李潤(rùn)生

一、 引 言

我們已進(jìn)入大數(shù)據(jù)時(shí)代。大數(shù)據(jù)技術(shù)在醫(yī)療領(lǐng)域已有廣泛應(yīng)用并帶來(lái)巨大價(jià)值。例如，本次新冠肺炎疫情期間，我國(guó)就廣泛運(yùn)用大數(shù)據(jù)技術(shù)對(duì)病毒感染者的生活軌跡進(jìn)行梳理，追蹤人群接觸史，為精準(zhǔn)抗疫提供技術(shù)支撐；一位患者曾表示自己并無(wú)重點(diǎn)疫區(qū)接觸史，但經(jīng)大數(shù)據(jù)排查，確認(rèn)其曾經(jīng)至少接觸過(guò)三位來(lái)自重點(diǎn)疫區(qū)的潛在患病人士。(1)參見(jiàn)王建： 《中國(guó)利用大數(shù)據(jù)技術(shù)助力疫情防控》，載新華社百家號(hào)2020年2月11日，https： //baijiahao.baidu.com/s?id=1658206416174721107&wfr=spider&for=pc。2020年2月，中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室專門印發(fā)了《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》(以下簡(jiǎn)稱《通知》)，鼓勵(lì)各類組織運(yùn)用大數(shù)據(jù)技術(shù)防控疫情。和2003年的SARS相比，大數(shù)據(jù)技術(shù)的廣泛應(yīng)用是新時(shí)期傳染病防控的重要特征。此外，大數(shù)據(jù)技術(shù)在藥物開發(fā)、輔助診斷、醫(yī)院管理等領(lǐng)域均有廣泛應(yīng)用。

世界各國(guó)均十分重視醫(yī)療信息的流通和利用，并通過(guò)立法予以體現(xiàn)和引導(dǎo)。例如，日本2015年全面修訂其《個(gè)人信息保護(hù)法》的主要目標(biāo)之一就是“確保個(gè)人信息的正當(dāng)且有效利用從而促進(jìn)新興產(chǎn)業(yè)的創(chuàng)造、激發(fā)經(jīng)濟(jì)社會(huì)的活力、實(shí)現(xiàn)國(guó)民生活的富足”(2)參見(jiàn)日本《個(gè)人信息保護(hù)法》第1條。；2018年其頒布的《下一代醫(yī)療基礎(chǔ)設(shè)施法》(次世代醫(yī)療基盤法，Next Generation Infrastructure Act)更是將醫(yī)療信息作為重要的基礎(chǔ)設(shè)施，對(duì)《個(gè)人信息保護(hù)法》所創(chuàng)設(shè)的匿名化處理制度進(jìn)行了針對(duì)性改造，進(jìn)一步便捷了醫(yī)療信息的匯聚和利用(3)岡本利久「次世代醫(yī)療基盤法について」醫(yī)療と社會(huì)28巻3號(hào)(2018年)333—338頁(yè)參照。。歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡(jiǎn)稱GDPR)雖被稱為“史上最嚴(yán)個(gè)人信息保護(hù)規(guī)范”，但個(gè)人數(shù)據(jù)(4)“數(shù)據(jù)”和“信息”的含義較為接近，本文中二者通用，不作區(qū)分。的流通和利用始終是其追求的核心目標(biāo)之一。(5)參見(jiàn)京東法律研究院： 《歐盟數(shù)據(jù)保護(hù)憲章： 〈一般數(shù)據(jù)保護(hù)條例〉GDPR評(píng)述及實(shí)務(wù)指引》，法律出版社2018年版，第15頁(yè)。美國(guó)醫(yī)療信息領(lǐng)域的主要規(guī)范性文件是健康和人類服務(wù)部(HHS)依據(jù)《健康保險(xiǎn)可攜性和責(zé)任法》(Health Insurance Portability and Accountability Act， HIPAA)授權(quán)制定的《隱私規(guī)則》(Privacy Rule)和《資安規(guī)則》(Security Rule)，其采行了所謂的“下游保護(hù)”(downstream protection)模式，即只規(guī)制個(gè)人醫(yī)療信息的使用和披露行為而不規(guī)制搜集行為，這為醫(yī)療信息的搜集和利用創(chuàng)造了很大空間。(6)See Nicolas P. Terry， Bigdata Proxies and Health Privacy Exceptionalism， 24 Health Matrix： Journal of Law-Medicine 65-106(2014).我國(guó)《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)保法》)已于2021年11月1日起正式實(shí)施，該法第1條也明確將“促進(jìn)個(gè)人信息合理利用”作為重要的規(guī)制目標(biāo)。正如學(xué)者所言，“幾乎所有國(guó)家和地區(qū)都將個(gè)人信息的流通和利用作為最終目標(biāo)”(7)高富平： 《個(gè)人信息保護(hù)： 從個(gè)人控制到社會(huì)控制》，載《法學(xué)研究》2018年第3期，第98頁(yè)。。

不過(guò)，個(gè)人醫(yī)療信息頗為特殊，各國(guó)一般將其界定為個(gè)人敏感信息，給予特殊保護(hù)，要求嚴(yán)格適用知情同意規(guī)則，這抑制了個(gè)人醫(yī)療信息的流通和利用。一般而言，搜集和使用個(gè)人醫(yī)療信息前應(yīng)征得信息主體的明示同意，默示同意規(guī)則不得適用。例如，日本《個(gè)人信息保護(hù)法》區(qū)分了個(gè)人一般信息和個(gè)人敏感信息，對(duì)于個(gè)人一般信息的搜集和使用，允許適用默示同意規(guī)則(又稱選擇退出規(guī)則，即OPT-OUT)(8)OPT-OUT規(guī)則，即選擇退出、默示同意規(guī)則，是一種默認(rèn)同意機(jī)制，即信息主體不明確反對(duì)即推定其同意搜集和使用個(gè)人信息。，而搜集和使用個(gè)人敏感信息則只能適用明示同意規(guī)則(又稱選擇進(jìn)入規(guī)則，即OPT-IN)(9)OPT-IN規(guī)則，即選擇進(jìn)入、明示同意規(guī)則，是指除非獲得信息主體的明示同意，不得搜集和使用個(gè)人信息。。美國(guó)在一般信息領(lǐng)域，通常允許適用OPT-OUT規(guī)則，但在醫(yī)療信息領(lǐng)域，《隱私規(guī)則》則明確要求適用OPT-IN規(guī)則。根據(jù)我國(guó)《個(gè)保法》第14、29條的規(guī)定，無(wú)論個(gè)人一般信息還是個(gè)人敏感信息，在處理前均應(yīng)獲得信息主體的明示同意，個(gè)人敏感信息的處理更應(yīng)獲得信息主體的“單獨(dú)同意”，這明顯受到了GDPR的影響?？傊?，各國(guó)普遍在個(gè)人醫(yī)療信息領(lǐng)域確立了明示同意規(guī)則，這導(dǎo)致醫(yī)療數(shù)據(jù)的大范圍搜集事實(shí)上難以執(zhí)行，或成本高昂，同時(shí)，數(shù)據(jù)體量的局限性又反過(guò)來(lái)削弱了大數(shù)據(jù)分析的能力： 大數(shù)據(jù)分析要求樣本數(shù)據(jù)達(dá)到必要體量，數(shù)據(jù)體量越大則數(shù)據(jù)價(jià)值越高，并且呈非線性增長(zhǎng)。(10)參見(jiàn)吳偉光： 《大數(shù)據(jù)技術(shù)下個(gè)人數(shù)據(jù)信息私權(quán)保護(hù)論批判》，載《政治與法律》2016年第7期。顯然，這對(duì)于大數(shù)據(jù)抗疫及后疫情時(shí)代信息價(jià)值的挖掘顯著不利。那么，如何破解上述難題呢？如何兼顧個(gè)人醫(yī)療信息的保護(hù)和利用呢？筆者認(rèn)為，構(gòu)建完善的匿名化處理制度是一個(gè)可行的選擇。

本文將首先對(duì)一般性的匿名化處理制度進(jìn)行闡釋，進(jìn)而論證個(gè)人醫(yī)療信息匿名化處理特別規(guī)制的必要性及可行方案，并對(duì)我國(guó)《個(gè)保法》的相關(guān)條款進(jìn)行深入評(píng)述、提出完善方案。應(yīng)予指出的是，本文雖以個(gè)人醫(yī)療信息的研究為切入點(diǎn)，但其論證路徑和研究思路具有一定程度之普適性。

二、 匿名化處理的概念闡釋和效果評(píng)述

論證匿名化處理機(jī)制的可行性，我們首先需要深入分析匿名化處理的法律概念和法律效果。

(一) 匿名化處理的法律概念闡釋

何為“匿名化”(anonymization)？我國(guó)《個(gè)保法》第73條第4項(xiàng)規(guī)定：“匿名化是指?jìng)€(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程?！比毡尽秱€(gè)人信息保護(hù)法》第2條規(guī)定：“匿名化信息是指按照規(guī)定的方法對(duì)個(gè)人信息進(jìn)行加工后獲得的無(wú)法識(shí)別特定個(gè)人，并無(wú)法得到恢復(fù)的信息。”可見(jiàn)，兩國(guó)關(guān)于“匿名化”的界定基本一致。學(xué)界也持類似觀點(diǎn)，例如，有學(xué)者認(rèn)為，“匿名化信息是指該信息先前得以用之辨識(shí)特定個(gè)人，但經(jīng)匿名化處理后，此個(gè)人辨識(shí)性不再可能，而此辨識(shí)之不可能原因在于將所有可連結(jié)至特定個(gè)人之資料，皆永久去除”。(11)參見(jiàn)張陳宏于《中原財(cái)經(jīng)法學(xué)》2018年第40期所發(fā)文章。總之，匿名化信息有兩個(gè)核心特征： 一為無(wú)法識(shí)別出特定個(gè)人，二為識(shí)別性資料被永久刪除而無(wú)法回復(fù)。

若要真正理解“匿名化”，必須將其與相似概念進(jìn)行比較。歐盟GDPR除規(guī)定“匿名化”外，(12)See GDPR Preface(26).還界定了“隱名化”(pseudonymization)的概念，“隱名化是一種使個(gè)人數(shù)據(jù)在不使用額外信息的情況下不指向特定數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理方式，若該處理方式將個(gè)人數(shù)據(jù)與其他額外信息分別存儲(chǔ)，憑技術(shù)性和組織性措施無(wú)法指向一個(gè)可識(shí)別或被識(shí)別的自然人”。(13)See GDPR Article 4.這基本等同于我國(guó)《個(gè)保法》第73條第3項(xiàng)所界定的“去標(biāo)識(shí)化”概念，“去標(biāo)識(shí)化是指?jìng)€(gè)人信息經(jīng)過(guò)處理，使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過(guò)程”。去標(biāo)識(shí)化建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人信息的標(biāo)識(shí)。(14)參見(jiàn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范(GB/T35273-2020)》第3條。可見(jiàn)，“隱名化”強(qiáng)調(diào)的是“不借助額外信息的情況下無(wú)法識(shí)別出特定個(gè)人”，即排除個(gè)人信息的“直接識(shí)別性”，而“匿名化”則進(jìn)一步要求排除個(gè)人信息的“間接識(shí)別性”，即參照比對(duì)額外信息后仍無(wú)法識(shí)別出特定個(gè)人。此外，“隱名化”并不要求將識(shí)別性資料永久刪除，而允許以代碼或假名替代，因此，“隱名化”又被稱作“假名化”。(15)參見(jiàn)張陳弘： 《個(gè)人資料之認(rèn)定——個(gè)人資料保護(hù)法適用之啟動(dòng)閥》，載《法令月刊》2016年第5期。總之，“隱名化”是一種可逆的去連結(jié)化，而“匿名化”則是一種不可逆的去連結(jié)化，“隱名化”的去連結(jié)程度低于“匿名化”。

美國(guó)《隱私規(guī)則》則使用了“去識(shí)別化”(de-identification)的概念?！叭プR(shí)別化信息是指無(wú)法識(shí)別出特定個(gè)人且沒(méi)有合理理由相信可以被用來(lái)識(shí)別出特定個(gè)人的信息?！?16)See 45 C.F.R. § 164.514(a).具體判定標(biāo)準(zhǔn)為： 一位具有統(tǒng)計(jì)學(xué)與科學(xué)背景且知道如何對(duì)個(gè)人信息去連結(jié)的專家出具書面分析意見(jiàn)認(rèn)定，該信息被第三者取得后，將其單獨(dú)或與其他合理方法可取得的信息比照后，只有非常小的風(fēng)險(xiǎn)可以識(shí)別出該信息所連結(jié)的主體。(17)See 45 C.F.R. § 164.514(b)(1).此外，《隱私規(guī)則》還設(shè)定了安全港(safe harbor)規(guī)則，即只要去除十八種識(shí)別性資料，即為去識(shí)別化信息。(18)這十八種識(shí)別性資料為： (1) 姓名；(2) 所有比州單位還要小的地理位置；(3) 所有與個(gè)人有直接連結(jié)的數(shù)據(jù)元素(除了年份)；(4) 電話號(hào)碼；(5) 傳真號(hào)碼；(6) 電子郵件信箱；(7) 社會(huì)安全號(hào)碼；(8) 醫(yī)療記錄編號(hào)；(9) 健康照顧計(jì)劃受益人編號(hào)；(10) 賬戶號(hào)碼；(11) 證書號(hào)碼；(12) 車輛識(shí)別和序列編號(hào)；(13) 設(shè)備識(shí)別或序列編號(hào)；(14) 網(wǎng)頁(yè)網(wǎng)址；(15) 通訊協(xié)議位置編號(hào)；(16) 生物識(shí)別資料；(17) 全臉照片或其他可比較影像；(18) 任何其他獨(dú)特可識(shí)別的號(hào)碼、特征或編號(hào)。See 45 C.F.R. § 164.514(b)(2)(i).這十八種資料幾乎包含了所有我們能想到的識(shí)別性資料。正如學(xué)者所言，雖然《隱私規(guī)則》沒(méi)有特別強(qiáng)調(diào)必須將識(shí)別性資料永久刪除，但其對(duì)信息去連結(jié)化程度的要求已經(jīng)十分接近甚至超過(guò)“匿名化”了。(19)See David M. Parker， Steven G. Pine， Zachary W. Ernst， Privacy and Informed Consent for Research in the Age of Big Data， 123 Penn State Law Review 703-732 (2019).因此，“去識(shí)別化”的實(shí)效基本等同于“匿名化”。

學(xué)者對(duì)多個(gè)國(guó)家的相關(guān)概念進(jìn)行仔細(xì)分析后，做了如下區(qū)分和界定： (1) 匿名化(anonymized)信息，是指將識(shí)別性資料不可逆轉(zhuǎn)地刪除的信息；(2) 隱名化(coded or pseudonymized)信息，是指識(shí)別性資料被代碼或假名替代而非永久刪除的信息；(3) 去識(shí)別化(de-identified)信息，是指將識(shí)別性資料按照《隱私規(guī)則》設(shè)定的標(biāo)準(zhǔn)去除的信息。(20)See Mark A. Rothstein， Bartha Maria Knoppers， Heather L. Harrell， Comparative Approaches to Biobanks and Privacy， 44 Journal of Law， Medicine & Ethics 161-172(2016).這和上述分析基本一致，具體比較請(qǐng)參見(jiàn)表1。厘清上述概念對(duì)于我們進(jìn)一步討論匿名化處理的法律效果非常重要。

表1 三種概念的比較

(二) 匿名化處理的法律效果評(píng)述

目前來(lái)看，各國(guó)個(gè)人信息保護(hù)法的規(guī)制對(duì)象僅為個(gè)人信息，非個(gè)人信息不適用個(gè)人信息保護(hù)法，也就是說(shuō)，非個(gè)人信息的搜集和使用不受同意規(guī)則的約束。例如，日本《個(gè)人信息保護(hù)法》第1條規(guī)定：“本法規(guī)制政府和企業(yè)等處理個(gè)人信息的行為?！睔W盟GDPR第1條規(guī)定：“本條例制定與個(gè)人數(shù)據(jù)處理相關(guān)的自然人保護(hù)規(guī)則及個(gè)人數(shù)據(jù)自由流動(dòng)的規(guī)則?！蔽覈?guó)《個(gè)保法》第3條也規(guī)定：“在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法?！蹦敲船F(xiàn)在的問(wèn)題是，匿名化處理后的信息是否就不再屬于個(gè)人信息了呢？

這需要進(jìn)一步考察個(gè)人信息的定義。日本《個(gè)人信息保護(hù)法》第2條規(guī)定：“個(gè)人信息是指可直接或與其他信息簡(jiǎn)單容易地比對(duì)后識(shí)別出特定個(gè)人的信息。”我國(guó)《個(gè)保法》第4條規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息。”可見(jiàn)，各國(guó)關(guān)于個(gè)人信息的定義中均包含了“直接識(shí)別性”和“間接識(shí)別性”的要件，只有同時(shí)排除“直接識(shí)別性”和“間接識(shí)別性”的信息，才屬于非個(gè)人信息。應(yīng)當(dāng)說(shuō)，通過(guò)匿名加工程序去除個(gè)人信息的“直接識(shí)別性”較容易實(shí)現(xiàn)，但問(wèn)題是，能否由此去除個(gè)人信息的“間接識(shí)別性”呢？筆者認(rèn)為，這需要繼續(xù)考察下面兩個(gè)問(wèn)題，即“間接識(shí)別性”標(biāo)準(zhǔn)的設(shè)定和輔助性制度的保障。

1. “間接識(shí)別性”標(biāo)準(zhǔn)的設(shè)定探析

信息“間接識(shí)別性”標(biāo)準(zhǔn)的設(shè)定是個(gè)復(fù)雜且易生爭(zhēng)議的問(wèn)題。應(yīng)當(dāng)說(shuō)，在信息技術(shù)高速發(fā)展的當(dāng)下，完全排除信息的“間接識(shí)別性”幾無(wú)可能。(21)See Parker， Pine， Ernst， supra note 〔19〕.根據(jù)學(xué)者的研究，即便按照《隱私規(guī)則》設(shè)定的嚴(yán)苛標(biāo)準(zhǔn)刪除所有十八種識(shí)別性資料，這種信息仍有0.01%到0.25%的可能性被重新識(shí)別。(22)See Sharona Hoffman， Citizen Science： The Law and Ethics of Public Access to Medical Big Data， 30 Berkeley Technology Law Journal 1744-1805(2015).在一個(gè)案例中，哈佛大學(xué)拉坦亞·斯維尼(Latanya Sweeney)教授僅使用出生日期、性別、選民登記標(biāo)識(shí)符及保留在出院記錄中的郵政編碼等公開信息，便確認(rèn)了時(shí)任馬薩諸塞州州長(zhǎng)威廉·威爾德(William Weld)的健康記錄，斯維尼教授堅(jiān)信，在大數(shù)據(jù)時(shí)代和大數(shù)據(jù)技術(shù)下，完全不可識(shí)別的數(shù)據(jù)是不存在的。(23)See Parker， Pine， Ernst， supra note 〔19〕.因此，各國(guó)均設(shè)定了適當(dāng)?shù)臉?biāo)準(zhǔn)對(duì)信息“間接識(shí)別性”的范圍進(jìn)行限定。據(jù)筆者研究，各國(guó)主要通過(guò)主客觀相結(jié)合的標(biāo)準(zhǔn)進(jìn)行限定： 主觀標(biāo)準(zhǔn)解決以誰(shuí)的識(shí)別能力作為判斷基準(zhǔn)的問(wèn)題，客觀標(biāo)準(zhǔn)解決信息自身的去連結(jié)化應(yīng)達(dá)到何種程度的問(wèn)題。下文詳述之。

(1) 主觀標(biāo)準(zhǔn)探析

綜合來(lái)看，主要有以下三種代表性的主觀標(biāo)準(zhǔn)。其一，“一般人標(biāo)準(zhǔn)”，即以社會(huì)一般多數(shù)人的識(shí)別能力作為判斷基準(zhǔn)，不要求具備任何特殊的主觀條件，僅以社會(huì)平均識(shí)別能力為基準(zhǔn)。如果按照社會(huì)平均條件無(wú)法從中識(shí)別出特定個(gè)人，則該信息不屬于個(gè)人信息。這種標(biāo)準(zhǔn)大大限縮了個(gè)人信息的范圍，有利于信息的流轉(zhuǎn)和利用，但顯然對(duì)信息主體的保護(hù)不夠周全。其二，“信息處理者標(biāo)準(zhǔn)”，即以信息處理者的識(shí)別能力作為判斷基準(zhǔn)。亦即，信息是否具有間接識(shí)別性，應(yīng)從信息搜集和使用者的主觀條件出發(fā)，本無(wú)一致性標(biāo)準(zhǔn)，應(yīng)在個(gè)案中審查判斷。例如，醫(yī)療機(jī)構(gòu)搜集和利用信息時(shí)，應(yīng)以醫(yī)療機(jī)構(gòu)的識(shí)別能力作為判斷基準(zhǔn)；制藥公司搜集和處理信息時(shí)，則應(yīng)以制藥公司的識(shí)別能力作為判斷基準(zhǔn)。因此，不同處理者掌握的資料數(shù)量和性質(zhì)不同，必然會(huì)產(chǎn)生不同的識(shí)別結(jié)果，這也導(dǎo)致了認(rèn)定的相對(duì)化問(wèn)題。信息處理者通常具有較強(qiáng)的識(shí)別能力，這事實(shí)上擴(kuò)大了個(gè)人信息的范圍，提升了保護(hù)標(biāo)準(zhǔn)，也為信息利用預(yù)留了必要空間，較好地平衡了保護(hù)和利用之間的關(guān)系。這是目前的主流標(biāo)準(zhǔn)，日本、美國(guó)和我國(guó)臺(tái)灣地區(qū)等均采此標(biāo)準(zhǔn)。(24)參見(jiàn)范姜真微： 《大數(shù)據(jù)時(shí)代下個(gè)人資料范圍之再檢討——以日本為借鏡》，載《東吳法律學(xué)報(bào)》2017年第2期。其三，“任何人標(biāo)準(zhǔn)”，即以任何人的識(shí)別能力作為判斷基準(zhǔn)，只要任何人基于其主觀條件得以從信息中識(shí)別出特定個(gè)人，則該信息為個(gè)人信息。這大大擴(kuò)展了個(gè)人信息的范圍，是一種很高的保護(hù)標(biāo)準(zhǔn)，同時(shí)也增加了個(gè)人信息匿名化處理的難度。歐盟GDPR即采此標(biāo)準(zhǔn)，正如其在序言中所言，“為判斷自然人身份是否可識(shí)別，需要考慮所有人包括信息處理者及其他任何人是否能夠直接或間接識(shí)別出特定自然人”。(25)See GDPR Preface(26).不過(guò)，此種標(biāo)準(zhǔn)對(duì)信息流動(dòng)和利用的阻礙較大，除歐盟外，鮮有其他國(guó)家或地區(qū)采用。

(2) 客觀標(biāo)準(zhǔn)探析

綜合來(lái)看，主要有以下兩種代表性的客觀標(biāo)準(zhǔn)。其一，“容易照合標(biāo)準(zhǔn)”，即若與其他資料簡(jiǎn)單容易比對(duì)后可識(shí)別出特定個(gè)人，則為個(gè)人信息，否則即不屬于個(gè)人信息。日本采此標(biāo)準(zhǔn)。其二，“合理可能標(biāo)準(zhǔn)”，即通過(guò)任何可能、合理的手段(all the means reasonably likely to be used)比對(duì)分析后可識(shí)別出特定個(gè)人，則為個(gè)人信息，否則即不屬于個(gè)人信息。歐盟、美國(guó)等采此標(biāo)準(zhǔn)。

從字面上看，依據(jù)“合理可能標(biāo)準(zhǔn)”認(rèn)定的個(gè)人信息范圍要寬于“容易照合標(biāo)準(zhǔn)”，不過(guò)，這種程度上的差別，一則很難衡量，二則在實(shí)踐效果上已十分接近。例如，歐盟和日本在個(gè)人信息保護(hù)的互認(rèn)談判中并未將客觀標(biāo)準(zhǔn)的差異作為談判要點(diǎn)，雙方爭(zhēng)論的焦點(diǎn)在于前述主觀標(biāo)準(zhǔn)的差異，日本為彌合雙方分歧而專門制定的補(bǔ)充細(xì)則也未提及客觀標(biāo)準(zhǔn)的調(diào)整，歐日順利達(dá)成了個(gè)人信息保護(hù)的互認(rèn)協(xié)議。(26)參見(jiàn)劉靜怡： 《淺談GDPR的國(guó)際沖擊及其可能因應(yīng)之道》，載《月旦法學(xué)雜志》2019年第3期?？梢?jiàn)，各國(guó)在信息“間接識(shí)別性”的客觀標(biāo)準(zhǔn)上并無(wú)實(shí)質(zhì)不同。下文即以“合理可能標(biāo)準(zhǔn)”一并論述。

(3) 評(píng)述

各國(guó)均通過(guò)主客觀標(biāo)準(zhǔn)對(duì)信息的“間接識(shí)別性”進(jìn)行限定。就主觀標(biāo)準(zhǔn)而言，“信息處理者標(biāo)準(zhǔn)”雖然無(wú)法避免認(rèn)定的相對(duì)化問(wèn)題，但由于較好地協(xié)調(diào)了保護(hù)和利用之間的關(guān)系，且適應(yīng)了個(gè)案靈活審查的需要，目前仍是主流標(biāo)準(zhǔn)；就客觀標(biāo)準(zhǔn)而言，各國(guó)的規(guī)定雖然存在文字上的差異，但實(shí)踐效果并無(wú)多少差別。綜上，目前信息“間接識(shí)別性”的主流判斷標(biāo)準(zhǔn)為“信息處理者能否通過(guò)合理、可能的手段識(shí)別出特定個(gè)人”。由此，個(gè)人信息的范圍得以限定，經(jīng)由匿名化處理將個(gè)人信息轉(zhuǎn)變?yōu)榉莻€(gè)人信息成為可能。前述標(biāo)準(zhǔn)也成為信息匿名化處理的指導(dǎo)標(biāo)準(zhǔn)。不過(guò)，個(gè)人信息范圍的壓縮和匿名化信息范圍的擴(kuò)張，可能引發(fā)保護(hù)不周的擔(dān)憂，這便需要其他輔助性制度的保障。

2. 輔助性制度的保障探析

輔助性制度的實(shí)施是匿名化處理達(dá)至預(yù)定效果的制度保障，其中，尤以禁止再識(shí)別制度為重。日本《個(gè)人信息保護(hù)法》第36條第5項(xiàng)規(guī)定，匿名化信息的處理者和接收者不得再次識(shí)別信息中的特定個(gè)人，違者將承擔(dān)行政或刑事法律責(zé)任。英國(guó)《數(shù)據(jù)保護(hù)法》也明確將“故意或重大過(guò)失從匿名或化名數(shù)據(jù)中重新確認(rèn)個(gè)人身份的行為”認(rèn)定為犯罪。(27)參見(jiàn)英國(guó)數(shù)字、文化、媒體和體育部(DCMS)編： 《英國(guó)新數(shù)據(jù)保護(hù)法案： 改革計(jì)劃》，鄧輝譯，載《中國(guó)應(yīng)用法學(xué)》2017年第6期。禁止再識(shí)別義務(wù)從制度上阻斷了匿名化信息被再次識(shí)別之可能，也為信息主體提供了更周全的保護(hù)。

此外，日本《個(gè)人信息保護(hù)法》第36條第3、4、6項(xiàng)還規(guī)定，匿名化信息的處理者負(fù)有安全維護(hù)、明示、公開等義務(wù)，即應(yīng)當(dāng)采取適當(dāng)?shù)陌踩S護(hù)措施，防止匿名化信息被泄露或違法利用；應(yīng)當(dāng)將匿名化信息的加工方法、流向等公開，接受公眾監(jiān)督；應(yīng)當(dāng)向接受匿名化信息的第三者明示，其應(yīng)負(fù)擔(dān)與提供人相同之義務(wù)等。其他國(guó)家和地區(qū)或多或少也有類似的規(guī)定，如歐盟GDPR規(guī)定，信息控制者應(yīng)采取必要的技術(shù)性和組織性措施保障匿名化或隱名化信息的安全；(28)See GDPR Preface(29).《資安規(guī)則》規(guī)定，信息控制者應(yīng)采取行政、技術(shù)和物理空間保障措施維護(hù)去識(shí)別化信息的安全。上述制度進(jìn)一步提升了匿名化信息的安全性。

綜上，通過(guò)限定信息“間接識(shí)別性”的標(biāo)準(zhǔn)，信息控制者完全可以將個(gè)人信息加工為非個(gè)人信息，輔助性制度的實(shí)施則進(jìn)一步保障了匿名化信息的安全。由此，按照法定標(biāo)準(zhǔn)加工處理后的信息便成為法律意義上的非個(gè)人信息，從而得以豁免同意規(guī)則的適用。這為個(gè)人信息的利用提供了很大空間和便利。

(三) 我國(guó)《個(gè)保法》相關(guān)條款評(píng)述

如前所述，我國(guó)《個(gè)保法》對(duì)匿名化的概念和法律效果進(jìn)行了明確規(guī)定，和國(guó)際保持了接軌。但是，《個(gè)保法》并未規(guī)定匿名化處理所應(yīng)達(dá)到的標(biāo)準(zhǔn)，即信息“間接識(shí)別性”的標(biāo)準(zhǔn)，學(xué)界對(duì)此也缺少關(guān)注。這導(dǎo)致匿名化處理制度缺乏統(tǒng)一、清晰、可預(yù)期的實(shí)施標(biāo)準(zhǔn)，容易導(dǎo)致法律適用的猶疑和困難。

而且，《個(gè)保法》關(guān)于輔助性制度的規(guī)定也相當(dāng)單薄?！秱€(gè)保法》第51條(29)《個(gè)保法》第51條：“個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失： (1) 制定內(nèi)部管理制度和操作規(guī)程；(2) 對(duì)個(gè)人信息實(shí)行分類管理；(3) 采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；(4) 合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；(5) 制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；(6) 法律、行政法規(guī)規(guī)定的其他措施?！币?guī)定了信息處理者的安全維護(hù)義務(wù)，但僅列舉了五項(xiàng)安全維護(hù)措施，過(guò)于簡(jiǎn)單，有待進(jìn)一步擴(kuò)充和細(xì)化?！秱€(gè)保法》第7條(30)《個(gè)保法》第7條：“處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明原則，公開個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍?！痹瓌t性規(guī)定了處理個(gè)人信息的公開原則，但這是否意味著信息處理者有義務(wù)將匿名化信息的加工方法、流向等向社會(huì)公開以接受公眾監(jiān)督，不無(wú)疑問(wèn)。更重要的是，《個(gè)保法》并未規(guī)定禁止再識(shí)別制度，無(wú)法對(duì)匿名化信息的控制者和接收者形成有效威懾，無(wú)法從制度上阻斷匿名化信息被再次識(shí)別之可能?！秱€(gè)保法》也未規(guī)定匿名化信息流通中的明示義務(wù)，無(wú)法確保后續(xù)接收者負(fù)擔(dān)相同之義務(wù)，無(wú)法保證匿名化信息流通鏈條的安全和穩(wěn)定。

總之，我國(guó)《個(gè)保法》所規(guī)定的個(gè)人信息匿名化處理制度尚未形成邏輯閉環(huán)，《個(gè)保法》只規(guī)定了匿名化處理制度的起點(diǎn)和終點(diǎn)，但如何從起點(diǎn)走到終點(diǎn)、如何破除路途中的荊棘和障礙，尚缺乏清晰完整的實(shí)施路徑，這很可能會(huì)抑制匿名化處理制度的實(shí)際運(yùn)轉(zhuǎn)效果。

三、 個(gè)人醫(yī)療信息匿名化處理的特別規(guī)制： 必要性證成和比較法經(jīng)驗(yàn)

上文探討的匿名化處理的一般原理和規(guī)則，個(gè)人醫(yī)療信息當(dāng)然也適用。現(xiàn)在的問(wèn)題是，有無(wú)必要對(duì)個(gè)人醫(yī)療信息的匿名化處理進(jìn)行特別規(guī)制？如有必要，當(dāng)如何規(guī)制？有無(wú)可資借鑒的域外經(jīng)驗(yàn)？

(一) 必要性證成

應(yīng)當(dāng)說(shuō)，個(gè)人醫(yī)療信息具有特殊性。個(gè)人醫(yī)療信息是個(gè)人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，包括病癥、住院志、醫(yī)囑單、檢驗(yàn)報(bào)告、護(hù)理記錄、用藥記錄、生育信息、既往病史、家族病史、傳染病史等，這是最敏感的個(gè)人信息，關(guān)涉?zhèn)€人最重要的人格利益，一旦泄露或再次識(shí)別將對(duì)個(gè)人產(chǎn)生重大影響。例如，本次疫情期間，部分“新冠肺炎”患者的醫(yī)療信息被泄露，這使他們?cè)馐芰藷o(wú)端的歧視和偏見(jiàn)，有人甚至收到了辱罵威脅短信，嚴(yán)重影響了正常生活，“污名化”問(wèn)題引起了社會(huì)的廣泛關(guān)注。(31)參見(jiàn)甘怡群： 《新冠肺炎患者治愈后，該如何正確面對(duì)復(fù)工復(fù)產(chǎn)？》，中央紀(jì)委國(guó)家監(jiān)委網(wǎng)站百家號(hào)2020年4月8日，https： //baijiahao.baidu.com/s?id=1663400626015970275&wfr=spider&for=pc。就此而言，對(duì)個(gè)人醫(yī)療信息進(jìn)行匿名加工應(yīng)秉持更高之標(biāo)準(zhǔn)，確保更高程度之專業(yè)化，謹(jǐn)防被再次識(shí)別。同時(shí)，個(gè)人醫(yī)療信息也關(guān)乎公眾最重要的健康利益，最大限度地推動(dòng)個(gè)人醫(yī)療信息的利用是各國(guó)的共同目標(biāo)。利用醫(yī)療信息進(jìn)行大數(shù)據(jù)抗疫，正是我國(guó)迅速控制疫情的兩大原因之一。(32)另一原因?yàn)檎挠行Х揽卮胧┘懊癖姷呐浜?。參?jiàn)《西媒分析為何亞洲控制疫情強(qiáng)于歐洲》，載參考消息網(wǎng)，http： //column.cankaoxiaoxi.com/2020/0325/2405721.shtml。疫苗研發(fā)、藥物開發(fā)等也需要醫(yī)療信息的支撐。應(yīng)當(dāng)指出，并非所有的個(gè)人敏感信息都具有重大的公共利用價(jià)值，正如我國(guó)《個(gè)保法》第28條所界定的，“敏感”本身強(qiáng)調(diào)的是“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害”，而非其利用價(jià)值；和個(gè)人醫(yī)療信息相比，本條所列舉的“宗教信仰、特定身份”等個(gè)人敏感信息難言具有重大的利用價(jià)值。誠(chéng)然，部分個(gè)人敏感信息如個(gè)人金融信息、個(gè)人征信信息等也具有重要的利用價(jià)值，甚至是公共利用價(jià)值，但其所代表利益的性質(zhì)和強(qiáng)度很難與個(gè)人醫(yī)療信息相提并論。個(gè)人醫(yī)療信息的利用直接關(guān)乎傳染病防控、藥品研究、醫(yī)療新技術(shù)的開發(fā)應(yīng)用等最重要的公共利益，直接關(guān)乎國(guó)民的生命健康。例如，各國(guó)近年來(lái)都非常重視醫(yī)療人工智能的研發(fā)和臨床應(yīng)用，原因在于，醫(yī)療人工智能在疾病的診斷和治療領(lǐng)域顯示出巨大的潛力和優(yōu)勢(shì)，可以為患者提供更準(zhǔn)確和個(gè)性化的診療服務(wù)，可以顯著提升醫(yī)療效率、降低醫(yī)療成本、有力化解困擾各國(guó)的醫(yī)療可及性和公平性問(wèn)題，簡(jiǎn)言之，可以極大地增進(jìn)公共健康利益，而醫(yī)療人工智能發(fā)展的重要基礎(chǔ)就是個(gè)人醫(yī)療信息的流動(dòng)、匯聚和利用。(33)參見(jiàn)李潤(rùn)生： 《論醫(yī)療人工智能的法律規(guī)制——從近期方案到遠(yuǎn)期設(shè)想》，載《行政法學(xué)研究》2020年第4期。可見(jiàn)，個(gè)人醫(yī)療信息具有獨(dú)特的公共利益屬性。當(dāng)然，這并不排斥在個(gè)人金融信息等領(lǐng)域借鑒個(gè)人醫(yī)療信息的規(guī)制經(jīng)驗(yàn)，只是需要更充分的成本收益分析。就此而言，我們應(yīng)當(dāng)創(chuàng)造條件加速個(gè)人醫(yī)療信息的流通和匯聚，充分挖掘數(shù)據(jù)價(jià)值，增進(jìn)國(guó)民健康。一方面需要提高個(gè)人醫(yī)療信息的保護(hù)標(biāo)準(zhǔn)，另一方面又要推動(dòng)個(gè)人醫(yī)療信息更便捷之利用，這種看似矛盾的訴求，對(duì)個(gè)人醫(yī)療信息的匿名化處理提出了特別的要求。

顯然，一般性的匿名化處理制度無(wú)法彰顯個(gè)人醫(yī)療信息的特殊性，無(wú)法達(dá)成上述目標(biāo)。因?yàn)?，若要提升個(gè)人醫(yī)療信息的匿名化處理的保護(hù)標(biāo)準(zhǔn)，就必須在組織機(jī)構(gòu)、人員資質(zhì)和工作流程等各個(gè)環(huán)節(jié)進(jìn)行革新，而非只是停留于紙面上的高標(biāo)準(zhǔn)；若要提升個(gè)人醫(yī)療信息的利用效率，就必須簡(jiǎn)化流程，加速信息的流通和匯聚，既要破除障礙，又要增加激勵(lì)，尤其需要政府的積極干預(yù)和介入，分?jǐn)偛糠殖杀荆瑸樯鐣?huì)創(chuàng)造更友好的個(gè)人醫(yī)療信息利用環(huán)境。因此，我們有必要在制度層面進(jìn)行革新，確保個(gè)人醫(yī)療信息的匿名化處理兼顧高標(biāo)準(zhǔn)保護(hù)和高水平利用的雙重目標(biāo)。那么，如何才能實(shí)現(xiàn)呢？日本的經(jīng)驗(yàn)可資參考。

(二) 日本《下一代醫(yī)療基礎(chǔ)設(shè)施法》的經(jīng)驗(yàn)探析

為進(jìn)一步推進(jìn)醫(yī)療信息的利用，充分挖掘醫(yī)療數(shù)據(jù)的社會(huì)價(jià)值，日本于2018年頒布了《下一代醫(yī)療基礎(chǔ)設(shè)施法》(次世代醫(yī)療基盤法)，全稱為《有助于醫(yī)療領(lǐng)域研究開發(fā)的匿名加工醫(yī)療信息法》(醫(yī)療分野の研究開発に資するための匿名加工醫(yī)療情報(bào)に関する法律)。該法將醫(yī)療信息視作未來(lái)醫(yī)療發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施，并通過(guò)對(duì)《個(gè)人信息保護(hù)法》設(shè)置的一般性的匿名化處理制度進(jìn)行針對(duì)性改造，實(shí)現(xiàn)對(duì)個(gè)人醫(yī)療信息的特別規(guī)制，在提供有效保護(hù)的前提下進(jìn)一步助推醫(yī)療信息的流動(dòng)和利用。(34)參見(jiàn)范姜真微： 《日本次世代醫(yī)療基盤法之簡(jiǎn)介》，載《月旦醫(yī)事法報(bào)告》2018年第10期。

1. 日本《個(gè)人信息保護(hù)法》下匿名化處理制度的局限性

日本《個(gè)人信息保護(hù)法》專節(jié)規(guī)定了匿名化處理制度。根據(jù)該法規(guī)定，個(gè)人信息按照規(guī)定的措施匿名加工后，便成為法律意義上的非個(gè)人信息，不再受同意規(guī)則之約束。同時(shí)，匿名化信息的處理者負(fù)有禁止再次識(shí)別、安全維護(hù)、明示、公開等法定義務(wù)，這提升了匿名化信息的安全性。

不過(guò)，就個(gè)人醫(yī)療信息的搜集和使用而言，上述匿名化處理制度仍有較大的局限性，主要表現(xiàn)為以下三點(diǎn)(注： 鑒于醫(yī)療機(jī)構(gòu)是個(gè)人醫(yī)療信息最重要的原始搜集者，下文主要以之為例進(jìn)行介紹)。首先，醫(yī)療機(jī)構(gòu)在為患者提供診療服務(wù)的過(guò)程中搜集了大量的個(gè)人醫(yī)療信息，若要將該等信息自行或提供給他人二次利用，為豁免明示同意規(guī)則之適用，則應(yīng)進(jìn)行匿名化處理。但是，醫(yī)療機(jī)構(gòu)自身通常缺乏相應(yīng)的技術(shù)能力，需委托專門的匿名加工事業(yè)者進(jìn)行處理，這便形成了委托代理關(guān)系，匿名加工的最終責(zé)任仍由醫(yī)療機(jī)構(gòu)承擔(dān)，這抑制了醫(yī)療機(jī)構(gòu)對(duì)外分享信息的動(dòng)力。其次，各醫(yī)療機(jī)構(gòu)即使愿意在匿名化處理后對(duì)外提供醫(yī)療信息，但由于需要各機(jī)構(gòu)分別委托匿名加工、分別轉(zhuǎn)移信息，這便削弱了信息流通和匯集的效率，不利于大數(shù)據(jù)技術(shù)的應(yīng)用。最后，由于政府未對(duì)匿名加工事業(yè)者的資質(zhì)進(jìn)行統(tǒng)一認(rèn)定，醫(yī)療機(jī)構(gòu)需自行判斷受托者是否適格，這無(wú)疑增加了醫(yī)療機(jī)構(gòu)的風(fēng)險(xiǎn)，抑制其對(duì)外分享信息。(35)宇賀克也「行政法の論點(diǎn)第9回： 次世代醫(yī)療基盤法の施行」國(guó)際文化研修26巻1號(hào)(2018年)32—33頁(yè)參照。

2. 日本《下一代醫(yī)療基礎(chǔ)設(shè)施法》的改造

針對(duì)前述問(wèn)題，日本《下一代醫(yī)療基礎(chǔ)設(shè)施法》進(jìn)行了巧妙的改造，從而化解了難題。

第一，規(guī)定由政府對(duì)處理個(gè)人醫(yī)療信息的匿名加工事業(yè)者統(tǒng)一進(jìn)行資質(zhì)認(rèn)定(以下簡(jiǎn)稱“認(rèn)定事業(yè)者”)，由其專門負(fù)責(zé)個(gè)人醫(yī)療信息的匿名化處理。(36)參見(jiàn)日本《下一代醫(yī)療基礎(chǔ)設(shè)施法》第8條。為保證認(rèn)定事業(yè)者有充分的能力提供高標(biāo)準(zhǔn)的保護(hù)，《下一代醫(yī)療基礎(chǔ)設(shè)施法》從組織體制、人員、信息、事業(yè)運(yùn)營(yíng)計(jì)劃、安全管理等五個(gè)方面設(shè)定了嚴(yán)格的認(rèn)定條件，例如，在組織體制方面，要求認(rèn)定事業(yè)者建立保持醫(yī)療信息處理透明度和安全性的適當(dāng)體制；在人員方面，要求認(rèn)定事業(yè)者的技術(shù)人員充分理解醫(yī)療信息的安全標(biāo)準(zhǔn)和規(guī)格，并具有加工和管理醫(yī)療信息的高度專業(yè)性；在安全管理方面，要求認(rèn)定事業(yè)者確保其匿名加工主干系統(tǒng)與互聯(lián)網(wǎng)等開放網(wǎng)絡(luò)徹底分離，并建立多層次防御體系(包括日志監(jiān)測(cè)、可追溯性確保、第三方認(rèn)證等)，等等。(37)參見(jiàn)日本《下一代醫(yī)療基礎(chǔ)設(shè)施法》第9條。由此，醫(yī)療機(jī)構(gòu)可以安全便捷地選擇合作機(jī)構(gòu)。

第二，規(guī)定由認(rèn)定事業(yè)者而非醫(yī)療機(jī)構(gòu)承擔(dān)個(gè)人醫(yī)療信息匿名加工的最終責(zé)任，醫(yī)療機(jī)構(gòu)和認(rèn)定事業(yè)者之間的法律關(guān)系由委托代理關(guān)系轉(zhuǎn)變?yōu)樾畔⑥D(zhuǎn)讓關(guān)系，認(rèn)定事業(yè)者由此獲得醫(yī)療信息法律上的控制權(quán)，可自主加工和管理醫(yī)療信息，自行決定醫(yī)療信息的轉(zhuǎn)讓對(duì)象。(38)宇賀克也「行政法の論點(diǎn)第9回： 次世代醫(yī)療基盤法の施行」國(guó)際文化研修26巻1號(hào)(2018年)32—33頁(yè)參照。由此，醫(yī)療機(jī)構(gòu)的法律風(fēng)險(xiǎn)轉(zhuǎn)移至認(rèn)定事業(yè)者，從而排解了醫(yī)療機(jī)構(gòu)的疑慮。

第三，規(guī)定認(rèn)定事業(yè)者從醫(yī)療機(jī)構(gòu)等信息控制者處受讓個(gè)人醫(yī)療信息時(shí)適用默示同意規(guī)則，除非信息主體明確向認(rèn)定事業(yè)者表示反對(duì)，則推定其同意個(gè)人醫(yī)療信息的轉(zhuǎn)移和匿名加工。(39)參見(jiàn)日本《下一代醫(yī)療基礎(chǔ)設(shè)施法》第30條。根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，個(gè)人醫(yī)療信息的目的外利用適用明示同意規(guī)則，醫(yī)療機(jī)構(gòu)將其提供診療服務(wù)時(shí)搜集的患者醫(yī)療信息轉(zhuǎn)移給認(rèn)定事業(yè)者顯然屬于目的外利用，而《下一代醫(yī)療基礎(chǔ)設(shè)施法》則將其改造為默示同意規(guī)則。由此，認(rèn)定事業(yè)者可以便捷地從各醫(yī)療機(jī)構(gòu)廣泛接收個(gè)人醫(yī)療信息，這大大提高了信息流通效率，并將分散的醫(yī)療數(shù)據(jù)匯聚成醫(yī)療大數(shù)據(jù)。此外，認(rèn)定事業(yè)者還可根據(jù)制藥公司、研究機(jī)構(gòu)等后續(xù)利用者的需求進(jìn)行定制化加工，提高信息的可用性。日本匿名化處理制度的變化請(qǐng)參見(jiàn)圖1、圖2。

圖1 《個(gè)人信息保護(hù)法》下的匿名化處理制度

圖2 《下一代醫(yī)療基礎(chǔ)設(shè)施法》下的匿名化處理制度

3. 評(píng)述

日本《下一代醫(yī)療基礎(chǔ)設(shè)施法》對(duì)個(gè)人醫(yī)療信息的匿名化處理進(jìn)行了特別規(guī)制。認(rèn)定事業(yè)者制度的建立，輔之以默示同意規(guī)則的運(yùn)用，既提高了個(gè)人醫(yī)療信息匿名化處理的標(biāo)準(zhǔn)，又促進(jìn)了個(gè)人醫(yī)療信息的流動(dòng)和匯聚，還解放了醫(yī)療機(jī)構(gòu)。這是一種更高層次的保護(hù)和利用之間的協(xié)調(diào)共生關(guān)系，是不以保護(hù)水平的降低為代價(jià)的更便捷之利用。就此而言，日本經(jīng)驗(yàn)是一種跳脫出“保護(hù)抑或利用”的零和博弈思維的理想規(guī)制路徑。而且，《下一代醫(yī)療基礎(chǔ)設(shè)施法》的改造并未根本改變現(xiàn)有制度框架，只是針對(duì)個(gè)人醫(yī)療信息進(jìn)行了特殊規(guī)定，制度改造成本總體可控，是一種兼具經(jīng)濟(jì)理性的規(guī)制方案。當(dāng)然，高標(biāo)準(zhǔn)保護(hù)和高水平利用是一個(gè)相對(duì)的概念，其主要參照物為《個(gè)人信息保護(hù)法》所創(chuàng)設(shè)的一般性的匿名化處理制度，《下一代醫(yī)療基礎(chǔ)設(shè)施法》通過(guò)巧妙的設(shè)計(jì)同時(shí)提升了個(gè)人醫(yī)療信息的安全性和流動(dòng)匯聚效率。這種溢出價(jià)值的成本事實(shí)上是由政府機(jī)關(guān)承擔(dān)的，即政府通過(guò)投入必要的公共資源創(chuàng)造了理想的使用環(huán)境。就此而言，高標(biāo)準(zhǔn)保護(hù)和高標(biāo)準(zhǔn)利用看似對(duì)立，實(shí)則可以通過(guò)適當(dāng)?shù)囊?guī)則設(shè)計(jì)協(xié)調(diào)共生。而且，始終應(yīng)明確的是，《下一代醫(yī)療基礎(chǔ)設(shè)施法》是通過(guò)對(duì)匿名加工過(guò)程的控制來(lái)實(shí)現(xiàn)釋放個(gè)人醫(yī)療信息利用潛力的目標(biāo)的，雖然包括個(gè)人醫(yī)療信息在內(nèi)的個(gè)人信息經(jīng)匿名加工后即轉(zhuǎn)變?yōu)榉莻€(gè)人信息，從而豁免《個(gè)人信息保護(hù)法》的適用，但誠(chéng)如前述，不同范式的匿名加工制度本身對(duì)信息處理的影響是不同的，更何況，并不存在絕對(duì)意義上的匿名化，只能通過(guò)對(duì)人員、流程等的嚴(yán)格管控盡量提升信息的安全性。

(三) 歐盟和美國(guó)的制度介紹和比較

歐盟GDPR規(guī)定了統(tǒng)一的匿名化處理制度，并未區(qū)分對(duì)待個(gè)人醫(yī)療信息。應(yīng)當(dāng)說(shuō)，歐盟為匿名化處理設(shè)定了很高的標(biāo)準(zhǔn)，即“任何人標(biāo)準(zhǔn)”，只有當(dāng)任何人基于其主觀條件無(wú)法從信息中識(shí)別出特定個(gè)人時(shí)，方可認(rèn)定為匿名化信息。這大大壓縮了匿名化信息的空間，不利于信息的利用?？傮w來(lái)看，歐盟的匿名化處理制度更偏向信息的保護(hù)而部分犧牲了信息的利用。這在疫情期間表現(xiàn)得尤為突出。為解決疫情防控中個(gè)人醫(yī)療信息的利用難題，歐盟被迫授權(quán)各成員國(guó)采取緊急立法措施，適當(dāng)降低保護(hù)標(biāo)準(zhǔn)，允許有關(guān)部門搜集和使用未經(jīng)匿名化處理或未達(dá)匿名化標(biāo)準(zhǔn)的個(gè)人醫(yī)療信息。(40)The European Data Protection Board， Statement on the Processing of Personal Data in the Context of the COVID-19 Outbreak， Adopted on 19 March 2020， https： //edpb.europa.eu/sites/default/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf.

美國(guó)沒(méi)有統(tǒng)一的《個(gè)人信息保護(hù)法》，采分散立法模式，其在醫(yī)療信息領(lǐng)域的主要法律文件為《隱私規(guī)則》和《資安規(guī)則》。應(yīng)當(dāng)說(shuō)，和其他信息領(lǐng)域相比，《隱私規(guī)則》設(shè)定了較高的保護(hù)標(biāo)準(zhǔn)。就個(gè)人醫(yī)療信息的去識(shí)別化而言，《隱私規(guī)則》設(shè)置的判定標(biāo)準(zhǔn)和安全港規(guī)則更加嚴(yán)格，例如，該安全港規(guī)則規(guī)定，只有移除全部18種識(shí)別性資料的信息方為去識(shí)別化信息，而在其他信息領(lǐng)域則通常只要求移除其中的一部分。(41)See Heather L. Harrell， Mark A. Rothstein， Biobanking Research and Privacy Laws in the United States， 44 Journal of Law， Medicine & Ethics 106-127(2016).因此，從國(guó)內(nèi)橫向比較來(lái)看，個(gè)人醫(yī)療信息無(wú)疑享受了更高的保護(hù)標(biāo)準(zhǔn)。但是，從國(guó)際比較視野來(lái)看，由于《隱私規(guī)則》和《資安規(guī)則》采行了所謂的“下游保護(hù)”模式，即只規(guī)制個(gè)人醫(yī)療信息的使用和披露行為而不規(guī)制搜集行為，而且私人也無(wú)法據(jù)其提起訴訟，因此，美國(guó)的個(gè)人醫(yī)療信息保護(hù)水平較之歐盟、日本等明顯更低。(42)See Terry， supra note 〔6〕.正如學(xué)者所言，美國(guó)在個(gè)人醫(yī)療信息領(lǐng)域事實(shí)上秉持的是“積極利用主義”的理念，(43)參見(jiàn)王立梅： 《健康醫(yī)療大數(shù)據(jù)的積極利用主義》，載《浙江工商大學(xué)學(xué)報(bào)》2020年第3期，第34頁(yè)。歐盟法院甚至在2015年以美國(guó)的保護(hù)標(biāo)準(zhǔn)過(guò)低為由，判決美歐之間達(dá)成的個(gè)人信息交換的安全港協(xié)議無(wú)效。(44)See Rothstein， Knoppers， Harrell， supra note 〔20〕.

可以說(shuō)，就個(gè)人醫(yī)療信息的匿名化處理而言，歐盟和美國(guó)事實(shí)上仍然游移于“零和博弈”的迷局中： 歐盟偏向了保護(hù)而抑制了利用，美國(guó)則偏向了利用而降低了保護(hù)水準(zhǔn)，只有日本的制度設(shè)計(jì)較好地兼顧了保護(hù)和利用。

(四) 我國(guó)《個(gè)保法》相關(guān)條款評(píng)述

我國(guó)《個(gè)保法》并未針對(duì)個(gè)人醫(yī)療信息的匿名化進(jìn)行特別的制度設(shè)計(jì)，這無(wú)法彰顯個(gè)人醫(yī)療信息的特殊性，很難同時(shí)實(shí)現(xiàn)高標(biāo)準(zhǔn)保護(hù)和高水平利用的雙重目標(biāo)。而且，就筆者對(duì)我國(guó)實(shí)踐狀況的觀察，各類機(jī)構(gòu)普遍降低了對(duì)個(gè)人醫(yī)療信息的保護(hù)水準(zhǔn)。以各主要互聯(lián)網(wǎng)醫(yī)療平臺(tái)的隱私權(quán)政策為例，《阿里健康法律聲明及隱私權(quán)政策》(45)《阿里健康法律聲明及隱私權(quán)政策》，載阿里健康官網(wǎng)2019年9月27日，https： //www.alihealth.cn/privacy.html。開篇即規(guī)定，“一旦您開始使用阿里健康提供的各項(xiàng)產(chǎn)品或服務(wù)，即表示您已充分理解并同意本政策”，結(jié)合該文件之后的規(guī)定，阿里健康幾乎可以在提供服務(wù)的過(guò)程中不受限制地搜集和使用用戶的醫(yī)療信息。這與“明示同意”的要求差距較大。針對(duì)個(gè)人醫(yī)療信息的二次利用，文件雖明確規(guī)定“會(huì)事先征求您的同意”，但就用戶而言，事實(shí)上無(wú)法知曉，更無(wú)法掌控，實(shí)際執(zhí)行狀況也不容樂(lè)觀，再次打開阿里健康A(chǔ)PP時(shí)收到的各種莫名的“定制”推送就是一個(gè)例證?！厄v訊微醫(yī)隱私權(quán)政策》(46)《騰訊微醫(yī)隱私權(quán)政策》，載騰訊微醫(yī)官網(wǎng)2021年11月4日，https： //www.guahao.com/agreement/privacy。《好大夫在線隱私保護(hù)政策》(47)《好大夫在線隱私保護(hù)政策》，載好大夫在線官網(wǎng)2019年12月9日，https： //www.haodf.com/info/privacy_policy.php?！抖∠銏@隱私政策》(48)《丁香園隱私政策》，載丁香園官網(wǎng)，http： //www.dxy.cn/pages/sitedeclaration.html(最后訪問(wèn)時(shí)間2020年7月18日)。等與阿里健康的規(guī)定大同小異。顯然，這種寬松的實(shí)踐狀況是以個(gè)人醫(yī)療信息保護(hù)的嚴(yán)重不足為代價(jià)的，非長(zhǎng)久之計(jì)。此外，參照日本的經(jīng)驗(yàn)，我國(guó)也會(huì)面臨日本在《下一代醫(yī)療基礎(chǔ)設(shè)施法》出臺(tái)前所面臨的類似問(wèn)題： 由于政府未對(duì)匿名加工事業(yè)者進(jìn)行專門認(rèn)定、未設(shè)定更高的準(zhǔn)入門檻，個(gè)人醫(yī)療信息的高標(biāo)準(zhǔn)保護(hù)難以真正落地；個(gè)人醫(yī)療信息的控制者尤其是醫(yī)療機(jī)構(gòu)承受著繁重的法律負(fù)擔(dān)，缺乏對(duì)外提供和分享醫(yī)療信息的動(dòng)力；由于缺乏類似認(rèn)定事業(yè)者之類的中間機(jī)構(gòu)，醫(yī)療信息的流動(dòng)和匯集效率受到抑制，難以滿足大數(shù)據(jù)技術(shù)處理的需求?？傊覈?guó)《個(gè)保法》的制度設(shè)計(jì)無(wú)法實(shí)現(xiàn)針對(duì)個(gè)人醫(yī)療信息的特殊規(guī)制目標(biāo)，甚至可能引發(fā)“雙輸”的結(jié)果，既無(wú)法扭轉(zhuǎn)“弱保護(hù)”的現(xiàn)狀，又削弱醫(yī)療信息的利用效率，這值得我們警惕和反思。

四、 個(gè)人醫(yī)療信息匿名化處理制度的構(gòu)建： 具體方案及論證

如前所述，我國(guó)《個(gè)保法》所規(guī)定的匿名化處理制度仍有不少缺憾，有必要進(jìn)行針對(duì)性的完善。筆者認(rèn)為，我國(guó)首先應(yīng)當(dāng)完善一般性的匿名化處理制度，形成邏輯閉環(huán)，打牢根基；在此基礎(chǔ)上，我國(guó)可借鑒日本經(jīng)驗(yàn)，對(duì)個(gè)人醫(yī)療信息的匿名化處理進(jìn)行特別規(guī)制，既提升個(gè)人醫(yī)療信息的保護(hù)標(biāo)準(zhǔn)，又促進(jìn)更充分便捷之利用。

在此需要說(shuō)明的是，從現(xiàn)有條款來(lái)看，我國(guó)《個(gè)保法》顯然更多借鑒了歐盟GDPR的條款，那為何又要在匿名化制度領(lǐng)域吸收日本經(jīng)驗(yàn)?zāi)?？這是否會(huì)引發(fā)體系性沖突呢？筆者認(rèn)為，歐盟GDPR和日本《個(gè)人信息保護(hù)法》在很多方面具有共通性，同屬統(tǒng)一立法模式，均對(duì)個(gè)人一般信息和個(gè)人敏感信息進(jìn)行區(qū)別規(guī)制，對(duì)匿名化的概念和法律效果等的認(rèn)知也相仿。簡(jiǎn)言之，二者并不存在根本沖突，我們?cè)趥€(gè)人信息處理規(guī)則、個(gè)人權(quán)利等方面學(xué)習(xí)歐盟，并不妨礙我們?cè)谀涿贫阮I(lǐng)域借鑒日本經(jīng)驗(yàn)。應(yīng)當(dāng)說(shuō)，日本《個(gè)人信息保護(hù)法》更加重視匿名化制度的建構(gòu)，希望借此平衡個(gè)人信息的保護(hù)和利用，并特設(shè)專節(jié)予以詳盡規(guī)定，《下一代醫(yī)療基礎(chǔ)設(shè)施法》更是針對(duì)個(gè)人醫(yī)療信息的匿名化進(jìn)行了特別規(guī)定，以兼顧高標(biāo)準(zhǔn)保護(hù)和高水平利用?？梢哉f(shuō)，在匿名化領(lǐng)域，日本的制度設(shè)計(jì)更加精細(xì)務(wù)實(shí)，更值得我們參考借鑒。而且，日本《個(gè)人信息保護(hù)法》具有鮮明的行業(yè)化規(guī)制傾向，即針對(duì)不同行業(yè)授權(quán)不同行業(yè)組織出臺(tái)細(xì)化的保護(hù)標(biāo)準(zhǔn)，(49)參見(jiàn)范姜真微： 《匿名加工資料制度之創(chuàng)設(shè)——因應(yīng)大數(shù)據(jù)時(shí)代日本個(gè)人資料保護(hù)法之新進(jìn)展》，載《東海大學(xué)法學(xué)研究》2020年第5期。以契合行業(yè)的特殊需求，《下一代醫(yī)療基礎(chǔ)設(shè)施法》本質(zhì)上就是一種行業(yè)標(biāo)準(zhǔn)，這與我國(guó)《個(gè)保法》所設(shè)計(jì)的部門分工協(xié)作的模式及《數(shù)據(jù)安全法》所倡導(dǎo)的行業(yè)安全的理念(50)參見(jiàn)《數(shù)據(jù)安全法》第6、10和21條。高度契合。就此而言，我國(guó)在個(gè)人信息尤其是個(gè)人醫(yī)療信息的匿名化處理上借鑒日本經(jīng)驗(yàn)具有合理性和正當(dāng)性。

(一) 打牢地基： 完善一般性的匿名化處理制度

針對(duì)匿名化處理標(biāo)準(zhǔn)的缺失和輔助性制度的罅縫，《個(gè)保法》應(yīng)予針對(duì)性的修改。這也是實(shí)現(xiàn)對(duì)個(gè)人醫(yī)療信息特別規(guī)制的前提。當(dāng)然，由于《個(gè)保法》剛剛出臺(tái)，短期內(nèi)再次修改的難度較大，故筆者建議，我國(guó)可考慮先以部門規(guī)章或國(guó)家標(biāo)準(zhǔn)的形式彌補(bǔ)制度漏洞，積累實(shí)踐經(jīng)驗(yàn)，待修法條件成熟后再納入《個(gè)保法》。

首先，我國(guó)應(yīng)增加關(guān)于個(gè)人信息匿名化處理標(biāo)準(zhǔn)的規(guī)定，應(yīng)采主流標(biāo)準(zhǔn)，將“信息處理者能否通過(guò)合理、可能的手段識(shí)別特定個(gè)人”作為判定標(biāo)準(zhǔn)。這是各國(guó)或地區(qū)普遍采行的標(biāo)準(zhǔn)。雖然該標(biāo)準(zhǔn)也有其自身問(wèn)題，但相對(duì)而言，較好地兼顧了個(gè)人信息的保護(hù)和利用，是一種更加平衡的認(rèn)定標(biāo)準(zhǔn)?！耙话闳藰?biāo)準(zhǔn)”保護(hù)標(biāo)準(zhǔn)過(guò)低，幾乎未曾被正式立法采行過(guò)；“任何人標(biāo)準(zhǔn)”界定范圍過(guò)寬，容易誘發(fā)過(guò)度保護(hù)進(jìn)而抑制利用，歐盟在GDPR實(shí)施兩年后的評(píng)估報(bào)告中也進(jìn)行了反思：“任何人標(biāo)準(zhǔn)”對(duì)個(gè)人信息的保護(hù)范圍過(guò)寬，這對(duì)歐洲數(shù)字經(jīng)濟(jì)是一種復(fù)雜而沉重的消耗，而且，該標(biāo)準(zhǔn)還導(dǎo)致歐盟在匿名化、隱名化等制度執(zhí)行層面缺乏明確性。(51)See Eline Chivot， Two Years On， the GDPR’s Flaws Show Why the EU Should Avoid Additional Rules， Center For Data Innovation(June 24， 2020)， https： //datainnovation.org/2020/06/two-years-on-the-gdprs-flaws-show-why-the-eu-should-avoid-additional-rules/.因此，我國(guó)應(yīng)注意吸取歐盟的經(jīng)驗(yàn)教訓(xùn)，在個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)上，理性分析、辯證取舍。

其次，我國(guó)應(yīng)對(duì)個(gè)人信息匿名化處理的輔助性制度進(jìn)行更加系統(tǒng)明確的規(guī)定。第一，增加關(guān)于“禁止再識(shí)別制度”的規(guī)定，信息處理者及后續(xù)接收方不得再次識(shí)別信息中的特定個(gè)人，違者將承擔(dān)行政甚至刑事責(zé)任。這將形成有力的制度威懾。如前所述，技術(shù)上完全徹底的匿名化難以實(shí)現(xiàn)，有學(xué)者更是直接將其稱作“美麗的神話”(beautiful myth)(52)See Ira S. Rubinstein， Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 703-710 (2016).，因此，在限定匿名化處理的法律標(biāo)準(zhǔn)后，我國(guó)有必要從制度上阻斷匿名化信息被再次識(shí)別之可能，以填補(bǔ)技術(shù)意義上有限匿名化的縫隙。個(gè)人信息匿名化之“不能復(fù)原”，既包括技術(shù)上之“不能復(fù)原”，亦包括法律上、制度上之“不能復(fù)原”，二者結(jié)合方能構(gòu)建完整的防護(hù)網(wǎng)。第二，充實(shí)和細(xì)化安全維護(hù)措施，建議由國(guó)家網(wǎng)信部門盡快牽頭起草實(shí)施細(xì)則，落實(shí)《個(gè)保法》第51條第6項(xiàng)所稱的“法律、行政法規(guī)規(guī)定的其他措施”?！秱€(gè)保法》第51條僅列舉了五項(xiàng)安全維護(hù)措施，明顯不足。部分已出臺(tái)的國(guó)家標(biāo)準(zhǔn)中包含了更詳細(xì)全面的安全維護(hù)措施，可資參鑒。例如，《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南(GB/T 39725-2020)》針對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)列舉了眾多安全維護(hù)措施，具體包括境內(nèi)存儲(chǔ)、身份鑒別、訪問(wèn)控制、分類分級(jí)、權(quán)限管理、質(zhì)量管理、元數(shù)據(jù)管理、存儲(chǔ)介質(zhì)管控、加密設(shè)置、備份恢復(fù)、審計(jì)、銷毀等等，《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化指南(GB/T37964-2019)》則對(duì)去標(biāo)識(shí)化這一安全措施的目標(biāo)、原則、過(guò)程、方法和模型等進(jìn)行了細(xì)致的規(guī)定。上述國(guó)家標(biāo)準(zhǔn)均為推薦性標(biāo)準(zhǔn)，無(wú)強(qiáng)制約束力。第三，我國(guó)應(yīng)在《個(gè)保法》第7條規(guī)定的公開原則的基礎(chǔ)上，具體規(guī)定信息處理者負(fù)有將匿名化信息的加工方法、流向等向社會(huì)公開、接受公眾監(jiān)督的義務(wù)。社會(huì)監(jiān)督可有效配合行政監(jiān)督，也可促使信息處理者形成自我約束機(jī)制，推動(dòng)匿名化信息更加規(guī)范、有序的利用。第四，我國(guó)應(yīng)增加關(guān)于明示義務(wù)的規(guī)定，匿名化信息的處理者應(yīng)向接收者明示其負(fù)擔(dān)相同之義務(wù)，包括禁止再識(shí)別、安全維護(hù)、公開等義務(wù)。明示義務(wù)的設(shè)置將使匿名化信息的流通鏈條更加完整可靠，確保其全流程安全，也可將禁止再識(shí)別、安全維護(hù)、公開等義務(wù)真正貫徹落實(shí)于流通鏈條的各個(gè)環(huán)節(jié)、各個(gè)主體。

需要說(shuō)明的是，我國(guó)《個(gè)保法》所規(guī)定的“個(gè)人信息處理者”的概念具有特殊性，需要在規(guī)則設(shè)計(jì)和法律適用時(shí)予以注意和協(xié)調(diào)。我國(guó)《個(gè)保法》只規(guī)定了“個(gè)人信息處理者”，即“在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人”，而未像歐盟GDPR一樣區(qū)分“控制者”和“處理者”。結(jié)合GDPR第4條的定義可知，《個(gè)保法》所規(guī)定的“個(gè)人信息處理者”更接近于GDPR所規(guī)定的“控制者”，而GDPR所規(guī)定的“處理者”則更接近《個(gè)保法》第22條個(gè)人信息委托處理?xiàng)l款中的“受托方”。日本《個(gè)人信息保護(hù)法》也只規(guī)定了“個(gè)人信息處理者”的概念，根據(jù)該法第2條的規(guī)定，“個(gè)人信息處理者是指正在將個(gè)人信息用于業(yè)務(wù)的主體”，可見(jiàn)，日本法上的“個(gè)人信息處理者”更加強(qiáng)調(diào)加工處理個(gè)人信息的狀態(tài)，事實(shí)上涵蓋了GDPR下的“控制者”和“處理者”的概念，由此我們也更容易理解該法第23條的規(guī)定，即個(gè)人信息處理者在使用目的范圍內(nèi)委托他人處理個(gè)人信息時(shí)，該受托人亦屬于“個(gè)人信息處理者”。當(dāng)然，這只是不同國(guó)家和地區(qū)在概念界定上的不同選擇，不構(gòu)成制度借鑒的絕對(duì)障礙，只是要求我們?cè)谝?guī)則設(shè)計(jì)時(shí)予以厘清和協(xié)調(diào)。例如，在我國(guó)《個(gè)保法》語(yǔ)境下，禁止再識(shí)別義務(wù)不但應(yīng)適用于“個(gè)人信息處理者”，還應(yīng)適用于“受托方”及其他后續(xù)接收方；公開義務(wù)和明示義務(wù)應(yīng)一并適用于“個(gè)人信息處理者”和“受托方”；下文所稱“認(rèn)定機(jī)構(gòu)”，事實(shí)上已經(jīng)具有了較大的自主權(quán)，應(yīng)屬“個(gè)人信息處理者”而非“受托方”；等等。

(二) 筑好高樓： 對(duì)個(gè)人醫(yī)療信息的匿名化進(jìn)行特別規(guī)制

如前所述，一般性的匿名化處理制度無(wú)法適應(yīng)個(gè)人醫(yī)療信息的特殊規(guī)制需求，無(wú)法實(shí)現(xiàn)高標(biāo)準(zhǔn)保護(hù)和高水平利用的雙重目標(biāo)。我國(guó)有必要對(duì)個(gè)人醫(yī)療信息的匿名化進(jìn)行特別規(guī)制。

突如其來(lái)的疫情進(jìn)一步凸顯了構(gòu)建個(gè)人醫(yī)療信息匿名化處理制度的重要性和緊迫性。大數(shù)據(jù)抗疫是我國(guó)迅速控制疫情的重要原因之一，大量的個(gè)人醫(yī)療信息在疫情期間被各類主體搜集用于疫情防控，“健康寶”“精準(zhǔn)復(fù)工平臺(tái)”等工具成為生產(chǎn)生活的標(biāo)配，促進(jìn)個(gè)人醫(yī)療信息更便捷之利用以支持疫情防控成為社會(huì)共識(shí)。當(dāng)然，為防止無(wú)序利用、過(guò)度利用損害個(gè)人權(quán)益，理應(yīng)提高個(gè)人醫(yī)療信息的保護(hù)標(biāo)準(zhǔn)，防止出現(xiàn)個(gè)人利益和公共利益的失衡。個(gè)人醫(yī)療信息匿名化處理制度的構(gòu)建，正當(dāng)其時(shí)。

誠(chéng)然，各國(guó)已經(jīng)為基于疫情防控目的而利用個(gè)人醫(yī)療信息提供了部分便利。歐盟GDPR第9條規(guī)定，若“數(shù)據(jù)處理為在公共健康領(lǐng)域維護(hù)公共利益之必要”，則可不經(jīng)信息主體的同意。日本《個(gè)人信息保護(hù)法》(53)參見(jiàn)日本《個(gè)人信息保護(hù)法》第23條。、美國(guó)《HIPPA隱私規(guī)則》(54)See 45 C.F.R. § 164.512(b).也都有類似的規(guī)定。我國(guó)《個(gè)保法》第13條也將“應(yīng)對(duì)突發(fā)公共衛(wèi)生事件所必需”規(guī)定為處理個(gè)人信息(包括個(gè)人醫(yī)療信息)的正當(dāng)性基礎(chǔ)之一。但是，公共健康目的不可無(wú)限擴(kuò)大，應(yīng)有合理邊界?！澳康拿鞔_”是個(gè)人信息保護(hù)的基本原則(《個(gè)保法》第6條)，疫情防控屬于概括性目的，必須細(xì)化為“明確、清晰、具體”的個(gè)人信息處理目的，如疾病治療、患者追蹤、病毒溯源、隔離管理、疫苗研究等。而疫情期間部分個(gè)人醫(yī)療信息的利用行為已然超出特定目的范圍，例如，部分互聯(lián)網(wǎng)醫(yī)療平臺(tái)將基于“義診”而搜集的患者信息用于社區(qū)管理，甚至將其用于廣告推送、用戶畫像和信用評(píng)價(jià)等。個(gè)人醫(yī)療信息的搜集對(duì)象也應(yīng)受到限制，《通知》即明確規(guī)定，“收集對(duì)象原則上限于確診者、疑似者、密切接觸者等重點(diǎn)人群”，但實(shí)踐中已遠(yuǎn)遠(yuǎn)超出這一范圍。而且，疫情期間沉淀的大量珍貴的個(gè)人醫(yī)療信息，在后疫情時(shí)代仍然具有重要的利用價(jià)值，“一刪了之”恐怕并非最優(yōu)選擇，在進(jìn)行嚴(yán)格的匿名化處理后實(shí)現(xiàn)二次利用，應(yīng)當(dāng)作為一個(gè)合理的選項(xiàng)。總之，構(gòu)建專門的個(gè)人醫(yī)療信息匿名化處理制度，為信息主體提供更高標(biāo)準(zhǔn)的保護(hù)，同時(shí)有力推進(jìn)個(gè)人醫(yī)療信息的流動(dòng)和匯聚，創(chuàng)造更大更安全的數(shù)據(jù)利用空間，是實(shí)踐之需、時(shí)代之勢(shì)。

筆者認(rèn)為，我國(guó)應(yīng)借鑒日本經(jīng)驗(yàn)，構(gòu)筑我國(guó)的個(gè)人醫(yī)療信息匿名化處理制度。我國(guó)可考慮在《個(gè)保法》之外直接制定針對(duì)個(gè)人醫(yī)療信息的單行法，也可考慮先由相關(guān)部門制定針對(duì)個(gè)人醫(yī)療信息的部門規(guī)章或國(guó)家標(biāo)準(zhǔn)，積累經(jīng)驗(yàn)，待條件成熟后再上升為法律。

就具體內(nèi)容而言，首先，我國(guó)應(yīng)規(guī)定由政府統(tǒng)一認(rèn)定匯集和匿名加工個(gè)人醫(yī)療信息的專門機(jī)構(gòu)(以下簡(jiǎn)稱“認(rèn)定機(jī)構(gòu)”)，規(guī)定更嚴(yán)格的準(zhǔn)入標(biāo)準(zhǔn)和工作流程，具體可從人員資質(zhì)、組織體制、安全保障體系等方面進(jìn)行限定。應(yīng)當(dāng)說(shuō)，個(gè)人醫(yī)療信息的特殊性賦予更高強(qiáng)度之政府干預(yù)以正當(dāng)性，正如我們?cè)谄渌t(yī)藥領(lǐng)域所呈現(xiàn)的那樣，醫(yī)藥衛(wèi)生關(guān)乎患者生命健康和基本尊嚴(yán)，始終是一個(gè)強(qiáng)監(jiān)管領(lǐng)域。為提高醫(yī)療信息的安全性、推動(dòng)其更高程度之利用，投入更多的政府監(jiān)管資源是合理且必要的，應(yīng)由醫(yī)藥衛(wèi)生部門和網(wǎng)信部門協(xié)同推進(jìn)認(rèn)定機(jī)構(gòu)的管理工作。而且，以認(rèn)定機(jī)構(gòu)這一中間平臺(tái)為抓手推進(jìn)數(shù)據(jù)治理，在網(wǎng)絡(luò)時(shí)代更加務(wù)實(shí)可行，正如我們通過(guò)強(qiáng)化對(duì)基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)的監(jiān)管以推進(jìn)網(wǎng)絡(luò)良治一樣(《個(gè)保法》第58條)。從既往經(jīng)驗(yàn)來(lái)看，我國(guó)政府完全有能力平穩(wěn)有序地推進(jìn)認(rèn)定機(jī)構(gòu)的監(jiān)管工作。

其次，我國(guó)應(yīng)規(guī)定由認(rèn)定機(jī)構(gòu)統(tǒng)一對(duì)個(gè)人醫(yī)療信息進(jìn)行匯集、加工和轉(zhuǎn)移，并對(duì)信息的安全負(fù)責(zé)，且認(rèn)定機(jī)構(gòu)自醫(yī)療機(jī)構(gòu)等信息控制者處接收個(gè)人醫(yī)療信息時(shí)適用默示同意規(guī)則。應(yīng)當(dāng)說(shuō)，在對(duì)認(rèn)定機(jī)構(gòu)實(shí)施強(qiáng)監(jiān)管的基礎(chǔ)上，賦予其更重要的法律角色理所應(yīng)當(dāng)，如此也可緩解醫(yī)療機(jī)構(gòu)等對(duì)外分享醫(yī)療信息的壓力和顧慮。同時(shí)，以認(rèn)定機(jī)構(gòu)為中心搭建醫(yī)療數(shù)據(jù)池，可大大提升醫(yī)療信息的流通和匯集效率，形成真正意義上的醫(yī)療大數(shù)據(jù)。很多時(shí)候，我國(guó)醫(yī)療機(jī)構(gòu)并非排斥醫(yī)療信息的流動(dòng)和共享，只是囿于法無(wú)所依及隨之而來(lái)的責(zé)任風(fēng)險(xiǎn)，畏懼?jǐn)?shù)據(jù)的外流。(55)參見(jiàn)高富平： 《論醫(yī)療數(shù)據(jù)權(quán)利配置——醫(yī)療數(shù)據(jù)開放利用法律框架》，載《現(xiàn)代法學(xué)》2020年第4期。我國(guó)也可考慮建立對(duì)外分享個(gè)人醫(yī)療信息的激勵(lì)機(jī)制(包括經(jīng)濟(jì)激勵(lì)及其他激勵(lì)措施)，賦予信息分享者各類優(yōu)先權(quán)及優(yōu)惠機(jī)制，進(jìn)一步推動(dòng)醫(yī)療信息的流通和利用。(56)參見(jiàn)蔡培如、王錫鋅： 《論個(gè)人信息保護(hù)中的人格保護(hù)與經(jīng)濟(jì)激勵(lì)機(jī)制》，載《比較法研究》2020年第1期。此外，由于強(qiáng)監(jiān)管框架的完整布局，個(gè)人醫(yī)療信息的匿名加工及后續(xù)流通環(huán)節(jié)得到了較高程度的安全保障，默示同意規(guī)則的適用具有堅(jiān)實(shí)基礎(chǔ)，這也將保證個(gè)人醫(yī)療信息匿名化處理制度的高效運(yùn)行。應(yīng)當(dāng)指出的是，此處默示同意之內(nèi)容限于針對(duì)個(gè)人醫(yī)療信息的匿名化處理活動(dòng)，而非及于所有類別的處理活動(dòng)。正是由于匿名化標(biāo)準(zhǔn)的提高及匿名化信息全鏈條的安全保障，才有默示同意規(guī)則適用之可能。其他種類的個(gè)人信息如人臉識(shí)別信息能否同樣適用默示同意規(guī)則，除提高安全保障水平、創(chuàng)造先決條件外，還應(yīng)進(jìn)行謹(jǐn)慎的價(jià)值衡量和規(guī)則設(shè)計(jì)，畢竟并非所有種類的個(gè)人信息均像個(gè)人醫(yī)療信息一樣指向生命健康利益。