中國個人健康信息保護現(xiàn)狀及相關(guān)權(quán)利歸屬的探討

張 靜，李宇陽

（杭州師范大學(xué)醫(yī)學(xué)院，浙江 杭州 311121）

● 醫(yī)學(xué)倫理學(xué) ●

中國個人健康信息保護現(xiàn)狀及相關(guān)權(quán)利歸屬的探討

張 靜，李宇陽

（杭州師范大學(xué)醫(yī)學(xué)院，浙江 杭州 311121）

個人健康信息是個人信息的組成部分，它是在醫(yī)療衛(wèi)生服務(wù)中產(chǎn)生的與個體緊密聯(lián)系的。個人健康信息在征集、管理和使用中造成的信息泄露容易對健康信息的持有人造成巨大的損失。同時，個人健康信息的所有權(quán)、使用權(quán)和管理權(quán)的歸屬問題也是在個人健康信息保護過程中亟待解決的法理學(xué)問題。

個人健康信息；保護機制；歸屬權(quán)

隨著社會經(jīng)濟的發(fā)展和信息時代的來臨，醫(yī)療行業(yè)也開始加強自身信息化的建設(shè)，越來越多地把信息手段運用到醫(yī)療服務(wù)的各個方面。與此同時，個人健康信息保護措施的缺位，醫(yī)療行業(yè)信息化對患者個人信息尤其是健康信息的保護需要得到更多的關(guān)注和重視。筆者對個人健康信息保護的現(xiàn)狀及需要解決的問題進行綜述，為進一步的研究提供一定的理論支持和實踐指導(dǎo)。

1 個人健康信息的概念

1.1 信息和個人信息的概念

信息是指經(jīng)過處理后得到的數(shù)據(jù)。個人信息的主體是個人，因此個人信息所描述的對象是具有個體獨有特性的數(shù)據(jù)[1]。

個人信息也被稱之為個人數(shù)據(jù)或者個人資料。學(xué)術(shù)界目前對于個人信息尚無統(tǒng)一明確的概念。臺灣學(xué)者認為個人信息是關(guān)于某個人的一切事實、判斷和評價在內(nèi)的信息。有學(xué)者認為個人信息是指個體不愿意為外界知曉的信息；也有學(xué)者認為個人信息是指個人的姓名、性別、年齡、血型、健康狀況等可以直接或者間接識別該個人的資料[2]。筆者認為，第一種定義對個人信息概念的界定較為狹隘，第二種定義有將個人信息和個人隱私混為一談的嫌疑，第三中定義較為清楚的反映了個人信息的范圍。

大部分學(xué)者認為個人信息的概念應(yīng)該包括以下3個方面的內(nèi)容[3]：（1）個人信息具有可識別性[4]，可識別性是指通過讀取個人信息，能夠辨識出特定人的特定屬性[5]；（2）個人信息具有一定的價值，信息是在資料或者數(shù)據(jù)的基礎(chǔ)上經(jīng)過處理得到的，具有一定的利用價值；（3）個人信息與個人隱私是有區(qū)別的，個人信息與個人隱私的內(nèi)涵和外延均不相同[6]。

綜上所述，個人信息可以概括為：包含特定個體特性、具有利用價值的、能夠?qū)⑼ㄟ^對該內(nèi)容的解讀識別出某個體的各種數(shù)據(jù)的總稱，該數(shù)據(jù)具有多種表現(xiàn)形式。

1.2 個人健康信息的概念

健康是指生理、心理和社會適應(yīng)的完好狀態(tài)。健康信息，顧名思義就是與人健康相關(guān)的信息[7]。

在醫(yī)療活動中，必然會產(chǎn)生將有一部分個人信息轉(zhuǎn)換成為個人健康信息的行為。個人健康信息包括與個體生理、心理和社會適應(yīng)狀態(tài)相關(guān)的一系列指標。這些指標既有包括個人性別、年齡、職業(yè)、聯(lián)系方式等在內(nèi)的基本信息，也有包括體檢、診斷、治療、疾病控制、醫(yī)學(xué)研究過程中涉及到的個人機體特征、健康狀況、人際接觸、遺傳基因、病史病歷等方面的信息[8]。個人健康信息是個人信息的組成部分，一個人從出生到死亡的過程中，該個體健康的發(fā)展變化情況和接受的各種醫(yī)療服務(wù)記錄的總和[9]。

隨著技術(shù)的進步，個人健康信息的所包含的范圍是在逐步擴大的。

1.3 個人健康信息保護

個人健康信息所包含的信息量是巨大的，通過對這些信息的利用，不僅僅可以對信息所有者的隱私造成泄漏，還有可能對其生命財產(chǎn)安全造成巨大的損失。個人健康信息保護主要涉及以下幾個方面：首先，個人健康信息征集過程中的保護；其次，個人健康信息管理中的保護；最后，個人健康信息使用中的保護。

2 國內(nèi)外個人健康信息保護的現(xiàn)狀

2.1 國外個人健康信息保護的現(xiàn)狀

美國個人醫(yī)療記錄屬于個人隱私的范疇，受到《隱私保全法》的保護，該法也是美國保障公民個人信息的最重要的基本法律[10]。美國醫(yī)院學(xué)會在1973年制定的《病人權(quán)利典章》中明確規(guī)定病人有獲取自身信息的權(quán)利[11]。美國于1996年制定并通過了健康保險攜帶和責(zé)任法案（HIPAA法案），并于第二章建立國家電子醫(yī)療交易保障監(jiān)督，創(chuàng)建健康信息的安全與隱私的規(guī)定。HIPAA法案在保護病人健康信息的個人隱私方面，和確保健康信息在需要利用它提供健康保險時可利用方面需求平衡[12]。該國《健康保險轉(zhuǎn)移和責(zé)任法》機構(gòu)隨后公布的隱私規(guī)則規(guī)定了對個人健康信息的保護。在美國醫(yī)學(xué)生教育的過程中，教學(xué)醫(yī)院的管理者要求醫(yī)院向入院的患者告知本院為教學(xué)醫(yī)院以及見習(xí)教學(xué)對患者的要求, 獲得患者同意或家屬同意方可進行見習(xí)教學(xué), 如未獲同意則不得進行見習(xí)教學(xué)或者建議患者轉(zhuǎn)院。同時，有研究數(shù)據(jù)顯示，醫(yī)學(xué)生和住院醫(yī)生會將需要保護的健康信息發(fā)布到他們的社交網(wǎng)站上。這給我們提出了警示——應(yīng)該從道德和法律的視角來保護患者的信息，已經(jīng)成為了比較尖銳的社會問題，而且在近來的社交網(wǎng)絡(luò)現(xiàn)象中被放大[13]。

在加拿大，即使是涉及個人隱私的檢查結(jié)果弄錯了也會得到及時糾正甚至相關(guān)人員會受到懲罰。這種保護措施傳遞了一個信息，那就是他們的敏感性私人健康信息方面可以信任衛(wèi)生機構(gòu)和專業(yè)人員。由省級或地區(qū)的個人資料私隱專員和政府相關(guān)專員執(zhí)行著相當(dāng)嚴格的個人健康隱私的規(guī)定，醫(yī)務(wù)人員和相關(guān)機構(gòu)如果違反這些規(guī)定將被處罰或者開除。

在歐洲，歐盟對個人醫(yī)療和與健康相關(guān)的數(shù)據(jù)進行了嚴格的監(jiān)管。根據(jù)法律的規(guī)定，個體在有合法原因的前提下，有權(quán)訪問、整頓、刪除和鎖定與之相關(guān)的數(shù)據(jù)[14]。由于新技術(shù)和云計算在醫(yī)療服務(wù)中的運用，醫(yī)療專業(yè)人員與患者之間、患者與患者之間、醫(yī)療專業(yè)服務(wù)人員之間也能夠?qū)崿F(xiàn)數(shù)據(jù)的共享。這種共享也更容易導(dǎo)致個人健康信息的泄露。歐洲數(shù)據(jù)保護監(jiān)督員認為審查歐盟數(shù)據(jù)保護框架的主要目標之一就是進一步統(tǒng)一數(shù)據(jù)保護指令。英國早在1984年便通過了《數(shù)據(jù)保護法》，并在此后通過了包括《通信數(shù)據(jù)保護原則》在內(nèi)的一系列旨在保護個人信息安全的法律法規(guī)。由于意識到個體面對信息處理方面的弱勢地位，歐盟于1995年頒布95號指令，加強個人相對信息處理者的地位并對個人予以強制性的法律保護[15]。

日本于2005年4月開始生效的《個人信息保護法》是日本保護個人信息安全的根本法律。日本的《行政信息公開法》、《獨立行政法人信息公開法》、《行政機關(guān)個人信息保護法》、《獨立行政法人個人信息保護法》以及《信息公開及個人信息保護審查會設(shè)置法》構(gòu)成了日本國家行政機關(guān)及獨立行政法人等信息公開與個人信息保護的基本法律制度[16]。同時，日本政府還專門成立了信息公開和個人信息保護審查會，是一個出于第三者中立地位的機構(gòu)，對有關(guān)信息公開和個人信息保護的處分不符的案件進行調(diào)查審理并提出相應(yīng)的咨詢報告。

2.2 我國個人健康信息保護的現(xiàn)狀

目前我國正處在向信息社會轉(zhuǎn)型的階段，尚無完善個人健康信息保護機制及法律法規(guī)出臺，也沒有將個人隱私權(quán)或者個人信息權(quán)作為一種法律權(quán)利予以確認。

中國臺灣地區(qū)個人信息保護法律是由憲法、民法、行政法、刑法以及訴訟法所構(gòu)成的完整結(jié)構(gòu)。1996年臺灣地區(qū)訂立《電腦處理個人資料保護法》及其實施細則是臺灣個人信息保護法的基本法律淵源[17]。同時臺灣地區(qū)對商業(yè)信息政策、行政機關(guān)信息政策、信息服務(wù)等政策也有明確界定[18]。

對個人信息保護的法律法規(guī)，在其他的諸多法律中有不同程度的體現(xiàn)。我國《憲法》中規(guī)定“中華人民共和國公民的人格尊嚴不受侵犯。”這是我國個人信息保護法律的基礎(chǔ)。同時在我國《傳染病防治法》、《保險法》、《民事訴訟法》、《刑事訴訟法》中均有對個人隱私予以保護的規(guī)定[19]。雖然政府在個人信息保護立法方面的進展較為緩慢，但是目前已有兩部專家建議稿公開發(fā)表，分別是2005年齊愛民的《個人信息保護法示范法草案學(xué)者建議稿》和2006年周漢華主編的《個人信息保護法（專家建議稿）及立法研究報告》。2012年2月1日開始實施的中國首個個人信息保護國家標準《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》標志著個人信息保護工作正式進入“有標可依”階段。該法律主要適用于互聯(lián)網(wǎng)方面的個人信息保護。

在個人健康信息保護方面，《中華人民共和國執(zhí)業(yè)醫(yī)師保護法》、《艾滋病檢測管理的若干規(guī)定》等法律法規(guī)對醫(yī)護人員尊重和保護患者隱私做出了明確的規(guī)定。

有學(xué)者認為我國應(yīng)該建立醫(yī)療信息公開制度，將包括醫(yī)療質(zhì)量、費用、病歷信息在內(nèi)的醫(yī)療信息予以公開，以達到構(gòu)建和諧的醫(yī)患關(guān)系的目的[20]。也有學(xué)者提出，在當(dāng)前醫(yī)療資源緊張的情況下，利用信息化技術(shù)實現(xiàn)醫(yī)療信息資源的共享，但是沒有對必然會涉及的個人健康信息泄露和保護問題加以考慮。同時，部分學(xué)者在搜集個人健康信息時，更多的是注重所搜集信息的重要性、必需性和可獲得性方面的考慮，但是對相關(guān)的信息保護措施則沒有考慮進去。在建立健康檔案的時候，往往是將健康檔案信息的完整性和便于查閱[21,22]作為首要的因素來考慮，無疑加大了個人健康信息泄露的風(fēng)險和由此帶來的損失。

3 我國個人健康信息保護存在的問題

3.1 缺少專門的立法

20世紀80年代開始的信息化運動在全球的展開，隨著數(shù)據(jù)分析和辦公電子化的普及，個人信息具備了基本的工具價值，信息安全也已經(jīng)越來越引起人們的重視。個人健康信息作為個人信息的組成部分，在信息化潮流下所面臨的威脅也日趨嚴重。

尤其是自2009年我國開始推行電子健康檔案以來，以數(shù)字化存儲的電子健康檔案（屬于個人健康信息的一部分）極大的便利了查詢、管理、分析和共享。電子健康檔案所攜帶的信息是個人專屬的，即儲存的信息與個體密不可分，辨識度高。同時由于電子健康檔案記錄內(nèi)容的特殊，其所記錄的內(nèi)容相對來說較為敏感，因此如何確保其保密和安全就顯得尤為重要[23]。

正如筆者在我國個人健康信息保護現(xiàn)狀中所描述的那樣，我國大陸當(dāng)前缺少像臺灣地區(qū)乃至日本、歐美國家一樣的專門對個人信息以及個人健康信息保護的專門法律。當(dāng)前僅僅依賴醫(yī)療機構(gòu)、醫(yī)務(wù)人員、健康信息管理者自身的道德約束和零散的法律法規(guī)的規(guī)制是明顯不夠的。

3.2 個人健康信息的權(quán)利和責(zé)任歸屬不清楚

個人健康信息權(quán)利類別主要是所有權(quán)、使用權(quán)和管理權(quán)，它所涉及的是對個人健康信息的控制和對個人健康信息的保護。有學(xué)者將電子健康檔案的所有權(quán)、使用權(quán)、管理權(quán)進行按照不同的主題進行劃分，賦予相應(yīng)的義務(wù)，并提出了這三種權(quán)力之間需要相互聯(lián)系、相互牽制[24]。

所有權(quán)是指所有人依法對自己所有權(quán)財產(chǎn)的占有，使用權(quán)是指不改變財產(chǎn)的本質(zhì)而依法加以利用的權(quán)利，管理權(quán)是指所有權(quán)人授予的對所有權(quán)人的財產(chǎn)享有占有、使用的權(quán)利。個人健康信息是屬于誰的、個人健康信息應(yīng)該被誰使用、在什么情況下可以被使用，個人健康信息在管理過程中的授權(quán)行為都是需要法律明確進行規(guī)定。

3.3 補償機制尚未建立

由于個人健康信息中所包含的具有極高利用價值的信息，這些信息一旦被泄露，對健康信息所有者有可能造成一定的損害。當(dāng)前條件下，個人健康信息的搜集、使用和管理者一般是一些醫(yī)療機構(gòu)和政府部門，公民的個人健康信息一旦遭到泄露和侵犯，往往找不到可以申訴的渠道，對由此造成的損失，也沒有具體的補償機制。

4 我國個人健康信息保護機制的探討

“OECD勸告”曾確立個人信息保護的八項原則，分別是收集限制原則、信息內(nèi)容原則、目的明確化原則，利用限制原則、安全保護原則、公開原則、個人參與原則和責(zé)任原則[25]。我國對個人信息保護的立法原則不同學(xué)者也有不同的見解，但普遍認為需要建立一套與我國現(xiàn)有法律體系相適應(yīng)的個人信息保護法律。筆者認為，當(dāng)前個人健康信息保護需要從以下方面著手：

4.1 各主體的權(quán)力劃分

由于個人健康信息的所有者、搜集者、管理者和使用者往往不是同一個體，因此，各主體權(quán)利的劃分就關(guān)系到權(quán)利、責(zé)任和利益的劃分。筆者認為，可以將不同的權(quán)利劃分給不同的對象，并賦予相應(yīng)的責(zé)任。產(chǎn)生的利益的前提是承擔(dān)起一定的責(zé)任，同時賦予承擔(dān)該責(zé)任的權(quán)利。只有權(quán)、責(zé)、利劃分明確，才能夠保證個人健康信息的正常、有序管理和使用。

4.2 個人健康信息征集、管理、使用中的規(guī)制研究

筆者認為，首先需要對個人健康信息的重要等級進行劃分，根據(jù)重要等級建立明確的征集、管理和使用路徑，并嚴格執(zhí)行，防止個人健康信息的泄露。

在個人健康信息征集的過程中，既能夠獲得真實、有效、可信的數(shù)據(jù)，又能夠不侵犯被征集人的合法權(quán)利。在信息管理的過程中，在考慮到數(shù)據(jù)傳遞的兼容性和便利性的同時，要把對防止數(shù)據(jù)的泄露放在首位。在信息的使用過程中，既能夠?qū)?shù)據(jù)進行深層次的拓展和深化，也能夠保障各主體的權(quán)利。

[1] 梅紹祖.個人信息保護的基礎(chǔ)性問題研究[J].蘇州大學(xué)學(xué)報,2005,(2):25-30.

[2] 盧艷寧.個人信息采集及個人隱私權(quán)的法律保護[J].法制與經(jīng)濟(中旬刊),2010,(8):80-82.

[3] 井慧寶,常秀嬌.個人信息概念的厘定[J].法律適用,2011,(3):90-93.

[4] 王利明.論個人信息權(quán)在人格權(quán)法中的地位[J].蘇州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2012,(6):68-75.

[5] 羅 澍.論個人信息的法律屬性[J].社科縱橫(新理版), 2011,(1):115-116.

[6] 王 姝.我國個人信息的保護與合理利用問題研究[J].重慶郵電大學(xué)學(xué)報(社會科學(xué)版),2008,(03):59-62.

[7] 吳思靜,郭 清.國內(nèi)外健康信息管理現(xiàn)狀[J].健康研究,2010,(5):321-323.

[8] 湯嘯天.個人健康醫(yī)療信息和隱私權(quán)保護[J].同濟大學(xué)學(xué)報(社會科學(xué)版),2006,(3):117-123.

[9] 崔樹起,楊文秀.社區(qū)衛(wèi)生服務(wù)管理[M].北京:人民衛(wèi)生出版社,2006.

[10] 佚 名.發(fā)達國家如何保護個人信息安全[J].標準生活,2012,(4): 18-19.

[11] 朱明蘭,崔 偉.西方國家病人自主權(quán)概況及淺析[J].醫(yī)學(xué)與哲學(xué),2012,33,(12):57-59.

[12] JACQUELYN M POLITER. EEG T, RPSGT, RST, et al. Ethical Considerations in Internet Use of Electronic Protected Health Information[J].Neurodiagn,2012,(52):34-41.

[13] T THOMPSONLA,BLACK E,WP,et al.Protected Health Information on Social Networking Sites: Ethical and Legal Considerations [J].Med.Internet Res,2011,(1):e8.

[14] HENRIETTE ROSCAM,ABBING Editorial.A Revival of the Privacy Protection of Health-Related Personal Information [J]. European Journal of Health Law,2011,(18):247-254.

[15] 齊愛民.論個人信息保護基本策略的政府選擇[J].蘇州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2007,(4):32-36.

[16] 劉 杰.論日本信息公開與個人信息保護的救濟制度[J].太平洋學(xué)報,2009,(4):15-21.

[17] 梁 靜.臺灣地區(qū)個人信息保護之評析[J].河南司法警官職業(yè)學(xué)院學(xué)報,2010,(2):49-53.

[18] 梁俊蘭.臺灣信息政策研究[M].北京:北京圖書館出版社,2006:56-82.

[19] 胡海夢.論我國個人信息法律保護體系的構(gòu)建[J].法制與社會,2010,(33):48-49.

[20] 林 晶.建立醫(yī)療信息公開制度的構(gòu)想[J].醫(yī)院管理論壇,2009,(2):51-53.

[21] 魏詠蘭.成都市居民健康檔案管理現(xiàn)狀及對策分析[J].中國衛(wèi)生事業(yè)管理,2011,(5):392-393.

[22] 陳志青,吳亞平.社區(qū)健康檔案管理信息化[J].廣州醫(yī)藥,2011,(5):67-69.

[23] 劉 暢.個人健康檔案管理應(yīng)做好六個方面的工作[J].黑龍江檔案,2010,(2):61.

[24] 沈劍鋒,李蘭娟.關(guān)于健康檔案相關(guān)權(quán)利的思考[J].中國衛(wèi)生信息管理雜志,

[25] 呂艷濱.個人信息保護法制管窺[J].行政法學(xué)研究,2006,(1): 87-91,100.

（本文編輯：楊紅梅）

Discuss on current status and related right attribution of personal health information protecting in China

ZHANG Jing, LI Yu-yang
(Medical School of Hangzhou Normal University, Hangzhou Zhejiang 311121, China)

Personal health information is part of personal information. It is generated from medical health service and closely connected with individual. The leakage of personal health information will cause enormous loss to the holder at the process of collecting, management and using. At the same time, the attribution is a jurisprudence issue what personal health information ownership, using right and management right are also need to be worked out at the process of personal health information protection.

personal health information, protection mechanisms, attribution right

R-052

A

1003-2800（2014）09-0577-04

2014-04-21

張 靜（1989-），男，湖北孝感人，在讀研究生，主要從事衛(wèi)生管理和衛(wèi)生政策研究。