健康醫療大數據中隱私利益的群體維度

劉士國 熊靜文

(復旦大學 法學院，上海 200438)

引語

生物技術的發展以及大數據在醫療行業的深刻變革，使得人類健康醫療數據在種類和數量上急劇增長，形成具有高度包容性的龐大數據集，內容涵蓋臨床病例數據、醫學試驗數據、健康管理數據、基因序列數據、生物樣本數據等等。據測算，一個人在整個生命周期內所生成的健康醫療數據高達百萬兆字節，大致相當于3億本書的數據量。注參見Ariana Eunjung Cha, Watson’s Next Feat? Taking on Cancer: IBM’s Computer Brain Is Training Alongside Doctors to Do What They Can’t, Washington Post, June 27, 2015.數據的應用價值，也突破了過去醫生與患者的狹窄空間，上升為國家的戰略性資源。注2016年6月21日，國務院辦公廳發布的國辦發[2016]47號文件《關于促進和規范健康醫療大數據應用發展的指導意見》中指出“健康醫療大數據是國家重要的戰略資源。健康醫療大數據應用發展將帶來健康醫療模式的深刻變化，有利于激發深化醫藥衛生體制改革的動力和活力，提升健康醫療服務效率和質量，擴大資源供給，不斷滿足人民群眾多層次、多樣化的健康需求，有利于培育新的業態和經濟增長點。”健康醫療領域從“小”數據到“大”數據的變革，對傳統法律概念與研究范式提出質疑。

隱私權自誕生時起就被視為一項個體性的權利——“個人獨處權”(the right to be let alone)，注Samuel D. Warren, Louis D. Brandeis, The Right to Privacy, Harvard Law Review, Vol.4, Issue 5, December 1890, p.195.在此之后的理論發展中仍然強調個體在隱私利益上的自主或者自治。就權利的性質而言，隱私權直接反映了個體與外界的緊張關系；在權利的實現上，以“隱私的自我管理”注參見Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, Harvard Law Review, Vol.126, Issue 7, May 2013,p.1880.為實現方式。健康醫療領域對隱私利益的保護，一直也圍繞著以患者為中心的個體層面展開。然而，在大數據的背景下，健康醫療數據已出現結構性變化，與之相關的隱私利益亦呈現出不同于以往的特征，局限于個體層面的隱私權理論，既不足以應對個體與群組面臨的隱私威脅，亦不利于公共健康利益的實現，對此應作理論上的補充。

一、大數據背景下健康醫療數據的結構性變化及其對隱私利益的影響

(一)大數據背景下健康醫療數據的結構性變化

傳統的健康醫療數據主要產生于診療過程，包括患者就診時的病歷記錄、影像資料、病理報告等。信息生成的場域為單一的醫患關系，即特定的患者在就診時形成的特定醫療數據。各類醫療數據之間一般彼此孤立，用途也基本局限于單人單次的診療活動，價值相對有限。生物技術的發展及大數據在醫療行業中的應用，極大地拓寬了健康醫療數據的生成來源，種類與數量急劇增長，應用范圍也突破了原本狹窄的醫患關系。具體而言，呈現出以下變化：

第一，健康醫療數據呈指數增長。一方面，醫學研究領域的擴展促使醫療數據爆發，以基因序列數據最為典型。隨著基因測序成本的下降以及測序需求的增多，基因序列數據已達井噴之勢。研究顯示，到2025年預計將形成20億組人類基因測序，僅這些數據的存儲需求就可能高達40艾字節，而整個互聯網的存儲總量據估算不超過525艾字節。[注]參見Zachary D. Stephens et al., Big Data: Astronomical or Genomical?, PLoS Biology, Vol.13, Issue 7, July 2015, p.2.另一方面，大數據挖掘與機器學習技術在醫療領域的應用，意味著我們有了更多方法來生成、收集、管理健康醫療數據，舊的數據能夠通過組合、分析重新生成新的數據，以實現二次利用。[注]參見Nuffield Council on Bioethics, The Collection, Linking and Use of Data in Biomedical Research and Health Care: Ethical Issues, February 2015, p.4.由此，臨床護理、醫學試驗、基因組研究等重要醫療實踐領域生成的健康醫療數據遠遠多于以往任何時候。

第二，大量健康醫療數據生成于醫患關系之外，甚至是醫療領域之外。物聯網技術、可穿戴設備的普及使健康管理應用融入普通人的日常生活。每一個使用者都成為健康數據的收集終端，醫療數據的生成不再局限于診療中醫方的單方采集，顯著增強了對醫患關系以外健康數據的收集能力。同時，健康醫療數據越來越多地產生于與健康醫療并無直接關系的領域。例如，實體購物或者網上購物的信息會透露消費者的身體狀況。美國一家大型網絡零售平臺就曾經根據顧客的消費記錄，推測出女性顧客的懷孕情況，以便有針對性地發送產品信息與優惠。[注]參見Michal Kosinski et al., Private Traits and Attributes Are Predictable from Digital Records of Human Behavior, Proceedings of The National Academy of Sciences of the United States of America, Vol.110, Issue 15, April 2013, p.5802.無處不在的社交媒體也促成了健康醫療數據的生成與傳播。統計顯示，“超過27%的互聯網用戶在網上分享他們的飲食、運動數據或其他健康指標信息；4%的互聯網用戶發布過他們的用藥、治療經歷；9%的社交網站用戶發起或加入了與健康相關的群組”。[注]Susannah Fox, The Social Life of Health Information(2011), http://www.pewinternet.org/files/old-media/Files/Reports/2011/PIP_Social_Life_of_Health_Info.pdf, 最后訪問日期2018年7月4日。越來越多的健康醫療數據在醫療領域之外通過互聯網生成、聚合。

第三，健康醫療大數據的應用價值滲透至個人、行業、政府管理等多個層面。隨著大數據信息化社會的推進，“信息成為和物質、能量同樣重要的資源，整個社會對于信息的依賴和利用需求增強”[注]張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期。。在個體層面，健康管理應用生成的數據已成為普通人了解自身健康狀況的重要信息來源，如Fitbit等健康管理應用所收集的數據，能夠服務于使用者飲食、睡眠、健身、心率指標、慢性病管理等各個方面。對于醫療行業而言，大數據的分析預測催生了精準醫學的新形式，整個行業迎來新變革。醫生能夠超越以往基于疾病臨床表現的診療方式，轉而從遺傳學和分子特征去尋找致病原因，[注]參見Jeffrey M. Skopek, Big Data’s Epistemology and Its Implications for Precision Medicine and Privacy, in I. Cohen et al.(eds.), Big Data, Health Law and Bioethics, Cambridge: Cambridge University Press, 2018, p.35.提高診斷與治療的準確性。如IBM公司的Watson健康保健項目，能夠通過篩選、比對、分析疾病與治療史、基因數據等在內的大量數據，在短短幾分鐘內輔助醫生為患者提供個性化的治療建議。[注]參見Ariana Eunjung Cha, Watson’s Next Feat? Taking on Cancer: IBM’s Computer Brain Is Training Alongside Doctors to Do What They Can’t, Washington Post, June 27, 2015.除了醫療衛生行業，健康醫療大數據也能夠助力其他行業的優化，如保險公司能夠借助健康醫療大數據識別投保人風險、防止欺詐。在社會管理與公共健康層面，健康醫療大數據對政府部門的疾病檢測與控制、掌握居民健康狀況同樣有重要作用，例如政府部門能夠通過數字疾病監測系統增強疾病控制的效率。

(二)健康醫療大數據對隱私利益的影響

大數據技術下，不同的健康醫療數據之間呈現高度的相關性，原本孤立的隱私利益開始彼此關聯。以基因組數據包含的隱私利益為例，一方面，由于基因組數據與其他類型的健康數據密切關聯，一旦數據主體面臨基因組數據上的隱私威脅，數據主體其他類型的健康數據同樣會受到威脅，如身體狀況、疾病風險等隱私信息可能隨之披露。另一方面，不同數據主體在基因組數據上可能彼此關聯。對某一基因數據的分析，可能進一步推知其家族、社群甚至民族的基因信息。例如，某一位家庭成員披露了自己的基因數據以后，便可由此推知其親屬的基因信息，因為他們在基因數據上的相似度極高，且擁有相似的生活環境與習慣，而這可能違背其他人對基因信息的披露意愿。退一步而言，即使不存在親屬關系，科學研究也已表明，通過大數據技術提供的排除算法，完全可以推斷出給定基因組數據的所屬主體，且準確度令人驚訝。在健康醫療大數據下，個體不同的隱私利益相互關聯，且“受他人行為的影響，并可能超出自己所能控制的范圍”[注]Gergely Biczo'k, Pern Hui Chia, Interdependent Privacy: Let Me Share Your Data, in Sadeghi AR.(eds) Financial Cryptography and Data Security, FC 2013, Vol. 7859 LNCS, Berlin Heidelberg: Springer, 2013, p.338.。

依靠大數據算法分類系統，能夠隨機地甚至自動化地創建出不同群組，出現了群體層面的隱私形態。健康醫療數據的挖掘和匯總中，往往會對個體按照某些特征或者趨勢進行分組、聚類，分散的個體最終形成有研究價值的群組。在這個過程中，群組內的成員通常并不需要被單獨地識別出來，只是被有針對性地進行了分類。就好比廣告商并不關心它的廣告具體是誰在看，只在意廣告是否到達了某一類特定人群。所形成的這些健康數據群組，打亂了個體身份與隱私利益之間的聯系。因為這時只有將個體放在群組中才會體現隱私利益[注]參見Luciano Floridi, Open Data, Data Protection, and Group Privacy, Philosophy & Technology, Vol. 27, Issue 1, March 2014, pp.1-2.；由此，所揭示的疾病風險并非單純地針對某個可識別個體，只有在個體的相互關聯中才有意義。以一個例子來說明，在大數據分析中，若研究人員統計出有30000個具有相同個體特征的人之中有3人患有某種疾病，而這種疾病正是由某種特殊基因直接導致的，研究人員可能會預測擁有此類個體特征的人群患病概率是1/10000。然而，這里概率預測的價值是在針對群體的統計學意義上實現的，對其中某個個體并無確切的意義。因為對個體而言，這種基因只可能全無或全有。在健康醫療領域，大量的分析、預測都是針對群組進行的，在群體層面共享的隱私利益就此凸顯。

二、現行健康醫療信息隱私保護機制及其個人主義局限

我國目前對健康醫療信息相關的隱私利益沒有專門的立法保護，個人信息保護法也一直暫未出臺。健康醫療信息的隱私保護規則，散見于《執業醫師法》《精神衛生法》等醫療衛生法律法規中且一筆帶過，基本處于缺位狀態。從世界范圍看，對健康醫療隱私利益的保護，目前有兩種立法模式，一種是將健康醫療信息從個人信息中劃出來單獨立法施以保護，如美國1996年《健康保險攜帶和責任法案》(Health Insurance Portability and Accountability Act，通稱為HIPAA法案)及配套的《個人可識別健康信息的隱私標準》(Standards for Privacy of Individually Identifiable Health Information，通稱為隱私規則)、澳大利亞新南威爾士州《健康記錄與信息隱私法案》(Health Records and Information Privacy Act)。另一種方式是將個人醫療健康信息與其他個人信息一同施以綜合保護，如歐盟1995年《數據保護指令》(EU Data Protection Directive, 95/46/EC)、2018年《一般數據保護條例》(EU General Data Protection Regulation，通稱為歐盟GDPR)，以及英國《數據保護法》(The Data Protection Act)。其中，美國的HIPAA法案及隱私規則與歐盟GDPR，代表著目前健康醫療信息隱私保護的主流態度與趨勢，且對其他國家和地區的立法與實踐影響巨大，故本文主要依托這兩部文件分析現行健康醫療信息隱私保護規則的特點與局限。

(一)美國HIPAA法案及隱私規則提供的保護機制

美國HIPAA法案對健康醫療信息的傳輸、訪問與儲存做出詳細規定，是美國醫療服務行業必須遵守的信息安全標準；與之配套的隱私規則首次建立起保護健康醫療信息隱私的國家標準，以解決個人健康醫療信息使用與披露的問題。

首先，并非所有的健康醫療信息都在保護范圍之內，隱私規則將“受保護的健康信息”明確為“個人可識別健康信息”(Individually Identifiable Health Information)[注]45 C.F.R. §160.103.，包括任何可以辨識出個人身份特征的信息，例如姓名、指紋、基因、醫療活動中的詳細情況等。抵消隱私風險的一個常用辦法是去識別化。隱私規則提供了一套完整的去識別化處理機制，規定如果以下這18種個人標識符被移除，就屬于不可識別的個人健康信息，具體包括：“姓名；州級別以下的地址信息；生日、入學日、死亡日等特定日期；電話號碼；傳真號碼；電子郵箱；社會安全號碼；醫療記錄編號；健康計劃受益人編號；銀行賬戶號碼；身份證件號碼；車輛識別碼與序列號；設備識別碼與序列號；網址；IP地址；生物識別信息；完整的面部照片；以及其他任何能夠用于重新識別的唯一代碼或特征”[注]45 C.F.R. §164.514(b).。經過去識別化處理之后，健康醫療信息的使用與披露則不再受隱私規則的限制。

關于“受保護的健康信息”的使用與披露，HIPAA隱私規則的要求十分嚴格，只有在兩種情況下才可進行：一是經隱私規則允許或要求，二是經信息主體書面授權。關于書面授權，有嚴格的形式規范，要求必須使用通俗易懂的語言，明確包含要披露或使用的信息、披露和接收信息的人員、授權到期日、撤銷權以及其他數據的具體信息。[注]45 C.F.R. §164.532.隱私規則同時規定了一些可不經個體授權的例外情況，如將數據用于治療、支付和其他醫療保健活動；偶然的使用與披露；滿足所列12種公共利益目的之一；在醫學研究、公共衛生或醫療保健活動中使用、披露有限的數據集等。[注]45 C.F.R. §164.502(a)(1).可見，HIPAA隱私規則對健康醫療信息隱私的保護，采用了強調個體同意權并輔之以例外規定的模式。

除此以外，HIPAA隱私規則還有兩項特別規定，一是最低限度原則(Minimal Necessary)，它是貫穿隱私規則的核心原則，要求在使用、披露或向他人索取受保護的健康信息時，必須作出合理努力，將受保護的健康信息量限制在合乎目的的最小必要范圍。[注]45 C.F.R. §164.502(b).二是限制使用請求權(Restriction Request)，規定個人可以提出限制信息使用的請求，要求對受保護健康信息提供隱私保護；用于治療、支付或健康照護運作時，可要求有限制地使用或披露受保護健康信息。[注]45 C.F.R. §164.522(a)(1)(i).

(二)歐盟GDPR提供的保護機制

2018年5月施行的歐盟GDPR，是目前個人信息綜合保護的代表性文件，其中對健康數據、生物數據的特別規定，反映了大數據時代歐盟對待個人健康醫療信息保護的態度。

在保護對象上，GDPR將受保護的個人數據定義為“與被識別或者可識別的自然人相關的任何數據”[注]GDPR Article 4(1).，這一點與美國HIPAA隱私規則一致，均強調受保護數據的可識別性。GDPR對數據處理同樣設置了原則性的限制，如目的限定原則(Purpose Limitation)要求數據控制者只能基于具體、明確、合法的目的收集個人數據；且一旦基于特定目的收集以后，則不能再基于與收集時所確定的目的不相容的其他目的進行處理；數據最小化原則(Data Minimisation)類似于HIPAA隱私規則中的最低限度原則，同樣要求將數據限制在與處理目的相關的必要范圍之內。[注]GDPR Article 5(1)(b)(c).

雖然GDPR是個人數據保護的綜合性條例，但對數據進行了分類，并針對特殊類型數據制定了不同的規則。條例規定，對于“個人基因數據、生物特征數據”，原則上可以處理，但不得以識別自然人身份為目的；對于“健康數據、性生活、性取向等相關數據”，原則上完全禁止處理。[注]GDPR Article 9(1).只有當滿足條例第9條第2款提供的合法性基礎時，才可以突破特殊類型數據的處理限制。其中，同意被作為重要的合法性基礎之一，且規定對這幾種特殊類型數據的同意必須為“明確同意”(Explicit Consent)[注]GDPR Article 9(2)(a).；同時允許成員國對此維持或增加更嚴格的限制[注]GDPR Article 9(4).。

相比美國HIPAA隱私規則的個體事先同意，歐盟GDPR更加強調主體在數據使用過程中的個人控制。具體而言，數據主體有權拒絕出于以下目的對其個人數據的處理：為實現公共利益或行政管理職能；為數據控制者或第三方的合法利益；銷售目的。同時，數據主體根據自身特殊情況，有權隨時拒絕數據控制者基于科學、歷史研究以及統計目的的數據處理。[注]GDPR Article 21(1)(2)(6).條例新增的(Right to Erasure)，允許數據主體在特定情形下要求控制者刪除與其相關的個人數據。[注]GDPR Article 17(1).限制處理權(Right to Restriction of Processing)，賦予了數據主體在法律規定的特定情形發生時，限制數據控制者處理的權利。[注]GDPR Article 18(1).數據便攜權(Right to Data Portability)，允許數據主體從數據控制者處獲得以結構化、通用化和可機讀形式呈現的個人數據，并有權將該數據轉移給其他數據控制者。[注]GDPR Article 20(1).

(三)以個人主義為中心的制度局限

總體而言，美國HIPAA隱私規則與歐盟GDPR對個人健康醫療信息的隱私保護相當嚴格。前者以去識別化機制與個體同意權為主線；后者將同意作為數據處理的合法性基礎，以數據使用的個人控制為核心，并對健康數據、生物數據使用作出特別限制。兩部文件設置了嚴格的個體同意與控制規則，并輔之以眾多例外情形，試圖在尋求隱私利益保護的同時促進必要的健康醫療信息流動，這種理念值得肯定。但我們不難發現，這兩部文件所提供的保護機制均是以個人主義為中心的，無法應對前文所闡述的隱私利益出現的新變化。

首先，關于健康醫療數據的個人身份可識別性與去識別化機制。在大數據背景下，針對個人身份的去識別化處理機制幾乎很難再發揮作用。由于數據的積累以及相應的處理和分析能力日益增強，個人身份能輕易地被反向識別。不論是在醫患關系之內還是醫療領域以外，健康醫療數據的收集滲透到各個角落，形成了多元的數據流與數據群組。將這些數據流連接在一起，便能夠完整地創建出我們每一個人縱向的健康醫療記錄。這些記錄具有深刻的描述性，顯示出我們彼此無法復制的生命軌跡，足以反向地準確定位到具體某一個人。因此，即使其中明顯的個人標識符被去除，當我們將記錄中的所有參數結合起來，最終仍只可能與世界上的一個人相匹配，因為這些數據本身就是獨一無二的標識符。[注]參見Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, UCLA Law Review, Vol.57, Issue 6, 2010, pp.1716-1723; Mark A. Rothstein, Is Deidentification Sufficient to Protect Health Privacy in Research?, American Journal of Bioethics, Vol.10, Issue 9, 2010, pp.5-6.例如，世界上只有一個黑色頭發、棕色眼睛、身高165公分的女性在三歲九個月零五天時摔斷了鎖骨，并且在二十二歲八個月零七天時拔掉智齒、在二十七歲五個月零三天時生下一個女兒、在七十六歲時患上老年癡呆。鑒于我們很難防止數據被重新識別，個人身份可識別性數據與不可識別性數據也不再有區別。

其次，關于數據處理前的個體同意規則。一般認為，個體所面臨隱私風險的程度與其同意分享數據的程度成正比，因此往往會通過同意規則賦予個體自主管理隱私風險的權利。但目前同意機制對數據主體隱私權保護的實現已經不那么有效了。[注]參見Fred H. Cate, Protecting Privacy in Health Research: The Limits of Individual Choice, California Law Review, Vol.98, Issue 6, 2010, p.1797.HIPAA隱私規則的個體同意權，原本是在范圍相對較小的臨床研究和信息研究基礎上設計的，個體同意曾經是保護隱私相當有效的工具。但在隱私利益互相牽連的健康醫療大數據背景下，孤立的個體同意權不再足以保護個人隱私，反而對他人的隱私利益構成威脅。在同意機制下，若要徹底消除所有人面臨的個體隱私威脅，唯一的辦法就是限制所有人同意分享自己健康醫療數據的權利，而這與維護數據主體自主權的目標背道而馳。雖然歐盟GDPR沒有將同意作為一項個體權利，而是將其作為合法性基礎，并制定了嚴格的同意規則，特別是對生物數據、基因數據、健康數據提出更加嚴格的要求，同樣仍面臨隱私利益在互相關聯中遭受損害的風險。因此，在大數據環境中，個體同意的傳統規則可能不再符合其設計的主要目標。

第三，關于數據后續個人控制與限制使用規則。后續使用的持續控制權利被視為歐盟GDPR最大的亮點。與HIPAA個體同意規則的區別在于，它將自主權或自治權延伸到數據使用的過程當中。后續使用中持續控制的權利為數據主體有效控制其個人數據提供了可能，且使得數據主體也能從數據處理與流通中獲得收益，一定程度上促進了數據的流通與使用。然而，GDPR這種孤立強化個人權利的思路，仍然不能適應大數據下隱私利益互相關聯的狀態。單純對個體自治的強化本身包含著忽視他人利益的權利。從公共利益的角度考慮，個體對個人健康醫療數據后續使用的強有力控制，必然對公共健康目標的實現不利。例如，如果在健康醫療數據初次收集的目的完成后，數據主體請求刪除數據，將會影響整體數據研究的連續性、完整性，影響數據的再利用。由于后續挖掘已然成為數據價值的主要來源，其他限制使用的規則如目的限定原則、最低限度原則也都面臨著現實的挑戰與合理性質疑。[注]參見范為：《大數據時代個人信息保護的路徑重構》，載《環球法律評論》2016年第5期。強化數據的個人控制與限制使用規則并不完全適應大數據時代的需要。

以美國HIPAA、歐盟GDPR為代表的健康醫療信息隱私保護機制，暴露了以個人主義為中心的弊端。去識別化、同意規則、后續使用中的持續控制，均是以個人主義為中心設置的機制，一方面難以有效地保護個體隱私權，另一方面也限制了健康醫療數據多元價值的實現。更重要的是，在現有機制中還沒有一個理論框架承認群體作為隱私利益的主體，這對于群組化研究盛行的健康醫療領域中隱私利益的完整保護極為不利。反觀我國，屈指可數的健康醫療隱私保護規則同樣以個人主義為中心，在2018年發布的《基本醫療衛生與健康促進法案(草案)》中仍然原則性地規定“除法律法規規定或本人同意外，任何組織和個人不得獲取、利用和公開公民個人健康信息”，且未設置任何例外條款。可見我們的立法過程中尚未意識到大數據時代信息結構與隱私利益的特殊變化。

三、隱私利益群體維度的正當性基礎

以個人主義為中心的隱私保護機制，被證明已無法滿足大數據背景下個人隱私權與群體隱私利益的保護需要，亦不足以緩解隱私保護與健康醫療數據利用之間的緊張關系。為了適應健康醫療數據與相關隱私利益的結構性變化，需要在隱私保護的理念與規則上作出調整，識別隱私利益包含的群體維度不失為一種有益的嘗試。將隱私利益保護放在群體維度下，意味著三個方面的補充：以集體行動的方式保護個體隱私權；平衡隱私利益保護與健康醫療數據利用的關系；對群體所享有隱私利益的認可與保護。而這一設想是否具有合理性，需要一一進行分析。

(一)生命倫理的轉向：個體隱私權的集體保護

健康醫療領域的個體自治，強調個體通過醫療過程中的自主決策維護自己的利益，意味著患者有權知曉并選擇醫療照護方式，有權決定誰能知道其私人信息。這種對個體自治的重視始于二十世紀中葉生命倫理學形成之時。紐倫堡審判披露的非法人體試驗，以及父權主義醫療下擁有絕對權威的醫師對患者權利的漠視，在當時激起病患權利保護的潮流，引發人們對生命醫學倫理的重視。在此背景下，生命倫理運動便圍繞著病患的知情同意、自主決定而進行，主要保護對象是在家長式醫療模式中對抗醫生的患者，以及在人體試驗中對抗研究人員的受試者。由此，二十世紀中葉的生命倫理學接受了康德“原子式”個體自治的概念，將病患視作原子式的抽象個體，即他可以完全獨立于所有的社會關系，強調自我管理、自力更生、個人主義以及根本上的獨立。[注]參見Alfred I. Tauber, Patient Autonomy and the Ethics of Responsibility, Cambridge: MIT Press, 2005, p.117.這個概念類似于學者Richard Fallon所總結的“歸屬性自治”(Ascriptive Autonomy)[注]參見Richard H. Fallon, Jr., Two Senses of Autonomy, Stanford Law Review, Vol.46, Issue 4, April 1994, pp. 890-893.，承認每個人對其道德選擇的主動權。在當時的生命倫理學中，原子式的個體自治被視為應對個體利益威脅的強大解藥。

然而，純個人主義的自治模式過于狹窄，它重在描述醫患關系框架與權力格局中病患天生的弱勢地位，而且忽視了其他外在力量的重要性，在新的技術、政策環境中易出現問題。1980年代，部分生命倫理學家試圖探尋能夠轉變個體自治的替代性設想，如提出互動性自治，認為自治“不僅僅是內在的、心理的特征，而且還是外部的或者社會的”[注]Grace Clement, Care, Autonomy, and Justice: Feminism and the Ethic of Care, Boulder: Westview Press, 1996, p.22.。按照這種觀點，個人是通過社會合作，而不是獨立分散的行動來增強他們的自主能力。“自我被理解為個體關系與社會義務的結合”，有時可以“合法地服從于其他道德原則，而這些道德原則決定在社會背景下自我應當如何被管理”。[注]Alfred I. Tauber, Patient Autonomy and the Ethics of Responsibility, Cambridge: MIT Press, 2005, p.85.但是，這種觀點只是當時生命倫理學發展中的支流。

直到健康醫療大數據研究盛行的本世紀，生命倫理的轉向重新受到關注。有學者指出，適合醫療大數據研究的倫理框架“將在很大程度上背離目前臨床醫療與醫學研究的倫理觀念”[注]Ruth R. Faden et al., An Ethics Framework for a Learning Health Care System: A Departure from Traditional Research Ethics and Clinical Ethics, Ethical Oversight of Learning Health Care Systems, Hastings Center Report Special Report 43, No.1, January-February 2013, S16.；認為“原子式自治”這個貧乏的概念，淡化了個體通過形成共同體來解決自身問題的能力[注]參見Barbara J. Evans, Power to the People: Data Citizens in the Age of Precision Medicine, Vanderbilt Journal of Entertainment and Technology Law, Vol.19, Issue 2, 2017, p.246.，造成個體混亂無序的后果。這在二十一世紀的數據研究中可能適得其反，因為它會使得生命倫理原本旨在保護的對象再次失權。這種“獨立自主”的風險，在霍布斯的框架中被稱為“烏合之眾的混亂狀態”[注][英]霍布斯：《利維坦》，黎思復、黎廷弼譯，商務印書館1985年版，第133頁。。在隱私利益相互依存的時代，堅持原子式自治的生命倫理，將導致個體利益實現機制失效，分散的個體無法對共同面臨的威脅采取統一有效的應對措施。因此，自主決策不再是實現個體利益的有效方式，保護個體隱私利益需要集體行為。在健康醫療大數據的背景下，個體自治的生命倫理不能不轉向社會合作，通過集體行動將混亂、分散的人群聚合在一起形成數據共同體，以實現個體隱私權的有效保護。

(二)健康醫療數據的公共屬性：隱私利益保護與數據利用的平衡

健康醫療數據具有私人屬性，是個人主義自主決策的理論預設。然而這一理論前提并不完整，健康醫療數據不僅關涉個人利益，而且與其他人以及整個社會利益緊密聯系，具有強烈的公共屬性。

健康醫療數據自產生之時，往往就是與其他主體共享的。個體無疑是醫療數據產生的主要源頭，我們日常佩戴的智能手環、手機上的健康管理應用、慢性疾病患者接入的醫療監測設備等，都直接地指向、關聯我們的個人健康信息。然而，數據與特定個體的關聯，并不足以認可個體對健康數據的獨占利益，因為這種關聯只在于數據所表達的意義，而不是該數據本身。[注]參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年第3期。健康醫療數據的最終生成，往往來自于其他主體所創建的服務或管理系統，[注]參見吳偉光：《大數據技術下個人數據信息私權保護論批判》，載《政治與法律》2016年第7期。其中一部分甚至大部分都是由其他主體所創建的數據。從一開始便具有共享性質的數據，已經不能完全以私人屬性進行界定。[注]參見中國社會科學院民法典工作項目組：《大數據時代個人信息保護模式需改變》，載《經濟參考報》2018年4月18日。有學者指出，假使存在健康數據的法定所有權，那么也必須是非排他性的，[注]參見Barbara J. Evans, Barbarians at the Gate: Consumer-Driven Health Data Commons and the Transformation of Citizen Science, American Journal of Law and Medicine, Vol.42, Issue 4, 2016, p.664.類似于自然資源環境中的共享所有權。從數據生成的角度來看，健康醫療數據具有公共屬性，其包含的信息隱私“需要一定程度的社會控制來構建與維護”[注]Edward J. Janger & Paul M. Schwartz, The Gramm-Leach-Bliley Act, Information Privacy, and the Limits of Default Rules, Minnesota Law Review, Vol.86, Issue 6, June 2002, p.1254.。

健康醫療數據具有價值多元性，除數據主體之外的許多其他主體，都對該健康數據有合法利益，包括醫院、診所、醫學研究機構、保險公司、政府部門等。如文章第一部分的分析，健康醫療數據可以用于改善醫療實踐、合理分配醫療資源，提供更有效的衛生服務；通過龐大的數據庫創新治療方法，實現疾病的精準治療；公共衛生管理也有了更豐富的資源或依據。因此，個體獨立的自主決策對公共利益的實現不利，如果每一個個體都擁有阻止他人訪問其數據的權利，將不能有效地匯集用于推動公共衛生和其他患者健康的數據資源，無法為促進公共健康目的共同行事。個體細密而分散的同意，也限制了形成高度包容性的數據集、捕捉特殊樣本的能力，因為罕見的遺傳基因變異、對特定療法產生不良反應的發現往往依賴于包含大量樣本的數據集。[注]參見Institute of Medicine, Beyond the HIPAA Privacy Rule: Enhancing Privacy, Improving Health Through Research, Washington: The National Academies Press, 2009, pp.209-214; Brian Buckley et al., Selection Bias Resulting from the Requirement for Prior Consent in Observational Research: A Community Cohort of People with Ischaemic Heart Disease, Heart, Vol.93, Issue 9, 2007, p.1116.健康數據具備的公共屬性與多元價值，決定了保護方式的公共性和社會性，這是不能單純地采取個人主義隱私保護方式的深層理由。[注]參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年第3期。

(三)數據群組以群體名義享有隱私利益的可能

承認健康數據群組作為隱私利益的主體，是突破隱私利益個人主義保護的重要一步。在此之前，須考慮這一設想的邏輯是否自洽，是否與現有理論框架相容。這里包含兩個問題：一是數據群組能否被識別為受法律保護的群體；二是隱私利益歸于群體的理論基礎。

“群體”往往依人群所擁有的共同背景來識別與界定，有共同目的的集體組織進一步被賦予群體性的權利，如集會、游行、示威的權利，針對環境污染提起集體訴訟的權利等。這些傳統類型的群體均具備兩個基本要素：一是在一定時期內，群體的形態相對穩固；二是群體成員有鮮明的自我意識，認同該群體的存在。如果從這兩個基本特征來觀察，數據群組并不被傳統的群體概念所涵蓋。一方面，互聯網絡瞬息萬變，數據個體形成無數個分散、動態的數據節點，群組成員每時每刻都可能發生變化，具有相當強的流動性；另一方面，算法分類的方法會對數據個體隨機地創建新的分組，個體很多時候根本無法意識到自己已經成為某個群組的一部分，難以具備對群體的自我意識。以大數據為基礎創建的健康醫療數據群組，顯然已經突破了傳統群體的概念。這是否意味著數據群組不應當被識別為群體呢？實際上，數字化社會與算法分類的出現影響著我們對群體的識別，自動化的數據分析如機器學習和數據挖掘，已經悄然改變了群體的形成方式。首先，在算法分類中，我們根據某些預先設置的參數，可以識別出先前并不明顯的群體。例如，通過任意選擇某個或某幾個參數，如早上7點跑步、體重70公斤以上，便能在數據庫中準確識別出所有看似不相關、但表現出類似特征的數據主體，從而生成數據群組。其次，即使沒有人工預先設置任何參數或數據特征，機器學習也能夠從大量非結構化數據中自動推斷、獲取信息，發現數據之間先前難以察覺的相互關系，為個體識別與群組形成提供了新的手段。[注]參見Lanah Kammourieh et al., Group Privacy in the Age of Big Data, in Linnet Taylor et al.(eds.), Group Privacy: New Challenges of Data Technologies, Springer, 2017, p.38.這個過程是一個智能化的聚合過程，不同數據點之間的聯系變得復雜且難以預料，群體可以自動地形成于龐大的數據集之中。這種自動化的群組形成方式，使得穩固性與自我意識這兩個傳統的基本要素在數據群組的構建中越來越不重要。鑒于此，大數據提供了群體形成的新路徑，也帶動我們對“群體”認知的轉變。即使缺乏穩固性與成員的自我意識，被動形成的數據群組也應識別為受法律保護的群體。

隱私權與生俱來的個體屬性是認可群體隱私利益的一大障礙。在隱私權理論發展中，逐漸形成六大類代表性定義[注]包括個人獨處理論、限制接觸理論、秘密理論、個人信息控制理論、人格權理論與親密關系理論。參見Daniel J. Solove, Conceptualizing Privacy, California Law Review, Vol.90, Issue 4, July 2002, p.1094.，其概念呈現“令人不安的多樣化形式”[注]James Q. Whitman, The Two Western Cultures of Privacy: Dignity Versus Liberty, The Yale Law Journal, Vol.113, Issue 6, 2004, p.1154.，同時均存在著個體權利視角的局限[注]參見Mantelero, Alessandro, Personal Data for Decisional Purposes in the Age of Analytics: From an Individual to A Collective Dimension of Data Protection, Computer Law and Security Review, Vol. 32, Issue 2, 2016, p.245.，似乎并不能為群體性的隱私利益提供正當性依據。學者Edward Bloustein于1978年首次提出的“群體隱私”概念，曾被認為是對個體隱私權的理論突破。然而，這一突破事實上極為有限，因為在他的框架中仍然以隱私的個人主義理解為基礎，并且在討論中將群體又還原為個人。他將群體隱私定義為“一種人們在尋求與他人聯系時的隱私形式。群體隱私是個人與群體中其他人發生聯系的屬性，而不是群體本身的屬性。”[注]Edward J. Bloustein, Individual and Group Privacy, New Brunswick: Transaction Books, 1978, p.124.核心在于，個人不僅在單獨行事時需要受到隱私保護，在群體情景下行事時同樣應得到隱私保護。Bloustein同時明確指出自己是拒絕整體論的個人主義者，由此直接駁斥了群體以群體名義擁有隱私利益的觀念。鑒于此，Bloustein的群體隱私理論，仍然沒有擺脫對隱私權個體屬性的默認，只是將群體隱私作為個人隱私概念的附屬，并無獨立、可靠的理論基礎。

現有的理論障礙并非意味著群體隱私的概念行不通。首先，相對于物理性隱私(physical privacy)，我們在大數據背景下討論的隱私屬于信息性隱私(informational privacy)。兩者具有明顯的差異，物理性隱私具有清晰的邊界性與可及性，以身體、住所、私人物理空間為依托，意味著物理性隱私利益一般以個體形式存在。而信息性隱私，體現的是在對信息進行數字化或其他形式的收集、儲存、流通、分享中產生的隱私期待[注]參見Terence Craig, Mary E. Ludloff, Privacy and Big Data: The Players, Regulators, and Stakeholders, Sebastopol: O’Reilly Media, 2011, p.14.，信息本身所具有的模糊性、公共性、共享性，在個體性的權利表達之外為群體性隱私利益的認同留下余地。其次，現有的隱私理論并非完全不與群體隱私利益的設想相容。當我們將隱私作為一種“身份構成”來描述[注]參見Luciano Floridi, The Informational Nature of Personal Identity, Minds and Machines, Vol.21, Issue 4, 2011.，將隱私與身份信息的完整性聯系起來，即能夠作為群體隱私可行的理論基礎。在這種路徑下，身份由描述個體或者群體的信息所構成，保護隱私即是尊重“信息主體不被以不知情或無意的方式改變自己身份的權利”[注]Luciano Floridi, Group Privacy: A Defence and an Interpretation, in Linnet Taylor et al.(eds.), Group Privacy: New Challenges of Data Technologies, Springer, 2017, p.94.。群體隱私的構想，即旨在保護群體身份的完整性，揭示了群體身份的共享對隱私的影響。這與完整論述信息隱私的Alan F. Westin觀念一致，在他的定義中，群體也是信息隱私的主體。[注]Westin對信息隱私權的定義是“個人、群體或機構自主地決定何時、如何以及在何種程度上向他人傳達自身信息的權利”。Alan F. Westin, Privacy and Freedom, New York: Atheneum, 1967, p.7.由此，算法分類構建的數據群組擁有自身隱私利益的構想并不存在理論障礙，可以以控制群組身份的權利為理論基礎予以承認，通過關注群體身份的完整性，以確保隱私得到全面保護，而不受數據分析、處理的影響。

四、健康醫療大數據群體維度下的隱私保護

當我們將隱私權從個人主義轉移至群體層面的考察，首先意味著對其私人屬性的弱化，尤其是當我們考慮到個人隱私與公共健康利益的平衡關系時，似乎要求個體對自身隱私權作出讓渡，并且加重了對健康醫療數據的共享義務。恰如生命倫理學家Art Caplan所言，為了潛在的公共利益，“現在是我們勉強地告別健康數據隱私的時候了”[注]Art Caplan, Why Privacy Must Die, http://thehealthcareblog.com/blog/2016/12/19/goodbye-privacy-we-hardly-knew-ye/, 最后訪問日期2018年7月4日。。個體權利與公共利益的平衡，證明了數據共享義務的合理性，但前述論斷似乎過于悲觀。為了公共健康利益的實現而全然犧牲個體隱私權利，這并非我們討論的終點。倘若僅出于對公共健康目標的促進，對所有的健康醫療數據作出強制性共享的要求似乎更為直接和有效。這種辦法顯然相當極端，并充滿了法律與現實的復雜性，極易遭致道德反感與社會性恐慌。因此，除非在極其特殊情況下，如為追蹤流行病等，強制性的健康醫療數據共享永遠不應當成為一般性的解決方案。我們努力的方向應當是在分散的個體控制與健康數據的強制性共享之間找到折中選擇。如前所述，隱私利益群體維度的考察涉及三個方面的補充，由于前兩者均涉及個體隱私權的實現問題，在此將其合并論述，即從個體隱私權與群體隱私利益兩個層面展開：一是改變個體隱私權的實現方式，將其放在群體語境下去完成；二是認可與保護其中蘊含的群體隱私利益。

(一)個人隱私權在群體語境中的實現方式

將健康醫療數據包含的個體隱私權放在群體語境下考察，首先需要個體適當地降低隱私期待。大數據在健康醫療領域帶來的個人隱私威脅，比人們普遍所認為的通常更為有限，有時候對健康信息的預測與推理甚至根本不涉及隱私。如文章開頭所舉關于研究預測某類人群患病概率的例子，表明大數據的分析預測通常不會揭示關于個人的隱私信息，因為對單一的個體而言，這些看似包含著自身健康信息的概率預測實際上是毫無意義的。基于此，個人隱私很多時候并不會受到健康醫療數據的大規模分析預測所生成大量概率信息的影響。另一方面，機器學習與數據挖掘技術，使研究人員在不直接掌握個體及其健康數據的情況下，也能夠從外部的公共數據推斷出個體原本期望保守秘密的醫學事實。而關于“推斷是否侵犯隱私”的問題，聯邦最高法院Kyllo v. United States案[注]Kyllo v. United States, 533 U.S. 27 (2001).1992年，一名聯邦探員懷疑Danny Kyllo在家中種植大麻，于是將熱成像儀固定在Kyllo房屋的后街，探測房屋的熱輻射。熱成像結果顯示車庫屋頂與房間側墻比房屋的其他部分溫度都高，而且比其他相鄰的房屋溫度高許多。聯邦探員據此確信Kyllo在家中使用鹵化燈種植大麻，于是他申請并獲得了搜查令。在隨后的搜查中發現在Kyllo屋內的確生長有近百株大麻。Kyllo因此被起訴。Kyllo申請要求排除非法證據，而這一申請被法院駁回。提供了一個很好的類比。該案中，盡管九位大法官在熱成像技術性質的理解上存在分歧，但都認為推理不是搜查，并不違反隱私的合理期待。這種從外圍的公共健康數據推斷出個體健康信息的行為與之極為相似，區別在于物理性的房屋邊界在這里變為抽象的信息邊界，加之信息本身的模糊性，更不宜視為對個人隱私權的侵犯。

另一個重要方面是，轉變針對健康醫療數據的個體同意與持續控制的理念。個體同意不應當再作為健康醫療數據收集與使用的前提。就個人數據處理而言，同意本就缺乏必要性與真實性。[注]參見任龍龍：《論同意不是個人信息處理的正當性基礎》，載《政治與法律》2016年第1期。個體同意與持續控制模式僅僅是收集與使用信息的合法性基礎中一種代價頗高的選擇。在“隱私的合理期待標準”下，個體隱私權是否受到侵犯也并不取決于個人數據是否被發現，而取決于如何被發現，使用是否合法。[注]參見Jeffrey M. Skopek, Big Data’s Epistemology and Its Implications for Precision Medicine and Privacy, in I. Cohen et al.(eds.), Big Data, Health Law and Bioethics, Cambridge: Cambridge University Press, 2018, p.39.我們應當建立原則上可不經個體同意、直接允許收集、使用的規則，轉而將重心放在監管、規制如何合理使用這些健康醫療數據之上。可想而知，這一轉變會遇有相當大的障礙。因為健康醫療數據相對于一般數據較為特殊，在多數研究中都將其作為隱私敏感度更高的數據類型。但基于前述分析，健康醫療數據利用帶來的個人隱私威脅事實上并不如人們所想象的嚴重。公眾對個人健康數據強烈的控制欲望，主要源于其對數據訪問、使用及隱私規則的不知情或者充滿疑慮。破除這種不信任的關鍵即在于，盡可能將整個利用過程透明化，使個體充分知曉健康數據的利用方式與去向，以拓寬知情與參與的方式弱化同意與控制。同時，可以借鑒美國學者提出的自律模式，為數據共同體提供參與各行業隱私政策制定的平臺以減輕疑慮與不安。在這個過程中，個體對數據收集、利用的同意權，將轉化為進入或者不進入特定的數據共同體、并參與集體決策過程的權利。[注]參見Barbara J. Evans, Power to the People: Data Citizens in the Age of Precision Medicine, Vanderbilt Journal of Entertainment and Technology Law, Vol.19, Issue 2, 2017, p.263.這與個體細密地針對每一項健康數據作出是否同意使用的過程相比將更有效率，也更有利于健康醫療數據資源價值的充分實現。

(二)對群體隱私利益的認可

承認群體隱私利益，需要對可識別信息重新進行解釋。雖然個人可識別信息對于傳統的數據處理活動仍然有用，但在健康醫療大數據時代，我們應重點關注關于類別或群組的信息。這意味著我們需要從對個體可識別健康信息的關注，轉移至更廣泛、包容的統計學意義上的可識別健康信息，比如某一家族、某一社群，甚至某一國家整體的基因特質或患病概率等。如前所述，大數據分析使得個體很多時候不再是中心。因為我們關注的不再是關于某個特定個體或一小群人的數據，而是大型和不確定的群體性數據。由此，某些收集、使用群體性健康醫療數據的做法，雖然不涉及個體隱私權的侵犯，但可能是違反群體隱私利益的行為。一個典型的例子是，從上世紀90年代中期開始，哈佛大學公共衛生學院、千禧制藥公司等一些機構在我國安徽省偏遠農村地區開展針對哮喘病、慢性阻礙性肺病的基因研究項目，該項目在當地進行了大規模的血液、基因樣本篩選、采集。[注]參見Margaret Sleeboom, The Harvard Case of Xu Xiping: Exploitation of the People, Scientific Advance, Or Genetic Theft, New Genetics and Society, Vol. 24, No. 1, April 2005, p.59-62；褚程駿、劉俊：《人類基因資源提取的跨國保護——基于哈佛大學在安徽的基因研究項目的個案分析》，載《法學》2002年第11期。這些獨一無二的基因數據成為制藥公司無價的資源，顯然也與社群隱私利益息息相關，甚至涉及國家層面的隱私利益。雖然這一事件引發大量關于生命倫理與國家基因安全的討論，但由于群體隱私利益處于尚未被重視的灰色地帶，難以受到有效的保護。關注統計學意義上可識別信息的嘗試或許是一個好的開始。

在群體隱私利益框架的設想下，健康醫療數據群組中的成員作為整體，對該群組的健康數據以及以該群組名義進行的活動享有共同的利益。這有一些類似于消費者協會對侵害眾多消費者共同合法權益的行為、環境保護組織針對污染環境侵害共同利益的行為提起公益訴訟的權利。區別在于，健康醫療領域的群體隱私侵犯，往往比消費者權益損害或環境損害更加微妙、難以追溯，而這不能否定群體隱私利益概念在健康醫療數據利用與保護中的巨大潛力。

另外，這里之所以強調群體隱私利益，而非群體隱私權，是考慮到群體隱私的概念或許尚未成熟到作為一種法律權利來對待，暫時還需要一個認識期與適應期。同時，也是為了減弱新權利的產生對現有權利的沖擊。群體隱私利益有獨立的價值，旨在保護群體身份的完整性，理論上不可還原為個人隱私權。而群體隱私權的提法，意味著將群體作為與個人完全平行的權利主體，不可避免會與現有的個人隱私權產生沖突。因此，在充分認識到群體擁有足夠重要的隱私利益并上升到群體隱私權之前，宜以正式認可群體隱私利益的方式作為過渡。

結語

法學研究沒有一成不變的范式。隨著社會現實的變遷，傳統的法律概念隨時可能生發出新的屬性。隱私權能夠為個體提供保護，但是在健康醫療數據資源價值日益多元、隱私利益互相依存、并產生群體樣態的大數據時代，僅將其理解為個體性的權利、單純給予個人主義的保護是不現實的。公共健康利益價值追求的實現，有賴于健康醫療數據資源的有效整合與利用，這是不能采取個人主義保護觀念的重要理由。另一個易被忽視的現實是，個體分散的自主決策已經不再能夠為健康數據隱私利益提供充分保護，集體力量反而變得更為有效。因此，個人主義向群體維度的轉化也許會在某個時點變成自發的行動。這也啟發我們，需要在法律與政策的激勵機制上作出轉變，公共健康利益在價值權衡中并不總是唯一的考慮因素，在“隱私敏感”的時代，自利性價值的追求或許是說服人們放棄對個人健康醫療數據的絕對性控制、走出囚徒困境更加有力的理由。因為，沒有人是大數據時代的孤島。