鐘其炎

摘要：加強(qiáng)電子健康檔案隱私保護(hù)，是保障電子健康檔案有效利用的重要前提，也是當(dāng)前世界各國(guó)面臨的共同挑戰(zhàn)。本文通過(guò)調(diào)研澳大利亞電子健康檔案隱私保護(hù)的法律政策、標(biāo)準(zhǔn)指南和實(shí)踐做法，介紹了澳大利亞電子健康檔案的發(fā)展歷程，并從規(guī)劃階段、收集階段、存儲(chǔ)階段、利用階段、銷毀階段介紹了澳大利亞電子健康檔案全生命周期的隱私保護(hù)體系。我們可以借鑒學(xué)習(xí)澳大利亞的經(jīng)驗(yàn)做法，從完善電子健康檔案隱私保護(hù)的法律法規(guī)、強(qiáng)化電子健康檔案隱私保護(hù)的監(jiān)管體制、充分調(diào)動(dòng)電子健康檔案隱私保護(hù)的個(gè)人積極性、重視電子健康檔案規(guī)劃階段的隱私影響評(píng)估等方面，進(jìn)一步完善我國(guó)電子健康檔案隱私保護(hù)體系。

關(guān)鍵詞：澳大利亞 電子健康檔案 隱私保護(hù) 生命周期

電子健康檔案是人們?cè)诮】迪嚓P(guān)活動(dòng)中直接形成的具有保存?zhèn)洳閮r(jià)值的電子化歷史記錄，它以個(gè)人健康為核心，貫穿整個(gè)生命周期，對(duì)于醫(yī)療保健、健康管理、醫(yī)療決策、公共衛(wèi)生和醫(yī)學(xué)研究具有重要價(jià)值。電子健康檔案涉及個(gè)人診療、保健、遺傳等高度敏感信息，且信息集中存儲(chǔ)，網(wǎng)上查閱和傳播快速方便，個(gè)人隱私被侵犯的風(fēng)險(xiǎn)高、傷害大。因此，加強(qiáng)電子健康檔案隱私保護(hù)，是保障電子健康檔案有效利用的重要前提，也是當(dāng)前世界各國(guó)面臨的共同挑戰(zhàn)。澳大利亞是電子健康檔案建設(shè)的先行者，建立了較完善的電子健康檔案全生命周期隱私保護(hù)體系，隱私保護(hù)水平位居國(guó)際前列，值得其他國(guó)家借鑒學(xué)習(xí)。國(guó)內(nèi)尚缺乏對(duì)澳大利亞電子健康檔案隱私保護(hù)經(jīng)驗(yàn)的深入研究，本文通過(guò)深入研究澳大利亞電子健康檔案隱私保護(hù)的法律政策、標(biāo)準(zhǔn)指南和實(shí)踐做法，詳細(xì)介紹了澳大利亞電子健康檔案全生命周期的隱私保護(hù)舉措，以期為完善我國(guó)電子健康檔案隱私保護(hù)體系提供有益借鑒。

一、澳大利亞電子健康檔案發(fā)展的歷程概況

1999年，澳大利亞成立了國(guó)家電子健康檔案工作小組，2000年制定了“澳大利亞健康信息網(wǎng)絡(luò)”戰(zhàn)略;2005年成立了國(guó)家電子健康過(guò)渡管理局，并在全國(guó)部分州和地區(qū)試點(diǎn)實(shí)施“健康連接”（Health Connect）項(xiàng)目。2008年，澳大利亞頒布了國(guó)家電子健康發(fā)展戰(zhàn)略，為國(guó)家電子健康檔案建設(shè)提供了具體藍(lán)圖。2009年，澳大利亞衛(wèi)生部頒布了《醫(yī)療保健標(biāo)識(shí)法案》（the Healthcare Identifiers Act 2010），保證醫(yī)療保健服務(wù)與醫(yī)療信息相匹配。2012年7月1日，澳大利亞“個(gè)人控制的電子健康檔案”系統(tǒng)正式在全國(guó)范圍投入使用，澳大利亞公民可在該系統(tǒng)注冊(cè)、創(chuàng)建及管理個(gè)人電子健康檔案。2016年，澳大利亞解散了國(guó)家電子健康過(guò)渡管理局，成立了澳大利亞電子健康署（Australian Commission for Electronic Health），并把“個(gè)人控制電子健康檔案”（Personally Controlled Electronic Health Record，PCEHR）更名為“我的健康檔案”（My Health Record.MyHR），同時(shí)將“我的健康檔案”的選擇性加入（Opt-in）模式更改為選擇性退出（Opt-out）模式，即默認(rèn)每個(gè)澳大利亞人都會(huì)有“我的健康檔案”，除非他們選擇退出。

二、澳大利亞電子健康檔案的隱私保護(hù)舉措

澳大利亞高度重視電子健康檔案的隱私保護(hù)，綜合采取各種措施，建立了從規(guī)劃、收集、存儲(chǔ)、利用到銷毀的全生命周期隱私保護(hù)體系。

（一）規(guī)劃階段

1.完善電子健康檔案隱私保護(hù)的相關(guān)法律。澳大利亞于1988年頒布了《隱私權(quán)法》，將個(gè)人健康和醫(yī)療信息列為“敏感信息”，明確界定了合法收集、使用及披露健康信息的相關(guān)規(guī)定。澳大利亞還制定了十三項(xiàng)隱私保護(hù)原則，針對(duì)個(gè)人信息的收集、儲(chǔ)存、利用、披露、更改和銷毀，提出了明確的隱私保護(hù)要求。鑒于電子健康檔案的特殊性，為了進(jìn)一步加強(qiáng)電子健康檔案隱私保護(hù)力度，并配合在全國(guó)范圍順利推行“個(gè)人控制的電子健康檔案”系統(tǒng)，澳大利亞于2012年6月在《隱私權(quán)法》的基礎(chǔ)上，專門制定了《個(gè)人控制的電子健康檔案法》，2015年正式更名為《我的健康檔案法》（My Health Records Act）?！段业慕】禉n案法》是一部非常具有操作性的法案，對(duì)隱私保護(hù)的范圍規(guī)定得非常細(xì)致，涉及健康信息的收集、存儲(chǔ)、利用、披露及銷毀整個(gè)生命周期，極大地從立法層面上保護(hù)了患者的隱私。

2.明確電子健康檔案隱私保護(hù)機(jī)構(gòu)及職責(zé)。澳大利亞《隱私權(quán)法》規(guī)定成立信息專員辦公室，該機(jī)構(gòu)履行個(gè)人信息隱私保護(hù)的調(diào)查、調(diào)解和執(zhí)法等職責(zé)。信息專員辦公室根據(jù)相關(guān)法律規(guī)定，制定了執(zhí)法細(xì)則?！段业慕】禉n案法》明確了電子健康檔案系統(tǒng)的運(yùn)營(yíng)機(jī)構(gòu)為澳大利亞數(shù)字衛(wèi)生局，其也肩負(fù)著隱私保護(hù)職責(zé)，具體包括：建立及監(jiān)管訪問(wèn)控制權(quán)限機(jī)制和系統(tǒng)健康信息的審計(jì)機(jī)制，建立處理關(guān)于系統(tǒng)相關(guān)投訴機(jī)制;負(fù)責(zé)教育及引導(dǎo)患者、醫(yī)療服務(wù)提供者及相關(guān)參與方，提高隱私保護(hù)意識(shí)，推廣“我的健康檔案”系統(tǒng)：為研究及公共衛(wèi)生準(zhǔn)備及提供匿名化數(shù)據(jù)等職能。澳大利亞高度重視公民的權(quán)利保障，“我的電子健康檔案”信息發(fā)生隱私泄露問(wèn)題后，個(gè)人可以向澳大利亞數(shù)字衛(wèi)生局或澳大利亞信息專員辦公室投訴?！段业慕】禉n案法》也細(xì)化了侵權(quán)的行為與責(zé)任，制定了具體的懲罰措施，確保個(gè)人權(quán)利能得到充分保障。

3.開(kāi)展電子健康檔案隱私影響評(píng)估。澳大利亞隱私原則第一條就強(qiáng)調(diào)管理個(gè)人信息必須公開(kāi)透明，目的是提倡通過(guò)設(shè)計(jì)保護(hù)隱私（privacy by design），即在信息系統(tǒng)設(shè)計(jì)之初，就融入隱私保護(hù)的理念，開(kāi)展隱私影響評(píng)估，將隱私保護(hù)的舉措融入整個(gè)系統(tǒng)建設(shè)過(guò)程之中。2011年，澳大利亞隱私保護(hù)第三方機(jī)構(gòu)組織專業(yè)人員對(duì)于擬在全國(guó)推行的電子健康檔案系統(tǒng)進(jìn)行了詳細(xì)的隱私影響評(píng)估，羅列了電子健康檔案系統(tǒng)可能面臨的隱私風(fēng)險(xiǎn)，提出了完善建議，并將報(bào)告內(nèi)容提交給澳大利亞衛(wèi)生和老齡部參考。澳大利亞衛(wèi)生和老齡部對(duì)該隱私報(bào)告進(jìn)行了認(rèn)真審議，其中77條建議被全部采納，26條建議原則或部分采納，8條建議未采納，1條建議有待進(jìn)一步研究。該部還對(duì)未采納的建議進(jìn)一步征求了澳大利亞國(guó)會(huì)參議院社區(qū)事務(wù)委員會(huì)的意見(jiàn)，并將對(duì)隱私報(bào)告的詳細(xì)回應(yīng)在網(wǎng)上進(jìn)行全文公開(kāi)。

（二）收集階段

1.充分尊重個(gè)人的知情權(quán)。澳大利亞在收集個(gè)人信息時(shí)，將個(gè)人隱私利益放在首位，充分保障個(gè)人的知情權(quán)。澳大利亞隱私原則第三條規(guī)定了個(gè)人信息及敏感信息收集的條件及要求，即必須是為了履行機(jī)構(gòu)職責(zé)，在合理必要的情況下通過(guò)合法、正當(dāng)?shù)氖侄稳〉谩０拇罄麃嗠[私原則第五條規(guī)定了在收集個(gè)人信息時(shí)必須告知當(dāng)事人如下信息：收集信息的機(jī)構(gòu)及其聯(lián)系方式：收集的目的;披露給第三方的一般情形;投訴處理程序及向海外披露該信息的可能性。“我的健康檔案”的注冊(cè)網(wǎng)站也發(fā)布了《隱私收集告知書》，詳細(xì)告知個(gè)人有哪些信息將被系統(tǒng)收集及個(gè)人有哪些相關(guān)權(quán)利。

2.充分尊重個(gè)人的同意權(quán)。澳大利亞公民有權(quán)自主選擇健康信息是否允許被政府收集，并上傳至“我的健康檔案”系統(tǒng)。2016年前，澳大利亞電子健康檔案系統(tǒng)實(shí)施選擇性加入（Opt-in）模式，即醫(yī)療服務(wù)提供者需征得患者的明確同意，且在患者系統(tǒng)注冊(cè)之后才能收集患者的健康信息。由于主動(dòng)注冊(cè)登記的人數(shù)不夠理想，經(jīng)過(guò)評(píng)估，澳大利亞于2016年調(diào)整為選擇性退出（Opt-out）模式，即電子健康信息收集改為立法授權(quán)同意，如果患者不在特定時(shí)間提出異議，政府將默認(rèn)為每個(gè)公民收集健康信息，建立“我的健康檔案”。在政府規(guī)定的特定時(shí)間內(nèi)，14歲以上（含14歲）的澳大利亞公民可以通過(guò)各種渠道選擇不參與“我的健康檔案”系統(tǒng)。14歲以下的公民如果能證明自己有相關(guān)的決策能力，也可以自行選擇退出，或者通過(guò)授權(quán)代表來(lái)做出決定。在放棄期之后，患者也可以改變決定，可再選擇參與或者是不再參與“我的健康檔案”系統(tǒng)。此外，考慮到每個(gè)人對(duì)于隱私的內(nèi)涵和外延理解有差異，公眾對(duì)于隱私的接受程度也不一樣，因此澳大利亞“我的健康檔案”系統(tǒng)強(qiáng)調(diào)以患者為中心，允許患者自己決定上傳哪些健康信息到系統(tǒng)，保障個(gè)人充分享有自主選擇權(quán)。例如，首次登錄系統(tǒng)時(shí)，系統(tǒng)會(huì)提示是否上傳近兩年的健康信息，其中包括醫(yī)保福利方案信息、藥品福利方案信息、免疫接種注冊(cè)信息以及器官捐獻(xiàn)注冊(cè)信息。每個(gè)人還可以通過(guò)“訪問(wèn)權(quán)限”設(shè)置，限定健康信息的收集范圍，醫(yī)療服務(wù)機(jī)構(gòu)只能上傳患者允許范圍內(nèi)的個(gè)人健康信息。根據(jù)《我的健康檔案法》第59條規(guī)定，違反個(gè)人意愿非法收集患者健康信息，將會(huì)被處以重大的刑事或民事處罰。

（三）存儲(chǔ)階段

1.完善電子健康檔案安全防護(hù)體系。澳大利亞“我的電子健康檔案”系統(tǒng)數(shù)據(jù)由全國(guó)統(tǒng)一集中存儲(chǔ)，為了更好地監(jiān)控和保障電子健康檔案的數(shù)據(jù)安全，系統(tǒng)運(yùn)作機(jī)構(gòu)即澳大利亞數(shù)字衛(wèi)生局專門成立了數(shù)字健康網(wǎng)絡(luò)安全中心。該中心采用了一系列技術(shù)手段和管理策略來(lái)保護(hù)“我的健康檔案”系統(tǒng)中所保存的敏感個(gè)人和健康信息，包括：阻止未經(jīng)授權(quán)訪問(wèn)的防火墻：跟蹤記錄訪問(wèn)情況的審核日志：對(duì)上傳至“我的健康檔案”系統(tǒng)的文檔進(jìn)行初始和定期防病毒掃描：所有參與管理“我的健康檔案”系統(tǒng)的人員都需要接受安全記錄調(diào)查。同時(shí)，網(wǎng)絡(luò)安全中心也設(shè)計(jì)了一系列安全流程，限制對(duì)“我的健康檔案”系統(tǒng)、服務(wù)器和管理計(jì)算機(jī)的訪問(wèn)。外部軟件需經(jīng)過(guò)一致性流程審核，才可連接到“我的健康檔案”系統(tǒng)。

2.確保電子健康檔案信息的準(zhǔn)確性。為了確保電子健康檔案系統(tǒng)信息的準(zhǔn)確性，根據(jù)《我的健康檔案法》第73條規(guī)定，澳大利亞數(shù)字衛(wèi)生局有更正電子健康檔案信息的義務(wù)，可以要求系統(tǒng)參與者更正電子健康檔案的個(gè)人信息并上傳至系統(tǒng)。如果系統(tǒng)參與者拒絕更正，澳大利亞數(shù)字衛(wèi)生局可以指導(dǎo)系統(tǒng)參與者把患者提供的關(guān)于檔案中個(gè)人信息的相關(guān)聲明及該檔案上傳至系統(tǒng)，而系統(tǒng)參與者必須服從系統(tǒng)運(yùn)作機(jī)構(gòu)的指導(dǎo)。因此，當(dāng)患者發(fā)現(xiàn)個(gè)人健康檔案信息不準(zhǔn)確時(shí)，他們可以向澳大利亞數(shù)字衛(wèi)生局要求相關(guān)醫(yī)療部門予以更正，避免因信息不準(zhǔn)確產(chǎn)生個(gè)人隱私風(fēng)險(xiǎn)。

3.建立電子健康檔案信息泄露通知制度。澳大利亞《隱私法》規(guī)定，當(dāng)發(fā)生個(gè)人信息泄露并可能對(duì)與信息有關(guān)的個(gè)人造成嚴(yán)重傷害時(shí)，信息保管機(jī)構(gòu)需要強(qiáng)制履行信息泄露通知義務(wù)，及時(shí)采取補(bǔ)救措施，將隱私泄露的傷害降到最低。《我的健康檔案法》規(guī)定，“我的健康檔案”系統(tǒng)中的信息發(fā)生泄露，醫(yī)療服務(wù)提供商需要將數(shù)據(jù)泄露情況在30天內(nèi)通知澳大利亞數(shù)字衛(wèi)生局和澳大利亞信息專員辦公室（其中州或地區(qū)的組織機(jī)構(gòu)不強(qiáng)制向澳大利亞信息專員辦公室報(bào)告），澳大利亞數(shù)字衛(wèi)生局必須向澳大利亞信息專員辦公室報(bào)告相關(guān)情況并同時(shí)通知受影響的個(gè)人。澳大利亞政府同時(shí)要求電子健康檔案信息的保管機(jī)構(gòu)制定信息泄露應(yīng)急響應(yīng)預(yù)案，明確隱私管理機(jī)構(gòu)和職責(zé)，完善隱私管理內(nèi)部流程。對(duì)于不遵守電子健康檔案信息泄露通知義務(wù)的個(gè)人，最高可給予36萬(wàn)美元的罰款：對(duì)于違反規(guī)定的機(jī)構(gòu)，可最多給予180萬(wàn)美元的罰款，并注銷或暫停相關(guān)醫(yī)療服務(wù)機(jī)構(gòu)在電子健康檔案系統(tǒng)的使用資格。

（四）利用階段

電子健康檔案的利用階段是泄露個(gè)人隱私的重要風(fēng)險(xiǎn)點(diǎn)，也是個(gè)人隱私保護(hù)的重點(diǎn)環(huán)節(jié)，因此，澳大利亞對(duì)電子健康檔案的利用與披露環(huán)節(jié)做出了詳細(xì)的規(guī)定。

1.充分保障個(gè)人的知情選擇權(quán)。個(gè)人可以在“我的健康檔案”系統(tǒng)進(jìn)行隱私和訪問(wèn)權(quán)限設(shè)置，并可以隨時(shí)更改訪問(wèn)權(quán)限。訪問(wèn)權(quán)限設(shè)置主要有以下功能：一是患者可以進(jìn)行隱私高級(jí)訪問(wèn)設(shè)置，包括：設(shè)置記錄訪問(wèn)碼，以便允許選定的醫(yī)療服務(wù)機(jī)構(gòu)訪問(wèn);控制對(duì)特定文檔的訪問(wèn)，以限制可以查看的人士：賦予指定代表（如家人、密友或照料人）訪問(wèn)權(quán)限。二是患者可以對(duì)電子健康檔案利用情況進(jìn)行訪問(wèn)監(jiān)控。患者可以在系統(tǒng)中設(shè)置自動(dòng)通知，以便在新的醫(yī)療服務(wù)提供者訪問(wèn)“我的健康檔案”時(shí)（包括緊急訪問(wèn)）或者是有異常訪問(wèn)時(shí)收到電子郵件或短消息提醒。用戶可以在網(wǎng)上查閱到自己的健康檔案被查閱的時(shí)間、機(jī)構(gòu)及操作內(nèi)容（如上傳、修改、下載或刪除）。三是如果患者不愿意共享自己的健康信息用于科研或者是公共健康方面，可在系統(tǒng)中設(shè)置取消參與，相關(guān)機(jī)構(gòu)不得收集相關(guān)信息進(jìn)行二次利用。

2.明確電子健康檔案的利用范圍。澳大利亞隱私原則第六條規(guī)定了個(gè)人信息的利用及披露的相關(guān)規(guī)定，除了法律規(guī)定的特殊情況以外，原則上個(gè)人信息只能用于收集的初始目的，不得二次利用。《我的健康檔案法》第四部分第二章也對(duì)電子健康檔案信息的利用及披露等情況做了詳細(xì)規(guī)定。電子健康檔案原則上只能用于醫(yī)療保健服務(wù)，其系統(tǒng)默認(rèn)設(shè)置為信息可供醫(yī)療服務(wù)提供者進(jìn)行常規(guī)訪問(wèn)。如果電子健康檔案要用于醫(yī)療服務(wù)之外的其他用途（即二次利用），必須取得患者的同意，除非法律有特殊規(guī)定。違法使用或披露“我的健康檔案”信息，按照《我的健康檔案法》第59條和第60條，可處以民事處罰12.6萬(wàn)澳元的罰款、兩年監(jiān)禁的刑事處罰或者兩者并罰。不需經(jīng)患者本人同意，即可利用其電子健康檔案的法定情形主要有以下幾種。

（1）醫(yī)療服務(wù)機(jī)構(gòu)可以在患者生命、健康或安全受到了嚴(yán)重的威脅時(shí)，使用及披露患者的電子健康檔案。在這種情形下，醫(yī)療服務(wù)機(jī)構(gòu)無(wú)法或者不可能獲得患者的明確同意，但是為了提供最好的治療和護(hù)理，經(jīng)相關(guān)組織同意，可以啟動(dòng)緊急訪問(wèn)，查看患者的健康信息，比如過(guò)敏史、用藥史和免疫接種等。緊急訪問(wèn)最長(zhǎng)可以持續(xù)5天時(shí)間，并且會(huì)顯示在患者的記錄訪問(wèn)日志中。

（2）如果電子健康檔案的利用或披露對(duì)于預(yù)防或調(diào)查犯罪和保護(hù)公共利益是必要的，那么基于保護(hù)公共利益的目的，經(jīng)澳大利亞數(shù)字衛(wèi)生局審查后，可以向司法機(jī)構(gòu)或執(zhí)法機(jī)構(gòu)披露患者電子健康檔案信息。但是司法機(jī)構(gòu)和執(zhí)法機(jī)構(gòu)無(wú)權(quán)直接訪問(wèn)“我的健康檔案”系統(tǒng)，需要由澳大利亞數(shù)字衛(wèi)生局根據(jù)執(zhí)法目的提供相關(guān)信息，且任何信息披露將限制在滿足請(qǐng)求目的所必需內(nèi)容之內(nèi)。澳大利亞數(shù)字衛(wèi)生局將披露信息的情況以書面形式記載存檔，并視披露信息的具體情況來(lái)決定是否要通知相關(guān)個(gè)人。

（3）澳大利亞“我的健康檔案”信息可用于科學(xué)研究和以促進(jìn)公眾健康為目的的二次利用，但不能用于保險(xiǎn)公司等商業(yè)服務(wù)。澳大利亞政府制定了《我的健康檔案數(shù)據(jù)二次利用的框架》（以下簡(jiǎn)稱《框架》），規(guī)定了“我的健康檔案”中不同類別的數(shù)據(jù)在何種情形下能被用于科研、政策制定及規(guī)劃等用途。澳大利亞衛(wèi)生福利中心負(fù)責(zé)保管電子健康檔案二次利用數(shù)據(jù)，“我的健康檔案”數(shù)據(jù)二次利用管理委員會(huì)負(fù)責(zé)《框架》的實(shí)施?！犊蚣堋愤€詳細(xì)規(guī)定了申請(qǐng)數(shù)據(jù)二次利用的條件、步驟、委員會(huì)的審核標(biāo)準(zhǔn)、利用環(huán)境和監(jiān)管制度，規(guī)范了數(shù)據(jù)準(zhǔn)備環(huán)節(jié)和披露環(huán)節(jié)的隱私保護(hù)細(xì)節(jié)，大大減少了電子健康檔案二次利用中的隱私泄露風(fēng)險(xiǎn)。

（4）禁止跨境傳輸電子健康檔案信息?！段业慕】禉n案法》規(guī)定，把“我的健康檔案”系統(tǒng)的健康信息帶出澳大利亞境外，在境外持有、處理“我的健康檔案”或者是導(dǎo)致以上的行為結(jié)果，可處以民事處罰12600澳元的罰款、兩年監(jiān)禁的刑事處罰或者是兩者并罰。

（五）銷毀階段

根據(jù)《我的健康檔案法》第17條，澳大利亞數(shù)字衛(wèi)生局負(fù)責(zé)儲(chǔ)存保管上傳到中央服務(wù)器的電子健康檔案。保管期限從上傳到中央服務(wù)器之時(shí)到患者去世后的30年;如果無(wú)法確定患者的死亡日期，則保管至患者出生后的130年。按照目前系統(tǒng)的設(shè)置，患者有權(quán)限清除自己的“我的健康檔案”中的臨床和國(guó)民醫(yī)保相關(guān)的電子健康檔案。清除后，醫(yī)療服務(wù)提供者將無(wú)法訪問(wèn)這些臨床電子健康檔案，包括在緊急情況下。如果患者改變主意或錯(cuò)誤地清除了某個(gè)文檔，患者還可以恢復(fù)該文檔。但是這個(gè)清除功能也引起了一些爭(zhēng)議，有些患者認(rèn)為，清除功能并不是永久刪除功能，意味著這些健康信息還是存儲(chǔ)在系統(tǒng)里，只是當(dāng)前被禁用，而且經(jīng)過(guò)批準(zhǔn)后還可以進(jìn)行利用，存在一定的隱私泄露風(fēng)險(xiǎn)。為了消除公眾的疑慮，澳大利亞衛(wèi)生部也承諾，將進(jìn)一步加強(qiáng)立法，在《我的健康檔案法》中增加隱私保護(hù)條款，如有人想永久刪除存儲(chǔ)在“我的健康檔案”系統(tǒng)中的信息，澳大利亞政府將立法保障他們的權(quán)益。

三、對(duì)完善我國(guó)電子健康檔案隱私保護(hù)體系的啟示

我國(guó)于2009年啟動(dòng)全民健康檔案計(jì)劃，將建立居民電子健康檔案作為促進(jìn)基本公共衛(wèi)生服務(wù)均等化的重要手段和深化醫(yī)藥衛(wèi)生體制改革的重要工作。目前我國(guó)尚未建立全國(guó)層面的電子健康檔案系統(tǒng)，但很多省市已經(jīng)逐步建立電子健康檔案管理平臺(tái)。據(jù)國(guó)家衛(wèi)生管理部門提供的資料，截至2015年底，全國(guó)居民電子健康檔案建檔率達(dá)76.4%。我國(guó)目前尚未制定全面的個(gè)人信息保護(hù)法或者電子健康檔案信息保護(hù)專門法，隱私泄露事件屢有發(fā)生，電子健康檔案隱私保護(hù)體系有待進(jìn)一步完善。澳大利亞通過(guò)完善立法、成立機(jī)構(gòu)、改進(jìn)技術(shù)、加強(qiáng)監(jiān)管等方式，建立了較完善的電子健康檔案全生命周期隱私保護(hù)體系，其經(jīng)驗(yàn)和做法值得我們學(xué)習(xí)。

（一）完善電子健康檔案隱私保護(hù)的法律法規(guī)

澳大利亞制定了《隱私權(quán)法》和隱私保護(hù)國(guó)家原則，全面保護(hù)各類個(gè)人信息。在此基礎(chǔ)上，針對(duì)屬于“敏感信息”的電子健康檔案，專門出臺(tái)了《醫(yī)療標(biāo)識(shí)法案》和《我的健康檔案法》，對(duì)電子健康檔案在規(guī)劃、創(chuàng)建、保管、利用和銷毀階段的隱私保護(hù)進(jìn)行了詳細(xì)規(guī)定，內(nèi)容完善且條款細(xì)致，具有很強(qiáng)的針對(duì)性和操作性。而且，澳大利亞還根據(jù)實(shí)際工作中發(fā)現(xiàn)的問(wèn)題，不斷修訂和完善相關(guān)法律條款。除此之外，澳大利亞還出臺(tái)了電子健康檔案隱私保護(hù)的相關(guān)指南，對(duì)相關(guān)法律條款內(nèi)容進(jìn)行進(jìn)一步解釋和細(xì)化。我國(guó)尚未建立完整的電子健康檔案隱私保護(hù)立法體系，關(guān)于電子健康檔案隱私保護(hù)的法律規(guī)定零散地出現(xiàn)于《刑法》《民法通則》《侵權(quán)責(zé)任法》《網(wǎng)絡(luò)安全法》《執(zhí)業(yè)醫(yī)師法》《護(hù)士條例》等相關(guān)法律法規(guī)中，立法體系零散、內(nèi)容高度概括、可操作性不強(qiáng)、侵權(quán)賠償標(biāo)準(zhǔn)籠統(tǒng)，特別是對(duì)于“電子健康檔案”等敏感信息沒(méi)有區(qū)別保護(hù)機(jī)制，保護(hù)力度有限。我國(guó)衛(wèi)生行政管理部門2014年出臺(tái)了《人口健康信息管理辦法（試行）》，但作為部門規(guī)章，該辦法效力層級(jí)較低，且只提出了原則性要求，很多細(xì)節(jié)未明確，例如在利用環(huán)節(jié)，只是提出責(zé)任單位應(yīng)當(dāng)建立人口健康信息綜合利用工作制度，授權(quán)利用有關(guān)信息，但對(duì)于電子健康檔案初次利用和二次利用的原則、范圍、方式均沒(méi)有涉及，與澳大利亞《我的健康檔案法》相比，在內(nèi)容的系統(tǒng)性、保護(hù)的全面性、操作的可執(zhí)行性等方面差距明顯。電子健康檔案屬于高度敏感的個(gè)人信息，我國(guó)可以參照澳大利亞等國(guó)家的理念和做法，在整體立法保護(hù)的基礎(chǔ)上，針對(duì)電子健康檔案隱私保護(hù)出臺(tái)專門的法律法規(guī)，或者在個(gè)人信息保護(hù)法中對(duì)“電子健康檔案”等敏感信息予以專門規(guī)定，細(xì)化電子健康檔案在規(guī)劃、創(chuàng)建、保管、利用和銷毀等全生命周期的隱私保護(hù)舉措，針對(duì)每個(gè)周期的隱私泄露風(fēng)險(xiǎn)點(diǎn)，建立全面、具體的隱私保護(hù)體系，提高立法的系統(tǒng)性和可操作性。

（二）強(qiáng)化電子健康檔案隱私保護(hù)的監(jiān)管體制

澳大利亞設(shè)立了信息專員辦公室，全面履行個(gè)人隱私保護(hù)的調(diào)查、調(diào)解和執(zhí)法等職責(zé)。針對(duì)“我的健康檔案”系統(tǒng)的健康信息管理和保護(hù)，澳大利亞還專門成立數(shù)字衛(wèi)生局，明確其隱私保護(hù)的監(jiān)管職責(zé)。同時(shí)，澳大利亞在信息專員辦公室網(wǎng)站、澳大利亞數(shù)字衛(wèi)生局網(wǎng)站、“我的健康檔案”網(wǎng)站的顯著位置公開(kāi)隱私保護(hù)的投訴機(jī)構(gòu)、投訴方式和解決途徑，并制定了相關(guān)的投訴指南，讓普通民眾能夠清楚了解個(gè)人健康隱私被侵犯后，如何申請(qǐng)權(quán)利救濟(jì)。澳大利亞信息專員辦公室每年還定期在網(wǎng)站上公布隱私保護(hù)報(bào)告，讓民眾知曉隱私保護(hù)的舉措和效果。此外，澳大利亞授予信息專員辦公室根據(jù)《隱私權(quán)法》和《我的健康檔案法》制定《行使信息專員權(quán)力的指導(dǎo)方針》，采取多種法律制裁手段來(lái)處理違法行為。我國(guó)尚未成立專門的個(gè)人信息隱私保護(hù)機(jī)構(gòu)，國(guó)家衛(wèi)生計(jì)生委頒布的《人口健康信息管理辦法（試行）》規(guī)定，縣級(jí)以上人民政府衛(wèi)生計(jì)生行政部門是人口健康信息主管部門，各級(jí)各類醫(yī)療衛(wèi)生計(jì)生服務(wù)機(jī)構(gòu)是人口健康信息管理中的責(zé)任單位。當(dāng)前，我國(guó)電子健康檔案管理平臺(tái)主要由各級(jí)衛(wèi)生計(jì)生行政部門牽頭推進(jìn)建設(shè)，并負(fù)責(zé)電子健康檔案的集中保管和利用服務(wù)，電子健康檔案的隱私保護(hù)監(jiān)督責(zé)任不明確。各級(jí)衛(wèi)生計(jì)生行政部門既當(dāng)運(yùn)動(dòng)員又當(dāng)裁判員的現(xiàn)狀，注定了難以勝任電子健康檔案隱私保護(hù)和監(jiān)管工作。基于我國(guó)目前的國(guó)情和機(jī)構(gòu)改革的背景，我國(guó)獨(dú)立設(shè)置個(gè)人信息保護(hù)機(jī)構(gòu)不太現(xiàn)實(shí)，但我國(guó)可以參考澳大利亞的相關(guān)做法，讓各級(jí)衛(wèi)生計(jì)生行政部門承擔(dān)類似澳大利亞數(shù)字衛(wèi)生局的職能，負(fù)責(zé)監(jiān)管各級(jí)各類醫(yī)療衛(wèi)生服務(wù)機(jī)構(gòu)的隱私保護(hù)，對(duì)于衛(wèi)生計(jì)生行政部門的隱私保護(hù)監(jiān)管，則由同級(jí)政府的相關(guān)部門負(fù)責(zé)（例如，有些地方設(shè)置的大數(shù)據(jù)管理局）。我國(guó)需要整合已有的相關(guān)管理機(jī)構(gòu)，建立統(tǒng)一的電子健康檔案隱私保護(hù)監(jiān)管體系，明確侵權(quán)賠償標(biāo)準(zhǔn)，完善監(jiān)管細(xì)則，加大各類違法行為的懲罰力度。

（三）充分調(diào)動(dòng)電子健康檔案隱私保護(hù)的個(gè)人積極性

澳大利亞高度重視個(gè)人的隱私權(quán)利，充分尊重個(gè)人的知情選擇權(quán)，將個(gè)人的隱私保護(hù)理念滲透到每個(gè)細(xì)節(jié)中。例如，在創(chuàng)建階段，由個(gè)人選擇是否同意其電子健康檔案被系統(tǒng)采集，即使同意，個(gè)人也可以自主選擇具體采集哪些健康檔案：在利用階段，個(gè)人可以自主設(shè)置查閱權(quán)限，決定個(gè)人健康檔案的具體用途和查閱方式，并可以隨時(shí)監(jiān)控電子健康檔案的訪問(wèn)利用情況：在保管階段，針對(duì)不準(zhǔn)確的信息，個(gè)人還可以要求進(jìn)行更正，并可以要求管理部門對(duì)個(gè)人電子健康檔案相關(guān)信息進(jìn)行刪除。澳大利亞健康信息服務(wù)網(wǎng)站設(shè)有“隱私與信息安全”專欄，就居民關(guān)心的“電子健康檔案主要收集了哪些個(gè)人信息”“主診醫(yī)生在查閱健康檔案時(shí)，哪些信息將會(huì)被看到”“系統(tǒng)操作員是如何保證電子健康檔案的信息安全的”“如何糾正和更新個(gè)人的電子健康檔案信息”等問(wèn)題，進(jìn)行了詳細(xì)的回答和說(shuō)明，使普通民眾能深入了解個(gè)人隱私保護(hù)的相關(guān)問(wèn)題。我國(guó)電子健康檔案隱私保護(hù)的相關(guān)法律法規(guī)和規(guī)章制度，對(duì)個(gè)人權(quán)利的保障力度還不夠，個(gè)人對(duì)于電子健康檔案的收集、保管、利用和刪除沒(méi)有充分的知情權(quán)和選擇權(quán)。在電子健康檔案系統(tǒng)的建設(shè)過(guò)程中，過(guò)多強(qiáng)調(diào)政府的統(tǒng)一主導(dǎo)，整個(gè)管理過(guò)程透明度不高，宣傳教育力度不夠，民眾的參與度不深。隱私的概念具有主觀性和復(fù)雜性，每個(gè)人對(duì)于隱私的內(nèi)涵和外延的理解都不一樣，我們?nèi)粝虢⑼晟频碾娮咏】禉n案隱私保護(hù)體系，可以借鑒澳大利亞的做法，充分尊重民眾的個(gè)人權(quán)利，加強(qiáng)宣傳教育，充分調(diào)動(dòng)民眾對(duì)電子健康檔案隱私保護(hù)的積極性和主動(dòng)性。

（四）重視電子健康檔案規(guī)劃階段的隱私影響評(píng)估

澳大利亞在正式推廣“我的健康檔案”系統(tǒng)之前，就深入開(kāi)展試點(diǎn)工作，并進(jìn)行了電子健康檔案隱私影響評(píng)估工作。在電子健康檔案系統(tǒng)設(shè)計(jì)之初或正式實(shí)施前，澳大利亞組織第三方對(duì)于整個(gè)生命周期的隱私風(fēng)險(xiǎn)點(diǎn)進(jìn)行詳細(xì)評(píng)估和及時(shí)改進(jìn)，將隱私保護(hù)理念融入整個(gè)建設(shè)過(guò)程中，最大限度地提高隱私保護(hù)的系統(tǒng)性，避免系統(tǒng)后期改造的高額成本。當(dāng)前，我國(guó)各地都在大力推進(jìn)電子健康檔案平臺(tái)建設(shè)，但是在系統(tǒng)功能需求分析或系統(tǒng)試行時(shí)，缺乏隱私保護(hù)設(shè)計(jì)的理念，甚少組織專門人員開(kāi)展專項(xiàng)的隱私影響評(píng)估，對(duì)于隱私風(fēng)險(xiǎn)的預(yù)判和應(yīng)對(duì)缺乏深入論證，導(dǎo)致電子健康檔案系統(tǒng)的隱私保護(hù)的頂層設(shè)計(jì)先天不足。我國(guó)可以借鑒澳大利亞的做法，樹(shù)立隱私保護(hù)的前端控制理念，在電子健康檔案規(guī)劃階段就深入開(kāi)展隱私影響評(píng)估，制定詳細(xì)的隱私影響評(píng)估流程，深入分析整個(gè)生命周期的隱私風(fēng)險(xiǎn)和應(yīng)對(duì)舉措，強(qiáng)化隱私保護(hù)體系的頂層設(shè)計(jì)。

四、結(jié)語(yǔ)

澳大利亞將隱私保護(hù)作為電子健康檔案建設(shè)的重要內(nèi)容，詳細(xì)分析電子健康檔案在規(guī)劃、收集、存儲(chǔ)、利用、銷毀等不同階段的隱私泄露風(fēng)險(xiǎn)，制定具有針對(duì)性的隱私保護(hù)舉措，建立了嚴(yán)謹(jǐn)、高效的全生命周期隱私保護(hù)體系。我國(guó)可以結(jié)合實(shí)際情況，從完善法律法規(guī)、強(qiáng)化監(jiān)管體制、調(diào)動(dòng)個(gè)人積極性、開(kāi)展隱私影響評(píng)估等多方面借鑒澳大利亞的先進(jìn)做法，進(jìn)一步完善我國(guó)的電子健康檔案隱私保護(hù)體系。

作者單位：中山大學(xué)資訊管理學(xué)院