中美医学研究对象健康信息处理法律规制的比较研究*

杨朝晖

(天津医学高等专科学校，天津 300222)

随着大数据技术的发展，来自电子健康档案、生物医学影像和信号、自发性报告系统、科学文献、分子医学、基因组学等来源的个人健康隐私信息越来越多以电子形式收集存储并应用于医学研究实践中。这些信息可作为医学研究的宝贵资源，同时其保护也面临着新挑战。医学研究对象健康信息的处理要处理好保护和利用的关系，既要保证个人健康隐私信息不被滥用，又要为医学研究保驾护航。本文选取美国保护个人健康信息相对比较成熟的《健康保险携带与责任法案》，与我国医学研究对象健康信息处理相关规定比较分析，为我国未来出台相关法律法规提出可借鉴建议。

1 研究对象健康信息处理的法律依据

1.1 美国

美国1996年出台的《健康保险携带与责任法案》(Health Insurance Portability and Accountability Act ，下文简称HIPAA)是该国保护个人健康隐私信息的主体法律[1]。HIPAA涵盖机构包括健康计划、健康照顾清算中心和以电子形式传输任何与该规则所涵盖交易有关之健康信息的健康提供者。HIPAA法案涉及研究对象健康信息处理的部分是主题II中的隐私规则。HIPAA中将受保护的健康信息(protected health information，下文简称PHI)定义为由涵盖机构或其业务伙伴以任何形式或媒介传输、维护的个人可识别健康信息，一般包括个人在医疗卫生活动中的详细情况以及个人特征性标识符[1]。

1.2 中国

我国尚未出台《个人信息保护法》等信息保护的专门法律法规，涉及研究对象健康信息处理的法律法规主要有： 2012年发布的《关于加强网络信息保护的决定》(下文简称《决定》)、2017年施行的《中华人民共和国网络安全法》(下文简称《网安法》)、2021年施行的《中华人民共和国民法典》(下文简称《民法典》)等，相关法律条款多为原则性的规定，这种宽泛性规定也为相关配套法规的后续制定确定了立法方向，预留了一定空间。

2 研究对象健康信息处理的条件和原则

2.1 美国

HIPAA隐私规则规定涵盖机构不得使用或披露PHI，但以下情况除外：根据隐私规则允许或要求；或作为该信息主体的个人(或个人代表)以书面授权。当出于研究目的而获得授权时，隐私规则要求其仅与特定研究相关。隐私规则要求使用和披露PHI遵循最低必要原则，比如涵盖机构不得出于特定目的使用或披露某病人的全部病历，除非可以明确证明该使用和披露出于合理目的。

特定条件下，涵盖机构可以不受隐私规则限制使用和披露去标识的PHI。满足隐私规则中去标识要求有两种方法:安全港和专家决定[2]。安全港指涵盖机构可通过删除PHI的18个标识符以去标识化，删除的标识符包括：(1)姓名，(2)住址，(3)包括个人直接有关的日期(包括出生日期/入院日期/死亡日期)，(4)电话号码，(5)传真号码，(6)电子邮件，(7)社会保险号码，(8)病历号码，(9)健康医疗保险号码，(10)账户号，(11)资格/驾照编号，(12)车辆识别编号及序列号，(13)证书识别信息及序列号码，(14)URLs，(15)网络IP地址，(16)含有指纹和声音的生物识别信息，(17)面部的正面照片或影像，(18)其它固有的识别码/特征/符号。

专家决定指涵盖机构可以从“对一般公认的统计和科学原理方法有适当知识和经验以使信息无法单独识别的人”处获得证明，以证明通过统计方法去标识后的信息单独或与其他合理可用信息结合被用来识别信息主体的风险很小。

2.2 中国

《决定》第2条确立合法、正当、必要为收集、使用个人信息之基本原则，设定了告知义务、同意义务以及合法守约义务为信息控制主体的三项基本义务[3]。该条文的主要内容被《网安法》第41条和《民法典》第1035条所采纳。不同之处在于《民法典》把受保护的个人信息“收集、使用”行为扩展为“处理”，包括个人信息的收集、存储、使用、加工、传输、提供、公开等全部个人信息生命周期。《民法典》第1033条规定除了法律另有规定或者权利人明确同意外，任何组织或个人不得处理他人的私密信息。研究对象的诊疗数据、药物等健康信息属于私密信息的范畴，《民法典》要求处理上述信息，要获得权利人的“明确同意”。综上所述，在我国针对个人健康信息等私密信息的处理，“合法、正当、必要原则”是处理基本原则，并要履行三项具体义务，在履行同意义务中，同意的形式要求“明确同意”。

《民法典》第1038条第一款规定：未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。《网安法》第42条也有类似的表述。《信息安全技术 个人信息去标识化指南GB/T37964-2019》定义去标识化是通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程[2]。综上所述，处理去标识化信息符合《民法典》1038条的规定，可豁免信息主体的同意。

3 研究对象健康信息合理使用情形

3.1 美国

3.1.1 公益活动

隐私规制规定涵盖机构被允许出于公益活动目的，未经个人授权而使用和披露PHI,研究属于隐私规则规定的12种公益活动之一。隐私规则中“研究”被定义为旨在发展或促进可概括性知识的所有系统研究。隐私规则允许涵盖机构出于研究目的未经个人授权而使用和披露PHI，但前提是涵盖机构符合以下条件之一(1)获得隐私委员会或机关伦理审议委员会批准的为研究目的更改或放弃个人授权以使用或披露PHI的证明文件。(2)研究人员表示PHI的使用或披露仅是为了准备研究协议或出于类似目的而进行的研究准备，不会从涵盖机构中删除任何PHI，并且研究需要获取PHI。(3)使用或披露死者的PHI来进行研究。

3.1.2 有限的数据集

仅为研究、公共卫生或卫生保健业务目的，涵盖机构可以未经个人授权使用或披露有限的数据集以进行研究，前提是涵盖机构与接收者签订了数据使用协议，接收者承诺在有限的数据集使用中为PHI提供特定的保护措施。有限的数据集不包括以下16个类别的个人信息标识符：(1)姓名(2)地址(3)电话号码(4)传真号码(5)电子邮件(6)社会保险号码(7)病历号码(8)健康医疗保险号码(9)账号(10)资格/驾照编号(11)车辆识别编号及序列号(12)证书识别信息及序列号(13)URLs(14)网络IP地址(15)包括指纹和声音的生物学识别信息(16)面部正面照片或影像。由于有限的数据集可能包含可识别的个人健康信息，因此其仍然是PHI。

3.2 中国

《民法典》第1036条规定了维护公共利益属于个人信息合理使用情形。但《民法典》第1036条并未对公共利益的范围予以定义与解释。目前我国还没有任何一部法律对“公共利益”的具体定义或定义方法做出明确的规定[4]。一些法律中相关法条对公共利益进行界定尝试，比如《信托法》第60条、《公共事业捐赠法》第3条等法条对公共利益做了一些简单的类别表述，并未能对公共利益概念做出一个较为完整的外延划定[4]，“科学研究”也并不属于上述法条公共利益类别表述中的任一类别。

《信息安全技术:个人信息安全规范GB/T35273-2020》(下文简称《规范》)是我国迄今为止保护个人信息最全面的标准。《规范》第5.6条对征得授权同意的例外规定：个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。但《规范》属于部门规范性文件，尚未上升到法律层面，并且规范对象是非公共管理机构，内容上仅限于技术标准。

4 中美研究对象健康信息处理相关规定比较及建议

综上所述，我国医学研究人员以研究目的处理个人健康信息的合法路径有二：一是获得信息主体的明确同意；二是对个人健康信息去标识化处理后再进行利用。美国HIPAA法案规定涵盖机构以研究目的处理PHI的合法路径有三：一是需要信息主体或代表以书面授权；二是使用和披露去除18个标识符的PHI；三是以公益活动中的研究为目的，在符合三项条件之一的情况下使用和披露PHI；出于研究、公共卫生或卫生保健业务目的而使用的有限数据集。我国和美国相关法律均以知情同意作为个人健康信息处理原则的合法性的条件，并允许处理去标识化信息。但美国HIPAA法案对个人健康信息去标识化和合理使用情形作了更详细的规定。结合我国《民法典》和美国HIPAA相关条款比较，(见表1)，对我国未来出台的《个人信息保护法》等相关法律法规或国家标准有关规定的制定提出以下建议：

4.1 明确个人健康信息去标识化的范围和方法

在大数据环境中多个去标识化的数据集互相关联仍有可能重新识别，且个人的隐私风险是相互依存的。医学信息的可变性和高维性尤其容易出现识别属性值组合的情况，属性值组合很可能会导致个人信息披露[5]。因此需要评估重新识别的风险，开发有效且可靠的去标识化技术，最大程度地降低个人信息隐私披露的风险。HIPAA允许涵盖机构不受隐私规则限制使用和披露删除18种标识符的PHI，根据HIPAA隐私规则标准去标识的PHI能够重新标识的概率仅为0.013%[6]。我国法律允许对个人信息去标识化处理后再进行利用，但对于个人信息去标识化没有提出像HIPAA删除18种标识符类似明确的条件。《民法典》第1034条、《刑法》第253条、《网安法》第76条相关法条对个人信息定义的同时列举了个人信息标识，但均未明确个人信息标识的范围以及去标识化的方法。在人类对象研究中，为了保护研究对象的个人信息，有必要对信息去标识化的范围和方法进行追加讨论。

表1 中美研究对象健康信息处理相关规定比较

另一方面，如果采用了有效的去标识化方法，则取消身份标识的健康信息在科学研究上应用又会受到限制，因为其无法链接在一起以形成对科学有价值的具有深度描述性的个人健康记录，可借鉴HIPAA允许仅以研究、公共卫生或卫生保健业务目的，使用和披露有限的数据集的规定，允许以研究为目的处理有限制去标识的研究对象健康信息，但也应明确有限制去标识化的范围和方法。

4.2 制定灵活、具体的豁免同意使用制度

医学研究对象健康信息处理要维持社会利益与个人利益之间的张力平衡。权衡取舍是为了权衡利弊，降低披露风险的方法可能会降低信息的效用。目前许多研究资助机构和政府政策都将开放访问或数据共享指定为研究资助的条件。开放科学是一些医学研究实践中的重要目标[7]，可以提高研究的可靠性、透明度和社会影响力[8]，同时也加大了研究对象健康隐私信息保护的压力。我国相关法律并没有以研究为目处理个人健康信息而豁免信息主体同意的例外规定，HIPAA隐私规则允许涵盖机构以研究为目的在特定情况下未经个人授权或许可使用和披露PHI，尽管相关条款一直是有争议的，如使用和披露已故者的PHI会带来伦理问题[9]。国家标准《规范》第5.6条将统计或学术研究归入公共利益的范围，将以研究目的处理信息主体信息归入征得授权同意的例外规定中。但相对于HIPAA豁免信息主体的授权或同意的条款，《规范》缺乏更具体的规定，如研究、学术研究机构等概念如何界定等。建议从多元主义的角度出发，合理平衡多方利益[10]，根据风险与场景理论确定研究对象权利与公共利益之间的哪些折衷是可以接受的以及此类折衷的阈值，制定灵活、具体的豁免同意使用制度，以维护公共利益与个人隐私信息保护之间的平衡。

4.3 鼓励消费者驱动的数据共享模式

HIPAA隐私规则和我国相关法律中，研究对象健康信息处理原则的合法性均依赖于研究对象的知情同意。以知情同意原则为合法性基础的监管框架适用于临床研究和小数据研究，其对个人同意的依赖限制了其生成、捕获罕见事件，例如罕见的遗传变异或对特定疗法的异常反应数据集的潜力。罕见事件在精密医学等专注于个人而非平均群体特征的研究领域具有重大意义。研究罕见事件通常需要大数据集来反映大人口样本，有时还需要无选择偏差的数据集[11]。在大数据科学的背景下，目前监管框架并不能说服研究对象贡献其信息来开发21世纪科学需要的信息资源[11]。对此，有学者提出了消费者驱动的数据共享概念，即由个人自治的社区，通过授权访问自身的数据来共同为研究收集大规模数据资源，旨在构建社区以扩大研究的参与[12]。类似的概念还有美国食品药品监督管理局在医疗器械安全监视系统的报告中描述的“患者为中介的数据共享”[12]。消费者驱动的数据共享模式将自下而上地通过成员自己设定的规则来管理成员的集体信息资源，而不是由监管机构自上而下地强加标准。因为隐私保护高度依赖于社会文化与道德价值观的演变,既需要自上而下的立法建立刚性法律保护框架；也需要自下而上的社会软法规范来构建多元主体利益协调[13]，消费者驱动的数据共享概念模式为推动大数据科学，完善研究对象健康信息处理原则提供了新路径。