满洪杰、郭露露：可穿戴设备中的个人健康信息保护——以同意为核心的研究

Original 满洪杰郭露露法学论坛 2023-12-27

点击上方“蓝字”关注我们吧

摘要：可穿戴设备中个人健康信息保护问题的核心是同意。阻碍用户同意的因素包括未区分不同类型的信息设置不同级别的保护、同意异化为规避法律风险的工具和同意的边界不清。对于可穿戴设备中个人健康信息的静态保护，要求构建分级同意模式，以风险预防为导向将可穿戴设备中的个人识别信息、生理信息、观察信息类型化为敏感信息、一般信息、公开信息，敏感信息适用特别同意的强保护模式，一般信息适用概括同意的弱保护模式，公开信息适用选择退出的次弱保护模式。对于可穿戴设备中个人健康信息的动态保护，要求构建过程化的同意制度，从信息生命周期着手，面向健康管理、运动指导、线上问诊、医学研究和公共卫生监测五大场景，全面、动态地考察同意制度。可穿戴设备中个人健康信息的强制处理情形包括，紧急情况下为保护自然人的生命健康所必需，和为应对突发公共卫生事件情形下的信息二次利用。

关键词：可穿戴设备；个人健康信息；同意

《法学论坛》2023年第2期（第38卷，总第206期）

引言

一、同意原则在可穿戴设备个人健康信息保护中的意义

二、可穿戴设备中个人健康信息的静态保护：分级同意模式

三、可穿戴设备中个人健康信息的动态保护：过程化的同意制度

四、可穿戴设备中个人健康信息的强制处理：同意的例外

引言

　　医疗健康可穿戴设备是指应用于日常生活、运动、健康维护以及临床医疗活动当中，可以直接穿戴在身上或者植入人体，通过软件支持以及信息交互来感知、记录、分析、调控或干预，实现治疗疾病、维护健康状态的便携式电子设备，包括健康促进型和医疗功能型可穿戴设备。苹果HealthKit、谷歌GoogleFit、华为HiHealth等可穿戴设备提供的健康服务均依靠大数据分析，实时采集用户的大量个人健康信息，实现对多种健康问题的监测和筛查预警。《“健康中国2030”规划纲要》要求推进可穿戴设备在医疗健康服务中的探索和发展，实现医疗健康服务从“以治病为中心”向“以人民健康为中心”转变。然而，可穿戴技术在增进用户健康福祉的同时，也带来了个人健康信息保护危机。据皮尤研究中心（Pew Research Center）称，“很少有人认为自己对可穿戴设备收集到的关于自己的信息以及如何使用这些信息有很大的决定权”。这无异于将用户置于“全景敞式监狱”当中。可穿戴设备中个人健康信息保护问题的核心是同意，本文将对可穿戴设备场景中个人健康信息的同意问题展开研究，以供理论界与实务界参考。

一、同意原则在可穿戴设备个人健康信息保护中的意义

　（一）可穿戴设备中个人健康信息的特征

　　个人健康信息是指在疾病预防、诊断、治疗等过程中获取的与个人身心健康状况相关的信息，是与特定个人相关联、反映个体特征、具有可识别性的符号。与传统医患关系场景中的个人健康信息相比，可穿戴设备场景中对个人健康信息的处理直接以身体监控为目的，个人健康信息表现出高度敏感性，表现在：

　　第一，信息的全面性。一是实时自主性，克服了传统医疗抽样的片段性，信息被连续采集，可以实时反映处于不断变化中的个人健康状况。二是精准性，关于心率、血氧、睡眠等的长时间客观记录，比患者向医生描述的自我感受更为精准。三是整合性，几乎可以追踪到与个人健康相关的任何信息，包括个人识别信息（身高、体重、性别、出生日期等）、生理信息（血糖、血压、心率、体温等）以及包括行为信息和环境信息在内的观察信息（位置信息、运动类型、阻力、坡度等）。总之，在可穿戴设备场景下可以得到全面的个人健康状况和日常活动情况，形成精准用户画像。

　　第二，信息的流动性。可穿戴设备中的信息流动环节较多，包括信息的收集、存储、使用、共享、提供、删除等环节，涉及患者、设备服务商、医疗机构、政府等多方主体，信息节点较多，信息泄露和非法处理的风险较大。而传统医疗是以医院就诊流程为对象的信息流动过程，信息只在医院内部流动，信息节点少，风险也较低。

　　第三，信息的公共性。一是信息具有涉他性。虽然个人健康信息体现的是用户本人的健康状况，但本人的健康状况不仅事关自身生活，有时还会影响到其他主体乃至社会的安全，因此，在特定情况下，个人健康信息受到其他主体或公众知情权的限制。二是信息具有公共价值。个人健康信息蕴含丰富的社会公共价值，疫情防治、药物研究、医学教学等社会公共活动都必须以海量的个人健康信息为支撑。

　　第四，应用的广泛性。可穿戴设备中个人健康信息的价值已经超越了简单的健康监测，被广泛二次利用。雇主可以通过可穿戴设备追踪雇员的健康习惯，旨在改善员工健康，最大限度地提高工作效率，同时减少医疗和保险费用。保险公司利用可穿戴设备对潜在的投保人进行更准确的评估，同时促进当前投保人的健康行为。在司法实践中，尽管可穿戴设备中的信息作为证据的可接受性存疑，但这些信息已经被美国一些法院作为证据使用。

　　（二）同意原则在可穿戴设备个人健康信息保护中面临的挑战

　　个人健康信息的核心是自己决定权，即信息主体的同意。可穿戴设备场景下阻碍用户同意的因素体现在以下方面。

　　第一，未区分不同类型的信息设置不同级别的保护。可穿戴设备中的个人健康信息类型复杂，包括用户的生理信息、个人识别信息以及观察信息。信息内部的敏感程度参差不齐，并非所有的信息都与人格尊严紧密相关，也并非任何关于个人健康信息的处理都干涉私人自治。然而，考察可穿戴设备行业的隐私协议，虽然详细列举了收集的信息类型，但并未对不同类型的个人健康信息给予不同程度的保护。这既不利于一般信息的充分利用，也不利于敏感信息的特别保护。

　　第二，同意异化为规避法律风险的工具。首先，同意原则的适用集中在信息收集阶段，没有发挥出规范信息处理过程的功能。其次，隐私协议采取“一揽子同意”的形式，变相强迫用户作出广泛授权，不同意就意味着完全退出或无法使用，这实际上剥夺了用户的自决权。最后，隐私协议对条款内容的表述笼统不清，甚至隐瞒信息处理风险，加之信息主体对血氧、心电等信息的处理无法完全理解，导致用户无法自主决定采集的信息是否以及如何被处理，这实际上削弱了用户的自决权。

　　第三，同意的边界不清。可穿戴设备中的用户同意面向私人健康和公共健康两个领域。在私人健康领域，《个人信息保护法》第13条第4项规定“紧急情况下为保护自然人的生命健康”所必需无需获取用户同意，但用户享有涉及自身医疗干预的自己决定权，应当由用户自主决定是否将个人信息利益让渡给个人健康利益，且用户对信息泄露或滥用的恐惧往往不亚于对疾病的恐惧，因而应当进一步明确紧急情况下信息强制处理的正当性和适用条件。在公共健康领域，第13条第4项关于“为应对突发公共卫生事件”的信息强制处理情形是概括性规定，应当结合可穿戴设备场景下信息处理的特殊性进行具体分析，否则很可能导致可穿戴设备在突发公共卫生事件中的强制应用，造成医疗保健被医疗控制以公共卫生的名义取而代之，个人将被置于一种极端形式的公共卫生监督之下。

　　（三）同意原则是可穿戴设备中个人健康信息保护的核心

　　面对同意的适用困境，有观点主张降低同意的核心地位，构建“情景合理+拟制同意”的“弱同意”规范体系。有观点提出跳脱同意原则，破旧立新，转而探索顺应技术发展的新路径。本文认为，在可穿戴设备场景下，以同意为核心的传统保护模式仍然适用于个人健康信息保护，其正当性来源于个人自主，具体表现为信息自决、患者自治、研究伦理和技术伦理。

　　第一，同意是个人健康信息保护的核心制度。不管是大陆法系还是英美法系，相关法律均体现了同意在个人健康信息保护中的核心地位。我国《民法典》第1035条第1项将征得自然人同意作为处理个人信息的基本原则，《个人信息保护法》第13条第1项也规定“取得个人同意”方可处理个人信息。对于同意原则的具体展开，我国理论层面与规范层面普遍认同通过信息类型化区分适用同意原则，从而对不同类型的个人信息给予不同程度的保护。可穿戴设备场景下的个人健康信息表现出多样性和复杂性，要求以同意为核心构建个人健康信息类型化的信息保护制度。

　　第二，同意是患者自治的体现。可穿戴设备因以监测身体健康状况、筛查潜在健康问题为目的而属于非诊疗目的医疗行为，用户与信息处理者之间形成一种以信息处理者提供劳务为内容的医疗契约，信息处理者负有提供持续性健康服务的义务。由于健康服务倚赖于对个人健康信息的处理，用户除了接受健康服务所带来的健康利益外，还要承担伴随而来的信息处理风险。信息处理者能否、在多大程度上被允许介入用户的信息利益不能基于医疗契约的成立而推知。基于患者自治，信息处理者在实施信息处理行为之前，必须先取得用户的同意，否则，即使是可以增进用户健康的信息处理行为也不能阻却未获取用户同意而应承担的法律责任。在这个意义上，可穿戴设备中的用户同意实质上是一种针对信息权益介入作出的自愿授权，使信息处理者获得处理用户个人健康信息的正当性。

　　第三，同意是医学研究伦理的核心规则。可穿戴设备实时从人体收集大量个人健康信息，在为用户提供健康服务的同时也成为医学研究的工具，是医学研究实时收集、分析个人健康信息的重要管道。为保障作为受试者的用户的权益，必须遵循以同意为核心的研究伦理。以同意为核心的研究伦理源自对二战特别是纳粹政府时期医务人员职责的反思，《纽伦堡法典》第一项原则即要求“受试者的自愿同意对任何类型的研究都是绝对必要的”。此后《赫尔辛基宣言》进一步细化同意原则，宣言最新的修正案将“保护受试者的自主决定权、隐私和个人信息”作为医学研究的一般原则，并对“使用可识别的个人信息的医学研究”做出专门规定，“通常情况下研究人员必须征得对收集、分析、存放和/或再使用可识别的个人信息的同意。在难以获得、无法获得、或者为获得同意可能会对研究的有效性造成威胁的情况下，研究只有在得到伦理委员会的审查和批准后才可进行”，研究人员“必须采取一切措施”保护受试者的隐私和个人信息。可穿戴设备作为人体研究的工具仍要遵循这些研究伦理。

　　第四，同意是技术发展以人为中心的应有之义。可穿戴设备是传感器、大数据技术的产物。对于技术伦理，康德提出的“人是目的而非手段”的人类尊严原理已经成为道德的最高原理，这一目的公式要求尊重理性主体的自主能力。从义务论出发，技术发展应当以人为中心，换言之，“是人，而不是技术，必须成为价值的最终根源，是人的全面发展，而不是生产的最大化，成为所有发展的标准”。在大数据背景下，人作为理性主体，不应被他人作为数据分析的对象，除非个人自主地决定并允许他人如此操作。因而，可穿戴技术应当在获取信息主体同意的基础上，实现信息的收集和使用。这有利于解决可穿戴技术野蛮生长带来的信息保护难题，同时实现健康利益最大化。

二、可穿戴设备中个人健康信息的静态保护：分级同意模式

　　同意是以风险预防为理念的个人健康信息保护制度，其强度应当与个人健康信息的风险水平相适应。可穿戴设备中的个人健康信息包括生理信息、识别信息以及观察信息，不同类型的个人健康信息基于不同的风险因素表现出不同的风险水平。因此，应当以信息的风险水平为基准对个人健康信息进行类型化，在此基础上构建分级同意模式。

　　（一）个人健康信息类型化的标准

　　以信息的风险水平为基准，我国法律确定了两种类型化路径，《民法典》从隐私权风险的角度，将个人信息类型化为私密信息与一般信息，而《个人信息保护法》从信息处理过程风险的角度，将个人信息类型化为敏感信息与一般信息。对比两种路径，由于在可穿戴设备场景下更强调信息利用和过程规范，因此后者更符合这一价值定位。首先，两种信息分类均以权益侵害风险为基准，《个人信息保护法》指向客观的人格尊严和人身、财产安全风险，与个人健康信息保护的根本出发点即人格尊严相呼应，揭示了信息类型化的本质。而《民法典》仅指向隐私权风险，忽略了其他权益侵害风险且具有明显的主观性，“一切不愿为他人知晓的未公开的信息都属于私密信息，范围过于宽泛”；其次，《个人信息保护法》的信息处理规则具有预防性和事前性，且权益受到侵害时可以请求恢复原状。而隐私权保护规则具有事后性和防御性，且信息一旦公开无法恢复原状。最后，在法解释上，《个人信息保护法》中的民事规范与《民法典》是特别法与一般法的关系，应当优先适用《个人信息保护法》的规定。故在可穿戴设备场景下采纳敏感信息、一般信息、公开信息的类型化路径。

　　个人健康信息类型化的重点在于敏感信息识别。敏感性的判定要从静态与动态两个角度分析。对于敏感性的静态标准，《个人信息保护法》采纳了“致害风险+风险概率”的方法。首先，风险内容指向人格尊严和人身、财产安全；其次，风险概率应当达到“容易导致”人格尊严和人身、财产安全受到侵害；最后，风险程度不以“严重侵害”为必要。严格来说，个人健康信息都涉及人格尊严的维护，只有与人格尊严具有密切联系的个人健康信息才属于敏感信息。因此，风险概率是认定敏感信息的重点，在判断“容易导致”时应采取客观标准，即根据一般理性人的认知常识、习惯，判断信息是否通常具有敏感性。符合静态标准的敏感信息，在任何特定、具体的信息处理场景中都始终适用严格的信息处理规则。敏感性的认定还要兼采动态标准，以解决事实上的敏感信息的法律保护问题。动态标准是指根据场景理论具体判断信息属性，实质上是分析特定场景是否增加了信息主体的权益侵害风险。任何个人健康信息，依其处理目的和环境都可能是敏感的。尼森鲍姆（Nissenbaum）教授最早提出了“场景完整性理论”，认为需要考虑的场景要素包括信息主体、信息发送者、信息接收者、信息性质以及信息传输原则。《个人信息保护法》第51条要求考虑的要素包括处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险。归纳上述学说及立法，在可穿戴设备场景下需要考虑以下要素：信息主体、信息处理者、第三方主体、处理目的、信息性质。

　　（二）敏感信息的强保护模式

　　可穿戴设备中的生理信息属于敏感信息，应采取特别同意的强保护模式。生理信息包括心率、血压、血氧、睡眠等，是人体的基本健康指标。根据“致害风险+风险概率”的敏感性静态判断标准，在风险内容上，生理信息可以显示个人独特的生理或健康状况，揭示个人的疾病和缺陷，直接指向人格尊严。在风险概率上，通常认为生理信息一旦泄露或滥用容易带来名誉受损或歧视风险。因此，生理信息属于敏感信息，适用传统同意理论的特别同意规则。《个人信息保护法》第二章第二节将特别同意具体化为“特定目的”+“单独同意”。

　　关于特定目的。第一，特定目的必须是特定、明确、具体的目的，要求信息处理者在处理生理信息时，不能笼统地以提供健康服务为目的处理生理信息，而应当明确指出生理信息的具体用途。例如，信息处理者在健康管理场景下应当明确告知具体的健康管理目的。例如，心电监测，此时生理信息不得用于与心电监测无关的目的。第二，特定目的可以是立法机关明确指定的目的，基于立法机关指定的目的，信息处理者可以依法处理生理信息，一方面可以使信息处理者明确信息处理的边界，另一方面信息主体也可以明悉信息处理者介入生理信息的合法范围。第三，特定目的的判断应当与充分的必要性相结合，《个人信息保护法》第28条在规定特定目的的基础上，将“充分必要性”作为特定目的的延伸，这是对一般信息处理的“必要性”要求的强化。例如，可穿戴设备以运动指导为目的收集用户的睡眠信息不具有充分必要性，但是，若睡眠信息关系到运动指导目的能否实现，则具有充分必要性。

　　关于单独同意。第一，单独同意规则禁止一揽子授权。对生理信息的处理，需要逐项取得用户的授权。但在可穿戴设备实践中，信息处理者往往通过概括同意的方式，取得用户的一揽子授权，违反了单独同意规则。第二，单独同意规则要求处理者负有明确的告知义务，需要对特定目的所需的不同类型的生理信息进行逐项告知，告知内容在符合《个人信息保护法》第17条规定的一般告知要求的基础上，还要包括生理信息对于实现特定目的的必要性、可能对个人权益的影响。信息处理者未尽上述告知义务，未达到一般理性人的合理期待，产生用户的授权无效的法律后果。

　　（三）一般信息的弱保护模式

　　可穿戴设备中的个人识别信息、观察信息属于一般信息，应采取概括同意的弱保护模式。个人识别信息反映了个人的基本资料，包括姓名、性别、出生日期等，观察信息反映了个人的日常活动，包括运动类型、饮食记录、运动坡度等。根据敏感性的静态判断标准，在风险内容上，个人识别信息、观察信息并不直接指向人格尊严，例如姓名本身只是用于社会交往的符号。在风险概率上，这些信息与人格尊严的联系并不密切，很难说运动类型的泄露会导致人格尊严受损。因此，个人识别信息、观察信息通常情况下属于一般信息，采取概括同意的弱保护模式。当然，从敏感性的动态判断标准角度，在特定场景中个人识别信息、观察信息也可能属于敏感信息，此时应当采取敏感信息的强保护模式。关于通常情况下的弱保护模式，可以从以下方面理解。

　　第一，《个人信息保护法》第6条规定了个人信息处理的目的限制原则，要求处理个人信息应当具有“明确、合理”的目的，并与处理目的“直接相关”。首先，“明确”意味着排除了过于宽泛与模糊的目的，但不要求目的达到具体、特定。对此，可穿戴设备对一般信息的处理目的应当明确在某类健康服务例如运动指导框架内，但不限定具体的运动指导项目。其次，目的“合理”要求可穿戴设备对一般信息的处理目的在满足合法、正当要求的前提下，不为个人带来过重的负担或者过高的风险。最后，可穿戴设备对一般信息的处理应当具有必要性，要求处理行为与初始目的具有直接关联性，且处理行为对其所意愿达成的初始目的符合比例原则，超出初始目的或过度处理个人健康信息不再具备必要性。

　　第二，《个人信息保护法》第14条要求获取个人“自愿”“明确”的同意。一方面，“自愿”以用户的自由选择为前提，为避免任何形式的强制，首先应贯彻《个人信息保护法》第16条的拒绝提供服务的限制规则，用户未授权处理部分个人健康信息，不影响可穿戴设备的系列健康服务功能，信息处理者不得以用户未同意而拒绝提供服务；其次是信息处理者不得以用户拒绝公开某些个人健康信息为由，拒绝提供健康服务。另一方面，“明确”同意要求获得用户以清晰明了而非含糊的、模棱两可的方式表示的同意，可以是纸质、电子形式等方式，也可以是口头方式。

　　（四）公开信息的次弱保护模式

　　公开的个人健康信息指信息主体自行公开或依法公开的个人健康信息。自行公开是指信息主体在主观上出于自愿，在客观上向不特定主体公开。依法公开主要是指司法公开、行政公开等公权力部门的强制公开情形。《民法典》第1036条第2项和《个人信息保护法》第27条对公开信息的处理均采取开放态度，原则上不特定主体都可以无需取得个人同意合理处理公开信息，明显降低了保护强度。但这并不意味着信息主体对公开的个人健康信息不再享有自决权。一方面，公开的个人健康信息仍因具有可识别性、指向人格尊严而受到法律保护，此时信息处理的正当性来自推定同意，信息主体对公开的个人健康信息仍享有拒绝权。另一方面，如果处理公开的个人健康信息会导致个人的重大利益受到侵害，则应当取得个人同意。所谓侵害个人重大利益的情形是指信息处理将有害于自然人的生命、身体、自由、财产或其他重大利益。

　　对公开信息应采取选择退出（opt-out）的次弱保护模式。不同于概括同意和特别同意的选择加入（opt-in）的模式，法律赋予了信息主体对公开信息处理的拒绝权，也就是说用户有权拒绝信息处理者处理公开的个人健康信息，实质上是一种选择退出模式。选择退出模式是默示的同意，用户未拒绝信息处理视为推定同意。这一模式的优势是信息处理者无需向用户请求授权即取得对公开信息的处理权限，从而节约巨大的时间和经济成本，促进信息流通和医学进步。在选择退出模式下，用户行使拒绝权的前提是知情，要求在可穿戴设备应用界面按照法律规定的告知规则向用户列明告知事项，并设置一个专门的告知选项，明确告知用户有权“选择退出”对其已公开的个人健康信息的处理。但是，对于对个人权益有重大影响的公开信息，仍然应当依照一般信息或敏感信息的选择加入模式取得个人同意。

三、可穿戴设备中个人健康信息的动态保护：过程化的同意制度

　　个人健康信息的分级保护模式，需要回归到可穿戴设备的信息处理过程中对个人健康信息的具体保护规则进行细化。可穿戴设备的应用面向两个领域，包括私人健康领域和公共健康领域。对于同意制度的过程化构建，需要区分初次利用和二次利用，从信息生命周期着手，立足信息处理场景，全面、动态地考察可穿戴设备中个人健康信息处理的同意制度。

　　（一）同意原则在私人健康领域的具体构建

　　第一，私人健康领域个人健康信息的初次利用。在私人健康领域，个人健康信息的初次利用场景包括：场景一，为健康管理目的处理个人健康信息；场景二，为运动指导目的处理个人健康信息。

　　在健康管理场景下，信息处理者是可穿戴设备服务商，为实现健康管理目的所必要的信息类型是睡眠、心率、血氧等生理信息，属于敏感信息，适用强保护模式。在信息收集阶段，为取得用户的单独同意，信息处理者应当区分特定的健康管理目的，对必需的生理信息类型进行明确告知，要求在隐私协议中以信息清单的形式分别列明血氧监测、心率监测、睡眠监测等特定健康管理目的所对应的最小范围、最低采集频率的生理信息，以及相应的信息处理风险，并逐项为用户提供同意选项。在信息存储阶段，为防止未经同意的信息泄露或滥用，应当落实信息处理者的安全保障义务。我国现有立法对敏感信息安全保障措施的法律供给不足，将来立法需要对敏感信息处理的技术标准予以原则性的规定，具体到健康管理场景，需要根据生理信息的脱敏效果、风险评估等级采取严格的安全措施，从而使可能引发的风险控制在合理水平。

　　在使用阶段，基于特定目的原则以及用户对于信息处理者的合理信赖，对于使用过程中告知事项发生变更的，若因合并、分立、解散、被宣告破产等原因导致义务主体消灭而发生信息处理者变更，应当在变更前的合理期限内向用户告知信息接收方的名称和联系方式，用户有权撤回其同意；若生理信息的处理目的、处理方式和信息种类发生变更，要求重新取得用户的单独同意；若生理信息的存储期限发生变更，应当向用户明确告知该变更事项，对于已经生成的生理信息，仍适用原存储期限的约定，除非取得用户的同意。在提供阶段，可携带权是实现信息主体自决的实质权利，根据贡献度理论，原初的生理信息由用户有意生成且无信息处理者附加的价值，因此用户可以请求将生理信息指定传输至符合标准的第三方。而设备生成的健康评价信息增加了附加的价值，不适用可携带权。在删除阶段，撤销授权是实现信息自决的最后屏障，在健康管理场景中，用户是风险的主要承受者也是主要获益者，因而用户对于生理信息享有任意撤回同意的权利，对于信息处理者控制和处理的不必要、不相关和过时的生理信息可以行使删除权。

　　在运动指导场景下，信息处理者是可穿戴设备服务商，为实现运动指导目的所必要的信息类型是位置信息、运动类型、运动坡度等观察信息，辅之心率、摄氧量等生理信息。运动指导目的下的信息侵害风险较低，原则上对个人健康信息采取一般信息的弱保护模式。但是，位置信息、生理信息属于敏感信息，仍然适用敏感信息的强保护模式。

　　在信息收集阶段，观察信息应当取得用户的概括同意，要求明确告知“运动指导”这一框架性目的，以及最小必要的信息收集范围。而位置信息、生理信息应当取得用户的单独同意，要求单独告知“提高运动建议、组内排名的准确性”这一具体的运动指导目的，并说明信息收集的充分必要性。在信息存储阶段，应当根据信息侵害风险等级，分别存储观察信息和位置信息、生理信息，并采取不同级别的安全保护措施。在使用阶段，将观察信息用于原初具体目的以外的其他运动指导目的，属于与原初目的具有合理关联的范围，无需重新取得用户同意。而将位置信息、生理信息用于原初具体目的以外的其他运动指导目的，则超出了信息利用的合理范围，应再次征得用户同意。在提供阶段，用户对于运动指导场景下的个人健康信息通常没有携带需求，为保障信息处理的透明度，应当强化用户的查阅复制权，允许查阅复制观察信息和生理信息的相关处理事项，包括信息是否被处理以及处理者、处理目的、方式、类型、期限等处理的相关情况。信息处理者应当为用户查阅复制提供便捷途径，不得附加条件阻却用户行使权利。在删除阶段，由于运动指导目的的实现主要依赖对观察信息的处理，用户撤回位置信息、生理信息授权不会影响运动指导功能的运行，只是准确性会有所下降，因此，可穿戴设备不得因用户撤回对位置信息、生理信息的授权而拒绝提供服务，同时应当主动删除这些信息。

　　第二，私人健康领域个人健康信息的二次利用。在私人健康领域，典型的个人健康信息二次利用场景是，为线上问诊目的处理个人健康信息。可穿戴设备依靠平台优势将线上问诊纳入业务范围，信息处理者是可穿戴设备服务商和第三方医疗机构。以线上问诊为目的处理个人健康信息指向用户的身体健康状况和病史，信息处理节点增多，信息处理者多元，具有权益侵害的高风险性，因此应当对线上问诊场景下的个人健康信息采取敏感信息的强保护模式。

　　在信息收集阶段，医疗机构需要从可穿戴设备平台获取个人健康信息，这涉及一方处理者向第三方处理者的信息共享，但用户往往难以预见信息共享的不利后果，这就要求可穿戴设备服务商在信息共享安全评估的基础上充分履行告知义务，除了告知基本处理事项，还要告知信息共享的风险，以及共享的信息范围，应包括：用户为特定诊疗目的主动上传的个人健康信息，例如检查单、CT、核磁共振图片；可穿戴设备库存的个人健康信息，为实现诊疗目的必需共享的个人健康信息包括性别和年龄。需要注意的是，在信息共享前，基于用户的合理信赖，可穿戴设备服务商应当严格审核特定医疗主体的资质，不满足线上问诊条件的不得参与线上问诊服务。在信息使用阶段，医疗机构需要变更原初的处理目的、处理方式的，例如将信息用于教学观摩，应当重新取得患者的单独同意。在信息存储阶段，与医疗机构相比，可穿戴设备服务商的风险制造能力和风险控制能力更强，基于风险与责任的相称性，可穿戴设备服务商应当承担安全保障义务，对线上问诊场景下的个人健康信息采取严格的保护措施。在信息删除阶段，对于通过共享形成的原初信息，若问诊目的已实现，信息处理者应当及时删除，患者亦享有删除请求权。对于在问诊过程中形成的诊疗记录，鉴于其具有为其他医患提供诊疗指引、解决医疗资源分配不均的公益属性，信息处理者在对诊疗记录进行安全评估并经过匿名化处理的基础上，可以长期储存并在平台中公开，前提是在线上问诊开始前向用户明确告知这一事项。

　　（二）同意原则在公共健康领域的具体构建

　　第一，公共健康领域个人健康信息的初次利用。在公共健康领域，典型的个人健康信息初次利用场景是，以医学研究为目的处理个人健康信息，信息处理者是可穿戴设备服务商和第三方医疗机构、专业科研机构。在医学研究场景下，通过可穿戴设备直接从人身体上收集个人健康信息，属于以人为研究对象的人体试验，因而处理个人健康信息应当符合经典的特别同意理论，对所有类型的个人健康信息采取强保护模式。

　　在信息收集阶段，需要保证用户不受未被告知的医疗行为的侵害。信息处理者的告知内容至少要包括《个人信息保护法》规定的处理敏感信息的告知内容，以及《涉及人的生物医学研究伦理审查办法》第36条规定的关于研究项目的告知内容，并取得用户的书面同意。人体试验开展前，该知情同意书要通过伦理委员会的审查。在信息使用阶段，信息处理者只得在用户授权的特定目的的最小必要范围内处理个人健康信息，根据《个人信息保护法》第14条和《涉及人的生物医学研究伦理审查办法》第38条，当信息处理的特定目的、方式、种类以及研究方案、范围、内容发生变化时，应当重新取得书面同意。在信息提供与删除阶段，首先，用户享有查阅复制信息处理事项的权利，包括获取知情同意书、了解处理者基本信息及资质、信息是否处理及其处理事项、是否采取符合法律标准的安全保护措施。其次，用户享有可携带权对于用户可以在多大范围内请求转移个人健康信息。根据贡献度理论原初的个人识别信息、生理信息以及用户有意生成的、研究者未增加任何价值的观察信息，属于可携带的个人健康信息范围。而研究者增加了价值的观察信息以及研究评价，不属于可携带的个人健康信息范围。最后，用户享有随时退出医学研究项目的权利，信息处理者收到撤回同意的请求后应当及时终止对个人健康信息的处理，并将结果及时反馈给信息主体。用户撤回同意不影响基于同意已进行的个人健康信息处理活动的效力。在研究目的实现之后，信息处理者应当主动删除个人健康信息。

　　第二，公共健康领域个人健康信息的二次利用。在公共健康领域，典型的个人健康信息二次利用场景是，以公共卫生监测为目的处理个人健康信息。信息处理者是县级以上各级卫生行政主管部门依法指定的机构，即监测机构。公共卫生监测场景中监测部门收集的个人健康信息来自可穿戴设备数据库，库存的个人健康信息脱离了直接从个人身体上实时获取的敏感性，权益侵害风险有所下降。不过，在未对个人健康信息匿名处理的情况下，监测机构为公共卫生监测目的收集的个人健康信息只是监测机构掌握的个人信息的一部分，如果对所有信息加以整合，可以提供个人私人生活的详细面向。因此，处理未匿名的个人健康信息不能以公共利益为由排除同意原则。如果以与人格尊严具有紧密联系的艾滋病、糖尿病、出生缺陷等疾病监测为目的收集个人健康信息，权益侵害风险较高，应当对个人健康信息采取敏感信息的强保护模式。如果以与人格尊严不存在紧密联系的疾病监测或其他卫生事件监测为目的处理个人健康信息，权益侵害风险较低，则对除敏感信息以外的个人健康信息采取一般信息的弱保护模式。

　　在信息收集阶段，为取得用户同意，信息处理者应当向用户全面告知信息处理事项，尤其是处理方式的告知，由于监测部门对个人健康信息的处理涉及公共卫生决策，且监测机构作为公共部门不存在算法的商业机密，因此应当向用户详细告知公共卫生决策的算法规则，防止算法歧视。在信息使用阶段，监测部门对个人健康信息的后续使用在收集阶段具有一定程度的不可知性，出于公共利益的考虑和节约告知成本，对于一般信息，在取得用户的概括同意之后，后续处理事项符合一般理性人的合理期待即可。对于敏感信息，信息处理事项发生变更仍然需要重新取得用户的同意。在信息提供与删除阶段，用户的信息自决不因进入公共卫生领域而丧失，一方面，要保障用户的查询、复制权和可携带权。另一方面，在完成公共卫生监测目的之后，用户有权依照相关规定要求监测机构删除其个人健康信息，对于信息的再次利用，应当重新获得用户授权。

四、可穿戴设备中个人健康信息的强制处理：同意的例外

　　在可穿戴设备场景中，原则上非经用户同意不得处理个人健康信息。但是，用户同意并非没有边界。在私人健康领域，同意的例外情形是在紧急情况下为保护自然人的生命健康所必需。在公共健康领域，同意的例外情形是为应对突发公共卫生事件的二次利用。

　　（一）私人健康领域个人健康信息的强制处理

　　预警、应对突发疾病是可穿戴设备的重要价值之一。在用户生命健康受到严重威胁而无法取得用户对信息处理的同意时，局限于用户同意会对个人生命健康带来重大损害。由于涉及到个体的生命权、健康权等最高位阶的权益，可穿戴设备强制处理个人健康信息的合法事由仅有一种情形，即《个人信息保护法》第13条第4项的规定，“紧急情况下为保护自然人的生命健康所必需”。由于旨在维护紧急状态下的用户更为优越的生命健康利益，因而看似具有紧急避险的意蕴。有观点认为，该条规范类似于《民法典》第184条的紧急救助行为这类特殊的紧急避险。但是，上述保全的生命健康权益和侵害的信息权益，均是用户的权益，在不违反公序良俗及公共利益的前提下，任何人都有权决定自己的事务乃至生命，因而不能无视本人的意思，承认“客观上的优越的利益”。从这个意义上说，单单以紧急避险解释该规范，显然没有关照到用户的自我决定权。为此，只有当保护的“客观上优越的利益”与推定的用户真实意思相一致时，才能阻却不法。笔者认为，《个人信息保护法》第13条第4项接近于适法的无因管理，为避免用户权益损害而实施的个人健康信息处理行为，因其保护用户利益的必要性和推定符合用户的真实意思而构成无因管理，从而使可穿戴设备的信息处理行为排除不法。对于何种情况下可以不经用户同意处理个人健康信息，根据第13条第4项的规范内容，结合无因管理的要件，应当符合下列条件。

　　第一，具有重大危险性。要求用户的生命、身体、健康遭受重大危险。第二，信息处理的紧迫性。存在上述紧急情况的前提下，还应当有个人健康信息处理的紧迫性。如果即使存在上述重大危险性，个人健康信息处理自身不存在紧迫性，或者即使立刻采取措施，也无法避免用户损害的发生，仍不具有紧迫性。第三，符合最小化原则。我国法律虽然没有对“所必需”作出解释，但从比较法来看，GDPR对“所必需”作出了清晰界定，即最小化原则。我国法律借鉴了这一规定，《民法典》第1035条和《个人信息保护法》第5条均规定处理个人信息应当遵循必要原则，《个人信息保护法》第6条指出处理个人信息应当符合最小化原则。对于最小必要的判定通常采用比例原则。一是适当性，个人健康信息处理要与生命健康权益直接相关，可以避免生命健康权益损害的发生。二是必要性，不存在对个人健康信息处理以外的、对用户影响更小的生命健康权益的保护方式。三是相称性，维护生命健康权益的收益与对个人健康信息的干预相平衡。第四，不违反他人可推定的意思。在紧急情况下，用户没有作出明确意思的，需要结合用户在隐私协议中的相关表示来推定真实意思，若有充分依据断定用户会拒绝对某种信息权益的侵害，就不能肯定信息处理行为的正当性。通过隐私协议仍然无法推定用户真实意思的，可以根据处于该状态下的理性人的意志推定用户的真实意思。推定的意思要受到公序良俗的限制，例如，违反推定的意思从而救治自杀者的信息处理行为构成适法的无因管理。

　　（二）公共健康领域个人健康信息的强制处理

　　尊重自主是现代卫生法的基本原则，然而，在公共卫生领域，当该人的健康状况对他人构成威胁时，在某些情况下，强制干预是合法的，且对他人的风险越大，违背主体意愿的行为就越容易被接受。根据《个人信息保护法》第13条第4项的规定，在公共卫生领域仅有一种情况可以强制收集个人健康信息，即“为应对突发公共卫生事件”。国家机关被赋予隔离、报告、检疫等警察权，与可穿戴设备有关的警察权包括公共卫生监测和公共卫生研究。问题是，可穿戴设备是对个人身体的直接监视，无异于电子镣铐。在应对突发公共卫生事件时，为防止对公共健康的保护演变为对个人极端形式的身体控制和监督，有必要对可穿戴设备中的个人健康信息在公共卫生监测和公共卫生研究中的强制应用展开讨论。

　　对于可穿戴设备尚未收集的个人健康信息，公权力机关不得通过可穿戴设备强制收集，更不得为获取个人健康信息强制个人佩戴可穿戴设备。理由如下。

　　第一，对于公共卫生监测，电子监控不符合法律保留，是对“人是目的”公式的否定。传统的公共卫生监测是依赖卫生行政主管部门、医疗卫生机构和有关单位的病例通报间接获取个人健康信息。而通过可穿戴设备直接收集个人健康信息，已经超越了公共卫生监测的职能，上升为对个人身体和生活的实时全面的电子监控。由于电子监控涉及人的基本权利，在我国适用法律保留。就目前的法律规定而言，电子监控主要针对社区矫正对象或者出于反恐、反腐的需要。在突发公共卫生事件应对的相关法律中，并未授权电子监控。法律虽然允许权力机关出于迫切的公益目的限制个人健康信息权益，但电子监控严重违反了法律保留、比例原则以及核心权利的保障，是对个人健康信息权益的彻底排除。事实上，法律保留、比例原则以及核心权利的保障都指向一个问题，即“任何对基本权的限制都不能侵犯其人性尊严内涵”。“如果基本权享有主体被视为国家行为的客体（手段），而致使基本权的限制已使此项基本权对于享有主体已毫无作用时，基本权的本质核心就已经受到侵害”。通过可穿戴设备强制收集个人健康信息正是违反了“人是目的”这一公式。

　　第二，对于公共卫生研究，个人不负有参与医学研究的道德义务。根据乔纳斯对道德义务的论证，个人参与医学研究是完全可以选择的，参与医学研究不是一种道德义务。这一立场深刻影响了当代研究伦理，体现在当前的研究伦理法规、指南、宣言和官方声明中。然而，也有学者认为，“个人实际上有道德义务参与生物医学研究”，指出道德最基本的原则是像对待自己一样对待他人，依靠他人承担参与研究的风险而分享研究利益的行为忽视了道德平等。医学研究福利以个体参与为前提，通过建立普遍参与，每个贡献公平份额的人的合作使所有人都有获得这些重要利益的机会。上述观点不无道理，但是，对参与研究的道德义务持怀疑态度仍是一种可以辩护的道德立场。正如斯图尔特·伦尼指出，参与研究的好处主要归于“研究人员、研究机构、公共和私人研究资助机构以及制药公司”，参与研究的个体是否可以从研究中获得最大利益存疑。另外，即使承认个人有参与研究的道德义务，个人也应该拥有决定是否参与研究的最终权利。事实上，主张个人负有参与研究的道德义务并不意味着反对个人的同意权，在道德义务语境下，研究人员敦促受试者参与研究具有合理性，同时受试者作为道德主体仍然可以作出符合自己利益的决定。因此，个人对于是否参与医学研究仍然保有自主权，国家机关不得以医学研究为由强制个人佩戴可穿戴设备以收集个人健康信息。

　　为应对突发公共卫生事件，国家机关对可穿戴设备中的个人健康信息的强制处理，应当限于二次利用。也就是说，对于可穿戴设备已经收集的个人健康信息，国家机关可以在满足条件的情况下，以公共卫生监测或公共卫生研究为目的进行二次利用。因为个人健康信息的二次利用，并不意味着对本人的实时监控，也不等同于本人作为受试者直接参与医学研究，对个人健康信息的处理风险，仅指向侵害信息利益本身可能带来的隐私泄露、名誉受损、歧视等风险。为保护他人免受伤害，考虑到最大多数人的最大利益，允许对可穿戴设备已收集的个人健康信息进行强制二次利用。根据英国纳菲尔德生物伦理委员会提出的“干预阶梯”理论，以及信息利益与公共利益之间的平衡要素，强制二次利用应当符合以下条件：一是公众健康受到严重威胁，要求突然发生，造成或者可能造成社会公众健康严重损害。二是信息处理安全有效，要求保障措施的充分性，尽可能达到匿名处理。同时，个人健康信息处理可以有效辅助公共卫生监测和公共卫生研究。三是与其他替代方案相比，信息处理具有更高的成本效益，要求个人健康信息处理的预期效用与相关备选方案的预期效用相比，可以实现有限医疗资源的收益最大化。四是强制程度是合比例的。要求信息处理与公共卫生监测和公共卫生研究的目的直接相关，只处理满足特定目的所需的最少个人健康信息类型和数量。同时要考虑未经授权的批露所致危害的可能性，及对信息当事人之间的关系的伤害。

END

作者：满洪杰（1974-），男，山东济南人，法学博士，山东大学法学院教授、博士研究生导师，主要研究方向：民商法学、卫生法学；郭露露（1994-），女，山东淄博人，山东大学法学院博士研究生，主要研究方向：民商法学、卫生法学。

来源：《法学论坛》2023年第2期“法治前沿”栏目

《法学论坛》2023年第2期目录与内容摘要

陈瑞华：合规关联性理论——对企业责任人员合规从宽处理的正当性问题

郭华：刑事合规的立法争议及范式选择

褚福民：法院参与企业合规改革的基本路径

李伟：涉案企业合规第三方监管的中国方案

左卫民：迈向新型的检察官司法？反思公诉权变迁

曹相见：农村集体经济组织特别法人的特别效果

吴训祥：论无因管理受益人追认之效力——以《民法典》第984条的解释论为中心

朱金阳：负有照护职责人员性侵罪规范保护目的辨析