隐私保护--在全球数字经济背景下保护隐私和促进创新的政策框架. 网络法律评论, 2013, 14(1): 193-218. |
| [4] |
Gorssmann C, Goolsby A W, Olsen L A. Clinical Data as the Basic Staple of Health Learning:Creating and Protecting a Public Good:Workshop Summary. Washington DC: National Academies Press (US), 2010.
|
| [5] |
李慧敏, 王忠. 日本对个人数据权属的处理方式及其启示. 科技与法律, 2019, 31(4): 66-72. |
| [6] |
経済産業省情報経済課. AI·データの利用に関する契約ガイドラインと解説. 東京: 株式会社商事法務, 2018.
|
| [7] |
水町雅子. 個人情報保護法. 東京: 労務行政, 2017: 61.
|