么曉月，戴昱，趙因

（四川明炬律師事務(wù)所，四川成都 610041）

2016 年國務(wù)院辦公廳發(fā)布《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》①國辦發(fā)〔2016〕47號(hào)《國務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》：“鼓勵(lì)各類醫(yī)療衛(wèi)生機(jī)構(gòu)推進(jìn)健康醫(yī)療大數(shù)據(jù)采集、存儲(chǔ)，加強(qiáng)應(yīng)用支撐和運(yùn)維技術(shù)保障，打通數(shù)據(jù)資源共享通道。加快建設(shè)和完善以居民電子健康檔案、電子病歷、電子處方等為核心的基礎(chǔ)數(shù)據(jù)庫?！?，其中鼓勵(lì)各類醫(yī)療衛(wèi)生機(jī)構(gòu)加快建設(shè)和完善電子病歷等基礎(chǔ)數(shù)據(jù)庫，從而搭建健康醫(yī)療資源大數(shù)據(jù)系統(tǒng)。隨后2017年國家衛(wèi)健委出臺(tái)了《電子病歷應(yīng)用管理規(guī)范（試行）》（以下簡(jiǎn)稱《規(guī)范》），電子病歷由此而在搭建大數(shù)據(jù)系統(tǒng)中成為醫(yī)療大數(shù)據(jù)構(gòu)建的核心要素。

現(xiàn)實(shí)中，在電子病歷全程電子化采集、記錄的實(shí)現(xiàn)過程中，患者的個(gè)人信息以及隱私不僅醫(yī)療機(jī)構(gòu)能夠查看，而且電子病歷第三方儲(chǔ)存平臺(tái)以及相應(yīng)保險(xiǎn)機(jī)構(gòu)等也同樣能夠接觸到，從而導(dǎo)致患者個(gè)人的信息和隱私泄露的風(fēng)險(xiǎn)大幅提升；同時(shí)，由于電子病歷修改痕跡難以追溯的現(xiàn)實(shí)，導(dǎo)致舉證困難?？梢姡娮硬v的合法合規(guī)對(duì)于防范患者個(gè)人的信息和隱私泄露至關(guān)重要。

一、電子病歷概述

（一）“電子病歷”概念的界定

正如2017年國家衛(wèi)健委發(fā)布的《規(guī)范》所言，所謂“電子病歷”是指：醫(yī)務(wù)人員在醫(yī)療活動(dòng)過程中，使用由信息系統(tǒng)生成的文字、符號(hào)、圖表、圖形、數(shù)字、影像等數(shù)字化信息，并能實(shí)現(xiàn)存儲(chǔ)、管理、傳輸和重現(xiàn)的醫(yī)療記錄，是病歷的一種記錄形式，包括門（急）診病歷和住院病歷。②國衛(wèi)辦醫(yī)發(fā)〔2017〕8號(hào)《電子病歷應(yīng)用管理規(guī)范（試行）》第3條“電子病歷是指醫(yī)務(wù)人員在醫(yī)療活動(dòng)過程中，使用信息系統(tǒng)生成的文字、符號(hào)、圖表、圖形、數(shù)字、影像等數(shù)字化信息，并能實(shí)現(xiàn)存儲(chǔ)、管理、傳輸和重現(xiàn)的醫(yī)療記錄，是病歷的一種記錄形式，包括門（急）診病歷和住院病歷。”

電子病歷是醫(yī)療信息化建設(shè)的關(guān)鍵，它可以避免信息零散化，同時(shí)兼具集成數(shù)據(jù)平臺(tái)的統(tǒng)一性。其中患者信息系統(tǒng)可以提供患者的個(gè)人信息，這有利于醫(yī)生了解患者的基本情況；臨床信息系統(tǒng)則可以提供各類健康數(shù)據(jù)，例如檢驗(yàn)數(shù)據(jù)、影像檢測(cè)數(shù)據(jù)、查體測(cè)量值等。不同疾控機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)及其不同科室，均可通過信息共享的方式在一定限度內(nèi)查看患者的個(gè)人健康檔案。

傳統(tǒng)紙質(zhì)病歷在民事案件、行政案件、刑事案件中作為重要的證據(jù)材料存在。電子病歷記載了患者的病情發(fā)展過程和診療進(jìn)程，從而作為醫(yī)療機(jī)構(gòu)或醫(yī)務(wù)人員的診療行為存在過錯(cuò)以及診療行為與損害之間是否存在因果關(guān)系的重要證據(jù)。

（二）大數(shù)據(jù)背景下“電子病歷”的界定

《規(guī)范》中要求電子病歷必須具備以下特征：應(yīng)當(dāng)能夠?qū)Σ僮魅藛T進(jìn)行身份識(shí)別，當(dāng)醫(yī)務(wù)人員完成病歷后能夠顯示醫(yī)務(wù)人員姓名及完成時(shí)間，同時(shí)還能夠保存歷次操作痕跡、標(biāo)記準(zhǔn)確的操作時(shí)間和操作人信息，從而實(shí)現(xiàn)電子病歷形成過程的可追溯性。③國衛(wèi)辦醫(yī)發(fā)〔2017〕8號(hào)《電子病歷應(yīng)用管理規(guī)范（試行）》第14條“電子病歷系統(tǒng)應(yīng)當(dāng)對(duì)操作人員進(jìn)行身份識(shí)別，并保存歷次操作印痕，標(biāo)記操作時(shí)間和操作人員信息，并保證歷次操作印痕、標(biāo)記操作時(shí)間和操作人員信息可查詢、可追溯。”

可見，以醫(yī)療大數(shù)據(jù)資源系統(tǒng)搭建為目標(biāo)的電子病歷，其核心特征是方便、快捷、高效地獲取、采集、共享患者信息，提高臨床診療工作效率和保障醫(yī)療質(zhì)量。

二、大數(shù)據(jù)背景下電子病歷在合規(guī)建設(shè)中所面臨的困境

（一）電子病歷的證據(jù)效力缺陷

在涉及醫(yī)療過程的案件中，電子病歷是不可缺少的重要證據(jù)。電子病歷應(yīng)當(dāng)符合證據(jù)真實(shí)性、合法性、關(guān)聯(lián)性的三要素特征，即：第一，病歷必須能反映整個(gè)醫(yī)療過程的客觀事實(shí)；第二，病歷的采集與制作必須合法；第三，病歷必須與要證明的事實(shí)存在聯(lián)系。

電子病歷一方面給臨床帶來方便和效率，但是另一方面，由于現(xiàn)有管理與技術(shù)層面的多種原因，導(dǎo)致其所形成的病歷在真實(shí)性和合法性方面經(jīng)常被質(zhì)疑，導(dǎo)致電子病歷失去證據(jù)的意義。系統(tǒng)應(yīng)該記錄病歷的歷次修改中及修改前后的內(nèi)容、修改人、修改時(shí)間等重要信息。但是目前由醫(yī)院提交的打印成紙質(zhì)文件的電子病歷并沒有顯示這些重要信息。這種既不能反應(yīng)病歷產(chǎn)生時(shí)間又不能反應(yīng)病歷修改痕跡的電子病歷打印文本，由于其原貌無法完整呈現(xiàn)，便缺失了證據(jù)特征之一的真實(shí)性。在醫(yī)療損害侵權(quán)糾紛案件中，時(shí)常有患方質(zhì)疑醫(yī)方電子病歷存在涂改、偽造，但患方很難就電子病歷打印文本舉證證明自己的主張。

（二）電子病歷可能影響司法鑒定結(jié)論的真實(shí)性與準(zhǔn)確性

根據(jù)《最高人民法院關(guān)于審理醫(yī)療損害責(zé)任糾紛案件適用法律若干問題的解釋（2020 年修正）》第四條規(guī)定，當(dāng)患者無法提供診療機(jī)構(gòu)或其醫(yī)務(wù)人員的診療行為存在過錯(cuò)、該行為與損害后果之間有因果關(guān)系的證據(jù)時(shí)，患者有權(quán)向鑒定機(jī)構(gòu)提出醫(yī)療損害鑒定申請(qǐng)。④《最高人民法院關(guān)于審理醫(yī)療損害責(zé)任糾紛案件適用法律若干問題的解釋（2020年修正）》第4條“患者依據(jù)民法典第一千二百一十八條規(guī)定主張醫(yī)療機(jī)構(gòu)承擔(dān)賠償責(zé)任的，應(yīng)當(dāng)提交到該醫(yī)療機(jī)構(gòu)就診、受到損害的證據(jù)?；颊邿o法提交醫(yī)療機(jī)構(gòu)或者其醫(yī)務(wù)人員有過錯(cuò)、診療行為與損害之間具有因果關(guān)系的證據(jù)，依法提出醫(yī)療損害鑒定申請(qǐng)的，人民法院應(yīng)予準(zhǔn)許。醫(yī)療機(jī)構(gòu)主張不承擔(dān)責(zé)任的，應(yīng)當(dāng)就民法典第一千二百二十四條第一款規(guī)定情形等抗辯事由承擔(dān)舉證證明責(zé)任?！?/p>

電子病歷實(shí)質(zhì)上仍是病歷，記載了患者的病情發(fā)展過程和診療進(jìn)程，因此它與待證事實(shí)之間具備關(guān)聯(lián)性，是鑒定機(jī)構(gòu)重要的鑒定材料。我國關(guān)于電子病歷的鑒定程序才剛剛確立，因而電子病歷中所含數(shù)據(jù)的提取程序不夠完善且缺乏完備的法律規(guī)范作為保障。電子病歷系統(tǒng)是以數(shù)據(jù)庫的形式存儲(chǔ)數(shù)據(jù)并進(jìn)行數(shù)據(jù)修改，這就注定其存在易分離、易修改、且不易留下痕跡的問題。如果電子病歷進(jìn)行過修改、偽造但是又沒有被原告或者法院、鑒定機(jī)構(gòu)發(fā)現(xiàn)，那么這種不真實(shí)的電子病歷必然會(huì)影響鑒定機(jī)構(gòu)對(duì)醫(yī)療機(jī)構(gòu)診療行為的判斷，其所得出的司法鑒定結(jié)論就不具有真實(shí)性與準(zhǔn)確性。前不久由筆者代理的某醫(yī)療損害侵權(quán)責(zé)任糾紛案件中，正是因?yàn)殡娮硬v在后期被認(rèn)定為涂改、偽造，其醫(yī)療過錯(cuò)鑒定報(bào)告被鑒定機(jī)構(gòu)宣布作廢。

（三）電子病歷具有易泄露患者的個(gè)人信息和隱私的法律風(fēng)險(xiǎn)

患者就診信息由醫(yī)療機(jī)構(gòu)獨(dú)立保管的局面被徹底打破，如今的電子病歷開發(fā)單位致力于升級(jí)、完善系統(tǒng)，擬全面實(shí)現(xiàn)我國各省級(jí)、地級(jí)、縣級(jí)的醫(yī)療衛(wèi)生機(jī)構(gòu)、藥品管理機(jī)構(gòu)、綜合管理機(jī)構(gòu)等的數(shù)據(jù)共享，這不僅有助于個(gè)人醫(yī)療的便利化，還能夠極大地促進(jìn)我國公共衛(wèi)生和醫(yī)學(xué)科研的發(fā)展。但電子病歷數(shù)據(jù)共享化是一把雙刃劍，大量的第三方單位涌入電子病歷系統(tǒng)，必然會(huì)導(dǎo)致患者個(gè)人信息和隱私受到威脅。

1.電子病歷數(shù)據(jù)共享可能導(dǎo)致患者個(gè)人的信息和隱私泄露的風(fēng)險(xiǎn)

依據(jù)《中華人民共和國民法典》“人格權(quán)編”第六章關(guān)于“隱私權(quán)和個(gè)人信息保護(hù)”定義⑤《中華人民共和國民法典》第1032條：“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息。”《中華人民共和國民法典》第1034條：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等?！保颊叩碾娮硬v應(yīng)當(dāng)屬于個(gè)人信息和隱私，受到法律的保護(hù)。醫(yī)療機(jī)構(gòu)對(duì)電子病歷數(shù)據(jù)進(jìn)行存儲(chǔ)、使用、管理，就屬于對(duì)患者個(gè)人信息的處理。依據(jù)電子病歷數(shù)據(jù)的性質(zhì)，可將其分為個(gè)人基本數(shù)據(jù)、健康數(shù)據(jù)、治療數(shù)據(jù)、支付數(shù)據(jù)四大類；其中個(gè)人基本數(shù)據(jù)包括姓名、出生日期、性別、民族、住址、婚姻狀況、聯(lián)系人信息等，健康數(shù)據(jù)包括主訴、現(xiàn)病史、既往史、過敏史、?？撇轶w、檢驗(yàn)數(shù)據(jù)等，治療數(shù)據(jù)包括門診病歷、住院病歷、病程記錄、醫(yī)囑、手術(shù)記錄、輸血記錄等。

電子病歷數(shù)據(jù)會(huì)基于患者跨院會(huì)診、跨院就診、保險(xiǎn)公司醫(yī)療費(fèi)用報(bào)銷、公共衛(wèi)生機(jī)構(gòu)流行病學(xué)調(diào)查等原因而供共享。[1]同時(shí)，由于電子病歷數(shù)據(jù)是通過互聯(lián)網(wǎng)實(shí)現(xiàn)數(shù)據(jù)共享，機(jī)構(gòu)在對(duì)外傳輸數(shù)據(jù)時(shí)如果沒有采取防火墻、數(shù)據(jù)保護(hù)等措施，則可能使患者個(gè)人信息暴露于網(wǎng)絡(luò)之中，導(dǎo)致患者個(gè)人之信息和隱私泄露的風(fēng)險(xiǎn)。

2.電子病歷技術(shù)缺陷可能導(dǎo)致患者個(gè)人的信息和隱私泄露的風(fēng)險(xiǎn)

我國的電子病歷系統(tǒng)并未實(shí)現(xiàn)完全的智能化，加之部分地區(qū)醫(yī)療機(jī)構(gòu)的硬件條件有限，當(dāng)醫(yī)務(wù)人員大量上傳患者個(gè)人信息、甚至是多次修改之時(shí)，極有可能會(huì)導(dǎo)致系統(tǒng)超載或崩潰，使沒有授權(quán)的用戶、黑客等有機(jī)可乘，從而導(dǎo)致患者個(gè)人的信息和隱私泄露。

3.電子病歷使用權(quán)限區(qū)分不明可能導(dǎo)致患者個(gè)人的信息和隱私泄露的風(fēng)險(xiǎn)

電子病歷系統(tǒng)的訪問原則上應(yīng)當(dāng)是分類授權(quán)的，根據(jù)科室、主治醫(yī)師、藥劑師、護(hù)理師等職務(wù)層級(jí)進(jìn)行區(qū)分。但在實(shí)踐之中，多數(shù)醫(yī)療機(jī)構(gòu)的電子病歷系統(tǒng)僅靠賬號(hào)、密碼進(jìn)行管控，未對(duì)用戶權(quán)限進(jìn)行區(qū)分，甚至有醫(yī)療機(jī)構(gòu)的工作人員隨意告知他人自己的賬號(hào)密碼，這就可能導(dǎo)致與醫(yī)療行為無關(guān)的人員能夠輕易獲取患者個(gè)人信息和隱私。如現(xiàn)實(shí)中便已有醫(yī)藥代表通過醫(yī)生電腦賬號(hào)拷貝患者病歷的事件發(fā)生。

三、大數(shù)據(jù)背景下電子病歷之合規(guī)建設(shè)的建議

（一）增加電子簽名及時(shí)間戳技術(shù)以滿足證據(jù)要求

電子簽名及時(shí)間戳技術(shù)，即計(jì)算機(jī)通過計(jì)算產(chǎn)生獨(dú)特的電子簽名并在簽名時(shí)加蓋時(shí)間證明，從而保證醫(yī)務(wù)人員對(duì)電子病歷的操作留下完整痕跡。電子簽名技術(shù)保證了修改留有痕跡，只要電子病歷的內(nèi)容稍有變化，所產(chǎn)生的數(shù)據(jù)就會(huì)與上次不相同，故方便查詢修改之前的病歷，也可以對(duì)修改者身份進(jìn)行確認(rèn)，從而保證一旦電子病歷作出了修改，就能夠通過密鑰識(shí)別到人，還可以在使用電子簽名的同時(shí)加蓋時(shí)間戳，用來證明電子病歷創(chuàng)建、修改以及完成的時(shí)間。

（二）隱匿化處理患者就診信息

隨著各類醫(yī)療數(shù)據(jù)庫的建立和使用，筆者建議應(yīng)該隱匿化處理患者的就診信息。利用電子病歷建立醫(yī)療數(shù)據(jù)庫的過程中涉及對(duì)患者診療數(shù)據(jù)的提取、統(tǒng)計(jì)、分析，為防止通過就診信息識(shí)別出特定的患者，應(yīng)當(dāng)對(duì)患者的就診信息進(jìn)一步隱匿化處理。首先，可采用代稱、馬賽克的方式保護(hù)患者個(gè)人的信息，以降低不法分子通過信息拼湊鎖定特定患者的可能性。其次，在電子病歷系統(tǒng)中加入一鍵匿名化的功能并定期升級(jí)匿名化系統(tǒng)，將匿名化作為系統(tǒng)安全考評(píng)的指標(biāo)之一。如今，重新識(shí)別技術(shù)和匿名化技術(shù)相互抗衡，某些不法分子為販賣個(gè)人信息獲利而不斷升級(jí)去匿名化技術(shù)，企圖通過破解的方式獲取患者個(gè)人信息。[2]因此，完善系統(tǒng)的匿名化功能，加強(qiáng)對(duì)患者信息的隱匿化處理是必要之舉。

（三）完善電子病歷系統(tǒng)訪問的權(quán)限機(jī)制

醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)針對(duì)本機(jī)構(gòu)內(nèi)不同身份的人員給予區(qū)別化電子病歷訪問權(quán)限。例如患者的主治醫(yī)生可以完全訪問患者的電子病歷，涉及不同科室會(huì)診之時(shí)，需要主治醫(yī)生向其他醫(yī)生授予關(guān)于患者電子病歷的訪問權(quán)限，這樣能夠防止患者的診療數(shù)據(jù)在其他科室泄露。同理，護(hù)理人員等其他醫(yī)務(wù)人員都只能在主治醫(yī)生的授權(quán)范圍內(nèi)訪問患者的信息，行政、后勤等非醫(yī)療部門原則上無權(quán)訪問電子病歷。

（四）電子病歷管控主體的行為合規(guī)機(jī)制構(gòu)建

電子病歷系統(tǒng)往往是由提供電子病歷系統(tǒng)的廠商和醫(yī)療機(jī)構(gòu)共同管理；而現(xiàn)行法律規(guī)定只明確了醫(yī)療機(jī)構(gòu)所需承擔(dān)的法律責(zé)任，但是電子病歷系統(tǒng)的廠商也可能成為侵權(quán)主體——電子病歷系統(tǒng)中的數(shù)據(jù)歸屬不明，現(xiàn)行法律并沒有禁止電子病歷系統(tǒng)廠商讀取患者個(gè)人信息，因此其可能會(huì)因?yàn)楣室庑孤痘蛘吖芾聿划?dāng)造成患者個(gè)人信息、隱私被泄露或被不正當(dāng)使用。無論是上述哪種情況，電子病歷系統(tǒng)的廠商都應(yīng)當(dāng)承擔(dān)相關(guān)侵權(quán)的法律責(zé)任；同樣，若其他機(jī)構(gòu)因醫(yī)療保險(xiǎn)報(bào)銷等行為致使患者個(gè)人的信息、隱私泄露的，也需要承擔(dān)責(zé)任。隨著電子病歷時(shí)代的到來，我國可加大執(zhí)法力度，對(duì)于造成嚴(yán)重后果的可通過判令高額賠償?shù)姆绞?，以加?qiáng)醫(yī)療機(jī)構(gòu)、電子病歷廠商等主體對(duì)患者個(gè)人信息、隱私的保護(hù)意識(shí)。

醫(yī)療機(jī)構(gòu)作為患者個(gè)人信息的主要管理者應(yīng)當(dāng)加強(qiáng)對(duì)患者個(gè)人信息及隱私的保護(hù)。比如，醫(yī)務(wù)人員在對(duì)患者進(jìn)行知情告知時(shí)，也要注意強(qiáng)調(diào)保護(hù)患者的個(gè)人信息和隱私，例如患者的資料今后會(huì)在哪些方面進(jìn)行使用，尤其針對(duì)非醫(yī)療目的的使用應(yīng)該重點(diǎn)告知，取得患者同意。第一，醫(yī)務(wù)人員提供知情同意書供患者閱讀時(shí)，應(yīng)著重告知和患者個(gè)人信息保護(hù)相關(guān)的內(nèi)容；第二，將知情同意書中與患者個(gè)人信息保護(hù)相關(guān)的條款重點(diǎn)標(biāo)記出來，可參照履行格式條款中提醒注意義務(wù)，從而減少醫(yī)療機(jī)構(gòu)因告知不充分而承擔(dān)侵權(quán)責(zé)任的風(fēng)險(xiǎn)。[3]再者，處理患者的個(gè)人信息應(yīng)當(dāng)獲得患者的明示同意。例如：患者李某同意將本人的醫(yī)療數(shù)據(jù)，包括個(gè)人身份信息、診療數(shù)據(jù)等全部內(nèi)容用于科研、保險(xiǎn)機(jī)構(gòu)、國家機(jī)構(gòu)事業(yè)單位、其他就診醫(yī)療機(jī)構(gòu)等主體數(shù)據(jù)共享。

此外，醫(yī)療機(jī)構(gòu)還可以通過制定患者個(gè)人信息處理流程、泄密醫(yī)務(wù)人員責(zé)任承擔(dān)等內(nèi)部制度，加強(qiáng)對(duì)患者個(gè)人信息、隱私的分級(jí)分類管理。例如，可對(duì)患者的私密信息加密處理，嚴(yán)格審核訪問主體并限制其可訪問的范圍。此外，醫(yī)療機(jī)構(gòu)應(yīng)該組織醫(yī)務(wù)人員學(xué)習(xí)相關(guān)法律法規(guī)，加強(qiáng)醫(yī)務(wù)人員隱私保護(hù)意識(shí)。

在醫(yī)療大數(shù)據(jù)時(shí)代，醫(yī)院信息化管理正由傳統(tǒng)管理方式向“患者為中心，電子病歷為核心”的現(xiàn)代管理方式轉(zhuǎn)變。醫(yī)療服務(wù)作為民生之必需，醫(yī)療大數(shù)據(jù)的發(fā)展有利于提高診療水平與效率，但只有解決了患者隱私保護(hù)的難題，才能大范圍推行電子病歷，實(shí)現(xiàn)高效便捷的醫(yī)療服務(wù)，惠及患者。筆者通過對(duì)電子病歷特征、電子病歷所存在的法律風(fēng)險(xiǎn)以及原因分析，針對(duì)大數(shù)據(jù)下的電子病歷在證據(jù)效力、患者個(gè)人信息和隱私保護(hù)方面提出合規(guī)建議，冀能幫助醫(yī)療機(jī)構(gòu)規(guī)避或降低法律風(fēng)險(xiǎn)。