智能穿戴技术下的个人健康信息保护
焦艳玲
刊于2023年第5期
焦艳玲
天津师范大学法学院教授,中国人民大学法学博士,美国俄克拉荷马城市大学访问学者,天津市“131”创新型人才培养工程第三层次人选。主要从事民商法和个人信息保护等研究。主持国家社科基金1项,教育部人文社会科学基金1项,天津市哲学社会科学规划项目1项。在《法律科学》、《中国高校社会科学》等刊物上发表论文40余篇。
摘 要:个人健康信息是直接或间接反映自然人过去、现在和未来身体健康以及心理健康的所有信息。智能穿戴设备收集的普通生活信息一旦被用于健康分析的目的,便与健康推断结论一起成为个人健康信息。个人健康信息的内涵较医疗信息更加广泛,其范围没有固定的边界,认定时不应单纯着眼于信息的内容,更应关注信息使用的目的。智能穿戴设备的数据分析活动促成了生活数据向健康数据的转化,是个人健康信息生成的新方式,其与医学诊断一样构成对个人健康信息的处理活动,故应纳入法律对敏感信息的规制范围。智能穿戴技术下的个人健康信息保护,需要基于信息处理目的适用动态同意规则、公开健康分析算法以及建立个人信息与医疗器械的协同监管与认证机制。
关键词:智能穿戴技术;个人健康信息;医疗信息;健康数据;健康分析算法
基金项目:天津市哲学社会科学规划项目“个人生物识别信息的民法保护”(TJFX21-002)
智能穿戴设备的使用令个人健康信息的数量出现指数级增长,然而生活化的应用场景掩盖了其处理敏感信息的本质,导致个人健康信息的法律保护出现巨大缺口。个人健康信息的范围有多大?智能穿戴设备收集的生活信息如何转变为个人健康信息?智能穿戴设备对个人健康状况的分析是否属于对敏感信息的处理活动?我们该采取怎样的措施保护个人健康信息?这些成为智能穿戴技术应用中必须澄清的问题。
以往有关个人健康信息的探讨大多局限于直接揭示健康状况的医疗信息。随着算法技术的进步,普通的生活信息也具有了健康指示的意义。通过算法支持下的数据分析活动,智能穿戴设备可从收集的普通生活信息中推断一个人的健康状况,其推断过程与医学诊断并无实质差异。智能穿戴技术势必带来个人健康信息概念的革新,也引发了个人健康信息保护的新危机。解决危机是系统性工程,需要借助信息保护、算法治理和设备监管等多种手段。本文试图从以下问题入手探寻化解这一危机的出路:其一,个人健康信息受智能穿戴技术的影响面临哪些风险,法律调整存在哪些障碍。其二,个人健康信息的概念在智能穿戴技术的影响下如何与时俱进地革新,普通生活信息如何转化为个人健康信息。其三,如何对智能穿戴设备的信息处理活动进行规制以使其纳入法制轨道。
一智能穿戴技术下个人健康信息法律保护的困境
智能穿戴设备的使用对个人健康维护起到了积极作用,然而持续不断的信息收集和复杂目的的数据分析给个人信息安全带来巨大威胁。设备收集和生成的信息即便直接或间接地揭示了一个人的健康状况,习惯上也不被认为是敏感信息,这加剧了商业公司滥用健康信息的风险,导致个人健康信息保护面临前所未有的困境。
(一)智能穿戴技术引发的个人信息安全风险
智能穿戴设备是整合在服装、饰品、随身佩戴物品或植入表皮和体内,可以舒适地穿戴或佩戴的智能电子设备。借助传感器持续不断地收集信息,并利用短距通信和机器学习传送与处理信息,智能穿戴设备逐渐成为感知型应用的前沿产品。2016年《自然》杂志曾公布一种可穿戴设备,它通过测量汗液中代谢物分子的水平来获取个人健康的实时信息,从而为疾病的早期诊断、药物使用监测、运动方案优化以及大规模临床研究的开展提供帮助。目前,智能穿戴设备广泛应用于健康监测、运动健身和娱乐社交等场合,许多商业公司利用这一设备打造用户的“生态信息系统”,通过分析这些信息挖掘潜在的商业需求。例如,耐克公司与多所美国高校签订赞助协议,通过在耐克鞋底设置芯片收集学生在运动、睡眠和压力等情况下的身体数据,从而为改进产品设计提供依据。中国的华为公司则通过智能手表打开了医疗器械的销售市场,其手表不仅可以监测心率、睡眠和血氧,还可以进行医疗级的心电采集和血压测量。据统计,2020年我国智能穿戴设备的出货量已经达到1.07亿台。智能穿戴设备有望成为继智能手机之后对人类影响最大的颠覆性产品。然而,与如火如荼的市场反应形成鲜明反差的是,智能穿戴技术正翻越权利保护的围栏,令个人健康信息安全遭受前所未有的威胁。
首先,智能穿戴设备使健康隐私泄露变得无感且隐蔽。例如,智能手机App与智能穿戴设备一样可以收集个人的生理信息和行动信息,但二者的区别是显著的:前者始终与人体保持物理性的脱节,因此很容易被人们觉察;后者使人体习惯了它的存在,以致人们常常意识不到自己受到了监控。智能穿戴设备是附着于人身上的机器,它天然地限制了被用户注意的可能。人类的地位也随智能穿戴设备的出现发生了改变,本应享有信息控制权的个体如今却是一个被动的“数据生产者”。
其次,智能穿戴设备收集的信息常被用于不可预期的目的,导致健康分析的结果经常会对个人产生歧视性影响。例如,雇主可以利用收集来的信息指导员工远离职业疾病,但也可以根据这些信息评价员工的工作表现,从而形成隐蔽的就业歧视。2021年杭州一家公司因使用智能坐垫监测员工的呼吸、心跳、坐姿以及行踪受到质疑,最令员工感到不安的是,公司会借此信息来决定员工的绩效考核、升迁与辞退。
再次,智能穿戴设备为广泛的社会分选和污名化创造了条件。许多商业公司利用收集的信息为用户创建了类别,“已婚肥胖”“胆固醇关注”“预期父母”等标签被隐蔽地贴在用户身上,其目的是为了市场营销。然而这种类别化标签常被用来指代某一群体或某一品质,并内含了对用户的刻板和偏见印象,随着它们在网络空间不断蔓延,广泛的社会分选和污名化问题便由此产生。
复次,智能穿戴设备对个人健康状况的预测很难避免错误和偏差,导致个人权利有可能被实质性剥夺。智能穿戴设备并非医疗器械,其预测结果普遍缺乏权威性认证,因而准确性和可靠性都大打折扣。一旦出现错误与偏差,这些错误和偏差就会在网络世界里产生联动效应,导致个人在现实世界中的权利也被剥夺,而对于造成错误和偏差结果的“算法暗箱”,用户几乎没有访问、纠正或者删除的可能。
最后,智能穿戴设备还加大了个人健康信息被盗的风险。由于缺乏行业安全标准,智能穿戴设备收集的信息很容易被窃取。据《每日邮报》报道,市面上多数的健身追踪设备都存在信息泄露隐患,它们发出的蓝牙信息很容易被黑客跟踪和篡改。特权升级、密码攻击、恶意节点注入、固件劫持、窃听以及物理篡改已经成为智能穿戴设备应用下个人信息盗窃最常见的手段。
(二)智能穿戴技术下个人健康信息法律保护的瓶颈
智能穿戴技术已将个人健康信息安全置于险境,面对该技术带来的挑战,目前的法律因应不足,导致个人健康信息的保护措施存在严重缺口。一个前提性的问题是:智能穿戴设备收集和生成的信息是否属于个人健康信息?若答案是肯定的,那么它自当被划入敏感信息的范畴,所获保护的程度自然比普通信息高。若答案是否定的,那么它获得保护的程度就与普通信息无异。由于智能穿戴设备收集的信息多与个人的生活方式有关,所以它们常被视为普通信息,即便生成的信息直接揭示了一个人的健康状况,它们也会因非出于医务人员之手而被拒绝承认为敏感健康信息。例如,通过智能穿戴设备对睡眠时间的分析可以获得一个人患失眠症的推断,但即便该推断与医生诊断完全一致,围绕这两种结论的个人信息处理规则也大相径庭。前者仅被当作普通个人信息对待,后者则作为敏感个人信息受到保护。由此可见,智能穿戴设备正使个人丧失对敏感信息的控制权。
其一,单独同意的规则被架空。依据我国《个人信息保护法》,敏感信息的处理需要取得信息主体的单独同意。它要求以单独展示的方式进行告知并获取同意,不允许内容混杂的一揽子同意。同时,它要求同意的内容与处理的目的一一对应,不同内容的同意必须分别取得或者逐项取得。与处理普通信息仅要求概括同意不同,单独同意可令信息主体作出更慎重的决定。而在智能穿戴设备的场合,表面看设备只是采集了一个人的生活信息,法律上似乎只要满足概括同意即可,可是一旦这些信息被用来分析他的健康状况,这些信息便与生成的健康推断结果一起享受更高层级的保护,因为它们已经具有了揭示一个人健康状况的充分敏感性。问题在于,大多数智能穿戴设备的使用场景具有生活性和娱乐性,设备的使用者、生产者甚至监管者都未形成对这些信息的保护意识,导致单独同意的规则实际上被架空。
其二,充分必要性的要求被忽略。依据《个人信息保护法》,普通信息的处理需要具有明确、合理的目的并保证与处理目的直接相关即可,但是敏感信息的处理还须以“充分的必要性”作为前提。在必要性的基础上附加充分性的要求,意味着信息处理者对敏感信息的处理必须保持极大克制,内含了“非此不可”的条件,暗藏着对特定目的的实现是“必需的”和“不可替代”的意蕴。反映生活方式和行为习惯的信息如果只是用于其自身显示的目的,那么这种信息处理活动只要保证处理目的“明确、合理、具有相关性”即可,一旦被用来预测一个人的健康状况,那么就必须考察该活动是否具有充分的必要性。例如,利用智能手环收集走路步数衡量一个人的运动情况符合信息收集的目的要求,但若以此评估他的健康状况或者预测他在未来的健康风险就不具有充分必要性。现实生活中,商业公司为了获取竞争优势违规扩大数据获取的范围已呈高发态势。而将智能穿戴设备收集的信息用于个人健康分析同样有超越范围获取个人信息的嫌疑,这种越过了对“充分必要性”的考察进行的信息处理活动,事实上违反了法律对于敏感信息的保护规则。
其三,匿名化措施的深度失灵。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。《个人信息保护法》在个人信息的定义中明确排除“匿名化处理后的信息”,表明匿名信息不受该法的保护,信息处理者可以自由使用。然而匿名化并没有其定义的那样完美,所谓的“无法识别且不能复原”不过是一个幻想,只需更深入的技术处理或者与其他数据集相结合,匿名数据就可以再次成为个人数据,所以匿名化只是暂时发生效果,却非隐私保护的灵丹妙药。随着机器学习算法的盛行,数据匿名可能被彻底击垮,因为算法即便出错也可以自动调整匹配结果,从而生成新的模型并利用该模型生成新数据。在个人健康领域,匿名化恐更难以实现。例如,在一个匿名数据集中识别罕见病患者的身份十分容易,因为罕见病天然具有极低的发病率。由是观之,在智能穿戴技术的场合匿名化绝非风险屏蔽的有效措施。
数据被称为21世纪的石油,智能穿戴设备则充当了石油的挖掘机。利用智能穿戴设备收集的信息进行数据开发,商业公司远获得比销售设备更丰厚的利润,然而代价却是个人信息权益被无视甚至碾压。正如欧盟数据保护委员会此前表达的担忧:“滥用APP和设备中的数据将使个人的基本权利如隐私权、非歧视权遭受严重危害。滥用健康数据包括得出不准确或者不可靠的结论,将对个人及其社会环境产生长期以及不可逆转的后果”。破解这一困境首先需要革新个人健康信息的概念,即肯定为健康分析目的收集的生活信息也是健康信息,从而将它们纳入敏感信息的保护规则之下,如此才能实现对智能穿戴技术下的个人信息处理行为的有效规制。
二智能穿戴技术下个人健康信息概念的革新
健康信息属于敏感信息,因而享受更高层级的保护。问题在于,什么是个人健康信息?对于这一前提性问题,规则和认识都不甚清晰。例如,睡眠时间只是通常意义上的生活信息,但是医生对个人睡眠时间的记录以及据此作出的诊断则被认为是健康信息。现实生活中,保险公司让客户佩戴智能手环来获取他们的走路步数,进而通过对行走步数进行奖励,间接降低保险赔偿的风险,业界认为正是因为走路步数不涉及个人敏感信息,这类保险才能在市场上推行。然而只要将走路步数与身高、体重、呼吸、心率等信息结合并分析,便会得到对一个人疾病风险的预测,那么走路步数究竟算不算健康信息呢?智能穿戴技术助推了信息挖掘的可能性,在此背景下个人健康信息的概念也需要与时俱进地革新。
(一)个人健康信息概念的演进
“个人健康信息”是《民法典》使用的称谓,《个人信息保护法》则采用“医疗健康信息”的表述。健康信息与医疗信息究竟有何关系,是澄清个人健康信息概念的前提。
起初国内关于个人健康信息的认识集中在以电子病历为代表的医疗信息上。健康信息与医疗信息的概念经常在同一语境下使用,二者并无实质差异。我国《人口健康信息管理办法(试行)》对“人口健康信息”的定义是:“本办法所称人口健康信息,是指依据国家法律法规和工作职责,各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。”人口健康信息既然由医疗、卫生和计生服务机构生成,那么它与医疗信息就没有差别。健康信息与医疗信息的真正分野始于大健康理念的确立。中共中央、国务院2016年发布《健康中国2030规划纲要》,一个涵盖了医疗、卫生和体育健身在内的“大健康”概念深入人心。从理论上看,健康既然贯穿人生老病死的全过程,那么健康信息的范围就大于医疗信息,可是实践中医疗信息在健康信息中始终占据主流,导致它与健康信息常被视为相对应的范畴。理论和现实的两种倾向在立法上均有映射,由此出现了《民法典》和《个人信息保护法》称谓的分歧。就该术语的内涵而言,《国家健康医疗大数据标准、安全和服务管理办法(试行)》对“健康医疗大数据”的定义最具相关性:“人们在疾病防治、健康管理等过程中产生的与健康医疗相关的数据”。然而这一定义过于抽象,导致外延边界模糊不清。健康医疗数据究竟包含哪些内容?睡眠时间和走路步数是不是健康医疗数据?上述问题均不明了。
欧洲立法较早使用了“健康相关数据”的概念,经过立法者的多次阐释,其轮廓已逐渐清晰,可为我国提供借鉴。在欧洲,健康信息与医疗信息同样经历过相互纠缠的过程。目前欧盟《通用数据保护条例》(简称“GDPR”)对“健康相关数据”的定义是:“与自然人的身体和心理健康相关的个人数据,包括揭示其健康状况的保健服务的信息”。从文义上看,所有揭示个人健康状况的信息都是健康相关数据,这表明该术语具有宽泛的内涵。但是GDPR在序言第35条对健康相关数据进行了具体化列举,它通过四种情况来说明这一术语的范围,然而四种情况全部与医疗活动有关,导致理论界出现一种困惑:健康相关数据是否专指医疗数据?事实上,“健康相关数据”这一术语在欧洲委员会1981年发布的《关于自动处理个人数据的保护公约》中就被使用,尽管公约本身没有对它作出定义,但公约的解释性报告将它定义为:“与个人过去、现在和未来的身体健康和心理健康相关的信息”。理论界认为,公约早已为“健康相关数据”的宽泛性内涵奠定了基调,表现在:(1)信息主体的范围不受限制。既可以是生者,也可以是死者。既可以是患者,也可以是健康人。(2)信息产生的时间不受限制。既可以是当下的信息,也可以是过去和将来的信息。(3)信息的来源不受限制。除来自医疗保健、医学研究、医院管理和公共卫生领域的个人信息外,其他涉及个人健康状况的信息也是“健康相关数据”。解释性报告表明了一种立场:医疗信息仅是健康信息的一个类别。医疗信息的核心特点是主体特定(医生和患者)、场景特定(医疗场所)、目的特定(疾病诊治),健康信息则不必受此限制。
在较长的时间里,医疗信息与健康信息的区分仅仅具有理论意义,对于现实生活并不会产生太多影响,直到手机应用程序和智能穿戴设备的出现。以往由医生生成的信息现在通过智能穿戴设备就可以获得,只是前者属于医疗信息受到法律的严格管控,后者的管理则非常宽松。不过,脱离了法律严格监管的健康信息对个人权利的影响同样深重。意识到这一风险后,欧盟数据保护委员会对“医疗数据”和“健康相关数据”的范围和关系作出了澄清。委员会认为,“医疗数据”是在专业医疗环境下生成的与个人身体和心理状况有关的数据。它包括健康服务的提供者在与个人接触的过程中形成的所有数据,在诊断治疗的过程中形成的所有数据,以及与个人的疾病、残疾、病史和临床治疗有关的任何信息。“健康相关数据”则是比“医疗数据”更宽泛的术语,一个人佩戴眼镜的事实、智力和情感能力的数据以及吸烟饮酒的习惯,或者只有在紧急情况下才会使用的信息(例如儿童参加夏令营而向学校报备患哮喘的信息),或者参加健康自助小组的资格(例如参加癌症支持小组和戒酒会等人员的信息),或者在就业期间患病的事实,都是“健康相关数据”。委员会特别澄清了认识上的几个误区:(1)“健康相关数据”并非专指健康状况不佳的数据,健康状况良好的数据亦包括在内。(2)“健康相关数据”并不保证是准确的数据,例如一个人在健康问卷中提交的错误数据亦是健康相关数据。(3)“健康相关数据”并非只能由医务人员和医疗设备采集,例如使用血糖测量仪测量得到的数据就是健康相关数据,无论该测试是否由医务人员实施,也无论该设备是否属于医疗设备。(4)反映疾病风险的数据也是“健康相关数据”,例如一个人肥胖、高血压、遗传倾向、过度饮酒、吸烟吸毒和药物使用的信息,只要科学证明或普遍认为上述事实可以导致未来患病的风险,那么这些信息就都是“健康相关数据”。事实上“健康相关数据”的此种宽泛性认识已经在立法者、法官和和数据保护机构之间达成了共识,例如欧盟法院早在2003年林奎斯特案的判决中指出:“健康相关数据”是与个人身心健康状况相关的各方面信息,林奎斯特(Lindqvist)在网页上提及她同事的脚受伤并因医疗原因在中场休息的事实就是“健康相关数据”。
综上,个人健康信息是反映自然人过去、现在和未来的身体健康以及心理健康的所有信息,它包含直接反映个人健康状况的医疗信息,也包括间接揭示个人健康状况的其他信息。个人健康信息不以准确反映个人的健康状况为必要,对个人健康状况合理评估和预测所形成的信息也是个人健康信息。
(二)个人健康信息认定的动态化
个人健康信息概念的扩张是大数据时代使然,由此产生两个面向的效果:一方面更多的信息有望被纳入个人健康信息范畴,另一方面个人健康信息的认定将面临更大的难度。从比较法上看,欧盟数据保护委员会对“健康相关数据”的定义迄今为止最为明了,但是这一宽泛的定义不免令健康相关数据与非健康相关数据的区分发生困难。按照委员会的解释,反映疾病风险的数据也是健康相关数据,而所谓疾病风险数据就是指有关个人未来潜在健康状况的数据。问题在于,这种类型的数据可能五花八门。血压、脉搏等身体数据可以反映个人未来的健康状况,睡眠时间、走路步数等生活数据同样可以反映这一情况。尤其在大数据时代,探索生活方式与健康状况的关联比任何时候都要容易,因为大数据的价值就在于从海量数据的分析中发现事物之间的关联。在智能穿戴设备收集的数据中,许多生活方式的数据看似与个人健康无关,却与疾病风险存在统计学上的关联。此种建立在统计学基础上的相关关系虽然不一定是“质”的反映,却能揭示事物之间的潜在影响,并对事物的发展趋势作出预测。例如,在使用大数据进行的医学研究中,研究者常常探索饮食习惯与疾病的关联,饮食习惯的数据属于典型的生活方式数据,但是当它被用来揭示个人未来的健康状况时,其性质就变成了健康相关数据。
从信息分层的角度看,有些信息(如医疗信息)单纯因其数据的外观就可以受到保护,无论其是否实际用于揭示健康的目的;而另一些信息是否构成个人健康信息,则涉及更加复杂的判断过程。按照GDPR的逻辑,除医疗数据外,其他数据只有在能够揭示个人健康状况时才是“健康相关数据”。它包括自身就能反映健康状况的数据,也包括可以从中推断健康状况的数据。有时这种推断非常间接和复杂,但是我们不能给它设定一个门槛,因为在未知的算法世界里谁也不清楚看似无关的数据会被数据处理者用来做出怎样的推断。尤其在智能穿戴设备的场景下,出于保护个人权益的目的,“健康相关数据”的定义再宽泛都不为过。随着数据挖掘技术的深入,看似毫不相关的数据被用来推断个人健康状况的情况将越来越常见,例如欧洲的一些保险公司已经开始利用客户在黄金时段观看电视和追逐流行服装的频率来预测客户的疾病风险。这些事实表明,“健康相关数据”的认定不仅应关注数据的类型,更应关注数据使用的目的。睡眠时间、走路步数如果只是单纯被用来记录个人的生活情况,那么它是普通的生活数据,一旦被用于预测个人的健康状况,它就变成了“健康相关数据”。所以,“健康相关数据”的范围并非一成不变,其与非健康相关数据的界限并不明显,而区分的关键在于使用的环境。
综上,个人健康信息的范围没有明确的边界,一项信息是否属于个人健康信息,不能仅从信息内容的特性来判断,还须关注信息使用的目的。许多信息本身并不反映健康相关内容,但是当它与其他信息相结合从而用于对健康状况的合理预测时,该信息也就成为个人健康信息。此种“动态”认定个人健康信息的方法弥补了单纯“静态”方法的不足,对于个人健康信息的保护更加周延。
(三)智能穿戴技术下个人健康信息生成的技术进路
将动态标准用于个人健康信息的认定,关键看智能穿戴设备是否将生活数据与个人健康建立关联。当个人纯粹为了生活目的使用智能穿戴设备时,采集到的数据仅为生活数据,但是当商业公司将这些数据用于对个人健康状况的分析时,这些数据便具有了健康指示的意义,由此转化为“健康相关数据”。作为链接生活数据与个人健康的纽带,基于智能算法的数据分析是撬动生活数据向健康数据转化的关键,所以对其性质的认识至关重要。不过对于这一问题,尚存争议。一个重大的认识分歧是:数据分析是否构成医学诊断?若为医学诊断,则表明其内含评估和预测个人健康的目的,因而这种信息处理活动是对个人健康信息的处理,最终要纳入法律对于敏感信息的规制范围。反之,则不同。
“诊断是医生通过诊察人体的健康状态和疾病所提出的概括性判断。”其核心是推理,即通过询问病情和查阅检查报告对疾病作出合乎实际的结论。此种推理需要以对患者情况进行全面细致的掌握为前提,因此患者的配合十分重要。与此相比,数据分析完全由计算机进行,既不需要询问、调查患者的情况,也不需要患者作出配合与互动,这种脱离了人脑推理的分析过程是否属于医学诊断呢?赞成者认为,数据分析与医学诊断一样都是利用算法进行决策的过程。当医生诊断疾病时,会收集患者生活方式、家庭情况、症状等方面的信息,医生将这些信息与检查结果相结合,然后将它们运用到决策算法中去。事实上,医生在学习期间就已经掌握了成百上千种诊断的算法,他们要做的是在一个庞大的决策树中接受算法的导航。数据分析与医学诊断的过程十分相似,商业公司通过共享协议从消费者处收集数据,然后将数据输入机器学习的算法中,这些算法经过训练已经能够识别人体的健康状况。因此,输出的结果是一种与健康相关的结论,或者说是一种诊断。反对者认为,医学诊断是医生针对患者个体进行的具体分析,或言之,是一对一的确定性分析,而数据分析是在统计学基础上进行的概率分析,它只能表明相关关系却无法揭示真正的病因。如果将数据分析视为医学诊断,那么外行人的意见也可以成为诊断,如此一来医学诊断的权威性和可靠性便不复存在。
在笔者看来,数据分析与医学诊断确实具有同质性。反对论的核心观点是,大数据基础上的概率分析是相关性分析而非因果分析,可是这一论点站不住脚。因果关系是事物生消变化的基本法则,它能够反映事物发展演变的过程,因而具有解释成因和预测未来的功用。证明事物之间的因果关系向来是科学研究的目标,但是实现这一目标困难重重,相比之下,相关关系的获得就比较容易。相关关系是反映事物之间相随共变的程度概念,尽管与因果关系不可等同,但是借助相关关系进行推断是发现因果关系的重要方法,并且相关关系同样可以预测事物的发展趋势。只要掌握了事件的全部或大部分原因,然后根据相关关系的强度进行选择和剔除,就能发现哪些原因达到了充分和必要的程度从而可以上升为因果关系。大数据为我们营造了一种可能性,即通过寻找统计学上的关联来预测事物的发展规律,数据越丰富,正确性的概率就越高。正是这种相关性的推断才是预测的关键,而其本质是因果关系的量化和派生。借助智能穿戴设备进行个人健康分析是大数据时代因果关系推断的具体表现,它用数据之间的联系来说明疾病的成因和发展演变。我们拒绝认可它是医学诊断,因为我们认为医学诊断的目标是能够作出因果关系的解释,而数据分析只能回答“是什么”却不能回答“为什么”。但是我们忽略了医学诊断的本质也是概率分析基础上的推理过程,医生按照概率的大小对病因进行排序,选取那些最有可能性的病因作为诊断结论,经验丰富的医生甚至很早就认识到,诊断结论本身就有不确定性。实际上医学诊断与数据分析一样,都是在概率基础上对一个人健康状况的推断,只不过传统医学诊断依赖于人脑的思考,而数据分析利用人工智能进行思考罢了。如果我们能够看清数据分析的本质就是人工智能模拟医生作出逻辑判断的过程,那么我们就不会将数据分析简单化为外行人的非专业意见。
由此可见,智能穿戴技术下的数据分析与医学诊断具有同质性,或可称为“类医学诊断”。此种数据分析以揭示个人健康状况为目的,在生活数据与个人健康之间建立了链接,将生活数据转化为健康数据,成为个人健康数据生成的新方式。商业公司利用智能穿戴设备收集的信息进行健康分析,构成对个人健康信息的处理,理应受到《个人信息保护法》对敏感信息保护的特别规制。
三智能穿戴技术下个人健康信息处理的合规化
智能穿戴设备对个人健康状况的预测已经具有类似医学诊断的属性,然而无论医疗监管的法律抑或个人信息保护的法律对智能穿戴设备均未给予充分关注,导致大量个人健康信息处于法律保护的灰区。个人健康信息既为敏感信息就应受到更周全的保护,智能穿戴场景不应成为被遗忘的角落。而要实现这一目标,需要从以下几个方面进行努力。
(一)基于信息处理的目的适用动态同意规则
《个人信息保护法》对个人信息处理采取审慎立场,无论普通信息抑或敏感信息,个人信息处理原则上在三种场合进行:(1)信息主体的同意;(2)满足豁免使用的条件;(3)数据匿名化。在匿名化措施被证明失败的情况下,个人信息的利用终究要回归信息主体的知情同意。然而,《个人信息保护法》区分普通信息与敏感信息从而分别适用差异化同意规则的做法已经不再具有适应性,因为算法已经具有足够的能力打破信息类型的分野。对于普通的生活信息而言,当信息处理的目的发生转变,信息的性质和类型也会发生变化,所以知情同意的规则适用不能单纯地以信息内容来决定,还应当考察信息处理的目的。例如,智能穿戴设备收集的信息如果只是用于反映个人的生活方式与行为习惯,那么取得用户自愿明确的概括同意即可,一旦这些信息被用于评估个人健康或者预测疾病风险,那么就必须取得用户的单独同意。
所谓信息处理的目的,是指信息处理追求的目标和结果。在《个人信息保护法》上,信息处理的目的是规范信息处理活动的基本原则,其内含了三方面的要求:(1)信息处理具有明确和合理的目的;(2)信息处理与处理目的直接相关;(3)信息处理使用了对个人权益影响最小的方式。在智能穿戴设备的场合,信息处理的目的还具有了新的功能——甄别个人健康信息。由于信息处理目的直接关系到信息类型的转化和同意规则的变化,所以保障信息主体的充分知情就异常重要,信息处理者必须对信息处理的目的进行详细说明,一旦涉及健康状况评估或者疾病风险预测,那么即便采集的信息属于普通生活信息,也须对信息主体作出敏感信息的重点提示,并将同意规则转换为单独同意。
(二)公开健康分析算法以保障充分知情
智能穿戴技术下的个人健康信息保护之所以值得关注,就在于该场景下的信息处理游离于生活信息与健康信息的灰区,商业机构可以绕过法律的限制处理个人敏感信息。有观点认为,个人健康信息如此复杂而个人又不能充分认知,那么这种信息处理活动就不应一概交由信息主体决断,尤其在一些特殊的场合,如就业和金融服务场合,应跨越知情同意的规则禁止数据分析。然而绝对禁止的思路并不符合信息利用的目标,为实现信息保护与信息利用的共赢,可行的方法是在知情同意的基础上强化信息处理的透明度,特别是增强算法的公开与说明。事实上,算法才是实现生活信息向健康信息转化的关键,因为它决定着信息处理的目的。对于信息主体而言,算法是其考察信息处理目的以及评估信息处理活动是否具有“充分必要性”的依据,只有对算法有所了解才能真正落实知情同意。算法的公开与说明在《个人信息保护法》中有迹可循,遗憾的是,该法规定的算法说明是在用户要求下的被动说明而非处理者的主动披露。值得关注的是,《关于加强互联网信息服务算法综合治理的指导意见》指出:“推动算法公开透明。规范企业算法应用行为,保护网民合理权益,秉持公平、公正原则,促进算法公开透明。督促企业及时、合理、有效地公开算法基本原理、优化目标、决策标准等信息,做好算法结果解释,畅通投诉通道,消除社会疑虑,推动算法健康发展。”该条意见对企业的算法公开义务作出更加直接和细致的要求,智能穿戴设备的算法公开亦应遵循这一规范。
算法公开的最大障碍莫过于与商业秘密的冲突。商业公司拒绝公开算法,一个重要原因是算法和推断得到的数据属于商业秘密。这种状况在智能穿戴设备场景下也普遍存在,真正“智能”的不是有形的设备而是无形的算法,智能穿戴设备背后隐藏的算法大多就是公司据以获得竞争优势的商业秘密。个人数据的处理虽然是“自动的”,但是“决策下的逻辑”却是智力创作的成果。因此,算法公开与商业秘密保护之间的冲突难以避免。若为个人权利计,则应坚持算法公开的主张。若为商业利益计,则须否定算法公开的见解。二者之间的冲突解决归根结底是一个价值选择问题。欧盟在《防止未披露专有技术和商业信息(商业秘密)被非法获取、使用和披露的指令》中选择了前一种立场:“保护商业秘密不受非法获取、披露和使用所采取的措施不应影响其他领域相关法律的适用,包括知识产权、隐私、获取文件和合同法领域的法律。”我国《个人信息保护法》开宗明义指出立法目的是“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”,将“利用”置于“保护”之后,表明个人权益保护享有更高的优先级。具体到智能穿戴技术的场景,商业秘密不应成为阻碍算法公开的理由。
(三)构建个人信息与医疗器械的协同监管与认证机制
智能穿戴设备的基本功能是促进健康生活方式的养成,但是当收集的信息用于个人健康分析时,智能穿戴设备就变成了类似医学诊断的工具,它不宜再被作为普通设备管理,而应参照医疗器械的规定管理。我国《医疗器械监督管理条例》将医疗器械定义为:为了疾病的诊断、预防、监护、治疗、缓解等目的,直接或者间接用于人体的仪器、设备、器具、体外诊断试剂及校准物、材料以及其他类似或者相关的物品,包括所需要的计算机软件。智能穿戴设备一旦附带健康分析的功能,便满足医疗器械定义的要求。然而,我国对于医疗器械的管理仅着眼于安全性与有效性,隐私与信息安全并不在评估考察的范围之内。例如,条例根据“风险程度”将医疗器械划分为高、中、低三种风险类型,这里的风险考察全部指向了“安全性”和“有效性”。智能穿戴设备虽然具有医学诊断的功用,但是其工作原理并不依赖于物理介入和化学介入。因此,极少存在安全性和有效性问题。国外将智能穿戴设备作为医疗设备管理的呼声由来已久,然而理论界发现监管机关在面对新技术和新产品时普遍存在保守与迟疑。以美国为例,尽管《联邦食品、药品、化妆品法案》对医疗设备的定义可以涵盖智能穿戴设备,但是联邦食品药品管理局(FDA)并未对它们进行监管,原因在于FDA的职责是保护公众健康而非保护隐私。这种割裂的监管模式代表了一种过时的风险评估体系,它只关注设备对人体带来的损害,却没有考虑设备对人的情感造成的伤害,尤其忽略了基于人的弱点进行精准营销而对人们的行为模式以及公共健康产生的影响。我国对医疗器械的监管同样存在落伍的情况,面对人工智能和大数据,医疗器械的监管理念和监管内容也应更新,其中一个重要的方面便是增加对智能穿戴设备使用目的的审查以及对个人信息安全和隐私风险的评估。
依据欧盟的《医疗设备指令》,智能穿戴设备可以被划入医疗设备的范畴。欧盟法院甚至在判例中表明,独立软件也可以成为医疗设备,即便它不直接作用于人体。智能穿戴设备和独立软件作为医疗器械,其风险主要来自对个人健康信息的违规处理。为防范这一风险,一种新的监管方法“认证制度”正在被提倡。欧盟GDPR第42条确立了这一制度,它要求在政府领导下设立数据保护的认证机构,由该机构授予数据处理者印章和标记,以证明数据处理者遵守了数据处理的规定。欧盟数据保护委员会配合GDPR的规定于2016年提交审议《移动健康应用隐私行为守则草案》。根据草案的规定,如果程序的开发者确认他们遵守了守则对于健康相关数据处理的规定,他们便会获得合规认证,通过这种方式用户可以确定哪些程序的开发者遵守了信息处理的要求,以确保他们的信息以安全和值得信赖的方式被处理。智能穿戴设备虽然是硬件系统,但是一旦进行数据分析就要依赖作为软件的应用程序,所以草案提倡的认证制度涵盖了智能穿戴设备的使用场景。此种监管思路对我国的智能穿戴设备的管理提供了有益的启示。
保护个人权益不因智能穿戴设备的使用受侵害,需要从动态适用同意规则、增加算法主动披露义务以及纳入医疗器械管理等多渠道入手。因此,重塑对个人健康信息的认识,放弃仅关注信息内容忽略信息使用目的的考察方法,就显得尤为重要。人工智能时代,个人健康信息的范围注定没有确定之边界,普通的生活信息随时可能转化为个人健康信息。这一事实从侧面冲击了信息分类的必要性,也敦促立法者重新审视敏感信息的再界定问题。
(责任编辑:李 琼)
本文引用格式参考:
焦艳玲.智能穿戴技术下的个人健康信息保护[J],福建师范大学学报(哲学社会科学版)2023(05).
焦艳玲.《智能穿戴技术下的个人健康信息保护》,《福建师范大学学报(哲学社会科学版)》2023年第5期。
长按阅读电子期刊
简介
福建师范大学学报(哲学社会科学版)是面向国内外公开发行的哲学社会科学综合性学术理论刊物,创刊于1956年,是福建省最早创办的高校学报之一。目前为“中文社科引文索引来源期刊(CSSCI)”、“中国人文社会科学核心期刊”、“全国高校社科名刊”等。
本刊声明X
本刊对所有来稿概不收取版面费、审稿费等任何费用,亦未委托任何中介机构或个人收费组稿。本刊严禁编辑私收作者任何费用或贵重礼物。如作者由于上当受骗而遭受损失,与本刊无关。
严禁一稿多投,如由于作者原因造成一稿两刊或多刊的,作者须承担全部责任和损失,本刊保留追究作者法律责任的权利。
作者网络投稿时为防止误入假冒本刊网站,建议先访问本刊官网(xuebao.fjnu.edu.cn),再登录知网采编系统进行投稿。
本刊编辑部联系电话:0591-22867859。
- since 1956 -
欢迎转载传播
推文制作:王佳倩 ,陈 静