返回上一页 文章阅读 登录

田野:大数据时代知情同意原则的困境与出路

——以生物资料库的个人信息保护为例

更新时间:2018-12-03 01:23:48
作者: 田野  

   摘要:  知情同意原则根植于自主价值,是个人信息保护之基石。在大数据时代,知情同意原则陷入困境之中,海量信息的批量处理、多方共享、目的不特定之频繁利用加大了有效同意获取的难度,同意作为个人信息处理正当性基础之地位受到质疑。生物资料库是管窥知情同意原则困境与解困之路的最佳范例,围绕使用库存样本是否需重新获得同意,存在特别同意与概括同意之争,各种折中改良方案继而被提出。革新而非放弃知情同意原则,是应对大数据挑战的应然立场。知情同意原则之重塑,应坚持以自主为核心价值,以保护与利用的平衡为理念,巧妙设计适应大数据需求的新型知情同意模式。应从整齐划一的同意向基于信息分类、场景化风险评估的分层同意转变,从一次性同意向持续的信息披露与动态同意转变,容许有条件的宽泛同意+退出权模式。

   关键词:  知情同意原则;大数据;个人信息保护;生物资料库;同意模式革新

  

引言

  

   对个人信息的收集利用,必须经过本人充分知情前提下的同意,此即个人信息保护的知情同意原则(Informed Consent)。个人信息保护是信息社会的焦点问题,对个人信息保护而言,知情同意原则具有“帝王条款”的意义,恰如意思自治原则在民法中的地位。[1]知情同意原则旨在维护个人自主,使信息主体得以自治自决而不被他决。知情同意原则奠基于“小数据时代”,当人类社会步入大数据时代,知情同意原则陷入重重困境。信息的密集收集、频繁处理和多方共享加大了有效同意获取的难度与成本,严苛的同意要求看似成为阻碍大数据利用的绊脚石。个人在面对隐私政策中的海量专业信息时,很少阅读而大多直接点击同意,专业信息的有效性大打折扣。知情同意原则否定论遂成为一种思潮,批判者认为,同意不再是个人信息处理的正当性基础,[2]主张以路径重构取而代之。[3]由于知情同意原则处于核心地位,这种主张实际是要撼动个人信息保护法的基石。知情同意原则已经走到尽头了吗?自主不再必要?面对大数据时代的挑战,知情同意原则何去何从?

   近年来,大数据时代背景下的个人信息保护成为法学研究的热点,鉴于传统法的不适应性,反思与重构成为主基调,而知情同意原则成为讨论的中心。在笔者看来,这是一个极为宏大的命题,为有的放矢和避免空谈,对知情同意原则困境与解困之路的分析,有必要放在特定的情境下进行。生物资料库是讨论这一问题的最佳情境,其原因在于:第一,基因领域是大数据最早诞生的领域之一,[4]生物资料库是大数据的典型存在形式,其所反映的问题具有代表性。第二,知情同意原则作为一项法律术语,所使用的主语境是在个人信息保护框架下的生物医学研究。尽管知情同意原则适用于所有的个人信息,但是从比较法来看,对其讨论最多的还是生物医学研究领域。第三,生物资料库所暴露出的知情同意原则困境最为淋漓尽致,对其解困之路的探讨最多,所得出的经验也最具启发意义。透过此研究,笔者期望产生一种管窥效应,对更广阔范围内的个人信息保护有所启示。所谓“启示”,并非意味着生物资料库的知情同意原则及其具体规则可以全套照搬适用于所有个人信息,而是有甄别的借鉴。如何平衡信息保护与利用的关系、知情同意原则坚守与改良的关系、同意的具体与宽泛的关系,生物资料库的经验都提供了十分有价值的参考。特别是知情同意模式改良的创新性理论,对个人信息一般保护的知情同意原则的重塑,具有直接的借鉴意义。当然,应当看到,基因信息基于其敏感个人信息的特质,往往受到比一般个人信息更高程度的保护,其中一些特殊保护规则往往不能适用于普通个人信息,而这又从另外一个侧面折射出个人信息保护类型化的必要性,亦不失为一种启示。

   以生物资料库因应大数据挑战的经验为借鉴,笔者尝试提出面向大数据时代知情同意原则重塑的新思路。在大数据不断升温的当下,有必要对大数据作冷思考,不应为迎合大数据利用的需求而轻易放弃法的价值操守。知情同意原则的解困之路,不应是简单地绕过障碍放弃该原则,而应当是坚守下的改良与革新,自主始终应作为个人信息保护的核心价值。困境既然源于大数据的特殊性和旧规则的不适,知情同意原则的重塑自然应以大数据的新特征为导向,调整小数据时代同意规则的不适之处,以更加智慧化且不降低保护水平的方式顺应新时代的新需求。以保护与利用的平衡理念为指导,基于信息分类和场景化风险评估实行分层的同意,建立持续有效的信息披露与动态同意机制,容许有条件的宽泛同意+退出权的特别设计,应可使知情同意原则摆脱困境,实现大数据时代个人信息保护的“良法善治”。[5]

  

一、知情同意原则是个人信息保护的基石


   知情同意原则作为一项法律术语被人们所熟知和广泛使用始于医疗领域,用于表达患者自主。在社会发展进程中,知情同意原则适用的场域呈现扩张的趋势,从医疗延伸至生物医学研究,在信息时代来临时,其又成为个人信息保护的核心法律原则。在历史的流变中,知情同意原则一根发多枝,但唯一的精神内核却恒久未变,即个人自主。

   (一)知情同意原则的嬗变

   1.知情同意原则在医疗领域的诞生

   在知情同意原则确立其地位之前,社会的价值判断倾向于认为,医生作为专家更懂行,他们知道什么对病人更好,让没有经过医学专业训练的患者参与重要的医疗决定,未必是英明的选择。不过,这样的观念在演进中渐渐发生改变,转换为如下的价值判断:这是我的身体,我自己才有权利作出如何处置的决定。1914年的Schloendorff v. Society of New York Hospital[6]案是知情同意原则发展史上具有里程碑意义的事件。著名的卡多佐法官审理了此案,在判决书中作出了经典的判词,奠定了知情同意原则的基石。[7]卡多佐法官写道:“每一个成年的心智健全的人都有权利自主决定如何处置自己的身体,医生未经患者同意就进行手术构成侵袭(assault),并应因此负赔偿责任。”[8]这段判词精彩地阐释了患者自决的精神,成为日后有关知情同意原则研究无不援引的经典。今天,知情同意普遍地被各国法尊崇为调整医患关系的基石。在我国,《侵权责任法》对患者的知情同意权作出了明确规定。[9]

   2.知情同意原则在生物医学研究领域的延伸发展

   随着生物技术的迅猛发展,科学研究对人体组织样本的利用日益频繁,知情同意原则被延展适用于研究领域。对研究中的知情同意的最初关注从人类的一场大劫难开始。第二次世界大战期间,德国纳粹医生对犹太人进行了惨绝人寰的人体试验。这种反人类恶行在战后被反思,保护生物医学研究中受试者的权利的一系列基本原则被确立,成果集中反映在《纽伦堡法典》中。其中一项最重要的成就便是确立了知情同意原则,法典第1条便规定了“人类受试者的自愿同意是绝对必要的”。此后的《赫尔辛基宣言》对生物医学研究的知情同意作了更加细致的规定。《纽伦堡法典》只是昭示了保护自主的精神,而《赫尔辛基宣言》则明确采用了知情同意的字眼,并将理念规则化。《赫尔辛基宣言》历经多次修订,在最新的版本中,关于知情同意的条文(从第25条到第32条)就有8个,而整个宣言也只有37条,可见知情同意的分量。[10]以这两个规范为基础,以后制定的一系列重要国际规范和国家立法,无不特别突出知情同意的地位。在我国,《涉及人的生物医学研究伦理审查办法》第四章专门规定了研究背景下的知情同意问题,共有6个条文。

   3.知情同意原则是个人信息保护的“帝王条款”

   及至人类社会步入信息时代,个人信息保护备受关注,知情同意原则又成为个人信息保护的一般法律原则。这是一个最好的时代,人人都想享受着自由获取丰富信息带来的便利;这也是一个最坏的时代,人人都处于信息泄露、无处藏身的危机之中。个人信息保护是一个宏大的议题,需动用不同的法律部门,但就私法的角度观之,保护个人信息的一条根本准则是:对个人信息的收集、披露、储存、利用,必须经过本人真实的同意,并以事先充分的知情为前提。知情同意原则作为个人信息保护的指导原则,乃是共识性的认知,为国际规范和各国立法普遍采纳。早在1980年经济发展与合作组织(OECD)颁布的《有关隐私权保护及个人数据跨国流通的准则》中就有规定,个人数据的收集应当合法、公正,并取得当事人的同意。这一准则在国际上奠定了早期个人信息保护的基础。欧盟1995年颁布的《个人数据保护指令》第7(a)条规定,经个人数据所涉当事人毫不含糊、明确地同意的,方可对个人数据加以处理。而2016年颁布的欧盟《通用数据保护条例》,更是对知情同意原则作了十分细致的规定。在国家立法层面,也普遍认可知情同意原则在个人信息保护中的指导地位。如德国2009年修订的《联邦数据保护法》第4(1)条规定,个人数据的收集、处理和利用应经当事人同意或法律另有规定者,方属合法。其他国家的个人信息保护立法亦罕见有不遵从该原则者。在我国,虽尚无专门的个人信息保护法,但相关的法律规范均将知情同意作为重要的原则,如《网络安全法》22条第3款规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。”该法另在第41条规定,网络运营者处理个人信息应当经过被征集者同意。《关于加强网络信息保护的决定》2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集使用公民电子信息,应当遵循合法、正当、必要的原则……并经被收集者同意……。”《民法总则》111条没有明确采用知情同意的术语,这不能不说是一个遗憾,不过,对于该条中所规定的“依法取得”,解释上认为,应包含了依当事人同意取得的元素。

   上述知情同意原则发展的三个阶段、三种背景,其实并非是彼此孤立的,而是相互联系的。生物医学研究有时针对患者的病理组织或信息展开,而研究的结果必将产生大量的个人基因信息。在信息时代,生物医学研究中的参加者保护与个人信息保护频繁发生重叠,参加者迫切需要得到保护的利益主要是样本中包含的基因信息,由此,知情同意原则在该两个场域内同时发挥作用。当组织样本是由患者捐献供作研究时,则实现了知情同意原则适用情境的“三位一体”。无论是患者自主、研究参加者自主,还是个人信息自决,均归一于自主的人类价值操守,其并不因时代变迁而改变。

   (二)知情同意原则背后的法理

   1.知情同意原则的法哲学解释

知情同意原则为什么是必要和正当的?其背后的法理有待阐明。[11]从法的价值层面看,知情同意原则根植于自主,这一点清楚地体现在知情同意原则的演进轨迹中。自主是自由意志的体现,能自主才有自由,而自主常常需要借助同意之决定实现,同意就如同控制自由的阀门。洛克在《政府论》中指出:“一切自然人都是自由的,除他自己同意以外,无论什么事情都不能使他受制于任何世俗的权力。”[12]黑格尔也认为,人作为意志的存在,有权将其意志体现在任何事物中,但人们只有在作出决定后,才是现实的意志、特定化了的个人意志。[13]包括个人信息在内的事项应由本人自治自决而非他决,个人不应处于被操控的地位。肯定自决的一个重要原因是,个人是其利益最大化的最佳维护者,只有自己知道什么对自己最好,找不到比自己更合适的选择者。甚至有自由主义者认为,人应该享有“做错事的权利”(a right to do wrong)。[14]如果套用卡多佐大法官对于知情同意原则的经典判词,对信息时代的知情同意原则可以作如下表述:任何一个成年的、心智健全的人都有权利自主决定如何处置自己的信息;这是我的信息,(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/113774.html
收藏