□ 邓辉 孙挥

　　自党的十九届四中全会首次将“数据”纳入新型生产要素范畴以来，推动数字经济健康发展成为我国把握新一轮科技革命和产业变革新机遇的战略选择。事实上，无论是2022年12月出台的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（即《数据二十条》），还是2023年12月国家数据局等17部门联合印发的《“数据要素×”三年行动计划（2024—2026年）》，均意在最大化释放数据要素价值，推动数据要素在重点行业和领域开发利用，更好服务经济社会高质量发展。

　　位列重点行动领域的“医疗健康”行业，作为人类生产生活的重要组成部分，是较早布局数字化转型的行业领域。近年来，随着医疗卫生信息化建设的不断推进，医疗健康数据不断累积、规模迅速扩大。大数据、云计算、人工智能等前沿引领技术的出现，使个人医疗健康数据在疾病预防、健康管理、辅助诊疗、精准医疗、药物研发、医学研究等方面不可估量的价值潜力空前释放。然而，个人医疗健康数据的特殊性在于其高价值与高风险相伴而生。个人医疗健康数据内含大量兼具私密性与敏感性的个人医疗健康信息，通常属于隐私权的保护对象。这些信息一旦被泄露或非法使用，极易对个人人格尊严造成侵害，甚至可能威胁个人人身及财产安全。

　　现行个人信息保护规则作为一种通用保护规则，未能充分关注到医疗健康数据处理场景中的特殊性，在具体适用过程中，不免陷入削足适履的困境。一方面，医疗机构在对个人医疗健康数据进行不可识别性使用时，为了最大限度维护信息主体隐私及个人信息权益而设置的过于硬性的“匿名化”要求，与医疗健康数据处理实践无法兼容；另一方面，在对个人医疗健康数据进行可识别性使用时，滥觞于传统医患关系中以“告知—同意”为中心的赋权规则，在面对更加复杂的数据处理实践时，由于受制于医疗健康数据处理者的信息主体缺乏完全的自主性，实践中多流于形式，甚至异化为医方的一种风险转移手段。

　　事实与规范之间形成的巨大鸿沟，引发了信息主体对个人医疗健康数据处理者的不信任，客观上制约了医疗健康数据的共享利用。相关实证研究业已表明，患者对隐私泄露风险的担忧是其无意共享医疗健康数据的首要原因。为了弥合二者间的差距，在数字经济时代重塑个人医疗健康数据处理者与信息主体间的信任关系，亟须对现行个人信息保护规则背后的法理基础重新审视。近代民法受以康德为代表的近代启蒙哲学影响，将人视为完全理性之存在。通过将人的身与心分离，把人与人之间“不等”的实质抽离出来，使具体、现实的人转化为抽象、平等的人。在这样一个以理性人为主体的世界里，为了实现对客观世界的全面控制，个体的各式私权应运而生，并形成以人为中心的权利体系。事实上，无论是为了对个人人格利益绝对保护而形成的过于刚性的匿名化规则，抑或是为了强化个人自决而产生的个人信息保护中的告知同意规则，均受到近代民法形式理性主义正义观的惯性影响。

　　然而，现代社会的复杂性需要对民事主体的抽象平等性重新检视。现代社会分工的不断细化加剧了人与人之间的不平等，形式上的平等与互换性在数字社会面临巨大挑战。不可否认的是，医疗机构与患者间基于知识系统的构建而形成的规训关系由来已久。当患者的生命与健康需要求助于医者的医术，具备医学专业知识和经验的医生就被赋予了决定与干预的权力。在数据处理者与信息主体的第二重关系影响下，医疗机构对患者的“过剩”权力进一步扩张，双方的权力势差不断放大。此时，承认信息主体在医疗健康数据处理场景中的不完美，放弃以个人为中心设置的形式正义，找寻通往实质正义的更优路径是现代私法的应有之义。

　　私法中的信义规则是处理民事主体间持续性显著不平等关系的良方。在医疗健康数据处理者与信息主体间引入信义规则具有必要性与正当性。一方面，个人医疗健康数据的处理涉及信息主体与数据处理者间的利益不一致和信息不对称，容易引发信任危机。在合同路径、社会规范和市场标准均较难维系双方的信任关系时，通过信义规则进行补充成为必要。信义规则可以对数据处理者的行为设定具体标准与边界，激励其以值得信任的方式行事；另一方面，作为英美法系舶来品的信义规则业已在我国落地生根，虽然信托与公司中的具体信义规则具有较大差异性，但二者在解释论上均属信义关系是不争的事实。这也是我国立法机关将信托关系中的信义规则准用于公司与董事、高管间的原因。在医疗健康数据处理场景中，数据处理者与信息主体之间在“委托人因信赖而授权”“受信人基于授权获得权力”“委托人的弱势地位”及“受信人的权力滥用风险”等方面，与信托关系及公司治理中董事与高管的关系具有较大相似性。理应将个人医疗健康信息处理者视为个人医疗健康信息受信人，通过信义规则约束数据处理者的行为，最大限度维护信息主体的隐私及个人信息权益。

　　在构建个人医疗健康数据处理者与信息主体间的信义规则时，参照我国信托法和公司法之规定，应将个人医疗健康数据处理者的信义义务区分为忠实义务与注意义务两项具体内容。具体而言，忠实义务作为约束信义关系的核心规范，应包括“禁止利益冲突”和“禁止义务冲突”两类消极规则以及对消极规则形成补充的积极规则。忠实义务的设定应根据信息主体的授权范围灵活贯穿医疗健康数据处理的全生命周期，为信息主体在宏观上搭建起隐私及个人信息权益的全生命周期保护制度。它要求医疗机构在事前根据医疗健康数据的不同处理目的、处理方式、所涉及的个人信息类型、对患者人格权益的影响以及可能存在的安全风险制定相对应的行为规范，尽可能做到对于风险的全面了解，以便最大限度的防患于未然。注意义务则是在构建基于忠实义务的信息主体保护制度的基础上，为受信人具体履职行为设定的可操作性标准，体现出一种较强的利他本质。其重点关注的是受信人所选择的保护手段能否与欲实现的目的维持在合理的限度内。申言之，应结合具体应用场景，区分不同风险程度的医疗健康数据及数据处理者安全保障措施的有效性，赋予医疗机构在处理不同类型医疗健康数据时动态差异化、合比例的注意义务。如此，既能够有效化解当前在形式理性主义影响下个人信息保护制度中存在的诸多障碍，重塑个人医疗健康数据处理者与信息主体间的信任，又能进一步促进医疗健康数据资源化利用，助力中国式创新发展目标的实现。

　　（原文刊载于《华东政法大学学报》2025年第1期）