健康醫(yī)療大數(shù)據(jù)中隱私利益的群體維度

劉士國 熊靜文

(復(fù)旦大學 法學院，上海 200438)

引語

生物技術(shù)的發(fā)展以及大數(shù)據(jù)在醫(yī)療行業(yè)的深刻變革，使得人類健康醫(yī)療數(shù)據(jù)在種類和數(shù)量上急劇增長，形成具有高度包容性的龐大數(shù)據(jù)集，內(nèi)容涵蓋臨床病例數(shù)據(jù)、醫(yī)學試驗數(shù)據(jù)、健康管理數(shù)據(jù)、基因序列數(shù)據(jù)、生物樣本數(shù)據(jù)等等。據(jù)測算，一個人在整個生命周期內(nèi)所生成的健康醫(yī)療數(shù)據(jù)高達百萬兆字節(jié)，大致相當于3億本書的數(shù)據(jù)量。注參見Ariana Eunjung Cha, Watson’s Next Feat? Taking on Cancer: IBM’s Computer Brain Is Training Alongside Doctors to Do What They Can’t, Washington Post, June 27, 2015.數(shù)據(jù)的應(yīng)用價值，也突破了過去醫(yī)生與患者的狹窄空間，上升為國家的戰(zhàn)略性資源。注2016年6月21日，國務(wù)院辦公廳發(fā)布的國辦發(fā)[2016]47號文件《關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》中指出“健康醫(yī)療大數(shù)據(jù)是國家重要的戰(zhàn)略資源。健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展將帶來健康醫(yī)療模式的深刻變化，有利于激發(fā)深化醫(yī)藥衛(wèi)生體制改革的動力和活力，提升健康醫(yī)療服務(wù)效率和質(zhì)量，擴大資源供給，不斷滿足人民群眾多層次、多樣化的健康需求，有利于培育新的業(yè)態(tài)和經(jīng)濟增長點?！苯】滇t(yī)療領(lǐng)域從“小”數(shù)據(jù)到“大”數(shù)據(jù)的變革，對傳統(tǒng)法律概念與研究范式提出質(zhì)疑。

隱私權(quán)自誕生時起就被視為一項個體性的權(quán)利——“個人獨處權(quán)”(the right to be let alone)，注Samuel D. Warren, Louis D. Brandeis, The Right to Privacy, Harvard Law Review, Vol.4, Issue 5, December 1890, p.195.在此之后的理論發(fā)展中仍然強調(diào)個體在隱私利益上的自主或者自治。就權(quán)利的性質(zhì)而言，隱私權(quán)直接反映了個體與外界的緊張關(guān)系；在權(quán)利的實現(xiàn)上，以“隱私的自我管理”注參見Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, Harvard Law Review, Vol.126, Issue 7, May 2013,p.1880.為實現(xiàn)方式。健康醫(yī)療領(lǐng)域?qū)﹄[私利益的保護，一直也圍繞著以患者為中心的個體層面展開。然而，在大數(shù)據(jù)的背景下，健康醫(yī)療數(shù)據(jù)已出現(xiàn)結(jié)構(gòu)性變化，與之相關(guān)的隱私利益亦呈現(xiàn)出不同于以往的特征，局限于個體層面的隱私權(quán)理論，既不足以應(yīng)對個體與群組面臨的隱私威脅，亦不利于公共健康利益的實現(xiàn)，對此應(yīng)作理論上的補充。

一、大數(shù)據(jù)背景下健康醫(yī)療數(shù)據(jù)的結(jié)構(gòu)性變化及其對隱私利益的影響

(一)大數(shù)據(jù)背景下健康醫(yī)療數(shù)據(jù)的結(jié)構(gòu)性變化

傳統(tǒng)的健康醫(yī)療數(shù)據(jù)主要產(chǎn)生于診療過程，包括患者就診時的病歷記錄、影像資料、病理報告等。信息生成的場域為單一的醫(yī)患關(guān)系，即特定的患者在就診時形成的特定醫(yī)療數(shù)據(jù)。各類醫(yī)療數(shù)據(jù)之間一般彼此孤立，用途也基本局限于單人單次的診療活動，價值相對有限。生物技術(shù)的發(fā)展及大數(shù)據(jù)在醫(yī)療行業(yè)中的應(yīng)用，極大地拓寬了健康醫(yī)療數(shù)據(jù)的生成來源，種類與數(shù)量急劇增長，應(yīng)用范圍也突破了原本狹窄的醫(yī)患關(guān)系。具體而言，呈現(xiàn)出以下變化：

第一，健康醫(yī)療數(shù)據(jù)呈指數(shù)增長。一方面，醫(yī)學研究領(lǐng)域的擴展促使醫(yī)療數(shù)據(jù)爆發(fā)，以基因序列數(shù)據(jù)最為典型。隨著基因測序成本的下降以及測序需求的增多，基因序列數(shù)據(jù)已達井噴之勢。研究顯示，到2025年預(yù)計將形成20億組人類基因測序，僅這些數(shù)據(jù)的存儲需求就可能高達40艾字節(jié)，而整個互聯(lián)網(wǎng)的存儲總量據(jù)估算不超過525艾字節(jié)。[注]參見Zachary D. Stephens et al., Big Data: Astronomical or Genomical?, PLoS Biology, Vol.13, Issue 7, July 2015, p.2.另一方面，大數(shù)據(jù)挖掘與機器學習技術(shù)在醫(yī)療領(lǐng)域的應(yīng)用，意味著我們有了更多方法來生成、收集、管理健康醫(yī)療數(shù)據(jù)，舊的數(shù)據(jù)能夠通過組合、分析重新生成新的數(shù)據(jù)，以實現(xiàn)二次利用。[注]參見Nuffield Council on Bioethics, The Collection, Linking and Use of Data in Biomedical Research and Health Care: Ethical Issues, February 2015, p.4.由此，臨床護理、醫(yī)學試驗、基因組研究等重要醫(yī)療實踐領(lǐng)域生成的健康醫(yī)療數(shù)據(jù)遠遠多于以往任何時候。

第二，大量健康醫(yī)療數(shù)據(jù)生成于醫(yī)患關(guān)系之外，甚至是醫(yī)療領(lǐng)域之外。物聯(lián)網(wǎng)技術(shù)、可穿戴設(shè)備的普及使健康管理應(yīng)用融入普通人的日常生活。每一個使用者都成為健康數(shù)據(jù)的收集終端，醫(yī)療數(shù)據(jù)的生成不再局限于診療中醫(yī)方的單方采集，顯著增強了對醫(yī)患關(guān)系以外健康數(shù)據(jù)的收集能力。同時，健康醫(yī)療數(shù)據(jù)越來越多地產(chǎn)生于與健康醫(yī)療并無直接關(guān)系的領(lǐng)域。例如，實體購物或者網(wǎng)上購物的信息會透露消費者的身體狀況。美國一家大型網(wǎng)絡(luò)零售平臺就曾經(jīng)根據(jù)顧客的消費記錄，推測出女性顧客的懷孕情況，以便有針對性地發(fā)送產(chǎn)品信息與優(yōu)惠。[注]參見Michal Kosinski et al., Private Traits and Attributes Are Predictable from Digital Records of Human Behavior, Proceedings of The National Academy of Sciences of the United States of America, Vol.110, Issue 15, April 2013, p.5802.無處不在的社交媒體也促成了健康醫(yī)療數(shù)據(jù)的生成與傳播。統(tǒng)計顯示，“超過27%的互聯(lián)網(wǎng)用戶在網(wǎng)上分享他們的飲食、運動數(shù)據(jù)或其他健康指標信息；4%的互聯(lián)網(wǎng)用戶發(fā)布過他們的用藥、治療經(jīng)歷；9%的社交網(wǎng)站用戶發(fā)起或加入了與健康相關(guān)的群組”。[注]Susannah Fox, The Social Life of Health Information(2011), http://www.pewinternet.org/files/old-media/Files/Reports/2011/PIP_Social_Life_of_Health_Info.pdf, 最后訪問日期2018年7月4日。越來越多的健康醫(yī)療數(shù)據(jù)在醫(yī)療領(lǐng)域之外通過互聯(lián)網(wǎng)生成、聚合。

第三，健康醫(yī)療大數(shù)據(jù)的應(yīng)用價值滲透至個人、行業(yè)、政府管理等多個層面。隨著大數(shù)據(jù)信息化社會的推進，“信息成為和物質(zhì)、能量同樣重要的資源，整個社會對于信息的依賴和利用需求增強”[注]張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期。。在個體層面，健康管理應(yīng)用生成的數(shù)據(jù)已成為普通人了解自身健康狀況的重要信息來源，如Fitbit等健康管理應(yīng)用所收集的數(shù)據(jù)，能夠服務(wù)于使用者飲食、睡眠、健身、心率指標、慢性病管理等各個方面。對于醫(yī)療行業(yè)而言，大數(shù)據(jù)的分析預(yù)測催生了精準醫(yī)學的新形式，整個行業(yè)迎來新變革。醫(yī)生能夠超越以往基于疾病臨床表現(xiàn)的診療方式，轉(zhuǎn)而從遺傳學和分子特征去尋找致病原因，[注]參見Jeffrey M. Skopek, Big Data’s Epistemology and Its Implications for Precision Medicine and Privacy, in I. Cohen et al.(eds.), Big Data, Health Law and Bioethics, Cambridge: Cambridge University Press, 2018, p.35.提高診斷與治療的準確性。如IBM公司的Watson健康保健項目，能夠通過篩選、比對、分析疾病與治療史、基因數(shù)據(jù)等在內(nèi)的大量數(shù)據(jù)，在短短幾分鐘內(nèi)輔助醫(yī)生為患者提供個性化的治療建議。[注]參見Ariana Eunjung Cha, Watson’s Next Feat? Taking on Cancer: IBM’s Computer Brain Is Training Alongside Doctors to Do What They Can’t, Washington Post, June 27, 2015.除了醫(yī)療衛(wèi)生行業(yè)，健康醫(yī)療大數(shù)據(jù)也能夠助力其他行業(yè)的優(yōu)化，如保險公司能夠借助健康醫(yī)療大數(shù)據(jù)識別投保人風險、防止欺詐。在社會管理與公共健康層面，健康醫(yī)療大數(shù)據(jù)對政府部門的疾病檢測與控制、掌握居民健康狀況同樣有重要作用，例如政府部門能夠通過數(shù)字疾病監(jiān)測系統(tǒng)增強疾病控制的效率。

(二)健康醫(yī)療大數(shù)據(jù)對隱私利益的影響

大數(shù)據(jù)技術(shù)下，不同的健康醫(yī)療數(shù)據(jù)之間呈現(xiàn)高度的相關(guān)性，原本孤立的隱私利益開始彼此關(guān)聯(lián)。以基因組數(shù)據(jù)包含的隱私利益為例，一方面，由于基因組數(shù)據(jù)與其他類型的健康數(shù)據(jù)密切關(guān)聯(lián)，一旦數(shù)據(jù)主體面臨基因組數(shù)據(jù)上的隱私威脅，數(shù)據(jù)主體其他類型的健康數(shù)據(jù)同樣會受到威脅，如身體狀況、疾病風險等隱私信息可能隨之披露。另一方面，不同數(shù)據(jù)主體在基因組數(shù)據(jù)上可能彼此關(guān)聯(lián)。對某一基因數(shù)據(jù)的分析，可能進一步推知其家族、社群甚至民族的基因信息。例如，某一位家庭成員披露了自己的基因數(shù)據(jù)以后，便可由此推知其親屬的基因信息，因為他們在基因數(shù)據(jù)上的相似度極高，且擁有相似的生活環(huán)境與習慣，而這可能違背其他人對基因信息的披露意愿。退一步而言，即使不存在親屬關(guān)系，科學研究也已表明，通過大數(shù)據(jù)技術(shù)提供的排除算法，完全可以推斷出給定基因組數(shù)據(jù)的所屬主體，且準確度令人驚訝。在健康醫(yī)療大數(shù)據(jù)下，個體不同的隱私利益相互關(guān)聯(lián)，且“受他人行為的影響，并可能超出自己所能控制的范圍”[注]Gergely Biczo'k, Pern Hui Chia, Interdependent Privacy: Let Me Share Your Data, in Sadeghi AR.(eds) Financial Cryptography and Data Security, FC 2013, Vol. 7859 LNCS, Berlin Heidelberg: Springer, 2013, p.338.。

依靠大數(shù)據(jù)算法分類系統(tǒng)，能夠隨機地甚至自動化地創(chuàng)建出不同群組，出現(xiàn)了群體層面的隱私形態(tài)。健康醫(yī)療數(shù)據(jù)的挖掘和匯總中，往往會對個體按照某些特征或者趨勢進行分組、聚類，分散的個體最終形成有研究價值的群組。在這個過程中，群組內(nèi)的成員通常并不需要被單獨地識別出來，只是被有針對性地進行了分類。就好比廣告商并不關(guān)心它的廣告具體是誰在看，只在意廣告是否到達了某一類特定人群。所形成的這些健康數(shù)據(jù)群組，打亂了個體身份與隱私利益之間的聯(lián)系。因為這時只有將個體放在群組中才會體現(xiàn)隱私利益[注]參見Luciano Floridi, Open Data, Data Protection, and Group Privacy, Philosophy & Technology, Vol. 27, Issue 1, March 2014, pp.1-2.；由此，所揭示的疾病風險并非單純地針對某個可識別個體，只有在個體的相互關(guān)聯(lián)中才有意義。以一個例子來說明，在大數(shù)據(jù)分析中，若研究人員統(tǒng)計出有30000個具有相同個體特征的人之中有3人患有某種疾病，而這種疾病正是由某種特殊基因直接導(dǎo)致的，研究人員可能會預(yù)測擁有此類個體特征的人群患病概率是1/10000。然而，這里概率預(yù)測的價值是在針對群體的統(tǒng)計學意義上實現(xiàn)的，對其中某個個體并無確切的意義。因為對個體而言，這種基因只可能全無或全有。在健康醫(yī)療領(lǐng)域，大量的分析、預(yù)測都是針對群組進行的，在群體層面共享的隱私利益就此凸顯。

二、現(xiàn)行健康醫(yī)療信息隱私保護機制及其個人主義局限

我國目前對健康醫(yī)療信息相關(guān)的隱私利益沒有專門的立法保護，個人信息保護法也一直暫未出臺。健康醫(yī)療信息的隱私保護規(guī)則，散見于《執(zhí)業(yè)醫(yī)師法》《精神衛(wèi)生法》等醫(yī)療衛(wèi)生法律法規(guī)中且一筆帶過，基本處于缺位狀態(tài)。從世界范圍看，對健康醫(yī)療隱私利益的保護，目前有兩種立法模式，一種是將健康醫(yī)療信息從個人信息中劃出來單獨立法施以保護，如美國1996年《健康保險攜帶和責任法案》(Health Insurance Portability and Accountability Act，通稱為HIPAA法案)及配套的《個人可識別健康信息的隱私標準》(Standards for Privacy of Individually Identifiable Health Information，通稱為隱私規(guī)則)、澳大利亞新南威爾士州《健康記錄與信息隱私法案》(Health Records and Information Privacy Act)。另一種方式是將個人醫(yī)療健康信息與其他個人信息一同施以綜合保護，如歐盟1995年《數(shù)據(jù)保護指令》(EU Data Protection Directive, 95/46/EC)、2018年《一般數(shù)據(jù)保護條例》(EU General Data Protection Regulation，通稱為歐盟GDPR)，以及英國《數(shù)據(jù)保護法》(The Data Protection Act)。其中，美國的HIPAA法案及隱私規(guī)則與歐盟GDPR，代表著目前健康醫(yī)療信息隱私保護的主流態(tài)度與趨勢，且對其他國家和地區(qū)的立法與實踐影響巨大，故本文主要依托這兩部文件分析現(xiàn)行健康醫(yī)療信息隱私保護規(guī)則的特點與局限。

(一)美國HIPAA法案及隱私規(guī)則提供的保護機制

美國HIPAA法案對健康醫(yī)療信息的傳輸、訪問與儲存做出詳細規(guī)定，是美國醫(yī)療服務(wù)行業(yè)必須遵守的信息安全標準；與之配套的隱私規(guī)則首次建立起保護健康醫(yī)療信息隱私的國家標準，以解決個人健康醫(yī)療信息使用與披露的問題。

首先，并非所有的健康醫(yī)療信息都在保護范圍之內(nèi)，隱私規(guī)則將“受保護的健康信息”明確為“個人可識別健康信息”(Individually Identifiable Health Information)[注]45 C.F.R. §160.103.，包括任何可以辨識出個人身份特征的信息，例如姓名、指紋、基因、醫(yī)療活動中的詳細情況等。抵消隱私風險的一個常用辦法是去識別化。隱私規(guī)則提供了一套完整的去識別化處理機制，規(guī)定如果以下這18種個人標識符被移除，就屬于不可識別的個人健康信息，具體包括：“姓名；州級別以下的地址信息；生日、入學日、死亡日等特定日期；電話號碼；傳真號碼；電子郵箱；社會安全號碼；醫(yī)療記錄編號；健康計劃受益人編號；銀行賬戶號碼；身份證件號碼；車輛識別碼與序列號；設(shè)備識別碼與序列號；網(wǎng)址；IP地址；生物識別信息；完整的面部照片；以及其他任何能夠用于重新識別的唯一代碼或特征”[注]45 C.F.R. §164.514(b).。經(jīng)過去識別化處理之后，健康醫(yī)療信息的使用與披露則不再受隱私規(guī)則的限制。

關(guān)于“受保護的健康信息”的使用與披露，HIPAA隱私規(guī)則的要求十分嚴格，只有在兩種情況下才可進行：一是經(jīng)隱私規(guī)則允許或要求，二是經(jīng)信息主體書面授權(quán)。關(guān)于書面授權(quán)，有嚴格的形式規(guī)范，要求必須使用通俗易懂的語言，明確包含要披露或使用的信息、披露和接收信息的人員、授權(quán)到期日、撤銷權(quán)以及其他數(shù)據(jù)的具體信息。[注]45 C.F.R. §164.532.隱私規(guī)則同時規(guī)定了一些可不經(jīng)個體授權(quán)的例外情況，如將數(shù)據(jù)用于治療、支付和其他醫(yī)療保健活動；偶然的使用與披露；滿足所列12種公共利益目的之一；在醫(yī)學研究、公共衛(wèi)生或醫(yī)療保健活動中使用、披露有限的數(shù)據(jù)集等。[注]45 C.F.R. §164.502(a)(1).可見，HIPAA隱私規(guī)則對健康醫(yī)療信息隱私的保護，采用了強調(diào)個體同意權(quán)并輔之以例外規(guī)定的模式。

除此以外，HIPAA隱私規(guī)則還有兩項特別規(guī)定，一是最低限度原則(Minimal Necessary)，它是貫穿隱私規(guī)則的核心原則，要求在使用、披露或向他人索取受保護的健康信息時，必須作出合理努力，將受保護的健康信息量限制在合乎目的的最小必要范圍。[注]45 C.F.R. §164.502(b).二是限制使用請求權(quán)(Restriction Request)，規(guī)定個人可以提出限制信息使用的請求，要求對受保護健康信息提供隱私保護；用于治療、支付或健康照護運作時，可要求有限制地使用或披露受保護健康信息。[注]45 C.F.R. §164.522(a)(1)(i).

(二)歐盟GDPR提供的保護機制

2018年5月施行的歐盟GDPR，是目前個人信息綜合保護的代表性文件，其中對健康數(shù)據(jù)、生物數(shù)據(jù)的特別規(guī)定，反映了大數(shù)據(jù)時代歐盟對待個人健康醫(yī)療信息保護的態(tài)度。

在保護對象上，GDPR將受保護的個人數(shù)據(jù)定義為“與被識別或者可識別的自然人相關(guān)的任何數(shù)據(jù)”[注]GDPR Article 4(1).，這一點與美國HIPAA隱私規(guī)則一致，均強調(diào)受保護數(shù)據(jù)的可識別性。GDPR對數(shù)據(jù)處理同樣設(shè)置了原則性的限制，如目的限定原則(Purpose Limitation)要求數(shù)據(jù)控制者只能基于具體、明確、合法的目的收集個人數(shù)據(jù)；且一旦基于特定目的收集以后，則不能再基于與收集時所確定的目的不相容的其他目的進行處理；數(shù)據(jù)最小化原則(Data Minimisation)類似于HIPAA隱私規(guī)則中的最低限度原則，同樣要求將數(shù)據(jù)限制在與處理目的相關(guān)的必要范圍之內(nèi)。[注]GDPR Article 5(1)(b)(c).

雖然GDPR是個人數(shù)據(jù)保護的綜合性條例，但對數(shù)據(jù)進行了分類，并針對特殊類型數(shù)據(jù)制定了不同的規(guī)則。條例規(guī)定，對于“個人基因數(shù)據(jù)、生物特征數(shù)據(jù)”，原則上可以處理，但不得以識別自然人身份為目的；對于“健康數(shù)據(jù)、性生活、性取向等相關(guān)數(shù)據(jù)”，原則上完全禁止處理。[注]GDPR Article 9(1).只有當滿足條例第9條第2款提供的合法性基礎(chǔ)時，才可以突破特殊類型數(shù)據(jù)的處理限制。其中，同意被作為重要的合法性基礎(chǔ)之一，且規(guī)定對這幾種特殊類型數(shù)據(jù)的同意必須為“明確同意”(Explicit Consent)[注]GDPR Article 9(2)(a).；同時允許成員國對此維持或增加更嚴格的限制[注]GDPR Article 9(4).。

相比美國HIPAA隱私規(guī)則的個體事先同意，歐盟GDPR更加強調(diào)主體在數(shù)據(jù)使用過程中的個人控制。具體而言，數(shù)據(jù)主體有權(quán)拒絕出于以下目的對其個人數(shù)據(jù)的處理：為實現(xiàn)公共利益或行政管理職能；為數(shù)據(jù)控制者或第三方的合法利益；銷售目的。同時，數(shù)據(jù)主體根據(jù)自身特殊情況，有權(quán)隨時拒絕數(shù)據(jù)控制者基于科學、歷史研究以及統(tǒng)計目的的數(shù)據(jù)處理。[注]GDPR Article 21(1)(2)(6).條例新增的(Right to Erasure)，允許數(shù)據(jù)主體在特定情形下要求控制者刪除與其相關(guān)的個人數(shù)據(jù)。[注]GDPR Article 17(1).限制處理權(quán)(Right to Restriction of Processing)，賦予了數(shù)據(jù)主體在法律規(guī)定的特定情形發(fā)生時，限制數(shù)據(jù)控制者處理的權(quán)利。[注]GDPR Article 18(1).數(shù)據(jù)便攜權(quán)(Right to Data Portability)，允許數(shù)據(jù)主體從數(shù)據(jù)控制者處獲得以結(jié)構(gòu)化、通用化和可機讀形式呈現(xiàn)的個人數(shù)據(jù)，并有權(quán)將該數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)控制者。[注]GDPR Article 20(1).

(三)以個人主義為中心的制度局限

總體而言，美國HIPAA隱私規(guī)則與歐盟GDPR對個人健康醫(yī)療信息的隱私保護相當嚴格。前者以去識別化機制與個體同意權(quán)為主線；后者將同意作為數(shù)據(jù)處理的合法性基礎(chǔ)，以數(shù)據(jù)使用的個人控制為核心，并對健康數(shù)據(jù)、生物數(shù)據(jù)使用作出特別限制。兩部文件設(shè)置了嚴格的個體同意與控制規(guī)則，并輔之以眾多例外情形，試圖在尋求隱私利益保護的同時促進必要的健康醫(yī)療信息流動，這種理念值得肯定。但我們不難發(fā)現(xiàn)，這兩部文件所提供的保護機制均是以個人主義為中心的，無法應(yīng)對前文所闡述的隱私利益出現(xiàn)的新變化。

首先，關(guān)于健康醫(yī)療數(shù)據(jù)的個人身份可識別性與去識別化機制。在大數(shù)據(jù)背景下，針對個人身份的去識別化處理機制幾乎很難再發(fā)揮作用。由于數(shù)據(jù)的積累以及相應(yīng)的處理和分析能力日益增強，個人身份能輕易地被反向識別。不論是在醫(yī)患關(guān)系之內(nèi)還是醫(yī)療領(lǐng)域以外，健康醫(yī)療數(shù)據(jù)的收集滲透到各個角落，形成了多元的數(shù)據(jù)流與數(shù)據(jù)群組。將這些數(shù)據(jù)流連接在一起，便能夠完整地創(chuàng)建出我們每一個人縱向的健康醫(yī)療記錄。這些記錄具有深刻的描述性，顯示出我們彼此無法復(fù)制的生命軌跡，足以反向地準確定位到具體某一個人。因此，即使其中明顯的個人標識符被去除，當我們將記錄中的所有參數(shù)結(jié)合起來，最終仍只可能與世界上的一個人相匹配，因為這些數(shù)據(jù)本身就是獨一無二的標識符。[注]參見Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, UCLA Law Review, Vol.57, Issue 6, 2010, pp.1716-1723; Mark A. Rothstein, Is Deidentification Sufficient to Protect Health Privacy in Research?, American Journal of Bioethics, Vol.10, Issue 9, 2010, pp.5-6.例如，世界上只有一個黑色頭發(fā)、棕色眼睛、身高165公分的女性在三歲九個月零五天時摔斷了鎖骨，并且在二十二歲八個月零七天時拔掉智齒、在二十七歲五個月零三天時生下一個女兒、在七十六歲時患上老年癡呆。鑒于我們很難防止數(shù)據(jù)被重新識別，個人身份可識別性數(shù)據(jù)與不可識別性數(shù)據(jù)也不再有區(qū)別。

其次，關(guān)于數(shù)據(jù)處理前的個體同意規(guī)則。一般認為，個體所面臨隱私風險的程度與其同意分享數(shù)據(jù)的程度成正比，因此往往會通過同意規(guī)則賦予個體自主管理隱私風險的權(quán)利。但目前同意機制對數(shù)據(jù)主體隱私權(quán)保護的實現(xiàn)已經(jīng)不那么有效了。[注]參見Fred H. Cate, Protecting Privacy in Health Research: The Limits of Individual Choice, California Law Review, Vol.98, Issue 6, 2010, p.1797.HIPAA隱私規(guī)則的個體同意權(quán)，原本是在范圍相對較小的臨床研究和信息研究基礎(chǔ)上設(shè)計的，個體同意曾經(jīng)是保護隱私相當有效的工具。但在隱私利益互相牽連的健康醫(yī)療大數(shù)據(jù)背景下，孤立的個體同意權(quán)不再足以保護個人隱私，反而對他人的隱私利益構(gòu)成威脅。在同意機制下，若要徹底消除所有人面臨的個體隱私威脅，唯一的辦法就是限制所有人同意分享自己健康醫(yī)療數(shù)據(jù)的權(quán)利，而這與維護數(shù)據(jù)主體自主權(quán)的目標背道而馳。雖然歐盟GDPR沒有將同意作為一項個體權(quán)利，而是將其作為合法性基礎(chǔ)，并制定了嚴格的同意規(guī)則，特別是對生物數(shù)據(jù)、基因數(shù)據(jù)、健康數(shù)據(jù)提出更加嚴格的要求，同樣仍面臨隱私利益在互相關(guān)聯(lián)中遭受損害的風險。因此，在大數(shù)據(jù)環(huán)境中，個體同意的傳統(tǒng)規(guī)則可能不再符合其設(shè)計的主要目標。

第三，關(guān)于數(shù)據(jù)后續(xù)個人控制與限制使用規(guī)則。后續(xù)使用的持續(xù)控制權(quán)利被視為歐盟GDPR最大的亮點。與HIPAA個體同意規(guī)則的區(qū)別在于，它將自主權(quán)或自治權(quán)延伸到數(shù)據(jù)使用的過程當中。后續(xù)使用中持續(xù)控制的權(quán)利為數(shù)據(jù)主體有效控制其個人數(shù)據(jù)提供了可能，且使得數(shù)據(jù)主體也能從數(shù)據(jù)處理與流通中獲得收益，一定程度上促進了數(shù)據(jù)的流通與使用。然而，GDPR這種孤立強化個人權(quán)利的思路，仍然不能適應(yīng)大數(shù)據(jù)下隱私利益互相關(guān)聯(lián)的狀態(tài)。單純對個體自治的強化本身包含著忽視他人利益的權(quán)利。從公共利益的角度考慮，個體對個人健康醫(yī)療數(shù)據(jù)后續(xù)使用的強有力控制，必然對公共健康目標的實現(xiàn)不利。例如，如果在健康醫(yī)療數(shù)據(jù)初次收集的目的完成后，數(shù)據(jù)主體請求刪除數(shù)據(jù)，將會影響整體數(shù)據(jù)研究的連續(xù)性、完整性，影響數(shù)據(jù)的再利用。由于后續(xù)挖掘已然成為數(shù)據(jù)價值的主要來源，其他限制使用的規(guī)則如目的限定原則、最低限度原則也都面臨著現(xiàn)實的挑戰(zhàn)與合理性質(zhì)疑。[注]參見范為：《大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期。強化數(shù)據(jù)的個人控制與限制使用規(guī)則并不完全適應(yīng)大數(shù)據(jù)時代的需要。

以美國HIPAA、歐盟GDPR為代表的健康醫(yī)療信息隱私保護機制，暴露了以個人主義為中心的弊端。去識別化、同意規(guī)則、后續(xù)使用中的持續(xù)控制，均是以個人主義為中心設(shè)置的機制，一方面難以有效地保護個體隱私權(quán)，另一方面也限制了健康醫(yī)療數(shù)據(jù)多元價值的實現(xiàn)。更重要的是，在現(xiàn)有機制中還沒有一個理論框架承認群體作為隱私利益的主體，這對于群組化研究盛行的健康醫(yī)療領(lǐng)域中隱私利益的完整保護極為不利。反觀我國，屈指可數(shù)的健康醫(yī)療隱私保護規(guī)則同樣以個人主義為中心，在2018年發(fā)布的《基本醫(yī)療衛(wèi)生與健康促進法案(草案)》中仍然原則性地規(guī)定“除法律法規(guī)規(guī)定或本人同意外，任何組織和個人不得獲取、利用和公開公民個人健康信息”，且未設(shè)置任何例外條款?？梢娢覀兊牧⒎ㄟ^程中尚未意識到大數(shù)據(jù)時代信息結(jié)構(gòu)與隱私利益的特殊變化。

三、隱私利益群體維度的正當性基礎(chǔ)

以個人主義為中心的隱私保護機制，被證明已無法滿足大數(shù)據(jù)背景下個人隱私權(quán)與群體隱私利益的保護需要，亦不足以緩解隱私保護與健康醫(yī)療數(shù)據(jù)利用之間的緊張關(guān)系。為了適應(yīng)健康醫(yī)療數(shù)據(jù)與相關(guān)隱私利益的結(jié)構(gòu)性變化，需要在隱私保護的理念與規(guī)則上作出調(diào)整，識別隱私利益包含的群體維度不失為一種有益的嘗試。將隱私利益保護放在群體維度下，意味著三個方面的補充：以集體行動的方式保護個體隱私權(quán)；平衡隱私利益保護與健康醫(yī)療數(shù)據(jù)利用的關(guān)系；對群體所享有隱私利益的認可與保護。而這一設(shè)想是否具有合理性，需要一一進行分析。

(一)生命倫理的轉(zhuǎn)向：個體隱私權(quán)的集體保護

健康醫(yī)療領(lǐng)域的個體自治，強調(diào)個體通過醫(yī)療過程中的自主決策維護自己的利益，意味著患者有權(quán)知曉并選擇醫(yī)療照護方式，有權(quán)決定誰能知道其私人信息。這種對個體自治的重視始于二十世紀中葉生命倫理學形成之時。紐倫堡審判披露的非法人體試驗，以及父權(quán)主義醫(yī)療下?lián)碛薪^對權(quán)威的醫(yī)師對患者權(quán)利的漠視，在當時激起病患權(quán)利保護的潮流，引發(fā)人們對生命醫(yī)學倫理的重視。在此背景下，生命倫理運動便圍繞著病患的知情同意、自主決定而進行，主要保護對象是在家長式醫(yī)療模式中對抗醫(yī)生的患者，以及在人體試驗中對抗研究人員的受試者。由此，二十世紀中葉的生命倫理學接受了康德“原子式”個體自治的概念，將病患視作原子式的抽象個體，即他可以完全獨立于所有的社會關(guān)系，強調(diào)自我管理、自力更生、個人主義以及根本上的獨立。[注]參見Alfred I. Tauber, Patient Autonomy and the Ethics of Responsibility, Cambridge: MIT Press, 2005, p.117.這個概念類似于學者Richard Fallon所總結(jié)的“歸屬性自治”(Ascriptive Autonomy)[注]參見Richard H. Fallon, Jr., Two Senses of Autonomy, Stanford Law Review, Vol.46, Issue 4, April 1994, pp. 890-893.，承認每個人對其道德選擇的主動權(quán)。在當時的生命倫理學中，原子式的個體自治被視為應(yīng)對個體利益威脅的強大解藥。

然而，純個人主義的自治模式過于狹窄，它重在描述醫(yī)患關(guān)系框架與權(quán)力格局中病患天生的弱勢地位，而且忽視了其他外在力量的重要性，在新的技術(shù)、政策環(huán)境中易出現(xiàn)問題。1980年代，部分生命倫理學家試圖探尋能夠轉(zhuǎn)變個體自治的替代性設(shè)想，如提出互動性自治，認為自治“不僅僅是內(nèi)在的、心理的特征，而且還是外部的或者社會的”[注]Grace Clement, Care, Autonomy, and Justice: Feminism and the Ethic of Care, Boulder: Westview Press, 1996, p.22.。按照這種觀點，個人是通過社會合作，而不是獨立分散的行動來增強他們的自主能力?！白晕冶焕斫鉃閭€體關(guān)系與社會義務(wù)的結(jié)合”，有時可以“合法地服從于其他道德原則，而這些道德原則決定在社會背景下自我應(yīng)當如何被管理”。[注]Alfred I. Tauber, Patient Autonomy and the Ethics of Responsibility, Cambridge: MIT Press, 2005, p.85.但是，這種觀點只是當時生命倫理學發(fā)展中的支流。

直到健康醫(yī)療大數(shù)據(jù)研究盛行的本世紀，生命倫理的轉(zhuǎn)向重新受到關(guān)注。有學者指出，適合醫(yī)療大數(shù)據(jù)研究的倫理框架“將在很大程度上背離目前臨床醫(yī)療與醫(yī)學研究的倫理觀念”[注]Ruth R. Faden et al., An Ethics Framework for a Learning Health Care System: A Departure from Traditional Research Ethics and Clinical Ethics, Ethical Oversight of Learning Health Care Systems, Hastings Center Report Special Report 43, No.1, January-February 2013, S16.；認為“原子式自治”這個貧乏的概念，淡化了個體通過形成共同體來解決自身問題的能力[注]參見Barbara J. Evans, Power to the People: Data Citizens in the Age of Precision Medicine, Vanderbilt Journal of Entertainment and Technology Law, Vol.19, Issue 2, 2017, p.246.，造成個體混亂無序的后果。這在二十一世紀的數(shù)據(jù)研究中可能適得其反，因為它會使得生命倫理原本旨在保護的對象再次失權(quán)。這種“獨立自主”的風險，在霍布斯的框架中被稱為“烏合之眾的混亂狀態(tài)”[注][英]霍布斯：《利維坦》，黎思復(fù)、黎廷弼譯，商務(wù)印書館1985年版，第133頁。。在隱私利益相互依存的時代，堅持原子式自治的生命倫理，將導(dǎo)致個體利益實現(xiàn)機制失效，分散的個體無法對共同面臨的威脅采取統(tǒng)一有效的應(yīng)對措施。因此，自主決策不再是實現(xiàn)個體利益的有效方式，保護個體隱私利益需要集體行為。在健康醫(yī)療大數(shù)據(jù)的背景下，個體自治的生命倫理不能不轉(zhuǎn)向社會合作，通過集體行動將混亂、分散的人群聚合在一起形成數(shù)據(jù)共同體，以實現(xiàn)個體隱私權(quán)的有效保護。

(二)健康醫(yī)療數(shù)據(jù)的公共屬性：隱私利益保護與數(shù)據(jù)利用的平衡

健康醫(yī)療數(shù)據(jù)具有私人屬性，是個人主義自主決策的理論預(yù)設(shè)。然而這一理論前提并不完整，健康醫(yī)療數(shù)據(jù)不僅關(guān)涉?zhèn)€人利益，而且與其他人以及整個社會利益緊密聯(lián)系，具有強烈的公共屬性。

健康醫(yī)療數(shù)據(jù)自產(chǎn)生之時，往往就是與其他主體共享的。個體無疑是醫(yī)療數(shù)據(jù)產(chǎn)生的主要源頭，我們?nèi)粘Ｅ宕鞯闹悄苁汁h(huán)、手機上的健康管理應(yīng)用、慢性疾病患者接入的醫(yī)療監(jiān)測設(shè)備等，都直接地指向、關(guān)聯(lián)我們的個人健康信息。然而，數(shù)據(jù)與特定個體的關(guān)聯(lián)，并不足以認可個體對健康數(shù)據(jù)的獨占利益，因為這種關(guān)聯(lián)只在于數(shù)據(jù)所表達的意義，而不是該數(shù)據(jù)本身。[注]參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年第3期。健康醫(yī)療數(shù)據(jù)的最終生成，往往來自于其他主體所創(chuàng)建的服務(wù)或管理系統(tǒng)，[注]參見吳偉光：《大數(shù)據(jù)技術(shù)下個人數(shù)據(jù)信息私權(quán)保護論批判》，載《政治與法律》2016年第7期。其中一部分甚至大部分都是由其他主體所創(chuàng)建的數(shù)據(jù)。從一開始便具有共享性質(zhì)的數(shù)據(jù)，已經(jīng)不能完全以私人屬性進行界定。[注]參見中國社會科學院民法典工作項目組：《大數(shù)據(jù)時代個人信息保護模式需改變》，載《經(jīng)濟參考報》2018年4月18日。有學者指出，假使存在健康數(shù)據(jù)的法定所有權(quán)，那么也必須是非排他性的，[注]參見Barbara J. Evans, Barbarians at the Gate: Consumer-Driven Health Data Commons and the Transformation of Citizen Science, American Journal of Law and Medicine, Vol.42, Issue 4, 2016, p.664.類似于自然資源環(huán)境中的共享所有權(quán)。從數(shù)據(jù)生成的角度來看，健康醫(yī)療數(shù)據(jù)具有公共屬性，其包含的信息隱私“需要一定程度的社會控制來構(gòu)建與維護”[注]Edward J. Janger & Paul M. Schwartz, The Gramm-Leach-Bliley Act, Information Privacy, and the Limits of Default Rules, Minnesota Law Review, Vol.86, Issue 6, June 2002, p.1254.。

健康醫(yī)療數(shù)據(jù)具有價值多元性，除數(shù)據(jù)主體之外的許多其他主體，都對該健康數(shù)據(jù)有合法利益，包括醫(yī)院、診所、醫(yī)學研究機構(gòu)、保險公司、政府部門等。如文章第一部分的分析，健康醫(yī)療數(shù)據(jù)可以用于改善醫(yī)療實踐、合理分配醫(yī)療資源，提供更有效的衛(wèi)生服務(wù)；通過龐大的數(shù)據(jù)庫創(chuàng)新治療方法，實現(xiàn)疾病的精準治療；公共衛(wèi)生管理也有了更豐富的資源或依據(jù)。因此，個體獨立的自主決策對公共利益的實現(xiàn)不利，如果每一個個體都擁有阻止他人訪問其數(shù)據(jù)的權(quán)利，將不能有效地匯集用于推動公共衛(wèi)生和其他患者健康的數(shù)據(jù)資源，無法為促進公共健康目的共同行事。個體細密而分散的同意，也限制了形成高度包容性的數(shù)據(jù)集、捕捉特殊樣本的能力，因為罕見的遺傳基因變異、對特定療法產(chǎn)生不良反應(yīng)的發(fā)現(xiàn)往往依賴于包含大量樣本的數(shù)據(jù)集。[注]參見Institute of Medicine, Beyond the HIPAA Privacy Rule: Enhancing Privacy, Improving Health Through Research, Washington: The National Academies Press, 2009, pp.209-214; Brian Buckley et al., Selection Bias Resulting from the Requirement for Prior Consent in Observational Research: A Community Cohort of People with Ischaemic Heart Disease, Heart, Vol.93, Issue 9, 2007, p.1116.健康數(shù)據(jù)具備的公共屬性與多元價值，決定了保護方式的公共性和社會性，這是不能單純地采取個人主義隱私保護方式的深層理由。[注]參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年第3期。

(三)數(shù)據(jù)群組以群體名義享有隱私利益的可能

承認健康數(shù)據(jù)群組作為隱私利益的主體，是突破隱私利益?zhèn)€人主義保護的重要一步。在此之前，須考慮這一設(shè)想的邏輯是否自洽，是否與現(xiàn)有理論框架相容。這里包含兩個問題：一是數(shù)據(jù)群組能否被識別為受法律保護的群體；二是隱私利益歸于群體的理論基礎(chǔ)。

“群體”往往依人群所擁有的共同背景來識別與界定，有共同目的的集體組織進一步被賦予群體性的權(quán)利，如集會、游行、示威的權(quán)利，針對環(huán)境污染提起集體訴訟的權(quán)利等。這些傳統(tǒng)類型的群體均具備兩個基本要素：一是在一定時期內(nèi)，群體的形態(tài)相對穩(wěn)固；二是群體成員有鮮明的自我意識，認同該群體的存在。如果從這兩個基本特征來觀察，數(shù)據(jù)群組并不被傳統(tǒng)的群體概念所涵蓋。一方面，互聯(lián)網(wǎng)絡(luò)瞬息萬變，數(shù)據(jù)個體形成無數(shù)個分散、動態(tài)的數(shù)據(jù)節(jié)點，群組成員每時每刻都可能發(fā)生變化，具有相當強的流動性；另一方面，算法分類的方法會對數(shù)據(jù)個體隨機地創(chuàng)建新的分組，個體很多時候根本無法意識到自己已經(jīng)成為某個群組的一部分，難以具備對群體的自我意識。以大數(shù)據(jù)為基礎(chǔ)創(chuàng)建的健康醫(yī)療數(shù)據(jù)群組，顯然已經(jīng)突破了傳統(tǒng)群體的概念。這是否意味著數(shù)據(jù)群組不應(yīng)當被識別為群體呢？實際上，數(shù)字化社會與算法分類的出現(xiàn)影響著我們對群體的識別，自動化的數(shù)據(jù)分析如機器學習和數(shù)據(jù)挖掘，已經(jīng)悄然改變了群體的形成方式。首先，在算法分類中，我們根據(jù)某些預(yù)先設(shè)置的參數(shù)，可以識別出先前并不明顯的群體。例如，通過任意選擇某個或某幾個參數(shù)，如早上7點跑步、體重70公斤以上，便能在數(shù)據(jù)庫中準確識別出所有看似不相關(guān)、但表現(xiàn)出類似特征的數(shù)據(jù)主體，從而生成數(shù)據(jù)群組。其次，即使沒有人工預(yù)先設(shè)置任何參數(shù)或數(shù)據(jù)特征，機器學習也能夠從大量非結(jié)構(gòu)化數(shù)據(jù)中自動推斷、獲取信息，發(fā)現(xiàn)數(shù)據(jù)之間先前難以察覺的相互關(guān)系，為個體識別與群組形成提供了新的手段。[注]參見Lanah Kammourieh et al., Group Privacy in the Age of Big Data, in Linnet Taylor et al.(eds.), Group Privacy: New Challenges of Data Technologies, Springer, 2017, p.38.這個過程是一個智能化的聚合過程，不同數(shù)據(jù)點之間的聯(lián)系變得復(fù)雜且難以預(yù)料，群體可以自動地形成于龐大的數(shù)據(jù)集之中。這種自動化的群組形成方式，使得穩(wěn)固性與自我意識這兩個傳統(tǒng)的基本要素在數(shù)據(jù)群組的構(gòu)建中越來越不重要。鑒于此，大數(shù)據(jù)提供了群體形成的新路徑，也帶動我們對“群體”認知的轉(zhuǎn)變。即使缺乏穩(wěn)固性與成員的自我意識，被動形成的數(shù)據(jù)群組也應(yīng)識別為受法律保護的群體。

隱私權(quán)與生俱來的個體屬性是認可群體隱私利益的一大障礙。在隱私權(quán)理論發(fā)展中，逐漸形成六大類代表性定義[注]包括個人獨處理論、限制接觸理論、秘密理論、個人信息控制理論、人格權(quán)理論與親密關(guān)系理論。參見Daniel J. Solove, Conceptualizing Privacy, California Law Review, Vol.90, Issue 4, July 2002, p.1094.，其概念呈現(xiàn)“令人不安的多樣化形式”[注]James Q. Whitman, The Two Western Cultures of Privacy: Dignity Versus Liberty, The Yale Law Journal, Vol.113, Issue 6, 2004, p.1154.，同時均存在著個體權(quán)利視角的局限[注]參見Mantelero, Alessandro, Personal Data for Decisional Purposes in the Age of Analytics: From an Individual to A Collective Dimension of Data Protection, Computer Law and Security Review, Vol. 32, Issue 2, 2016, p.245.，似乎并不能為群體性的隱私利益提供正當性依據(jù)。學者Edward Bloustein于1978年首次提出的“群體隱私”概念，曾被認為是對個體隱私權(quán)的理論突破。然而，這一突破事實上極為有限，因為在他的框架中仍然以隱私的個人主義理解為基礎(chǔ)，并且在討論中將群體又還原為個人。他將群體隱私定義為“一種人們在尋求與他人聯(lián)系時的隱私形式。群體隱私是個人與群體中其他人發(fā)生聯(lián)系的屬性，而不是群體本身的屬性?！盵注]Edward J. Bloustein, Individual and Group Privacy, New Brunswick: Transaction Books, 1978, p.124.核心在于，個人不僅在單獨行事時需要受到隱私保護，在群體情景下行事時同樣應(yīng)得到隱私保護。Bloustein同時明確指出自己是拒絕整體論的個人主義者，由此直接駁斥了群體以群體名義擁有隱私利益的觀念。鑒于此，Bloustein的群體隱私理論，仍然沒有擺脫對隱私權(quán)個體屬性的默認，只是將群體隱私作為個人隱私概念的附屬，并無獨立、可靠的理論基礎(chǔ)。

現(xiàn)有的理論障礙并非意味著群體隱私的概念行不通。首先，相對于物理性隱私(physical privacy)，我們在大數(shù)據(jù)背景下討論的隱私屬于信息性隱私(informational privacy)。兩者具有明顯的差異，物理性隱私具有清晰的邊界性與可及性，以身體、住所、私人物理空間為依托，意味著物理性隱私利益一般以個體形式存在。而信息性隱私，體現(xiàn)的是在對信息進行數(shù)字化或其他形式的收集、儲存、流通、分享中產(chǎn)生的隱私期待[注]參見Terence Craig, Mary E. Ludloff, Privacy and Big Data: The Players, Regulators, and Stakeholders, Sebastopol: O’Reilly Media, 2011, p.14.，信息本身所具有的模糊性、公共性、共享性，在個體性的權(quán)利表達之外為群體性隱私利益的認同留下余地。其次，現(xiàn)有的隱私理論并非完全不與群體隱私利益的設(shè)想相容。當我們將隱私作為一種“身份構(gòu)成”來描述[注]參見Luciano Floridi, The Informational Nature of Personal Identity, Minds and Machines, Vol.21, Issue 4, 2011.，將隱私與身份信息的完整性聯(lián)系起來，即能夠作為群體隱私可行的理論基礎(chǔ)。在這種路徑下，身份由描述個體或者群體的信息所構(gòu)成，保護隱私即是尊重“信息主體不被以不知情或無意的方式改變自己身份的權(quán)利”[注]Luciano Floridi, Group Privacy: A Defence and an Interpretation, in Linnet Taylor et al.(eds.), Group Privacy: New Challenges of Data Technologies, Springer, 2017, p.94.。群體隱私的構(gòu)想，即旨在保護群體身份的完整性，揭示了群體身份的共享對隱私的影響。這與完整論述信息隱私的Alan F. Westin觀念一致，在他的定義中，群體也是信息隱私的主體。[注]Westin對信息隱私權(quán)的定義是“個人、群體或機構(gòu)自主地決定何時、如何以及在何種程度上向他人傳達自身信息的權(quán)利”。Alan F. Westin, Privacy and Freedom, New York: Atheneum, 1967, p.7.由此，算法分類構(gòu)建的數(shù)據(jù)群組擁有自身隱私利益的構(gòu)想并不存在理論障礙，可以以控制群組身份的權(quán)利為理論基礎(chǔ)予以承認，通過關(guān)注群體身份的完整性，以確保隱私得到全面保護，而不受數(shù)據(jù)分析、處理的影響。

四、健康醫(yī)療大數(shù)據(jù)群體維度下的隱私保護

當我們將隱私權(quán)從個人主義轉(zhuǎn)移至群體層面的考察，首先意味著對其私人屬性的弱化，尤其是當我們考慮到個人隱私與公共健康利益的平衡關(guān)系時，似乎要求個體對自身隱私權(quán)作出讓渡，并且加重了對健康醫(yī)療數(shù)據(jù)的共享義務(wù)。恰如生命倫理學家Art Caplan所言，為了潛在的公共利益，“現(xiàn)在是我們勉強地告別健康數(shù)據(jù)隱私的時候了”[注]Art Caplan, Why Privacy Must Die, http://thehealthcareblog.com/blog/2016/12/19/goodbye-privacy-we-hardly-knew-ye/, 最后訪問日期2018年7月4日。。個體權(quán)利與公共利益的平衡，證明了數(shù)據(jù)共享義務(wù)的合理性，但前述論斷似乎過于悲觀。為了公共健康利益的實現(xiàn)而全然犧牲個體隱私權(quán)利，這并非我們討論的終點。倘若僅出于對公共健康目標的促進，對所有的健康醫(yī)療數(shù)據(jù)作出強制性共享的要求似乎更為直接和有效。這種辦法顯然相當極端，并充滿了法律與現(xiàn)實的復(fù)雜性，極易遭致道德反感與社會性恐慌。因此，除非在極其特殊情況下，如為追蹤流行病等，強制性的健康醫(yī)療數(shù)據(jù)共享永遠不應(yīng)當成為一般性的解決方案。我們努力的方向應(yīng)當是在分散的個體控制與健康數(shù)據(jù)的強制性共享之間找到折中選擇。如前所述，隱私利益群體維度的考察涉及三個方面的補充，由于前兩者均涉及個體隱私權(quán)的實現(xiàn)問題，在此將其合并論述，即從個體隱私權(quán)與群體隱私利益兩個層面展開：一是改變個體隱私權(quán)的實現(xiàn)方式，將其放在群體語境下去完成；二是認可與保護其中蘊含的群體隱私利益。

(一)個人隱私權(quán)在群體語境中的實現(xiàn)方式

將健康醫(yī)療數(shù)據(jù)包含的個體隱私權(quán)放在群體語境下考察，首先需要個體適當?shù)亟档碗[私期待。大數(shù)據(jù)在健康醫(yī)療領(lǐng)域帶來的個人隱私威脅，比人們普遍所認為的通常更為有限，有時候?qū)】敌畔⒌念A(yù)測與推理甚至根本不涉及隱私。如文章開頭所舉關(guān)于研究預(yù)測某類人群患病概率的例子，表明大數(shù)據(jù)的分析預(yù)測通常不會揭示關(guān)于個人的隱私信息，因為對單一的個體而言，這些看似包含著自身健康信息的概率預(yù)測實際上是毫無意義的。基于此，個人隱私很多時候并不會受到健康醫(yī)療數(shù)據(jù)的大規(guī)模分析預(yù)測所生成大量概率信息的影響。另一方面，機器學習與數(shù)據(jù)挖掘技術(shù)，使研究人員在不直接掌握個體及其健康數(shù)據(jù)的情況下，也能夠從外部的公共數(shù)據(jù)推斷出個體原本期望保守秘密的醫(yī)學事實。而關(guān)于“推斷是否侵犯隱私”的問題，聯(lián)邦最高法院Kyllo v. United States案[注]Kyllo v. United States, 533 U.S. 27 (2001).1992年，一名聯(lián)邦探員懷疑Danny Kyllo在家中種植大麻，于是將熱成像儀固定在Kyllo房屋的后街，探測房屋的熱輻射。熱成像結(jié)果顯示車庫屋頂與房間側(cè)墻比房屋的其他部分溫度都高，而且比其他相鄰的房屋溫度高許多。聯(lián)邦探員據(jù)此確信Kyllo在家中使用鹵化燈種植大麻，于是他申請并獲得了搜查令。在隨后的搜查中發(fā)現(xiàn)在Kyllo屋內(nèi)的確生長有近百株大麻。Kyllo因此被起訴。Kyllo申請要求排除非法證據(jù)，而這一申請被法院駁回。提供了一個很好的類比。該案中，盡管九位大法官在熱成像技術(shù)性質(zhì)的理解上存在分歧，但都認為推理不是搜查，并不違反隱私的合理期待。這種從外圍的公共健康數(shù)據(jù)推斷出個體健康信息的行為與之極為相似，區(qū)別在于物理性的房屋邊界在這里變?yōu)槌橄蟮男畔⑦吔?，加之信息本身的模糊性，更不宜視為對個人隱私權(quán)的侵犯。

另一個重要方面是，轉(zhuǎn)變針對健康醫(yī)療數(shù)據(jù)的個體同意與持續(xù)控制的理念。個體同意不應(yīng)當再作為健康醫(yī)療數(shù)據(jù)收集與使用的前提。就個人數(shù)據(jù)處理而言，同意本就缺乏必要性與真實性。[注]參見任龍龍：《論同意不是個人信息處理的正當性基礎(chǔ)》，載《政治與法律》2016年第1期。個體同意與持續(xù)控制模式僅僅是收集與使用信息的合法性基礎(chǔ)中一種代價頗高的選擇。在“隱私的合理期待標準”下，個體隱私權(quán)是否受到侵犯也并不取決于個人數(shù)據(jù)是否被發(fā)現(xiàn)，而取決于如何被發(fā)現(xiàn)，使用是否合法。[注]參見Jeffrey M. Skopek, Big Data’s Epistemology and Its Implications for Precision Medicine and Privacy, in I. Cohen et al.(eds.), Big Data, Health Law and Bioethics, Cambridge: Cambridge University Press, 2018, p.39.我們應(yīng)當建立原則上可不經(jīng)個體同意、直接允許收集、使用的規(guī)則，轉(zhuǎn)而將重心放在監(jiān)管、規(guī)制如何合理使用這些健康醫(yī)療數(shù)據(jù)之上?？上攵?，這一轉(zhuǎn)變會遇有相當大的障礙。因為健康醫(yī)療數(shù)據(jù)相對于一般數(shù)據(jù)較為特殊，在多數(shù)研究中都將其作為隱私敏感度更高的數(shù)據(jù)類型。但基于前述分析，健康醫(yī)療數(shù)據(jù)利用帶來的個人隱私威脅事實上并不如人們所想象的嚴重。公眾對個人健康數(shù)據(jù)強烈的控制欲望，主要源于其對數(shù)據(jù)訪問、使用及隱私規(guī)則的不知情或者充滿疑慮。破除這種不信任的關(guān)鍵即在于，盡可能將整個利用過程透明化，使個體充分知曉健康數(shù)據(jù)的利用方式與去向，以拓寬知情與參與的方式弱化同意與控制。同時，可以借鑒美國學者提出的自律模式，為數(shù)據(jù)共同體提供參與各行業(yè)隱私政策制定的平臺以減輕疑慮與不安。在這個過程中，個體對數(shù)據(jù)收集、利用的同意權(quán)，將轉(zhuǎn)化為進入或者不進入特定的數(shù)據(jù)共同體、并參與集體決策過程的權(quán)利。[注]參見Barbara J. Evans, Power to the People: Data Citizens in the Age of Precision Medicine, Vanderbilt Journal of Entertainment and Technology Law, Vol.19, Issue 2, 2017, p.263.這與個體細密地針對每一項健康數(shù)據(jù)作出是否同意使用的過程相比將更有效率，也更有利于健康醫(yī)療數(shù)據(jù)資源價值的充分實現(xiàn)。

(二)對群體隱私利益的認可

承認群體隱私利益，需要對可識別信息重新進行解釋。雖然個人可識別信息對于傳統(tǒng)的數(shù)據(jù)處理活動仍然有用，但在健康醫(yī)療大數(shù)據(jù)時代，我們應(yīng)重點關(guān)注關(guān)于類別或群組的信息。這意味著我們需要從對個體可識別健康信息的關(guān)注，轉(zhuǎn)移至更廣泛、包容的統(tǒng)計學意義上的可識別健康信息，比如某一家族、某一社群，甚至某一國家整體的基因特質(zhì)或患病概率等。如前所述，大數(shù)據(jù)分析使得個體很多時候不再是中心。因為我們關(guān)注的不再是關(guān)于某個特定個體或一小群人的數(shù)據(jù)，而是大型和不確定的群體性數(shù)據(jù)。由此，某些收集、使用群體性健康醫(yī)療數(shù)據(jù)的做法，雖然不涉及個體隱私權(quán)的侵犯，但可能是違反群體隱私利益的行為。一個典型的例子是，從上世紀90年代中期開始，哈佛大學公共衛(wèi)生學院、千禧制藥公司等一些機構(gòu)在我國安徽省偏遠農(nóng)村地區(qū)開展針對哮喘病、慢性阻礙性肺病的基因研究項目，該項目在當?shù)剡M行了大規(guī)模的血液、基因樣本篩選、采集。[注]參見Margaret Sleeboom, The Harvard Case of Xu Xiping: Exploitation of the People, Scientific Advance, Or Genetic Theft, New Genetics and Society, Vol. 24, No. 1, April 2005, p.59-62；褚程駿、劉俊：《人類基因資源提取的跨國保護——基于哈佛大學在安徽的基因研究項目的個案分析》，載《法學》2002年第11期。這些獨一無二的基因數(shù)據(jù)成為制藥公司無價的資源，顯然也與社群隱私利益息息相關(guān)，甚至涉及國家層面的隱私利益。雖然這一事件引發(fā)大量關(guān)于生命倫理與國家基因安全的討論，但由于群體隱私利益處于尚未被重視的灰色地帶，難以受到有效的保護。關(guān)注統(tǒng)計學意義上可識別信息的嘗試或許是一個好的開始。

在群體隱私利益框架的設(shè)想下，健康醫(yī)療數(shù)據(jù)群組中的成員作為整體，對該群組的健康數(shù)據(jù)以及以該群組名義進行的活動享有共同的利益。這有一些類似于消費者協(xié)會對侵害眾多消費者共同合法權(quán)益的行為、環(huán)境保護組織針對污染環(huán)境侵害共同利益的行為提起公益訴訟的權(quán)利。區(qū)別在于，健康醫(yī)療領(lǐng)域的群體隱私侵犯，往往比消費者權(quán)益損害或環(huán)境損害更加微妙、難以追溯，而這不能否定群體隱私利益概念在健康醫(yī)療數(shù)據(jù)利用與保護中的巨大潛力。

另外，這里之所以強調(diào)群體隱私利益，而非群體隱私權(quán)，是考慮到群體隱私的概念或許尚未成熟到作為一種法律權(quán)利來對待，暫時還需要一個認識期與適應(yīng)期。同時，也是為了減弱新權(quán)利的產(chǎn)生對現(xiàn)有權(quán)利的沖擊。群體隱私利益有獨立的價值，旨在保護群體身份的完整性，理論上不可還原為個人隱私權(quán)。而群體隱私權(quán)的提法，意味著將群體作為與個人完全平行的權(quán)利主體，不可避免會與現(xiàn)有的個人隱私權(quán)產(chǎn)生沖突。因此，在充分認識到群體擁有足夠重要的隱私利益并上升到群體隱私權(quán)之前，宜以正式認可群體隱私利益的方式作為過渡。

結(jié)語

法學研究沒有一成不變的范式。隨著社會現(xiàn)實的變遷，傳統(tǒng)的法律概念隨時可能生發(fā)出新的屬性。隱私權(quán)能夠為個體提供保護，但是在健康醫(yī)療數(shù)據(jù)資源價值日益多元、隱私利益互相依存、并產(chǎn)生群體樣態(tài)的大數(shù)據(jù)時代，僅將其理解為個體性的權(quán)利、單純給予個人主義的保護是不現(xiàn)實的。公共健康利益價值追求的實現(xiàn)，有賴于健康醫(yī)療數(shù)據(jù)資源的有效整合與利用，這是不能采取個人主義保護觀念的重要理由。另一個易被忽視的現(xiàn)實是，個體分散的自主決策已經(jīng)不再能夠為健康數(shù)據(jù)隱私利益提供充分保護，集體力量反而變得更為有效。因此，個人主義向群體維度的轉(zhuǎn)化也許會在某個時點變成自發(fā)的行動。這也啟發(fā)我們，需要在法律與政策的激勵機制上作出轉(zhuǎn)變，公共健康利益在價值權(quán)衡中并不總是唯一的考慮因素，在“隱私敏感”的時代，自利性價值的追求或許是說服人們放棄對個人健康醫(yī)療數(shù)據(jù)的絕對性控制、走出囚徒困境更加有力的理由。因為，沒有人是大數(shù)據(jù)時代的孤島。