《民法典》时代的个人健康信息保护
2021-11-23张宇轩
田 野,张宇轩
(天津大学 法学院,天津 300072)
一、引言
在数据时代背景下,各界对个人健康信息的收集利用日益频繁,引发人们对于个人健康信息保护的关注。在新冠肺炎疫情防控的特殊时期,通过数据处理技术对海量个人健康信息加以聚合和挖掘,有助于实现疫情的实时监控、重点排查和精准预防。个人健康信息的价值不止于疫情防控,其在提升医疗服务质量、转变服务模式,抑或是惠及全民健康方面的力量都不可小觑[1]。大数据时代,信息处理渗透至健康医疗领域的方方面面,为产业发展提供了全新视角,将个人健康信息在产业发展中的地位提升至了前所未有的高度。个人健康信息处理呈现常态化趋势,这也加大了信息泄露风险。个人健康信息作为一种高度敏感信息,一旦被非法泄露,将会给主体带来不可逆转和难以消弭的损害。如何保护个人健康信息,构建良好的信息处理秩序,是亟须解决的问题。基于此,《中华人民共和国民法典》(以下简称《民法典》)第1034条第2款将个人健康信息纳入保护范围,为其提供了私法保护基础①。民法作为万法之源,具有保护手段上的灵活性与保护范围上的涵摄性,可为个人健康信息带来周密的保护。在大数据技术的介入下,个人健康信息的具体内容和形式、处理活动的方式都发生了质的变化,但《民法典》对于个人健康信息的规定十分概括。什么是健康信息?健康信息的外延与特质是什么?正当处理健康信息的情形有哪些?侵害健康信息的侵权责任又应如何认定?这些都需更进一步的研究。
二、个人健康信息保护的必要性:从疫情防控切入
个人健康信息亟待法律保护,这一点在疫情防控的特殊背景下尤其得到凸显。个人健康信息的处理在疫情防控中扮演重要角色。通过收集、统计个人健康信息,公务部门可实现涉疫信息的第一时间公布,完成疫情的预警预测。在统筹掌握区域健康信息的基础上,卫生部门可精准投放防控资源,优化资源的合理配置。健康码是中国此次疫情防控的一大创举,其将个体的基本信息、健康信息、轨迹信息等内容融合汇编成码,并对自然人的健康状况进行评级,成为了负载涉疫信息的数字化健康凭证。
然而,利用与保护是一对矛盾概念,频繁的处理活动必然导致信息泄露的风险增加。健康信息处理涉及传感网、信息处理、健康医疗终端和应用等多个环节,每个环节都有大批量的健康信息被生成、采集、汇总和分析。在后续的使用中,这些健康信息在多次流转后被渗透至多层次处理中,形成了去中心化的储存形态,进而削弱了主体对健康信息的控制力,导致健康信息泄露的风险激增。疫情防控期间,层出不穷的健康信息泄露事件引发舆论热潮。2020年4月,青岛市某中心医院泄露近6 000条涉疫人员信息。2020年12月,成都郫都区20岁确诊女生的健康信息被泄露,私生活遭受网友恶意揣测,经历“社会性死亡”。同月,“明星健康宝照片泄露”事件持续发酵,国内1 000多名娱乐工作者存储于北京健康宝中的信息被廉价倒卖。健康信息泄露事件不止于疫情防控领域,医疗服务、健康管理等诸多领域也时有发生。2018年5月,美国医疗公司Life Bridge Health储存的近50万条用户信息遭受黑客攻击,受到威胁。2019年9月,中国的医疗PACS服务器泄露国内近28万条患者记录。层出不穷的信息泄露事件表明加强个人健康信息保护刻不容缓。
先前,中国保护健康信息的立法主要集中于行政法、刑法等公法领域。行政法规对于健康信息的规定碎片化、适用范围狭窄,如仅针对特定组织或职业的《医疗机构病历管理规定》《医疗美容服务管理办法》等,仅针对特殊信息的《中华人民共和国传染病防治法》等②。刑法通过侵害公民个人信息罪规制侵害健康信息的行为③,但由于具有谦抑性,入刑标准高,所以许多健康信息泄露案件被排除在刑法规制以外。笔者通过查阅中国裁判文书网,仅2020年便产出了3 003篇有关侵害公民个人信息的裁判文书,但涉及健康信息的判决仅有9篇。当下要求出台具有专门针对性的法规并不现实,只能在现有法律中寻求一条更具包容性、灵活性的路径以荫庇健康信息保护。基于此,《民法典》第1034条将健康信息保护提升至法典高度,从民法基本法视角对健康信息保护进行了回应,为规制健康信息侵权提供了私法解决路径,具有里程碑意义。2021年8月,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的出台,进一步完善了健康信息的保护之网。作为个人信息领域的基础性法律,《个人信息保护法》第28条明确将健康信息规定为敏感个人信息,并给予更高位阶的保护,标志着立法对健康信息的重视进入新阶段④。然而无论是《民法典》还是《个人信息保护法》对健康信息的规定都过于概括,其运用有赖于解释论上的细化。
三、个人健康信息的本质与特征
(一)个人健康信息的内涵与外延
个人健康信息是指在疾病预防、诊断、治疗等过程中获取的与个人身心健康状况相关的信息,是与特定个人相关联、反映个体特征、具有可识别性的符号[2]。健康信息的外延随着医疗卫生产业的发展而不断扩充,从外显性信息扩充至精神、心理信息等内显性信息,其可分为四大类:医疗服务信息、健康状况信息、个人肌理信息和遗传基因信息。医疗服务信息是指个人因医疗而产生的数据信息,如求诊原因、症状、手术记录、就诊花费等。健康状况信息是有关个人身心状况的信息,如残疾情况、心理和精神疾病状况等。个人肌理信息是指蕴含个人肌体特征的信息,如身高体重、肺活量等。遗传基因信息是指反映主体遗传本质的信息,其不仅与个体有关,还可推算出个体家庭、族群等群体的健康状况,包括基因信息、家族病史、遗传病史等。遗传基因信息在测量和预测健康状况方面具有巨大价值,是认知和掌握疾病的发生、发展和分布规律的基础资料。《中华人民共和国人类遗传资源管理条例》和《中华人民共和国生物安全法》的相继出台表明了立法者对遗传基因信息的重视⑤。然而,对于遗传基因信息究竟属何种信息,立法规定并不明朗,导致学术界对这一问题有所争议。《健康信息学:推动个人健康信息跨国流动的数据保护指南》中将“遗传学或基因组学数据”定义为“特别敏感”的个人健康数据;而《生物识别信息的保护要求(征求意见稿)》却又将DNA与人脸、指纹、步态等并列称之为生物识别信息。笔者认为,解决这一问题首先应明确生物识别信息和健康信息的区别。生物识别信息和健康信息虽然都体现了主体的身体、生理等特征,可直接反映出主体的身体特质,但生物识别信息更多是一种具有外在描述性,强调主体独特物理性质的信息,而健康信息更侧重于信息与主体生老病死、生命健康之间的内在联系。遗传基因是DNA链中带有特殊遗传信息的一小段,是决定生命健康的内在要素,但由于遗传基因是由DNA中碱基的排列顺序所决定的,所以遗传基因同时具备独特的生物识别性。因此,遗传基因信息的归属不应做事先的简单分类,而是应当根据使用场合、目的和方式做场景化分析。若处理者仅是就主体基因的碱基序列进行简单比照,则此时遗传基因信息应认定为生物识别信息。而若处理者就基因链条进行深度挖掘,获取主体更为深层的健康状况,则将遗传基因信息认定为健康信息更为适宜。
(二)个人健康信息的特殊性
较一般信息相比,个人健康信息更具特殊性。
第一,高度敏感性。美国学者Ohm曾提出了“多重因素检测”法,以信息泄露的损害严重性、损害发生的几率以及公众对信息敏感性的认可度来界定信息的敏感度[3]。个人健康信息所展现的内容是承载主体的精神、心理和身体的隐秘细节,一旦被非法披露,极易引发人身歧视、下游犯罪等问题,并且会严重损害主体的就业权、自由权等带有人权性质的基本权利。健康信息中的生育状况、性功能、传染病等均是极为敏感和私密的个人信息。因此,中国《个人信息保护法》明确将健康信息认定为敏感信息,给予更高阶的保护。在敏感信息的内部,健康信息也处于卓然地位。《个人信息保护法》列举的金融账户、个人行踪等敏感信息以主体社会性特征为基础,外在于主体,而健康信息反应的是主体的内在,不仅具备更高的识别性,且具有伦理性,与主体的尊严、自由等息息相关,进而具备更高的敏感性[4]。
第二,社会公共性。不同于其他信息,个人健康信息具有极强的社会公共性。有学者指出,假使必须要赋予健康数据法定所有权,那也必须是非排他性的[5]。个人健康信息的公共性主要来源于三方面。首先,信息的生成方式。个人健康信息的生成往往需要依靠其他主体,如病历、体检报告、基因检测报告等健康信息仅依靠信息主体是难以自动生成的,必须由专业人员参与配合。其次,信息内容的涉他性。虽然健康信息体现的是主体的健康状况,但个人的健康状况不仅事关自身生活,有时还会影响到其他主体乃至社会的安全。因此,在特定情况下,个人健康信息需要受到其他主体或公众知情权的限制,如涉疫人员的信息通报等。最后,信息的公共价值。健康信息蕴含丰富的社会公共价值,疫情防治、药物研究、医学教学等社会公共活动都必须以海量的个人健康信息做支撑。
第三,弱控制性。相较于其他个人信息,主体对于健康信息的控制性更弱,这主要源于三方面。首先,传统家长主义的影响。中国健康医疗活动中的双方关系依旧以传统家长主义为特征,即提供服务方利用专业知识占据主动地位,而接受服务方仅被动接受对方的决策,双方之间实质上是一种不对等关系,提供服务方的意志不可避免地影响着接受服务方对信息作出的决定。其次,大数据技术的影响。大数据技术使得个人健康信息的处理更为复杂,信息需在多个主体之间流转,削弱了主体对健康信息的控制力。最后,信息固有关联性的影响。主体的健康信息之间具有高度关联性,处理者可通过深度挖掘一种健康信息进而获取到主体的别种健康信息。此外,健康信息在群体之间也具有高度关联性,其不仅能反映出主体自身的健康状况,也可以了解到主体其他亲属的健康状况,单个主体的健康信息泄露可能造成一个群体的健康信息外泄。
第四,多层应用价值性。大数据时代,个人健康信息的应用价值早已突破狭隘的医疗活动,渗透至国家管理、公共健康、产业发展等多个层面。首先,在国家层面。健康信息被广泛应用于案件侦查、治安管理、出入境管理等领域。在面对重大卫生事件时,国家通过整合健康信息,可实现涉疫信息第一时间发布、并限制涉疫人员的活动。司法部门也可利用大数据侦查技术对比基因信息,完成犯罪嫌疑人的排查工作。其次,在社会层面。健康信息对实现全民健康具有重大意义,当前中国正在积极构建健康信息共享机制,为实现全民健康提供数据支持。《“健康中国2030”规划纲要》中指出要消除数据壁垒,建立跨部门跨领域密切配合、统一归口的健康医疗数据共享机制。最后,在产业层面。健康信息与大数据技术融合,促成了精准医学的出现,使得医生能够超越以往基于疾病临床表现的诊疗方式,转而从遗传学和分子特征去寻找致病原因,提高诊断与治疗的准确性,推动了颠覆医疗时代的到来⑥。
(三)个人健康信息下的民事权益
自然人对自身的健康信息究竟享有何种民事权益,这是适用《民法典》保护健康信息的前提。
首先,自然人对健康信息享有个人信息权益。《民法典》第1034条将健康信息认定为个人信息的一种具体类型,主体对其健康信息享有民事利益是毋庸置疑的,但这种利益究竟是一种具体人格权还是一种人格权益,学术界有不同的声音⑦。笔者认为,主体对健康信息享有的应是一种人格权益,而非具体人格权。因为一项利益上升为权利必须满足具备具体的客体,可归于特定主体享有以及确有设定权利保护的必要性三个条件[6],但个人信息的内涵和外延都不甚清晰,难以界定出具体客体。个人信息同时具备个人属性和公共属性,若强行将其归于特定主体享有,则可能会导致出现大量的“信息孤岛”。同时,个人信息与其他具体人格权存在重合之处,如面部信息与肖像权、身份信息与姓名权、私密信息与隐私权等,所以,一方面个人信息无上升至权利保护的必要,另一方面如若立法强行将其设置为具体人格权,反而会干扰其他具体人格权的适用。因此,自然人对健康信息享有的应仅是一种人格权益。
其次,自然人还可对健康信息享有隐私权。《民法典》第1032条第2款规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,所以自然人对自身的私密健康信息也可享有隐私权。私密健康信息应具备主客观两个要件:第一,在主观上,主体不愿信息被他人知晓,即主体对健康信息具有合理隐私期待。美国在1967年Kate v.United States案中确立了隐私合理期待理论,认为主体对健康信息是否存在隐私期待是决定信息是否属于隐私的核心要素[7]。私密信息强调私人性,即信息不涉及公共利益或其他利益,在涉及公共利益或其他利益的情况下,主体应当意识到健康信息可能会受到限制,进而无法保持私密状态,从而降低隐私期待。因此,健康信息与其他利益的关联性越低,主体的隐私期待也就越高。第二,在客观上,个人健康信息处于秘密状态。很多时候主体的健康状况会直接通过外在的肌体状态表现出来,且在日常生活中,健康信息也可能会在特定主体之间“共享”,更甚进入“陌生人的领域”。判定相对开放的健康信息是否具有秘密性,可借鉴德国的“领域理论”,即通过判断健康信息与外界的交互程度(如是否可被不特定主体获取,外界获取是否需要特殊权限等)来判断其是否具有私密性⑧。
四、处理个人健康信息的正当情形
保护健康信息不是要一味拒绝信息的共享和开发,处理健康信息也并不意味着会全然牺牲个体的信息权益。数据时代,应对个人健康信息处理持审慎包容的态度,允许健康信息在正当情形下被处理。结合《民法典》和《个人信息保护法》的规定,需要进一步讨论的处理个人健康信息的正当情形包括以下三种:基于知情同意的健康信息处理、处理已公开的健康信息以及为维护别种利益的信息合理处理。
(一)基于知情同意的健康信息处理
知情同意是主体自主的衍生物,是信息处理语境下的帝王规则。健康信息所攸关之个人利益甚巨,尤应全面考虑主体的知情同意权。中国《个人信息保护法》第29条规定:基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。健康信息作为敏感信息的子类别,当然受此条保护,但第29条的不足之处在于,其并未就“同意”作详细阐述。欧盟《一般数据保护条例》对数据主体的“同意”作出了细致的规定,其第4条规定,数据主体的“同意”是指任何自由、具体、知情和毫不含糊地表示数据主体意愿的行为,通过声明或明确的肯定行为表示同意处理与其有关的个人数据。若想要知情同意规则更好地为健康信息保护服务,则应对健康信息语境下的“同意”做更加细致的解释。
首先,同意应是尊重主体意志的。知情同意强调主体自决,必须充分尊重主体真实意愿,保障主体的信息自决权。处理者每次处理健康信息时都必须征得信息主体的同意,但并非所有情况下,处理者均可取得本人的有效同意。为应对现实中的各种突发情况,赋予相关人员代为同意权是合理的。例如,美国HIPAA法案规定,未成年人的父母可被视为未成年人的个人代表,代替未成年人作出同意的决定。然而,由于个人健康信息与主体的人格尊严密切相关,尤其是生育状况、性生活、精神状况等高度敏感信息,一旦被非法处理,对主体产生的不良影响可能会伴其一生,所以即使是在他人代为同意处理的场景下,处理者征求主体本身的意愿也是必要的。例如,日本《疫学研究伦理指针》规定,即使信息主体存在智力障碍或未满十六周岁的情形,信息收集者仍应尽其努力以易懂的言语对主体作充分说明以得其理解。当信息主体与代理同意人的意见产生巨大分歧时,仍应以主体的意愿为主,除非是在为了保障其生命、健康等基本权利或信息主体并不具备基本的认知能力时。这一要求可能会造成处理信息受阻,但对比信息泄露带来的损害和处理带来的收益,保障健康信息处于安全状态显然更符合成本效益考量。
其次,同意应是明确的。以同意的方式为依据,知情同意模式可被划分为“选择退出”模式和“选择进入”模式。“选择退出”模式是指在主体未明确拒绝的情况下,视为主体默认同意处理信息;“选择进入”模式则需要信息主体对信息处理作出明确授权的行为,即通过书面、口头等方式自主作出肯定性表示。“选择退出”模式作为一种弱同意模式,能够修正同意的不足和优化信息资源的配置,但同时将控制风险的负担转嫁给了信息主体,客观上致使信息控制权发生弱化[8]。从健康信息技术运用的初级阶段到普及阶段,健康信息泄露的风险呈阶梯式上升,加强主体的信息控制权是必要的,过于宽松的“选择退出”模式并不适配于颇具风险的健康信息处理,日本《个人信息保护法》便明确规定医疗健康信息不适用“选择退出”模式[9]。相比之下,“选择进入”模式更合适健康信息领域。欧盟《一般数据保护条例》采用“选择进入”模式,其第9条规定,原则上禁止处理健康信息,除非信息主体已经明确同意用于一个或多个特定目的。在“选择进入”模式中,处理者应对信息处理活动进行详尽阐释,内容应包括但不限于:①需要被处理的健康信息;②将处理健康信息的个人或组织的名称;③每次处理的目的;④信息主体有权拒绝签署授权而不会对治疗或健康计划造成负面影响等。此种模式更能促进主体对于健康信息处理以及潜在风险的理解,从而保障主体的信息控制权。
最后,同意应是个性化的。目前实践中的“知情同意”条款多采用“全有或全无”的同意模式,但这一模式实质上并未给予主体选择的空间。主体在作决定时,往往是带有服务需求的,其若想接受相应的服务,就必须全部同意条款中的事项,信息自决权实质上被剥夺。健康信息内部敏感程度参差不齐,主体的“同意”应是针对不同敏感程度的健康信息作出的个性化同意,而并非“全有或全无”的“一揽子”同意。美国在同意模式中引入粒型方法(Granular Approaches),值得借鉴。粒型方法要求处理者应依据特定的标准为用户提供个性化选择,允许用户逐项勾选同意部分条款。例如,美国国家安全与健康统计中心允许用户预先设定可处理的健康信息,将生殖健康记录、药物治疗记录,精神健康记录等信息保持为私密状态,并允许收集其他敏感性不强的健康信息,如视力、肺活量等肌理信息[10]。此外,处理者还可根据利用者的身份、访问时间、访问目的等对同意条款进行动态调整。例如,依据处理者的身份,用户可以选择向组织中某几类医疗服务提供者披露健康信息或者限制某几类特定人群访问其健康信息。这一方法一方面保障了主体的信息自决权,另一方面也使得处理者的服务更加人性化。
(二)处理已公开的个人健康信息
《民法典》第1036条第2款规定,合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。公开健康信息是指主体自行公开或依法公开的、具有绝对公开性、不特定主体都可自由使用、重新使用并传播的健康信息。健康信息的公开必须具备合法性,被非法公开的健康信息不属于第1036条规定的范围。信息公开的方式包括两种:自行公开和依法公开[11]。自行公开是指信息主体在主观上出于自愿,在客观上面向不特定主体进行的信息公开。自行公开下,信息主体明确了解健康信息的内容,知晓公开行为将使健康信息处于不可控的状态,进而丧失隐私期待。依法公开主要是指司法公开、行政公开等强制公开情形,体现出信息主体对公开行为的被动性,会对主体的权利造成一定限制,所以依法公开应当是最后选择,而不能成为一般性方式。同时,依法公开主体和目的也必须被严格限定,以防止公权力过度侵犯主体信息权益。在主体上,公开主体必须为公权力部门如行政部门、司法部门等,商业组织等均无权自行公开在运营过程中所获取的健康信息。在目的上,健康信息的公开必须基于维护公共利益的目的。
公开信息由于剥离了隐私属性,敏感程度有所下降,因此《民法典》对公开信息的处理采取开放态度,适当降低了保护力度。虽然立法对公开信息坚持利用利益原则,但这并不意味着主体对公开信息不再享有自决权,处理者的处理行为没有法律边界。德国联邦宪法法院认为,个人信息的保护并不会因为信息可被公开获取就必然落空,公共空间里的个人信息利益也应被信息自决权所包含[12]。中国《民法典》第1034条规定信息受保护条件是具备可识别性,即可以通过信息直接或者间接识别出具体个人。因此,即使健康信息处于公开状态也仍具备可识别性,仍属法律保护的对象。公开的健康信息虽然不存在泄露的问题,但其被窃取、篡改、非法二次利用的风险依旧存在,所以主体对公开健康信息仍具有保护期待。依据《民法典》第1036条规定,在主体明确拒绝处理其公开信息或处理公开信息有损主体重大利益时,利用者不可再使用该公开信息,这是处理公开健康信息需要遵循的最低要求。因此,处理者处理公开的健康信息时虽不必获得主体同意,但仍需将处理行为告知主体,使其了解健康信息将被用于何种场景之下,处理行为会对自身造成何种影响,以便主体后续行使拒绝权。但由于健康信息的公共属性,主体的拒绝权并非绝对的。例如,欧盟《一般数据保护条例》第21条规定,数据主体有权在任何时候,以与其自身状况有关的事实,拒绝信息的处理。除非控制者有令人信服的合法理由证明其可以处理凌驾于数据主体的利益、权利、自由之上的信息,或提出、行使或辩护合法的申索。因此,当处理者利用主体的公开健康信息是出于维护公共利益或执行公务的目的时,主体的自决权会受到限制,主体行使拒绝权并不一定会得到支持[13]。此外,处理者在处理公开健康信息时也必须严格遵循比例原则,选择适宜的方式,最大程度避免对信息主体带来的负面影响,不得损害主体的重大利益。此处的重大利益应指主体的生命、自由、财产等基本权益。
(三)为维护正当利益的信息合理处理
依据《民法典》第1036条第3款规定,处理者为维护公共利益或者该自然人合法权益,合理处理主体的信息无需承担责任。这为维护别种利益而合理处理健康信息提供了法律注脚。
1.为维护公共利益的健康信息处理
信息保护并不禁止处理涉及公共利益的健康信息。运用这一规则的关键点在于处理者必须严格遵循权利位阶原则,将公共利益与主体的信息自决权进行位阶对比,判断是否存在更高位阶、更具现实紧迫性的公共利益健康信息涉及公共健康、社会保障等多种公共利益,各国对健康信息处理中的“公共利益”的规定不尽相同。例如,美国HIPAA法案规定,未经主体同意,可出于公共卫生目的披露健康信息,包括:①联邦或州法律授权公共卫生当局收集个人信息以预防或控制疾病、伤害或残疾,或报告虐待儿童事件;②通知可能面临传染病风险或接触传染病的人(如伴侣通知规定);③关于不良事件、产品的跟踪和召回,以及受食品和药物管理局管辖的主体上市后的监督[14]。德国《联邦数据保护法》第22条 规定,出于社会保障管理、预防医学和公共卫生利益以及防止公共伤害的目的,处理健康信息是允许的[15]。虽然各国的具体规定存在差异,但其所列举的公共利益都是现实紧迫的,这是因为公共利益的维护会限制信息主体的个人权益,甚至可能会突破法律保留原则[16],所以此处的公共利益必须具备现实紧迫性,以防公权力无限扩张,过度侵占主体的个人领域[17]。例如,健康码的应用一方面保障了疫情防控工作的推进,另一方面却也增加了健康信息泄露的风险,此时便需要将公共健康利益与个人信息权益进行衡量,考量公共健康利益是否具有现实紧迫性,是否处于更高位阶。健康信息泄露的损害具有随机性和不确定性,而疫情防控所保护的公共健康是紧迫的,疫情失控的损失是巨大的和可量化的,所以此时应认为公共利益优先于个人信息权,公务部门运用健康码的行为具有正当性。但2021年 杭州市健康码探索常态化利用,希望以在新冠肺炎疫情期间搜集到的健康信息为基础,开发新的公用健康功能,如电子病历、健康资料库等[18]。杭州市政府所进行的信息应用具有长周期性、非紧迫性,所维护的公共健康利益很难即刻关切到社会公众,也就很难优先于健康信息保护。
2.为维护该自然人的合法权益的健康信息处理
权利位阶的对比不仅存在于集体和个人之间,自然人的权利内部也存在高低之分,生命权、自由权等基本权利明显要高于个人信息权益。例如,欧盟《一般数据保护条例》第6条明确规定,在个人数据转移中尤其是在事关自然人生命和健康权利时,存在数据主体“同意的例外”。同时,由于维护的是主体自身利益,因此主体的合理期待也是必要考量因素,即其是否愿意为维护其他权益而让渡信息权益。印度《个人数据保护法(草案)》便将主体的合理期待作为此种场景下的重要考量要素⑨。例如,在突发病情中,主体需及时接受抢救,医疗机构需调取其以往病史、药物过敏等情况辅佐救治。在紧急状况下,以减损信息权的方式维护更为高阶的生命权、健康权等基本权利应当被认定为是符合理性人的合理期待的,此时医疗机构自主调取和利用当事人的健康信息应被认定为是合理的。又如,司法机关在调查当事人被家暴、性侵或自杀时可能需要了解当事人伤残情况、性经历、流产史等健康信息,此时健康信息的储存机构为了保障该自然人的合法权益,向有关机关报告对应的健康信息也应被认定为是符合当事人的合理期待的,不构成侵权。
五、侵害健康信息的侵权责任
健康信息侵权应在传统四要件的体系下展开。在健康信息的语境下,信息主体和处理者之间本就处于不平等地位,大数据技术的加入进一步放大了健康信息的弱控制性,使信息主体在侵权要件的证明上更显无力。为解决这一问题,侵权要件需在原有基础之上作出灵活变通,在一般化的要件体系之下,充分体现健康信息的特殊性。
(一)加害行为——信息共享下加害行为的认定
侵权责任的成立以加害行为为前提,若权利人无法证明加害行为的存在或根本不知晓加害行为的发生,侵权责任救济也就无从谈起。个人健康信息以往多由单一主体处理,加害行为表现为隐蔽性不强的窃取、涂改等形式。大数据时代,信息共享成为普遍现象,各个信息处理者开始频繁共享各自掌握的健康信息,以实现资源的重复利用,降低成本,实现同信息社会效益的最大化[19]。但频繁的信息交互会削弱主体对健康信息的控制力,使其对加害行为的感知力大幅下降。以电子病历为例,电子病历需以病历系统作为基础,以医疗机构收集的临床信息作为信息库,并由医疗机构或公务机构储存管理,后续又可能被应用于公务管理、伤残鉴定、保险理赔、职业病诊断等多种场合。因此,从电子病历建立到利用的过程中,网络服务的接入者、提供技术支持的中介机构、交互式共享下的汇编者、存档者等皆存在泄露信息的可能性[20]。若此时加害行为出现,信息主体要证明自己的信息是在何时何处被何人所泄露显得异常困难。有学者对信息共享时加害行为的证明进行了反思,提出了共同危险行为说[21]。共同危险行为说认为,多个信息处理行为相互连结形成一个整体,使得被侵权人陷入难以无法识别具体侵权行为的举证困境,可将处理者的行为认定为一种危险行为,适用共同危险行为制度以降低信息主体的举证难度。在比较法上,欧盟《一般数据保护条例》也有类似规定,其第 82 条第4项规定:“当不止一个控制者或处理者,或控制者与处理者同时涉及同一处理,而且它们对第2段和第3段规定的处理所引起的所有损失承担责任,每个控制者或处理者都应当对损失负有连带责任,以便保证对数据主体的有效赔偿。”此次中国《个人信息保护法》对于多个处理者场景下的侵权责任承担的规定,也体现了这一理念,其第20条第2款规定,个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
共同危险行为制度可用于解决主体仅知晓是哪些人实施了危险行为、但无法证明造成自身损害的行为究竟是何人所为的情况。中国《民法典》第1170条规定二人以上实施危及他人人身、财产安全的行为,其中一人或者数人的行为造成他人损害,能够确定具体侵权人的,由侵权人承担责任;不能确定具体侵权人的,行为人承担连带责任。依照《民法典》对共同危险行为的制度设计,用其解决健康信息共享时加害行为不明的问题是可行的。首先,多个处理行为结合成一个整体。共同危险行为强调行为之间的“时空关联性”,在健康信息共享的场景下,每个处理者共享健康信息,处理活动上下相互交互、密切相连,处理行为结合成一个整体。其次,处理者的处理行为具有危险性。共同危险行为中“危险”是被严格限缩的,如程啸[22]认为,共同危险行为中“危及他人人身、财产安全”的“危险”应解释为具有“高度造成损害的可能性”的“危险”,而非一般性的“危险”。一般信息在被处理时产生的是一种抽象性、一般性的“风险”,并不能完全被认定为共同危险行为中的“危险”。但健康信息属高敏感性信息,原本应当处于隐秘状态,即使是合法的处理行为也可能减损主体权益,所以健康信息处理是存在固有风险的,是有高度可能性造成主体损害的,应当被认定为是一种“危及他人人身、财产安全”的危险行为。最后,难以确定损害结果由谁造成。信息自动化处理技术、多主体的参与等使得信息主体的对加害行为的感知力下降,难以断定权益究竟在何处何时被何人所侵害。
综上可知,在信息共享的场景下,加害行为的证明可适用共同危险行为制度。依照共同危险行为的证明要求,信息主体只需要证明数个处理者对实施了整体性的危险活动,且权益受损的结果确由上述处理行为引起即可,无需证明每个行为人单独行为的内部具体细节。在健康信息的侵权案件中,信息主体只需要证明自己将健康信息交付给处理者处理,具体的处理者包括哪些,多个处理者对自己的健康信息进行了整体性的处理活动,自己受有损失的情况确由被处理健康信息泄露造成,便已经完成了加害行为的证明。此时证明的责任转移至处理者身上,处理者需要通过证明自身的处理行为并不会引起健康信息泄露的发生,即行为与损害结果之间不存在因果关系进行抗辩,从而摆脱侵权责任。
(二)损害结果——引入风险性损害
损害结果的证明不仅事关侵权责任的成立,更关系到在填平规则下信息主体可得到多少救济。侵害信息权的行为多是“程序性违法行为”,即未事先通知、未征得同意、未及时删除等[23],而“程序性违法行为”有时并不会带来人身伤害或财产损失等实质性损害,更多是一种无形的风险性损害,即未来发生隐私被窥探、身份被盗用的潜在风险,这些风险有时会让主体产生难以言明的恐惧与焦虑等不良的精神或心理反应[24]。实务中对于损害结果大多采用狭义解释,要求损害事实是已经发生或是即将发生的、可确定的,而并非主体主观臆想的,所以若在诉讼过程中权利人仅诉称信息泄露可能会造成未来身份盗用、欺诈或名誉受损的风险,会让他们感到焦虑,这种诉求常常会因权利人难以证明损失的可确定性,而无法得到认可。例如,在美国 Reilly v.Ceridian Corp.案中,第三巡回法院认定原告没有受到伤害,因为原告身份被盗用或欺诈的风险是不具体的、非现实的,原告对身份盗用风险增加的担忧以及为防止这种盗用而花费的费用,是“完全基于一个未知第三方的投机性行为”[25]。
在隐私权侵权案件中,损害结果的范围得到了适度的扩张,无形的损害也被认定为一种实质性的损害结果[26]。在司法实践中,信息主体只要能证明隐私信息被他人非法公开、隐私生活被他人窥探,即可被认定为隐私权受有损失,如2021年的蒋某与曹某的隐私权纠纷案、2020年王某与李某等的隐私权纠纷案等⑩。隐私权是一种绝对性权利,强调隐私绝对不受侵犯,所以在隐私权侵权中承认无形损害是必要的。然而,个人信息并非一种具有绝对排他性的权利,与隐私权存在一定差别,是否应在信息侵权领域承认无形的风险性损害,还需要进一步讨论。信息的价值在于流通和交互,若在信息侵权案件中无差别引入无形的风险性损害,会使得现实中侵权案件频发。然而,健康信息作为一种高度敏感信息,蕴含大量有关生理、病理的信息素,被泄露后带给主体风险性损害较一般信息更严重。健康信息收集多采用实名制,被非法公开后可直接对应到具体个人,大幅增加了下游犯罪发生的可能性。传染病史、流产史、性功能等隐秘内容被公开后,很可能会引发人身歧视等问题,给主体带来强烈的压迫感和羞耻感。个体的遗传病史、家族病史等遗传信息若被泄露会殃及整个族群,使得族群污名化的风险激增。因此,即使只是健康信息泄露所带来的风险性损害也确有救济的必要。在健康信息侵权中应对损害结果做更加开放的解释,将风险性损害吸纳为一种新型的损害结果。
在比较法上,吸纳风险性损害作为健康信息侵权中的损害结果已成为发展趋势。例如,美国HIPAA条例规定,未经授权披露个人健康信息是一种具体的损害,应予以严惩。美国联邦最高法院在Spokeo,Inc.v.Robins案中也指出,当无形风险在满足特定条件下可以是具体的,可确定的[27]。中国《民法典》第1226条也体现出在医疗信息领域将风险性损害认定为损害结果的倾向,其规定医疗机构及其医务人员应当对患者的隐私和个人信息保密,泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。第1226条在原《中华人民共和国侵权责任法》第62条的基础上删除有关“造成患者损害”的措辞,这一变动这并不意味着医疗信息侵权无需再具备损害结果要件,而恰是体现了《民法典》将医疗信息泄露所来的无形风险认定为一种具体损害的趋向。风险并非不可量化。根据《个人信息保护法》第56条第2款的规定,处理者在处理敏感信息时应当进行风险评估。这其实也证明了健康信息处理的风险是可以采用特定手段予以量化的。风险性损害应当包括外部损害和内部损害两类,其中,外部损害主要包括信息主体为避免风险所支出的费用和主体因侵权行为所增加的合理支出等财产性损害;内部损害则是指主体因为健康信息泄漏所产生精神压迫等精神性损害[28]。在诉讼过程中,主体举证自己因为风险性损害所增加的额外支出以及内心焦虑的精神压力应当被认定为一种损失。但需要注意的是,根据《民法典》1183条 的规定,被侵权人请求精神损害赔偿需要遭受严重的精神损害,所以在健康信息侵权案件中,若权利人主张精神损害赔偿,仅仅证明健康信息泄露带来了潜在风险还不足够,还须进一步证明潜在风险对其造成了严重精神损害[29]。
(三)主观过错——过错认定客观化
由于《民法典》并未为信息侵权设置特殊的归责原则。主观过错是侵权人可被归责的基础,但其作为一种主观心态,除本人外,通常难以被他人掌握,因此,信息处理者究竟应如何证明自身不存在主观过错,司法机关又应如何认定,是亟待进一步明确的问题。结合法官的社会经验以推定事发时处理者的主观过错[30]。有学者认为,义务的违反是一般过错责任的客观基础事实,由于侵权人违反了法定义务,从而致使侵权人具有可归责性[31],因此,法定义务的违反实则是内心过错的外部流露,过错与义务违反实际是一体两面的关系,若处理者可证明自身已完全履行相关的法定义务,则应当认定为其不存在主观过错,反之,则应认定为处理者存在主观过错。
具体到健康信息领域,云计算、物联网等技术的介入,不断突破健康产业的“天花板”,为处理者带来巨大收益,高收益与高风险结伴而行,处理者也应承担更高的法定注意义务。健康信息作为一种更为特殊的信息,法律为其处理设置了诸多限制性条件,处理者应尽到必要的注意义务,满足法定的各项限制性条件。不同类型的健康信息对应不同的义务要求,过错认定的客观化处理也应有所区别。首先,非公开健康信息。非公开健康信息属于法律倾斜保护的范围,比较法对此类健康信息处理多采用“禁止为原则、许可为例外”的严格要求。欧盟《一般数据保护条例》第9条将健康信息认定为特殊类别,并禁止健康信息的处理。中国台湾地区所谓“个人资料保护法”第6条规定:有关病例、医疗、基因、性生活、健康检查等个人资料不得被收集、处理和利用。中国《个人信息保护法》第28条将健康信息认定为敏感信息,规定只有在个人信息处理者具有特定的目的和充分的必要性,方可处理。因此,非公开健康信息原则上是不可被处理的,在非公开健康信息侵权案件中,信息主体只需证明处理者对其健康信息进行处理即可推定处理者违反了法定义务,进而推定处理者存在主观过错[32]。处理者可通过举证说明处理行为获取了主体的明确同意或存在其他合法事由,以证明不存在主观过错。其次,公开健康信息。公开健康信息原则上是可以被处理的,但其处理也应当符合合法、正当、必要的基本原则以及法律规定的基本义务。若信息处理者可以证明处理行为是必要为之或自身已经履行法律规定的特定义务,但依旧无法避免给主体造成人身、财产等权利损害,则可以证明自身不存在主观过错。
(四)因果关系——依处理者数量动态调整
因果关系是侵权责任成立的必备要件。在信息侵权中,因果关系的证明较一般侵权更为困难。导致现实生活中大量信息主体无法得到救济。对此,有学者认为可采用举证责任倒置的方式,直接由处理者承担因果关系要件的证明责任[33]。但举证责任倒置并无法律依据,当下解决证明难题仍应在传统的因果关系理论中解决。单一处理者和复数处理者对主体带来的因果关系的证明障碍是有所区别的,因此解决方式也应相应调整。
在单一信息处理者的场景下,因果关系的证明难题主要归结于信息处理的高度复杂性,这一问题是信息产业发展带来的客观问题,法律不能苛求受害人证明超出其举证能力范围的事物[34]。因此,可适当降低因果关系的证明标准,变“唯一性”标准为“高度盖然性”标准。在实务中已有法院对因果关系的证明采用了“高度盖然性”标准,如“庞某某诉趣拿及东航案”“林某某诉川航案”等。在“高度盖然性”标准下,受害人证明其将健康信息交付给平台使用,而权益受损的事实很大程度上可能是由于处理者造成的,使法院达到“因果关系很可能存在”的内心确信即可。此后,法官可以通过各类间接证据以加强这种关联性。在复数处理者参与的场景下,多个处理者的行为相互联结导致侵权行为往往不如单一侵权明朗,当事人很多情况都不知侵权行为的出现,更遑论证明侵权行为与损害结果之间的因果关系。此时可适用《个人信息保护法》第20条的规定,不仅可以完成侵权行为的证明,也可降低因果关系的证明难度。多个处理行为的相互联结致使主体证明因果关系的难度激增,法律进而对主体进行倾斜保护,推定为每个处理者的行为均与损害结果存在因果关系。信息主体通过主张多个处理者的行为构成共同危险行为,即可推定处理者的处理行为与损害结果之间存在因果关系,处理者可通过举反证证明因果关系不存在。至此,因果关系的证明责任实质上由处理者承担。
六、结语
在大数据技术与健康产业融合发展的当下,健康信息处理呈现常态化。健康信息与人格尊严紧密相连,在个人信息领域拥有卓然地位,应当被给予全面的保护。《民法典》的出台为健康信息提供了私法保护基础。健康信息的侵权责任认定应在传统四要件基础上充分考虑健康信息的独特性以及不同类别信息之间的差异性。在具体利用上,无论是知情同意规则,公开信息的使用规则还是合理处理规则都应较一般信息作更严格的要求。以《民法典》出台为契机,中国应努力在健康信息权益保护和健康信息价值开发之间找寻平衡点。
注释:
① 《中华人民共和国民法典》第1034条第2款:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
② 《医疗机构病历管理规定》第6条:“医疗机构及其医务人员应当严格保护患者隐私,禁止以非医疗、教学、研究目的泄露患者的病历资料。”《医疗美容服务管理办法》第20条:“美容医疗机构和医疗美容科室的从业人员要尊重就医者的隐私权,未经就医者本人或监护人同意,不得向第三方披露就医者病情及病历资料。”《中华人民共和国传染病防治法》第67条第7款的:“故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。”
③ 2015年《刑法修正案(九)》新增侵害公民个人信息罪。随后,2017年最高人民法院、最高人民检察院出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯公民健康信息的刑事案件适用法律规定了具体规则,其中第5条第4款规定:“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的属于‘情节严重’。”
④ 《中华人民共和国个人信息保护法》第28条:“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”
⑤ 2019年《中华人民共和国人类遗传资源管理条例》第1条:“为了有效保护和合理利用我国人类遗传资源,维护公众健康、国家安全和社会公共利益,制定本条例。”2021年《中华人民共和国生物安全法》第53条:“国家加强对我国人类遗传资源和生物资源采集、保藏、利用、对外提供等活动的管理和监督,保障人类遗传资源和生物资源安全。”
⑥ 颠覆医疗的概念由美国专家埃里克·托普医生提出。他认为,传感、纳米技术与健康医疗产业的融入,已经全面颠覆了人们对医疗的认识。医学诊断已转化为全人全程的数据跟踪、疾病预防、精准治疗。参见:埃里克·托普.颠覆医疗:大数据时代的个人健康革命[M].张南,魏薇,何雨师,译.北京:电子工业出版社,2014:3。
⑦ 杨立新教授认为,《民法典》将个人信息列于具体人格权之列,已经表明立法者有意将个人信息作为一种独立具体的人格权。参见:杨立新.我国民法典人格权立法的创新发展[J].法商研究,2020,37(4):18—31。而王利明教授则认为,自然人对个人信息所享有的仅是一种人格权益。参见:王利明.民法典人格权编的亮点与创新[J].中国法学,2020(4):5—25。
⑧ 德国司法实践将个人领域划分为隐私领域、私人领域和社会领域。私人领域是介于隐私领域和社会领域的中间地带,其中的信息与外界存在一定交互,与前文所述的相对开放的健康信息类似。德国法对此领域的信息是否属于隐私主要是依据其面向外界的程度来进行判断。
⑨ 依据印度《个人数据保护法(草案)》第14条的规定,除了基于第12条(基于公共利益的处理)和第13条(基于雇佣关系的处理)处理依据外,个人数据可以考虑处理场景以及数据主体的合理期待后,在没有获得第11条同意的情况下被处理。
⑩ 在蒋某与曹某的隐私权纠纷纠纷案中,法院认为蒋某未经曹某同意擅自公开曹某的家庭住址、工作单位的行为已造成曹某的隐私权受损,认定蒋某构成隐私权侵权。参见:贵州省贵阳市中级人民法院民事判决书,(2021)黔01民终975号。在王某与李某等的隐私权纠纷案中,法院认定李某等人在自家房顶等地安置的摄像头,能够拍摄到王某的私密空间,已然损害了王某的隐私权,认定李某等人构成隐私权侵权。参见:北京市房山区人民法院民事判决书,(2020)京0111民初12513号。
