突发公共卫生事件中个人医疗信息保护的调整及制度完善*

汪晓贺

(郑州大学法学院，河南 郑州 450001)

个人医疗信息需要得到保护这点在学界不存在任何争议，但对于如何权衡紧急状态下个人信息权益保护与公共利益保护之间的冲突，学界目前存在两种观点：第一，部分学者认为紧急状态下个人医疗信息保护要让位于公共利益保护[1]。谢诗颖认为紧急状态下个人信息利益克减后能提高社会管理效率并节约秩序维持成本[2]。高富平认为紧急状态下私人医疗信息权益过于完善的保护，不仅会大大提高医疗活动与救援活动的时间成本与金钱成本，甚至还会成为重大疫情防控的障碍[3]。余文清[4]、Douglas[5]、李丹丹[6]等人提出紧急状态下个人医疗信息权益应让位于医学研究等公共利益，国家要通过建立“避风港”制度，高效利用医疗信息防疫减灾。第二，另一部分学者认为应根据个人医疗信息的重要程度区别性的对待，并依据具体情况决定是否公开。杨登峰[7]、Mark J. Taylaor[8]、李燕[9]都反对一刀切式的公开个人医疗信息，指出应根据公共卫生需要及个人信息的敏感程度进行区别对待。此外，张雪晖提出医疗机构在使用个人敏感医疗信息时，无论情况如何都需要征得患者同意[10]。

总的来说，学界目前对紧急状态下个人医疗信息保护已足够的重视。但仍具有三点不足：第一，学界虽对公共卫生事件中个人医疗信息保护需要调整展开了讨论，但针对保护原则如何进行调整却没有得出结论；第二，部分学者提出应将医疗信息划归敏感信息形成特殊保护，但却没有形成具体、可操作的分层或分类保护方案；第三，学界没有提出如何妥善解决公共卫生安全需要、公共利益保护与个人信息权益之间的矛盾。因此，最好的方法就是立足于实践需要，针对突发公共卫生安全事件中个人医疗信息保护原则的坚持与调整展开讨论，并构建出具体的、符合实践需要的敏感信息分层保护方案与匿名化规则。如此一来，才能在实现公共卫生安全需求与个人信息保护之间的平衡的基础上，既让医疗信息最大程度发挥作用，又让个人信息权益的得到充足保障。

1 明确突发公共卫生事件中收集、使用个人医疗信息的原则

1.1 坚持合法性原则

合法性原则是突发公共卫生事件时处理个人医疗信息的基础性原则，指只有卫生行政机关和法律授权机关依照法定程序才能获取、处理他人的医疗信息，其他组织与个人未经信息主体知情同意不得擅自以突发公共卫生事件为由非法获取他人医疗信息。这里的“法”指的是与公共卫生事件有关的法律、法规、规章，在特殊时期还应扩张性的包含国家行政部门发布的安排特殊工作通知。合法性原则的具体要求有两点：第一，收集使用个人医疗信息的行为必须依照法律规定或依法获得授权。这意味着基层的志愿组织、社区自治组织、私人主体不得以社会公益为由擅自侵害与人格利益和财产利益密切相关的个人医疗信息。第二，在突发公共卫生事件的紧急期间若有突破合理限制收集个人医疗信息的情形，在紧急性得到缓解或解除后要回归正常状态。例如，在全国疫情得到有效控制的时候，紧急状态下的特殊收集行为不能常态化，应杜绝大范围侵害个人信息权益的现象出现。

1.2 合理把握比例原则

个人医疗信息保护的比例原则主要包含行政机关实现公共目的措施的适当性、对公民权利最小限制的必要性、公益价值高于私人损害的相称性[11]。当个人医疗信息利益因突发公共卫生事件与公共卫生安全发生冲突时，医疗信息保护领域内的比例原则适用时有两点需要注意：(1)相较于普通时期，依照比例原则对个人医疗信息形成的保护要求要适当放宽；(2)考察具有必要性及紧急性的临时性措施时，可突适当突破比例原则限制[12]。也就是说，满足必要性及紧急性等条件时，把握比例原则要将个人信息权益放在次要位置。例如，对疫情严重地区的确诊患者、疑似患者、发热病人、密切接触者收集信息时可以适当简化程序并将收集信息进行适当公开。这是因为，新冠肺炎传染性强且无特效药治愈，在疫情没有得到有效控制前，若政府无法收集有效医疗信息则无法确定感染者、排查潜在患者以保护广大群众。需要注意的是，公民的个人医疗信息权益之所以受到限制，是因为其与同等价值或更加重要的公共利益存在冲突。也就是说，若不存在价值冲突，限制个人信息权利就是非正当的[13]。因此，在把握比例原则时仍要坚持最小范围与适当性。最小范围主要着重以下四点：第一，从主体角度来看，个人医疗信息的收集只能指向重点人群，在可以使用个人信息也可不使用个人信息时，尽量不使用他人信息[14]。第二，从信息敏感性来看，能收集普通信息就不收集敏感信息。第三，从收集范围来讲，尽量避免以地域为范围的特定收集，以防对特定地区人群形成歧视。第四，从时间角度来看，非常规的收集个人医疗信息在储存时间上应最短化，不能超出疫情持续时间，疫情结束后应及时删除或封存。适当性则要求医疗信息的收集必须用于预防或控制疫情，行政机关或授权机构不得超出超范围或违反目标的收集个人医疗信息。

1.3 加强个人信息安全管理原则

个人医疗信息关乎人的生命健康及人格尊严，具有不可试错性。因此信息的完整、准确与安全至关重要[15]，由此便衍生出了信息安全保障原则。具体是指信息控制者要采取充分且有效的措施，来保障医疗信息的安全，避免医疗信息的泄露、损毁或被篡改[16]。疫情防控背景下的安全管理原则应从以下三个方面来加强：第一，信息的控制者、实际收集者、实际使用者都是承担安全保障义务的主体，不得以主体不适格为由进行推脱。实践中，不具备技术能力的医疗机构或卫生行政机构会委托第三方数据平台对医疗数据进行管理与保存，若此时发生信息泄露等问题，受托方及委托方都要承担相应责任。第二，有关部门在收集或使用完传染病患者的个人信息后，要依据医疗信息敏感程度及匿名化程度建立差别化的安全保障体系。第三，安全保障义务是法定义务，不因当事人承诺或放弃而消失。在发生个人医疗信息泄露后，即便信息主体愿意免除信息控制人的责任，也只能免除信息主体可自由处分的人格利益及财产利益等民事部分，而就信息管理秩序及社会公共利益造成的损失依然要承担相应的行政与刑事责任。

2 构建突发公共卫生事件中的个人医疗信息分级保护制度

突发公共卫生事件中的个人医疗信息保护应更加注重与社会公共利益的结合，这就要求对保护规则与保护秩序进行明晰与确定。然而，现行制度规范既没有对医疗信息形成明确的范围界定，又没有对医疗信息形成区别化的保护次序，造成了不同敏感性的所有医疗信息都参照与之有较大差别的普通个人信息进行保护。一方面造成了医疗信息保护强度不足，个人医疗信息屡遭侵害；另一方面造成了信息保护的人力及财产资源分配不合理，既降低了效率又浪费了资源。因此，有必要依照敏感程度、财产性强弱程度、社会公益程度等因素构建起紧急状态下的个人医疗信息分级保护制度。

构建分级保护原则前，首先要明确医疗信息的范围。美国《HIPAA》对个人医疗信息的三类归纳：(1)医疗机构、公共健康机构、雇主、保险公司、学校、体检机构等医疗服务所产生或保存的公民个人医疗信息；(2)公民过去、现在、将来的身体状况及精神状况信息；(3)与个人医疗信息有关的财务信息。结合目前疫情防控的需求，我国应将个人医疗信息进行适当的扩大解释，即：公民参与医疗、健康活动中产生或将会产生的与健康状况有关的信息以及与之直接相关并会影响到疫情防控的信息(患较强传染性疾病后的交通信息、与人接触信息、移动轨迹信息等)。值得注意的是，“与个人健康相关并会影响到疫情防控的信息”本不能归纳入医疗信息的范畴，但这些信息经过一定的组合与加工，实际上已经具备一定的识别性。更重要的是，疫情防控中这类信息是高效且必要的，其对病毒溯源、特殊保护区域范围划定等措施具有重要参考作用，因此特殊时期将其纳入医疗信息的范畴进行统一管理可以提高信息处理的效率、规范信息处理秩序[17]。

根据个人医疗信息特性及归类，应构建个人医疗信息的三级保护体系(见图1、表1)。将同时兼具高度敏感性、高度识别性、高度不可回复性的个人医疗信息定为A类，对此类信息不可公开，在满足知情同意的情况下可以收集与处理；对具有高度敏感性、高度识别性、高度不可回复性其一或其二特性的信息定为B、C类，对此类信息可以收集与处理，在满足匿名化标准的前提下可以公开；对普通的个人医疗信息定为D类，应按照个人敏感信息的标准进行保护，并且出于突发公共卫生事件中效率的考量，一次知情同意的授权应允许信息主管部门多次使用D类信息。综合来讲，个人医疗信息的细化分级，不仅可以保障突发公共卫生事件时对个人医疗信息的正常需求，还可以提高个人医疗信息的保护水平与保护效率，实现公共卫生安全与信息保护之间的平衡。

表1 疫情防控下个人医疗信息三级保护具体要求

图1 疫情防控下个人医疗信息三级保护分类图

3 调整知情同意原则的适用重点

突发公共卫生事件是对人性的大考更是对制度的大考，此时的个人医疗信息保护不能绝对化，知情同意原则应主动适应大局并保持在合理的限度内。

3.1 知情与同意必须同等重视

知情同意原则根植于契约自治理论之中，是个人信息采集的合法性基础。知情与同意虽是两个步骤，但同意实际与知情这一前提牢牢绑定，欠缺知情的同意无疑将存有瑕疵。从契约自由的角度来看，任何合同的当事人都不应受到未知条款的约束[18]。从法律依据来看，《民法典》《传染病防治法》都未对“知情”进行专门的解释，只有《网络安全法》41条规定了“明示收集、适用信息的目的、方式和范围”的要求。但《网络安全法》41条针对的是网络运营者，适用范围有限，无法匹配实际医疗过程中个人医疗信息收集主体多样化的实践状况。2021年4月公示的《个人信息保护法(草案)(二次审议稿)》(以下简称《个法草案二审稿》)第14条规定了：“处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示”，这为个人医疗信息的知情同意制度确立了基本准则，也明确了知情同意的先后顺序。但从实践角度来看，突发公共卫生事件时个人医疗信息的收集与使用往往是行政强力推行的，很多信息主体在授权医疗机构使用信息时往往只是形式上知情，实际上并不清楚被使用信息的范围和二次利用状况[19]。因此，突发公共卫生事件时如何保证“先知情”就成为当下急需解决的重点问题，具体应从以下三方面进行：第一，收集个人医疗信息应主动向信息主体告知收集、使用个人信息的目的方式和范围，并且告知时应采取清晰显著的表现形式，尽量避免过长及过于晦涩难懂的表达；第二，应对《个法草案二审稿》第14条规定的“充分知情”进行细致化理解。“充分”不仅意味着了解使用个人医疗信息的范围与时间，更要了解信息将来的曝光程度与可能带来的不利后果。这就要求，信息收集与使用机关不仅要对医疗信息使用的潜在风险进行明确告知，还要尽可能将避免风险的方法一同告知；第三，当医疗信息主体处于意识不清或病情危重时应对其近亲属履行告知义务，未成年人应对其监护人履行告知义务。

3.2 根据信息敏感度不同形成区别化同意标准

2020年10月1日实施的《信息安全技术个人信息安全规范》第5.4条将授权同意分为收集个人敏感信息、生物识别信息、未成年人信息时的明示同意，以及收集普通个人信息时的授权同意。欧盟《一般数据保护条例》中，也将用户的同意分为同意的声明、某项清晰确信的行动两种形式。实际上，以信息敏感程度及种类的不同设置不同的同意形式，其关注的核心问题并不是效率，而是关注外在表示形式与内在意志内容的一致性和匹配性，促使信息主体的真实意思能够得到最准确的表达[20]。但在突发公共卫生事件的实际应对过程中，往往基于效率的考量而放弃或忽视信息主体的内心真意。《个法草案二审稿》第二章第二节规定了“敏感个人信息的处理规则”，将“医疗健康”信息划归敏感信息的范畴。但在突发公共卫生事件的情形下，若对全部医疗健康信息都依照敏感个人信息进行充分、彻底的保护，将会极大的降低行政部门的管理效率和医疗卫生部门的工作效率。因此，在突发公共卫生事件前提下收集、使用个人医疗信息的最佳方法还是形成区别化的同意样式：第一，对于A类个人医疗信息的使用要获得信息主体的明示书面同意。并且，若信息收集之后使用情况有变化要对信息主体进行持续性披露，信息主体在信息使用情况发生变化或信息使用后对自己工作生活产生重大影响的可以撤回同意。第二，对于B、C、D类个人医疗信息要区分信息收集主体进行同意：对企业等营利性单位，其收集与使用依然要经过信息主体的授权同意，对医疗卫生行政部门及医疗机构则无需信息主体同意而只需进行告知。

3.3 注重医疗信息二次使用的知情同意

个人医疗信息的二次利用在医疗大数据背景下已相当普遍。信息的互联互通有赖于将获得的一手医疗信息进行二次利用，这既节约了资源又提升了效率。但信息的二次利用实际上是信息新的使用，信息控制者即便基于效率的考虑也不应忽视信息主体的再授权。遗憾的是，中国对个人信息的二次利用没有形成有效的监督体系与法律依据，这既是立法的缺失，同时也是政策上的疏忽[21]。对此，可借鉴欧盟1995年通过的《关于个人数据处理的个人权利保护及此类数据自由流动的指令》，其中明确规定了“信息控制者不得擅自对信息进行二次利用，以尊重信息主体对每次信息使用的知情同意权。”立足于突发公共卫生事件的视角，应当从以下四方面进行明确：第一，应明确一次授权不产生终身或无限制的使用，在对个人医疗信息进行二次使用时应征求信息主体的二次同意或二次授权；第二，从立法、行政、司法三方面形成对个人医疗信息二次使用的监督管理体系，设立侵权的惩罚标准和惩罚措施；第三，对于防控新冠肺炎等突发公共卫生安全事件，卫生行政机关和医疗机构出于公共利益需要收集使用个人医疗信息时设立“一次性特别同意”，即在特殊期间内初次同意即获得二次使用的权利，在突发公共卫生安全事件结束后“特别同意”自然消失；第四，提升个人医疗信息自决程度，将个人信息删除权(又称数字遗忘权)作为一项单独权利纳入《个人信息保护法》中。日前公布的《个法草案二审稿》 16条虽然规定了“基于个人同意而进行的个人信息处理活动，个人有权撤回其同意”，从形式上确立了个人信息的数字遗忘权。但《个法草案二审稿》在本条新增的 “个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力”，又使得个人信息遗忘权的实际作用大打折扣。因此，应删去第16条新增的此部分，改为“个人信息处理者应当提供便捷的撤回同意的方式，并积极协助消除不利影响”。

3.4 明确并改进知情同意的合法例外

知情同意的本质在于尊重信息主体对信息进行自决的意思表示，这是私人自治领域内收集、使用信息合法化的基础。但私人自治并不是私法唯一的价值基础，私法同时还追求正义、平等、安全与效率等其他价值[22]。当然，为公共利益或他人利益而允许知情同意以外的其他采集个人医疗信息方式并认可其合法性基础，会造成与个人医疗信息自决权背后的人格利益、隐私利益的冲突。但是，在认定公共利益或其他个体利益在冲突中应得到优先考量时，就会催生出知情同意原则的例外——其他应受法律保护之价值的存在，亦是医疗信息采集的合法性基础[23]。例如，依据《欧盟基本权利宪章》的规定，正当处理个人信息的情形既可以是信息主体的知情同意，又可以是其他法定事由。《信息安全技术个人信息安全规范》具体规定了11种无需获得信息主体授权的例外情形，结合当下疫情防控工作，主要有以下几种：第一，国家安全、公共卫生、重大公共利益相关的；第二，刑事侦查、起诉、审判和判决执行中涉及新冠肺炎患者；第三，维护新冠肺炎患者或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；第四，新冠肺炎患者医疗信息控制者为履行法律规定义务的；第五，新冠肺炎患者自行向社会公众公开的；第六，从合法新闻报道、政府信息公开等渠道获取的公开披露的个人医疗信息；第七，新冠肺炎患者要求签订和履行合同所必须；第八，出于公共利益开展统计或学术研究所必要，学术机构已对结果中所包含的个人信息进行去标识化处理的；第九，新闻单位为开展合法新闻报道所必需的个人医疗信息。

个人对自己信息的支配应是充分的，但却不是绝对自由的，因为权利的行使要兼顾所在社会多数人的公共利益。因此，在面临重大疫情等公共卫生利益或其他重大公共利益受威胁的情形，可不经信息主体同意收集并使用B、C、D类医疗信息，可以不经信息主体同意收集A类医疗信息。但收集与使用时应满足以下条件：第一，只有具有公共管理职能的行政机关和医疗机构可以不经同意收集个人医疗信息，企业与私人主体则不在此列；第二，虽无需得到信息主体的同意，但仍需履行告知义务并告知可能出现的风险，若存在无法告知的紧急情况和意外情形，要在紧急情况和意外情形消失后及时补足；第三，结合医疗信息使用的目的，坚持比例原则，在最小范围内使用个人医疗信息；第四，对于个人明确拒绝公开的个人医疗信息，主要依据信息层级并结合公开必要性、个人主观意愿等因素综合考量是否公开。

不过，同意的例外是对以个人信息私人自治为内在的同意原则的突破，在设定制度规范时应格外的审慎，以防同意机制被诸多例外所架空。例如，《信息安全技术个人信息安全规范》中“新冠肺炎患者医疗信息控制者为履行法律规定义务的”与“新闻单位为开展合法新闻报道所必需的个人医疗信息”这两种情形就超出了合理的范围。可以说，这样抽象的规定既难以把控，又超过了必要限度。总之，对于同意的例外情形应尽可能清晰与明确，否则例外情形所依据合法性基础将被削弱。

4 坚持去除识别性的个人医疗信息匿名化规则

在突发公共卫生事件时，出于医学研究、疫情监控、药物研发的考虑，卫生行政部门会广泛的收集或使用患者的个人医疗信息，若这些信息经过了匿名化处理不具备识别功能并且不可复原时，那么使用这些信息时便无需获得信息主体的授权[24]。

依据《民法典》1038条、《网络安全法》42条及《个法草案二审稿》第69条，匿名化指的是经过加工无法识别特定个人且不能复原。个人医疗信息的匿名化应至少包含以下三重含义：第一，匿名化要求对姓名、身份证号、肖像、住址、工作单位、病历资料等直接识别符进行删除或替换，以达到无法识别特定个人的效果。第二，“不能复原”所追求的是风险最小化，而非100%的不能再识别[25]。不能复原实际上主要针对匿名化前信息的控制者，不仅要求匿名信息提供方采取必要的处理使信息失去识别性并承诺不再重新识别信息；还要求若实际存在再识别行为应视为对个人医疗信息的处理行为，若无信息主体的重新授权则要承担相应法律后果。第三，匿名化的个人信息的财产利益应归信息控制者，人格利益则在匿名化的过程中消失。个人医疗信息兼具人格利益与财产利益，个人信息权通过人格权上商品化实现个人的财产利益[26]。匿名化处理使得人格利益分离，实际上变成了个人信息权至数据财产权的转化。

疫情防控背景下，为保障社会公众知情权和提高防疫效率，卫生行政部门会适时公开新冠肺炎患者、疑似患者经匿名化处理后的医疗信息[27]。但在这些公开的匿名化信息中，依然可见未达到匿名化要求并具有识别性的案例，例如 “开封张某某通报”。2020年5月26日，开封市卫健委通过官方媒体发布了《关于开封市城乡一体化示范区新型冠状病毒血清抗体IgM阳性者张某某的调查报告》，其中检测者的姓名、年龄、性别、工作单位、单位地址、家庭住址都清晰可见。虽然后来卫健委网站发布的《调查报告》中对个人信息进行了模糊化处理，但在“中原网”等媒体发布的新闻中依然可见检测者被泄露的个人医疗信息。

针对如何构建个人医疗信息匿名化标准，有以下两点需要注意：第一，应进行个案风险评估，在平衡匿名信息效用与个人信息被披露风险的基础上确定有差别化的匿名化标准。要根据医疗信息控制者的种类、披露对象范围、信息敏感程度、再识别风险程度确定不同强度的匿名化标准。第二，对于无需附加信息或与无需其他信息进行比对就可识别特定个人的直接识别符要坚持删除或替换，对于还需处理才能识别特定个人或无法识别特定个人的间接识别符可进行适当保留，以保障公众知情权。例如，香港特别行政区政府公布的《个案详情》就较为清晰且适度的去除了直接识别符并保留了间接识别符。(见图2)

图2 2020年5月30日或以前公佈的確診/疑似2019冠狀病毒病個案的詳情(部分摘录)

5 构建以《个人信息保护法》为核心的个人医疗信息保护体系

随着《网络安全法》的颁布施行及个信息保护写入《民法典》，我国在个人医疗信息保护方面已经取得了较大进步。但是伴随着公共卫生事件的频发，也暴露了个人医疗信息保护中集中存在的问题并集中表现为：个人医疗信息利益与公共卫生安全、公共利益冲突、医疗行政效率的冲突。解决以上问题的最好方法就是在未来的《个人信息保护法》中，对政府利用个人信息规范、紧急状态下个人信息的使用原则、敏感个人信息的特殊处理等问题形成精细化、体系化规制。

实际上，从2003年我国第一个《个人信息保护法》建议稿起草至今，《个人信息保护法》的立法工作已实质性进行了18年之久。在《民法典》施行及《个人信息保护法(草案二次审议稿)》已进行分组审议的情形下，《个人信息保护法》的前景已十分明朗。但结合疫情以来出现的个人医疗信息保护中存在的问题，新的立法工作中仍有以下几点需要注意：第一，应在《个法草案二审稿》第一章中增加“个人信息权益与社会公众、其他合法权益相平衡原则”，可简称“平衡原则”。个人信息兼具个人利益与公共利益的双重属性[28]，突发公共卫生事件背景下的公共利益实际是个人信息利益的前提和基础，因此个人信息利益此时应对公共利益做出适当的让步。“平衡原则”实际上指导了《个法草案二审稿》第二章第二节 “敏感个人信息的处理规则”与第二章第三节“国家机关处理个人信息的特别规定”，尝试构造了个人信息保护与公共利益维护间的平衡模式。第二，应在第一章中增加“个人信息保护标准与国家经济发展、社会需要相适应原则”，可简称为“发展适应原则”。该原则不仅能指导第三章“个人信息的跨境提供规则”，又原则性的确立了个人医疗信息保护的动态保护准则，使得个人医疗信息保护的增强或克减都有法可依。第三，应对29条 “个人敏感信息处理”中的 “医疗健康”进行进一步细化解释。高度敏感性是个人医疗信息中最为显著的特点，尤其是与性、精神状态、传染性疾病相关的医疗信息，被他人知晓后轻则受到广告骚扰，重则面临周围人群歧视与排挤而无法正常生活。因此，应将有关“医疗健康”的敏感信息进一步细化，具体应解释为：包括但不限于身份信息、健康状况、医疗保险记录、病史病例、基因图谱等客观信息，以及在医疗过程中的病例研讨、治疗记录、药品记录、查房记录等相关信息，当然也包含治疗疾病所产生花费及护工情况等经济信息。

6 结语

个人医疗信息保护水平的提高既有赖于国家立法体系的完善，也有赖于信息主体及信息控制者信息权益意识的提高。突发公共卫生事件既对个人医疗信息保护带来新的挑战，又让我们认识到个人医疗信息的宝贵作用；既集中暴露出个人医疗信息保护中存在的问题，也给个人医疗信息保护的发展提供了新的契机。因此接下来应本着个人医疗信息利益与公共利益相平衡的原则，既有效的保护个人医疗信息，又不能影响医疗行政效率与社会公共利益。在这个过程中，最核心的就是完善突发公共卫生事件时的个人信息保护原则并推动《个人信息保护法》的立法工作，以完善个人信息保护的法律体系。