随着大数据技术在医疗领域的应用,个人健康信息在显现出巨大价值的同时也正遭受着前所未有的挑战。机遇和风险犹如硬币的两面,科学和技术的飞速发展不仅带来了宝贵机遇,也使得现代社会俨然已经发展成了一个风险社会。虽然世界各国在致力于推进医疗大数据发展和应用的同时也十分注重个人健康信息的保护,但个人健康信息的风险属性在此之前却鲜被人提及。尽管各个国家和地区在对个人健康信息的保护上都做出了许多有益尝试,并取得了一定的效果,但这些手段在面对个人健康信息风险的复杂性和不确定性时还是显现出了明显的局限。因此文章试图构建一种新的个人健康信息保护机制,以弥补传统保护手段的缺陷和不足。文章首先介绍了医疗大数据的起源和发展,为个人健康信息在此背景下面临的特殊风险做铺垫。然后通过概念和特征的介绍,准确界定个人健康信息的内容,并将其和患者隐私进行了仔细区分,目的在于拓宽个人健康信息保护维度。接下来根据大量个人健康信息安全事件,分析了个人健康信息风险在医疗大数据环境下新的语义范围,强调个人健康信息风险规制的必要性,并阐明了个人健康信息风险规制过程中可能发生的价值冲突,为后文风险决策程序的建立埋下伏笔。针对个人健康信息显现出的风险属性,文章引入风险社会理论,指出传统法律手段在风险规制领域的适用局限,释明风险预防从个人责任转向集体治理的必要性,并介绍了在此过程中行政规制手段展现的出的巨大价值。我国现有的保护手段和国际社会通行做法尚有很大差距,面对个人健康信息风险更是无力应对。目前,世界各国基于不同的理论基础建立起了各自的个人健康信息保护规则体系,行政立法依然是个人健康信息保护的惯用手段,侵权保护和行业自律手段则是为了弥补行政立法的某些不足和缺陷,作为其补充存在。尽管以上保护手段都各具优势也发挥出了一定效果,但在应对大数据环境下的个人健康信息风险时都无一例外表现出了风险规制功能的缺失。以“知情同意”机制为核心的传统行政法制度架构,已经无法满足新的发展阶段下对个人健康信息价值发掘的需求,也无法应对大数据和风险社会对个人健康信息安全带来的挑战。最后,文章针对个人健康信息风险的现有规制手段存在的缺陷和问题,沿着基于场景和风险理念的思路,依托风险规制和行政法理论,并结合个人健康信息风险的特点,尝试以一条程序主义的进路构建个人健康信息风险的行政规制体系。首先是风险规制体制的建立,一个相对独立的规制机构和明确的规制对象是风险规制程序得以顺利开展的前提,此阶段的程序设计既要保证规制机构拥有必要的自由也要防止规制权的滥用。其次是风险评估程序,这一阶段的首要任务是根据个人健康信息风险的特点制定个性化的评估内容。作为个人健康信息风险规制的科学基础,完善专家遴选制度和引入同行评审制度是保证评估结论科学可靠性的前提。最后是风险管理程序的建立,由于同时依赖科学治理和价值判断,为了风险决策最终兼具科学性、正当性和可接受性、并且能够取得良好的规制效果,公众参与程序、信息交流程序以及决策执行评价程序制度的建立成为必须。