世界医学会《赫尔辛基宣言》2024版修订述评

2024年10月19日,世界医学会第75届全体大会通过了最新修订版《赫尔辛基宣言——涉及人类参与者的医学研究伦理原则》(以下简称《宣言》)。此次修订工作组由19个国家和地区的医学会代表组成,历时30个月。从参与修订工作亲历者的视角,对《宣言》的修订过程、主要修订内容及其相关伦理考虑进行介绍,包括从“受试者”修改为“参与者”,从“脆弱人群”到“脆弱性”,责任主体扩展,从“知情同意”到“自由和充分的知情同意”等,讨论《宣言》修订的亮点和有待继续推进的工作,以期为国内同行更好地理解《宣言》最新伦理要求、强化研究参与者保护提供一定的参考。

个人信息处理中“同意规则”的法教义学构造

同意的形态是多样的,欧利提出的层级理论将同意分为三层,个人信息主体同意属于其中的可撤回的单方同意,个人信息处理者通过同意获得了一项“得为的地位”。从法律性质来看,个人信息主体同意是单方法律行为,同意撤回亦是单方法律行为,不过需要区分不同的适用场景。“有效同意”的构成要件有五项:同意能力、自愿、明确、充分知情以及具备一定的形式。对法律性质和构成要件的分析,既存在如何从民法教义学上解释的问题,也存在与民事规则之间协调的问题。对此,可以结合个人信息保护领域的特殊语境,以民法上的法律行为作为支点,在民法框架下对同意规则进行规范构造。

关于《一般数据保护条例》规定的同意的指南

2018年5月,欧盟《一般数据保护条例》(GDPR)正式生效,极大地改变了有关数据保护的国际法律格局。其中,第6条规定了六种数据处理的合法性依据,数据主体的同意无疑是最重要和应用最广泛的一种。但同意的实质内涵仍然是困扰学术界和实务界的关键问题。为此,2020年5月,欧洲数据保护委员会(EDPB)在原第29条工作组相关工作的基础上,根据其行动计划发布了《关于〈一般数据保护条例〉规定的同意的指南》,旨在从有效同意的要素、同意的明确性、其他要件、与其他法律依据的关系、特定领域的同意问题,以及原《95/46EC指令》下同意的效力等方面全面解释了GDPR有关同意的构成要件及其适用。鉴于欧洲数据保护委员会在贯彻实施GDPR中的重要作用,以及同意作为数据处理的法律依据的重要性和广泛性,本指南正在并将继续对欧盟乃至全球的数据保护实践产生极其广泛的影响。另一方面,由于本指南带有极其强烈的释义学和面向实务的特征,因此就具备了重要的比较法价值。我国现行有关网络安全和个人信息保护的法律仅将信息主体同意作为数据处理的合法性依据,未规定任何例外情况。有鉴于此,作为推荐性国家标准的《信息安全技术个人信息安全规范》坚持信息主体同意这一原则的基础是较多借鉴了GDPR的立法经验,明确规定了同意的例外情形。在这个意义上,作为GDPR的权威解释的欧洲数据保护委员会的相关指南就对我国的个人信息保护立法和实践具有重要的借鉴意义。为此,本人不揣浅陋,将本指南译为中文,以期对学界有所裨益。

个人信息处理同意的性质与有效条件

《个人信息保护法》采取意图导向,将充分知情、自愿及明确规定为个人信息处理同意的有效条件,有助于解决实践中同意的虚化以及真实性与有效性大规模背离的问题。但《个人信息保护法》的规定存在不足,需要在法教义学意义上对个人信息处理同意的性质、规则适用及有效条件进行分析、解释,以妥当认定个人信息处理同意的效力,并将其融入民法同意理论。个人信息处理同意应界定为非典型的意思表示,充分知情、自愿属于意思范畴,明确属于表示范畴,三者系《民法典》上“意思表示真实”在个人信息处理活动中的具化,应当结合意思表示理论与个人信息保护实践进行解释与认定。充分知情、自愿均基于有效告知而推定产生,明确虽非推定产生,却也与告知密切相关。对格式化告知同意的规制重点不在同意,而在告知,只有强化处理者告知才能提升用户自由,矫正意思自治的形骸化,从形式同意向实质同意回归。