魏晓东 辽宁大学法学院、辽宁知识产权学院研究员
大陆个人信息保护法采取的规范形式与民法典人格权编中个人信息保护的规范形式是不同的,个人信息保护法采取了“事前同意”式的财产性规范模式,该法提出的个人信息权益概念,从解释论角度,也更像财产权。个人信息保护宗旨应是保护隐私权,个人信息保护法的财产性规范模式将会使医疗服务机构在提供服务时获取信息的成本增加,并且信息使用、处理成本和监管成本也增加。大数据技术应用下,对医疗行为适用的个人信息处理规则中的知情同意规则、匿名化规则、安全保障规则都将面临目的落空的困境。在大数据技术应用下的医疗行为个人信息保护,应当坚持以隐私权保护为目的的结果导向责任性规范模式。对待同意原则的适用应采取开放式的一般性原则,减少医疗机构获取信息的成本,并采取有利公众即是有利本人的原则,减少为促进医疗技术研发进步而信息获取时的阻碍。在信息安全保障注意义务及监管水平上,应当采用实用主义原则,按照平均技术标准来评价。按照数据生产、数据存储、数据管理、数据流转不同阶段采用符合该阶段本质的数据信息监管措施和监管规范。
大陆个人信息保护法的颁布标志着大陆个人信息保护法律体系的逐渐完善,使大陆个人信息保护水平显著提高。但个人信息保护法同民法典在有关个人信息保护方面的规范存在一定差异,形成了就相同事实法律适用上不同的解释模式,容易导致法律适用冲突困境。对于个人信息处理者而言,法律适用的矛盾和不确定性会为个人信息利用增加额外的“事前同意协商”和“安全保障措施”等成本。医疗领域是极度依赖个人信息的领域,随着大数据技术和个性化医疗的发展,对于个人信息的利用越来越广泛深入。大陆个人信息保护法律体系的内在矛盾更会使医疗行为中个人信息利用成本增加,进而增大医疗服务成本和医学研发成本,阻碍相关医疗技术的发展进步。本文从个人信息的本质出发,探讨大数据背景下大陆医疗行为个人信息保护中规则适用的困境,尝试有针对性地提出解决建议。
一、个人信息保护的法律适用困境
(一)个人信息本质判断的困境——权利还是权利客体
1.“个人信息保护”语义分析
“个人信息保护”称谓的语义逻辑可理解为:个人信息被看作是一种通过法律认可并予以保护的利益。“保护”意味着法律从各种利益诉求中选出认可的利益,这也是利益法学的观点,“利益是生活事实的组成部分,但把握所有生活事实是不可能的,法学只会强调对其目的很重要的特征,即本质利益”。因此,“个人信息保护法”的称谓意味着法律明确表明要“保护”的是“个人信息”利益。但“保护”方式不同决定了“保护法律”性质的不同,进而决定了法律调整的利益关系性质的不同。无论是个人信息保护法还是民法典,法条中反映的保护方式都是信息主体或信息利益主体平等关系上的保护方式,因此是一种私法性质的保护法律。所以,本文所探讨的个人信息法律关系都是在民法语境下探讨的利益关系。
民法上,成为受民法保护的对象是民事权益,“保护”表明法律为这个所认可的利益对象提供了实现利益的途径和方法。从民法语义解释的角度,“个人信息保护”就是“个人信息利益”的实现。民法规范构建是以“水平关系上具有间接第三人效力”的方式,通过民法概括性规定民事权利内容,来体现法律认可的基本利益。民法上的权利概念,是指“为满足某人特定需要而赋予他的法律之力,权利是一种确定的、恰当的权力关系,这个权力关系是一种社会领域而非规范领域的事实关系”。所以,民法上的“保护”对象应当为一种客观存在的社会关系,这个社会关系被法律抽象为“规范意义上的授权,一种法律上的可能和可为,具体内容即享有什么和应该享有什么”。这个“什么”就是权利的内容,是由产生权利的社会关系决定的。权利是这种社会关系的反映,所以权利必须有指向的对象即客体,并且权利的客体必须是确定的。“个人信息保护”也一定是以权利概念结构形式来实现,即法律先界定一个类似权利这样的社会关系。因此,个人信息保护法首先提出了“个人信息权益”概念,否则无法满足个人信息保护这样利益实现方式。
2.个人信息是客观实在物而非社会关系
权利与权利客体是不同的,权利是抽象构造物,如物权、债权、知识产权,权利客体是体现社会关系的客观现实存在物,如物权客体的物、著作权的作品。“个人信息”从语义上并不是一个抽象物,而是一个实在物。个人信息是一种客观存在,不是某种特定社会关系的抽象概念,因为“个人信息”并不能直接表达出“法律上可能或可为”的社会关系内容。任何一个个体都有个人信息,信息本身就是对客观事物的反映,个人信息能反映社会关系但并不是社会关系,个人信息保护并不是保护个人信息而是保护个人信息所反映的权益关系。所以个人信息具有权利客体属性,不能被视为一个独立的民事权利。
3.个人信息保护法的法律适用困境
如果个人信息是权利客体,如前述,就应当围绕个人信息建立权利义务关系,个人信息就应当能够产生一个独立的民事权利或权益。但整个民法典所列举的权利类型中并无专门以个人信息为客体的,民法典人格权编中的个人信息规范并非如著作权法中“作品”一样的客体界定,而是一种人格权客体表现形式的界定。所以,从法律解释的角度,目前大陆民法体系中反映的个人信息本质只是一种权利客体的表现形式。大陆个人信息保护法第一条明确提出了“个人信息权益”概念,该条采用与民法典第一条相同用语,即规定“根据宪法,制定本法”,意思是个人信息保护法的位阶是依据宪法制定的层次。这说明立法者将个人信息保护法置于同民法典同样的地位,该法所表达的“个人信息权益”同民法典中“民事权利”具有同样的性质,都是基于宪法的基本权利。因此,按照个人信息保护法,“个人信息”应属于一种独立的民事权益。显然,这同“个人信息”这一事物的“客观实在物”本质是相矛盾的。
将“个人信息”作为一种基本民事权益对待,将造成法律适用上的混乱。因为,个人信息权益将被视为独立于人格权、物权、知识产权等的一种利益关系,在没有反映公认的法律保护利益价值如人格利益、所有权利益、知识产权利益的情况下,每个独立的个人信息将因本身的权益属性而产生排他性和支配性。单纯的“个人信息权益”若独立于人格权无疑是一种财产权性质的权益,而体现人格利益关系的个人信息保护会发生两种不同性质规范的竞合,进而发生法效果的相互排斥,这是法秩序所不允许的。人格利益应当优先于财产利益,但财产权利益保护方式因排他性和支配性的行为导向规范形式而具有高效性,因此会造成非人格利益个人信息保护优于人格利益信息保护。这显然不是立法意图。任何权利代表利益的正当性都是经过人类社会长期实践形成的共识,无论采用何种权利理论,任何私权都是为了社会生活秩序形成的公众利益与私人利益平衡妥协的结果。个人信息自古有之,并且无穷无尽,几乎与水和空气一样,如果不能表达除其他受法律保护的利益之外可独立存在的利益,将其作为独立民事权益是缺乏正当性的。
(二)个人信息保护规范适用困境——财产性规范还是责任性规范
1.结果导向与行为导向
无论个人信息是权益还是权益客体,均是其所反映的社会关系决定具体利益内容、保护方式,即决定保护规范的内容和解释方式。保护规范从构成角度分为结果导向规范和行为导向规范,从保护利益的手段角度可分为财产性规范和责任性规范。结果导向规范,是指把行为后果作为考量行为违法性判断要素的规范,行为导向规范则仅考察行为具体要素,若行为要素符合保护规范构成要件即构成产生法效果的规范事实要件,事实要件中并不必然要求损害后果。但现实中的规范并不能按照学理抽象僵化分类,绝大多数规范从语义上并不能简单的被区分为某一种规范,而是带有混合性质,甚至在具体事实适用时会因为价值判断的需求而在两者间选择。基本权利保护目的在于保证利益的实现,而这种利益的实现包括直接的实现和间接的实现。直接实现利益在民法上体现为排他性和支配性,请求权则为绝对权请求权,因此民法上有物权请求权、人格权请求权、知识产权请求权等绝对权请求权。间接实现利益体现为救济性保护,最典型的是债权请求权中的侵权责任请求权。因此绝对权请求权基础应该以行为导向规范为主,侵权责任请求权基础大多以结果导向规范为主。保护性规范中的事实构成描述则依赖于请求权性质,由此决定是行为导向还是结果导向。
2.财产性规范与责任性规范
所谓从保护手段角度划分的规范,是指权利初始配置所考量地对客体利用需要的协商成本是否存在。财产性规范指非经权利人同意不能实施利用行为,行为人对客体利用必须先取得权利人同意,因此必然存在协商成本。责任性规范指行为人不需要事先获得权利人许可,可径行实施行为,但应当以给付对价为责任,对行为人而言,客体利用不需要协商成本。由此可以推论,一般排他性支配权规范都属于财产性规范,该种规范意味着非经权利人同意不得实施行为。责任性规范意味着不经权利人同意可实施行为,但要承担责任后果。财产性规范显然要比责任性规范赋予权利人更强的“法律之力“。
3.民法典与个人信息保护法规范模式的不一致
大陆民法典有关“个人信息”的规范中,从语义解释角度,仅第1038条“信息安全”条款属于财产性规范。该条含有“未经同意,不得”的语义构成。其他规范如第1035条“信息处理限制”和第1036条“信息处理免责事由”,则属于责任性规范,尤其是第1036条的“免责事由”规范证明了民法典对于“个人信息保护”采用的是结果导向,保护方式采用了责任性规范模式。因为,“免责”意味着虽然行为符合保护规范的事实要件构成,但还需要有损害结果这一要件,才能适用规范上的法效果。既然“免责”考量的是行为事实要件,而非结果要件,故责任构成就是结果导向。
但大陆个人信息保护法的规范语义却带有财产性规范色彩。大陆个人信息保护法第二条规定“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”,第十条规定为“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”这两个条款是总则规范,是可以用以解释其他规范的。首先,该规范中的“收集、使用、加工、传输”均为行为外观事实描述而非行为结果,故从行为外观形式考察即可得出“非法”与否的判断。所以,个人信息保护法该总则性规范是行为导向规范。其次,虽然该规范并未有“未经同意,不得”语义结构,根据举重以明轻的逻辑,显然此“非法”行为的法效果中必然存在“不得”,并且“不得”法效果的构成要件也必然包括“未经同意”。这就使个人信息利用者必须要付出协商成本利用个人信息,否则无论是否产生损害后果,都形成违法性后果。因此,个人信息保护法也是财产性规范。从以上分析,可以推论出个人信息保护法对“个人信息”的保护强度已经超过民法典,甚至超过了民法典中“秘密信息”保护强度。因为“秘密信息”保护在民法典中适用“隐私权”保护规范。而民法典隐私权保护规范,显然不是财产性规范,同样是责任性规范,并且也是行为导向的。这就在价值判断上形成逻辑矛盾,隐私权代表人格尊严和自由的利益,显然是高于其他个人信息反映的社会关系利益,但规范赋予的法律之力却小于其他低价值利益。
(三)个人信息权益的本质——人格权还是财产权
1.个人信息与人格权的关系
财产性规范并非指规范保护的权利是财产权,而是指以财产权保护的模式构建的规范,人格权保护规范也存在财产性规范。人格权与财产权的利益本质区别是显而易见的,民法典关于人格权的概念也表明人格权是以维护人的尊严和自由为宗旨,人格权具有专属性不能转让而脱离主体。财产权以维护经济秩序为宗旨,不但可以转让并且只有能够转让才使财产权具有意义。人格权正当性是建立在人格自觉之上,即个人的自我认同和自主决定,是长期社会发展的产物,使个人从各种身份、阶级的束缚中解放出来,并因经历各种政治变动而深切体认到人格尊严及人格自由的重要性。人格权的复杂和广泛性,使保护规范也同样具有复杂和多样性。因此,民法典人格权保护规范既有财产性规范也有责任性规范,既有结果导向规范也有行为导向规范。民法典将个人信息保护纳入人格权编规范之中,很显然立法者认为个人信息是人格权的客体表现形式。
个人信息是否能够表现其他人格权的利益关系,值得探讨。个人信息同样包括姓名、肖像、名誉等社会评价性人格信息,也包括生命、身体、健康等人身信息。若构成对姓名权、肖像权、名誉权的侵犯必然存在对个人信息这一客体的利用。但法律保护的利益关系并不是信息利益关系,即姓名、肖像与主体的利益关系,而是主体因姓名、肖像获得的尊严自由社会评价利益。姓名、肖像这些个人信息是姓名权、肖像权的客体,不是个人信息权益客体。这是因为,若因利用姓名、肖像等个人信息而侵犯姓名权、肖像权,是直接对人格利益的侵犯,直接满足保护规范事实构成要件。而其他个人信息利用则必须达到侵害其他利益后果,这种情况下的个人信息被利用仅是造成后果的媒介,并非被侵害客体。姓名、肖像对个人信息是下位概念,姓名权、肖像权等人格权保护规范对于个人信息行为规范也是特别规范。当利用秘密个人信息侵犯隐私权时,同样也不是信息与主体之间的关系,而是主体与社会之间的关系。隐私权同姓名权、肖像权不同,其保护规范是结果导向的。信息的利用是一种媒介,隐私权并不像姓名权、肖像权一样由个人信息直接形成利益关系,只有通过个人信息利用行为为媒介转换才达到隐私权利益形成的后果。所以,只有产生隐私权侵害后果,才构成侵犯隐私权,而这种法效果的产生需要通过对行为构成及隐私利益综合考量,来决定是否构成保护规范事实要件。该保护规范也需要对复杂的个人信息利用行为进行体系化构建,才能实现隐私权保护的目的。
2.个人信息与财产权的关系
从个人信息的本质上,个人信息保护规范中不应包括财产权保护规范,但目前有鼓吹个人信息有财产价值从而应建立财产权保护规范的倾向,个人信息保护法虽然并未明确表示个人信息的财产性,但同样具有财产权保护色彩。财产权规范最核心的规范或者说与人格权规范最显著区别的规范就是处分规范。个人信息保护法很多规范就具有处分性规范特点,如个人信息保护法中的同意规则、删除规则、解释规则以及个人信息侵权归责原则中采用过错推定,都暗示了立法者对个人信息财产权属性的默认。但是,从个人信息权益本质来看,即使是带有财产权色彩的规范也应按照人格权保护路径来适用。
二、个人信息保护的本质——隐私权保护
(一)个人信息权益仅反映隐私权是普遍制度根源
欧洲数据保护指令(简称GDPR)的立法逻辑是责任规范的构成依赖于风险高低,义务的赋予由数据的敏感性和风险性决定而不是一个笼统的责任暗箱;在不考虑风险责任条件下赋予数据客体的特殊性权利。如该法前身的《欧洲委员会个人数据保护规定》就宣称:每个人私人及家庭生活、通讯、住宅不受公权力介入干预,除非基于国家、社会、经济安全的社会利益以及组织犯罪、公共健康和道德保护目的,均禁止对任何人的隐私权非法干预。该法所吸纳的欧洲司法判决观点及思想也指向隐私权保护。如欧洲人权法院认为:“每人都有权使其私密生活不被有意的关注,若将私人生活限制在他或她所选择的个人生活的内部范围而完全排除外部世界则过于狭窄”,应放宽“私人生活”的范围至“私人社会生活”,这是因为每个人都有获得社会认可的需求,都倾向获取好的社会评价,建立良好的社会关系。欧洲委员会1981年《斯特拉斯堡协定》中关于个人信息数据自动处理的条款就明确以保护隐私权为宗旨,该协定也是欧洲各国国内法渊源。对于数据信息所反映的人格权利益,从欧洲人权法院In Van Oosterwijck v. Belgium案和In Leander v. Sweden案就可以看出是隐私权。这些案例都明确阐述:即使数据不是敏感数据,也构成隐私权侵犯,如通讯和电话的数据即使不是身体或心理这样敏感数据以及年龄这样的非敏感数据也构成隐私权保护客体。
美国是隐私权概念的发源地,该权利制度能肇端于美国的原因,就是因为美国因信息通信技术的发展形成对个人隐秘生活严重干扰的社会问题。隐私的本质是自然人主体对个人生活的排他性自主,不受包括公共部门在内任何他人的干预。美国司法界采纳了侵犯隐私权行为的四领域划分,即公开他人隐秘事实、侵扰他人生活安宁及私生活、公开扭曲他人形象、盗用他人姓名和肖像。美国近年尤其重视信息隐私规范发展,以信息为调整对象的规范几乎都以保护隐私权为目的。如联邦隐私法(the Federal Privacy Act of)是用以保障政府与金融机构银行记录的计算机信息因素,隐私权保护法(The Right to Privacy Protection Act)以保护新闻隐私为目的,电讯传播法(The Telecommunication Act)以保护电讯传播消费者隐私为目的,电子传讯隐私权法(The Electronic Communication Privacy Act)以规范有线、无线电子或口头传讯的谈话隐私为目的。最近美国又颁布了《数据隐私安全法(草案)》,明确该法宗旨是为消费者数据隐私建立强有力的监督机制。可以看出,美国一系列的关于数据信息的立法都以隐私保护为核心。
(二)隐私权是人格权不是财产权
1.隐私权价值决定了其只能是人格权
隐私所产生的价值不在于从信息公开中获利,而在于(通过)因拥有防止任何信息公开的能力而获得的一种平和心态和信仰。从其通常意义来说,很难将其当作一种“资产性”权利。隐私的价值在于维护人的尊严和自由,隐私权的功能在于:个人自主(personal autonomy)、情感释放(emotional release)、自我评估(self evaluation)和有限度与受保护的沟通(limited and protected communication)。因此隐私与财产从价值功能上看,有本质区别,隐私的人格性价值的核心是人的内在自主性,财产的人格性价值核心是人的外界关联性,两者是截然相反的利益诉求,隐私权与财产权有着天然的不一致。
2.隐私权的人格性是社会长期实践的结果
如前述,从隐私权制度的历史演进看,隐私权也一直被视为人格利益保护的权利。隐私权概念创始于美国,隐私权形成的原因就是由于“最新科技发明和商业手段唤起了对人格法益的更进一步的保护,以及确保如Thomas Cooley法官所称的‘独处权’的权利。照相技术和报刊已经侵入了私人和家庭神圣领域,不可记数的机器装置使密室私语在屋顶上被公开传播,流言蜚语不再是懒散与邪恶之源,而是一种行业,严重侵害个人家庭的私事,法律应该在各方面承认隐私权。”1965年后,美国联邦最高法院在若干重要判决中阐释了隐私权概念,强调隐私权涉及人的尊严、自由价值,并通过侵权法上隐私权保护的类型化和宪法上隐私权基本权利规范来构建保障机制。德国民法或宪法上并无隐私概念,德国判例学说称为私领域或私人性,认为私人性导致一般人格权,并同时决定其内容和范围,使个人享有一个自我生活形成的自主领域,排除他人干涉而发展实现其个人性,每人得有属于自我存在的领域,可称一般人格权内化。私领域(隐私)的保护系人格权具体化的表现,以保障个人生活的自我形成,不受干预。德国法院采取学说上倡导的领域理论,将隐私保护分三个阶层,即隐秘领域(核心阶层)受绝对保护,其他两个领域(私密领域和私人领域)保护依利益衡量而为认定。大陆民法典明确区分了财产权利和人格权利,对于人格权利在民法典总则第109条和民法典人格权编第990条做了一般性概念构建,在民法典第110条和第990条也明确将“隐私权”纳入“人格权”类型中。民法典第1034条关于“个人信息”保护的规范,按照语义解释逻辑分析,应该类似德国做法,将私密领域作为核心领域,适用隐私权保护。所以,隐私权的保护应按照人格权的保护模式基本上是世界各国和各地区的共识。无论各国因信息技术发展针对信息隐私权如何进行类型化或具体化,都不会脱离人格权保护的基本框架。那些意图依侵犯财产权责任替代侵犯人格权责任的思路不符合个人信息权益本质及个人信息保护制度的前提宗旨。
(三)财产价值并非赋予个人数据信息财产权的理由
1.大数据技术下的个人信息财产价值
对于个人信息财产价值,意大利哲学家卢西亚诺?弗洛里迪有着较深刻的分析。他把以计算机技术为基础的大数据技术和人工智能技术的发展称为“第四次革命”,这个技术革命“使人类从费神的工作中解脱出来,人类在逻辑推理、信息处理和智能行为领域的主导地位不复存在,人类不再是信息圈毋庸置疑的主宰,数字设备代替人类执行了越来越多的原本需要人的思想来解决的任务。我们越来越多地将自己的记忆、决定、日常安排及其他活动,以一种与我们不断融合的方式,委派或外包给这些数字信息智能体去打理。由于第四次革命,这一切都会变得司空见惯。人类独一无二的地位将被取代。我们将在众多物体中接受自己信息体的身份。去个性化和再定义的信息体可能被视为广告市场里可以买卖的货物,我们的价值由我们作为顾客的购买力决定”。“在互联网上,没有人在意你是谁,只要你的ID是那个对的购买者。在2013年,(涉及)大多数人(隐私)的个人信息(一个包括年龄、性别、工作经历、个人病史、信用评分、收入细节、购物历史、日常消遣、住址等信息集合)只能卖到1美元一份。”而且,至今这个价格也没有增加,因为信息只会越来越多,没有稀缺性,不可能导致价格增加。所以,个人信息虽然有财产价值,但并未达到需要赋予排他性权利这样的财产利益程度。
2.有价值未必要赋予财产权利
不是世界上所有有价值的东西都要赋予排他性、独占性特征的财产权。如果用目前较流行的三个现代权利哲学本质学说:自然权利说、人格权利说、功利主义说,来为数据财产权的正当性作解释性辩护,在信息技术本质面前会变得苍白无力。信息的加工与发掘并不是主体劳动的结果,前面已述,人已经将主导地位让位给数字设备,因此,并不存在所谓的“人的劳动”后果,所以自然权利说不能推导出数据财产权的正当性。“去个性化”、“匿名化”、“批量化”是交易信息客体的典型特征,因此信息作为被交易对象是以脱离主体人格为前提的,所谓通过财产体现人格或者“意志”的人格权利说,完全同所谓“信息财产”大相径庭。至于功利主义的“公地悲剧”理论作为权利正当性基础,则更加不适用信息,信息的本质决定了其并不存在稀缺性,互联网已经成为社会生活的主要方式,信息生产是社会生活的必然结果,只要人类社会生活不停止,信息生产就不会停止。所以,数据和信息不会因为没有财产权利的保护而被过度利用、枯竭消亡,没有任何将数据信息作为财产权客体的理由。还有人认为是数据技术开发者的劳动或者智力成果产生的数据处理后整合价值,因此按照激励机制应当保护该数据产权进而激励数据技术的创新和开发。这是一种偷换概念,数据技术无论是作为专利的技术方案还是作为作品的计算机软件,都与数据信息不是一个事物,即使是构成准作品的数据库也与不具有任何独创性内容的数据信息有本质不同。
3.只有关涉隐私利益的数据信息才应是权利客体
信息和通信技术使隐私成为最突出的社会问题。按照弗洛里迪的观点,信息和通信技术会强有力的影响“信息摩擦”,它们使隐私成了最突出和紧迫的问题。所谓“信息摩擦”,是指信息圈中与信息流反向的力量,影响一些智能体在特定环境下为获取、过滤和封堵其他智能体信息,减少、改变和增加信息摩擦,与智能体个人信息的可读取性呈负相关性关系。智能体之间信息隔阂越少,可预期的隐私水平就越低。老式的信息与通信技术或设备如电视、收音机只会减少信息摩擦,而新式的信息和通信技术即可能减少也可能增加信息摩擦。现代社会因信息和通信技术减少信息摩擦带来的隐私担忧,用匿名化得到了缓解。但是大数据技术和人工智能技术能够分析匿名信息并能修复删除的数据,例如搜索引擎能反映人们的关注点,这既是价值所在也是隐患所在。互联网上数据一旦存储就无法删除,即使经过匿名化处理的信息也不能完全保密。2006年发生的“美国在线”案就足以说明这一问题。美国在线(AOL)的研究员发布了一个搜索日志,含有650万用户的2000万搜索信息,这些信息都被匿名仅有编号,但根据这些用户查询过的信息内容,甚至不用大数据技术就能很容易确认查询者身份。这样的数据每天都在产生,这样的情形每天都在上演。所以通过几个数据库和不同的通信与信息技术,在没有任何与个人沟通情况下,掌握具体个人信息是不成问题的。如果运用监视软件、恶意软件或者数据挖掘、黑客等技术,隐私边界在信息社会就会逐渐消失。因为在信息社会不存在“私人生活范围”和“私人社会生活范围”,大家都在一个数字社区内,是一个“没有对隐私破坏进行限制约束的全球化数字村庄”。所以,隐私保护在当前信息技术广泛应用的社会中具有最核心的价值。
三、大数据技术下医疗行为中个人信息保护规则适用的困境
(一)同意规则的困境
1.同意规则的价值本源
根据前面论述可知,个人信息保护的目的就是保护隐私利益。因此,个人信息保护规则中的同意规则也同样以追求该价值为目的。人格权的“个人尊严”和“个人自由”价值在个人信息上体现是信息自主和信息自由,同意规则的结构也同样是围绕这两个价值目标设计。同意体现的是主体的信息自主,因此同意规则一般包括:取得的同意、利用的同意,利用方式的同意,利用后处理的同意(删除权)。同意的本质在于民法意思自治原则体现,同意代表意思表示发生效力,因此对“同意”的判断必须以“真实意思表示”为标准。如果把民法典中关于真实意思表示规则进行归纳,会发现真实意思的判断存在两个方面,一个是“真实作出意思”即存在真实意思并且愿受内容约束,一个是“作出真实意思”即不存在可撤销或者隐藏情形。前者是意思表示行为外观的判断,后者是对行为人内在意图的判断。用在同意方面,前者的法律评价标准是同意方式的客观化即同意的形式,后者的法律评价标准是同意者的主观意愿即“知情下的同意”。大陆个人信息保护法对于同意规则构建采取的也是这样的结构。但对于同意的方式采取的一般和特殊结构,以同意为一般性原则,对于同意方式,将敏感信息同意方式作特别性规定,即“单独同意和书面同意”。对于“知情下的同意”,大陆个人信息保护法则建立了较为详尽的行为规范,用以判断意思表示“真实”。其中对于知情标准要求为“充分”,对于知情形式要求“书面或口头”。该法第17条要求以“显著方式、清晰易懂的语言真实、准确、完整地向个人告知”。并且该条还建立了判断同意意思是否“真实”的标准即确立“知情告知内容”的行为规范,包括如处理者信息、个人信息的处理目的、处理方式,被处理的个人信息种类、保存期限的知情内容等。不过,通过一般性行为规范对个人信息处理行为进行调整本身就存在着滞后性和局限性。个人信息保护法是以一般性规范适用快速变化的信息技术运用的领域,很难做到前瞻预判,也没法归纳提炼出众多信息技术利用行为的抽象性一般规范。并且个人信息保护法隐私权保护目标不应以社会需求的技术进步公共利益的损害为代价,医疗事务的个人信息保护就存在这种制度困境。因此个人信息保护根本目的实现还依赖法律规范的具体化和整个法律秩序的完备。
2.医疗事务中的同意规则适用困境
按照个人信息保护法划分的信息类型,医学事务产生的个人信息皆为敏感信息。所以医学事务信息获取的“同意”形式只能是书面形式,包括电子书面形式。各国关于个人信息保护的规定中对于敏感信息均要求事前同意,并且这种事前同意是“知情下同意”。因此信息获取前必须进行协商,并且要充分披露,充分披露要达到“知情”标准。这显然极大地增加了信息协商成本。对于医学事务而言,尤其是紧急情况下的医疗行为,患者信息获取的重要性和及时性是不言而喻的。信息获取的事先同意协商过程无疑会造成治疗延误。紧急情况下生命健康权的价值显然大于隐私权的价值,医生不能因为未取得患者同意而不获取患者信息进而无法提供医疗。其实从医疗契约解释角度,医生问诊获取病人信息并不需要病人同意,这是医生诊疗契约的权利,也是病人的告知义务并且是默示契约下的同意获取。目前的个人信息隐私保护的“明示同意”规则无疑与医疗行为的内在秩序形成冲突,会形成了医疗事务信息获取法律适用的困境。
即使免除医疗服务提供者“事前同意”获取的义务,接受医疗者“事后追认同意”也未必能够实现。医学的复杂性与信息权利人知识有限性的矛盾不但会导致同意有效性丧失,也会导致“事后追认同意”容易被拒绝。例如,患者可能认为其不良嗜好信息(如饮食习惯)或者私密信息(如堕胎)可能对其接受的医疗没有关联,而拒绝提供或者提供虚假信息,但实际上这些信息对于诊断十分重要,一旦发生医疗偏差,患者为推脱责任,很可能拒绝“事后追认同意”。甚至一些普通的生理数据信息,也可能导致拒绝同意。个人信息保护的“知情同意原则”会加重医疗信息获取难度,这已经是一个普遍现象。如《美国隐私数据安全法(草案)》对于“明示同意”的标准称作“肯定的明示同意”,指“个人对于某一行为或实践给予具体的、知情的、明确的授权,”对于请求同意的行为披露要求以“易于理解的语言编写,包括一个醒目的题目,使一个合理的人能够识别和理解该行为”。这就要求医疗机构应当使患者充分理解医疗信息获取的内涵,无疑会极大增加信息协商难度,降低同意的可能。
另外,医疗数据信息对于发现医疗技术缺陷、改进医疗技术水平、提高医疗技术效果具有重要科学依据价值。但是这种信息的事后利用具有不确定性。信息主体已成为事后非利益相关人,其“同意”利用信息是基于公共道德并非法律义务,尤其若信息主体的医疗效果并未达到预期,更容易导致对同意的拒绝。而大数据技术利用更增加了这个矛盾。由于人体的高度复杂性,大数据技术往往关联到一些此前传统研究认为不相关的数据,这是因为人的生理和心理健康受一系列多重因素联合作用影响,而每个因素又都有自身独立后果,但每个独立因素一旦同其他因素结合,就会产生与独立作用完全不同的后果。这些因素结合的内部机制和后果在当前诊疗中尚不能被证实,因为很多研究只能考虑到少数的影响因素变量。而大数据技术机器算法会分析人力研究所无法覆盖的因素,会提高发现发病机理和治疗办法的成功概率。但是,大数据技术利用的高效性和进步性受私权利益保护自私性阻碍。大数据信息获取的必要性是难以向信息主体解释清楚的,并且信息的可用性和效果也无法预见,因此会产生事前同意人意思表示的可撤销。即存在这样可能,表意人在知道数据利用结果后,基于自身利益考量,会以数据利用的不理解、不可知理由主张意思表示错误而撤销同意,进而造成大数据信息利用行为的撤销,由此产生民法上的撤销法律行为的后果责任,非常不利于大数据医疗的科研发展。
(二)匿名的困境
1.匿名的目的——消除可识别性
匿名化是个人信息保护机制中实现隐私利益保护的核心方法,现代社会进化出利用匿名来保护隐私,既是通信技术发展的结果也是对抗通信技术的结果。匿名仅是手段,匿名的目的是消除识别性,当对于一个涉及隐私保护信息处理行为进行判断时,仅采取匿名方式,并不当然视为满足权利保护规范,而应当以是否达到消除识别性为判断标准。所以,大陆个人信息保护法对于信息安全措施要求并非是“匿名”而是“去标识化”。《欧洲数据保护指令》(GDPR)对于“匿名”也以“与可识别信息隔离,确保不被识别或者可识别”为构成要件。
2.医疗信息消除可识别性的困境
医疗关系是自然人特殊个体与医疗机构之间就特殊医疗事务形成的关系。基于医疗关系中医疗义务履行的救济和举证有时无法实现匿名和假名。没有完全一样的自然个体,每个病例都是独特的,诊疗必须以具体个体为核心,无论是现代远程医疗还是传统的诊疗,都建立在个体的特殊生理条件基础上,因此必须要可识别,完全的匿名是不可能的。例如,医学影像检验结果必须指向具体个体患者。虽然,大数据可以对匿名数据进行的统计、计算、分析处理,但真正地起到科研医学参考价值的,往往是特定个体的医疗数据。对于研究者而言,如果想证明某些相关性,越个性化的数据和信息越有价值。另外,医疗效率的要求和医疗机构管理要求也无法实现匿名化。例如,“持续性医疗”要求对患者的跟踪管理和持续性信息获取,而个性化是医疗效果预期实现的前提,因此,“持续性医疗“只能增加患者信息的可识别性,而不应消除可识别性。另外,医疗资源共享是提高医疗效率、降低社会成本的有效途径,也是发展趋势。但正如前述,现代社会因信息技术发展带来的信息共享便利的同时也带来了隐私泄露风险,故而现代社会选择了匿名方法来降低这个风险。而匿名化的不可识别要求会阻碍医疗信息共享的目的实现,这就导致匿名化要求在医疗领域的适用困境。
大数据技术应用下的个性化医疗将使匿名化面临更严峻挑战。埃里克在《未来医疗》中预测大数据医疗普查技术可以做到“将多层信息进行汇集整合,从而创造属于个人的谷歌地图(GIS),而无数人的GIS组合正成为未来医学的一项基础性应用”。他将这种个人医疗信息数据系统(GIS)分成表型组(phenome)、生理组(physiome)、基因组(genome)、解剖组(anatome)、蛋白质组(proteome)、表观基因组(epigenome)、暴露组(exposome)。他认为,这些GIS类型组为建立全新的高度个性化医疗模式提供了很大可能性,“我们每个人都可以根据GIS信息作出重要的医疗选择。个体的GIS最终会通过个体小型无线传感设备传输,数据流的新模式将会使这些信息的所有权更加清晰。”他所构想并且目前也已经开始实践的这种个性化的医疗系统信息,即使每个数据都是匿名的,可一旦成为系统组合,也不可能消除识别性。因此,他也承认“我们每天留下的数字痕迹能揭露更多不为我们所知的信息,这可能变成一个隐私噩梦,但也可能变成一个更健康、更繁荣的世界。”
即使不是大数据的个性化医疗,一般的基因生物识别性也会使匿名的消除识别性功能无效。如罕见病、特殊个体基因,匿名化也无法消除可识别性。姓名是主体用以实现社会识别的方法,是人类社会进化的产物。但医疗中运用的生物识别方法却是自然现象的利用,从科学意义的识别效果看比姓名更有效。每个自然人个体都有独特的生物特征,准确识别更有利于开展医疗。正如前面提到的“美国在线”案表明的,只要“信息关涉到具体个体,就有可能识别到该个体。计算机技术的实质性进步和大量应用会通过连接融合不同数据源而轻松并快速地将数据中的信息变成可识别”。
(三)安全保障与监管的困境
1.安全与损害概念的模糊
安全是与危险对应的概念,在权利保护规范领域,安全通常理解为危险地避免和消除。而危险是指损害发生的可能性,因此安全和危险都是结果导向,所以安全保障规范从逻辑上应当是结果导向规范。安全既然与损害相关联,就应以损害结果为判断标准。损害概念本身就存在多种不同理解,自然损害说认为是“财产或其他法益彰受的不利益,包括财产上及非财产上之积极损害、履行及信赖利益”,自然损害说以差额说为基础,即“损害者,权利或法益受侵害时所生之损失,损害事实发生前的状况与损害事实发生后的情形相比较即为损害之存在。”但自然损害说与差额说均被批评为“以财产总额计算过于复杂且违背公平正义”,因而有了损害客观说和损害规范说。这两种修正性学说都试图建立损害的客观评价标准。无论何种民法上的损害学说,都以有形损失存在为前提。因此,即使人格权这样的非财产权,也能够得出损害的结论。但是个人信息这种无形物如果作为一种权益的指向,若称其有损害,必须存在以该信息先后状态差异为比较的前提。而信息并不存在状态差异,不论如何流转,信息本身并不存在“损害”问题。所以,单凭信息状态而判断安全或者损害问题,逻辑上是说不通的。前面已述,对评价性人格权的侵犯都是个人信息利用行为,所以个人信息本身并不存在安全保护问题,而是“个人信息的利用”对人格权造成损害的安全问题。
因此,可以这样理解,民法典和个人信息保护法对于“个人信息安全”概念的立法本意仍然是“个人信息处理安全”,是指不因个人信息处理产生人格权损害的可能。基于此,民法典第1038条第二款则仍然是责任性规范,因为该条对于发生规范禁止行为的后果设立了补救措施,而不是简单视为违法。该条规定“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失”,这里的“个人信息安全”是结果导向的,应当指“个人信息反映的人格权等权益安全”。
2.泄露的判断标准模糊
虽然,个人信息安全以“其他个人权益主要是人格权”不受损害为判断标准,但是保护规范同样列举了禁止行为类型,其中的“泄露”是主要禁止行为。但并未对“泄露”概念进行界定,没有厘清泄露对象是特定第三人还是不特定第三人。若不考虑泄露对象特定与否,在“安全保障”的语境下,“泄露”显然不是故意行为,都应当是过失导致。但是,大数据技术背景下,会使“过失泄露”不可避免。对于医疗机构而言,不可能脱离于网络,医疗机构只要存在和医患外第三方的网络上信息交流,就很可能存在泄露。任何人上网产生的数据都会被整个网络记忆,这是网络本质决定的。前面已述,任何以“匿名”、“假名”或者其他“脱敏”手段的信息处理,都无法保证实现完全的消除识别。即使没有恶意侵入或者其他故意破坏安全措施获取数据的行为发生,仅通过已被采取“安全措施”而提供的数据,仍然可以产生“泄露”隐私的后果。虽然个人信息保护法对于个人信息处理者损害赔偿责任采用过错推定原则,但“过错”标准是否仅为个人信息保护法中规定的“个人信息处理者义务”内容尚不确定,并且该法对于个人信息处理者的“安全”义务规范也并不具体,无法在具体案件中为个人信息处理者确立具体的安全行为规范。当前的大数据技术发展日新月异,甚至无法为医疗机构确定一个平均技术标准来作为医疗机构信息处理者的注意义务标准。况且,若依目前个人信息保护财产性规范特征,“泄露”属行为导向规范,只要发生泄露,即构成过错及违法,则会使大数据背景下的医疗机构面临巨大的“泄露风险”。各个医疗机构开展的网上诊疗等以减少医疗管理成本和患者等待成本的措施及设备,将会因忌惮“泄露”风险被怠于使用,这些设施的利用效率受到严重削弱。如果增加大数据发掘泄露的安全防范措施,将增加医疗机构的成本,并且与医疗需求相矛盾,也降低了大数据医疗高效性,使大数据医疗最根本价值不能得到体现。
3.监管标准模糊
首先,尚未明确独立的监管主体。个人信息保护法仅为一定规模的互联网平台企业设立了监管机制,要求设立监管机构。但医疗机构的监管传统上都从公共卫生安全的价值来构建,监管机构的功能在于预防公共卫生安全危险,而没有专门的用于个人信息安全的监管。绝大多数医疗机构并不符合个人信息保护法中大规模互联网平台的主体构成条件,因此其监管机构只能是普通的个人信息处理监管机构即国家网信部门,而无专门监管主体。这就造成监管针对性不足,没有对待医疗服务中个人信息保护的独特性问题建立监管。例如,医疗机构在跨境远程会诊、跨境转诊过程中向境外提供患者诊疗信息,以及跨国医药企业在药品研发过程中向境外母公司提供研究信息,境外医疗器械厂商对器械进行远程维护过程中读取相关信息等方面监管,根据个人信息保护法第三章“个人信息跨境”的相关监管要求,应当具备以下条件之一:(1)关键信息设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供信息的(原则上该等信息应存储于境内),应当通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。但是,目前并无相关安全评估、个人信息保护认证的具体操作规范。国家网信部门不是医疗领域的专家监管,其监管不能超出个人信息保护法一般性规范,无法对待医疗机构设立满足专业技术要求的特殊监管规范。
其次,监管规范不统一。因信息种类不同,医药健康领域信息的跨境传输和处理可能还会受到《医疗机构病例管理规定》、《人口健康信息管理办法(试行)》、《人类遗传资源管理条例》等行业法律法规的监管。这些有关医疗信息监管的规范,往往存在冲突与交叉,规则适用时需要协调和统一。但是,各个监管规则的目标不同,在医疗个人信息处理时,监管目标的不同造成监管规则适用的不同,同一信息涉及多个领域监管,会形成监管冲突和重叠。一方面降低监管效率,另一方面增加信息处理成本。更重要的是这些监管都是针对实体物理空间的监管模式,并非能够完全适用于网络虚拟空间,对于主要发生在网络空间的信息处理行为,这些监管并不适配。
最后,监管技术应用的不一致。由于网络技术应用主体和网络安全保护主体不一致性,对待同样信息处理问题,往往选择不同的技术标准。由此带来技术的不匹配和不协调,使得监管或者屈从于信息处理应用的技术或者排斥信息处理应用的技术,结果就是医疗行为实施者信息处理上的无所适从。另外,监管要求被监管者信息提供频率与数量的高强度同样带来泄露风险,监管主体也是信息处理者,监管关系也带来信息责任的不确定性。
四、大数据技术下医疗行为中个人信息保护的困境解决
(一)明确医疗行为中个人信息保护法律关系
1.客体
医疗行为中个人信息权益客体包括一般性的受保护信息,即一切可识别信息,还包括一般性敏感信息。对于医疗行为信息而言,任何个人信息都不能被非法转让。这些受保护的专门信息如:病史、家族病史、病情、健康状况、药物不良反应、生物指标信息,身体缺陷、基因缺陷、基因检测结果、身体检验结果、治疗过程、治疗手段、治疗效果等(从患者进入医疗机构开始无论是接受询问主动提供信息,还是接受检验获得信息,已经接受医学诊疗整个过程形成的信息,甚至嗣后跟踪观察信息,都是敏感信息)。其中重点强化保护信息如:精神病信息、免疫信息,应当适用行为导向的财产性规范来保护。
医疗个人信息保护法律关系还涉及专门信息载体的利用管理关系,包括:病历、检验报告、记录、临床实验数据、影像资料、医疗设备存储器、电子档案、纸质档案。互联网技术应用下的数据库、云平台、存储器、处理器、服务器等的管理,根据该信息载体管理与利用的状况判断善良管理人注意义务标准。
2.医疗法律关系基本内容
医疗行为法律关系的一个主要特征,就是其基本原则被世界普遍遵循。按照一般性医疗契约默示规则,医疗专业人员要提供符合同一领域其他专业人员注意标准的专业服务默示承诺。医疗专业人员的注意义务是以特殊方式表达和适用的。没有特别承诺情况下,患者或接受医疗服务主体通常理解并期待,在专业工作范围内从事活动的人员会使用该专业相关医学领域内相同执业水准其他人员通常具有的技能、知识及注意。传统上医生的注意义务标准是专业标准,仅考察是否符合某领域内医学标准或医学惯例,只要医生遵守该标准或惯例就没有过失,不考虑该标准或惯例的风险有多大或多么不必要。这不但是大陆民法典侵权责任编医疗损害责任规则立法采纳的基本原则,也是目前各国都遵照的准则。
3.医疗服务个人信息处理原则
首先,自治原则。接受医疗行为主体有权决定对自己身体做什么,有权拒绝接受医疗,即使对其生命是必要的。对重大事实虚假陈述获得同意也是无效的。其次,知情同意原则。除非信息主体无能力,否则他们有权获得关于任何建议实施医疗程序的实质性信息。归责原则是过失标准即过错责任,要证明的过失不是医疗行为而是未披露过失。披露标准为信息重要程度足以影响到接受医疗主体的自主决定和选择。但仍要适用因果关系标准,即使违反了披露义务,除非一个有理性的人也会拒绝,否则不承担责任。最后,必要原则。医疗信息获取以治疗为必要,同意接受医疗,就应当同意提供信息。信息处理的披露,还应当考虑披露成本,不应赋予过高的披露标准。一般披露内容包括:医学标准,官方确认的风险,医生应当知道的重要信息,影响理性的病人决定是否经历医疗过程的实质性信息,预后,经验及成功概率,医生动机及经济利益。
(二)以隐私权保护为结果导向的规范适用
前面已经论述,个人信息保护的核心利益追求仅为隐私权,其他个人信息利用产生的基本权利利益都不需要个人信息保护规范专门调整,因为均有特别法规范予以适用。同样,医疗行为中个人信息保护更应当以隐私权保护为宗旨。并且要坚持隐私权的人格权属性。不应当按照财产权排他性的请求权模式以财产性规范适用个人信息保护法。因此,医疗行为中个人信息处理和使用应当采取结果导向的责任性规范模式,只有产生隐私权侵害后果的,医疗机构或者医疗个人信息处理者才承担责任。如前述,大数据技术背景下的同意规则与匿名规则只能获得相对化效果,为了医疗技术发展的公共利益需要,个人信息主体在未能举证证明隐私权被侵害的后果情况下,不能以财产权排他性请求权主张禁止利用和使用个人信息。
(三)开放性同意原则
开发性同意原则目前越来越受到青睐。个人信息权益主体对于信息处理的自主和自治的有效性应当实质性提高,不应当受制于复杂的和难以理解的书面同意文件。医疗服务机构提供给服务对象的书面同意文件应当便于理解,格式简短,以一次性同意为主。复杂情形下的特殊条款是允许的,但是不应当给予医疗机构强制义务。应当参照欧洲GDPR的做法,对于用于医疗研究目的的个人信息处理和使用,免除书面同意限制。医药健康领域中真实世界研究分为前瞻性研究及回顾性研究,其中回顾性研究是从所能获得的医疗数据源中收集、利用已经形成的历史性患者诊疗信息,但是往往面临患者知情同意获取难的问题。大陆2021年7月1日生效实施的《信息安全技术健康医疗数据安全指南》中对真实世界研究已经规定了知情同意的例外和豁免的情形。申办者可以患者广泛知情同意为基础开展研究,即“如患者此前未签署广泛知情同意,申办者仍可基于患者追溯的难度申请豁免知情同意”。虽然该规范层级不高,但其体现了科学的医疗信息规范思想,应当将该规范的价值追求在具体案件中用于个人信息保护法律、行政法规的解释和具体化。
另外,开放性同意还应当包括对于二次利用或多次利用的开放性同意。医疗信息的价值在于深度发掘后的科学发现,但是患者或其他信息主体很难理解这种利用的过程和后果。因此应当建立宽泛的有利原则,即只要有利于公共卫生健康就是有利于个人,只要有利于相关医疗对象群体就是有利于个人,只要有利于其他医疗对象就是有利于个人,因为所有人都会基于医疗进步而受益。这一点在流行病学研究中尤其重要。
(四)消除可识别的相对化原则
前面已述,大数据技术下的匿名或者假名都无法完全消除可识别。因此,对于医疗服务个人信息处理者安全义务规范应采取行为导向规范,行为标准应当以信息处理时可预见到的平均技术水平为标准。首先,匿名绝对原则。任何未经同意及采取匿名措施的前述医疗敏感信息被第三人获取,即视为构成侵犯隐私权并且服务机构有过错,应当承担侵权责任。其次,平均技术标准下的安全保障义务。医疗服务机构应当建立并维持一个信息数据安全的内部环境,拥有并实施符合平均技术标准的管理技术、组织技术和风险评估技术,配置和组织能够实现安全保障义务的人员。在发生或有可能发生信息安全危险时,能及时利用技术手段和安全措施制止危险发生或将损害降到最低。再次,第三方介入下的注意义务。数据安全方面的第三方介入存在两个方面,一个是与第三方的数据交易,一个是利用第三方的技术实现信息处理。第三方介入导致的个人信息权益被侵犯的后果,原则上医疗机构并不免责。只有医疗机构证明其尽到注意义务才能免责。而医疗机构的注意标准,应当依医疗机构在信息处理中的角色确定。可以参照《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中的确立的角色类型,包括网络服务提供者和转载者。若医疗机构为网络服务提供者,则按照以下因素考虑其注意义务:(1)是否以人工或者自动方式对侵权网络信息以推荐、排名、选择、编辑、整理、修改等方式作出处理;(2)应当具备的管理信息的能力,以及所提供服务的性质、方式及其引发侵权的可能性大小;(3)该网络信息侵害人身权益的类型及明显程度;(4)该网络信息的社会影响程度或者一定时间内的浏览量;(5)采取预防侵权措施的技术可能性及其是否采取了相应的合理措施。若为转载者,则按下列因素考虑其注意义务:(1)转载主体所承担的与其性质、影响范围相适应的注意义务;(2)所转载信息侵害他人人身权益的明显程度;(3)对所转载信息是否作出实质性修改,是否添加或者修改文章标题,导致其与内容严重不符以及误导公众的可能性。最后,公共利益免责和不可预见免责。在医学研究和医疗技术研发等为公共卫生水平提高的研讨会和学术交流会议的发言,若发生个人信息利用并未达到消除可识别的,应当免责。若采取匿名或脱敏等安全保护措施,被人通过超出预见的黑客技术或大数据发掘技术实现可识别,应当视为无过错而免责。
(五)按照信息生产不同阶段确立不同隐私权保护监管规则
大数据技术下的信息生产分为数据产生、数据存储、数据管理、数据交易四个阶段。按照信息摩擦理论,“信息圈中的信息摩擦越少,被剥离的信息流动速度就越快,出于非法目的的夺取、偷盗和使用这些信息就越容易”。解决这个问题最快却很难有效的方法是减少信息流动,让信息圈阻塞,但这只能伤害目前的技术发展。“一个更好的办法是通过一些并非随意的标签组成特性数据来保护问题中的个人身份信息,同时确保减少信息摩擦,使所有人都受益。”这种方法就是个人特定信息的认证,这种信息只有经过本人认证才能被利用。所以,监管的手段选择很重要。医疗信息安全监管不应当把实体物理空间的监管方式生搬硬套进虚拟网络中,这样只能形成信息阻塞。其实,在数据产生阶段,整个医疗服务机构内在数据系统的安全设施就足以保护数据安全,这些安全设施包括加密、匿名、密码编码、防火墙和特定协议等,只要具备这些技术手段,没有必要设立额外监管机制。在数据存储阶段,应当按照个人信息保护法、数据安全法的规范采取预先防范的措施,防止信息被不当获取。这个阶段的监管机制应当以评估、检验、修正为手段,目的在预先发现危险。在数据管理阶段,则是底层智能规则和人工监管规则的结合。这个阶段很多数据管理行为需要相关使用者认证和管理,从而控制数据挖掘、分享、配对、组合等数据处理和使用。数据交易阶段,则是外部监管,应当属于信息市场监管,对于以隐私权保护为目的的监管,这个阶段的监管应当采用的是技术中立和“红旗标准”。特定个人信息或者产生了可识别后果的,应当及时发现并禁止交易。