覃慧媛

摘要：在醫(yī)療大數(shù)據(jù)時(shí)代背景下，為推動(dòng)“健康中國”戰(zhàn)略加速實(shí)現(xiàn)，我國先后頒布了《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《中華人民共和國個(gè)人信息保護(hù)法》等相關(guān)法律，加強(qiáng)了對個(gè)人健康醫(yī)療信息的保護(hù)力度，但其未形成專門性、系統(tǒng)性的法律體系，安全問題頻發(fā)。目前，我國個(gè)人健康醫(yī)療信息法律保護(hù)存在缺乏單獨(dú)立法、告知同意規(guī)則有待加強(qiáng)、侵權(quán)損害賠償難以實(shí)現(xiàn)的問題，無法滿足個(gè)人健康醫(yī)療信息安全保護(hù)的需要。建議借鑒域外“基本法+專門立法”的分層保護(hù)模式建立專項(xiàng)法律制度；通過明確“告知”內(nèi)容、細(xì)化“同意”標(biāo)準(zhǔn)、明確“撤回”途徑等細(xì)化“告知+同意”規(guī)則；以侵權(quán)歸責(zé)原則及構(gòu)成要件的重塑，優(yōu)化民事救濟(jì)途徑；以刑罰處罰范圍的擴(kuò)充、刑事法律規(guī)范的銜接、刑罰處罰力度的加強(qiáng)，完善刑事保護(hù)機(jī)制，進(jìn)而依法保障個(gè)人健康醫(yī)療信息安全。

關(guān)鍵詞：個(gè)人健康醫(yī)療信息；法律保護(hù)；大數(shù)據(jù)

中圖分類號(hào)：D91文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1004-1494（2023）04-0089-06

基金項(xiàng)目：廣西高校大學(xué)生思想政治教育理論與實(shí)踐研究課題“構(gòu)建和諧醫(yī)患關(guān)系視閾下醫(yī)學(xué)院?！端枷氲赖屡c法治》課程教學(xué)改革研究“（2022LSZ059）；廣西高校大學(xué)生思想政治教育理論與實(shí)踐研究課題“00后大學(xué)生中華優(yōu)秀傳統(tǒng)法律文化認(rèn)同研究”（2023SZ067）。

黨的二十大報(bào)告提出，“推進(jìn)健康中國建設(shè)。人民健康是民族昌盛和國家強(qiáng)盛的重要標(biāo)志。把保障人民健康放在優(yōu)先發(fā)展的戰(zhàn)略位置，完善人民健康促進(jìn)政策?！盵1]隨著信息技術(shù)的不斷進(jìn)步，“互聯(lián)網(wǎng)+醫(yī)療”高速發(fā)展，健康醫(yī)療大數(shù)據(jù)的運(yùn)用對醫(yī)療服務(wù)質(zhì)量的提升、公共衛(wèi)生服務(wù)的優(yōu)化、醫(yī)學(xué)研究的促進(jìn)都發(fā)揮著重要的作用，健康醫(yī)療大數(shù)據(jù)成為推動(dòng)健康中國建設(shè)的基礎(chǔ)性資源，不斷驅(qū)動(dòng)“健康中國”戰(zhàn)略加速實(shí)現(xiàn)。但近年來，隨著各種新平臺(tái)、新應(yīng)用軟件的不斷涌現(xiàn)，其在為患者提供個(gè)性化治療與健康管理優(yōu)質(zhì)服務(wù)的同時(shí)，個(gè)人健康醫(yī)療信息安全問題如影隨形，這對公民個(gè)人身份安全、國家公共衛(wèi)生等都帶來了嚴(yán)重?fù)p害。因此，有必要探尋當(dāng)前我國個(gè)人健康醫(yī)療信息的法律保護(hù)路徑，找到適合我國國情和時(shí)代發(fā)展要求的法律規(guī)范，構(gòu)建更加完備的法律體系，助推我國互聯(lián)網(wǎng)醫(yī)療的法治化進(jìn)程，加速推進(jìn)健康中國建設(shè)。

一、個(gè)人健康醫(yī)療信息的內(nèi)涵及法律保護(hù)狀況

（一）個(gè)人健康醫(yī)療信息的內(nèi)涵界定

為保護(hù)我國醫(yī)療大數(shù)據(jù)中的個(gè)人健康信息，2020年6月1日施行的《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》第92條規(guī)定：“國家保護(hù)公民個(gè)人健康信息，確保公民個(gè)人健康信息安全。任何組織或者個(gè)人不得非法收集、使用、加工、傳輸公民個(gè)人健康信息，不得非法買賣、提供或者公開公民個(gè)人健康信息?！盵2]由此，我國法律明確提出了“個(gè)人健康信息”這一概念，個(gè)人健康信息被以法律明文規(guī)定的形式納入了我國的法律保護(hù)之中。隨后，2021年11月1日施行的《中華人民共和國個(gè)人信息保護(hù)法》再次加強(qiáng)了對個(gè)人健康醫(yī)療信息的保護(hù)，將個(gè)人健康醫(yī)療信息歸屬于敏感信息。但無論是《中華人民共和國民法典》《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》，亦或是《中華人民共和國個(gè)人信息保護(hù)法》，均沒有對個(gè)人健康醫(yī)療信息進(jìn)行具體的描述，導(dǎo)致法律適用與保護(hù)邊界難以把控。只有厘清個(gè)人健康醫(yī)療信息的內(nèi)涵，才能更有針對性地保護(hù)個(gè)人健康醫(yī)療信息。本文所探討的個(gè)人健康醫(yī)療信息是指在疾病預(yù)防、診療、醫(yī)治等過程中獲取的與個(gè)人身體健康狀況相關(guān)的信息，其與特定個(gè)人相關(guān)聯(lián)，能夠反映個(gè)體特征，并且具有可識(shí)別性[3]。

（二）當(dāng)前個(gè)人健康醫(yī)療信息法律保護(hù)基本狀況

為應(yīng)對醫(yī)療健康信息的風(fēng)險(xiǎn)與挑戰(zhàn)，我國從立法上逐漸提升了對個(gè)人健康醫(yī)療信息的保護(hù)，如在《中華人民共和國民法典》《中華人民共和國刑法》《中華人民共和國保險(xiǎn)法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律規(guī)范中，以隱私權(quán)等的法益保護(hù)形式，從宏觀形式對個(gè)人信息進(jìn)行宏觀層面的保護(hù)；在《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《中華人民共和國醫(yī)師法》《中華人民共和國傳染病防治法》《中華人民共和國母嬰保健法》《中華人民共和國艾滋病防治條例》《中華人民共和國護(hù)士管理辦法》等法律規(guī)范中，以醫(yī)務(wù)人員保密義務(wù)等的規(guī)定，從微觀層面加強(qiáng)對個(gè)人健康醫(yī)療信息的保護(hù)。但遺憾的是，我國關(guān)于個(gè)人健康醫(yī)療信息的法律保護(hù)尚未形成專門性、系統(tǒng)性及可操作性的法律保護(hù)體系，其在法律保護(hù)上仍存些許困境，個(gè)人健康醫(yī)療信息安全問題依然存在。這些問題的背后，有“黑客”利用自己編寫的電腦程序，在醫(yī)院盜取“統(tǒng)方”數(shù)據(jù)，如銀川市90后黑客宋某非法侵入原國家衛(wèi)計(jì)委、原湖北省衛(wèi)計(jì)委所屬系統(tǒng)竊取精神病患、新生兒公民數(shù)據(jù)，通過網(wǎng)絡(luò)批量打包出售[4]；也有“行業(yè)內(nèi)鬼”泄露患者住院病歷、產(chǎn)婦及新生兒信息，如廣西某醫(yī)院產(chǎn)科主管護(hù)師韋某向南寧市江南區(qū)某保健按摩中心吳某甲，出售包括產(chǎn)婦姓名、家庭住址、電話號(hào)碼、分娩日期、分娩方式等在內(nèi)的產(chǎn)婦健康生理信息500余條[5]。在巨額經(jīng)濟(jì)利益的驅(qū)動(dòng)下，上述大量泄露、濫用患者個(gè)人健康醫(yī)療信息的行為頻發(fā)，其對個(gè)人乃至國家安全都帶來了嚴(yán)重危害，亦不利于我國“互聯(lián)網(wǎng)+醫(yī)療”的穩(wěn)定和發(fā)展?？梢姡髷?shù)據(jù)背景下個(gè)人健康醫(yī)療信息安全亟待加大法律保護(hù)力度。

二、個(gè)人健康醫(yī)療信息法律保護(hù)存在的問題

（一）個(gè)人健康醫(yī)療信息法律保護(hù)缺乏單獨(dú)立法

2021年我國頒布了《中華人民共和國個(gè)人信息保護(hù)法》作為基本法對個(gè)人信息進(jìn)行保護(hù)，其作為個(gè)人信息保護(hù)的“主干法”，將醫(yī)療信息作為敏感個(gè)人信息進(jìn)行保護(hù)，規(guī)定敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，應(yīng)告知處理敏感個(gè)人信息的必要性及對個(gè)人權(quán)益的影響，這一規(guī)定從宏觀層面提高了對個(gè)人健康醫(yī)療信息的法律保護(hù)。但該法僅將個(gè)人健康醫(yī)療信息納入敏感信息范疇，而未對其形成專門性的立法保護(hù)，且法條多為政策性、原則性條款，缺乏可操作性，導(dǎo)致個(gè)人健康醫(yī)療領(lǐng)域相關(guān)概念內(nèi)涵分類不清，對信息處理的合規(guī)指導(dǎo)不清晰，數(shù)據(jù)處理活動(dòng)受到制約，不利于個(gè)人健康醫(yī)療信息安全的保護(hù)，亦不利于大數(shù)據(jù)背景下健康醫(yī)療信息的收集及對健康大數(shù)據(jù)的靈活運(yùn)用。

（二）“告知+同意”規(guī)則有待加強(qiáng)

《中華人民共和國個(gè)人信息保護(hù)法》第13、14條明確將敏感個(gè)人資料的特殊保護(hù)規(guī)則“告知+同意”寫入法條，由此，個(gè)人健康醫(yī)療信息的處理必須以信息主體授權(quán)同意為前提，也使得這一規(guī)則成為判斷個(gè)人健康醫(yī)療信息處理合法性的重要判斷標(biāo)準(zhǔn)之一。這一原則設(shè)立的初衷，是以信息收集者的告知義務(wù)來保障信息主體的知情權(quán)，使信息主體充分知道信息何時(shí)被收集、如何使用，從而作出是否同意使用的決定，以期通過“告知+同意”的方式賦予信息主體對其個(gè)人健康醫(yī)療信息充分的自主權(quán)。

所謂“告知+同意”，在互聯(lián)網(wǎng)時(shí)代通常表現(xiàn)為“線上授權(quán)”，患者在進(jìn)行就診前，需要先通過掃描二維碼的方式閱讀“協(xié)議及隱私聲明”，而軟件應(yīng)用者則會(huì)通過該協(xié)議將“隱私保護(hù)協(xié)議”等包括患者個(gè)人信息的使用目的、途徑、內(nèi)容、方式等以長篇形式記載，并讓患者“授權(quán)”，當(dāng)患者點(diǎn)擊“同意授權(quán)”時(shí)，應(yīng)用開發(fā)者或信息收集者即有權(quán)合法地收集并使用患者的健康醫(yī)療信息；倘若患者不予授權(quán)，則可能無法使用該應(yīng)用的部分功能，甚至?xí)绊懫淙烤驮\權(quán)益?？梢?，這種全盤接受或者拒絕同意則權(quán)益受阻的規(guī)定，會(huì)導(dǎo)致患者授權(quán)同意的簽署有可能并非出自其真實(shí)意思表示，甚至背離了“告知+同意”規(guī)則設(shè)置的初衷。另一方面，在實(shí)踐中常見的“協(xié)議及隱私聲明”的內(nèi)容繁雜、冗長，甚至包含有部分醫(yī)學(xué)或法學(xué)專業(yè)名稱，而作為一名沒有醫(yī)學(xué)專業(yè)知識(shí)、法學(xué)基礎(chǔ)的普通患者而言，很難在就診前短時(shí)間內(nèi)憑借自己的能力閱讀并理解該“協(xié)議及隱私聲明”的全部內(nèi)容，多數(shù)情況下患者都是在幾秒鐘的短暫閱讀后即點(diǎn)擊同意授權(quán)，其根本不知道自己授權(quán)的范圍是什么、軟件應(yīng)用者又將獲得怎樣的權(quán)利、授權(quán)的法律后果極可能涉及的風(fēng)險(xiǎn)又是什么，這使得“告知+同意”原則設(shè)立的初衷再次被弱化。此外，大數(shù)據(jù)信息的來源渠道和方法多樣化，信息收集者甚至可以在信息主體完全不知情、甚至不需要其授權(quán)同意的情況下即獲取個(gè)人健康醫(yī)療信息，如某公司能夠通過個(gè)人在某網(wǎng)絡(luò)平臺(tái)多次購買某種藥物或醫(yī)療器械獲知其疾病類型，從而為其推送類似的藥品鏈接或短信等。在這種情況下，法律無法以“告知+同意”原則保護(hù)信息主體的自決權(quán)。可見，大數(shù)據(jù)技術(shù)的不斷推進(jìn)對“告知+同意”規(guī)則形成了沖擊，這不僅導(dǎo)致患者難以判斷和控制其健康醫(yī)療信息的流通，甚至使“告知+同意”規(guī)則成為部分信息收集者或應(yīng)用者后續(xù)規(guī)避責(zé)任的手段。

（三）民事侵權(quán)損害賠償難以實(shí)現(xiàn)

從個(gè)人健康醫(yī)療信息保護(hù)常用的《中華人民共和國民法典》及《中華人民共和國個(gè)人信息保護(hù)法》法規(guī)來看，法律規(guī)范缺乏確權(quán)及侵權(quán)損害賠償?shù)南嚓P(guān)規(guī)定。目前，在個(gè)人健康醫(yī)療信息受侵害時(shí)，信息主體多用《中華人民共和國民法典》第1183條的規(guī)定，請求精神損害賠償，同時(shí)也可以運(yùn)用《中華人民共和國個(gè)人信息保護(hù)法》第69條的規(guī)定，要求個(gè)人信息處理者承擔(dān)損害賠償。但兩者在損害賠償所采取的主觀歸責(zé)原則不同，《中華人民共和國民法典》適用過錯(cuò)歸責(zé)原則，而《中華人民共和國個(gè)人信息保護(hù)法》則適用過錯(cuò)推定原則。根據(jù)新法優(yōu)于舊法、特別法優(yōu)于普通法的原則，對于個(gè)人健康醫(yī)療信息侵權(quán)損害賠償?shù)臍w責(zé)原則我國目前應(yīng)適用過錯(cuò)推定原則，即被告（信息收集或使用者）對其不存在過錯(cuò)承擔(dān)舉證責(zé)任，這種舉證責(zé)任的倒置在一定程度上降低了受害人（信息主體）舉證的難度，但此舉依然不足以對受害者（信息主體）提供充分的救濟(jì)。因?yàn)樵撨^錯(cuò)推定歸責(zé)原則下，受害人（信息主體）依舊需要提出初步的證據(jù)證明被告存在過錯(cuò)的主張，而被告作為掌握重要證據(jù)且具備專業(yè)及技術(shù)能力的一方，其在證明自己已經(jīng)盡到合理注意義務(wù)及告知或提示義務(wù)時(shí)依然存在較大的優(yōu)勢，而該抗辯理由在很大程度上會(huì)被審判機(jī)關(guān)采信，則最終的裁判結(jié)果不利于受害人（信息主體）。可見，過錯(cuò)推定原則雖在一定程度上降低了信息主體舉證責(zé)任的難度，但仍無法從根本上扭轉(zhuǎn)受害人（信息主體）舉證及救濟(jì)的不平等地位。此外，個(gè)人健康醫(yī)療信息侵權(quán)一般以精神損害賠償為主，而賠償?shù)慕痤~多以損害事實(shí)及后果為依據(jù)，故損害事實(shí)的認(rèn)定及程度直接影響著是否賠償以及賠償?shù)亩嗌?。該?guī)定過于強(qiáng)調(diào)損害的后果，而部分侵權(quán)更是無法用金錢予以衡量，如泄露諸如患者有乙肝、梅毒等傳染性疾病信息而引發(fā)的歧視等。

（四）刑法保護(hù)力度不明顯

個(gè)人健康醫(yī)療信息具有極強(qiáng)的人身關(guān)聯(lián)性，在蓬勃發(fā)展的大數(shù)據(jù)時(shí)代極易被收集和傳播，導(dǎo)致個(gè)人人格權(quán)的侵犯及財(cái)產(chǎn)權(quán)的損害，甚至影響正常的醫(yī)療秩序，其行為具有多重的法益侵害性，僅依靠民事、行政手段已無法有效抑制，需以刑事處罰的方式予以嚴(yán)懲。我國現(xiàn)行《中華人民共和國刑法》以侵犯個(gè)人信息罪保護(hù)公民的個(gè)人信息安全，這一罪名的設(shè)置經(jīng)歷了一個(gè)不斷完善的過程。首先，由《中華人民共和國刑法修正案（七）》將金融、交通、教育、醫(yī)療等單位工作人員出售或非法提供公民個(gè)人信息情節(jié)嚴(yán)重的行為納入刑事處罰的范圍，該規(guī)定將犯罪主體限定為特定單位的工作人員，并以履職為限定范圍，對入罪進(jìn)行了縮限；之后，又以《中華人民共和國刑法修正案（九）》將犯罪主體擴(kuò)充為一般主體，即不再以職務(wù)或特定工作限定入罪主體，僅限定了入罪的方式方法，即出售、提供、竊取等方式。不可否認(rèn)，這一罪名隨著時(shí)代發(fā)展的需求在不斷完善其入罪標(biāo)準(zhǔn)，但其在罪與非罪的認(rèn)定、刑罰的處罰上仍顯薄弱，已無法滿足保護(hù)個(gè)人健康醫(yī)療信息安全的現(xiàn)實(shí)需要。

1.濫用個(gè)人信息未入罪

根據(jù)《中華人民共和國刑法》及《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》的規(guī)定，僅將出售、提供、買賣以及交換等行為方式作為入罪的手段，沒有將“濫用”行為納入到刑事處罰的范圍，導(dǎo)致“濫用”行為只能依賴于其他刑事犯罪罪名的成立，才得以處罰。如：以合法形式取得的健康醫(yī)療信息，通過濫用信息的方式，騙取數(shù)額巨大的財(cái)產(chǎn)的，只有在滿足詐騙罪構(gòu)成要件時(shí)，才能以詐騙罪論處。

2.泄露個(gè)人醫(yī)療信息的后果嚴(yán)重性應(yīng)成為定罪的一個(gè)考量因素

根據(jù)《中華人民共和國刑法》第253條的規(guī)定，僅對“情節(jié)嚴(yán)重”及“情節(jié)特別嚴(yán)重”的情形納入侵犯公民個(gè)人信息罪的刑事處罰范圍，并在司法解釋中對“情節(jié)嚴(yán)重”構(gòu)成犯罪以50條、500條、5000條的階梯式認(rèn)定標(biāo)準(zhǔn)予以保護(hù)。但就刑法對健康醫(yī)療信息的保護(hù)而言，現(xiàn)行法律僅在司法解釋中規(guī)定“非法獲取、出售或者提供健康生理信息，可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息五百條以上的”為“情節(jié)嚴(yán)重”，這不僅未能與《中華人民共和國個(gè)人信息保護(hù)法》中的“敏感個(gè)人信息”在名詞使用上保持一致，同時(shí)也未能在立法中體現(xiàn)健康醫(yī)療信息的高影響性、高識(shí)別性以及高價(jià)值性等特性。不可否認(rèn)，非法獲取、出售或提供信息的數(shù)量越多，其損害的可能就越大，進(jìn)而越應(yīng)當(dāng)受到刑罰處罰，這種以定量分析的方式定罪量刑存在一定的合理性，但基于健康醫(yī)療信息的特殊性，僅僅依靠數(shù)量來認(rèn)定罪與非罪很難實(shí)現(xiàn)罪責(zé)刑相適應(yīng)的刑罰要求，這顯然無法達(dá)到刑法所要實(shí)現(xiàn)的預(yù)防和懲治犯罪的目標(biāo)。如：泄露艾滋病患者等傳染性疾病的健康醫(yī)療信息與泄露普通疾病的健康醫(yī)療信息，對個(gè)人的影響以及對社會(huì)的影響程度截然不同，對此類行為如僅以數(shù)量區(qū)分罪與非罪有失偏頗。

3.刑罰處罰與犯罪收益不匹配

我國《中華人民共和國刑法》對侵犯公民個(gè)人信息罪的量刑規(guī)定為，對情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金[6]。該處罰力度明顯與醫(yī)療信息的高價(jià)值性不符，極高的商業(yè)利益與較低的刑罰成本不匹配，導(dǎo)致刑罰處罰效果不明顯，使得個(gè)人健康醫(yī)療信息得不到應(yīng)有的刑法保護(hù)。

三、完善個(gè)人健康醫(yī)療信息法律保護(hù)的路徑選擇

（一）建立專項(xiàng)法律制度

隨著醫(yī)療大數(shù)據(jù)時(shí)代的到來，世界上許多國家和地區(qū)已經(jīng)逐漸建立起較為完備的個(gè)人信息保護(hù)法律制度，以保障大數(shù)據(jù)時(shí)代的信息安全。我國現(xiàn)行《中華人民共和國個(gè)人信息保護(hù)法》已經(jīng)無法滿足信息主體對個(gè)人健康信息保護(hù)的需要，也無法為大數(shù)據(jù)采集和使用者提供全方位的法律支持，個(gè)人健康醫(yī)療信息的特殊性對其立法提出了更高的要求?？山梃b日本“基本法+專門立法”的分層保護(hù)模式，即《中華人民共和國個(gè)人信息保護(hù)法》和《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》相結(jié)合的方式，完善個(gè)人健康醫(yī)療信息的保護(hù)。以現(xiàn)有《中華人民共和國民法典》侵權(quán)責(zé)任篇為依托，在《中華人民共和國個(gè)人信息保護(hù)法》這一基本法的基礎(chǔ)上，制定符合我國國情的個(gè)人健康醫(yī)療信息保護(hù)法，將散見于《中華人民共和國精神衛(wèi)生法》《中華人民共和國醫(yī)師法》《中華人民共和國艾滋病防治條例》《中華人民共和國人類遺傳資源管理?xiàng)l例》等法規(guī)中對健康醫(yī)療信息的內(nèi)容進(jìn)行有效整合，界定個(gè)人健康醫(yī)療信息法律保護(hù)的人格權(quán)益，將個(gè)人健康醫(yī)療信息的概念及內(nèi)容以“概括+列舉”的形式進(jìn)行細(xì)化，明確信息主體與信息處理者、使用者之間共享健康信息的規(guī)則，細(xì)化個(gè)人對健康信息的維護(hù)權(quán)、使用權(quán)和撤回權(quán)，分等級(jí)規(guī)范信息處理者的安全保障義務(wù)，從而既順應(yīng)大數(shù)據(jù)時(shí)代對信息流通的需求，又能最大限度地在信息流轉(zhuǎn)的全過程保障信息主體的權(quán)益不受侵害。

（二）細(xì)化“告知+同意”規(guī)則

在醫(yī)療大數(shù)據(jù)時(shí)代，健康信息的處理者或者管理者對個(gè)人健康醫(yī)療信息處理及運(yùn)用的掌握情況，遠(yuǎn)高于信息主體，兩者之間在個(gè)人健康醫(yī)療信息的掌握及運(yùn)用上存在明顯的不平等，而這種不平等則會(huì)嚴(yán)重影響個(gè)人健康醫(yī)療信息的安全，甚至直接導(dǎo)致個(gè)人權(quán)益受侵犯。為實(shí)現(xiàn)“告知+同意”規(guī)則設(shè)立的初衷，最大限度地保障個(gè)人健康醫(yī)療信息的安全，應(yīng)從以下幾個(gè)方面完善“告知+同意”規(guī)則，實(shí)現(xiàn)其對信息主體自決權(quán)的保護(hù)。

1.明確“告知”的內(nèi)容

“告知”作為“同意”的前提，應(yīng)盡可能使用簡單、通俗、簡潔的方式將授權(quán)收集、使用及流通的個(gè)人健康信息基本內(nèi)容、用途、期限等內(nèi)容以列舉而非概括的形式告知信息主體，使信息主體在充分了解其個(gè)人健康醫(yī)療信息將被如何使用以及可能面臨的風(fēng)險(xiǎn)等情況下，作出是否同意的真實(shí)意思表示。同時(shí)，為使信息主體充分理解信息的處理及運(yùn)用，應(yīng)對醫(yī)學(xué)專業(yè)名稱、法學(xué)專業(yè)術(shù)語及可能面臨的風(fēng)險(xiǎn)等常見問題進(jìn)行解析，可設(shè)置常見問題智能答疑、人工電話咨詢解答等，以實(shí)現(xiàn)“告知”設(shè)立的初衷。

2.細(xì)化“同意”的標(biāo)準(zhǔn)

《中華人民共和國個(gè)人信息保護(hù)法》第14條規(guī)定了“同意”需自愿作出并強(qiáng)調(diào)信息處理的動(dòng)態(tài)化機(jī)制，即當(dāng)個(gè)人信息的處理目的、處理方式等發(fā)生變更時(shí)，應(yīng)重新取得信息主體的同意。為滿足大數(shù)據(jù)時(shí)代對健康信息高效利用的需求，應(yīng)在上述規(guī)定的基礎(chǔ)上進(jìn)一步細(xì)化“同意”的標(biāo)準(zhǔn)，可引入“動(dòng)態(tài)保護(hù)+分層管理”模式，根據(jù)風(fēng)險(xiǎn)登記分程度、分階段將同意的標(biāo)準(zhǔn)分為“默示”和“明示”兩種。對可能產(chǎn)生低等級(jí)的隱私風(fēng)險(xiǎn)行為，簡化“同意”流程，采取“默示”方式對信息安全進(jìn)行動(dòng)態(tài)管理，如：對已經(jīng)隱名化處理且不再具有特殊指向性的醫(yī)療信息，在變更處理方式時(shí)，規(guī)定信息處理者告知的義務(wù)，但只要信息主體收到相關(guān)告知后，未明確表示反對，即可繼續(xù)使用相關(guān)個(gè)人健康醫(yī)療信息，以滿足醫(yī)療大數(shù)據(jù)的需求；對于可能造成高等級(jí)隱私風(fēng)險(xiǎn)的行為，增加額外“義務(wù)”，采取嚴(yán)格的“明示”同意機(jī)制，保障信息主體自決權(quán)的行使，如：即使已經(jīng)隱名化處理，但該醫(yī)療信息具有特殊指向性的，信息處理者對信息主體授權(quán)范圍以外的信息應(yīng)用，應(yīng)在告知的基礎(chǔ)上再次取得信息主體明確的“同意”即書面授權(quán)，才能再次使用個(gè)人健康醫(yī)療信息，還可規(guī)定特定的政府監(jiān)管部門或第三方機(jī)構(gòu)對該書面授權(quán)進(jìn)行動(dòng)態(tài)審核，嚴(yán)格使用流程。這種根據(jù)信息風(fēng)險(xiǎn)程度分標(biāo)準(zhǔn)的同意機(jī)制，避免了“一刀切”均需“同意”才能使用信息而導(dǎo)致信息運(yùn)用的局限性，滿足了健康信息大數(shù)據(jù)的時(shí)代需求，亦有利于保護(hù)個(gè)人健康醫(yī)療信息安全。

3.設(shè)置信息主體的訪問權(quán)

信息主體在授權(quán)同意其信息使用后，有權(quán)向信息管理監(jiān)督部門申請?jiān)L問和查閱信息的使用情況，使其充分了解信息使用的全過程，有利于對信息使用者和收集者的行為進(jìn)行有效監(jiān)督，是對“告知+同意”原則的深化。

4.明確“撤回”的途徑、方式及監(jiān)管部門

《中華人民共和國個(gè)人信息保護(hù)法》第15條規(guī)定了信息主體的撤回權(quán)，但并未明確撤回的途徑及方式，應(yīng)在相應(yīng)的行政法規(guī)中明確撤回的路徑，如信息主體有權(quán)在收到信息處理者或使用者的通知時(shí)，直接以網(wǎng)絡(luò)、電話、短信等便捷的方式拒絕個(gè)人健康醫(yī)療信息的變更使用，又或者信息主體可以通過當(dāng)面申請的方式，撤回之前的授權(quán)。此外，為使撤回權(quán)得到有效的行使，還應(yīng)明確衛(wèi)健委作為主要監(jiān)管部門對撤回權(quán)進(jìn)行有效監(jiān)管，以避免出現(xiàn)多頭管理職能重合的情形，而以撤回權(quán)的行使保障“告知+同意”規(guī)則機(jī)制的充分實(shí)現(xiàn)。

（三）重塑侵權(quán)責(zé)任制度

在司法實(shí)踐中，個(gè)人健康醫(yī)療信息的保護(hù)多以民事救濟(jì)為主，這必然涉及責(zé)任歸責(zé)原則及責(zé)任構(gòu)成要件的認(rèn)定，應(yīng)重塑侵權(quán)責(zé)任制度，完善民事救濟(jì)途徑。

1.無過錯(cuò)歸責(zé)原則的應(yīng)然選擇

關(guān)于個(gè)人健康醫(yī)療信息侵權(quán)的歸責(zé)原則，無過錯(cuò)原則是應(yīng)然選擇。正如前文所述，在個(gè)人健康醫(yī)療信息侵權(quán)案件中，能夠證明案件事實(shí)的大量證據(jù)集中控制在信息收集者或應(yīng)用者一方當(dāng)事人手中，作為受害者（信息主體）一方存在舉證難的情況，在這種證據(jù)偏在的狀態(tài)下，采取無過錯(cuò)歸責(zé)原則更有利于個(gè)人健康醫(yī)療信息的有效保護(hù)，能夠最大限度地消除過錯(cuò)要件的證明困難，維護(hù)雙方當(dāng)事人利益的平衡，提高受害者（信息主體）通過訴訟維護(hù)合法權(quán)益的可能性，同時(shí)也能對信息收集、應(yīng)用者給予一定的威懾力。

2.重塑侵權(quán)責(zé)任的構(gòu)成要件

以侵權(quán)責(zé)任構(gòu)成要件的重塑，弱化損害后果，強(qiáng)調(diào)懲罰性賠償。個(gè)人健康醫(yī)療信息作為敏感信息，其侵權(quán)責(zé)任的認(rèn)定不應(yīng)與一般侵權(quán)構(gòu)成要件一致，因?yàn)榻】滇t(yī)療信息涉及個(gè)人隱私，一旦被公開絕大多數(shù)情況下個(gè)人會(huì)處于尷尬、孤立、被拋棄等狀況，這一損害后果多體現(xiàn)在精神損害方面，而對于精神損害后果大小又會(huì)因人而異，因而司法實(shí)踐中個(gè)人健康醫(yī)療信息的損害后果難以認(rèn)定?；诖?，侵權(quán)行為的構(gòu)成要件中，應(yīng)以是否違法來認(rèn)定侵權(quán)行為是否存在，弱化對損害后果的要求，并在損害賠償方面以損害后果為參照采取懲罰性賠償，加大懲罰力度，以實(shí)現(xiàn)對受害人的精神撫慰和對信息處理者的教育與警示作用。

此外，因網(wǎng)絡(luò)和數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，健康醫(yī)療信息一旦出現(xiàn)受侵害，其受害主體可能眾多，甚至出現(xiàn)群體性事件而引發(fā)群體性訴訟。我國有必要在群體性事件中引入公益訴訟，制定相關(guān)制度，拓寬公益訴訟的范圍，保護(hù)公民個(gè)人健康醫(yī)療信息安全。

（四）完善刑法保護(hù)機(jī)制

1.擴(kuò)充刑法處罰的范圍

以立法形式將“濫用行為”入刑，擴(kuò)充刑法處罰的范圍。所謂“濫用”，即是指胡亂地或者過度地使用，這種行為往往位于出售、提供行為之后，比如肆意散播、隨意張貼公民個(gè)人信息的行為[7]?？梢?，“濫用”行為與出售、提供公民個(gè)人健康醫(yī)療信息的行為在對公民個(gè)人權(quán)益的危害程度并無實(shí)質(zhì)性差別，從而應(yīng)當(dāng)將其納入到刑法處罰的范圍。將“濫用行為”入刑，能夠有效解決“合法取得信息而濫用行為”的刑事處罰問題，以刑事處罰的系統(tǒng)性實(shí)現(xiàn)刑法平等的原則。需要注意的是，“濫用行為”入刑，在解決上述問題的同時(shí)應(yīng)堅(jiān)持“一事不再罰”原則，避免出現(xiàn)重復(fù)計(jì)算信息量的情形。如行為人同時(shí)存在“非法獲取”和“濫用行為”時(shí)，不能重復(fù)計(jì)算信息量，以保證刑罰的公平。

2.規(guī)范法益保護(hù)的銜接性與層次性

從前文所述可知，《中華人民共和國個(gè)人信息保護(hù)法》中將公民個(gè)人信息分為“敏感信息”與“一般信息”兩類進(jìn)行保護(hù)，在刑事處罰中也可參照這種分類保護(hù)的方式，將侵犯公民個(gè)人信息罪的信息以“敏感信息”與“一般信息”進(jìn)行分類保護(hù)，以實(shí)現(xiàn)公民個(gè)人信息權(quán)益保護(hù)在不同法律制度保護(hù)上的銜接。同時(shí)，在敏感信息中再根據(jù)敏感程度的不同層次設(shè)置輕重不同的刑事處罰標(biāo)準(zhǔn)，提高“敏感信息”的刑法保護(hù)力度。如，將諸如傳染性強(qiáng)的個(gè)人健康醫(yī)療信息、可能危害人類生命安全的生物基因技術(shù)信息等設(shè)定為“50條”以上的入罪標(biāo)準(zhǔn)，以實(shí)現(xiàn)醫(yī)療信息更高級(jí)別的刑法保護(hù)機(jī)制。

3.加大刑罰處罰力度

大數(shù)據(jù)時(shí)代利用個(gè)人健康醫(yī)療信息所可能獲得的利益巨大、誘惑極高，為避免獲利與受處罰的不對等，更好地預(yù)防和懲治該類犯罪，有必要在現(xiàn)行刑事處罰基礎(chǔ)上增加處罰力度，提高三年起刑點(diǎn)并適時(shí)調(diào)整罰金的數(shù)額，以體現(xiàn)懲罰的力度，實(shí)現(xiàn)刑事法律制度教育和威懾的作用。此外，還可以借鑒其他國家和地區(qū)設(shè)立“未履行資料保護(hù)的義務(wù)罪”“違反保密義務(wù)罪”等[8]，以新罪名的設(shè)置擴(kuò)充刑法保護(hù)的范圍，適應(yīng)大數(shù)據(jù)時(shí)代對個(gè)人健康醫(yī)療信息的刑法保護(hù)。

四、結(jié)語

大數(shù)據(jù)時(shí)代的到來是一把雙刃劍，“互聯(lián)網(wǎng)+醫(yī)療”的飛速發(fā)展讓我們在享受這一科技紅利帶來的醫(yī)療便捷服務(wù)的同時(shí)，也面臨著個(gè)人健康醫(yī)療數(shù)據(jù)安全的危險(xiǎn)與挑戰(zhàn)。我國現(xiàn)行的《中華人民共和國民法典》《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國刑法》等法律規(guī)范都對個(gè)人醫(yī)療信息的保護(hù)作出了規(guī)定，但在實(shí)踐中仍然存在瑕疵。為此，應(yīng)根據(jù)現(xiàn)行法律在實(shí)施中存在的困境，探尋符合我國國情的病患個(gè)人健康醫(yī)療信息法律保障機(jī)制，以期促進(jìn)健康醫(yī)療大數(shù)據(jù)的合法流通，確保大數(shù)據(jù)背景下醫(yī)療信息的良性利用，為“健康中國”建設(shè)提供法治保障。

參考文獻(xiàn)：

[1]習(xí)近平.高舉中國特色社會(huì)主義偉大旗幟為全面建設(shè)社會(huì)主義現(xiàn)代化國家而團(tuán)結(jié)奮斗：在中國共產(chǎn)黨第二十次全國代表大會(huì)上的報(bào)告[N].人民日報(bào)，2022-10-26（4）.

[2]中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法[EB/OL].（2020-01-02）[2023-07-03].http：//www. npc.gov.cn/npc/c30834/201912/15b7b1cfda374666a2d 4c43d1e15457c.shtml.

[3]王利明.論個(gè)人信息權(quán)的法律保護(hù)：以個(gè)人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué)，2013（4）：62-72.

[4]銀川發(fā)布侵犯公民個(gè)人信息犯罪十大典型案例[EB/OL].（2020-09-18）[2023-07-03].https：//www. nxnews.net/sh/shwx/202009/t20200918_6861828.html.

[5]檢察機(jī)關(guān)依法懲治侵犯公民個(gè)人信息犯罪典型案例[EB/OL].（2022-12-07）[2023-07-03]https：// www. spp. gov. cn / xwfbh / wsfbt / 202212 / t20221207_ 594915.shtml#2.

[6]中華人民共和國刑法修正案（九）[EB/OL].（2015-08-30）[2023-07-03].http：//www.npc.gov.cn/ zgrdw/npc/xinwen/2015-08/31/content_1945587.htm.

[7]李立豐，王俊松.個(gè)人信息法律保護(hù)體系的建構(gòu)：以信息界定與分類為前提[J].河南財(cái)經(jīng)政法大學(xué)學(xué)報(bào)，2023（2）：1-12.

[8]劉婷婷，楊海泉，蘇光彩，等.我國健康醫(yī)療大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的主體責(zé)任研究[J].法制與社會(huì)，2021（3）：11-13.

責(zé)任編輯陸瑩