齊惠穎，李亞子

1北京大學(xué)醫(yī)學(xué)人文學(xué)院健康信息管理系，北京，100191；2中國(guó)醫(yī)學(xué)科學(xué)院醫(yī)學(xué)信息研究所，北京，100020

建立居民電子健康檔案，實(shí)現(xiàn)居民健康信息聯(lián)網(wǎng)查詢。這不僅方便居民就醫(yī)，減輕經(jīng)濟(jì)負(fù)擔(dān)，而且可以讓醫(yī)生快速了解居民過(guò)往病史，準(zhǔn)確判斷居民病情，減少重復(fù)檢查，防止漏診、誤診。而電子健康檔案包含個(gè)人就診記錄等私密信息，一旦被泄露損失不堪設(shè)想，開放居民電子健康檔案將使隱私保護(hù)和信息安全面臨巨大挑戰(zhàn)。開放共享居民電子健康檔案，前提是我國(guó)要制定保障個(gè)人隱私的政策規(guī)定，防止個(gè)人隱私泄露或被非法利用，確保保護(hù)個(gè)人健康隱私的法律法規(guī)已完善，并能真正發(fā)揮作用。

歐美等地區(qū)發(fā)達(dá)國(guó)家已經(jīng)建成一套比較成熟的居民電子健康檔案開放隱私保護(hù)政策法規(guī)體系，解讀其制定情況，發(fā)掘可借鑒之處，可以為我國(guó)居民電子健康信息隱私保護(hù)法律法規(guī)的完善提供參考。

1 國(guó)內(nèi)外相關(guān)研究

對(duì)于電子健康檔案的隱私保護(hù)問(wèn)題，一些學(xué)者從不同角度進(jìn)行了相關(guān)的研究。國(guó)外學(xué)者主要針對(duì)醫(yī)療電子健康信息的隱私性、可靠性和侵權(quán)責(zé)任這三個(gè)方面的挑戰(zhàn)提出了針對(duì)性的建議[1]；從技術(shù)和政策兩個(gè)方面研究了患者隱私和數(shù)據(jù)共享之間的平衡關(guān)系[2]；從數(shù)據(jù)識(shí)別技術(shù)、對(duì)研究者和研究的信任以及相關(guān)技術(shù)平臺(tái)的安全三個(gè)方面提出患者的隱私保護(hù)策略[3]。從技術(shù)實(shí)現(xiàn)層面通過(guò)事件驅(qū)動(dòng)的混合身份管理方法來(lái)增加電子健康檔案的保密性[4]；研究了基于云計(jì)算的電子健康檔案的安全和隱私保護(hù)問(wèn)題，認(rèn)為云服務(wù)提供商必須制定安全機(jī)制來(lái)防止未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露[5]；提出確保電子健康檔案數(shù)據(jù)隱私信息損失最小化的解決方案[6]。

國(guó)內(nèi)學(xué)者重點(diǎn)從保護(hù)個(gè)人隱私的可行性及其實(shí)現(xiàn)路線[7]、電子健康檔案的建設(shè)中不同利益相關(guān)者的要求[8]、共享服務(wù)系統(tǒng)建設(shè)[9]、居民電子健康檔案管理與隱私保護(hù)現(xiàn)狀及政策[10]、電子健康檔案應(yīng)用問(wèn)題與應(yīng)對(duì)戰(zhàn)略[11]等方面著手，從立法模式的角度，探究我國(guó)居民在電子健康檔案的開放過(guò)程中存在的各種問(wèn)題[12]。從意識(shí)、法律、管理、技術(shù)四個(gè)方面研究電子健康檔案的隱私保障對(duì)策[13]，通過(guò)介紹國(guó)外電子健康檔案系統(tǒng)建設(shè)的特點(diǎn)，對(duì)我國(guó)電子健康檔案系統(tǒng)建設(shè)狀況提出了改進(jìn)的建議[14]。

當(dāng)前國(guó)內(nèi)外相關(guān)研究主要從隱私策略可行性、可靠性、侵權(quán)責(zé)任、利益相關(guān)者利益需求層面探究了電子健康檔案開放的各種問(wèn)題和應(yīng)對(duì)策略，從政策和技術(shù)實(shí)現(xiàn)層面分析了隱私保護(hù)策略如何制定的問(wèn)題，而較少對(duì)發(fā)達(dá)國(guó)家開放隱私保護(hù)政策法規(guī)系統(tǒng)考察，由于發(fā)達(dá)國(guó)家隱私保護(hù)政策法規(guī)較早制定和實(shí)施，借鑒其相關(guān)經(jīng)驗(yàn)，對(duì)完善我國(guó)的政策法規(guī)建設(shè)具有重要的意義?；诖?，本文以發(fā)達(dá)國(guó)家和地區(qū)16部與健康信息隱私保護(hù)相關(guān)法律法規(guī)為研究對(duì)象，解讀其內(nèi)容，以期為我國(guó)電子健康檔案開放隱私保護(hù)相關(guān)政策的完善提供借鑒。

2 歐美等地區(qū)發(fā)達(dá)國(guó)家居民電子健康檔案開放隱私保護(hù)政策

通過(guò)瀏覽美國(guó)、加拿大、英國(guó)、澳大利亞和歐盟的醫(yī)療衛(wèi)生部門官方網(wǎng)站，同時(shí)檢索中國(guó)知網(wǎng)、PubMed、Web of Science等國(guó)內(nèi)外數(shù)據(jù)庫(kù)，調(diào)研16部有關(guān)居民健康信息隱私保護(hù)相關(guān)法律法規(guī)，如表1所示。對(duì)這些法律法規(guī)從概念的界定、患者隱私權(quán)、侵權(quán)行為與責(zé)罰方式、發(fā)展歷程四個(gè)方面進(jìn)行系統(tǒng)梳理，總結(jié)和分析其特點(diǎn)[15-30]。

表1 與隱私保護(hù)相關(guān)法律

2.1 個(gè)人電子健康信息的概念

目前多部立法中都對(duì)個(gè)人電子健康信息做出了具體的定義，如美國(guó)的《健康保險(xiǎn)流通與責(zé)任法案》(health insurance portability and accountability act，HIPAA)規(guī)定受保護(hù)的個(gè)人電子健康信息包括與個(gè)人過(guò)去、現(xiàn)在以及未來(lái)健康狀況有關(guān)的個(gè)人可識(shí)別信息。個(gè)人電子健康信息包括兩種，一種是人口統(tǒng)計(jì)信息，包括證件號(hào)碼、年齡、性別、種族、聯(lián)系方式等；另一類是健康信息，包括診斷、治療信息、醫(yī)學(xué)檢測(cè)結(jié)果和處方信息[16]。加拿大《個(gè)人健康信息保護(hù)法案》(personal health information act，PHIA)對(duì)個(gè)人健康信息的界定涉及在衛(wèi)生保健過(guò)程中收集的所有個(gè)人身份識(shí)別信息[23]。歐盟《通用數(shù)據(jù)保護(hù)條例》(general data protection regulations，GDPR)將其定義為與人的身體和精神有關(guān)、顯示個(gè)人健康情況的數(shù)據(jù)[27]。

由此可見(jiàn)，這些法律法規(guī)對(duì)個(gè)人電子健康信息的界定內(nèi)容雖然不盡相同，但其核心內(nèi)容都是強(qiáng)調(diào)保護(hù)貫穿生命過(guò)程的、帶有識(shí)別特征的個(gè)人健康信息。

2.2 隱私信息泄露

美國(guó)HIPAA規(guī)定，對(duì)個(gè)人信息的非法泄露主要是“未經(jīng)授權(quán)的披露或使用，導(dǎo)致個(gè)人信息的機(jī)密性、完整性和可用性受到破壞”。美國(guó)HIPAA中描述的隱私規(guī)則禁止未經(jīng)個(gè)人許可的情況下向未經(jīng)授權(quán)的人披露某些健康信息[17]。衛(wèi)生與公共服務(wù)部民權(quán)辦公室(office for civil rights,OCR)負(fù)責(zé)管理和執(zhí)行這些標(biāo)準(zhǔn)，并可進(jìn)行投訴調(diào)查和合規(guī)審查[16]。

歐盟GDPR將信息泄露責(zé)任擴(kuò)大了范圍，在信息保護(hù)方面，過(guò)去僅僅是數(shù)據(jù)持有者負(fù)責(zé)數(shù)據(jù)的保護(hù)，現(xiàn)在數(shù)據(jù)處理人也直接負(fù)責(zé)保護(hù)；信息泄露后數(shù)據(jù)供應(yīng)鏈的各方均將承擔(dān)責(zé)任。對(duì)于信息泄露，要求主管監(jiān)督機(jī)關(guān)通知信息控制人報(bào)知數(shù)據(jù)泄露情況，若信息泄露達(dá)到了個(gè)人信息披露通知的標(biāo)準(zhǔn)，信息控制人必須通知因違反規(guī)定行為而受到影響的個(gè)人[27]。

2.3 責(zé)罰方式

多部法律法規(guī)除了對(duì)泄露健康隱私信息的行為作了嚴(yán)格規(guī)定之外，還制訂了詳細(xì)的責(zé)罰標(biāo)準(zhǔn)，對(duì)違反安全隱私條例的懲罰通常分為民事和刑法兩類，而具體責(zé)罰主要分為兩種：罰款和監(jiān)禁。美國(guó)HIPAA法案對(duì)隱私泄露做出了懲罰，處罰分為民事罰款和刑事起訴兩種。對(duì)于民事罰款，規(guī)定在2009年2月18日之前發(fā)生的違規(guī)行為每次違規(guī)罰款金額最高為100美元，多次違規(guī)處罰上限為2.5萬(wàn)美元在2009年2月18日之后發(fā)生的違規(guī)行為每次違規(guī)罰款金額為100美元至5萬(wàn)美元或更多，多次違規(guī)處罰上限為150萬(wàn)美元。刑事處罰規(guī)定對(duì)故意收集或公開他人的健康信息處以5萬(wàn)美元罰款，另加一年的監(jiān)禁；另外，涉及販賣或非法傷害個(gè)人健康信息，最高罰款金額將達(dá)25萬(wàn)美元，最長(zhǎng)的監(jiān)禁時(shí)間為10年。

歐盟GDPR比HIPAA的懲罰力度更大，GDPR規(guī)定如果一家機(jī)構(gòu)違反了相關(guān)規(guī)定，罰款金額將高達(dá)2400萬(wàn)美元，或者機(jī)構(gòu)年收入的4%，并以兩者中的高者為準(zhǔn)。

2.4 個(gè)人健康信息隱私保護(hù)法律法規(guī)的發(fā)展歷程

根據(jù)個(gè)人健康信息隱私保護(hù)相關(guān)法律法規(guī)的頒布時(shí)間和內(nèi)容，可將不同國(guó)家和地區(qū)制定的法律法規(guī)分為三個(gè)階段。

第一階段：初步建立階段。

這一階段制定的法律法規(guī)對(duì)個(gè)人隱私信息的保護(hù)發(fā)揮了一定作用，本階段最早頒布的法律法規(guī)是1974年美國(guó)頒布的《隱私權(quán)法》，該法律也是當(dāng)時(shí)美國(guó)政府最基本的保障個(gè)人隱私的法規(guī)[15]。美國(guó)隨后頒布的一系列相關(guān)法律都是在這個(gè)基礎(chǔ)上建立的；1984年英國(guó)通過(guò)的《數(shù)據(jù)保護(hù)法案》對(duì)個(gè)人隱私信息也有非常具體的規(guī)定，明確持有數(shù)據(jù)的機(jī)構(gòu)都應(yīng)遵守這一規(guī)則，并明確規(guī)定了個(gè)人有權(quán)選擇如何共享自己的健康信息[28]。1983年加拿大頒布的《隱私權(quán)法》[20]和1984年頒布的《加拿大健康法》[21]同樣包括了個(gè)人信息的隱私保護(hù)的內(nèi)容；1988年頒布的澳大利亞《隱私權(quán)法》[24]與《隱私與個(gè)人信息保護(hù)法》[25]也明確規(guī)定了個(gè)人隱私信息的安全性。這一階段出臺(tái)的法律規(guī)定并未明確個(gè)人隱私的范圍和相應(yīng)的處罰標(biāo)準(zhǔn)，對(duì)個(gè)人隱私的保障并不完善，缺乏個(gè)人健康隱私保護(hù)的完整性，也不能滿足個(gè)人對(duì)隱私權(quán)的要求。

第二階段：不斷完善階段。

隨著個(gè)人隱私保護(hù)意識(shí)的不斷提高，健康信息隱私保護(hù)內(nèi)容也不斷得到增加和補(bǔ)充，該階段相繼出臺(tái)了一系列新的法律規(guī)定。如美國(guó)于1996年頒布了HIPPA，要求對(duì)居民電子健康檔案施加特定隱私保護(hù)措施。例如，政府通過(guò)對(duì)密鑰和PIN數(shù)字系統(tǒng)的訪問(wèn)控制，限定了居民健康信息只能由授權(quán)個(gè)人訪問(wèn)；政府對(duì)居民的健康信息必須用具有“密鑰”“解密”的系統(tǒng)方可讀??；通過(guò)“審計(jì)追蹤”功能記錄訪問(wèn)信息者以及修改的內(nèi)容和日期。2000年加拿大頒布的《個(gè)人信息保護(hù)與電子文檔法案》規(guī)定機(jī)構(gòu)收集個(gè)人信息只能用于收集目的，如果組織要將其用于其他目的，則必須再次獲得同意，個(gè)人信息必須受到適當(dāng)保護(hù)措施的保護(hù)[22]；英國(guó)2000年頒布的《調(diào)查權(quán)法》規(guī)定對(duì)于特定個(gè)人或人群進(jìn)行監(jiān)視需要獲得授權(quán)，因?yàn)檫@種秘密監(jiān)視很可能會(huì)獲得個(gè)人隱私信息[29]。數(shù)字移動(dòng)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的使用為企業(yè)和用戶的隱私帶來(lái)了新的風(fēng)險(xiǎn)，2003年頒布的《通信數(shù)據(jù)保護(hù)指導(dǎo)原則》規(guī)定了更具體的電子通信隱私權(quán)。該階段的個(gè)人健康信息隱私保護(hù)法律制度得到了進(jìn)一步的完善，出臺(tái)的法律法規(guī)使電子健康信息隱私保護(hù)力度得到加強(qiáng)[30]。

第三階段：逐步細(xì)化階段。

這一階段相關(guān)的立法不斷完善和細(xì)化，如2009年美國(guó)頒布的《經(jīng)濟(jì)和臨床醫(yī)療衛(wèi)生信息技術(shù)法案》通過(guò)加強(qiáng)HIPAA規(guī)則的民事和刑事執(zhí)法的幾項(xiàng)規(guī)定，解決了與健康信息電子傳輸相關(guān)的隱私和安全問(wèn)題，主要包括加強(qiáng)適用HIPAA的主體保護(hù)義務(wù)，明確并擴(kuò)大了對(duì)商業(yè)合作者的規(guī)定，增加了關(guān)于電子健康檔案中的健康信息交換規(guī)則[18]。2012年，美國(guó)推出了《食品藥品管理局安全與創(chuàng)新法案》，通過(guò)提高移動(dòng)應(yīng)用程序以及其他方式，促進(jìn)個(gè)人健康信息的安全[19]。2010年加拿大政府頒布的《個(gè)人健康信息保護(hù)法》制定了個(gè)人健康信息在收集、使用和披露時(shí)必須遵守的規(guī)則[23]。還規(guī)定了居民在獲取和使用其個(gè)人健康信息方面的權(quán)利。2012年澳大利亞政府頒布的《個(gè)人控制電子健康記錄法》對(duì)個(gè)人隱私健康信息也出臺(tái)了非常詳細(xì)地明確的規(guī)定[26]。歐盟2018年正式實(shí)施的GDPR是目前數(shù)據(jù)隱私安全保護(hù)力度最強(qiáng)的保護(hù)條例，GDPR與HIPAA相比不僅懲罰力度更高，而且其影響范圍也更廣，法規(guī)適用于所有個(gè)人數(shù)據(jù)的存儲(chǔ)和處理，限制所有利用個(gè)人身份數(shù)據(jù)的公司。該階段已經(jīng)形成由一部法律為主，多部法律補(bǔ)充完善的較為系統(tǒng)的健康隱私保護(hù)法律體系。

3 對(duì)我國(guó)居民電子健康檔案開放隱私保護(hù)的思考

目前，我國(guó)的許多立法都與健康信息隱私保護(hù)有關(guān)，如《中華人民共和國(guó)醫(yī)師法》規(guī)定了醫(yī)師具有保護(hù)患者隱私的義務(wù)，若泄露患者隱私將根據(jù)情節(jié)嚴(yán)重處以不同的處罰；《中華人民共和國(guó)侵權(quán)責(zé)任法》在第7章醫(yī)療損害責(zé)任部分也包含了健康信息隱私保護(hù)的內(nèi)容；《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》特別強(qiáng)調(diào)了不得泄露患者隱私。另外，最新頒布的《中華人民共和國(guó)民法典》和《中華人民共和國(guó)基本醫(yī)療衛(wèi)生與健康促進(jìn)法》也都包含了健康隱私保障等方面的內(nèi)容。但我國(guó)有關(guān)個(gè)人健康信息的隱私保護(hù)條款分散在不同法律規(guī)章下，目前尚未制定專門的健康信息隱私保護(hù)法。發(fā)達(dá)國(guó)家通過(guò)建立一系列政策法規(guī)來(lái)規(guī)范居民信息健康的收集、共享和利用各個(gè)環(huán)節(jié)，盡管我國(guó)的體制和國(guó)情與歐美等發(fā)達(dá)國(guó)家不同，但是仍然從中可以獲得一些啟示。

3.1 明確電子健康檔案隱私保護(hù)內(nèi)容

電子健康檔案主要涉及個(gè)人健康信息的獲得、授權(quán)、共享和修改等，由于《中華人民共和國(guó)民法典》增加了對(duì)個(gè)人信息隱私保障護(hù)的條款，使得對(duì)個(gè)人信息的收集、使用、傳輸和加工等方面的信息隱私保護(hù)形成了規(guī)范?！吨腥A人民共和國(guó)基本醫(yī)療衛(wèi)生與健康促進(jìn)法》中第92條也涉及到了保護(hù)個(gè)人健康信息隱私安全的內(nèi)容。這些最新出臺(tái)的法規(guī)對(duì)我國(guó)居民的電子健康檔案隱私保護(hù)提供了新的法律依據(jù)。

雖然我國(guó)多部法律法規(guī)中都能找到涉及個(gè)人健康隱私信息保護(hù)的內(nèi)容，但還沒(méi)有一部法律法規(guī)是直接針對(duì)居民個(gè)人電子健康檔案的，也沒(méi)有對(duì)個(gè)人電子健康信息范圍的明確界定，這就對(duì)醫(yī)療保健提供者理解并遵守隱私和安全規(guī)則的義務(wù)帶來(lái)困難，而居民也往往不知道他們的隱私和安全規(guī)則下的權(quán)利。因此明確電子健康信息的界定，進(jìn)而確定居民個(gè)人電子健康信息隱私保護(hù)的具體內(nèi)容是首要步驟。由于電子健康檔案涉及國(guó)家衛(wèi)生健康委、檔案管理行政機(jī)構(gòu)、醫(yī)療衛(wèi)生行政機(jī)構(gòu)和社保部門等，所以需要各個(gè)部門的積極有效配合與協(xié)調(diào)，借鑒發(fā)達(dá)國(guó)家已制定的標(biāo)準(zhǔn)，根據(jù)我國(guó)國(guó)情，從個(gè)人電子健康信息的內(nèi)涵與外延、收集和管理、使用與披露、是否要求患者授權(quán)等方面提出詳細(xì)的標(biāo)準(zhǔn)。

3.2 制定隱私保護(hù)管理和獎(jiǎng)懲機(jī)制

建立居民電子健康檔案開放與隱私保護(hù)的機(jī)制，安全責(zé)任和獎(jiǎng)懲機(jī)制等手段對(duì)電子健康檔案隱私進(jìn)行保護(hù)。醫(yī)院設(shè)置安全責(zé)任制度需要將安全責(zé)任機(jī)制崗位責(zé)任到人，提升相關(guān)人員的責(zé)任意識(shí)與職業(yè)道德。將醫(yī)生、護(hù)士、檔案管理員、網(wǎng)絡(luò)安全員等人員做好具體的職責(zé)界定,將崗位責(zé)任落實(shí)到具體人員，避免從內(nèi)部泄露居民的健康隱私信息。

同時(shí)，政府還可以建立起對(duì)各利益相關(guān)機(jī)構(gòu)的政府評(píng)估體系，完善監(jiān)管體制。通過(guò)建立有效監(jiān)管體制實(shí)現(xiàn)監(jiān)管。確保監(jiān)管和懲罰機(jī)制良性的運(yùn)作。聯(lián)合醫(yī)療衛(wèi)生機(jī)構(gòu)、新聞傳媒機(jī)構(gòu)、行業(yè)協(xié)會(huì)、審計(jì)部門，對(duì)電子健康檔案系統(tǒng)的隱私保護(hù)實(shí)行監(jiān)管，嚴(yán)懲弄虛作假，建立有效監(jiān)管制度。

此外，還需制定一整套可操作、完善的懲罰機(jī)制，保證對(duì)懲罰規(guī)定的執(zhí)行力度，細(xì)化對(duì)利益有關(guān)者責(zé)任的相應(yīng)懲罰措施，發(fā)揮法律威懾的作用，減少對(duì)隱私泄露造成的損害。

4 結(jié)論

居民電子健康檔案的開放隱私保護(hù)法律法規(guī)是保護(hù)居民隱私的法律框架。盡管世界各國(guó)醫(yī)療衛(wèi)生服務(wù)體系與制度不同，但對(duì)用信息化技術(shù)推進(jìn)電子健康檔案共享的需求是一致的，都是以為居民提供安全完整的電子健康檔案共享為目的。本文通過(guò)對(duì)發(fā)達(dá)國(guó)家和地區(qū)涉及個(gè)人健康信息隱私保護(hù)的法律法規(guī)從概念的界定、隱私信息泄露和責(zé)罰方式、法律法規(guī)的發(fā)展歷程幾個(gè)方面進(jìn)行分析，希望為我國(guó)相關(guān)法律法規(guī)的制定和完善提供借鑒和啟示。