48卷第1期  
BET体育365投注官网学报(社会科学版)  
JournalofSichuanNormalUniversity  
(SocialSciencesEdition)  
2
0211月  
Vol48ꢀNo1  
Januaryꢀ2021  
大数据时代个人医疗信息  
利用的入罪界限  
———刑法第二百五十三条之一的再思考  
储陈城胡子昕  
摘要:个人信息的保护和大数据的利用是一对冲突性命题医疗领域大数据的有效利用能够带来巨大的社会  
效果,因此,各国立法呈现出从对医疗信息的传统保护到对医疗大数据有效利用的转变在我国,对医疗大数据进  
行有效利用实现医疗方式的革新亦是大势所趋划定侵犯公民个人信息罪的解释限度,厘清本罪的治理边界,能  
够在保护个人信息的前提下,为相关主体在医疗大数据有效利用的流程中免除刑事责任风险。  
关键词:医疗大数据;个人信息;去识别化;侵犯公民个人信息罪  
DOI1013734ꢂjcnki1000-5315202101010  
收稿日期:2020-02-11  
基金项目:本文为2019年司法部国家法治与法学理论研究项目课题自动驾驶技术刑法规制问题研究”  
(
19SFB3020)、2018年度安徽省社科基金青年项目“‘网络强国战略下互联网法治化治理问题研究”  
AHSKQ2018D05)、2020年中共安徽省政法委安徽法治研究院课题涉疫犯罪行为的司法认定研究”  
ZFW202006)的阶段性研究成果。  
(
(
作者简介:储陈城,,安徽宣城人,法学博士,安徽大学法学院副教授硕士生导师,安徽大学陈盛清法律图书馆馆  
,证据法律科学大数据研究中心副主任,E-mailꢃchuseulaw@163com;  
胡子昕,,安徽合肥人,法律硕士,天津市东丽区人民检察院干部。  
医疗领域的大数据利用,既关系国民生命健康品质的实质提升,也存在侵害个人信息的风险有学者认  
对个人信息保护对个人信息利用之间的矛盾是我国个人信息保护立法的三大矛盾之一纵观诸  
国医疗信息的立法演变,呈现出从对医疗信息的严格刑法保护到促进医疗信息有效利用的倾向以日本为  
代表,近期相关立法在设计上为医疗大数据的有效利用提供了宽松的制度环境,排除了刑法介入的空间在  
我国也日渐重视医疗大数据社会价值的背景下,侵犯公民个人信息罪作为刑法上医疗大数据有效利用的制  
度隐患,在具体构成要件要素上,需要做更为实质的解释,以厘清其治理边界,为我国医疗大数据的有效利用  
扫清障碍。  
医疗信息的特殊性  
医疗信息一般是指公民在医疗保健过程中产生的由医疗机构制作和获取的公民个人信息一般表现  
为公民个人的身体数据既往病史检验或鉴定报告等形式医疗信息是由公民的身体或行为所产生的信  
,当然属于公民个人信息的范畴但医疗信息由于其内容的特定性,又具有区别于其他一般个人信息的特  
殊性,具体体现在以下三个方面。  
()极度的敏感性  
张新宝我国个人信息保护法立法主要矛盾研讨》,《吉林大学社会科学学报2018年第5,45。  
82  
储陈城胡子昕大数据时代个人医疗信息利用的入罪界限———刑法第二百五十三条之一的再思考  
由于医疗信息的内容往往是患者个人的身体数据过往病史等,而患者的个人身体数据如DNA信息、  
血型状况骨骼状况乃至三围数据往往是与患者个人紧密联系的,是个人控制力度最强的生理信息,具有高  
度的私密性在日常生活情景下,一般人都会认为个人的身体数据是高度敏感的信息,不愿意对公众公开。  
而对于既往病史类的医疗信息,由于其涉及到了患者本人的病史病种病情等,一般也认为其具有高度的私  
密性与敏感性尤其是对于某些可能会引发社会歧视的传染病症的医疗信息,更是具有极端的敏感性,一旦  
泄露将会给患者带来精神上的痛苦乃至实质上的损失这都与一般性个人信息如电话号码身份识别号码  
等不同。  
()高度的价值性  
医疗以医学研究的持续积累为基础而不断进步而医疗的持续进步离不开对医疗信息的活用。”医  
学尤其是临床医学和药学作为应用型科学,其每一项医学研究和医疗技术的发展都需要大量的实验与数据  
为基础,通过对海量的病患信息进行分类归纳和类比可极大地推进医学进步,运用大数据进行研究的医学论  
2012而医学的发展最终指向的是社会医疗福祉和全体人类健  
康水平的提高从这个角度上来看,医疗信息又具备其他信息所不具有的对全人类整体性的巨大价值。  
()规制方法的特殊性  
鉴于医疗信息所具有的敏感性和价值性,在大数据时代,用与其他个人信息相同的规制方法对其进行规  
,既容易造成医疗信息利用时因技术标准不当而导致医疗信息的泄露而造成巨大的损害,也更容易倾向于  
因过度的保护而抑制医疗大数据巨大价值的利用因此,对于医疗信息需要特殊的规制手段和利用标准。  
世界各国往往都出台了专门规定医疗信息利用的法律法规和技术标准,如日本就出台了针对医疗护理行业  
者的个人信息收集适当处理指南》。  
传统的立场:个人医疗信息的严格保护  
()个人医疗信息的保护:从道德义务到刑法法益  
医术也被称之为沉默的艺术,和患者有关的秘密要保持沉默,这是自古代以来就为医生所必须注意的事  
有学者考证,医生的保密义务起源大约可以追溯到2800年前的古代在希波克拉底誓言当中,就有如  
下的记述:凡我所见所闻,无论有无业务关系,我认为应守秘密者,我愿保守秘密这一时期,对医生的保密  
要求还不是法律上的义务,只是医生职业道德上的内在要求此时医生对于患者信息的保护,还属于伦理或  
道德上的义务。  
此后,作为医生职业伦理的沉默义务,于各国经诸多法律规范确立为法律义务,位于各个法律的根源的  
共同的基础,这种道德义务在法律解释上的意义一直在持续时间进入近代,医生地位之重要性逐渐增加,  
且出于对国民健康的维护,各国逐步制定法律规范附加给医生相关义务其中,医生的保密义务开始带有法  
律拘束力,比如1725年普鲁士医疗命令当中规定,与健康相关的制度要想发挥足够的功能,必须要保证国  
家的机能,因此,其后制定了诸多医疗规则,其中就包含了对医生保密义务的规定1794普鲁士一般法》  
首次以法律的形式来对医生保密义务进行规制,并通过刑罚来惩治医生泄露医疗信息的行为这一规定,  
经过1851年的普鲁士刑法第一百五十五条、《北德意志刑法第二百九十六条1871莱比锡刑法第三  
百条的规定,1975年被德国刑法典继承至今现行德国刑法第二百零三条规定的私人秘密侵害罪,  
其所保护的是针对保持秘密的个人法益,是在宪法上也受到保障的一般人格权的一部分,信息自我决  
甲斐克则医疗信息保护与利用的刑事法问题———以精神鉴定医泄露秘密案最高裁决定为契机》,刘建利译,《法学论坛2014年第5,第  
3
0。  
中山健夫監修,21世紀医療フォラム医療ビッグデタがもたらす社会変革ꢁ,日経BP2014年版,1。  
医生外科医师与助产人员就自己所知道的疾病和非犯罪相关的家族秘密,不得向任何人泄漏违反者,根据情节将给予5ꢄ10泰勒(15ꢄ  
1
9世纪德国银币)的罚金这一规定,并不是因泄漏秘密导致患者人格权侵害而设置刑罚,而是针对医生违反应该履行的义务所给予的刑  
罚处罚。  
医生牙医兽医药剂师或者其他为执行业务行为或使用职务称谓而需要国家所规定教育之医疗职业成员,无故泄露因自己身份而知晓的  
他人秘密,特别是私人生活领域的秘密或经营业务秘密的”,构成私人秘密侵害罪。  
83  
BET体育365投注官网学报(社会科学版)  
定权另外,对特定职业行政机关等主体的保密行为的一般信赖这一公共利益,也被认为是需要保  
护的法益德国相关观点认为,医生刑法上的保密义务,除了追求个人利益之外,也一并保护社会的或者集  
体的法益。  
而在日本,对于患者个人信息的保护也非常严格从立法的经纬来看,不管是明治13年制定的旧刑  
第三百六十条,还是明治40年通过的现行刑法第一百三十四条,都将医生泄露患者信息归类为侵害  
社会法益的犯罪,重点关注医生的守密义务”,将行为主体限定为在从事业务中知悉他人秘密的人这与  
明治7年开始的医师制度以及其后制定的一系列规则的内容和精神相一致这一内容也毫无例外地被昭和  
23医师法牙科医师法所继受,并影响到现行刑法第一百三十四条第一项。  
2006年发生的奈良县医生泄露放火杀人案少年犯精神病信息一案中,作为鉴定医生的被告人,受法  
院委托,就涉嫌放火杀人案的嫌疑人———少年A的精神状态进行鉴定,并将所获知的A的心理状态心理  
,最高裁判所对泄露患者秘密的医生作出了  
维持有罪判决的决定:“医生基于知识和经验,被法院委托,进行包括诊断在内的医学判断为内容的鉴定活动  
的时候,属于医生实施业务行为,在该业务行为过程中所知悉患者的秘密,没有正当理由予以泄露,符合刑法  
第一百三十四条第一款的泄露秘密罪。”并补充指出:《  
医师法第十七条所言的医疗行为当中,实施针对  
患者的诊察治疗业务中,医生和患者之间具有信赖关系,即使是和意识不明的患者之间,也可以通过合理的  
意思推测,来认定信赖关系的存在基于这种信赖关系,患者才将病情身体和精神特征等隐私信息,以及与  
此相关的第三人的信息,告知给医生基本医疗行为正是在知悉秘密的前提下,才得以成立。《刑法第一百  
三十四条泄露秘密罪的宗旨在于,重视在实行基本医疗行为中总是经常性地接触和保管患者等人秘密的医  
师业务,把泄露在业务过程中所知悉的秘密的行为规定为刑罚对象因此,本罪的第一个目的是为了保护这  
些患者等人的秘密。”⑤  
关于泄露秘密罪的保护法益,传统观点一如日本最高裁判所法官的论述,只是具体的信赖保护利益,也  
即立法本意是将本罪所保护的重点放在当事人(如患者与医生)之间的具体信赖关系上但是出于对本罪法  
益的重视,有观点将本罪的法益升格为社会信赖保护如精神鉴定医生泄露患者秘密一案的补充意见认为,  
日本的泄露秘密罪首先,是为了保护患者等的秘密,其次,是让患者等安心才能对医生开示自己的疾患信息  
(秘密),进而保障医生的基本医疗行为能够妥当地进行,也即是为了保护医生的业务本身”。这种社会信赖  
保护说受到越来越多的学者的支持。  
在我国,2009年出台的刑法修正案()》首次将出售非法提供非法获取公民个人信息的行为认定为  
犯罪,为保护公民个人信息奠定了刑法基础但由于刑法修正案()》规定的非法获取公民个人信息的犯  
罪主体和侵犯个人信息行为的范围太窄,2015年出台的刑法修正案()》对本罪条文进行了修改,正式设  
立了侵犯公民个人信息罪”,并扩大了犯罪主体和侵犯个人信息行为的范围201758日最高人民法  
最高人民检察院联合发布了关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称  
解释》),并于61日正式施行。“在公民个人信息泄露严重利用公民信息的违法犯罪活动猖獗公民生  
活安宁得不到保障的社会背景下,《解释为公民个人信息的安全使用撑起了一把保护伞。”⑦  
转变的前提:大数据时代医疗信息的特殊性与社会价值  
大数据一词自2010年在英国经济学家杂志首次出现,由美国政府使用并推广以来,数年间就为各  
Vgl.Schönke/Schröder/Lenckner.StGB,27.Aufl.,2006,203,Rn.3.  
日本刑法第一百三十四条第一款规定:“医师药剂师医药品贩卖业人员助产师律师公证人以及从事这些工作的人,在不存在正当理  
由的情况下,泄露在从事业务中所得知的他人秘密的,6个月以下有期徒刑或者10万日元以下罚金。”  
奈良地判平成21.4.15刑集664440,判時2048135。  
最决平成24.2.13刑集664号第405。  
甲斐克則医療情報保護利用刑事法的問题点ꢁ,载西田典之等刑事法医事法新たな展開》,66ꢄ67。  
佐久間修鑑定医による秘密漏示事件ꢁ,甲斐克則等医事法判例百選(2)》,有斐阁2014年版,56。  
付玉明侵犯公民个人信息案件之批量公民个人信息的数量认定规则———<关于办理侵犯公民个人信息刑事案件适用法律若干问题的解  
>11条第3款评析》,《浙江社会科学2017年第10,24。  
84  
储陈城胡子昕大数据时代个人医疗信息利用的入罪界限———刑法第二百五十三条之一的再思考  
国政府企业在政策实施及商业战略制定中大力倡导和使用,成为人类行为选择的趋势大数据区别于  
传统数据的独特性在于压倒化的巨量性数据种类的丰富性以及通过真实数据进行分析的快速性通过  
对大数据的有效利用所产生的新型附加值备受关注,并逐步在各个领域当中推广使用医疗大数据的积累  
和分析所得到的成果,其重要性已经得到一致的认可,有效利用的框架已经开始在包括日本在内的各国形成。  
从公共卫生健康政策医疗评价医疗政策到医疗变革(向疾病预测预防的医疗转向)、新医疗技术的创  
(包括药物创新)等领域,医疗大数据的使用范围正在变得更广其最值得关注的应该是能够贡献于医疗  
健康的实质性改善创新的推进部分,如日益产生的庞大诊疗数据表现为信息爆发的基因信息的分析成果  
的反馈另外,医疗大数据带来的包括相关服务和商业在内的社会范式的转变等,也备受期待基于医疗大  
数据的有效利用,可能产生的主要社会价值包括表1所示方面。  
1ꢁ医疗大数据的价值类型  
EBM(EvidenceBasedMedicine有根据的医疗):医疗指南(标准医疗法)、个别化医疗发病前后的介入等。  
EBH(EvidenceBasedHealth有根据的健康介入):疾病相关的危险要素的查明生活习惯病等的综合应对个别的保健指  
疾病预防等。  
HTA(HealthTechnologyAssessment医疗技术评价):医疗技术药剂有根据的评价经济效率的比较评价医疗费用的合  
理化政策的实施等。  
疑难疾病病因的查明:罕见病癌症等疑难疾病的病因和治疗方法的查明。  
对新药新型医疗技术等研究开发的有效利用。  
对药物的承认和监管等:对药物的有效性安全性和品质信息的把握副作用的监控。  
对医疗和护理等表现的评价患者动向等的有效利用。  
提高医疗健康护理商业服务(医疗机构药局护理机构制药企业健康产业等)的质量。  
目前的医疗以发病后接受医学处理的治疗为中心,  
而在未来,通过对个人遗传生活信息等大数据的分  
,针对每个人发病风险的对策,可以在发病前制定并实施与此同时,也可以在发病后为患者进行定制化  
的医疗而且,医生基于治疗后的预测,对于病患的康复护理都能实现定制化服务,实现医疗对策质量的最  
优化同时在当下大规模疫情应对方面,包括患者疑似患者及密切接触者等个人信息的医疗大数据的收集  
与利用对疫情防控与社会情绪的稳定具有重要作用。  
新型趋势:大数据时代医疗信息有效利用的制度促进  
()大数据时代医疗信息有效利用的方式转型  
在医疗健康领域,大数据的运用最开始是以事务处理的效率化为目的进行推进在日本,医疗大数据  
的原始形态包括诊疗报酬请求明细数据有关的临床数据药局的配药数据健康诊疗的数据等这些大数  
然而,随着大数据时代的到来,医疗信  
息的有效利用有助于提高医疗质量和效率,增强医疗健康领域的研究开发因此,医疗信息的利用方式也  
开始转型,各国中央政府不再将医疗大数据作为提高医疗边缘事项效率的工具。“2013,英国建立了英国  
国民医疗服务系统(NationalHealthService,NHS)。20135,奥巴马政府宣布了大数据的研究和发  
展计划’”,而日本政府甚至将大数据时代健康医疗和护理作为经济正增长的一个重点领域日本再  
兴战略(修订2015)》就曾提出,2020年的5年间是集中投入时间,将在医疗等领域彻底推进ICT。  
DanielA FarberꢀꢅTheruleoflawandthelawofprecedentsꢀꢆMinnesotaLawReview 90no5ꢇJanuaryꢀ2005ꢈꢃ1173  
左卫民迈向大数据法律研究》,《法学研究2018年第4,141。  
江海洋论疫情背景下个人信息保护———以比例原则为视角》,《中国政法大学学报2020年第4,183。  
山田亮ꢀライフサイエンス領域におけるビッグデタの利活用ꢁ,ꢀ週刊医学界新聞2015年第3107。  
刘孝男付嵘李连磊大数据时代,医疗行业信息安全面临的机遇与挑战》,《中国信息安全2018年第7,100。  
宇賀克也次世代医療基盤法:医療ビッグデタの利用保護ꢁ,《ジュリスト》2018年第1522,88ꢄ93。  
ꢀ「日本再興戦略改訂2015―未来への投資? 生産性革命―ꢁ,参见首相官邸网站:httpꢃꢂꢂwwwkanteigojpꢂjpꢂsingiꢂkeizaisaiseiꢂpdfꢂ  
dai1jppdf最后访问日期:2018101。  
85  
BET体育365投注官网学报(社会科学版)  
其后,作为增长战略而新制定的未来投资战略2017也就医疗大数据的有效利用加以继承厚生劳动省  
20171月设置了数据监控改革推进总部”,来推进通过充分利用保健医疗数据来实现国民健康生活的  
数据健康改革”。因此,医疗大数据的利用,已成为日本政府推进发展战略的重点策略之一。  
)大数据背景下医疗信息有效利用的制度促进  
在日本,关于医疗信息的利用除了有前述的泄漏秘密罪的限制之外,还受到个人信息保护法的制  
(
,20159月该法被修改,更是将病历诊疗结果等医疗信息归属到需谨慎对待的个人信息当中,这些  
信息通过OPT-OUT方式禁止向第三方提供如若将医疗信息向第三方提供的话,原则上必须事前取得  
每一个患者的明示同意如果不满足个人信息保护法的规定提供患者信息,将受到刑法泄露秘密罪的处罚。  
为此,日本要对医疗大数据进行有效利用的话,需要在法律制度上做好保障20174未来医疗基  
础法被制定出来基于该法的规定,受到国家许可的认定行业者能够收集医院药局等医疗机构所拥有  
的医疗信息,进行匿名化处理,可以向第三方提供这成为了个人信息保护法限制提供个人信息的例外,  
患者的医疗信息数据的利用有望被激活。  
未来医疗基础法所规定的医疗个人信息基本流程是:患者到医疗机构接受治疗,除非明示拒绝任何人  
将自己的个人医疗信息进行流转,否则医疗机构是可以将患者的医疗信息传送给认定行业者,由认定行业者  
对这些信息进行匿名化处理当然,认定行业者需要通过高度信息安全认定来进行担保,否则就不能对这些  
信息进行匿名化处理匿名化处理后的信息是无法识别个人以及难以复原的加工后的信息这些匿名化处  
理后的信息会被流转到研究机构医疗机关制药公司或者卫生行政机关,它们作为信息的利用者,依托这些  
医疗大数据信息进行新药开发疗效分析或者疾病控制等,最终向国民或者医院反馈,从而具体应用到患者  
的治疗当中。  
该法具有下述三方面特性。  
首先,关于匿名加工医疗信息的利用目的,《未来医疗基础法规定为为行政机关学术研究机构以及以  
制药企业为代表的民间企业所有效利用”。具体来说,使用关于治疗评价的大量治疗数据,实施大规模的  
研究,统合相关疾病在不同的医疗机构治疗领域的信息治疗成绩评价,有效使用人工智能,进行图像数据  
分析,使得从一般性的支援医生诊断到治疗最尖端的治疗辅助软件的开发等,都成为可能。  
其次,《未来医疗基础法医疗信息界定为特定个人的病历,以及其他该个人身心状态相关的信息。  
使用者需要特别注意在使用这些信息时,不能因该身心状态信息,对该个人及其子孙带来不当差别偏见及  
其他不利,也不能通过相关法律规定的个人信息识别出特定个人情况等另外,“匿名加工医疗信息是指,  
以无法识别特定个人为目标,将医疗信息进行加工所得到的和个人相关的信息,并且该医疗信息无法复原。  
再次,《未来医疗基础法的核心主体是认定行业者”。“认定行业者是实施匿名加工医疗信息制作行  
业的主体,以制药企业为代表的民间企业需要通过申请,得到相关主管大臣的认定,才能被认定为能够合法  
且可靠地进入该行业主管大臣在进行认定之前,必须要和个人信息保护委员会进行协商讨论患者本人  
在医疗机构接受治疗时,会预先收到自己的医疗信息向认定行业者提供的通知,如果患者没有明示拒绝的  
,则视为允许提供。“认定行业者接受来自医疗机关提供的包含个人信息的医疗信息,并对医疗信息进行  
匿名加工,使得该信息难以识别个人,最后将匿名加工后的信息向第三者提供。  
本土语境:我国侵犯公民个人医疗信息入罪的限缩解释  
在大数据时代,我国也不能无视医疗信息有效利用的价值2015年国务院促进大数据发展行动纲要》  
指出:“在全球信息化快速发展的大背景下,大数据已成为国家重要的基础性战略资源,正引领新一轮科技创  
未来投資戦略2017Society5.0実現けた改革―ꢁ,参见首相官邸网站:httpsꢃꢂꢂwwwkanteigojpꢂjpꢂsingiꢂkeizaisaiseiꢂpdfꢂmir-  
aitousi2017_tpdf最后访问日期:2018101。  
日置巴美健康·医療情報活用個人情報保護法制その関係法令(1)ꢁ,《NBL2017年总第1098,4。  
所谓OPT-OUT方式是指,预先对本人通知将个人数据向第三者提供,或者本人对此有认识,只要本人不明确反对,即视为同意,可以向第三  
者提供。  
193回国会衆議院内閣委員会議録第6号第3(29.4.12)。  
86  
储陈城胡子昕大数据时代个人医疗信息利用的入罪界限———刑法第二百五十三条之一的再思考  
。”2016国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见提出健康医疗大数据是  
国家重要的基础性战略资源”。20184关于促进互联网+医疗健康发展的意见规定,研究制定  
健康医疗大数据确权开放流通交易和产权保护的法规”。根据以上文件内容及精神,《国家健康医疗大数  
据标准安全和服务管理办法(试行)》制定出台。  
在我国,目前个人信息立法中存在的突出问题之一就是普遍重责任追究,尤其是刑事责任追究,轻过程  
规范,轻综合治理只要发生不利结果,就责任很重,甚至可以直接刑罚制裁医疗大数据有效利用的最  
大风险是刑法中所规定的侵犯公民个人信息罪目前国内因医生提供和企业获取患者医疗信息而获罪的案  
件屡有发生比如在张聪侵犯公民个人信息一案中,“被告人张聪在担任社区卫生服务站公卫医生期间,利  
用其负责公卫资料录入及掌握珠海市卫计局社区卫生服务信息系统的账户密码的职务之便,在水拥社区卫  
生服务站内,通过QQ以人民币400元的价格向孙某贩卖了约98009条珠海市患者的个人信息”,最终法院  
认定构成侵犯公民个人信息罪又比如在邬某某厉某某侵犯公民个人信息一案中,被告人作为舟山开  
心人医疗产业有限公司采购人员,为获取其他医药机构的药品价格信息及药品销售情况,登录舟山市社会保  
险事业管理局的舟山市医保交互平台’,从该平台查看并非法下载病人的医保就诊数据”,被认定为构成侵  
犯公民个人信息罪如何在有效利用医疗大数据的流程中,防止刑法中侵犯公民个人信息罪成为负面  
因素,应成为我国理论和实务界所关注的核心问题。  
()制度隐患:侵犯公民个人信息罪对医疗信息有效利用的限制  
2
015年  
刑法修正案()》出售非法提供公民个人信息罪非法获取公民个人信息罪整合为  
侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围,体现了我国刑法对于公民个人信息  
的保护态度但是,公民个人医疗信息所构成的医疗大数据是把双刃剑,具有极端的二重性一方面,个人  
医疗信息往往事关公民的切身利益和个人隐私,具有极端的敏感性;另一方面,社会医疗保障体系的构建,医  
疗技术的数字化革命,医学研究的不断发展,都离不开医疗大数据的利用,具有极端的价值性。“不要仅仅因  
,我国现行刑法第二百五十三条之一侵犯公民个  
人信息罪及相关司法解释,虽然体现了法律加强对公民个人信息保护的态度,但也存在限制医疗大数据运  
用的因素。  
违反国家有关规定对医疗大数据利用的限制  
1.  
刑法第九十六条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的  
法律和决定,国务院制定的行政法规规定的行政措施发布的决定和命令。”《刑法修正案()》出售非  
法提供公民个人信息罪非法获取公民个人信息罪整合为侵犯公民个人信息罪”,并将其中的违反国  
家规定改为违反国家有关规定”。最高法最高检的解释第二条将违反国家有关规定界定为违反法  
行政法规部门规章有关公民个人信息保护的规定”,对公民医疗信息大数据化的利用产生了限制作用。  
首先,《刑法二百五十三条之一规定违反国家有关规定”,实际上是起到了提示违法性的作用本罪的  
违反国家有关规定是在向司法者提示本罪的构成要件的消极事由。“国家有关规定实际上成为了公民  
个人信息合法利用的依据。《解释第二条将全国人民代表大会及其常务委员会的决定国务院规定的行政  
措施等排除在外,某种程度上限缩了公民信息大数据化收集处理和利用的相关依据。  
其次,《解释第二条将国务院部门规章纳入到国家有关规定的范畴中来但是,我国现行部门规章中除  
工信部于2013年出台的电信和互联网用户个人信息保护规定,并没有专门规定关于公民个人信息尤其  
是医疗信息保护的规章,而关于公民个人信息保护尤其是医疗信息保护的规定零星地散布于不同部门颁布  
周汉华探索激励相容的个人数据治理之道———中国个人信息保护法的立法方向》,《法学研究2018年第2,14。  
张聪侵犯公民个人信息一审刑事判决书》,珠海市香州区人民法院(2017)0402刑初159号刑事判决书。  
邬某某厉某某侵犯公民个人信息一审刑事判决书》,舟山市定海区人民法院(2017)0902刑初78号判决书。  
宇贺克也日本医疗领域的个人信息保护》,杨琴余梦凝译,《贵州社会科学2017年第8,54。  
江耀炜大数据时代公民个人信息刑法保护的边界———违反国家有关规定的实质解释为中心》,《重庆大学学报(社会科学版)》2019年  
1,155。  
87  
BET体育365投注官网学报(社会科学版)  
的大量规章中,结核病防治管理办法第三十三条、《食品药品监督管理统计管理办法第八条等。“部委  
规章涉及规定个人信息保护的领域比较宽泛,但是对个人信息的保护依然是泛泛规定,多为碎片化内容,法  
律操作性不强再者,现行部门规章对于公民个人信息保护尤其是医疗信息保护的规定往往比较绝对  
,结核病防治管理办法第三十三条规定:“在执行公务中应当保护患者的隐私,不得泄漏患者个人信息  
及相关资料等。”在条文上排除了对于其医疗信息利用的例外规定医疗机构病历管理规定第十五十  
六条对于公民病历等医疗信息的收集与利用程序也作了相当严格的规定,制约了相关主体对公民医疗信  
息大数据化的利用。  
向他人出售或提供对医疗大数据利用的制约  
2.  
向他人出售或者提供公民个人信息属于本罪重要的构成要件要素,从行为要素上体现了本罪所要保  
护的法益但是,在信息高度流通化财产化的大数据时代下,向他人出售或提供做形式解释,也会给医  
疗大数据的利用埋下入罪的隐患。  
首先,“向他人出售或者提供公民个人信息中的他人的范围界定过于宽泛和抽象在如今现代化系  
统化的医疗体系中,患者于医疗保健机构就医受诊过程时,公民的个人信息尤其是医疗信息如身体数据既  
往病史检验报告等常常需要在不同的医务人员中流转特别是近年来,随着团队医疗医药分工合作的发  
,与医疗信息保护要求的高涨相反,信息传达的必要性在增强,而其流转的范围也在扩大在这个过程中,  
必然会涉及到向广义上的他人提供和交换公民医疗信息的行为过于广泛而模糊的他人的定义会使得  
医疗诊断的进行陷入刑法规制的困境。  
其次,“出售提供两种行为的差别性规定也存在着隐患出售一般是指具有对价的交易行为,而提  
供则是无偿行为。“出售行为一般表现出牟利的目的,会被认为社会危害性较重在司法实践中,侵犯公民  
解释第三条规定:未经被收集者同意,将合法收集的公  
民个人信息向他人提供的,属于刑法第二百五十三条之一规定的提供公民个人信息’,但是经过处理无法识  
别特定个人且不能复原的除外。”这从反面确定了提供公民个人(医疗)信息的例外条件,射程在形式上不  
及于出售行为这似乎符合一贯以来刑法出售行为着重打击的态度但是,以对价的有无作为评  
价法益侵害性大小的标准是有待商榷的在信息流通化和财产化的大数据时代,对于出售行为仍然站在保  
守的立场上进行差别对待,不利于激发大数据潜在价值美国顶级的癌症研究中心———纪念斯隆凯特林癌  
症中心近期提出,将把病人数据独家提供给人工智能创业公司Paige.AI并从中获利而我国早在2015,  
如果仅仅规定了提供行为的例外条款,而对出  
行为采取绝对排除的态度,要求只能进行有限度的无偿提供行为,显然不符合现实情况。  
()保障路径:通过实质解释促进医疗信息的有效利用  
由于我国现行刑法第二百五十三条之一及相关司法解释偏重于对公民信息的保护,对于大数据,尤其  
是医疗大数据的收集处理和利用实际上进行了较为严格的限制那么,如何在现行严格的刑法规定下,  
让合理的医疗信息大数据化运用避免受到刑事规制,成为了一个亟待解决的重要问题对此有必要对侵犯  
公民个人信息罪构成要件的部分概念进行实质解释,将部分行为排除出刑法规制的领域,合理限缩有关罪名  
的构成要件。  
王秀哲我国个人信息立法保护实证研究》,《东方法学2016年第3,63。  
医疗机构病历管理规定第十五条规定:“除为患者提供诊疗服务的医务人员,以及经卫生计生行政部门中医药管理部门或者医疗机构授  
权的负责病案管理医疗管理的部门或者人员外,其他任何机构和个人不得擅自查阅患者病历。”第十六条规定:“其他医疗机构及医务人员  
因科研教学需要查阅借阅病历的,应当向患者就诊医疗机构提出申请,经同意并办理相应手续后方可查阅借阅查阅后应当立即归还,  
借阅病历应当在3个工作日内归还查阅的病历资料不得带离患者就诊医疗机构。”  
参见:《吴华添黄斌公民个人信息一审刑事判决书》,舒城县人民法院(2017)1523刑初53;《穆某某鲍某侵犯公民个人信息一审刑事  
判决书》,滕州市人民法院(2018)0481刑初91;《石某犯侵犯公民个人信息罪一审刑事判决书》,龙岩市新罗区人民法院(2016)0802  
刑初465。  
商希雪个人信息隐私利益与自决利益的权利实现路径》,《法律科学20203,81。  
张忆然大数据时代个人信息的权利变迁与刑法保护的教义学限缩———数据财产权信息自决权的二分为视角》,《政治与法律》  
2
020年第6,53;张勇APP个人信息的刑法保护:以知情同意为视角》,《法学2020年第8,121。  
88  
储陈城胡子昕大数据时代个人医疗信息利用的入罪界限———刑法第二百五十三条之一的再思考  
违反国家有关规定范围的实质解释  
1.  
如上文所言,《刑法修正案()》将原先的违反国家规定更改为违反国家有关规定”,2017年的解  
又进一步将国家有关规定的范围确定为违反法律行政法规部门规章有关公民个人信息保护的规定  
”。我们究竟应当如何理解这些变化? 是否所有公民个人信息保护的规定在医疗大数据利用的过程中,都  
需要得到满足以保障合法?  
有学者认为违反国家有关规定不同于违反国家规定”,前者的范围更为宽泛原因在于违反国家  
有关规定违反国家规定中所没有的部门规章纳入其中,也符合了刑法修正案()》解释对公民信  
息扩张性保护的原则但应当注意到的是,“违反国家有关规定在将部门规章纳入其中的时候,又将全国人  
民代表大会及其常务委员会的决定等排除在外,而实际上这一部分也存在着诸多关于个人信息保护的规定,  
全国人大常委会关于加强网络信息保护的决定,因此很难说违反国家有关规定的范围较违反国家  
规定究竟是扩大了还是缩小了。  
既然从范围上难以确定违反国家规定违反国家有关规定的差异,那么又应当如何理解从前者到  
后者的立法变化呢? 其关键在于有关的表述。“违反国家有关规定不是指形式上所有有关个人信息的规  
,而是实质上有关该特定种类涉案信息保护的规定如对于公民网络信息,《网络安全法》《电信和互联网  
用户个人信息保护规定就可以被认定为有关规定而对于不涉及网络因素的特殊的公民医疗信息,规制电  
信业务经营者互联网信息服务提供者的相关规定就很难被理解为有关规定”。这也解释了为何国家有关  
规定要将原本不属于国家规定的部门规章纳入其中,其原因就在于国务院部门鉴于其主管事务的专门  
,所出台的部门规章往往具有专业性和专门性因此,为了满足有关性”,需要将部门规章纳入其范围中  
总而言之,在规范体系中,当不存在针对医疗信息利用的约束性规定,那么刑法就不能以违反概括性  
的或者其他领域中信息利用的约束性条款,来对医疗信息利用行为,违反国家有关规定为由加以入罪。  
他人的实质解释  
2.  
侵犯公民个人信息罪的条文中规定了违反国家有关规定,向他人出售或者提供公民个人信息”,正如前  
文所述,过于宽泛和模糊的他人的概念会使得正常的医疗信息传递陷入构罪的危险之中,因此有必要对  
他人的范围进行实质解释。  
首先,对于共同参与医疗诊断行为的医疗体系的内部机构和人员,不宜认定为他人”。日本针对医疗  
护理行业者的个人信息收集适当处理指南,同一医院内部的信息交换,不被视为向第三方提供然而  
在现代医疗体系中,由于区域医疗联合体的发展以及跨医院联合性医疗行为的增多,即使是不同医疗机  
,只要是医疗体系中组成的医疗团队,也应当排除出他人的范围第一,从实践上来说,现代化医疗技术  
的实现和发展,需要大量的不同类别甚至是不同病院的医务人员共同参与到某一个特定的诊疗行为之中,如  
果不将这些人排除出他人的范围,必然会造成在诊疗过程中信息传递时的违法性危险尤其是在一些紧  
急状况时,往往没有时间进行这些排除违法性的工作当然,在德国,也有学者认为此时应当推定患者默示  
的同意以阻止违法性但该理论的问题在于,如果患者明示反对该种信息的传递,被推翻的默示的沉默就  
无法排除违法性,现代化的团队医疗体系就将陷入刑法苛责的困境中而无法运作,进而难以保障医疗效果。  
因此,现代医疗实践和健康发展要求将这部分人员排除出他人这一犯罪构成要件第二,从理论上来说,  
患者之所以能够在受诊过程中将个人医疗信息告知医院,正是基于其对为自己进行诊疗的医务人员的信赖,  
而这种排他的信赖关系也正产生了传统意义上的医务人员守密义务然而如前所述,在如今一体化的医疗  
体系中,患者所信赖的对象范围扩大至整个医疗体系,基于这种信赖关系,而得以自然地在该范围内传递患  
者个人医疗信息在这种情况下,不应当再将其评价为他人”。当然,由于该信赖是对于医疗团队的信赖,  
喻海松网络犯罪的立法扩张与司法适用》,《法律适用2016年第9,2。  
医療·介護関係事業者における個人情報適切取扱いのためのガイダンスꢁ第四章第五条第四款第2。  
区域医疗联合体,是将同一个区域内的医疗资源整合在一起,通常由一个区域内的三级医院与二级医院社区医院村医院组成一个医疗联  
合体20175,国务院办公厅印发指导意见,全面启动医疗联合体建设试点,推动医疗资源下沉,病人双向转诊,逐步缓解看病难问题。  
参见:村山淳子医療情報第三者提供体系化()ꢁ,ꢀ西南学院大学法学論集2006年第3,13。  
89  
BET体育365投注官网学报(社会科学版)  
对于患者医疗信息的传递自然也不能超出医疗行为的范畴。  
其次,对于接受医院委托进行医疗大数据处理的特定数据处理机构,也不宜被认定为他人”。如日本  
个人信息保护法中第二十三条规定也体现了这一点医疗信息不同于其他公民个人信息,其产生的过  
程和适用场所具有特殊性医疗信息一般是在公民医疗受诊过程中产生的,产生的机构场所一般是专门的  
医疗机构,其往往本身不具有处理和分析大数据的能力,需要委托其他专门数据处理机构进行在这个过程  
,存在着医疗机构———数据处理机构———医疗机构的闭环的信息传递过程闭环内的数据处理机构不具  
有信息传递过程中的独立的他人的地位,其接受个人医疗信息并非为了自身利用,而是帮助医疗机构进行  
数据处理和分析,应当被视为医疗机构在大数据信息处理方面的延伸同时,如果认为刑法第二百五十三  
条之一的目的是防止公民个人信息泄露,进而对公民产生不利,但将患者医疗信息提供给专门用来处理个人  
信息的专业机构,不仅不会产生该危险,反而会提高公民个人信息的安全程度因此,应当将其排除出他  
的范围。  
出售或提供的实质解释  
3.  
正如上文所交代,“出售提供两种行为在客观表现上具有显著的差异,即对价的有无。《刑法第二  
百五十三条之一一方面规定了出售或提供行为,将二者都作为犯罪的构成要件的客观行为;另一方面解  
第三条又仅仅针对提供行为作了但书规定,却没有针对合理的出售行为作出相关规定,限制了医疗  
大数据的交易和流通,不利于医疗大数据潜藏价值的进一步发掘。  
我们应当认识到,在个人医疗信息的出售行为中,总是存在个人医疗信息需求方向个人医疗信息供给  
方支付价款,个人医疗信息供给方向个人医疗信息需求方移转个人医疗信息大数据的交易行为在这一交  
易内部,供给方向需求方的信息移转行为也可以被理解为单独的提供行为因此,虽然出售提供两种  
行为在客观表现上具有差异,但在本质上,出售是指谋取对价后将某物提供给他人,其亦属提供行为的一  
种特殊形式这种解释的正当性也可以体现在刑法分则中诸多涉及了提供行为而没有涉及出售行为的  
罪名中,为境外窃取刺探收买非法提供国家秘密情报罪”、“非法提供信用卡信息罪”,这些罪名中都  
出售囊括在提供行为范畴之内。  
因此,基于实质性和体系性解释,出售个人医疗信息的行为解释成特殊的提供行为,就可以把出  
售公民个人(医疗)信息的行为纳入到解释第三条的但书规定中去,有助于确定合理出售公民个人医疗  
信息的行为方式和行为依据。  
当然,出售理解为特殊的提供行为也会面临一个问题,刑法第二百五十三条之一规定的是  
出售或向他人提供公民个人(医疗)信息”,如果将出售也理解为提供的一部分,就无法解释为什么立法  
者要单独列出出售”,导致刑法解释逻辑上的混乱这可以从以下两个方面试作分析首先,从立法沿革上  
来说,《刑法第二百五十三条之一规定的侵犯公民个人信息罪是从刑法修正案()》出售非法提供公  
民个人信息罪;非法获取公民个人信息罪的基础上发展而来,而原出售非法提供公民个人信息罪实际上  
是一个选择性罪名,现行刑法第二百五十三条之一改变了罪名,但在内容上基本沿用了原规定其次,从  
根本上来说,之所以将出售单独列出,实际上是起到了注意规定的作用即使刑法第二百五十三条之一  
没有列出出售行为,违反国家有关规定出售公民个人信息的,也应当依照侵犯公民个人信息罪的规定定  
罪处罚由于司法实践中侵犯公民个人信息罪的客观行为往往以出售公民个人信息为主,故为了提示司  
法人员注意,特将出售单独列举出来。  
[责任编辑:苏雪梅]  
日本个人信息保护法第二十三条规定:凡属下述情形的,接受该个人数据的当事人就前三款之规定的适用,不属于第三人:个人信息处  
理业者在达到利用目的所需的范围内接受委托处理全部或者部分个人数据的;因合并或者其他事由而继受业务并接受个人数据的;、  
特定当事人共同利用个人数据的,对于其宗旨以及共同利用的个人数据的项目共同利用个人数据的当事人的范围利用人的利用目的以及  
就该个人数据的管理负有责任的当事人的姓名或者名称,事先通知本人或者将其置于容易知悉相关内容的状态的。  
90  
Baidu
sogou