论个人医疗信息的匿名化处理制度

       一、引言

       我们已进入大数据时代。大数据技术在医疗领域已有广泛应用并带来巨大价值。例如，本次新冠肺炎疫情期间，我国就广泛运用大数据技术对病毒感染者的生活轨迹进行梳理，追踪人群接触史，为精准抗疫提供技术支撑；一位患者曾表示自己并无重点疫区接触史，但经大数据排查，确认其曾经至少接触过三位来自重点疫区的潜在患病人士。①2020年2月，中央网络安全和信息化委员会办公室专门印发了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》)，鼓励各类组织运用大数据技术防控疫情。和2003年的SARS相比，大数据技术的广泛应用是新时期传染病防控的重要特征。此外，大数据技术在药物开发、辅助诊断、医院管理等领域均有广泛应用。

       世界各国均十分重视医疗信息的流通和利用，并通过立法予以体现和引导。例如，日本2015年全面修订其《个人信息保护法》的主要目标之一就是“确保个人信息的正当且有效利用从而促进新兴产业的创造、激发经济社会的活力、实现国民生活的富足”②；2018年其颁布的《下一代医疗基础设施法》(次世代医療基盤法，Next Generation Infrastructure Act)更是将医疗信息作为重要的基础设施，对《个人信息保护法》所创设的匿名化处理制度进行了针对性改造，进一步便捷了医疗信息的汇聚和利用③。欧盟《一般数据保护条例》(General Data Protection Regulation，以下简称GDPR)虽被称为“史上最严个人信息保护规范”，但个人数据④的流通和利用始终是其追求的核心目标之一。⑤美国医疗信息领域的主要规范性文件是健康和人类服务部(HHS)依据《健康保险可携性和责任法》(Health Insurance Portability and Accountability Act，HIPAA)授权制定的《隐私规则》(Privacy Rule)和《资安规则》(Security Rule)，其采行了所谓的“下游保护”(downstream protection)模式，即只规制个人医疗信息的使用和披露行为而不规制搜集行为，这为医疗信息的搜集和利用创造了很大空间。⑥我国《个人信息保护法》(以下简称《个保法》)已于2021年11月1日起正式实施，该法第1条也明确将“促进个人信息合理利用”作为重要的规制目标。正如学者所言，“几乎所有国家和地区都将个人信息的流通和利用作为最终目标”⑦。

       不过，个人医疗信息颇为特殊，各国一般将其界定为个人敏感信息，给予特殊保护，要求严格适用知情同意规则，这抑制了个人医疗信息的流通和利用。一般而言，搜集和使用个人医疗信息前应征得信息主体的明示同意，默示同意规则不得适用。例如，日本《个人信息保护法》区分了个人一般信息和个人敏感信息，对于个人一般信息的搜集和使用，允许适用默示同意规则(又称选择退出规则，即OPT-OUT)⑧，而搜集和使用个人敏感信息则只能适用明示同意规则(又称选择进入规则，即OPT-IN)⑨。美国在一般信息领域，通常允许适用OPT-OUT规则，但在医疗信息领域，《隐私规则》则明确要求适用OPT-IN规则。根据我国《个保法》第14、29条的规定，无论个人一般信息还是个人敏感信息，在处理前均应获得信息主体的明示同意，个人敏感信息的处理更应获得信息主体的“单独同意”，这明显受到了GDPR的影响。总之，各国普遍在个人医疗信息领域确立了明示同意规则，这导致医疗数据的大范围搜集事实上难以执行，或成本高昂，同时，数据体量的局限性又反过来削弱了大数据分析的能力：大数据分析要求样本数据达到必要体量，数据体量越大则数据价值越高，并且呈非线性增长。⑩显然，这对于大数据抗疫及后疫情时代信息价值的挖掘显著不利。那么，如何破解上述难题呢?如何兼顾个人医疗信息的保护和利用呢?笔者认为，构建完善的匿名化处理制度是一个可行的选择。

       本文将首先对一般性的匿名化处理制度进行阐释，进而论证个人医疗信息匿名化处理特别规制的必要性及可行方案，并对我国《个保法》的相关条款进行深入评述、提出完善方案。应予指出的是，本文虽以个人医疗信息的研究为切入点，但其论证路径和研究思路具有一定程度之普适性。

       二、匿名化处理的概念阐释和效果评述

       论证匿名化处理机制的可行性，我们首先需要深入分析匿名化处理的法律概念和法律效果。

       (一)匿名化处理的法律概念阐释

       何为“匿名化”(anonymization)?我国《个保法》第73条第4项规定：“匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。”日本《个人信息保护法》第2条规定：“匿名化信息是指按照规定的方法对个人信息进行加工后获得的无法识别特定个人，并无法得到恢复的信息。”可见，两国关于“匿名化”的界定基本一致。学界也持类似观点，例如，有学者认为，“匿名化信息是指该信息先前得以用之辨识特定个人，但经匿名化处理后，此个人辨识性不再可能，而此辨识之不可能原因在于将所有可连结至特定个人之资料，皆永久去除”。(11)总之，匿名化信息有两个核心特征：一为无法识别出特定个人，二为识别性资料被永久删除而无法恢复。