解码生命 守护健康

        不可否认，精准医疗将有利于治疗方案与预防措施的个性化，提升成功概率。但另一方面，对个人信息的依赖也使得其饱受争议和挑战。在整个体系中，数据需要经过多个专业领域人员的共同努力才能转化为临床应用，而在这一个流转过程中，如何确保数据使用的规范性、保密性和安全性是体系得以正常运转的必须条件。[6]而在医疗实践中，保护患者的基因信息安全存在诸多障碍。

（一） 基因信息的特殊性

        基因信息具有很强的价值性，能够广泛应用于疾病诊断与预防、药物研发等领域。基因信息（genetic information）又称遗传信息，是指在基因序列中包含的能够遗传的信息，[7]其在精准医学的发展中发挥至关重要的作用，医疗机构、科研中心等单位能够通过采取的基因信息样本，进行科学研究，研制相对应的治疗与预防方案。从目前精准医学带来的变革看，今后测序技术将大量应用，海量的生物信息需要分析。[8]基因信息属于个人信息的一种，带有极强的私人性特征，每个人都有特定的基因信息，通过基因信息就可以定位到具体的个体。基因信息也具有群体性，可能携带整个家族或者种族的特征。基因信息还具有易取性，[9]在医疗过程中，患者可能在不知情的情况下，就被医疗机构或相关人员提取其相关信息。基因信息作为抽象物品，其边界不像物质客体一样明确清晰，也难以通过物质占有的方式进行排他性保护。为了防止信息泄露，医疗机构还需要采取十分先进的技术保护措施，如数据库技术保护措施、数据库的存储设备等。

        基因信息极强的私人属性要求在医疗过程中，应当重视对基因信息的伦理保护，实现“尊重人”的伦理学基本原则。一旦基因信息被泄露，可能会引起基因歧视等伦理问题，“基因歧视引起的社会问题会像种族、妇女权利等各类社会问题一样严峻。”[10]因此，在实践中，发展精准医疗的机构除了进行医疗技术的研究和开发之外，还应当重视对基因信息的伦理和法律保护，[11]将精准医疗的负面效应控制在最低范围，防止对基因信息所有人的伦理挑战和权利损害。

（二） 立法保护的缺乏

        由于精准医疗需要采用更精准、个性化，结合现代化的手段，包括基因检测等，结合患者的生活环境和临床数据，制定具有个性化的疾病和预防和诊断措施，因此不可避免地，需要对患者信息进行收集、处理和分析，由此可能会引发患者信息泄露、被不合理利用等法律和伦理风险。目前我国并没有针对基因信息进行专门的立法保护，相关的法律法规十分零散，主要分布在民法领域，包括合同与侵权两大途径。《中华人民共和国民法通则》101条规定：“公民享有名誉权，公民的人格尊严受到法律保护，禁止用侮辱、诽谤等方式损害公民的名誉。”在《民通意见》中曾把上述条文扩充解释为包括对个人隐私的保护。《中华人民共和国侵权责任法》第2条规定：“侵害民事权益，应当依照本法承担侵权责任。本法所称民事权益，包括······隐私权······等权益”；第62条规定：“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。”除了采用侵权责任法的保护方式，我国还通过合同法规制医患双方的权利义务关系。我国《合同法》提出公平、诚实信用、遵纪守法等原则要求，规定“依法成立的合同，对当事人具有法律约束力。当事人应当按照约定履行自己的义务，不得擅自变更或者解除合同。依法成立的合同，受法律保护”，医疗机构、从医人员与患者之间签署的就诊合同中，如有包含信息保护的内容，应当依法履行。

        我国保护具体的个人医疗健康信息的法律条文散见于《执业医师法》、《传染病防治法》中。《执业医师法》第37条对于“泄露患者隐私，造成严重后果的”行为进行规制。《传染病防治法》第12条规定：“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”这些立法都是原则性的规定，仅笼统提出公民的个人隐私受法律保护，没有进一步的细化条款，缺乏层次性、连贯性及统一性，[12]司法适用缺少细化指导和统一标准。而相关的行政法规十分零散，《医务人员医德规范及实施办法》第3条（五）项、《护士管理办法》第24条、《艾滋病防治条例》第39条第2款、《艾滋病检测管理的若干规定》第2l条和《性病防治管理办法》第36条第2款等都作出了医疗卫生机构不得泄露性病患者涉及个人隐私的有关信息、资料的规定。因此，我国关于个人医疗健康信息的法律法规方面，体系上十分零散，缺乏统一的保护体系，各个法律法规之间存在交叉、混乱等问题，适用起来十分不便；在具体的规定内容上，过于原则化和笼统化，缺乏可直接适用性和可操作性，不利于患者和受试者切实维护自身利益，行政机关和司法部门作出高效、准确的裁决和审判。

        未解决患者隐私权问题，美国试图建立一个广泛适用的基因信息保护方面的原则框架，为实践中进准医疗的具体实施提供指导。[13]美国的既有法律框架下，虽然有关于患者隐私的相关规定，如GINA、HIPAA等，但有学者指出，其并不适用于精准医疗领域。[14]为专门保障精准医疗领域的信息安全，美国白宫在2015年3月召集了跨部门工作小组（包括白宫科技政策办公室、卫生部、公民权利服务办公室、美国国立卫生研究院等），制定精准医疗中的隐私与信任原则。2015年11月，白宫发布《精准医疗隐私与信赖最终原则》，主要包含以下几个方面：（1）管理应具有包容性、协作性和适应性（Governance）；（2）保障向患者与公众的信息透明度（Transparency）；（3）尊重参与者偏好（Respecting Participant Preferences）；（4）数据共享、访问和使用（Data Sharing, Access, and Use）；（5）数据质量和完整性（Data Quality and Integrity）。[15]这些原则体现出对公共信任的重视，并体现精准医疗的社会收益最大化的核心价值与相关策略。

        作为补充，2016年，美国白宫发布了《PMI安全原则框架》，[16]以确保精准医疗数据的保密性和完整性。

        安全框架指出，精准医疗的数据范围包括但不限于：基因组及其他生物样本数据等，但仅包含与人身信息有关的数据安全，而不包含对人身安全的相关内容。受该框架约束的PMI机构包括公共机构、服务提供者或者其他收集、使用、分析或分享PMI数据等机构。PMI机构应采用去识别化措施来保护患者隐私，去识别化是指通过在数据包中去除可识别性信息（如姓名、出生日期、地址、身份证等），使得这些信息不能直接或间接地于具体的个人联系起来。去识别化是一项重要的技术控制措施，PMI机构可以进行合理使用，来帮助保护参与者的隐私。但是，去识别化流程难以保障个人永远不会被再识别出来。因此，PMI机构不应仅仅依赖去识别化措施作为安全控制或者隐私保护的手段。该框架还指出，不具有可识别性的、非个人层面的信息的合理公开发布不应受到本原则或框架的阻碍。在数据收集、存储、分析、维护、使用、披露、交换和宣传过程中，PMI机构应当遵守既有的关于PMI数据隐私、安全及保护的法律法规。数据安全性要求PMI机构提供一套可持续的、实时更新的程序，确保数据的秘密性、完整性和可获取性。[17]

        数据安全政策原则要求PMI机构在促进安全、医疗及科技的快速发展的同时，应努力构建参与者信任的系统，寻求保护数据完整性的措施，以使得参与者、研究人员和医生及其他医疗保健提供者能够依赖于这些数据。在推动精准医疗时，应当明确关键的风险所在，设计出解决这些风险的评估与管理计划，同时还要确保科学与研究的进步。PMI机构使用安全与管控措施来保护数据，但不得以此为理由拒绝向参与者提供其个人数据，或作为限制对该数据进行合理的研究性使用的借口。政策中还倡导PMI机构之间应互相分享经验与挑战，互相学习借鉴。美国政府在识别、保护、检测、回应、恢复原状等方面，具体提出了希望通过PMI数据安全政策框架达成的原则性目标。

        美国的相关制度构想为我国提供了一定的借鉴，为尽可能全面的研究精准医疗涉及的相关法律问题，首先需要明确其指导原则，再细化安排具有必要性、合理性和可操作性的法律法规及相关政策。

        首先是知情同意原则，这一原则贯穿PMI对基因信息的收集、保管、利用等过程的始终。对基因信息的获取和收集是精准医疗的基础环节，个人基因信息具有很高的医学研究价值。基因信息属于信息携带者个人所有，带有鲜明的个体性，每个人的遗传信息都是独特的，是其身份的重要特征之一。在收集个人信息的过程中，首先需要考虑对信息携带者的知情同意权，应当在信息携带者对收集的具体内容、目的、用途、使用方式等方面充分了解并自愿提供的基础上，相关机构及其工作人员才能收集。在充分了解相关情况后，信息携带者拥有同意提供或者拒绝提供的选择权或自决权，相关机构及工作人员不得未经同意不合理使用其个人基因信息。

        其次是合理注意原则。法律法规及相关政策中应当明确数据库的所有权归属，保护数据库管理者或保存者的合法利益。同时，在保存过程中采取的技术措施、设计方案，也应当获得知识产权的保护。保存者应当尽到合理的注意义务，遵守对基因信息所有者的承诺，采取保密措施，防止基因信息的丢失、泄露。使用者或开发者应当遵守对于基因信息提供者的承诺，承担合同义务，按照向信息所有人告知的使用内容、使用方式、使用目的去利用或者开发基因信息，不应超出已有的承诺范围。使用者或开发者应当承担信息公开义务，告知信息所有者利用的具体情况，即使回馈相关信息，保障个人信息知情权的充分实现。使用者或开发者应当承担保密义务，防止个人基因信息的不当泄露、丢失，保护个人隐私安全。

        再者，PMI机构还应遵循诚实信用原则，一切权利的行使与义务的履行均应遵守这一原则。一方面，PMI机构应当真实有效地遵守与基因信息提供者之间订立的相关合同，在合同中，应当阐明提取基因信息的方式、目的、用途、去向、保存方式、风险、处理方式等内容。另一方面，PMI机构应当保证透明度，履行及时告知义务，不得向提供者隐瞒相关信息。

        最后，利益平衡原则也是保护基因隐私过程中的重要方面。第一，使用者或开发者在进行商业化利用后，如利用基因信息研制出新型药物并投放市场，需要考虑所有人是否享有收益分享权，是否应当与基因信息的所有者、提供者、保存者进行收益分享（事前约定或者事后分配等方式），维护相关利益群体的经济利益。第二，由于基因信息不仅具有个体性，还包含着个种族或家族甚至民族的遗传特征，因此，在收集个人遗传信息时，除考虑对信息携带者个人权利的尊重，还应考虑其基因信息利益相关方的整体利益。由于信息具有共通性，共享相同基因信息的其他人亦应当享有知情同意权，且其合法权益不应受此医疗过程的威胁或损害。第三，当患者的个人隐私与社会的公共利益产生冲突时（如为治疗大规模爆发的疾病而泄露个人隐私），只有当社会利益受到严重挑战时，才应放弃对患者个人权利的保护，在价值选择的判断上需要审慎为之。

        精准医疗在促进个体化医疗进步的同时，也带来诸多挑战，基因隐私保护的问题不可避免。作为精准医疗领域的先驱者，美国已经勾勒出基因信息保护的基本蓝图，尚需细化制度安排。在我国现有的立法框架与行业准则下，患者的隐私安全尚且缺乏系统规范，基因信息保护的体系完善更是一项艰巨的任务，除明确知情同意、合理注意、诚实信用、利益平衡等指导性原则外，还需要细化规则设计，为医疗机构提供具体的行业规范，切实保障精准医疗中的基因信息安全。

注：

[1] The precision medicine initiative, available at https://obamawhitehouse.archives.gov/precision-medicine, last visited July 4, 2017.

[2] Robert Gellman, Pam Dixon, The precision medicine initiative and privacy: will any legal protections apply？from World Privacy Forum, May 18, 2016.

[3] What is precision medicine? available at https://ghr.nlm.nih.gov/primer/precisionmedicine/definition, last visited March 15, 2017.

[4] 韦余达, 李爽, 刘改改, 张永贤.丁秋蓉. 基因组编辑技术在干细胞疾病模型建立和精准医疗中的应用[J].遗传. 2015(10): 984.

[5] 巩鹏, 对中美精准医学差异及我国精准医学发展的思考[J].医学与哲学. 2016(8a): 27.

[6] 焦怡琳, 王吉春, 张群, 何广学. 中国在精准医学领域面临的机遇与挑战[J].中国公共卫生管理. 2015(10): 31.

[7] 刘银良. 生物技术法[M]. 清华大学出版社, 北京交通大学出版社. 2009(9): 195.

[8] 武爱文, 季加孚. 实施精准医学的机遇与挑战[J]. 中华临床实验室管理电子杂志. 2015, 3(3): 129-131.

[9] 张小罗. 基因权利法律保障研究[M]. 知识产权出版社. 2013(12): 74.

[10] 杰里米·里夫金. 生物技术世纪:用基因重塑世纪[M]. 上海科技教育出版社. 2000: 163.

[11] 祝丹娜, 宫福清. 中国医学伦理学[M]. 2016: 424-427.

[12] 杨强. 隐私权现状分析及法律保护问题探究[J]. 青年与社会 ；孙瑞灼, 卫生立法刻不容缓[J]. 中国社会保障 ；王海燕, 医院管理中患者隐私权的保护对策研究[J]. 中国卫生事业管理, 转引自秦宇辰, 吴骋, 张新佶, 郭轶斌, 贺佳. 国内外患者隐私保护立法情况对比及国外基本立法保护原则探析[J]. 中国卫生事业管理. 2016, 33(1): 48-50.

[13] Secretary Sylvia Mathews Burwell, Lisa O. Monica, Precision Medicine Initiative and Data Security，May 25, 2016, available at https://www.fpc.gov/health-insurance-portability-and-accountability-act-of-1996-hipaa-breach-notification-rule/, last visited March 15, 2017.

[14] Robert Gellman, Pam Dixon, The precision medicine initiative and privacy: will any legal protections apply？from World Privacy Forum, May 18, 2016.

[15] Final PMI Privacy and Trust Principles，November 9, 2015，available at https://obamawhitehouse.archives.gov/sites/default/files/microsites/finalpmiprivacyandtrustprinciples.pdf，last visited on March 15, 2017.

[16] Precision Medicine Initiative: Data Security Policy Principles and Framework, May 25, 2016, available at

https://obamawhitehouse.archives.gov/sites/obamawhitehouse.archives.gov/files/documents/PMI_Security_Principles_Framework_v2.pdf, last visited on March 15, 2017.

[17] Precision Medicine Initiative: Data Security Policy Principles and Framework, May 25, 2016, available at

https://obamawhitehouse.archives.gov/sites/obamawhitehouse.archives.gov/files/documents/PMI_Security_Principles_Framework_v2.pdf, last visited on March 15, 2017.