洪欣琳

2021年6月，《國務院辦公廳關于推動公立醫(yī)院高質(zhì)量發(fā)展的意見》發(fā)布，指出醫(yī)療大數(shù)據(jù)建設成為我國衛(wèi)生事業(yè)的重要發(fā)展目標，應以互聯(lián)網(wǎng)技術賦能，實現(xiàn)從傳統(tǒng)醫(yī)學到信息醫(yī)學的巨大轉(zhuǎn)變。信息醫(yī)學時代，個人醫(yī)療數(shù)據(jù)信息在提升醫(yī)療服務質(zhì)量、轉(zhuǎn)變醫(yī)療服務模式，甚至惠及全民醫(yī)療衛(wèi)生事業(yè)方面的作用不可小覷。然而，高強度的信息處理也會顯著增大個人醫(yī)療數(shù)據(jù)信息被侵犯之風險，進而導致個人醫(yī)療數(shù)據(jù)信息保護的危機。作為高度敏感信息，個人醫(yī)療數(shù)據(jù)信息被侵犯的風險不僅會危及其正常生活，極易導致其生理與心理的雙重傷害，且以長遠計，還必然會妨礙國家信息醫(yī)學的戰(zhàn)略推進與公共醫(yī)療的進步發(fā)展。

本文立足于我國醫(yī)療大數(shù)據(jù)發(fā)展背景，擬分析個人醫(yī)療數(shù)據(jù)信息法律保護不力的客觀現(xiàn)實與原因，并借鑒域外個人醫(yī)療數(shù)據(jù)信息保護相關法治建設情況，結合我國實踐提出個人醫(yī)療數(shù)據(jù)信息保護的對策與建議，以期能促進個人醫(yī)療數(shù)據(jù)信息的長效保護，助力我國“互聯(lián)網(wǎng)＋醫(yī)療健康”的長足發(fā)展。

一、公民個人醫(yī)療數(shù)據(jù)信息的本質(zhì)與保護之必要性

我國對個人醫(yī)療數(shù)據(jù)信息的一般釋義尚無專門規(guī)定，在不同的辦法、標準等文件中，關于個人醫(yī)療數(shù)據(jù)信息的法律術語及其內(nèi)涵各有差異。①結合個人信息的可識別性等特征，“個人醫(yī)療數(shù)據(jù)信息”是指在疾病預防、診斷、治療等全部醫(yī)療過程中所獲取的與個人身心健康狀況相關的信息，是與特定個人相關聯(lián)、反映個體特征、具有可識別性的符號。[1]“健康信息”的外延隨著醫(yī)療衛(wèi)生產(chǎn)業(yè)的發(fā)展不斷擴充，其可分為四大類:個人基本信息、個人診療信息、個人體檢信息與遺傳基因信息。“個人基本信息”即指輔助診療中的一般個人信息，如姓名、身份證號、家庭住址、電話號碼、醫(yī)保信息等；“個人診療信息”指的是既往病史、用藥記錄、病程記錄等；“個人體檢信息”指體檢結果、生活習慣、健康檢測結果、健康評估等；“遺傳基因信息”是指反映主體遺傳本質(zhì)的信息，其不僅與個體有關，還可推算出家族等群體的健康狀況，例如家族病史、遺傳病史等。此外，“個人醫(yī)療數(shù)據(jù)信息”的外延隨著信息醫(yī)學產(chǎn)業(yè)的發(fā)展不斷擴充，已然包含慢性病或老年病等疾病的日常健康管理信息、穿戴式APP所記錄的生理健康數(shù)據(jù)、遠程診療的個人地理位置、語音與視頻信息、遠程醫(yī)療云和影像云平臺的健康云信息等新興內(nèi)容；其外延的擴充，意味著高強度的信息處理活動頻繁，從而導致信息泄露的風險增加。因此，個人醫(yī)療數(shù)據(jù)信息亟待法律保護，這一點在信息醫(yī)學發(fā)展的特殊背景下尤為凸顯。

（一）個人醫(yī)療數(shù)據(jù)信息本身的高度敏感性

“個人敏感信息”，是指一旦被泄漏或濫用，極易危及人身、財產(chǎn)安全或?qū)е氯烁褡饑朗艿綋p害、歧視性待遇的個人信息。[2]我國《個人信息保護法》第二十八條列舉了“生物識別、醫(yī)療健康、金融賬戶”等具體的信息類型，明確個人醫(yī)療數(shù)據(jù)信息屬于敏感個人信息。相較于一般個人信息，敏感個人信息的泄漏具有損害個人人格權的高風險性，因為個人醫(yī)療數(shù)據(jù)信息所承載的是其主體的精神的、心理的和身體等隱秘細節(jié)與具體內(nèi)容，一旦發(fā)生泄露或濫用等侵犯行為，不僅其主體容易遭致人身歧視、下游犯罪等社會性問題，同時勢必嚴重損害主體的就業(yè)權、自由權等帶有人權性質(zhì)的基本權利。因此，個人醫(yī)療數(shù)據(jù)信息的高度敏感性決定了其應當適用更加嚴苛的保護規(guī)則。

（二）侵犯個人醫(yī)療數(shù)據(jù)信息事件的頻發(fā)性

2020年，全世界針對醫(yī)療行業(yè)的APT攻擊②事件增加了117%；其中，在我國發(fā)生的APT攻擊中，被黑客入侵的重點區(qū)域即醫(yī)療衛(wèi)生行業(yè)占據(jù)了23.7%③不僅如此，信息處理主體的多元性與處理場景的復雜性，亦使得個人醫(yī)療數(shù)據(jù)信息泄露事件頻發(fā)，如在“佛山基因歧視案”中，3名初試成績優(yōu)異的考生因在復試體檢中被查出攜帶有地中海貧血基因而被拒絕錄用，嚴重侵犯個人就業(yè)權[3]；又如，存某某在北京市肛腸醫(yī)院就診后病歷信息被泄露，致使其肛腸手術視頻以光盤形式在網(wǎng)站公然售賣，給尚在哺乳期的存某某造成經(jīng)常失眠并記憶力下降的精神損害；再如，黃山縣人民醫(yī)院未經(jīng)時某同意，致使其人流信息在黃山縣流傳，嚴重侵犯其名譽權。④特別是新冠疫情期間，確診患者疫病信息被惡意披露事件頻發(fā)亦如是，引發(fā)多輪網(wǎng)絡謾罵與現(xiàn)實騷擾⑤，不僅侵犯個人人格尊嚴，更嚴重影響政府公信力與防疫工作有序推進。不斷發(fā)生的信息被泄露事件表明，加強對個人醫(yī)療數(shù)據(jù)信息的保護刻不容緩。

（三）當前我國個人醫(yī)療數(shù)據(jù)信息的立法滯后

目前，我國針對個人醫(yī)療數(shù)據(jù)信息保護的法律法規(guī)主要是行政法規(guī)和推薦性標準，對公民個人醫(yī)療數(shù)據(jù)的保護具有一定的滯后性，亟需從立法層面予以修正和完善。

我國對個人醫(yī)療數(shù)據(jù)信息的法律保護散見于各類醫(yī)療衛(wèi)生法律法規(guī)、民事法律以及相關司法解釋中?！吨腥A人民共和國民法典》（以下簡作《民法典》）給予個人信息以私法保護，規(guī)定個人私密信息適用隱私權的規(guī)定，并要求醫(yī)務人員對泄密行為承擔民事侵權責任?！秱€人信息保護法》對“敏感個人信息”作出界定，列舉了單獨同意規(guī)則、額外通知規(guī)則、限制未成年人規(guī)則等。此外，部分醫(yī)療法律法規(guī)亦對健康（醫(yī)療）信息或隱私保護作出粗略規(guī)定。⑥

然而，當前我國個人醫(yī)療數(shù)據(jù)信息保護的立法不足以形成完整的法律保護框架，缺乏可實施性，難以有效保護個人醫(yī)療數(shù)據(jù)信息。首先，《民法典》對個人醫(yī)療數(shù)據(jù)信息保護僅作原則性表達，將傳統(tǒng)民事制度與個人信息保護的有關制度融為一體，使得《民法典》“人格權編”有關個人信息的條款與其他人格權規(guī)定不一樣；雖然帶有專門化的特點，但是由于條文太過簡單，無法形成與《個人信息保護法》的統(tǒng)一，勢必會在今后的應用中出現(xiàn)矛盾并造成諸多的不確定性。[4]其二，《個人信息保護法》難以實現(xiàn)個人醫(yī)療數(shù)據(jù)信息的特殊性保護需求，缺乏對個人醫(yī)療數(shù)據(jù)信息的嚴格使用規(guī)則、刪除處理、泄露告知義務等實踐中所需遵守之具體規(guī)定。其三，制訂醫(yī)療衛(wèi)生法律法規(guī)的主要目的在于促進我國健康醫(yī)療服務水平，而信息保護并非其重點規(guī)制的內(nèi)容，故大部分醫(yī)療類法律法規(guī)的相關條款都只有1～2條。

二、我國公民個人醫(yī)療數(shù)據(jù)信息保護之困境

（一）“知情同意原則”流于形式

“知情-同意”原則是個人信息權利或權益得以實現(xiàn)的首要機制。然而，個人醫(yī)療數(shù)據(jù)信息的收集、存儲、處理到加值利用⑦等各個環(huán)節(jié)均具備不可預測性，信息處理者通常會違背信息的最初收集或者使用之目的，特別是利用大數(shù)據(jù)分析和挖掘技術對大量個人醫(yī)療數(shù)據(jù)信息進行二次處理。即是說，藉由大數(shù)據(jù)分析技術找到并確定信息之間的相關性，以此生成預測并應用于疫情監(jiān)測、AI診療、遠程診斷等公共領域或私人領域的醫(yī)療信息服務。

比較法領域，處理個人醫(yī)療數(shù)據(jù)信息前應征得信息主體的明示同意，默示同意規(guī)則不得適用。例如，日本《個人信息保護法》規(guī)定搜集和使用個人敏感信息只能適用明示同意規(guī)則（又稱選擇進入規(guī)則，即OPT-IN）；美國在醫(yī)療信息領域，亦通過《隱私規(guī)則》明確要求適用OPT-IN規(guī)則。根據(jù)我國《個人信息保護法》第十四條、第二十九條的規(guī)定，無論一般個人信息還是敏感個人信息，在處理前均應獲得信息主體的明示同意，敏感個人信息的處理更應獲得信息主體的“單獨同意”。

然而，在醫(yī)療信息化下，大數(shù)據(jù)挖掘和分析技術不僅導致信息處理者難以制定出完整且明確的知情同意協(xié)議，也導致信息主體無法對知情同意協(xié)議進行實質(zhì)性理解。大數(shù)據(jù)分析的目的之一即在數(shù)據(jù)中找到無法預知的模式和相關性，這意味著無論是信息處理者還是信息主體都不太可能明確個人醫(yī)療數(shù)據(jù)信息的全部用途。此外，大數(shù)據(jù)技術應用的信息處理并不局限于特定目的，往往隨著場景、情勢等因素的變化而調(diào)整，要求信息處理者在首次處理個人醫(yī)療數(shù)據(jù)信息之前，說明未來個人醫(yī)療數(shù)據(jù)信息加值利用的目的難度極大，強制信息處理者在每一次變更處理目的時進行告知更會無限提高法律合規(guī)成本。

（二）個人信息權益保護模式的消極性

基于《民法典》第一千零三十五條等可知，個人信息項下得到明確規(guī)定的權益有四項：知情同意權、復制查閱權、更改與刪除權與信息安全權。由于當前我國并未明確個人信息的權利屬性，使得在權益保護模式下，通過控制他人行為來實現(xiàn)對權益主體利益的保護，呈現(xiàn)出消極性和被動性。

在權益保護模式下，個人醫(yī)療數(shù)據(jù)信息的整體利益被分割，一部分給予權益主體（通常為患者），另一部分則給予信息處理者較大自由空間。例如，根據(jù)不完全的數(shù)據(jù)，在這次疫情中采集大量個人醫(yī)療數(shù)據(jù)信息的主體至少有五種類型：教育部門、公安部門、基層社區(qū)工作者、電信運營商和互聯(lián)網(wǎng)公司。[5]這些主體對個人醫(yī)療數(shù)據(jù)信息進行重復采集，導致信息采集安全性降低，使其面臨著被泄露的風險。在信息主體“個人信息權利”保護缺位的情況下，相對于數(shù)據(jù)平臺和政府機構所壟斷的“數(shù)據(jù)權力”而言，私權顯得無足輕重，因而很難以私法途徑充分、全面、有效地保護個人信息。[6]

此外，《民法典》將個人醫(yī)療數(shù)據(jù)信息以隱私權路徑進行保護，可能會導致個人醫(yī)療數(shù)據(jù)信息的保護產(chǎn)生路徑?jīng)_突，因為此規(guī)定意味著無論隱私權規(guī)定相較于個人信息權益的規(guī)定是否更為有利，皆排除個人信息權益保護規(guī)定的適用。亦以知情同意為例，在個人信息權路徑下，對于個人醫(yī)療數(shù)據(jù)信息二次處理，如果改變處理的方式和范圍，則需要獲得再次同意；然而在隱私權路徑下，對隱私公開的同意是一次性的，一旦公開，就無須獲得權利主體再次同意。由于適用隱私權的相關條款，往往致使對個人信息權規(guī)定的適用被排除，這時個人醫(yī)療數(shù)據(jù)信息主體便會喪失一般的信息權利，例如知情同意、查閱、刪除等權利。

（三）對個人醫(yī)療數(shù)據(jù)信息的侵權救濟乏力

《個人信息保護法》第六十九條規(guī)定將過錯推定原則應用于個人信息侵權責任認定，免去了信息主體對信息處理者主觀過錯的證明責任，一定程度減輕了信息主體的救濟困難。然而，囿于侵權環(huán)節(jié)的復雜性、侵權主體多樣性以及侵權結果的無形性等特點，使得在侵權責任請求權制度下，因果關系證明、損害認定等規(guī)定仍不盡合理，無法與個人醫(yī)療數(shù)據(jù)信息的嚴格保護要求相因應，難以應對多元化信息處理場景，遑論擔當個人醫(yī)療數(shù)據(jù)信息侵權救濟使命。

其一，過錯推定歸責下，作為原告的受害人仍需承擔過錯的主張責任并提供初步證據(jù)以支持該主張，被告亦可提供證據(jù)證明其盡到合理的注意與提示義務，從而對原告的主張進行抗辯。若被告能夠舉證并證明其已采取信息安全的技術措施和其他必要措施，則有可能導致案件相反的裁判結果。在個人醫(yī)療數(shù)據(jù)信息侵權訴訟中，證據(jù)偏在的客觀事實直接導致當事人舉證能力的失衡。于受害方之原告，過錯要件的主張責任及其初步舉證與證明也并非容易，且被告依仗信息技術優(yōu)勢、甚至市場壟斷地位，可輕易以多種方式證明已采取信息安全的技術措施和其他必要措施。

其二，因果關系證明不能。個人醫(yī)療信息的收集、使用、傳輸?shù)瓤梢栽谕粫r間內(nèi)由多個信息處理者同時進行，而且在各個過程中都有可能出現(xiàn)侵權，而造成損害的原因通常是由哪一方的信息處理人的行為造成的無從得知；而由于這因果關系的復雜性，在個人醫(yī)療數(shù)據(jù)信息侵權案件中，受到追究的侵權人數(shù)量十分有限。個人醫(yī)療數(shù)據(jù)信息的主體往往沒有相對應的信息處理能力，亦無法獲取信息收集與處理的客觀事實，從社會效益的角度來看，基于相同目的，使受害者而非信息處理者承擔因果關系的證明責任，不僅會增加受害者的成本，也會加大社會成本。

其三，損害結果認定困難。個人醫(yī)療數(shù)據(jù)信息侵權的損害結果多體現(xiàn)內(nèi)心焦慮等非物質(zhì)損害，而我國很多法院均以無法確認非物質(zhì)性損害為由直接駁回了原告的索賠請求⑧，被侵權人難以通過侵權賠償請求權獲得應有的救濟。不僅如此，在某些非物質(zhì)性損害認定的案件中，也出現(xiàn)認定范圍不明、賠償金額差距過大等情況。《民法典》第一千一百八十三條明確侵害被侵權人可以請求精神損害賠償，可見精神損害應當是達到了“嚴重”的程度。然而，非物質(zhì)性損害的程度判斷缺乏標準，司法機關“酌情認定”極大限制了受害者獲得救濟的可能性。

三、我國公民個人醫(yī)療數(shù)據(jù)信息保護的對策與建議

（一）采納動態(tài)“知情同意制度模式”

大數(shù)據(jù)技術的更迭與個人醫(yī)療數(shù)據(jù)信息主體的弱勢地位使得知情同意原則流于形式，而過于嚴苛的知情同意規(guī)則又徒增法律合規(guī)成本，且不利于醫(yī)療健康事業(yè)發(fā)展，為了走出這種零和博弈的困境，可以構建一種協(xié)調(diào)個人信息權益與產(chǎn)業(yè)發(fā)展應用需要的“動態(tài)同意模式”。動態(tài)同意（Dynamic consent)，是指讓個體可以根據(jù)知情的方式、頻率和內(nèi)容，自愿地決定是否給予同意或放棄。[7]該模式主張利用現(xiàn)代網(wǎng)絡信息技術搭建一個交流平臺，使得信息處理和知情同意成為一個持續(xù)、動態(tài)、開放的過程，信息主體可以隨時了解個人信息處理動態(tài)，自由地選擇加入或退出。在動態(tài)同意模式下，個人醫(yī)療數(shù)據(jù)信息主體可以基于自己的個性化選擇去同意或不同意，具備諸多優(yōu)點：

其一，動態(tài)知情模式能夠最大程度避免“知情-同意”機制流于形式，使得信息主體成為中心，授權有效性大大增加，能夠充分實現(xiàn)意思自治。個人能夠?qū)ζ溽t(yī)療數(shù)據(jù)信息進行管理且更為知情，區(qū)別于現(xiàn)行的知情同意協(xié)議中需要信息主體閱讀過量信息，動態(tài)同意模式更好地保護了信息主體的知情權。其二，動態(tài)知情模式結合互聯(lián)網(wǎng)平臺技術發(fā)展，具有現(xiàn)實性與可行性，能夠克服傳統(tǒng)知情同意模式信息滯后的弊端。利用大數(shù)據(jù)、互聯(lián)網(wǎng)5G技術搭建動態(tài)同意平臺并非技術難題，通過醫(yī)療機構或衛(wèi)生部門等主體已有的公眾號、小程序等平臺，信息處理者能夠及時獲得有效的同意，信息主體亦能及時知悉相關信息。此基礎上構建一個動態(tài)的個人知情同意平臺有著技術基礎的支撐，能夠在不增加新技術研發(fā)壓力下實現(xiàn)個人醫(yī)療數(shù)據(jù)信息處理動態(tài)呈現(xiàn)。

（二）確立個人醫(yī)療數(shù)據(jù)信息權

在信息化的社會背景下，信息主體從被動的防衛(wèi)轉(zhuǎn)向主動的控制和使用，明確個人醫(yī)療數(shù)據(jù)信息權利可以拓展信息主體的法益保護范圍，如信息的知情、修改、查詢。不僅如此，實現(xiàn)個人信息權利亦有助于改善我國醫(yī)患關系長期以來不對等的關系，為信息權人提供傾斜性保護，從而讓維權路徑更加清晰。

個人醫(yī)療數(shù)據(jù)信息權的權利主體直接指向自然人，客體為可識別的個人醫(yī)療數(shù)據(jù)信息權益，對權利主體和客體厘定后，應當對其權利的內(nèi)容進一步闡釋，除《民法典》中已有的知情同意權、查閱更正權、刪除修改權之外，還應列舉以下幾項權利，以期對個人醫(yī)療數(shù)據(jù)信息權的進一步完善：

第一，個人醫(yī)療數(shù)據(jù)信息拒絕權。歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation,以下簡稱“GDPR”）第二十一條對信息主體的拒絕權作了明確的規(guī)定，即使數(shù)據(jù)控制者的數(shù)據(jù)處理行為基于合法情形，但信息主體可以行使拒絕權，要求該數(shù)據(jù)處理者停止行為。在“Google Spain SL,Google Inc.v.AEPD and Mario Costeja González案”中，歐盟法院認定，信息主體的個人信息權利高于數(shù)據(jù)控制者的經(jīng)濟利益以及與之對應的社會公眾利益，是一種更為強勢的選擇退出（opt-out）機制。目前我國并沒有明文的信息拒絕權，《個人信息保護法》第二十四條可以看做是類似制度設計，但仍需進一步明晰該權利的名稱、行使方式、救濟程序等細節(jié)性規(guī)定。

第二，個人醫(yī)療數(shù)據(jù)信息被遺忘權。歐盟法院在“谷歌訴岡薩雷斯被遺忘權案”的判決中認為，被遺忘權是信息主體有權要求搜索引擎運營商對網(wǎng)絡上存在的包含涉及自身的不好的、不相關的、過分的信息的鏈接予以刪除的權利。[8]個人對其個人醫(yī)療數(shù)據(jù)信息享有被遺忘權，主要針對某些負面信息，諸如艾滋病、乙肝、肺炎等疾病病史等享有要求醫(yī)院刪除就診記錄的權利。但是，由于我國病歷保管有時間限制，且醫(yī)學科研、公共政策制定、疫情防治等處理行為背后的公共利益與被遺忘權會產(chǎn)生直接沖突，因此需要對被遺忘權進行本土化構建。

第三，個人醫(yī)療數(shù)據(jù)信息不受制于自動化決策權。信息主體有權拒絕利用其個人醫(yī)療數(shù)據(jù)信息實施自動決策，信息處理主體應在自動化決策前取得信息主體的同意；尤其是將個人醫(yī)療數(shù)據(jù)信息用于商業(yè)化應用時，應當禁止企業(yè)非法抓取大量個人醫(yī)療數(shù)據(jù)信息并進行自動化決策；同時允許個人醫(yī)療數(shù)據(jù)信息主體在其信息遭受侵害時，可以進行舉報或提起訴訟以維護個人醫(yī)療數(shù)據(jù)信息權。

（三）完善個人醫(yī)療數(shù)據(jù)信息侵權救濟規(guī)則

完善侵權救濟機制能夠增大信息處理者的違法成本，同時促進個人積極維權。個人醫(yī)療數(shù)據(jù)的信息侵權應當建立在侵權責任四要件的基礎上。信息主體與處理者之間原本存在著不平等的關系，而隨著大數(shù)據(jù)技術的引入，個人對其醫(yī)療數(shù)據(jù)信息的控制能力被限縮，使得信息主體在證明侵權要件方面更加無能為力。要想解決這個問題，就必須在四要件的基礎上不斷完善，使醫(yī)療數(shù)據(jù)信息的特殊性得到充分的體現(xiàn)。

1.適用無過錯歸責原則。

結合我國個人醫(yī)療數(shù)據(jù)信息的高度敏感性特征以及個人信息分級保護的價值導向，本文認為個人信息侵權應當在當前“過錯推定”原則基礎上，對敏感個人信息侵權適用無過錯責任。首先，采無過錯歸責原則并未突破現(xiàn)有的法律框架?！睹穹ǖ洹で謾嘭熑尉帯穼τ谔囟ǖ那謾嘈袨?，如產(chǎn)品責任、高度危險作業(yè)致人損害等，均采取無過錯責任的歸責原則，所以個人信息侵權損害賠償適用無過失責任原則并不會影響現(xiàn)行的法律架構，只是增加了無過錯歸責原則的侵權行為類型。此外，《德國聯(lián)邦數(shù)據(jù)保護法》以及我國臺灣地區(qū)的“個人資料保護法”等，都有對個人信息侵權損害賠償采用無過錯歸責原則的先例。其二，基于個人信息的分級保護理念，對個人醫(yī)療數(shù)據(jù)信息侵權應實行比一般個人信息侵權更加嚴厲的嚴格責任原則。[9]無過錯責任原則作為大陸法系中最嚴格的歸責原則，能夠最大化保護敏感個人信息。由于醫(yī)療機構等主體對個人醫(yī)療數(shù)據(jù)信息的控制和有關知識的掌握程度遠超個人，過錯推定下的免責事由更像是傾斜向信息處理者的“自救機會”。無過錯原則與過錯推定原則不同，其相當于“剝奪”了個人信息處理者證明自己無過錯的機會，能夠體現(xiàn)對敏感個人信息的最嚴格保護。其三，基于敏感個人信息禁止處理的基本原則，個人醫(yī)療數(shù)據(jù)信息處理者在沒有正當理由處理信息時，其行為本身就足以證明其過錯，因為在效果上與無過錯原則并無二致。因敏感個人信息原則上是不能被處理的，侵權與否的判定就簡化為對是否存在合理利用之除外情形進行審查[10]，《個人信息保護法》第二十八條第二款規(guī)定，只有具有特定的目的和充分必要性并采取嚴格保護措施，個人信息處理者才可處理敏感個人信息?？梢钥闯鑫覈鴮γ舾袀€人信息保護借鑒歐盟GDPR規(guī)定，采取“禁止為原則、許可為例外”的原則，即無過錯原則與我國敏感個人信息處理原則具有同向性。

2.引入因果關系推定制度。

為有效解決囿于因果關系的不確定性而帶來的證明不能問題，學界部分學者提出可適用因果關系推定制度，比較法上亦有適用因果關系推定的立法先例。⑨因果關系推定的特別意義在于，如果一項表見的事實遭到了損害，則可以認定其與事實之間存在著因果關系，并且受害者不需要證明二者的因果關系，便可請求損害賠償，而當事人僅能用反證來證明其與事實沒有任何聯(lián)系。[11]依因果關系推定理論，只要被害人可以證明數(shù)個信息處理者所做出的整體性行為（即表見事實）與侵害之間存在因果關系，就可以推斷出每個信息處理者的個人行為和侵權行為存在因果關系，除非信息處理者能夠證實這種損害不是由于其信息處理的結果，否則不能排除。一方面，給予“良善”信息處理者證明免責的機會，避免過于嚴苛的責任承擔阻礙個人醫(yī)療數(shù)據(jù)信息的流通使用；另一方面，當信息處理者無法“自證清白”時，又予以嚴苛的后果，對個人醫(yī)療數(shù)據(jù)信息予以特別保護。

3.細化非物質(zhì)性損害認定規(guī)則。

信息時代，個體的醫(yī)療數(shù)據(jù)信息所承載的價值與人身利益、財產(chǎn)利益相關，如果個人的信息權益受到侵犯，會造成財產(chǎn)損失、人身傷害等物質(zhì)上的損失，也有可能造成諸如外在危險、內(nèi)在焦慮等非物質(zhì)傷害。相較于一般個人信息，個人醫(yī)療數(shù)據(jù)信息侵權更易造成非物質(zhì)性損害。由于法律對損害的救濟必須是可賠償?shù)模镔|(zhì)損害更容易被司法實踐認定，而非物質(zhì)損害則需要根據(jù)法律的明確規(guī)定才能獲得支持。美國《隱私法案》(Privacy Act)與歐盟GDPR均承認個人信息侵權的非物質(zhì)性損害可得民事賠償，我國《民法典》亦明確規(guī)定了精神損害賠償制度，可據(jù)此提煉出更具實施性的非物質(zhì)性損害認定規(guī)則，以解決非物質(zhì)性損害認定困難的問題。

其一，損害具有嚴重性。當前世界各國（地區(qū)）立法對于損害的顯著性或嚴重性規(guī)定不一，不同國家（地區(qū)）呈現(xiàn)出不同態(tài)度。歐盟GDPR第八十二條第一款將損害分為物質(zhì)性損害和非物質(zhì)性損害，明確所有遭受損害的信息主體，都有權獲得損害賠償，由此可看出其未對損害的嚴重性作出要求，法國、比利時等部分國家與歐盟GDPR持相同態(tài)度。同時，我國《個人信息保護法》第六十九條所確定的“損害”亦沒有對損害程度作出限定。與之相反，大部分國家或地區(qū)將非物質(zhì)性損害的嚴重程度作為認定標準。以德國為例，只有“嚴重侵犯人格權”的個人信息違法行為才被請求賠償。不僅如此，我國《民法典》第一千一百八十三條規(guī)定了尋求精神損害賠償?shù)膰栏駰l件，即損害應具有“嚴重性”，甚至有學者提出，原告無法證明自己遭受了嚴重的精神損害,則不得請求侵權人承擔精神損害賠償責任[12]。立法者之所以非物質(zhì)性損害程度提出要求，是因為損害程度過于寬泛可能會導致侵權行為認定缺乏標準，從而造成損害濫認的不良結果。

《民法典》將動態(tài)系統(tǒng)論的觀點運用于對人格權侵權責任的認定，是除了生命權、身體權和健康權，其他所有人格權侵權民事責任的認定必須綜合考慮行為主體與受害人的職業(yè)、危害范圍、過錯程度、行為目的、方法、后果等多重因素。通過對法官在判決過程中需要考慮的諸多要素進行明確規(guī)定，從而使法官的裁量范圍得到了決定性的限制，在一定程度上能夠?qū)崿F(xiàn)現(xiàn)實生活中多種事實與自由裁量兼顧。[13]因而，個人醫(yī)療數(shù)據(jù)信息侵權中非物質(zhì)性損害“嚴重性”可參考受害人的職業(yè)、影響范圍、過錯程度、信息敏感程度以及行為的目的、方式、后果等動態(tài)因素進行全方位、專用景化的考量。

其二，損害具有客觀性?？陀^性原則的應用對于損害認定，特別是非物質(zhì)性損害認定規(guī)則的細化具有重要意義。美國聯(lián)邦最高法院在“Clapper v.Amnesty（2013）案”中規(guī)定了個人信息保護的訴訟請求要求，即應當證明損害是客觀真實的，“推測的”或“臆想的”損害無法獲得法院支持。例如，個人醫(yī)療數(shù)據(jù)信息泄露并不等于信息披露或販賣，泄露行為是否進一步致使信息披露或販賣還需相關證據(jù)支撐?？陀^性原則下，個人提出的非物質(zhì)性損害應當是實際的、特定的、業(yè)已發(fā)生或是可以預測即將發(fā)生的。

非物質(zhì)性損害發(fā)生的風險是否具有客觀性與信息流轉(zhuǎn)事實息息相關，并非所有的信息侵害案件都會呈現(xiàn)出相應的損害結果。因而，針對存在損害風險的案件，應該選擇優(yōu)勢證據(jù)規(guī)則作為認定尺度，即只要能夠證明個人醫(yī)療數(shù)據(jù)信息被篡改、冒用等，無需適用高度蓋然性標準就可以認定為損害會發(fā)生，為此實施救濟而產(chǎn)生的正當成本也可確定為損害。不過，雖然如果無法證明個人醫(yī)療數(shù)據(jù)信息被侵犯的事實，但是該侵害所應當產(chǎn)生的普遍風險能夠特定化到個人時，已出現(xiàn)的風險就可等同于損害的發(fā)生。如果該風險是可以消除的，那么消除這些風險的成本就應當視為損害；如果該風險是不可以消除的，由此給自然人增加的生活成本和障礙就構成了損害。[14]

四、結語

近幾年，隨著公民個人信息保護意識的萌發(fā)與提高，個人醫(yī)療數(shù)據(jù)信息關系到個人的自由與尊嚴，愈發(fā)受到關注。2020年初新冠疫情的突發(fā)，不僅使醫(yī)療衛(wèi)生領域個人信息收集與應用風險劇增，同時也暴露出我國法律法規(guī)在醫(yī)療數(shù)據(jù)信息保護方面存在的闕漏。“知情同意原則”采取靈活的動態(tài)知情方式可以防止其流于形式。個人醫(yī)療數(shù)據(jù)信息權的確立能夠?qū)崿F(xiàn)信息主體對個人醫(yī)療數(shù)據(jù)信息的有效控制。完善個人醫(yī)療數(shù)據(jù)信息侵權救濟機制，走出救濟路徑乏力與滯后的困境。在可以預測的未來，醫(yī)療大數(shù)據(jù)縱深發(fā)展，個人醫(yī)療數(shù)據(jù)信息加值處理將成為家常便飯，我們只有不斷地審視新技術的發(fā)展，并持續(xù)加強應對風險的能力，最大限度地確保并激發(fā)個人醫(yī)療數(shù)據(jù)信息在我國醫(yī)療衛(wèi)生事業(yè)中的優(yōu)勢。

注釋

①《人口健康信息管理辦法（試行）》第三條規(guī)定：“人口健康信息”包括人口基本信息、醫(yī)療衛(wèi)生服務信息等；《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2020）附錄A規(guī)定：“個人健康生理信息”是基于醫(yī)療行為等產(chǎn)生的住院志、檢驗報告、藥物食物過敏信息、家族病史、傳染病史等醫(yī)療信息，以及個人基本身體信息，如體重、身高等?！缎畔踩夹g健康醫(yī)療信息安全指南》（GB/T 39725-2020）第三條第一款規(guī)定：“個人健康醫(yī)療數(shù)據(jù)”是具有可識別性與可結合性的生理與心理健康電子數(shù)據(jù)。

②Advanced Persistent Threat，簡稱“APT攻擊”，即高級可持續(xù)威脅攻擊,也稱為“定向威脅攻擊”，指在計算機領域?qū)μ囟▽ο笳归_的持續(xù)有效的攻擊活動，攻擊者利用多種攻擊方式,通過在目標基礎設施上建立并擴展立足點來獲取信息。

③參見：《虎符智庫2021安全前瞻》

④北京市第二中級人民法院（2014）二中民終字第08046號民事判決書；參見：貴州省黔東南苗族侗族自治州中級人民法院（2020）黔26民終1623號民事判決書。

⑤參見：新浪新聞《深圳10萬孕產(chǎn)婦信息泄密》；新京報官微《青島一醫(yī)院密接人員名單被外傳6千余人隱私泄露，警方展開調(diào)查》；瀟湘晨報《成都確診女孩個人隱私被轉(zhuǎn)發(fā)，警方調(diào)查！現(xiàn)在流傳的照片系冒用，當事人報案》。

⑥《中華人民共和國執(zhí)業(yè)醫(yī)師法》第二十二條、《中華人民共和國傳染病防治法（2013修正）》第十二條、《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》第九十二條等，都對病人隱私權以及個人衛(wèi)生信息安全保護措施作出規(guī)定，但保護對象的外延與內(nèi)涵不一，分別為“患者隱私”“關于個人隱私的有關信息”“個人健康信息”。

⑦個人醫(yī)療數(shù)據(jù)信息加值利用即個人醫(yī)療數(shù)據(jù)信息首次收集后得以被其他信息處理者以不同目的再次使用，并創(chuàng)造出不同于首次使用的“新價值”。（詳見翁逸泓：《開放全民電子健康資料加值應用之個資保護問題——以英國經(jīng)驗為例》，《月旦法學雜志》2019年第285期：144-173）

⑧北京市第二中級人民法院（2020）京02民終10179號；上海市第二中級人民法院（2019）滬02民終717號；天津市第二中級人民法院（2020）津02民終4520號；浙江省嘉興市中級人民法院（2019）浙04民終3244號。

⑨歐盟GDPR第八十二條第三款和第四款規(guī)定，如果有證據(jù)表明數(shù)名數(shù)據(jù)處理者應對其違法數(shù)據(jù)處理行為承擔侵權責任，而其不能證明自己不應承擔任何責任，則每個數(shù)據(jù)處理者都應該承擔全部侵權責任。