大數據時代基因信息保護的制度架構

陳玉梅，從宇乾

（貴州財經大學 文法學院，貴陽550025）

引論

當前，以信息技術為代表的新一輪科技革命方興未艾，新興服務、物聯網、云計算等標志著大數據時代的正式到來。人類基因組計劃自2000年完成后，所有的對基因的研究幾乎都集中到了基因信息的用途上[1]。畢竟，基因信息(特指人類基因信息)不管是用于醫療目的還是非醫療目的，都具有巨大的商業價值。同時，隨著生物科技和大數據技術的發展，基因信息的獲取日益便捷。人們在物聯網留下的數據足跡具有累積性和關聯性，將多處數據足跡聚集在一起，發現個人隱私信息變得不再困難。在信息技術與生物科技交叉融合的今天，人們將基因信息以數據的形式保存在人類基因數據庫中，呈現出“大數據”樣態。

大陸法系和英美法系國家分別通過“信息自決權”、“隱私權”或“財產權”等私權的方式對基因信息加以保護。我國學者王利明教授把基因隱私列入個人生活秘密權所保護的私密信息中[2]。但在大數據時代下，基因信息的保護僅從信息自決權、隱私權或財產權的角度進行保護，帶來了私權保護難以解決的問題[3]。盡管我國還未有專門關于基因信息的立法規定，《民法典》對“個人信息權”“數據”的規定還比較抽象，但強化基因信息保護已成為理論界和實務界的共識。

一、基因信息的特性

基因一般是指“DNA分子上的具有遺傳效應的特定核苷酸系列的總稱，是具有遺傳效應的、控制生物性狀的DNA 片段”[4]。“基因”一詞雖然是由孟德爾（G.J.Mendel）在1865 年提出的，但真正引起大家密切關注是在“人類基因組計劃”正式啟動以后。人類基因組計劃以測定組成人類基因組的30 億個核苷酸序列為基礎、以解讀人類全部遺傳信息為宗旨的重大全球性生物工程，其產生的影響不亞于人類歷史上任何一項重大活動。雖然至今“人類基因組計劃”向世界揭示的基因奧秘非常有限，但根據現有的資料證明，基因信息不僅與人類健康、行為、身份等密切相關，而且在科研、醫療、就業、保險、教育等領域的應用越來越普及。正是由于基因信息與我們每個人的身份識別性特征息息相關，因而產生了法律保護的強烈需求。

我國2017 年《網絡安全法》第76 條第5 項對個人信息做了明確規定①《網絡安全法》第76條第5項規定：個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。，基因信息屬于“個人生物識別信息”。2017 年《民法總則》在“第五章民事權利”第111 條、127 條分別對個人信息、數據進行了規定②《民法總則》第111 條：自然人的個人信息受法律保護；127 條：法律對數據、網絡虛擬財產的保護有規定的，依照其規定。一般認為，數據和信息有區別；數據與信息的關系大致類似于傳統媒介中的介質和信息內容的關系。但在大數據時代，二者之間的區別可以忽略不計，二者可在同等條件下使用。。此外，“個人信息保護法專家建議稿”強調個人信息保護中還要注意對其合法有效利用[5]。2014 年最高人民法院法釋〔2014〕11 號文件確立了基因信息的法律規定，第12 條規定直接明確了基因信息與個人隱私的法律關系③《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條：網絡用戶或者網絡服務提供者利用網絡公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息，造成他人損害，被侵權人請求其承擔侵權責任的，人民法院應予支持。。《人類遺傳資源管理條例》（2019 年）第2 條對基因信息的范疇進行了規定，認為基因信息屬于人類遺傳資源信息，從人體基因組、基因等遺傳物質的器官、組織、細胞等遺傳材料所獲得的一切信息均屬于基因信息④《中華人民共和國人類遺傳資源管理條例》第2 條：人類遺傳資源材料是指含有人體基因組、基因等遺傳物質的器官、組織、細胞等遺傳材料。人類遺傳資源信息是指利用人類遺傳資源材料產生的數據等信息資料。。《民法典》第1009、1034、1035條明確規定，包括個人生物識別信息在內的能夠識別特定自然人的各種信息，都屬于個人信息，依法受法律保護；任何人在處理個人信息時，必須遵循合法、正當、必要原則；就算是從事與人體基因有關的醫學和科研活動，都不得違背倫理道德，不得損害公共利益。

后基因組時代，基因信息廣泛應用于疾病預測、診斷、治療以及身份鑒別等領域，具有極大的開發利用價值和廣闊的應用前景。調查研究表明，有關指紋等個人生物特征的信息價值最高[6]。根據我國2019年《人類遺傳資源管理條例》的規定，我國采取的立法原則是“保護+利用”，提倡在保護隱私的基礎上充分利用基因信息⑤2014 年原國家衛計委發布《人口健康新管理辦法（試行）》，確立了人口健康信息的“互聯互通和共享利用”原則；2016 年中共中央、國務院發布《健康中國2030》，明確鼓勵醫療大數據的發展，建立統一歸口的健康醫療數據共享機制；2016年國務院辦公廳發布《關于促進和規范健康醫療大數據應用發展的指導意見》，確立要充分利用醫療大數據，培育新的業態，促進相關產業的升級；2019年國務院發布《人類遺傳資源管理條例》，確立了“保護+利用”立法原則，倡導在可使用范圍內，充分利用健康醫療數據。。基因信息屬于個人敏感信息，是生物特征信息的一種特定形式，主要指從有關任何自然人及其家庭成員的器官、組織、細胞等遺傳材料中所獲得的一切信息。隨著信息技術的發展和社會組織緊密程度的提高，其內容和種類也在不斷豐富。基因信息除具有個人信息的特征之外，還具有自己的特性。

第一、基因信息具有唯一性，其包含了特定自然人的代際相承的遺傳信息。正如埃里克·S·蘭德（Eric S·Lander）所言“基因差異提供了無盡的遺傳標記來追蹤人類疾病的先天成因。通過研究DNA 的差異，可能將指出致病基因之所在。”[7]基因信息唯一性主要表現為對個人基因的預示能力，這種預示能力有可能遠遠超過獲取該基因信息時所預想的價值。同時，其對個人和群體還具有文化等方面的價值和屬性[8]。

第二、基因信息具有穩定性，難以偽造。基因信息屬于采集型數據，通常通過特定儀器和方式進行采集，顯示出來的信息穩定、難以偽造。基因信息的獲取也是隨著現代科技的發展而日益多樣和隱蔽，個人對自身基因的保護而愈顯得無力。基因信息從數據價值上來說，具有單一體價值的有限性和集合體價值倍增性的特點，在大數據時代其特征日益明顯。因此，不管是發達國家還是發展中國家都日益嚴格規范基因信息的收集程序、使用范圍。

第三、基因信息具有高風險性，一旦泄露，后果不堪設想。基因信息蘊含豐富的個人隱私，一旦遭到泄露、破壞或者篡改，將對自然人及其家庭的生活帶來災難性的影響。基因不僅可以識別個體，更重要的是還可以預測未來；基因信息不僅關涉本人，而且很可能與其近親屬、甚至整個家族緊密相連。從現有文獻來看，許多領域因為不當使用基因信息而導致基因歧視的現象普遍存在，如商業健康保險、升學、結婚、貸款等領域。基因信息泄露給他人會給帶因者帶來風險；在某些情況下，泄露給基因者自己有可能也有風險。如基因信息揭示某人潛在可能發生的疾病，而此疾病無藥可醫或具有社會烙印時，其很可能會焦慮不安、恐懼，惶惶不可終日。

第四、基因信息具有公益性與社會性。基因信息雖然與自然人及其家族密切相關，其所有權人享有基因隱私權、基因財產權、基因平等權等基因權利[9]，但基因信息具有公共性與社會性。雖然基因信息的收集要征得信息所有權人的同意，但并不意味著權利人對基因信息享有絕對控制和排他性權利，“同意”實際上是對個人信息私權的一種削弱，是社會控制的體現[10]。基因信息從屬性來講，與憲法規定的河流、礦藏、水流等一樣屬于自然資源。從國家主權的角度看，自然人所攜帶的基因組是其所在主權國家的自然資源，屬于國家戰略性數據，是人類共同的財富，具有公益性和社會性。

第五、基因信息具有高價值性[8]，且不可再生。首先表現為具有研究價值的特定基因的可獲得性是非常有限的。如遺傳疾病方面研究的基因樣本，獲取非常困難，并且有些基因樣本還處于不斷減少和不可再生的過程中[11]。其次，基因專利制度的實施加劇了此過程。在美國，法律已經允許研究者或醫藥公司對“純粹的人類基因片段”申請專利。基因專利權一旦申請成功，必將排他性地阻止其他人員包括公司對基因片段的使用。盡管人類基因片段正在研發中，但總量是有限的，申請獲批一個就少一個，所以基因專利實施許可價格高昂[11]⑥據介紹，美國現已對基因發現采取專利保護措施，關于肥胖的基因專利實施許可費明碼標價為3 000萬美元，關于哮喘的基因專利實施許可費高達9 000萬美元。。再次，某些人類基因面臨全面消亡的風險，如對某種特殊的基因信息攜帶者，一旦因為特殊性疾病、自然災害等情況而出現全面消亡，如非典、埃博拉、新冠肺炎等，其消滅具有不可再現性。最后，企業如基因科技公司對基因權利的爭奪已白熱化。基因信息具有巨大的經濟價值，基于經濟利益的驅動，基因專利爭奪戰的激烈程度前所未有。研究表明，除外傷外，所有的疾病都可以成為基因病。因此，可以通過持續提高與優化基因治療技術、不斷研發基因藥物等方式，找到治療疾病的方法。基因預防、診斷、治療等領域都具有無限的發展空間。比爾蓋茨在2000 年就已說過，下一個創造出更大財富的人將出現在基因領域[12]。

二、大數據時代基因信息保護面臨的新問題

大數據為人類提供了一種認識復雜系統的新思維、新方法和新手段，而大數據治理體系尚不規范，包括基因信息在內的隱私信息在大數據時代存在嚴重的安全隱患。在大數據時代，基因信息保護面臨的挑戰更多。

（一）基因信息的泄露風險加大

體量龐大、速率迅速、價值密度低是大數據的主要特征之一；數據量與其價值的關系成正比關系，量越大其價值越高，且呈非線性增長。正如美國《大數據與隱私報告》所說，不但感應器的精準度可以產生隱私問題，而且多個感應器的關聯數據性也可以產生隱私問題；單個感應器輸出的信息可能不會產生敏感信息，但是兩個以上的感應器相互結合就會產生隱私問題[13]。這意味著，基因數據價值的低密度性導致基因信息使用與結果之間的關系變得模糊和薄弱，在司法認定二者之間因果關系時的難度也會增大。同時，基因信息具有產品和數據的雙重屬性，其所具有的產品屬性表明具有巨大的經濟收益預期、社會福利預期及文化革新預期[14]，不斷成為科技公司爭相收集的對象。最后，在大數據時代，還可通過數據溯源機制，輕而易舉獲得有關行為人的隱私信息。因此，基因信息泄露的可能性大大增加，基因隱私保護的難度與日俱增。

（二）基因信息收集、存儲、分析和處理更加便捷

人類對個人信息的收集與人類歷史一樣悠久。它可能不是最古老的職業，但卻是最古老的習慣之一[15]。傳統上對信息的收集、存儲、分析都需要花費一定的人力、物力，時間上具有滯后性或延時性，但在大數據時代卻可以瞬間完成對基因信息的收集、存儲、分析和處理。處于加速中的數據收集和分析意味著大數據分析結果對個人環境或其生活的影響逐步增強[16]。隱私利益密度空間相對較小的個人隱私信息通過大數據匯集以后就為信息優勢方提供了獲取該個人隱私信息的便利，不當獲取個人隱私信息就不可避免會出現“數字人”和“透明人”。

(三)基因信息收集的同意規則在大數據時代難以真正適用

基因信息包含了與個人體質、健康狀況等相關的所有信息，隱私信息也包含在內。而隱私信息具有的瑣碎性、模糊性、雙重性等特征，導致隱私信息主體很難及時對每一次基因信息的采集、傳播或者使用做出精準判斷。因此，基因信息收集的同意規則就處于全部同意或全部拒絕的兩難境地。因此，絕大部分情況下，基因信息主體通常被迫接受類似協議。這充分說明了完全依賴于信息主體個人來單獨決定基因信息使用是效率低下的選擇。在大數據背景下，一方面要求處理基因信息的高效化，另一方面卻是基因隱私信息的低效個人同意規則，這就在二者之間產生了沖突。在實踐中，個人往往被迫通過一攬子同意將個人信息交付給大數據系統進行處理[3]。

三、大數據時代基因信息保護的理論基礎

基因是必須嚴加保護的國家資源，自然人在行使基因信息權時受公共利益和國家安全的制約。如我國刑事DNA 數據庫就有可能侵犯公民的基因隱私權，但從公共利益和國家安全角度來考慮，刑事DNA數據庫就有一定的合理性[17]。對此我國司法解釋（法釋[2014]11 號）第12 條第1 款和第3 款確立了基因信息的公共利益例外原則。

任何制度的產生都有其特定的社會背景，基因信息的私權保護也是以特定制度為產生基礎。私權利社會是以社會分工和市場交易為組織形式的社會制度，社會成員通過分工和市場交易來實現合作關系，不再完全依賴公權力組織的信息分析和處理機制[18]。隱私權保護和財產權保護都是私權利社會主要的社會合作形式，大數據時代下，將基因信息納入法律規制的范疇就必須脫離私權利觀念下的個人信息處置權，而應當從公共利益的角度來重新考量基因信息的使用對其進行公法規制，并利用日益更新的大數據技術來破解信息相關利益者之間的囚徒困境。因此，利用公共物品理論將個人信息使用納入公法規制具有其合理性和可行性[3]。

大數據深刻影響了人類生活、工作與思維，尤其是在大數據發展成為國家戰略的背景下，其對人類的影響是多方面的，不僅是信息技術領域的革命，還是政府、企業、社會等領域變革的利器[19]。最重要的是，大數據技術大大提高了人的信息處理能力。時至今日，企業收集的大部分數據都包含個人信息，而且其采集信息的動機是多樣化的；在利益的驅動下，更會窮盡各種辦法希望采集更多的數據，以在數據存儲和利用方面達到利益最大化。有些數據從表面上看和個人信息沒有任何關系，但經過大數據技術處理以后，仍然可以追溯到個人。因此，在大數據時代，收集數據的時候可能沒有想到其他用途，但在后續利用時卻產生了其他有價值的用途[20]。如果我們仍然沿用私權保護方式，無處不在的“第三只眼”對個人信息帶來的損害是個人無力掌控的，必須建立規范自身的新準則，需要把進行隱私保護的責任轉移到數據使用者一方，通過法律責任或義務來約束數據使用者以實現個人信息保護的目的。基因信息由于其具有的潛在經濟價值，因而競相成為生物科技公司、醫療機構等收集的主要對象，其在大數據時代的保護基礎應從個人利益轉向到公共利益。

利益本身具有個人性、社會性的雙重特性。一般認為，個人利益是指包含在個人生活中的每個社會成員的要求、需要或愿望，其在本質上是一定時代和社會的人際關系；社會利益指的是包含在文明社會的社會生活中并給予這種生活的地位而提出的各種要求、需要或愿望。如果要維護并促進人類文明，法律一定要為這些要求、愿望或需要作出某種規定[21]。社會利益可能包含個人利益，但絕不是個人利益的簡單疊加，不管怎樣，真正的社會利益必然是與每個社會成員的個人利益根本一致。正如美國法學家龐德所說，每種要求并不是專屬于其中某一個范疇而固定不變的，基于不同的地位而提出的要求卻可能是同一的，因此，就需要從不同角度來看待（利益）[21]。個人利益可以分為人格利益、家庭關系方面利益和物質利益。基因信息直接關乎個人、家庭成員之間的利益關系，但又不僅僅限于上述利益關系。不可否認，在大數據時代，基因信息在個人利益與社會利益之間存在不可避免地沖突，不管是在電子商務的發展還是社會信用體系的建立方面都如此。但信息只有共享共通共治共享才能發揮其應有效能，如過分強調其個人利益，將嚴重阻礙個人信息的利用，基因信息自然如此。

四、大數據時代基因信息保護的制度架構

大數據技術是社會發展的新措施和新途徑，通過促進社會制度變革形成高效、平等、共享、自由的有機社會。基因信息的保護先后經歷了從個人利益到公共利益的過渡。當然，對基因信息中的人格利益應遵循人格利益原則，從私權角度進行保護；對基因信息中蘊含的經濟利益應從公共利益視域進行規制，作為一種當代政策工具的規制，其核心涵義在于指導或調整人類行為活動，從而適應大數據時代對基因信息的保護與利用的目的。

（一）通過立法確立基因信息的分層保護制度

通過立法加強對基因信息的保護力度，確立基因信息的分層保護制度。通過立法直接將“為了公共利益而促進基因信息的共享和使用”確立為立法目的，使用的正當性是基于提高社會福利。建議在《民法典》“總則編”對個人信息保護總括性規定的基礎上，在已納入2020 年立法規劃的《個人信息保護法》中建議從行政法層面、社會公眾監督、業界自律、政府監管以及國際合作、專家作用、保護機構與機制、投訴程序等方面[22]作出專門規定。作為介于信息分享與控制之間信息立法的本質是一種公共規則體系，因此就受制于信息的分享和控制二者之間的相互牽引力。隨著互聯網的發展，信息分享的潛能得以發掘，但對信息的控制主要表現為更嚴格的法律規制，因此，信息立法就離不開清晰的理論判斷和信息技術設計的實用[23]。

（二）合理縮限基因信息保護程度

一是立法不應特意強調基因信息抽象的一般預防性原則，而應當將基因信息保護與特定目的相結合，從具體情況出發，有針對性的通過適度簡化信息保護的強度和廣度。只有當網絡對個人自由和權利存在不合理侵害的風險時才有控制的必要，而且其控制的強度應當與風險相匹配。二是基因信息保護應隨著社會風險類型的發展變化而變化，盡量避免法律的僵化效應。個人免受算法的不合理監視、秘密操控和不當歧視是未來個人信息立法保護的重點領域。換一句話來講，法律要求無論算法對個人畫像的如何精準可控，都不能成為企業據此做出針對個人決策的理由[23]。

（三）嚴格規制基因信息的使用目的

社會對基因信息的充分挖掘和利用是基因信息在大數據時代的價值所在，而沉淀的基因信息是沒有價值的，而對基因信息的發掘和利用又不可避免地有可能發生對基因隱私權等的侵犯。美國《大數據與隱私報告》指出，對于社會來講有些數據信息是非常敏感的，盡管占有這些讓社會敏感的數據就可以構成犯罪，但不可否認的是這些大數據中的信息引起的隱私擔憂卻無法與來源于一般商業活動、政府的行政活動或者公共場所的數據予以區分。信息的這種雙重特征就使得規制信息使用比規制信息采集更為合適[24]。因此，應嚴格規制基因信息的使用目的，非經權利人同意，不得將其用于收集目的以外的用途。

結語

近年來，大數據讓我們對世界事務的發展變化產生了新的認知，也改變了傳統社會形態的經濟基礎結構和法律制度體系。基因信息保護是基因信息利用的前提，是大數據時代的重要法律問題。美國、歐盟和日本等國際社會都密切關注公民權利與大數據使用之間的融合問題。如歐盟2017 年制定《數據保護規則》以取代1995 年的《個人數據保護指令》，以適應數據信息保護方面的變革。一方面是對個人信息的控制和保護，而另一方面則是企業、個人對信息利益的最大化追逐。在信息黑市上，信息越精準，倒賣的價格就越高，包含大量精準個人隱私的基因信息，屬于業內尖貨，既可以被下游的犯罪團伙用以精準詐騙，也可能被不知情的保險公司、互聯網醫療公司等購買用以發展業務甚至訓練AI 模型等[25]。如何保護包含大量個人隱私的基因信息就成為當前研究的重要課題。