大數據時代數據中間商處理個人健康信息的法律監管分析
摘 要:隨著大數據技術的發展,數據中間商等第三方信息處理機構對于個人健康信息的大數據分析行為給個人健康信息隱私保護帶來了挑戰。通過分析我國適用于數據中間商處理個人健康信息的相關立法以及其面臨的挑戰,建議醫療健康信息范圍單獨定義,并采用個人健康信息使用的征求同意機制,通過加強與信息處理者溝通和協作,及時刪除被第三方信息處理機構共享的健康信息以確保信息主體的權利。同時在法律規制的構建過程中應開發相應的技術和服務,解決無法從法律角度解決的問題。
內容目錄:
1 大數據分析與數據中間商
1.1 大數據分析
1.2 數據中間商定義
1.3 數據中間商利用大數據分析的優勢及存在的風險
2 《個人信息保護法》適用于數據中間商監管的相關規定
3 個人健康信息隱私保護面臨的問題與建議
3.1 醫療健康信息范圍單獨定義
3.2 創建個人健康信息使用的征求同意機制
3.3 多途徑保障信息主體相關權利
3.3.1 加強與信息處理者的溝通和協作
3.3.2 及時刪除被第三方信息處理機構共享的個人健康信息
4 結 語
在大數據時代,醫療健康產業蓬勃發展,基于個人健康信息大數據分析的應用,有望提升健康管理、健康服務供給、人口健康預測等公共衛生服務的質量。但同時數據中間商(Data Broker)等從事數據分析的公 司通過大數據分析,在沒有個人知情同意的情況下將健康信息與其他信息相結合,用于識別個人健康狀況,這些公司不參與患者護理,也沒有接受過醫學倫理培訓。非醫療機構對個人健康信息收集量的擴大將持續威脅個人醫療隱私。2021 年,我國出臺了《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》),本文通過分析《個人信息保護法》中適用于數據中間商的相關規定及所面臨的問題,為后續我國個人健康信息保護法律體系的完善提出相應的建議。
1 大數據分析與數據中間商
1.1 大數據分析
大數據分析作為一種用于商業機構分析大型復雜的數據集的工具,可以生成相應的商業預測,并將結果作為原始產品進行交易或者將其用于降低風險或增加利潤。大數據分析包括收集、數據化、存儲、處理及使用 5 個階段。其中,收集是指從多來源收集信息。數據化是指將知識轉換為量化格式進行分析。存儲是指以標準、可用格式存儲信息,并采用必要的安全措施。處理是指分析信息以確定相關性,從而生成預測并從中獲利;匯總和去匿名化信息以創建個人數字畫像。使用是指通過將處理結果作為原始產品進行交易或者降低風險或增加利潤。
1.2 數據中間商定義
數據中間商行業的產生是大數據分析技術發展的必然結果。目前不存在對“數據中間商”的權威定義。2012 年,美國聯邦貿易委員會在一份報告中將數據中間商定義為以核實個人身份、區分記錄、營銷產品并防止財務欺詐為目的收集個人信息并轉售或共享的商業機構。該定義在一定程度上明確了收集個人信息的目的、用途,但未揭示個人信息的收集方式或信息來源。在這一方面,學者 Upturn 對數據中間商的定義彌補了這一缺憾,其定義數據中間商是從信息主體以外的來源收集個人信息或者通過推斷來獲得收入的商業機構或業務部門 。
基于此,將數據中間商定義為通過除信息主體直接提供外的方式獲取個人信息的,而非直接向信息主體收集。也有一些觀點認為,各種互聯網公司、廣告客戶、零售商和行業協會都是數據中間商。本文采用 Upturn對數據中間商的定義,識別數據中間商的關鍵是判斷信息來源是否由信息主體提供,以及信息來源是否被公開。根據此定義,社交媒體與電子商務公司不是數據中間商,因為其收集的信息主要是由信息主體直接提供的,而不是通過其他來源收集的。研究機構也可以收集個人信息并進行分析,但必須明確引用信息來源。美國聯邦貿易委員會專員也認同將 Google 和 Facebook 等公司排除在數據中間商之列 。
我國學者桂祥認為個人信息中間商是個人信息交易中最為重要的網絡中樞節點,并將信息中間商定義為專門從事個人信息收集、出售雙向交易的主體 。該定義認為數據中間商是通過交易的方式來收集個人信息,不能涵括使用大數據分析技術為各行業提供大數據分析服務的數據中間商,更適合描述將個人信息低買高賣的主體。數據中間商更像是個人信息的經銷商,其收集的有可能是自身在互聯網上使用網絡爬蟲、日志挖掘等技術收集的個人公開信息,也有可能是第三方信息處理機構委托處理的個人信息,還可能是由第三方信息處理機構共享的經加工無法識別的特定且不能復原的個人信息。近年來,數據中間商逐漸發展成為使用大數據分析技術為各行業領域提供數據分析服務的公司。
1.3 數據中間商利用大數據分析的優勢及存在的風險
數據中間商可以從問診記錄、健康產品購買記錄、互聯網搜索記錄、電子郵件內容、社交媒體、疾病相關論壇和移動醫療等渠道收集不同類型的信息 。數據中間商利用收集到的所有類型的信息確定數據相關性,并用于個人健康狀況的預測性分析,如判斷信息主體是否吸煙,是否為過敏體質,是否對減肥、美容、有機食品、膽固醇、糖尿病關心,是否對網絡銷售藥品關心,從而生成個人健康畫像和健康評分,用于銷售與健康相關的產品或為客戶緩解健康風險。數據中間商對個人信息的大數據分析往往是在信息主體不知情或未經同意的情況下發生的,因此可能會引發多重問題。
一是個人隱私被侵犯,使個人受到歧視。例如,對個人的藥品購買記錄去標識信息的匯總和分析可能識別出有風險的健康保險投保人,這些人將會被標簽為藥物成癮者。
二是個人無法驗證數據中間商獲取自身信息的真實性 。健康分析的預測結果不是基于醫生的判斷或直接測量的值,而是由除醫學外的學科方法計算的值所決定的,其準確性不會像科學研究結果那樣被發表和復制。健康預測可能會對個人壽險投保、就業、信用評級等與其切身利益緊密相關的活動產生不利影響。
三是數據中間商存儲的包含大量醫療健康信息在內的敏感個人信息是黑客攻擊的主要目標,有時安全漏洞會引發數據泄露。2017 年,美國最大的征信機構之一 Equifax 發生大規模數據泄露,暴露了多達 1.43 億美國人的個人隱私信息。學者 Crain 指出,數據中間商行業的本質是隱私的非對稱丟失,人們接受越來越廣泛的監測,而從事監測的機構及其收集的信息卻被隱藏 。
2 《個人信息保護法》適用于數據中間商監管的相關規定
《個人信息保護法》在制定之初,主要立法宗旨包括要維護好技術進步與個人權利保護之間的關系 。《個人信息保護法》為個人健康信息的處理等活動提供了行為準則,明確合法利用個人健康信息與違法侵害個人信息權利的界限,相關法律條款對數據中間商處理個人健康信息的全生命周期進行了嚴格的限定。
2.1 信息處理事前控制
《個人信息保護法》對數據中間商實行信息處理事前控制。數據中間商屬于該法律規定的信息處理者,《個人信息保護法》規定信息處理者必須遵守一系列的隱私保護原則及義務。其中對數據中間商行業最具影響的是公開透明原則。根據公開透明原則,當數據中間商從移動醫療 App 間接獲取信息主體的信息時,移動醫療 App 須清楚地告知信息主體,其信息將與數據中間商共享,以及明確告知信息主體數據中間商的名稱、聯系方式、處理目的、處理方式和個人信息種類,并取得信息主體的同意,為信息主體的知情權和支配權提供充分保障。
數據中間商通過自動化決策以及數據畫像對個人進行精準評價,并用于銷售與健康相關的產品。《個人信息保護法》第二十四條規定了自動化決策的透明度原則,涵蓋了提高算法透明度和信息處理行為透明度兩個要求,并要求當個人信息處理者利用個人信息進行自動化決策時,必須保證決策的透明度,實質上就是規定履行個人信息保護職責的機構應當采取相應的監督管理措施以確保自動化決策的透明度 。公開透明原則使信息主體能夠對信息處理進行事前干預,阻止自身健康信息或錯誤信息在不間斷的大數據交換中進行傳輸。
隱私政策是機構履行告知義務與提升透明度的重要方式,一些移動醫療 App 通過隱私政策保留將用戶信息分析業務外包給第三方信息處理機構(例如數據中間商)的權利。有研究發現 48.8% 的糖尿病管理移動 App 與第三方信息處理機構共享用戶的個人健康信息。由于隱私政策經常被批評具有較低的可讀性且對用戶閱讀理解能力有較高要求 ,因此個人用戶在信息收集時很難通過隱私政策合理預測大數據分析對個人信息產生的累積效應,隱私聲明和用戶協議無法起到提升透明度的效用。
《個人信息保護法》第五十五條規定了個人信息保護影響評估與記錄義務,在處理敏感個人信息的情形下,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄。根據《個人信息保護法》第六十九條規定,在侵權責任上,個人信息處理者承擔過錯推定責任,即個人信息處理者只要不能證明自己沒有過錯,就應當承擔損害賠償責任。可見,為了有效引導個人信息處理者合法利用個人信息,立法者對其分配了舉證責任,個人信息處理者應當證明其履行了第五十五條要求的事前評估和記錄義務,否則法律將推定其對信息主體的損害具有過錯,個人信息處理者將承擔舉證不能的不利后果。因此在機構向其他個人信息處理者提供個人健康信息之前,須對可能面臨的安全風險,以及對個人權益可能產生的影響進行合理的評估與管理,將風險降至最低。
2.2 信息處理過程限制
個人同意是《個人信息保護法》第十三條規定的個人信息處理首要的合法性根據,對除同意原則外的情形都有近乎苛刻的適用條件。《個人信息保護法》第二十八條第一款是基于對信息主體侵權損害的風險,將個人信息分為非敏感信息和敏感信息,并予以不同級別的保護,醫療健康信息屬于個人敏感信息,需要受到更嚴格的保護,《個人信息保護法》第二十九條規定,處理敏感個人信息應取得個人的單獨同意或法律、法規規定應取得的書面同意。《個人信息保護法》第二十八條第二款規定,只有在具有特定目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。
但往往數據中間商并不直接處理個人健康信息,而是通過大數據分析技術,使多源脫敏數據聚合后推測個人健康狀況。例如,越來越多的網絡抓取器公司自動從目標網站的非結構化或半結構化數據頁面中收集數據,以積累成為大型數據庫。個人信息處理風險同時受信息內容和其所處場景兩方面的影響。《個人信息保護法》第二十四條將自動化決策作為特殊處理場景進行單獨規制。從體系解釋來看,第二十四條規定位于第二章“個人信息處理規則”的第一節中,屬于總則的一般性規定,而第二節“敏感個人信息的處理規則”是分則,屬于特殊規定,即針對敏感信息的特殊處理方法。根據特殊規定優于一般規定的原則,敏感信息要特別對待,因此無論是否使用自動化決策處理敏感信息,均要遵從敏感個人信息的處理規則。自動化決策聚合生成的個人健康信息處理在該場景下適用于敏感個人信息的處理規則,其他情形則適用于一般的處理規則。自動化決策匯總生成的個人健康信息的過程也受到了動態的監管。
2.3 信息處理事后控制
根據《個人信息保護法》規定,信息主體在信息收集后可行使的權利包括:限制或者拒絕他人對其個人信息處理、查閱復制權、更正權、刪除權、要求個人信息處理者對其個人信息處理規制進行解釋說明的權利等。
數據中間商可以使用來自內容提供商的數據以及行為定位算法,將特定廣告推送給用戶。《個人信息保護法》第二十四條第三款規定,通過自動化決策方式作出對個人權益有重大影響的決定,個人有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。對于利用個人信息進行自動化決策,不論是否符合透明度原則和公平合理原則,在決策信息首次推出后,個人都享有拒絕權,而非只有在自動化決策作出的決定對個人權益產生重大影響時才享有拒絕權 。當前,在一定程度上無法全面保證算法決策的準確性和可問責性,信息主體被賦予免受自動化決策的約束,進而獲得安全保障和人為干預的權利,這實際上是賦予信息主體普遍拒絕權,確保不利算法決策的風險得到控制。
歐盟《一般數據保護條例》(General Data Protection Regulation,GDPR)提出的“被遺忘權”不僅包含傳統的刪除權,還包括要求數據控制者負責消除已經擴散出去的個人數據,例如共享給數據中間商的數據。患者本人可能會無意中泄露其健康信息,例如,患者在手機上安裝“計步器”應用程序,該應用程序在初始設置中獲得用戶授權報告用戶的步數信息。該信息與應用程序的位置、時間和其他信息聚合,可以創建用于營銷目的的分析。GDPR 要求,如果用戶卸載應用程序并撤回授權,應用程序須將個人信息對聚合數據集的貢獻刪除,并且不能開展進一步分析。《個人信息保護法》第四十七條規定了刪除權的法定事由,有學者認為雖然沒有明文規定被遺忘權,但是“處理目的已實現、無法實現或者為實現處理目的不再必要”的法定事由,就是被遺忘權的行使要件 。刪除權的適用情形足以將被遺忘權需要保護的情形涵蓋進去 。信息主體停止訂閱移動醫療服務或選擇注銷賬號,與移動醫療有合作關系的數據中間商應刪除信息主體的相關信息。
綜上所述,如果任隨數據中間商行業發展,會有更多的患者因為隱私問題而拒絕就醫或向醫生隱瞞信息,這可能會給醫學領域帶來嚴重后果。我國《個人信息保護法》在個人信息處理全過程中均嚴格限制了數據中間商的自動化決策以及數據畫像等處理活動,并承認信息主體的相關權利。在《個人信息保護法》的監管體系下,數據中間商處理個人健康信息有 4 種合法情形:數據中間商取得用戶對醫療健康信息處理的單獨同意;通過為訂立、履行個人作為一方當事人的合同所必需的合法依據對個人健康信息進行處理;在合理范圍內處理個人自行公開或者其他已經合法公開的個人健康信息;最后,數據去標識化和匿名化是企業打開數據主動權的重要方式 ,一些數據分析企業可以聲稱處理的是匿名化信息。
《個人信息保護法》對數據中間商設置了極高的監管門檻,因此國內的個人信息處理者不能像國外數據中間商一樣經營業務。事實上,我國個人信息被特定公司收集并開展大數據分析的行為與國外數據中間商的行為并沒有很大的不同。但由于立法技術及其程序的局限性,很難反映所有技術和服務,需要重新考慮大數據分析視域下個人健康信息隱私保護所面臨的問題。
3 個人健康信息隱私保護面臨的問題與建議
3.1 醫療健康信息范圍單獨定義
《個人信息保護法》并未對醫療健康信息的范圍進行單獨定義,立法的空缺導致執法機關和司法機關在相關法律實踐中無章可循,以及出現過于廣泛的自由裁量權。GDPR 定義的健康數據是指與自然人身體和精神健康有關的個人數據,明確了個人健康數據包括個人心理數據和心理健康數據,以及進行醫療服務注冊或提供服務時收集的醫療數據。建議相關法律參考 GDPR 對醫療健康信息概念進行進一步細化明確,對醫療信息和健康信息進行單獨定義,明確個人健康信息應包含不論信息來源的個人身心健康狀況的信息,增加個人健康信息受到更嚴格保護的可執行性。《個人信息保護法》第七十三條定義匿名化是個人信息經過處理無法識別特定自然人且不能復原的過程,目前我國并沒有在立法層面細化匿名化具體的判定方式,亟需在明確醫療健康信息定義和范圍的前提下開發信息匿名化行業監管標準。
3.2 創建個人健康信息使用的征求同意機制
《個人信息保護法》雖然在個人同意的可操作性方面做了積極倡導,大幅強化了構成有效個人同意的標準,然其最大局限在于,并未認識到知情同意機制已經無法應對大數據分析給個人信息隱私帶來的風險。眾多學者認為,知情同意機制給大數據時代帶來的挑戰已難以有效應對 。通過大數據分析技術,去標識個人信息、非敏感個人信息或者匿名數據有可能匯總生成敏感的個人健康信息。僅根據個人信息收集時劃分敏感、非敏感信息種類而對同意細分是否單獨同意,并不能對自動化決策匯總生成的個人健康信息起到保護作用,信息主體無法清楚地了解大數據分析技術推測的個人健康信息可能被使用的方式、時間、地點和具體目的。
為了降低大數據分析技術給個人隱私帶來的安全風險,一些學者建議對醫療健康信息等敏感信息的隱私監管應從在收集時的征求同意轉變為建立信息使用的征求同意框架 。如Mundie 從技術實現上描述了信息使用的征求同意的實現方式,即將電子個人信息放入元數據的“包裝”內,該“包裝”將描述持有信息的使用規則,需要使用這些信息的程序都必須先獲得批準,才能獲取這些信息。在移動醫療發展的未來,實現個人同意機制更多是一種持續性的對話,而不是一次性的承諾。建議制定醫療領域持續同意的互操作性標準,規定如何在訪問、收集、使用和披露個人信息的過程中產生機器可讀的同意決定 [26]。創建個人健康信息等敏感信息使用的征求同意機制可以使個人不斷重新評估自己可以接受使用的健康信息范圍,同時也尊重信息主體對出于非預期目的使用個人健康信息提出的異議。
3.3 多途徑保障信息主體相關權利
大數據技術的發展在廣泛收集和處理個人信息的過程中造成了不透明性,用于分析和定向營銷的大多數算法都是不公開的,很難從外部理解大數據分析技術處理個人信息的過程,因此在實際上也很難反對該過程。據研究表明,當用戶停止訂閱應用和設備供應商的服務時,第三方信息處理機構及時徹底地擦除與用戶相關的鏈接、備份在實踐中幾乎不可能實現。現實困境導致《個人信息保護法》賦予信息主體的權利難以行使,例如限制或者拒絕他人對其個人信息的處理、刪除等。
3.3.1 加強與信息處理者的溝通和協作
信息主體在行使個人信息控制權之前需要了解誰擁有自己的信息以及誰在跟蹤自己的在線活動。作為涉及大數據的主要利益相關者,個人用戶與使用個人信息開展大數據分析的公司之間存在權利失衡。患者在使用移動醫療時為了不泄露自己的隱私,可能對自己的病情提供不完整的或誤導性的描述。當前,信息主體與數據分析公司之間缺少有關個人信息處理的有效溝通,為確保信息主體的權利,信息主體可以通過簽訂合同的方式對個人健康信息等敏感信息進行管理,并通過協商來確定信息披露的范圍。在一定程度的匿名化處理和信息主體自愿的前提下,通過嚴格審查條款并簽訂與個人健康信息處理有關的公平合同,從而保證信息主體能自主控制其個人健康信息。一些學者提出構建基于個人與信息處理者協作的工具,如框架、模型和體系結構,以便為信息主體提供更多的方法來控制其個人信息。Iyilade 等人 基于市場理念提出了用戶信息共享政策框架,用戶可編輯和協商提供用戶信息共享的隱私政策。Tona 等人提出了一種具有多種協作交互功能的概念設計模型,為參與大數據的利益相關者提供回復、評論、審核、評級和標記數據等功能。
3.3.2 及時刪除被第三方信息處理機構共享的
個人健康信息未來我國法律法規有必要對被第三方信息處理機構共享的個人健康信息等敏感信息刪除的情形予以細化,當信息主體停止使用應用和設備供應商產品時,信息處理者應及時刪除在信息處理下游流轉中個人健康信息的實施路徑。人們希望刪除信息處理下游流轉中的個人敏感信息的訴求推動了數字滅絕(Digital Extinction)技術的發展。Meyer-Sch?nberger 首先提出了數字滅絕范式,定義了“信息到期日期”概念,人們可以在數字領域通過模仿人類記憶的方式使用存儲信息,由信息主體設置存儲有效期,到期后,將自動“沖刷”掉一部分褪去價值的信息和數據 [33]。在個人同意信息被第三方信息處理機構共享后,數字滅絕技術可以對及時刪除個人信息發揮作用。信息主體能夠參與信息的存儲期設置和分發,從而進一步增強信息主體對信息的控制權。
4 結 語
除構建隱私保護法律規制外,為應對企業利用大數據分析技術給個人健康信息隱私保護帶來的挑戰,還應考慮實施相關技術以提高法律規制及其程序的有效性。在法律規制的構建過程中,采用個人健康信息使用的征求同意機制,加強與信息處理者溝通和協作,及時刪除被第三方信息處理機構共享信息等環節均應開發相應的技術和服務,解決無法從法律角度解決的問題。從法律和制度的角度來看,需要出臺有助于技術普及的立法和制度。
