开放科学(资源服务)标识码(OSID):
In spite of the promulgation of Personal Information Protection Law of the People's Republic of China in 2021, it does not directly stipulate the purpose of "scientific research", and the regulation of scientific research behavior in China's established legal system is in a sporadic state, far from being systematized. It does not provide clear and appropriate guidance for scientific research on the processing of personal data, whether based on the direct content of the provisions or the normative interpretation. Moreover the legal regulation of similar scientific research behaviors sometimes shows inconsistencies, and there is a lack of special data processing supervision authorities and supervision mechanisms in the legal norms.
The study has the following findings. First, the legislative model for "scientific research" in most countries is to adopt the legislative path of the Basic Law positioning and supplemented by other relevant norms of a lower rank. Second, the trend of legislation is not to impose absolute restrictions on scientific research in terms of the type and scope of individuals, but to impose restrictions on data processing behavior, thereby creating a relaxed environment for scientific research. Third, the innovation of scientific research stems from its uncertainty, the discovery of new materials or the improvement of research methods will change the specific purpose of the original research. If the purpose of its data processing behavior is strictly limited, it may inhibit the vitality of scientific research, and thus the principle of unconstrained purpose has become the mainstream model of extraterritorial legislation. Fourth, the consent of the subject or alternative measures needs to be sought for personal data with legibility, and consent is not required for personal data that is not identifiable. In general, the binding force of consent is weakening in cases where the principle of limitation of purpose is exempted from application. Fifth, the extraterritorial legal system basically recognizes the derogation of personal data rights in scientific research acts, but there are different approaches in the types and degrees of derogations of derogation rights. The current consensus is that derogations from the rights of data subjects should not only comply with the statutory preconditions, but also take corresponding protective measures. Sixth, at present, the safeguards for scientific research to process personal data include both technical and organizational measures. Specific types of measures for both types of measures are still being explored.
It is proposed that first the normative construction of China's scientific research on the handling of personal data should be provided by the Personal Information Protection Law, and the special law regulating various specific research acts needs to provide more detailed rules according to their respective circumstances. Second, in terms of the assumption of the obligations of data processors, scientific researchers can receive special preferential treatment for the processing of personal data based on the consideration of public welfare expansion. Third, consent of data subjects is a developing concept, and as scientific research clarifies the data types of individuals, the precise application of tiered consent and layered consent models will highlight the effectiveness of consent. Fourth, in scientific research, absolute de-identification cannot be blindly required for different types of research, and processed data that is extremely unlikely to be identified or not harmed in the context of the current situation are acceptable, but it is still necessary to regularly assess and monitor whether there are new risks and if the technical means already taken are necessary to update and adjust. Fifth, it is necessary to improve the technical and organizational safeguards for data processing in scientific research.
开放科学(资源服务)标识码(OSID):
随着数字化时代的到来,数据的价值愈加显要。2020年3月30日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据作为一种新兴要素与土地要素、劳动力要素、资本要素、技术要素并列。在国际竞争局势愈演愈烈的情形下,如何合理利用数据、发挥数据的巨大价值是未来国家发展的核心议题。其中,科学研究是数据利用的一个重要领域,能够大规模处理数据将是第四次工业革命时代科学研究迭代更新的主要标志。然而,科学研究中大量处理数据对个人数据主体权利的侵害成为一个无法回避的问题。只有有效保障数据主体的合法权利,才能赢得数据主体的信任,科学研究才具有可持续性,“科技是第一生产力”的效应才能得到充分发挥。因此,当科学研究的公益性与个人数据包含的个人权利发生激烈碰撞时,法律需要在不同权益之间折冲权衡,以达到双赢效果。换言之,当科学研究以公共利益为名处理个人数据时,应当秉持何种法律界限?回答这一重要问题具有紧迫的现实意义,需要慎重对待和深入研究。
在大数据时代,科学研究成为一种典型的数据应用场景[1]。各式各样的移动应用程序、物联网技术和智能设备聚集了海量个人数据,这些数据包含与个人休戚相关的最细微数据点。在先进的技术条件下,可以对这些数据进行前所未有的细致分析,以挖掘其对于科学研究所具有的巨大潜在价值。例如,新冠疫情防控中通过健康码等移动应用程序广泛获取感染者、密切接触者以及普通人群的位置数据和健康数据,既可以监测和研究传染病的传播趋势与变异模式,也能有效提供疾病筛查、疫苗接种等公共卫生事务所需信息。此外,个人数据还在常规研究中广泛使用,如分析心理行为、确定遗传和环境因素的致病性等。英国的一项研究对小孩出生时家庭住址是否接近高压电源线与其儿童期患癌风险的相关性进行调查,从5个癌症登记处获得31 000名年龄介于0~14岁之间的儿童出生信息,对照病例之后初步得出正相关结论,而进一步的研究还需要处理更大规模数据[2]。
科学研究的数据来源多由研究者从研究对象处获取,也可以借助相关数据库获得。科学研究处理的个人数据类型既包括一般个人数据,也包括敏感个人数据。以生物医学研究为例,可穿戴设备等数字技术、在线网络查询痕迹、医学检查或电子健康记录均可以提供大量数据,数据类型包括但不限于躯体、血液、肿瘤样本、细胞、DNA、体液、排泄物等身体数据,病历、健康检查记录、药物清单等诊疗数据,以及饮食习惯、睡眠时间、步数、定位信息等私生活数据。藉由这些个人数据,有关性或心理健康、酗酒或滥用药物、终止妊娠等敏感型研究得以进行。
根据海伦·尼森鲍姆(Helen Nissenbaum)提出的场景理论,科学研究处理个人数据具有丰富的场景内涵。场景理论将个人数据保护与特定情境下的个人数据流通规范连结起来,作为评估数据在行动者之间流动的基础架构,有助于确认和解释为何在某种情况下某些数据流动的模式是可以接受的,而在另外一种情境下却受到质疑[3]。在尼森鲍姆的研究中,其重点阐述了参与者(actors)、数据信息种类(information type)、传输原则(transmission principle)等要素[4]。在此理论架构下,对于个人数据利用的评价无法脱离其所处场景。在科学研究中,研究机构、研究人员与数据主体之间既具有共同利益,又秉持不同立场。科学研究取得医疗进步、公共管理效能提升等效益,研究人员与数据主体都是受惠者。但是,当科学研究处理个人数据损害到数据主体的权利时,就会形成利益对抗。此外,科学研究可以处理的数据类型和数据范围,以及处理过程中需要遵循的合法性要件,都将对数据应用场景的整体图景产生影响。因此,作为一种数据应用场景,科学研究需要全面整体地综合考虑数据主体自主意志、研究者合理注意义务以及数据处理过程中的合法性要求,推动科学研究持续健康发展。
科学研究是一项以认识世界、探索世界、改造世界为目的的公益事业[5]。1945年,美国科学研究与开发办公室主任万尼瓦尔·布什(Vannevar Bush)向时任美国总统罗斯福提交《科学:没有止境的前沿》报告,认为没有科学进步就无法保障国民健康、生活水平、就业和国家安全。这份报告在此后的几十年里成为美国科学研究和创新的指导方针[6]。在大数据时代,科学研究的公益效应被进一步放大。科学研究通过大量数据的汇聚、分析、使用,可以准确描述、精准预测,以快速、高效地作出决断。例如,数字技术与医学研究相结合催生出一个新的医学领域——数字健康,可以有效监测人们的健康状况、及早推断健康问题、帮助患者应对突发情况、对不同患者提供个性化治疗方案、降低医疗成本并改进效率以及促进医学发现和加速药物开发。研制的数字药丸与患者胃液接触后会激活微电路,可以告知外部传感器患者是否以及应何时服用药物[7]。大数据与公共管理学相结合,可以造就社会信用评级、预测性执法等新型治理手段,引导治理的重心由事中与事后转向事前预防,有效降低治理成本、提升治理效能,我国疫情管理的显著成效一定程度上归功于数字技术应用于应急管理。
然而,科学研究对于个人数据的广泛处理也会侵犯个人数据权利。看似普通的数据可以用来对个人行为加以推断和预判,哪怕是一天之内行走步数这类简单数据,也可以揭示下班后员工是否真的病倒在床[8]。更遑论美国曾经开展的臭名昭著的“塔斯基吉梅毒实验”,造成“医学种族主义”(Medical racism)的破坏性效应[9]。科学研究所用数据可能包含最敏感的个人信息,如果人们知道其个人数据可能用于涉及动物、胚胎干细胞、针对特定性能开发避孕药或基因测试等研究,他们就会选择使用匿名数据[10]。因此,科学研究要确保数据安全性,若公众丧失对科学研究的信任,那么,研究的可持续性就会被打破。尽管如此,科学研究中不当处理个人数据的情形并不鲜见。以基因信息的不当处理为例,在公共部门和私营部门的推动下,基因数据集聚规模日益扩大。英国100K基因组队列(the 100K genomes cohort)的目标是到2017年对国家医疗服务体系(NHS)中的10万癌症患者基因组进行测序;美国精准医学计划收集100万美国人的样本、表型和临床数据,其百万退伍军人计划构成目前世界上最大的基因组数据库;截至2015年6月,基因检测公司23&Me已收集超过100万用户数据并进行基因分型[7]。然而,2018年11月贺建奎事件引发激烈的研究伦理争议,表明科学界对于基因数据并没有形成完善的保护和处理机制。此外,自Moore v. Regents of the University of California案以来,科研机构假借研究之名或者展开与个体需求无关的研究向营销公司、制药企业等第三方出售个人数据以及研究成果不当获利的情形时有发生[11]。
有研究认为个人信息保护涉及的个人权利呈同心圆状的差序格局:由内而外,以人性尊严为核心,依次为一般人格权、个别人格权之隐私权、隐私权中之信息隐私权,最后是信息自主决定权[12]。就科学研究而言,除个人权利外,个人信息处理中还包含研究人员和研究机构研究自由的权利以及公共利益。根据已有研究,研究自由面临两方面限制:一是公共利益,二是他人的权利和自由[13]。因此,科学研究对于个人数据的处理涉及多重权益冲突,其中,最为根本的是个人权利与公共利益的冲突。有研究将这种矛盾称为“道德伦理问题上的不对称性”(an ethically problematic asymmetry)[14]:一方面,人们普遍认识到将个人数据用于科学研究对于促进公共利益具有重要意义;另一方面,科学研究滥用个人数据会损害个人一系列权利。加之在目前发展趋势下,国家不可能罔顾公共利益需求而禁止科学研究使用个人数据。2020年德国联邦教育和研究部发起医学信息学计划 (MII),各大学医院的生物样本库联合成立了德国生物样本库协会 (GBA),负责科学研究以及常规临床护理中生物样本的采样、储存和供给;同时期荷兰大学医院协会协同荷兰卫生、福利和体育部资助数据研究计划,研究人员可通过全国组织细胞病理学登记处 (PALGA) 获取临床护理过程中收集的生物样本[15]。可见,大规模以及常态化使用个人数据进行研究已成为各国科研发展共同趋势。
利用个人数据进行科学研究的价值与风险并存,目前的中心问题不是是否应将数据用于研究,而是如何以尊重道德和隐私为基本原则获取科学研究收益[16]。科学研究本就不是法外之地,当其可能对研究对象或其他相关人员造成侵害时,法律需要适时介入并为之设定界限,而且这种限制本身也应恪守法律规定。
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议正式通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),为个人信息保护领域奠定了法制基础。但是,纵览全部条文,《个人信息保护法》并没有就“科学研究”目的作出直接规定。在《草案》(一审稿)出台前,有学者呼吁将“侦查机关进行刑事侦查所必要的;为支持学术研究工作或统计项目而进行的个人信息比对;为得到统计资料……”[17]等作为国家公权机关可进行信息比对的理由,试图从另一侧面规定“目的限制”的例外,但最终提交审议的草案中并未包含突破目的限制使用个人信息的例外情形。从目前的规范内容来看,其并未允诺收集目的之外的其它延伸目的的使用。无论是公权机关还是私人主体如欲突破目的限制,都必须重新获得信息主体的同意。因此,为学术研究、艺术表达、文学创作等目的处理个人信息的活动,面临豁免适用目的限制原则的问题,有待国家相关部门出台细则予以规范[18]。
从规范释义的潜在空间来看,与科学研究行为可能相关的条文包括:第5~9条确立了个人信息处理的一般原则,强调处理方式要“合法、正当”,规定了诚信原则、目的明确合理原则、限制利用原则、公开透明原则、信息准确原则、信息安全原则等。第13条第(六)项规定:“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息。”第28条第2款规定:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。”另外,第32条进一步规定:“法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出其它限制的,从其规定。”从文义上看,如果科学研究一体遵循第5~9条个人信息处理一般原则,则科学研究与其它数据处理行为没有任何分别而且科学研究将会受到严格限制;如果将科学研究纳入第13条的“公共利益”范畴,则可以在“合理的范围内”处理信息;如果科学研究属于第28条“特定的目的”,则需要兼具“充分的必要性”才可以处理敏感个人信息。
根据上述分析,《个人信息保护法》中关于科学研究规定的缺位可能产生两方面后果:一是科学研究与一般数据利用目的处于同等位阶,科学研究所需相对宽松的发展条件得不到保障;二是即使对科学研究进行文义解释,归入“公共利益”或“特定的目的”范畴,科学研究处理个人信息的法定条件依然模糊难辨。
在以北大法宝为主的学术网站上,通过关键词“科学研究”“学术”“个人信息”“个人数据”进行组合检索和阅读筛选,发现我国法规范中直接调控科学研究处理信息行为的并不多见。现对法律、司法解释、规范性文件层面涉及的法规范及其内容分别加以概述。
3.2.1 宪法、民法典与《中华人民共和国科学技术进步法》
宪法分别在第20条和第47条提及科学研究,均表现出国家对于科学研究的正向激励态度。尤其是第47条规定“公民有进行科学研究……的自由”,以及国家鼓励和帮助从事科学等有益于人民的创造性工作。学界普遍将第47条作为公民学术自由权的宪法依据,同时,认可宪法第51条为公民基本权利的限制条款。根据第51条的规定,公共利益构成学术自由的外在界限,他人权利和自由构成学术自由的内在界限。与此规范意旨相近,民法典第1009条与《中华人民共和国科学技术进步法》第29条均作出了不得违背公共利益与伦理道德等基本价值的底线设定。此外,民法典第1020条第(一)项还规定,在必要范围内使用肖像权人已经公开的肖像进行课堂教学或者科学研究等可以不经肖像权人同意。
3.2.2 司法解释
2020年最新修正的最高人民法院司法解释《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第3款规定:“学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人”,可以不予承担利用网络公开个人信息造成他人损害的侵权责任。此处,“公共利益+权利人书面同意+公开的方式不足以识别特定自然人”构成科学研究公开个人信息的责任豁免条件。
3.2.3 规范性文件
规制内容直接关涉科学研究的规范性文件目前主要有两部:一是《涉及人的生物医学研究伦理审查办法》,其是与科学研究直接相关的部门规章,其中第18条规定了涉及人的生物医学研究应当符合的六大伦理原则,在控制风险原则中提出“将受试者人身安全、健康权益放在优先地位,其次才是科学和社会利益”的指导理念。此外,该办法第四章对“知情同意”辟专章加以规定,对知情同意作出严格要求。
二是国家质量监督检验检疫总局和国家标准化管理委员会发布的《信息安全技术——健康医疗数据安全指南》,第7-b-4规定数据控制者“用于科学研究、医学/健康教育、公共卫生或医疗保健操作目的的受限制数据集”在没有获得主体的授权时可以使用或披露相应个人健康医疗数据。在临床研究中,第11.4.4.2-a-2规定“申办者出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中包含的个人信息进行去标识化处理的,不需要获得受试者知情同意”。“科学研究目的+去识别化处理”构成数据主体授权或同意的例外情形。
观察上述法规范,我国既定法制中对于科学研究行为的规制呈零星分布状态,远远未臻体系化。纵使包含科学研究处理个人信息内容的法规范,也缺少稳妥权衡科学研究目的与个人数据保护的法律机制。首先,作为个人信息保护领域的基本法,无论是直接的条文内容还是规范解释,《个人信息保护法》都未能为科学研究处理个人数据提供明确、妥适的指引。其它法规范中也未见对科学研究目的予以“另眼相待”,科学研究相较于一般数据利用场景所应有的“特权地位”无法得到有效保障,对于科研行为的严苛规定不利于科学研究长足发展。其次,对比现有法规范内容,对于同类科研行为的法律规制有时呈现不一致情形。在几部规范性文件之间,既有规定签署知情同意书、承担详细的说明义务、使用目的变更时需要重新获取知情同意的严格要求,也有规定利用去识别化数据开展研究无需征得信息主体授权或者同意的宽松要求。这种错位状况亟待体系化梳理和规范整合,否则难以发挥整体有效的指引作用。再次,法规范中多次出现的“公共利益”“合理的范围”“充分的必要性”等措辞以及不确定性法律概念的使用,使得科学研究处理数据的行为要件呈现模糊状态,也使得研究人员和数据主体无所适从。这需要对科学研究处理个人信息的具体类型进行条分缕析,通过行为要件的设置限定不确定概念的内涵和外延。最后,法规范中缺少专门的数据处理监管机关以及比较完善的监督机制。尽管既有法规中已经设有“伦理委员会”等机构,但这些机构的职能偏向于一端,要么侧重于科学研究活动保障,要么侧重于个人数据保护,鲜有能够兼顾和平衡二者的督责机构,而且监管机构的职权独立性不足,监管实效性难以保障。
据联合国贸易和发展会议(UNCTAD)统计,194个国家中有128个已经制定了保护数据和隐私的立法。其中,非洲和亚洲的水平相当,有55%的国家通过了此类立法,包括23个最不发达国家[19]。整体而言,既有立法呈现出两种法律模式,一种是以美国为代表的隐私法模式,一种是以欧盟为代表的数据保护法或信息保护法模式[20]。前者较为小众,目前仅包括美国、加拿大、澳大利亚、新西兰等少数几个国家,他们将个人数据处理中的主体权利纳入国内成熟的隐私法保护体系,毋须在隐私法之外另行立法;后者得到大多数国家的采行,将个人数据处理中的权利视为公民基本权利,确立了与隐私法并行的数据保护法模式。两种法律模式的分别采纳源于各国法制传统和对个人数据处理中主体权利的不同法律定位。新中国成立以来,我国法律体系总体上属于大陆法系,同时,《中华人民共和国个人信息保护法》已经全国人大常委会审议通过。因此,我国法制传统和法律模式都倾向于数据保护法模式。为此,本文引介欧盟《一般数据保护条例》[21]中关于科学研究的规范谱系以及德国、日本等国家个人数据保护法相应内容,并加以比较讨论。
从法规范的设置路径来看,个人数据保护法对于科学研究的法律规制存在3种定位:一是“基本法”,只做基本的原则性规定,具体规则由行政规定、各行业准则以及软法规范予以落实;二是专项法,对科学研究处理数据行为进行全面的体系性和集中性规定;三是“空白法”,不作任何直接性规定。例如,欧盟《一般数据保护条例》采取基本法定位,有6个条文8款内容对“科学或历史研究”进行规定,并于第89条第2款授予欧盟所属国国内立法的有限调整权。日本在个人信息保护法立法时,对于是否应将医疗研究、学术研究以及媒体与宗教政治团体加以规范引起巨大争议,最终立法时将其排除在外[22]。2020年修订的日本《个人信息保护法》[23]第76条依然规定,“以供学术研究之用为目的”的个人信息处理行为排除适用该法第四章关于个人信息处理的一系列义务性规定。
鉴于个人信息类型庞杂,科学研究只是处理个人数据的一种较为特殊的应用场景,对其进行专项法式的规范设定不具有可行性。“空白法”完全无涉科学研究,不利于保障科学研究的应有地位和公益事业开展。因此,基本法定位同时辅以较低位阶的其它相关规范的立法路径被大多数国家采纳。
目前已通过的个人数据保护法尚没有出现完全禁止科学研究处理某类数据的规定。通行的模式是立法中先对个人数据进行类型区分,然后,规定科学研究在处理不同类型的数据时需要遵循不同的合法性条件。一般而言,对于一般个人数据,科学研究毋须采取任何措施即可直接处理;对于敏感个人数据,则需要履行不同程度的处理义务。如欧盟《一般数据保护条例》第9条第1款规定“对于显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性数据以及与自然人健康、个人性生活或性取向相关的数据,应当禁止处理”,但是,随后第2款第(j)项解除了第1款对“科学或历史研究目的”的限制,尽管需要依法采取第89条第1款设定的防护措施。
由于科学研究所具有的公益性且基于研究者表意自由的考虑,立法的趋向是不在个人数据类型和范围上对科学研究进行绝对限制,对数据处理行为施加限制条件,从而为科学研究创造宽松环境。
目的限制原则主要体现在数据处理的两个阶段:一是数据收集目的明确,收集者以不迟于收集时间为时间节点确定数据收集目的;二是数据利用阶段的使用目的不得突破收集时确定的初始目的。除此之外,还包括储存期限的限制,数据储存期限不得超过实现其处理目的所必需的时间[24]。欧盟《一般数据保护条例》第5条第1款规定了包括合法性、合理性和透明性,目的限制,数据最小化,准确性,限期储存,数据完整性与保密性在内的6项个人数据处理基本原则。但是,第1款的(b)项排除目的限制原则对于科学研究的适用。同时,第1款的(e)项规定,用作科学研究目的的能够识别数据主体的个人数据不受储存期限的约束。至此,欧盟《一般数据保护条例》在数据处理目的上对科学研究给予例外豁免。
日本《个人信息保护法》第15条规定:“个人信息处理者在处理个人信息时,应当尽可能地将使用该个人信息的目的特定”,从而确立个人信息处理的目的限制原则。但是,该法第76条第3款将学术研究移出了目的限制原则的适用范围。
科学研究的创新性源于其不确定性,新材料的发现或者研究方法的改进都会改变当初特定的研究目的,如果对其数据处理行为进行严格的目的限定则可能抑制科学研究的活力。因此,不受目的限制原则的拘束成为域外立法的主流模式。
欧盟《一般数据保护条例》第4条第(11)项将“同意”界定为数据主体出于自由意志以声明或者积极行为作出的允许个人数据被处理的意思表示。同时,第7条第3款赋予数据主体随时撤回同意的权利。可见欧盟对于同意条件的严格要求。但是,欧盟没有就科学研究处理个人数据的同意要件作出直接规定。《一般数据保护条例》第6条第1款规定了数据处理的6项合法性要件,满足其一即为合法:同意、契约、履行法定义务、维护核心利益、公共利益或行政任务、正当利益。有研究将该条内容解读为合法性要件的双阶构造:第一阶为同意作为独立要件;第二阶为“其他事由+必要性”的复合要件模式,通过必要性关联补足主体意志的流失[25]。在六项要件中,能够作为科学研究合法性依据的包括同意、公共利益以及正当利益。那么,同意要件如何作用于科学研究行为呢?鉴于科学研究不受目的限制原则的拘束,同意要件的约束力随之减弱。从文义上看,当科学研究于目的外处理个人数据时,数据主体无法知情,同意也就无从谈起;当科学研究于约定目的内处理个人数据时,同意的适用条件仍需要遵循条例的规定。但是,举重以明轻,目的外处理尚且不需要同意,目的内处理是否需要征求同意颇为可疑。总体而言,欧盟弱化了同意要件适用于科学研究行为的拘束力。
2018年8月14日通过的巴西《通用数据保护法》第11条第II(c)项规定,在数据主体没有给予同意的情况下,“敏感个人数据+科学研究目的+匿名化处理”为必不可少的合法条件。处理一般个人数据对是否同意不作要求。2021年2月9日审议的越南《个人数据保护法》(草案)第12条第1款规定,对于加密数据开展科学研究不需要征求同意。该条第4款规定:“若未获得同意,科学研究的数据处理应采取如下相关措施:承诺;安全措施;具有保护数据的物理设备;设有保护数据的专门部门;个人数据保护委员会已对上述措施进行书面确认[26]。”
综上,在科学研究中,同意要件仍存在适用空间。对于具有识别力的个人数据需要征求主体同意或者采取替代性措施,对于不具有识别力的个人数据无需获取同意。总体而言,在目的限制原则被豁免适用的情形下,同意的约束力正趋于弱化。
欧盟《一般数据保护条例》对科学研究的价值与个人数据权利进行两相权衡后作出折冲的规定。条例第14条规定当告知义务不可能履行或者需要付出不相称努力时,科学研究收集数据可以免于告知,对数据主体的知情权施加限制。第89条第2款规定,当该条例第15、16、18、21 条所规定的访问权、更正权、限制处理权与反对权彻底阻碍或严重阻碍科研目的时,成员国法律可以对数据主体的上述权利予以克减,同时,克减方案需满足两个条件:一是此类克减对于实现科研目的是必要的;二是克减需要符合第89条第1款规定的情形与防护措施。
2019年11月20日修正的《德国联邦数据保护法》第27条第(2)项重申了《一般数据保护条例》第89条第2款对数据主体权利的克减方案,并且进一步规定当个人数据为科学研究目的所必需且答复查询将产生不合比例的费用时,不得依据《一般数据保护条例》第15条主张访问权,此处也没有要求符合第89条第1款所规定的情形与防护措施。此外,《德国联邦数据保护法》第36条重述了《一般数据保护条例》第21条第1项的反对权,即当超过个人法益的紧迫公共利益或法定义务出现时,数据主体的反对权将被压制[27]。
域外法制基本认可了科研行为对于个人数据权利的克减,只是在克减的权利类型和克减程度方面做法不一。目前的共识是,对于数据主体的权利克减不仅要符合法定的前提条件,还应采取相应防护措施。
欧盟《一般数据保护条例》第89条第1款规定:“为了实现公共利益、科学或历史研究或统计目的而处理,应当采取符合本条例的恰当防护措施,保障数据主体的权利与自由。这些防护措施应当确保,为了保证数据最小化原则,已经采取技术与组织性的措施。”可见,《一般数据保护条例》采取防护措施的直接目的是确保数据最小化,措施的类型包括技术性措施和组织性措施。至于包括哪些具体措施,条例没有详加规定。从第89条第1款后半段“这些措施可以包括匿名化”的表述来看,匿名化是可以采取的技术措施。此外,组织性措施包括两个部分:一是条例第四章第四部分规定的“数据保护官”,属于数据控制者和处理者委任的内部自律性组织;二是条例第六章规定的“独立监管机构”,从外部对数据控制者和处理者的行为进行监督。数据保护官和独立监管机构内外配合,保证条例在欧盟实施的一致性。
与欧盟层面的规定相较,德国设定的保护措施更为细致。《德国联邦数据保护法》第27条第(1)项规定,当科学研究可以处理《一般数据保护条例》第9条第1项所称的敏感个人数据时,处理者应依据该法第22条第(2)项第2句采行特定且适当的措施维护数据主体权益。《德国联邦数据保护法》第22条第(2)项共包括10则内容,规定的具体措施如下:记录数据处理过程以确保透明度和可回溯性;提高处理参与者的认知水平;任命数据保护官;认证处理者访问数据的权限;数据的假名化处理;数据加密;确保与处理个人数据有关的系统及其服务能力;对防护措施进行经常性查核、评估;确保目的外处理或传输数据的特殊程序规范符合《一般数据保护条例》和《德国联邦数据保护法》的要求[27]。
当前,科学研究处理个人数据的保障性措施包括技术性措施和组织性措施,两类措施的具体类型还处于探索之中。德国的防护措施周密而系统,但是,是否对科学研究过于严苛尚存疑虑。
如今,以欧盟《一般数据保护条例》为代表的数据保护立法为科学研究处理个人数据行为搭建了相对完整的规范体系。中国可以在明确所要解决问题的基础上辩证地借鉴域外法制经验,总体思路上,个人数据保护法的本质是行为法,保护数据处理行为中的个人权益,而非单纯地保护个人权利。在明晰数据保护规则法律定位的基础上,厘清数据处理行为的合法性要件是解决科学研究中权益冲突的允正中道。
科学研究等处理个人数据的公益目的应纳入《个人信息保护法》的正式条文之中,此举能够明晰科研行为在法律上的定位,意义有二:一是对科学研究活动的重视,也是对科学研究作为特殊数据应用场景的价值宣示;二是对科学研究处理个人数据行为的豁免条件予以规定,通过限制与例外的规范设置为各类具体研究行为提供基准性指引。在个人信息保护法提供“基本法定位”之后,规范各类具体研究行为的专门法需要根据各自情形提供更加细致的规则。这些规则可以在个人信息保护法的规定区间内进行适度调整,但是,不能突破个人信息保护法设定的合法边界。各项专门法横向之间也需要衔接搭配,在出现重复或者冲突时需要及时清理规整,以维护科学研究法律规制的体系性效应。目前我国《涉及人的生物医学研究伦理审查办法》与《信息安全技术——健康医疗数据安全指南》均是医学研究方面的具体规定,其它类型研究处理数据行为的法律调控还需要补强。
个人信息保护法提供基础依据的作用不容忽视,这可能是域外大多数个人数据保护立法例中对科学研究进行直接规定的原因。我国个人信息保护法可以借鉴这一法制经验,为科学研究中的个人数据保护提供价值准则。
无论何种数据应用场景,在保护数据主体个人权利的基础上同时为数据控制者和处理者设定适度义务是促进利用激励与保护激励进而达成激励相容的基本途径[28]。此外,数据技术进步也会影响数据处理中的权益衡量,数据处理的法律条件有适时调整的必要。
5.2.1 数据处理者的义务豁免
基于公益扩展的考虑,科学研究者处理个人数据可以获得特别的优待。首先,对于科学研究者可以处理的个人数据类别不作限制。因为每一种数据的研究结果都具有对公共利益带来不确定增益的潜在可能性。其次,目的限制原则的豁免适用。科学研究的旨趣在于探索不确定性中的规律性,往往是一个从完全不确定到相对不确定的过程。因此,科学研究豁免适用目的限制原则是释放研究可能性的有益之举。最后,对科学研究者的义务豁免需要保持最低限度,因而研究者要担负基本的研究注意义务。欧盟对于一般数据应用场景中的目的限制原则呈现“窄进宽出”的双阶构造:在数据收集阶段,遵循“合法、特定、明确”的约定目的;在数据利用阶段,约定目的与不背离约定目的的额外目的都在许可范围内,以实现信息保护与流动的平衡[29]。不背离约定目的虽然放宽了目的限制,但是,仍然要接受“合理期待”或“平衡测试”等标准的限定。依此而言,当科学研究者漠视基本常识、有违数据适当性使用规定时,将会受到监管机构的审查和惩处。
5.2.2 数据主体同意要件更新及其权利克减的合比例性控制
域外同意的适用条件是根据数据识别力判断同意与否,对同意的形态本身未作深入考究。随着数字技术的发展,传统全有全无式的僵化的同意形态遭致批评。有研究提出宽泛同意(broad consent)模式,即由数据主体一次性同意后续研究对其个人数据的使用,尽管后续研究还需要通过研究审查机构的批准[30]。实际上,包括世界医学协会、国际医学科学组织理事会和世界卫生组织在内的国际卫生研究管理机构已批准将宽泛同意作为一种可接受的替代方案[31]。作为使医学数据二次研究合法化的一种手段,宽泛同意模式在德国和荷兰得到越来越广泛的采用,参与者作出一揽子同意的动机包括利他主义、互惠、团结和感恩[15]。面对宽泛同意可能将同意的实质功能消释掉的危险,有研究提出动态同意(dynamic consent)模式,不再将同意视为一次性事件,而是一种随着变化的环境持续协商、调整的过程,参与者可以随着研究进展自由选择同意加入 (opt in) 或退出 (opt out),还可以根据自己的偏好选择接收信息处理的幅度[32]。这对于研究中数据主体参与度、研究过程透明度都有很高的要求。同意是一个正在发展中的概念,随着科学研究处理个人数据类型化的逐步清晰,分类同意 (tiered consent)和分层同意(layered consent)模式的精确适用更能凸显同意的效能。
权利减损程度也会影响数据主体对于科学研究的信任度。数据处理中的权益冲突在所难免,保持合比例性是公共利益与个人权利之间的应然界限。最佳情形是科研行为包含的公益性足够突出,同时,对个人权利的影响微乎其微。在比例性并不明显时需要进行比例性评估,要求科研人员证明所研究的内容可以满足紧迫的社会需求并且对个人权利的减损不超过实现研究目的所必需的程度。《个人信息保护法》第四章专章规定了“个人在个人信息处理活动中的权利”,第44-48条分别规定了知情权、决定权(反对权)、访问权、更正权、删除权、解释说明权,同时规定存在“法律、行政法规规定的其他情形”时可以对知情权、决定权(反对权)、访问权、删除权予以克减。科学研究处理个人数据对于个人各类权利均可以克减,但是,克减程度需要通过比例性评估视具体情形而定。
对于数据处理的保障性措施,《个人信息保护法》已经作出一般性规定。科学研究处理个人数据行为可以在适用一般性规定的基础上进行个性化局部调整和规范创新。
《个人信息保护法》第4条规定“匿名化处理后的信息”不属于该法所界定的“个人信息”范围;第51条第(三)项规定信息处理者负有“采取相应的加密、去标识化等安全技术措施”的义务;第73条第(三)、(四)项分别解释了去标识化和匿名化的含义。总体而言,《草案》只对技术性措施作出概括性规定,对噪音添加、属性交换、差分隐私、数据聚合等具体技术手段未作要求。这可能是因为技术性措施不仅仅承载不可被识别的技术判断,同时,隐含相当程度的价值权衡——不对识别可能性进行过分细致和严苛的要求,为信息处理和流通保留必要空间。技术性措施具有复合属性,同时,随着数字技术的发展,数据识别标准是动态变化的,因此,受到时间、技术条件等情境规定性的约束。在科学研究中,对于不同研究类型不能一味地要求绝对地去识别化,符合当时情境下不能识别或者不损害数据主体权益情形下识别可能性极低的经处理数据均为可接受的情况。此外,随着技术的发展,再识别的风险日益突出。除全面清除个人标识符外,还需要定期评估和监测是否存在新的风险以及已采取的技术手段是否有更新和调整的必要。
对于组织性保障措施,《个人信息保护法》第58条规定提供基础性互联网平台服务的个人信息处理者应“成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督”。第六章对“履行个人信息保护职责的部门”进行专章规定,其中,第60条规定了国家网信部门统筹协调下的职责部门组织体系。此间的问题有二:一是科学研究的自律性组织设置不足,既有研究伦理审查机构的审查重点并非个人数据处理,而是一般性的伦理道德评价;二是个人信息保护职责部门未包括科研行为的专门监督机构,并且其主要组成人员多为政府部门工作者,缺少能够对科学研究进行专业把控的科学专家。对此,在内部自律性组织建设中,需要在大学或者研究机构中设置个人数据处理风险的事前评估与认证机构,促进数据侵害风险的内部过滤和消化;在外部监管机构设置中,应逐步建立科学研究的专职独立监管机构,提升科学研究处理数据的审查和监督能力。
在大数据时代浪潮下,数字经济的迅猛发展格外亮眼。相对而言,科学研究处理个人数据的应用场景未获得应有的重视。面对个人数据保护与数据利用的张力,需要转变现行法制中不确定法律概念架构下的模糊规制立场,转而细致梳理和建构科学研究中数据处理的合法性要件,确立科学研究处理个人数据的应然法律界限。首先,在个人信息保护法作出基本规定的基础上结合专门法的规范设计确立科学研究处理个人数据的规范体系。其次,妥适配置数据处理者的义务范围和数据主体的个人权利比重,构筑激励相容的数据处理行为要件。最后,通过完善技术性和组织性保障措施确保数据处理规范有序。此外,法律规制体系需要摒弃封闭和僵化的观念,秉持开放和革新的立场,唯有如此才能在数字技术不断进步的趋势下保持充足的回应力。
[1] SEE LINDEN K, KELLI A, NOUSIAS A. A CLARIN contractual framework for sharing personal data for scientific research[M]//SIMOV K, ESKEVICH M. Selected papers from the CLARIN annual conference 2019. Linkoping University Electronic Press,2020:75-84.
[2] Academy of Medical Sciences. Personal data for public good: using health information in medical research[EB/OL].[2021-02-02].http://www.acmedsci.ac.uk/index.php?pid=99&puid=62.
[3] 刘静怡.社群网络时代的隐私困境:以Facebook为讨论对象[J].台大法学论丛,2012,41(1):9-10.
[4] HELEN NISSENBAUM. Privacy in context: technology, policy, and the integrity of social life[M].Stanford University Press,2009:140-160.
[5] 柴之芳.科学研究是一项公益事业[J].科技导报,2017,35(1):9.
[6] 王悠然.公共价值科学研究有待重视[N].中国社会科学报,2020-08-21(003).
[7] VAYENA E, HAEUSERMANN T, ADJEKKUM A, et al. Digital health: meeting the ethical and policy challenges[J]. Swiss Medical Weekly,2018,148:w14571.
[8] BIETZ M, PATRICK K, BLOSS C. Data donation as a model for citizen science health research[J].Citizen Science: Theory and Practice, 2019,4(1):1-11.
[9] DEACON HARRIET. Racism and medical science in South Africa's Cape Colony in the mid-to late nineteenth century[J].Wash Lee Law Review,2000,15:190-206.
[10] MARK J TAYLOR.Health research, data protection, and the public interest in notification[J]. Medical Law Review, 2011,19:267-303.
[11] MICHAEL WEIL, SATISH LALCHAND. Five questions about the misuse of consumer data[EB/OL].[2021-06-17]. https://www2.deloitte.com/us/en/pages/advisory/articles/five-questions-about-the-misuse-consumer-data.html.
[12] 李震山.来者犹可追,正视个人资料保护问题[J].台湾法学杂志,2005,76(5):229-230.
[13] 王德志.论我国学术自由的宪法基础[J].中国法学, 2012,29(5):14-15.
[14] KRUTZINNA J, FLORIDI L. Ethical medical data donation: a pressing issue[M]//KRUTZINNA J, FLORIDI L. The ethics of medical data donation. Philosophical Studies Series, Springer, 2019.
[15] RICHTER G, BORZIKOWSKY C, LESCH W, et al. Secondary research use of personal medical data: attitudes from patient and population surveys in the Netherlands and Germany[J].European Journal of Human Genetics, 2021,29(3): 495-502.
[16] VAYENA E, GASSER U, WOOD A, et al. Elements of a new ethical framework for big data research[J]. Wash Lee Law Review,2016,72(3):420-441.
[17] 周汉华.个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社, 2006:9.
[18] 赵宏.《民法典》时代个人信息权的国家保护义务[J]. 经贸法律评论,2021,26(1):11-12.
[19] 联合国贸易和发展会议(UNCTAD)统计数据[EB/OL].[2021-04-24].https://unctad.org/page/data-protection-and-privacy-legislation-worldwide.
[20] 高富平.论个人信息处理中的个人权益保护——“个保法”立法定位[J].学术月刊,2021,65(2):112-113.
[21] 欧盟一般数据保护条例[EB/OL].丁晓东,译. [2021-04-21].https://wenku.baidu.com/view/f7365a101fd9ad5 1f01dc281e53a580216fc5027.html.
[22] 邱文聪.健保资料库案会议记录[J].月旦法学杂志,2018,20(1):73-74.
[23] 刘颖.日本个人信息保护法[J].北外法学,2021(2):217-256.
[24] EVELIEN BROUWER. Legality and data protection law: the forgotten purpose of purpose limitation[M]//BESSELINK LFM, PRECHAL S, PENNINGS F.The eclipse of the legality principle in the European Union. Alphen aan de Rijn: Kluwer Law International, 2011:273-294.
[25] 张陈弘.GDPR关于搜用一般个人资料之合法事由规范[J].月旦法学杂志,2019,19(2):176-178.
[26] 巴西《通用数据保护法》与越南《个人数据保护法(草案)》译文[EB/OL].[2021-04-22].https://www.secrss.com/articles/29976.
[27] 世新大学.欧盟国家个人资料保护法制因应GDPR之调适[R/OL].[2021-04-23]. https://www.ndc.gov.tw/nc_1871_34353.
[28] 周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向[J].法学研究,2018,65(2):3-23.
[29] 梁泽宇.个人信息保护中目的限制原则的解释与适用[J].比较法研究, 2018,32(5):16-30.
[30] ROTHSTEIN M A, KNOPPERS B M, HARRELL H L. Comparative approaches to biobanks and privacy[J]. Journal of Law Medicine & Ethics, 2016, 44(1):161-172.
[31] International ethical guidelines for epidemiological studies[EB/OL].[2021-04-17]. https://cioms.ch/wp-content/uploads/2017/01/WEB-CIOMS-EthicalGuidelines.pdf.
[32] JANE KAYE, EDGAR A WHITLEY, DAVID LUND, et al. Dynamic consent: a patient interface for twenty-first century research networks[J]. European Journal of Human Genetics,2015,2(23):141-145.