大数据时代数据中间商处理个人健康信息的法律监管分析

在大数据时代，医疗健康产业蓬勃发展，基于个人健康信息大数据分析的应用，有望提升健康管理、健康服务供给、人口健康预测等公共卫生服务的质量。但同时数据中间商（DataBroker）等从事数据分析的公司通过大数据分析，在没有个人知情同意的情况下将健康信息与其他信息相结合，用于识别个人健康状况，这些公司不参与患者护理，也没有接受过医学伦理培训。非医疗机构对个人健康信息收集量的扩大将持续威胁个人医疗隐私。2021年，我国出台了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），本文通过分析《个人信息保护法》中适用于数据中间商的相关规定及所面临的问题，为后续我国个人健康信息保护法律体系的完善提出相应的建议。1大数据分析与数据中间商1.1大数据分析大数据分析作为一种用于商业机构分析大型复杂的数据集的工具，可以生成相应的商业预测，并将结果作为原始产品进行交易或者将其用于降低风险或增加利润。大数据分析包括收集、数据化、存储、处理及使用5个阶段。其中，收集是指从多来源收集信息。数据化是指将知识转换为量化格式进行分析。存储是指以标准、可用格式存储信息，并采用必要的安全措施。处理是指分析信息以确定相关性，从而生成预测并从中获利；汇总和去匿名化信息以创建个人数字画像。使用是指通过将处理结果作为原始产品进行交易或者降低风险或增加利润。1.2数据中间商定义数据中间商行业的产生是大数据分析技术发展的必然结果。目前不存在对“数据中间商”的权威定义。2012年，美国联邦贸易委员会在一份报告中将数据中间商定义为以核实个人身份、区分记录、营销产品并防止财务欺诈为目的收集个人信息并转售或共享的商业机构。该定义在一定程度上明确了收集个人信息的目的、用途，但未揭示个人信息的收集方式或信息来源。在这一方面，学者Upturn对数据中间商的定义弥补了这一缺憾，其定义数据中间商是从信息主体以外的来源收集个人信息或者通过推断来获得收入的商业机构或业务部门。基于此，将数据中间商定义为通过除信息主体直接提供外的方式获取个人信息的，而非直接向信息主体收集。也有一些观点认为，各种互联网公司、广告客户、零售商和行业协会都是数据中间商。本文采用Upturn对数据中间商的定义，识别数据中间商的关键是判断信息来源是否由信息主体提供，以及信息来源是否被公开。根据此定义，社交媒体与电子商务公司不是数据中间商，因为其收集的信息主要是由信息主体直接提供的，而不是通过其他来源收集的。研究机构也可以收集个人信息并进行分析，但必须明确引用信息来源。我国学者认为个人信息中间商是个人信息交易中最为重要的网络中枢节点，并将信息中间商定义为专门从事个人信息收集、出售双向交易的主体。该定义认为数据中间商是通过交易的方式来收集个人信息，不能涵括使用大数据分析技术为各行业提供大数据分析服务的数据中间商，更适合描述将个人信息低买高卖的主体。数据中间商更像是个人信息的经销商，其收集的有可能是自身在互联网上使用网络爬虫、日志挖掘等技术收集的个人公开信息，也有可能是第三方信息处理机构委托处理的个人信息，还可能是由第三方信息处理机构共享的经加工无法识别的特定且不能复原的个人信息。近年来，数据中间商逐渐发展成为使用大数据分析技术为各行业领域提供数据分析服务的公司。1.3数据中间商利用大数据分析的优势及存在的风险数据中间商可以从问诊记录、健康产品购买记录、互联网搜索记录、电子邮件内容、社交媒体、疾病相关论坛和移动医疗等渠道收集不同类型的信息。数据中间商利用收集到的所有类型的信息确定数据相关性，并用于个人健康状况的预测性分析，如判断信息主体是否吸烟，是否为过敏体质，是否对减肥、美容、有机食品、胆固醇、糖尿病关心，是否对网络销售药品关心，从而生成个人健康画像和健康评分，用于销售与健康相关的产品或为客户缓解健康风险。数据中间商对个人信息的大数据分析往往是在信息主体不知情或未经同意的情况下发生的，因此可能会引发多重问题。一是个人隐私被侵犯，使个人受到歧视。例如，对个人的药品购买记录去标识信息的汇总和分析可能识别出有风险的健康保险投保人，这些人将会被标签为药物成瘾者。二是个人无法验证数据中间商获取自身信息的真实性。健康分析的预测结果不是基于医生的判断或直接测量的值，而是由除医学外的学科方法计算的值所决定的，其准确性不会像科学研究结果那样被发表和复制。健康预测可能会对个人寿险投保、就业、信用评级等与其切身利益紧密相关的活动产生不利影响。三是数据中间商存储的包含大量医疗健康信息在内的敏感个人信息是黑客攻击的主要目标，有时安全漏洞会引发数据泄露。2017年，美国最大的征信机构之一Equifax发生大规模数据泄露，暴露了多达1.43亿美国人的个人隐私信息。学者指出，数据中间商行业的本质是隐私的非对称丢失，人们接受越来越广泛的监测，而从事监测的机构及其收集的信息却被隐藏。2《个人信息保护法》适用于数据中间商监管的相关规定《个人信息保护法》在制定之初，主要立法宗旨包括要维护好技术进步与个人权利保护之间的关系。《个人信息保护法》为个人健康信息的处理等活动提供了行为准则，明确合法利用个人健康信息与违法侵害个人信息权利的界限，相关法律条款对数据中间商处理个人健康信息的全生命周期进行了严格的限定。2.1信息处理事前控制《个人信息保护法》对数据中间商实行信息处理事前控制。数据中间商属于该法律规定的信息处理者，《个人信息保护法》规定信息处理者必须遵守一系列的隐私保护原则及义务。其中对数据中间商行业最具影响的是公开透明原则。根据公开透明原则，当数据中间商从移动医疗App间接获取信息主体的信息时，移动医疗App须清楚地告知信息主体，其信息将与数据中间商共享，以及明确告知信息主体数据中间商的名称、联系方式、处理目的、处理方式和个人信息种类，并取得信息主体的同意，为信息主体的知情权和支配权提供充分保障。数据中间商通过自动化决策以及数据画像对个人进行精准评价，并用于销售与健康相关的产品。《个人信息保护法》第二十四条规定了自动化决策的透明度原则，涵盖了提高算法透明度和信息处理行为透明度两个要求，并要求当个人信息处理者利用个人信息进行自动化决策时，必须保证决策的透明度，实质上就是规定履行个人信息保护职责的机构应当采取相应的监督管理措施以确保自动化决策的透明度。公开透明原则使信息主体能够对信息处理进行事前干预，阻止自身健康信息或错误信息在不间断的大数据交换中进行传输。隐私政策是机构履行告知义务与提升透明度的重要方式，一些移动医疗App通过隐私政策保留将用户信息分析业务外包给第三方信息处理机构（例如数据中间商）的权利。有研究发现48.8%的糖尿病管理移动App与第三方信息处理机构共享用户的个人健康信息。由于隐私政策经常被批评具有较低的可读性且对用户阅读理解能力有较高要求，因此个人用户在信息收集时很难通过隐私政策合理预测大数据分析对个人信息产生的累积效应，隐私声明和用户协议无法起到提升透明度的效用。《个人信息保护法》第五十五条规定了个人信息保护影响评估与记录义务，在处理敏感个人信息的情形下，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。根据《个人信息保护法》第六十九条规定，在侵权责任上，个人信息处理者承担过错推定责任，即个人信息处理者只要不能证明自己没有过错，就应当承担损害赔偿责任。可见，为了有效引导个人信息处理者合法利用个人信息，立法者对其分配了举证责任，个人信息处理者应当证明其履行了第五十五条要求的事前评估和记录义务，否则法律将推定其对信息主体的损害具有过错，个人信息处理者将承担举证不能的不利后果。因此在机构向其他个人信息处理者提供个人健康信息之前，须对可能面临的安全风险，以及对个人权益可能产生的影响进行合理的评估与管理，将风险降至最低。2.2信息处理过程限制个人同意是《个人信息保护法》第十三条规定的个人信息处理首要的合法性根据，对除同意原则外的情形都有近乎苛刻的适用条件。《个人信息保护法》第二十八条第一款是基于对信息主体侵权损害的风险，将个人信息分为非敏感信息和敏感信息，并予以不同级别的保护，医疗健康信息属于个人敏感信息，需要受到更严格的保护，《个人信息保护法》第二十九条规定，处理敏感个人信息应取得个人的单独同意或法律、法规规定应取得的书面同意。《个人信息保护法》第二十八条第二款规定，只有在具有特定目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。但往往数据中间商并不直接处理个人健康信息，而是通过大数据分析技术，使多源脱敏数据聚合后推测个人健康状况。例如，越来越多的网络抓取器公司自动从目标网站的非结构化或半结构化数据页面中收集数据，以积累成为大型数据库。个人信息处理风险同时受信息内容和其所处场景两方面的影响。《个人信息保护法》第二十四条将自动化决策作为特殊处理场景进行单独规制。从体系解释来看，第二十四条规定位于第二章“个人信息处理规则”的第一节中，属于总则的一般性规定，而第二节“敏感个人信息的处理规则”是分则，属于特殊规定，即针对敏感信息的特殊处理方法。根据特殊规定优于一般规定的原则，敏感信息要特别对待，因此无论是否使用自动化决策处理敏感信息，均要遵从敏感个人信息的处理规则。自动化决策聚合生成的个人健康信息处理在该场景下适用于敏感个人信息的处理规则，其他情形则适用于一般的处理规则。自动化决策汇总生成的个人健康信息的过程也受到了动态的监管。2.3信息处理事后控制根据《个人信息保护法》规定，信息主体在信息收集后可行使的权利包括：限制或者拒绝他人对其个人信息处理、查阅复制权、更正权、删除权、要求个人信息处理者对其个人信息处理规制进行解释说明的权利等。数据中间商可以使用来自内容提供商的数据以及行为定位算法，将特定广告推送给用户。《个人信息保护法》第二十四条第三款规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。对于利用个人信息进行自动化决策，不论是否符合透明度原则和公平合理原则，在决策信息首次推出后，个人都享有拒绝权，而非只有在自动化决策作出的决定对个人权益产生重大影响时才享有拒绝权。当前，在一定程度上无法全面保证算法决策的准确性和可问责性，信息主体被赋予免受自动化决策的约束，进而获得安全保障和人为干预的权利，这实际上是赋予信息主体普遍拒绝权，确保不利算法决策的风险得到控制。欧盟《一般数据保护条例》（GeneralDataProtectionRegulation，GDPR）提出的“被遗忘权”不仅包含传统的删除权，还包括要求数据控制者负责消除已经扩散出去的个人数据，例如共享给数据中间商的数据。患者本人可能会无意中泄露其健康信息，例如，患者在手机上安装“计步器”应用程序，该应用程序在初始设置中获得用户授权报告用户的步数信息。该信息与应用程序的位置、时间和其他信息聚合，可以创建用于营销目的的分析。GDPR要求，如果用户卸载应用程序并撤回授权，应用程序须将个人信息对聚合数据集的贡献删除，并且不能开展进一步分析。《个人信息保护法》第四十七条规定了删除权的法定事由，有学者认为虽然没有明文规定被遗忘权，但是“处理目的已实现、无法实现或者为实现处理目的不再必要”的法定事由，就是被遗忘权的行使要件。删除权的适用情形足以将被遗忘权需要保护的情形涵盖进去。信息主体停止订阅移动医疗服务或选择注销账号，与移动医疗有合作关系的数据中间商应删除信息主体的相关信息。综上所述，如果任随数据中间商行业发展，会有更多的患者因为隐私问题而拒绝就医或向医生隐瞒信息，这可能会给医学领域带来严重后果。我国《个人信息保护法》在个人信息处理全过程中均严格限制了数据中间商的自动化决策以及数据画像等处理活动，并承认信息主体的相关权利。在《个人信息保护法》的监管体系下，数据中间商处理个人健康信息有4种合法情形：数据中间商取得用户对医疗健康信息处理的单独同意；通过为订立、履行个人作为一方当事人的合同所必需的合法依据对个人健康信息进行处理；在合理范围内处理个人自行公开或者其他已经合法公开的个人健康信息；最后，数据去标识化和匿名化是企业打开数据主动权的重要方式，一些数据分析企业可以声称处理的是匿名化信息。《个人信息保护法》对数据中间商设置了极高的监管门槛，因此国内的个人信息处理者不能像国外数据中间商一样经营业务。事实上，我国个人信息被特定公司收集并开展大数据分析的行为与国外数据中间商的行为并没有很大的不同。但由于立法技术及其程序的局限性，很难反映所有技术和服务，需要重新考虑大数据分析视域下个人健康信息隐私保护所面临的问题。3个人健康信息隐私保护面临的问题与建议3.1医疗健康信息范围单独定义《个人信息保护法》并未对医疗健康信息的范围进行单独定义，立法的空缺导致执法机关和司法机关在相关法律实践中无章可循，以及出现过于广泛的自由裁量权。GDPR定义的健康数据是指与自然人身体和精神健康有关的个人数据，明确了个人健康数据包括个人心理数据和心理健康数据，以及进行医疗服务注册或提供服务时收集的医疗数据。建议相关法律参考GDPR对医疗健康信息概念进行进一步细化明确，对医疗信息和健康信息进行单独定义，明确个人健康信息应包含不论信息来源的个人身心健康状况的信息，增加个人健康信息受到更严格保护的可执行性。《个人信息保护法》第七十三条定义匿名化是个人信息经过处理无法识别特定自然人且不能复原的过程，目前我国并没有在立法层面细化匿名化具体的判定方式，亟需在明确医疗健康信息定义和范围的前提下开发信息匿名化行业监管标准。3.2创建个人健康信息使用的征求同意机制《个人信息保护法》虽然在个人同意的可操作性方面做了积极倡导，大幅强化了构成有效个人同意的标准，然其最大局限在于，并未认识到知情同意机制已经无法应对大数据分析给个人信息隐私带来的风险。众多学者认为，知情同意机制给大数据时代带来的挑战已难以有效应对。通过大数据分析技术，去标识个人信息、非敏感个人信息或者匿名数据有可能汇总生成敏感的个人健康信息。仅根据个人信息收集时划分敏感、非敏感信息种类而对同意细分是否单独同意，并不能对自动化决策汇总生成的个人健康信息起到保护作用，信息主体无法清楚地了解大数据分析技术推测的个人健康信息可能被使用的方式、时间、地点和具体目的。为了降低大数据分析技术给个人隐私带来的安全风险，一些学者建议对医疗健康信息等敏感信息的隐私监管应从在收集时的征求同意转变为建立信息使用的征求同意框架。如Mundie从技术实现上描述了信息使用的征求同意的实现方式，即将电子个人信息放入元数据的“包装”内，该“包装”将描述持有信息的使用规则，需要使用这些信息的程序都必须先获得批准，才能获取这些信息。在移动医疗发展的未来，实现个人同意机制更多是一种持续性的对话，而不是一次性的承诺。建议制定医疗领域持续同意的互操作性标准，规定如何在访问、收集、使用和披露个人信息的过程中产生机器可读的同意决定[26]。创建个人健康信息等敏感信息使用的征求同意机制可以使个人不断重新评估自己可以接受使用的健康信息范围，同时也尊重信息主体对出于非预期目的使用个人健康信息提出的异议。3.3多途径保障信息主体相关权利大数据技术的发展在广泛收集和处理个人信息的过程中造成了不透明性，用于分析和定向营销的大多数算法都是不公开的，很难从外部理解大数据分析技术处理个人信息的过程，因此在实际上也很难反对该过程。据研究表明，当用户停止订阅应用和设备供应商的服务时，第三方信息处理机构及时彻底地擦除与用户相关的链接、备份在实践中几乎不可能实现。现实困境导致《个人信息保护法》赋予信息主体的权利难以行使，例如限制或者拒绝他人对其个人信息的处理、删除等。3.3.1加强与信息处理者的沟通和协作信息主体在行使个人信息控制权之前需要了解谁拥有自己的信息以及谁在跟踪自己的在线活动。作为涉及大数据的主要利益相关者，个人用户与使用个人信息开展大数据分析的公司之间存在权利失衡。患者在使用移动医疗时为了不泄露自己的隐私，可能对自己的病情提供不完整的或误导性的描述。当前，信息主体与数据分析公司之间缺少有关个人信息处理的有效沟通，为确保信息主体的权利，信息主体可以通过签订合同的方式对个人健康信息等敏感信息进行管理，并通过协商来确定信息披露的范围。在一定程度的匿名化处理和信息主体自愿的前提下，通过严格审查条款