大数据分析对敏感信息分类规制和知情同意规则的破坏使传统法律机制丧失功效，给全球生物医学研究、医疗行业发展和公共卫生监控带来了无法逾越的困境。为响应健康大数据治理方面的主要关切，破除数据保护国际法律框架碎片化的现状，需要创建以示范法规则为框架的协调机制，为卫生相关数据的跨境共享和分析提供渠道，并建立相应的保障措施来保护个人隐私和信息安全。数据所有权和相关知识产权的模糊轮廓，足以证明产权是一个不适合大数据治理权利的概念。大数据时代的到来呼唤国际示范法规则选取另一种规范框架，以动态化的债之关系为基础构建专业的多主体协同保管范式；并增强责任规则的灵活性和情境化考虑，通过引入信义关系和损害缓解机制来解决相对性关系对数据主体个人权利保护的不足。该框架能够协调健康数据使用中相互竞争的社会、个人和行业利益，以确保公平获取数据，同时将法律和道德风险降至最低。

大数据分析技术给医学研究、公共卫生监测及医疗保健行业发展带来了革命性的变化。健康数据包括涉及个人的个人健康信息，以及反映集体趋势的人口水平数据等综合健康数据。而除了个人健康信息外，公共卫生监测可能还需要依赖其他个人信息，如手机数据或其他地理位置系统等。健康大数据的使用涉及各类性质的数据，相互竞争的社会、个人和行业利益，甚至是法律与道德的风险。

然而，大数据技术的格局仍在演变，法律尚未形成可适用于大数据获取和运用的一般原则。更为重要的是，要解决当前大流行紧急情况的威胁亟须实现跨境信息共享。而个人健康信息的跨境共享无疑会使个人隐私面临独特的更高风险。接收国的一些法律尤其是涉及国家安全或公共利益的强行法，可能凌驾于披露国关于允许数据使用和披露的现有要求之上。由此可知，如何在国际层面协调好健康大数据治理规则，确保实现跨境数据的最佳共享和合乎道德，同时满足利益相关者的期望，促进利益的公平分配，是发展医疗行业、解决当前及未来大流行危机、促进全球公共健康所必不可少的关键核心。

一、健康大数据治理国际协调的示范法模式

在国际层面发展健康大数据治理规则有两种主要选择。首当其冲的当然是起草一份有关健康大数据治理的国际协议。这样做的好处是可提供一个明确和统一的法律框架。然而，目前似乎没有任何一个国际组织能够同时拥有制定全球性国际条约的授权、所需的数据保护法以及医疗卫生专业知识。经验表明，法律协调倡议即使在法律的技术领域也难以实现，在国家间存在深刻文化差异的领域则更难实现。隐私文化和法律观念的差异使数据保护规则在基本问题上缺乏国际共识，例如隐私和数据保护之间的区分，数据保护最终目标的分歧（例如，确保数据处理中的公平、信息自决、保护个人自由、纠正数据处理中的权力失衡）等。更复杂的是，个人健康信息属于敏感信息的范畴。这无疑会进一步加深规则协调的困难。鉴于数据保护法的快速发展特性，基于条约的解决方案本身不太可能提供足够的出路。

第二种选择是将健康大数据治理视为国际法碎片化的一个领域，使用国际法委员会关于国际法碎片化的2006年报告中的术语来解释，即承认在这个领域中没有同质的、分层阶的元系统。这将允许不同的健康大数据治理方法自然发展起来，通过国际合作产生的接口相互作用，跟随时间推移逐渐融合在一起。可以参考国际贸易法委员会的经验，通过一项各国可在国家一级自愿执行的国际示范法，这将为国家和区域立法提供一个共同的国际化起点。

近年来数据财产化的趋势逐渐流行，许多学者、政策制定者和倡导者根据早期关于个人信息中的财产利益以及人体组织、身体部位的所有权的辩论，主张应该在法律上承认遗传数据和其他健康信息的财产权利。支持健康数据产权化的理由多种多样，包括：对个人自主权、隐私和尊严的关注；使个人能够出售他们的数据以获得经济回报；削减大公司日益增强对个人数据的控制；群体动态和社会互动的需要；使病人能够获得目前还不能从医疗保健提供者那里获得的有关他们自己的信息。

理论上，健康大数据领域缺乏数据产权化的健全法律基础。组成健康大数据的信息来源主要包含：“电子医疗记录、社交媒体、患者总结、基因组和药物数据、远程医疗、移动应用程序、家庭监测、临床试验、传感设备和关于健康、行为和社会经济指标的信息等。”很明显，这些信息均属于个人信息。个人信息的描述方式准确地表达了其对于一个人的固有归属感，而不是外在所有权。从本质上讲，数据主体不会将其信息隐私权转让给处理其数据的其他当事方。在大数据的背景下，即使是匿名或去识别的数据也可能由于重新组合或分析而被识别，不直接与自然人相关的数据仍可用来窥探和影响私人生活。而知识产权制度旨在激发创造力，也不会保护健康大数据中的基础数据，因为它们的产生不是任何创造性努力的结果。主张对基础数据的知识产权，是对汇编作品版权和数据库特殊权利的曲解。

实践中，健康数据的产权化将带来的社会成本和风险是巨大的。赋予个人健康数据财产性质，必会使研究人员承担谋求许可的巨额前期成本，而这些成本无疑最终会转嫁给医疗消费者。此外，私人财产的特征（排他性）构成了一种持续的风险，即个人在许可数据使用后，可能会收回或缩小其许可范围，从而危及现有的数据资源和分析。如果是这样，对已经纳入大型数据池和分析的个别数据的追溯性撤回或销毁可能会严重损害这类研究。更为重要的是，数据所有权对公共卫生监测和干预的影响令人担忧。当前，卫生保健提供者和紧急护理中心可以（甚至被要求）向公共卫生官员报告有关可能导致疾病暴发的症状的数据。公共卫生当局可以利用这些数据跟踪潜在的疫情，实施控制战略，开发诊断工具和疫苗。很明显，在履行关键的公共卫生职能前寻求使用数据的个人同意，将严重妨碍对公共卫生的保护。

从数据所有权文化向数据管理文化的逐步转变是当前数据保护法的普遍发展趋势。与此相应，世界医疗协会2016年发布的《台北宣言》规定“保管”是健康大数据的治理原则之一。所谓“保管”原则是指数据控制人、处理人不应被视为数据所有人，而应被视为负有数据保管权利和责任的人。“保管”原则虽然仅是《台北宣言》提出的针对控制人（或处理人）的道德要求，但可以通过扩充细化将其转化为法律范式，取代产权范式成为健康大数据治理的主轴。

技术发展和数据结合的后果通常是不可期的，“保管”范式能够确保各利益相关方代表用户对数据做出更好的决策，不仅避免了密切监控控制人的高成本，而且可以灵活地将隐私保护置于具体情境之中考虑。大数据分析中数据匿名化、最小化等要求都需要“保管”范式提供更加灵活的处理方法。匿名化将切断数据之间的纵向联系。此次COVID-19的爆发体现了在特定情况下非匿名化处理的必要。特殊的非匿名化情形在合同和成文法中无法穷尽。而保管范式下，数据控制人可以在审慎义务的要求下根据情境变化做出关于匿名化的适时决策，决定是否需要匿名化，以及在何种程度上需要匿名化。大数据背景下，数据最小化要求的数据相关性分析和对数据保留的限制必将大大减少数据挖掘和组合的效益。此时，保管人责任可允许数据控制人根据情境需求选择适当放松数据最小化，或者在必要时通过其他方法实现最小化的预期效果，从而在隐私保护和大数据应用之间实现更好的平衡。

数据控制人（或处理人）不能享有对健康大数据中基础数据的专属性产权，则其与数据主体之间的关系就只能以债之关系为基础。这就决定了国际示范法的保管规则框架也只能以债之关系为归依。而这种相对性关系在对抗缺乏直接合同关系的二手数据中间商时可能无法保护数据主体的权利，必须建立对个人权利的普遍救济机制才能扭转数据主体的天然不利地位。另外，应明确承担保管责任的主体并不是单一的，而是多主体配合与协作形成的整体，政府、行业组织、企业自身、数据主体都将在协同治理中找到自己的合适位置和作用。

综上，健康大数据治理的国际示范法规则需要建立以债的关系为基础的多主体协同参与的保管范式，并辅之以兜底性的个人权利救体系以实现数据保护和数据流通之间的平衡。

二、健康大数据治理国际示范法的保管规则框架

健康大数据治理保管范式以债之关系为基础。而大数据技术的发展使数据呈现出动态化趋势，传统债之关系规则在适用时必须做出相应调整。

由于健康数据对于医疗产业发展以及公共卫生建设具有重要意义，大量医疗保健APP通常会以其数据内容或服务换取用户个人健康数据而非金钱支付。这必然会引起健康大数据领域数据保护法和合同法的交互作用，使通知同意规则面临新的困境，国际示范法规则必须对此做出回应。

首先，健康大数据使用专业性太强，对数据主体而言不仅难以理解，而且是动态的、不可预测的。传统静态的同意无法应对这一现象。数据保护法要求个人数据收集和使用的目的必须特定，也就是说在合同关系建立之初确定的数据处理目的必须覆盖整个合同期间。然而，大数据应用中一旦出现新的分析工具或高级算法、意图未知的新的下游用户等，就极有可能为收集到的数据带来新的用途。这使得限制数据使用于合同初始目的变得十分麻烦。为了应对这一麻烦，在健康相关研究领域出现了有关通知同意新模式的有益探索，其中反响较大的是广泛同意、反向选择和动态同意。在广泛同意模式下，数据主体无须就每一项研究表示同意，而仅需宏观的就特定一系列研究使用其特定范围内的健康数据表示同意。为了保证广泛同意的实际有效，必须配备相应的治理和保障措施，例如建立确保数据主体权利的伦理委员会，但这实际已超出或者说背离了数据主体自我管理的范围，是否同意披露已经不再单纯由数据主体所决定。反向选择是指除非数据主体明确选择不同意，否则研究人员即可任意使用其数据。这一模式的问题在于数据主体可能并没有充分了解数据控制人的隐私规则，特别是在商业数据库或社交媒体使用方面。动态同意模式下，数据主体将保持与研究人员的互动，随着时间的推移不断对新项目表示同意，并可根据任何新的情况撤回他们的同意选择。它在数据主体和研究人员之间提供了一个开放的交流过程，从而确保在研究的过程中考虑到随情况变化的数据主体偏好，使他们对自己的数据拥有更多的控制。这种模式模拟了医疗合同，以患者的动态同意应对随时变更的医疗方案。然而，数据主体与医疗研究人员之间毕竟很难保证如医生和病人一样的长期稳定接触，数据主体对医疗研究项目的了解也不可能等同于医疗方案一样感同身受，动态同意的实际执行必会大打折扣。总体而言，当前的各类变异或改良模式都是试图将通知同意规则变得更加情境化，这也是作为范本的国际规则应当追求的方向。但不可否认的是无论选择哪种模式，通知同意都有其不可消除的局限性。该模式在将数据控制权传递给各个数据主体的同时，将数据处理的风险和责任也移转到他们身上，却没有确保他们具备做出明智决定所需的知识和能力。从本质上说，过分强调数据主体的充分知情、完全理解及自主选择早已脱离了实际，毕竟数据主体无论如何也不可能短时间地兼具医学与电子技术的双重专业理解能力。在保管模式下，国际示范规则不应再像GDPR一样过分着笔于通知说明义务的细致、严格，而应当更加关注监管当局与数据控制人等其他治理主体如何发挥协同治理的能力以平衡和补充机制来帮助数据主体。

其次，在以提供个人健康数据换取数据内容或服务的合同中，数据主体撤回同意的法律效果难定。同意的撤回是数据保护法赋予数据主体的特殊权利，但这又似乎与合同的拘束性义务相矛盾。国际示范法规则必须明确同意的撤回是否会导致违约。数据保护法通常要求处理个人数据需先行取得数据主体的“自由”同意。而当“同意”成为数据主体的一种合同义务时，“自由”将面临质疑，合同的合法性也会受到影响。基于此，数据主体撤回权的适用本身并不会构成违约，也不能成为数据内容或服务提供商损害赔偿请求的基础。当然，撤回同意也会相应给予数字内容或服务提供商单方面终止合同的权利，因为它可能成为后者提供数据服务或内容的负担。比较复杂的是，在数据主体以个人数据和货币支付相混合换取数据服务的合同中，通常并没有明确约定相互对应的一一对价，而法律也缺乏明确的答案来评估数据主体撤回同意会在多大程度上影响供应商在数字内容或数字服务方面的表现。可以认为，由于不太可能区分数字内容或服务的一部分，撤回同意在混合合同中也应该视为对整体合同的终止。

以不可交易物为标的订立的合同是无效的，当事人双方应恢复到交易未发生的状态。有过错的一方应当赔偿对方因此所受到的损失，双方都有过错的，应当各自承担相应的责任。数据保护法对不同性质的数据设置了不同的处理限制，导致数据交易合同的法律基础也不相同。非个人数据交易一般是不受限制的，而个人数据交易通常受到严格限制，敏感数据交易的限制则更加严格。因而，要判断一项数据交易合同（无论是一手还是二手数据交易）是否有效至少要考虑两个变量：（1）数据的性质——是个人数据还是非个人数据？如属个人数据，是敏感数据还是不敏感数据？（2）交易数据的法律依据是什么？数据交易与普通有形物交易不同，数据本身的性质是动态变化的。在大数据、人工智能、数据挖掘的时代，非个人数据和个人数据的界限通常并不明确，从看似不敏感的数据中推断出敏感信息也变得越来越容易。例如，我们的健康状况甚至可以从每日的位置数据统计而预测。非个人、非敏感数据很可能在合同订立后因与其他数据的结合分析而成为敏感数据，从而被排除在可交易范围之外。由此，当隐藏数据商品化或是以数据取代金钱支付而获取提供商的数据服务时，将会产生一种隐含的危险，即涉及此类数据的合同有可能后续因数据性质转变而无效。此时，合同何时无效、无效的责任应由哪方承担、无辜的交易当事人是否可以获得救济是必须回答的问题。大量收集健康大数据的APP（例如当前的新冠密切接触追踪系统）都将面临这样的问题。

在健康大数据领域套用合同法的一般规则时，应当认识到由于数据性质的动态化，不能期望当事人在合同订立之初就预见到数据嗣后可能的性质变化，亦不能要求合同双方为数据的不可交易性承担无限责任。应当引入一些客观指标，作为评判合同当事人知道或应当知道数据性质变化的标准，进而确定其是否存在过错。可以考虑通过认知和技术两个方面的结合确定客观标准，以“当前的认知水平”客观地表明合同当事方是否具备发现数据性质转变的思想条件，以“处于类似地位的人通常可以获得的技术”客观地表明当事方是否具备发现数据性质转变的物质条件。

这一标准不仅可以适用于直接发生在数据控制人和数据主体之间的一手交易，同样适用于数据内容或服务提供商与下游中间商之间的B2B合同。在示范法中加入这一标准的好处是显而易见的：首先，可以建立一种宏观而有效的原则标准，解决健康大数据领域合同因数据性质变化而无效后的归责问题。至于这一原则标准将在各国法律体系中呈现何种具体形态、是否会在部分国家间形成区域性的标准条款用于B2B和B2C合同，则需视各国根据本国法律传统和需求选择及调整后的效果；其次，为判断是否可以将衍生的数据纳入数据主体授权处理的范围提供了标准。原始数据在经过大数据或智能算法自动处理之后衍生的数据如发生了性质改变，不再属于数据主体原授权处理的范围，则需要数据主体的重新授权才能保证合同的继续履行，这也是健康大数据动态同意规则实施所必需的工具；更重要的是，将刺激利益相关者开发并遵守合理的技术标准，为打开算法交易系统的黑盒提供法律而非技术的工具。数据控制人为避免承担不适当的责任，必然关心本行业认知标准和技术标准的确定，而数据主体为能够获得对衍生数据的必要控制权，必然关心相关法律和技术标准的完善。

健康大数据治理领域的示范法规则始终属于公法领域，不同于国际商事示范法，并不是由私人当事人于合同中选择适用的，而是依靠自身的优越性和模板作用给各国国家实践提供参考。健康大数据治理的数据保管责任是由多主体协同承担的。常见的协同治理工具包括经审计的自我监管、认证行业行为守则、合并已有技术标准、非正式地将一般性国际标准的解释“委托”给私主体，鼓励以私人协议安排对法律中没有明确的不当行为做出惩罚等。示范法规则如要将健康数据治理领域的专家意见、行业需求、所有相关者的利益均融入协调标准之中，就应当将协同治理工具合并衔接起来，提供一个能够实现硬法自上而下、软法自下而上相互转化的体系。主要包括以下三个方面：

数据保护影响评估应该是受管制实体、监管机构和第三方（如受影响的公民个人或社会组织）之间的三方对话，是协同治理的重要载体。在与监管机构的对话方面，相比较直接向各国主管当局提交DIPA报告，由行业协会等公私实体负责审核报告并通过发放认证标志进行管理更加妥当。毕竟，数据控制人主动进行的DIPA比其被动通知数据主体的隐私规则内容更加全面、结论更有价值。相应的，数据主体亦可简单根据认证做出可靠的自由判断而免去阅读和理解数据控制人复杂隐私规则的负担。虽然协会认证并不能等同于主管当局的审批，DIPA最终仍要提交给主管当局，但是专业协会的中间审查不仅节省了将专家引入政府的巨额成本，还可利用专业认证的光环激励数据控制人主动进行DIPA。

在与第三方的对话方面，DIPA作为企业的自我监管手段不但要符合正当程序原则，而且要对第三方或公众公开。GDPR规定企业在做影响评估时必须咨询第三方，但这种咨询只需要用在“适当之处”，并着眼于保守商业秘密。DIPA指南进一步解释说，可以通过各种方式，包括通过研究或问卷调查，寻求第三方的意见，而不是让第三方在谈判桌上占有一席之地。这些非强制的“软性”的参与方式显然并不一定会为建立DIPA实质内容带来有意义的外部监督。从这一点而言，为了使DPIA发挥风险监控的作用，便利数据主体及时的全程跟踪，任何DPIA不应只是在数据收集、去识别和披露阶段进行，而应该与所谓的“平民科学家”或第三方数据分享人定期进行，并通过指定的平台公开，供数据主体随时查阅更新以及行业协会跟踪检查。

当同行业经营者聚在一起决定行为准则和认证标准以及相关的适当技术设计的内容时，并不会自愿引进外部利益相关者参与，更不会自觉利用这些系统来试图约束自己行业中的流氓恶棍。GDPR的透明度是相对于数据主体个人而言的，并非面对社会公众，也并没有强制要求行为守则及认证标准的制定过程需要公开透明或第三方参与，缺乏第三方和公共问责机制。示范法规则无疑应当将第三方参与或向公众公开作为行为守则制定程序的必要步骤，使之融入各国审批的要求之中，这样才能倒逼行业组织尽最大可能引入利益相关者参与守则的协商和执行，而非躲在商业秘密的借口之下逃避监管。

多主体协同治理要求行为守则应由国内值得信任的具有广泛代表性的行业组织组织制订及执行。如果移动健康APP开发商或任何健康数据控制人打算遵守这一行为守则，他们应依照守则要求向该组织提交一份DPIA，以评估APP可能存在的数据保护风险，并提出适当的缓解措施建议。行业组织将依照守则对DPIA进行审计，如果审计通过，申请人将有资格通过提交一份遵守声明而获得一个特殊的认证标志。如果获得了认证标志，开发商将有权给自己的APP贴上这种标志。并且，如果开发商在随机（或定期）检查中被发现违反守则、或消费者的投诉被查实，行业组织可取消其认证作为处罚。实践中，欧盟委员会目前正在推动通过欧盟移动健康守则，守则草案规定：“APP提供商有意遵守本行为准则的，可以为其APP申请认证标志，并在获得批准后为其APP贴上认证标志”。

安全港条款是将来自研究实践和公众接受的软法上升为国家认可的硬法最强有力的手段。通过与行业组织的认证相结合，给予获得认证的行业经营者一定程度的免责，不但可以使行为守则获得实际遵从，还可以避免因需要嵌入行为守则而大规模修改或调整本国法律的负担。关于安全港免责的范围和具体内容，比较适当的是将其限于无意的侵权或对监管要求的小规模偏差，而不应当包括故意或因过失导致的侵权或歧视性结论。这一范围的免责具有多种合理性：首先，在数据使用方面尤其是科学研究领域，原告对微小的、无意的隐私侵权的追诉很可能导致重大公共利益损失（比如对已经纳入公共卫生大型数据池和分析的个别数据的追溯性撤回或销毁）。在违规仅仅是对监管要求的小偏差时，安全港免责可以通过阻止原告坚持追溯发现大规模数据集来避免上述损失，并维护司法经济。其次，它在平衡数据保护和产业发展的基础上构建了数据使用自我管理的激励机制。安全港提供的免责鼓励营运商通过真诚的努力来避免违反法律。只要实施安全措施的成本比违法风险的成本低，它就会理性行事，并寻求遵守安全港的要求。第三，安全港免责能够增强行业组织行为守则的权威性，使客户（或数据主体）产生信任，从而更加激励数据控制人的自我监管。

三、健康大数据治理的个人权利普遍救济机制

为个人或社会利益共享个人敏感信息并不是当代健康数字平台所独有的。个人还会与医生、会计师和律师分享敏感信息。这些专业人士受到职责的约束，不会以可能有害于客户利益的方式使用客户敏感信息。而专业人员（如医生和律师）的这些职责是通过“信义责任”的概念来确立的。同样的，在保管范式下，健康数据控制人被赋予数据管理受托人的角色，他们也应当被要求站在保护数据主体利益的最前线，特别是在隐私保护方面。

信义关系是从英国衡平法上的推定信托发展而来的，法官可依据公平原则将某些形式上非信托而实质上符合信托特征的关系认定为信托或者说信义关系。现在人们普遍认为，律师与客户，公司与其董事和高管，合伙人之间，客户与证券经纪人的关系都是信义关系。健康数据控制人具备传统信义关系中受托人的特点，他们提供符合社会需要的服务，并在信息占有方面享有比用户显著的优势。用户通常缺乏专业知识、有关健康数据控制人以及控制人可能对用户数据采取的行动的信息。用户相对于健康数据控制人的这种弱势地位可以被视为建立信义关系的依据。再者，信义关系是建立在信任基础上的。在多数情况下，健康数据控制人也会把自己塑造成值得信赖的、不会滥用用户数据、为用户着想的组织。由此，用户和健康数据控制人之间的信义关系在促使数据控制人变得值得信赖和刺激公众参与数据共享方面是有价值的。

信义关系在对抗机会主义行为方面比合同或成文法更具优势。作为受托人，健康数据控制人不仅需要采取情境化方法来灵活保护隐私，而且还负担了不欺骗或主动伤害数据主体的消极义务，弥补了合同或成文法为部分数据控制人的机会主义或欺骗行为留下的漏洞。一方面，数据控制人的专业技能可为数据主体所利用，填补通知同意模式下数据主体认知与选择之间的鸿沟；另一方面，信义制度建立了数据控制人和数据主体之间的责任关系，避免了合同相对性的局限，使数据主体获得了向作为合同外第三人的下游用户追偿的依据。

信义关系因为其开放性的本质，通常被认为是缺乏共识的抽象型规则。但无论如何，多数学者和裁判机构均一致认可委托人需承担注意和忠诚两项义务。具体到健康数据控制人对数据主体的忠诚义务，首先应当包含的基本内容是控制人不应利用其收集的数据来伤害数据主体，例如骚扰、利用、羞辱或操纵他们。更为核心的是，健康数据控制人应该为与其共享数据的用户提供隐私保护，考虑数据的类型以及数据收集、存储和共享所涉及的技术，谨慎和勤勉的处理数据。同时，应避免数据控制人忠诚义务的过度膨胀，导致因负担过重而影响电子健康技术的发展。例如要求数据控制人除了保护隐私外，还应确保在与第三方共享数据时（即使是以匿名和去标识的形式）将数据主体更广泛或一般的利益放在首位。这意味着数据控制人应仅为增益用户的目的而共享数据。这样一个扩张的要求将为那些本不应预期研究目的或结果会产生利润的用户提供违约索赔的可能，从而大大降低健康数据控制人向第三方共享数据（即使是用于健康研究的匿名形式的数据）的动机。

正如前文所述，保管范式下基础债之关系需要个人权利救济体系的补充，国际示范法规则对健康数据控制人信义义务的明确规定可以为数据主体提供一个在合同明确约定之外寻求救济和赔偿的法律基础，以对抗数据控制人的机会主义行为，对于完善数据主体的自我管理和救济模式，建立互动性、参与性医疗研究模式具有重要的意义。

健康大数据治理的示范法规则还应当包含一个损害缓解机制，弥补以债的关系为基础的保管范式的不足。

第一，大数据所造成的危害通常是系统性的，可能会对下游的多个个体产生影响。以这种方式使用数据所造成的潜在危害通常超出了传统法律概念的治理框架。例如，一些二手数据主体非因自己而因他人数据的使用而受到伤害。在传统法律框架下，数据控制人和二手数据主体之间没有公认的联系，很难判定控制人对这些主体负有责任。第二，个人可能无法证明适用传统侵权救济所需的相关因果关系。数据集通常存在多个无法追踪的数字副本，使数据控制人或处理人更容易证明他们对事件无须负责。第三，即使数据控制人无法采取足够的措施来避免歧视，现有数据保护法框架为错误和滥用数据所设的处罚数额也往往太低而不能阻止数据控制人的不良行为习惯。

所有这些方面都强调了需要引进额外的损害缓解机制。在不考虑是谁造成了损害、是否能够证明因果关系、导致损害的行为是否违法的情况下，支持因数据使用而受到损害的数据主体，补充传统法律框架的不足。

损害缓解机构（Harm Mitigation Bodies，HMB）将在国家层面建立，作为数据保护当局的独立法定分支，以补充而非替代相关数据保护机构。虽然数据保护机构的主要作用是监管数据控制人，但它仅监管违反现有法律的情况；而HMB的主要作用是救济数据主体，范围将不限于非法数据使用的情况。损害缓解机制是对现有数据保护框架下法律保护的补充，供在传统法律救济下没有索赔请求权的个人使用。例如，HMB会接受因匿名数据造成的损害，对二手数据主体造成的损害，或因合法数据使用造成的损害。在这种情况下，受影响的个人可以向HMB提交申请书。

损害缓解机制对申诉方所遭受的损害无疑应以金钱补偿为主。为确保有足够的财政资源来运行损害缓解机制，并确保HMB的独立性，将从国家税收，或每个研究项目的预算（或研究机构的整体预算）中提取的一定百分比作为资金来源。

任何人如认为因合法或非法使用自己（或他人）的数据而遭受了显著的和不必要的伤害，可通过向HMB提交非正式个人申请以获取金钱补偿。HMB需对该申请进行首次审查，并根据需要要求申请人提供进一步的信息，以确定该申请是否满足三个条件：（1）申请人的损害是重大的。重大损害应当从理性当事人个人以及数据控制人可预见两个角度来判定，以保证提供主客观相结合的评判标准。（2）损害是不当的。在缺乏预先设定的规则标准的情况下，正当性评估无疑应当依靠HMB以个案为基础的审慎评估和适当的自由裁量。当然，随着机构的不断发展，HMB可适时重新审视损害评估框架，并围绕什么应该被认为是重大损害提炼出更加明确的指南。（3）产生的损害与数据使用之间存在一定的联系。判断关联性的标准应该低于传统法律救济措施的因果关系要求，并需要证明一个理性人可以合理推断损害是由宏观的数据使用造成的（但无须证明它一定是由某一具体数据的使用造成的）。

除了损失补偿作用之外，HMB还将发挥咨询作用，通过编写年度报告的方式，概述其调查的索赔申请的类型和分配情况以及结果，并据以提供关于数据使用的良好实践建议。

HMB还将发挥重要的反馈作用。例如，如果收到了与数据实践造成的特定损害有关的多个索赔，HMB可以通过进一步调查造成伤害的做法，以寻求制定改善和/或缓解的战略。此外，由于在不同领域共享数据集和组合多个数据集时所产生的问题日益引发危害，拥有这样一个包罗一切的国家机构将能够描绘出一幅更加连贯和全面的画面。这也有助于避免一些被忽略的风险，因为过于狭隘地关注一个特定的部门或行业可能会导致忽视数据使用的普遍性和在大数据背景下引发的危害。

四、健康大数据治理国际示范法中的豁免规则

国际示范法规则除了要包含有关数据处理的限制及管理规则外，还必须包含重要的豁免规则。在大流行等特殊紧急情况下，豁免规则是能实现预防和控制大流行病等公共卫生目标所必不可少的重要治理工具。

“公共利益例外”是获取数据主体同意之外数据共享和转让的最重要法律基础，与健康大数据使用相关的主要集中于数据处理和数据跨境转让两个方面。

当前世界在很大程度上处于强制封锁状态，期待着卫生研究人员开发有效的预防、测试和治疗新冠肺炎的方法。收集、分析和及时分享丰富的卫生数据是这一前所未有的国际研究的一个关键组成部分。新冠肺炎科学研究的目标是造福整个社会，以完成一项公共利益的任务为法律基础似乎是自然的选择。GDPR规定公共利益例外的条款是第6（1）（e）条，这是欧洲数据保护委员会（European Data Protection Board，EDPB）建议的比“通知同意”更适合临床试验研究的法律基础，也是EDPB《关于COVID-19和研究的指南》中提到的潜在法律依据之一。GDPR为处理用于医学研究的健康和遗传数据提供了两种可能的法律依据：第9（2）（i）条规定出于公共卫生领域的公共利益考虑可以处理敏感数据，例如保护人们免受对健康的严重跨境威胁；而第9（2）（j）条规定为公共利益、科学或历史研究或统计目的需要可处理敏感数据。考虑到对明确同意的减损，GDPR要求这种合法性还必须以联盟或成员国的法律为基础，需要采取适当的、具体的措施来保障数据主体的基本权益，即需符合比例原则、数据最小化和数据安全性要求。

遗憾的是，COVID-19的发生证明了GDPR对公共利益例外的规定并没有发挥预期的效果。由欧盟委员会资助的当前H2020资助计划中的财团绝大多数使用了其他更烦琐的法律理由，比如通知同意，而不是公共利益例外。很明显，尽管有公共利益的规定，由于担心国家层面的保障措施可能造成的困难，欧洲的研究人员和研究机构一直不愿使用它。可以说，GDPR对于额外保障措施的规定只起到了画蛇添足的效果，从实践角度而言，作为模板的国际条约没有必要为研究例外另行设置保障措施的要求：首先，在适当保障措施的具体设计方面，GDPR并没有为会员国提供封闭的规则，从极其严格到极其宽松，只要保证采取一定的技术和组织措施，均不违反GDPR的要求。例如，在实施9（2）（j）方面，英国和荷兰规定了为公共利益进行研究申请的其他限制条件；瑞典要求获得伦理委员会批准；芬兰则对技术保障规定了明确的要求。千差万别没有底线的规定，使保障措施要求丧失了本来存在的意义。其次，医疗保健数据的使用还必须符合各国的医疗保密法规，双重的规则差别将导致欧洲各地形成一套由各种不同的条款组成的、用以处理大流行研究的个人健康数据的拼凑体系，无助于需要全球跨境共享和及时解决方案的领域。第三，敏感与非敏感数据的划分在当前大数据和AI技术发展的背景下存在重大困难，必将导致额外保障措施缺乏明确的适用界限。第四，相比较过于灵活的实体规则，适当的程序限制可以弥补数据主体自主权的丧失，为其保留寻求个人救济的权利。GDPR第21（6）条引入了反对权的概念，规定数据主体保留有反对控制人以研究例外为依据处理数据的权利，只是在确为公共利益需要时，该项反对权才将受到限制。这意味着公共利益这一检验方式在GDPR的两个部分分别单独运行，呈现出不同的适用标准。也就是说，满足6（1）（e）、9（2）（j）条的公共利益要求，数据控制人可以不征求数据主体的同意而使用数据，却并不一定能够驳斥第21条授予数据主体的反对权。GDPR的这一复杂设计，目的似乎是想在公共利益实质内容存在巨大争议的情况下，以程序设计保证个人隐私与公共健康之间的平衡。正如因双方当事人存在能力差距需实施举证责任倒置，既然寻求各个数据主体的同意存在巨大困难，即可先授予公共利益的研究表面的结构优势，而反过来要求数据主体为自己主张反对权提供理由和说明。这种程序上的矫正补足了研究人员主张的困难，同时又在可行的最大范围内，使“个人控制需要”得到保护和尊重，更适合作为通用模板实现国际协调而非加重分歧。

GDPR与防治流行病最相关的两项克减是，出于公共利益的重要原因需要进行数据传输或有必要保护数据主体或其他人士的重大利益。GDPR的解释指明这些减损适用于监测流行病及其传播或追踪传染病接触者等情况。很明显，第49（1）条所规定的公共利益和重大利益标准比第6（1）条规定的作为数据处理合法基础的“公共利益”要严格得多，只能在限制性条件下使用。例如，公共利益例外只适用于欧盟或成员国法律认可的利益。此外，正如欧洲法院（Court of Justice of the European Union，CJEU）多次提出的，对数据保护权利的减损必须加以严格解释，“必要性”是决定是否可以使用减损的关键因素。CJEU在Schrems案中指出为了保护数据主体的切身利益（包括由于重大公共卫生风险），允许将航空公司乘客的数据从欧盟转移到加拿大当局，但移转将仅限于必要的特殊情况，而且有严格的必要条件。“必要性”无疑应有实质性的证据证明，例如无论在医学标准还是科学标准下，数据跨境转移都是寻找大流行解决方案的必要条件。值得关注的是，严格的要求并不意味着克减条款涉及的数据跨境传输必须是偶然的和非重复性的。这种错误的认识可能会不当限制克减条款的持续性使用。毕竟打击病毒是一个长期性的活动，世界各地的疫苗开发和实现可能需要几年时间，医学研究和治疗的数据使用从本质上就是不断重复的。

在研究豁免下，为研究目的处理健康数据可减损部分一般数据保护规则，例如GDPR第5（1）（b）条规定的目的限制原则，GDPR第5（1）（e）条规定的储存限制原则。如果是实现研究目的所必须，健康数据可以比一般数据最小化原则所允许的储存时间更长、用途范围更广。此外，GDPR第17（3）条规定的数据主体的被遗忘权、第14（5）（b）条规定的知情权亦可因研究目的的需要而减损。甚至GDPR还允许欧盟各成员国以本国法进一步规定研究例外对普通数据保护制度的其他减损。当然，为了抵消这些减损，GDPR第89（1）条规定为研究目的处理个人数据须规定适当的“技术和组织措施”，以保障“数据主体的权利和自由”。GDPR第9（4）条规定由成员国自行决定是否“在处理遗传数据、生物特征数据或有关健康的数据方面设定进一步的限制条件”，以提供相应保障。正如上文所言，GDPR对于额外保障措施的规定是开放性的，在成员国没有立法补充的情况下，GDPR有关研究例外的规定将直接适用，相应对一般数据保护规则的克减也将直接适用。在健康大数据使用中，这必然会带来一种潜在风险：参与健康数据池的大数据控制人可能会利用用户的特殊数据创建新的统计模型，这些模型反过来在更广泛的数字市场中达成对关联用户的“歧视”结论。鉴于医学研究例外规则对数据主体权利的减损，数据主体对这些研究及统计结果的对抗手段将较弱。当然，GDPR第162条注释指出，为研究目的而进行的个人数据处理不能导致对单个自然人的分析活动和其他决定。但必须承认的是，在大数据分析的背景下，明确区分数据的二次用途是极其困难的。为了阻止医学研究引发对健康数据进一步的“二次”商业利用，必须将“研究”概念归于以公共利益为导向的数据处理目的之中。这意味着，如果健康数据进一步用于商业目的，即在研究项目范围内设计用于商业目的的统计模型，则应重新恢复“全面的”一般数据保护法制度，取消研究例外规则对数据主体权利的减损。然而，GDPR第9（2）（j）条将公共利益和科学研究相并立，似乎意味着科学研究不仅包含了为公共目的的研究，也包含了商业导向的研究。这必然会为使用健康大数据的医学研究留下“二次”商业利用个人健康数据的方便之门，使健康数据主体甚至不能取得如普通数据主体一般的对抗手段。由此，健康大数据治理的示范法规则应当将医学研究局限于公共目的范畴，作为公共利益例外的一种特殊表现形式，而避免借口科学研究掩盖对健康数据的二次商业利用，不当减损数据主体权利。

在跨境信息共享的巨大风险面前，公共机构计划参与信息共享的最佳实践是制定书面的信息共享协议（Information Sharing Agreement，ISA）。政府间跨境信息共享在ISA等严格的保障措施框架内进行无疑是确定性和安全性最强的。同时，相比较普遍性协定长远的谈判流程和高额成本，ISA也是尽快解决大流行病等具体问题的最便利工具。为了缩短谈判协商ISA带来的延迟，ISA的模板化是最有效的途径。示范法无疑应当为ISA的开发提供一定的指引和要求。

首先，示范法规则应当明确在突发性公共卫生事件下，信息共享请求国一旦发起请求，被请求国应尽快配合进入ISA谈判阶段，无正当理由不得拖延或拒绝分享当前调查结果等公共健康数据。虽然负责共享数据的实体可能会对保护隐私提出合理的关切，但不可否认，在紧急情况下不共享数据对个人和公共健康造成的风险可能更大。

其次，列举ISA的主要内容，为谈判提供基本框架。包含但不限于：（1）个人健康信息的使用和披露的计划。ISA应说明数据共享的理由、披露和收集的信息的内容、目的、法律基础、使用领域和范围。（2）传输和存储信息的方法和安全措施。ISA的一个关键组成部分是保护敏感的个人健康信息的具体安全措施，应包括隐私影响评估、解决所有风险的风险缓解计划（比如加密、安全存储、安全处置个人信息的要求。（3）保留规则。个人信息保留时间表、交换信息的频率和持续时间、保留期满时的信息销毁方法。（4）访问的限制。个人健康信息应由发送方按照协议中规定的方式和时间“推”给另一管辖范围内的接收方，而不应由接收方广泛访问发送方数据库并从中“拉”过来该信息。ISA还应包括对二次使用和披露的严格禁止。如遇有接受国隐私法或其他任何法律允许数据二次访问或使用，应为此类情况另行确定协商程序。（5）数据质量的保证机制。任何数据共享系统中需嵌入确保数据质量的机制，避免因重大错误降低公众的信任度，并产生深远的影响。（6）责任和救济。说明处理隐私泄露、投诉和侵权事件的程序。

第三，确保ISA由健全的数据管理实践支持。在数据跨境转移的情况下，接收国的法律（包括可适用的反恐怖主义法律）可能影响数据使用目的限制条款的实际执行。因此，ISA应当对接收国强行法中规定的数据使用限制特殊豁免条款的效力及其与两国间协议的关系做出处理。

五、结论

健康大数据的使用对于未来医学进步、医疗产业发展、拉平流行病学曲线、甚至是提振经济都至关重要。法律和文化传统的差异使国际层面的数据保护规则支离破碎。要实现健康大数据治理的国际协调，打通信息共享渠道，建立国际示范法规则框架是必然的选择。当前的大数据实践证明对健康大数据中的基础数据本身授予产权是不明智的，而且缺乏健全的法律基础。迫切需要的是一种以“保管”伦理原则为基础的替代规范框架，以确保对所有利益攸关方的问责和负责任的数据共享。基于此，健康大数据国际示范法规则需建立以债的关系为基础的多主体参与的协同保管范式，以对传统债之关系规则的修正解决因数据动态化性质导致的法律适用困难，以更加广泛和专业的多主体协同治理代替数据主体管理健康数据。考虑到债之关系的相对性，国际示范法规则应通过兜底性的个人权利普遍救体系增强责任规则的情境化处理能力，为数据主体提供更有效的私人维权措施。此外，考虑到应对大流行病等紧急状态的需要，国际示范法规则还需包含公共利益例外、医学研究例外、公共机构信息共享安排等健康数据处理限制的豁免机制。这样，健康大数据治理国际示范法规则即可创建有意义的沟通渠道，填平数据主体的认知和选择之间的鸿沟，公平分享和利用对公众利益至关重要的健康数据，降低健康大数据产业发展和医学研究的障碍，并实现隐私保护和公众健康之间的平衡。

往期精彩回顾

王玉玲｜我国虚拟货币刑法规制的案例研究

何阳阳｜数字人民币背景下金融犯罪的刑法应对

石东秀｜论深度伪造换脸的法律规制

谢佳利｜交通违章电子化证据司法认定——基于42个案例样本的分析

李萌萌｜人工智能生成物的著作权保护路径研究

目录｜《上海法学研究》集刊2021年第6卷

上海市法学会官网

http://www.sls.org.cn