互聯(lián)網(wǎng)時(shí)代醫(yī)療信息保護(hù)的法律檢視

羅楚湘，嚴(yán)景

(北京郵電大學(xué) 人文學(xué)院，北京 100876)

醫(yī)療信息是指向特定自然人的、與醫(yī)療有關(guān)的所有信息，包括：個(gè)人電話、住址等身份信息；過敏史、遺傳病史、診斷結(jié)論、治療措施等生物及病理信息；個(gè)人的醫(yī)保卡賬號(hào)、費(fèi)用清單等經(jīng)濟(jì)信息。醫(yī)療信息是個(gè)人信息的組成部分，他人能夠僅憑單項(xiàng)醫(yī)療信息，或結(jié)合多項(xiàng)醫(yī)療信息識(shí)別出特定個(gè)人。在大數(shù)據(jù)、云計(jì)算等信息網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天，醫(yī)療信息的傳播途徑與范圍有所革新，個(gè)人醫(yī)療信息安全也因此面臨新的挑戰(zhàn)：網(wǎng)絡(luò)上利用技術(shù)手段非法收集、篡改、使用個(gè)人醫(yī)療信息的案件頻發(fā)。面對(duì)如此困境，現(xiàn)行法律還無法充足地應(yīng)對(duì)。因此，目前亟需對(duì)醫(yī)療信息的保護(hù)問題予以法律檢視，并作出解答。

一、我國醫(yī)療信息安全方面存在的問題

互聯(lián)網(wǎng)背景下，我國醫(yī)療信息安全問題頻發(fā)的主要原因有兩個(gè)：第一，醫(yī)療系統(tǒng)的安全性能較弱。在搭建醫(yī)療信息系統(tǒng)時(shí)，系統(tǒng)研發(fā)者所設(shè)計(jì)的各種功能主要是為了實(shí)現(xiàn)醫(yī)療目的，會(huì)優(yōu)先考慮系統(tǒng)的操作性能(譬如，如何能令醫(yī)護(hù)人員方便地記錄電子病歷、管理患者等)，而缺乏對(duì)醫(yī)療信息安全保障的考量。同時(shí)，與電子商務(wù)企業(yè)、互聯(lián)網(wǎng)金融企業(yè)相比，醫(yī)療衛(wèi)生機(jī)構(gòu)和互聯(lián)網(wǎng)醫(yī)療服務(wù)企業(yè)在信息系統(tǒng)研發(fā)和升級(jí)上的資金與技術(shù)投入較少，這從另一個(gè)層面導(dǎo)致醫(yī)療系統(tǒng)的安全性能較弱，從而影響醫(yī)療信息的安全。第二，參與互聯(lián)網(wǎng)醫(yī)療服務(wù)的主體增多，醫(yī)療信息泄露、濫用的風(fēng)險(xiǎn)增大?；ヂ?lián)網(wǎng)醫(yī)療涉及到遠(yuǎn)程醫(yī)療、移動(dòng)醫(yī)療等環(huán)節(jié)，各個(gè)主體的信息系統(tǒng)必須對(duì)接?；颊叩尼t(yī)療信息會(huì)在互聯(lián)網(wǎng)運(yùn)營者、各級(jí)醫(yī)療機(jī)構(gòu)的信息系統(tǒng)之間流通。流通范圍的擴(kuò)大導(dǎo)致更多主體能夠接觸、處理醫(yī)療信息，信息安全風(fēng)險(xiǎn)增大。

醫(yī)療信息安全問題表現(xiàn)在以下幾個(gè)方面：一是非法收集。在傳統(tǒng)醫(yī)療活動(dòng)中，醫(yī)療信息主體為實(shí)現(xiàn)診療目的，會(huì)直接將個(gè)人信息告知醫(yī)護(hù)人員，通常不存在非法收集醫(yī)療信息的問題。而在互聯(lián)網(wǎng)背景下，醫(yī)療信息以電子化形式存在于信息系統(tǒng)中，信息存取方便，卻也極易被他人用隱秘手段非法收集。二是信息泄露。醫(yī)療信息控制者的故意行為或過失操作、黑客入侵、病毒植入，以及信息系統(tǒng)本身的漏洞等，都有可能導(dǎo)致醫(yī)療信息在傳輸、使用的過程中被泄露。三是信息篡改。比起紙質(zhì)記載方式，電子化的醫(yī)療信息更容易被不留痕跡地篡改，且由于信息主體和醫(yī)療衛(wèi)生機(jī)構(gòu)與互聯(lián)網(wǎng)運(yùn)營者信息不對(duì)稱，個(gè)人往往對(duì)篡改之事一無所知，更正信息也無從談起。四是非法使用醫(yī)療信息。對(duì)醫(yī)療信息的使用本應(yīng)圍繞醫(yī)療目的展開，但為了牟取經(jīng)濟(jì)利益，許多互聯(lián)網(wǎng)醫(yī)療企業(yè)有可能在未經(jīng)醫(yī)療信息主體授權(quán)的情況下非法加工、出售醫(yī)療信息。

我國的網(wǎng)絡(luò)安全法將個(gè)人信息定義為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等”。醫(yī)療信息屬于個(gè)人信息，但不同于其他個(gè)人信息。醫(yī)療信息有著特殊性，醫(yī)師的診治行為是在分析、判斷醫(yī)療信息的基礎(chǔ)上開展的。從這個(gè)角度而言，醫(yī)療信息關(guān)系到個(gè)人的生命健康，比起其他的個(gè)人信息，其意義更為重大。同時(shí)，醫(yī)療信息還是公共衛(wèi)生決策的重要依據(jù)，業(yè)已成為國家重要的戰(zhàn)略資源，具有更高的價(jià)值。此外，醫(yī)患雙方存在著不對(duì)等性，在醫(yī)療活動(dòng)中，信息主體會(huì)完全按照醫(yī)師的要求提供醫(yī)療信息，并無選擇性告知的余地。這意味著醫(yī)療信息主體對(duì)信息的實(shí)際控制能力變?nèi)酢；卺t(yī)療信息的特殊性，應(yīng)對(duì)其進(jìn)行特別的保護(hù)。目前，我國針對(duì)互聯(lián)網(wǎng)環(huán)境中醫(yī)療信息保護(hù)的法律法規(guī)尚不完善，故而有必要予以探討。

二、醫(yī)療信息法律保護(hù)模式的選擇

(一)域外醫(yī)療信息法律保護(hù)模式的比較

在法律保護(hù)模式的選擇上，歐洲將個(gè)人醫(yī)療信息納入個(gè)人數(shù)據(jù)的范疇，并通過確立個(gè)人數(shù)據(jù)權(quán)的方式，為互聯(lián)網(wǎng)時(shí)代的醫(yī)療信息安全提供保障。2016年4月，歐盟理事會(huì)、歐洲議會(huì)批準(zhǔn)通過了《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR)(以下簡稱《條例》)，《條例》指出，個(gè)人數(shù)據(jù)包括“基因數(shù)據(jù)” “生物性識(shí)別數(shù)據(jù)” 及“和健康相關(guān)的的數(shù)據(jù)”，基本覆蓋了中文語境下的個(gè)人醫(yī)療信息。對(duì)于這些數(shù)據(jù)，《條例》賦予數(shù)據(jù)主體(data subject)一定的主體權(quán)利，包括知情權(quán)、數(shù)據(jù)訪問權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)等。醫(yī)療數(shù)據(jù)主體得以能動(dòng)地行使這些權(quán)利，實(shí)現(xiàn)保護(hù)個(gè)人醫(yī)療信息的目的。對(duì)數(shù)據(jù)的控制者和處理者，《條例》則設(shè)立了收集、處理、使用、披露數(shù)據(jù)過程中應(yīng)當(dāng)承擔(dān)的義務(wù)，包括采取充分的安全保障措施，在泄密事件發(fā)生時(shí)按照規(guī)定上報(bào)等。此外，《條例》還規(guī)定侵犯個(gè)人數(shù)據(jù)權(quán)利的互聯(lián)網(wǎng)服務(wù)提供者將面臨巨額罰款。

美國則將個(gè)人醫(yī)療信息納入隱私的范疇，構(gòu)建了以隱私權(quán)為依托的醫(yī)療信息保護(hù)框架。1996年，《健康保險(xiǎn)攜帶和責(zé)任法案》(Health Insurance Portability and Accountability Act，HIPAA)(以下簡稱《法案》)問世?！斗ò浮穼⑨t(yī)療信息界定為“受保護(hù)的健康信息(Protected Health Information，PHI)”。對(duì)于這些信息，《法案》設(shè)定了一整套隱私保護(hù)規(guī)則：履行隱私保護(hù)義務(wù)的受限實(shí)體(Covered Entities，CE)收集個(gè)人醫(yī)療信息應(yīng)獲得隱私權(quán)主體的許可；處理、利用、披露信息應(yīng)遵循“最低限度”等原則；違反隱私保護(hù)規(guī)則的受限實(shí)體將根據(jù)情節(jié)受到罰款或刑事處罰。除隱私規(guī)則外，《法案》還要求受限實(shí)體在管理層面、物理層面以及技術(shù)層面采取信息系統(tǒng)保護(hù)措施，以維護(hù)個(gè)人隱私。自出臺(tái)以來，HIPAA歷經(jīng)數(shù)次修正，受限實(shí)體的范圍得到擴(kuò)展，隱私規(guī)則得到完善。除HIPAA法案之外，美國涉及個(gè)人醫(yī)療信息保護(hù)的法律法規(guī)還有《衛(wèi)生信息技術(shù)促進(jìn)經(jīng)濟(jì)和臨床健康法案》(Health Information Technology for Economic and Clinical Health Act,HITECH)、《有效保護(hù)隱私權(quán)的自律規(guī)范》(Elements of Effective Self Regulation for Protection of Privacy)等，它們無一例外地體現(xiàn)了以隱私概念涵蓋醫(yī)療信息的立法思路。

為保護(hù)個(gè)人醫(yī)療信息，歐洲選擇為個(gè)人專門設(shè)立“數(shù)據(jù)權(quán)利”；而美國卻將醫(yī)療信息劃入隱私的概念下，通過隱私權(quán)來保障個(gè)人醫(yī)療信息的安全。對(duì)保護(hù)模式的不同選擇是由于不同法律背景下“隱私權(quán)”的范圍存在差異。第二次世界大戰(zhàn)后，歐洲各國意識(shí)到必須以法律形式設(shè)立公民隱私權(quán)利，以防范二戰(zhàn)中曾發(fā)生的對(duì)公民的政治迫害，于是隱私權(quán)被寫入了《歐洲人權(quán)公約》[1]。依照公約規(guī)定，這項(xiàng)權(quán)利指向的僅僅是與私密信息或私生活有關(guān)的人格利益，其范圍是封閉的。后來，隨著信息技術(shù)的發(fā)展，個(gè)人數(shù)據(jù)被廣泛地收集和利用，歐盟理事會(huì)意識(shí)到個(gè)人數(shù)據(jù)背后有著隱私所不具備的經(jīng)濟(jì)利益，而若以隱私權(quán)來調(diào)整個(gè)人數(shù)據(jù)，則既有的權(quán)利內(nèi)容無法完整地囊括個(gè)人數(shù)據(jù)所指向的利益，有盲目擴(kuò)大隱私權(quán)外延之嫌。故而，理事會(huì)召開決議，要求成員國推動(dòng)國內(nèi)立法，另行設(shè)立數(shù)據(jù)權(quán)利以專門保障個(gè)人數(shù)據(jù)相關(guān)的利益。于是德國、英國、瑞典等國紛紛出臺(tái)相應(yīng)的數(shù)據(jù)保護(hù)法，醫(yī)療數(shù)據(jù)也在調(diào)整范圍之內(nèi)。反觀美國，其1974年出臺(tái)的《隱私法》便是統(tǒng)一的個(gè)人信息保護(hù)立法[2]，體現(xiàn)了立法者不另設(shè)單獨(dú)的數(shù)據(jù)權(quán)利保護(hù)個(gè)人信息的態(tài)度。這是因?yàn)椋绹碾[私權(quán)是一項(xiàng)開放性的權(quán)利。在缺乏系統(tǒng)的人格權(quán)體系的背景下，隱私權(quán)可視作扮演了“一般人格權(quán)”的角色[3]，它調(diào)整的對(duì)象除了私密信息和私人生活，還有肖像、榮譽(yù)等大陸法系中具體人格權(quán)的內(nèi)容?；诖吮尘?，美國在立法中將包括醫(yī)療信息在內(nèi)的個(gè)人信息歸入隱私的概念下是注定的結(jié)果。不同的土壤孕育出不同的立法果實(shí)。應(yīng)當(dāng)看到，在歐洲模式下，醫(yī)療數(shù)據(jù)權(quán)的權(quán)利內(nèi)容能夠通過立法明確地界定下來，當(dāng)事人可以直接援引相關(guān)條款維護(hù)自己的權(quán)益，這有利于對(duì)個(gè)人進(jìn)行更為嚴(yán)密的保護(hù)。而在美國模式下，由于隱私權(quán)具有開放性，公民能夠更為靈活地保護(hù)自己的醫(yī)療信息安全[4]。

(二)我國醫(yī)療信息法律保護(hù)模式的選擇

選擇醫(yī)療信息的法律保護(hù)模式，首先需要認(rèn)識(shí)到醫(yī)療隱私與醫(yī)療信息的關(guān)系。醫(yī)療隱私與個(gè)人醫(yī)療信息有交叉的部分，如個(gè)人未公開的、不愿意為外人所知的疾病既屬于醫(yī)療隱私，也屬于醫(yī)療信息。醫(yī)療隱私與醫(yī)療信息也存在著顯著的區(qū)別。首先，醫(yī)療隱私主要是醫(yī)療方面的私密性信息(如患病信息、過敏史等)，或醫(yī)療方面?zhèn)€人私密性的活動(dòng)(如治療活動(dòng)等)。醫(yī)療隱私強(qiáng)調(diào)的是私密性，是個(gè)人不愿意公開的且與公共利益無關(guān)的信息。醫(yī)療信息雖然也是醫(yī)療方面的信息，但特征并不在于私密性，而在于主體身份的可識(shí)別性，即他人可以通過這些醫(yī)療信息識(shí)別出某一主體，如通過醫(yī)?？ㄌ?hào)鎖定特定個(gè)人。不同于隱私，醫(yī)療信息是可以以公開的狀態(tài)存在的。其次，醫(yī)療隱私與醫(yī)療信息的保護(hù)路徑不同。醫(yī)療隱私的主體通常會(huì)采取事前的、防御性的手段來防止隱私被披露。而隱私一旦被公開，便無法還原到先前的隱秘狀態(tài)，也就不能再稱之為醫(yī)療隱私。隱私主體能做的，一般只有請(qǐng)求損害賠償。鑒于醫(yī)療信息是否被公開無損其身份識(shí)別的價(jià)值，避免披露并不是主體能采取的唯一保護(hù)手段。個(gè)人可以在事前采取一定的措施，防止醫(yī)療信息被公開；也可以允許醫(yī)療信息被公開，但在授權(quán)中限制公開的途徑、范圍，以達(dá)到保護(hù)醫(yī)療信息的目的；抑或是在醫(yī)療信息一經(jīng)公開之后，請(qǐng)求披露者刪除信息以恢復(fù)原狀、消除影響。再者，醫(yī)療隱私通常指向精神性的人格利益。未經(jīng)個(gè)人同意便公開其隱私，會(huì)對(duì)個(gè)人私生活的安寧造成損害，侵犯個(gè)人對(duì)私人問題自主決策的權(quán)限，并挑戰(zhàn)其作為一個(gè)渴求自由生存發(fā)展的自然人的尊嚴(yán)，維護(hù)隱私的安全實(shí)際上是為了保障這種人格利益。醫(yī)療信息雖然也指向該方面的人格利益，但在互聯(lián)網(wǎng)時(shí)代，醫(yī)療信息所蘊(yùn)藏的經(jīng)濟(jì)價(jià)值被逐步挖掘出來。醫(yī)療信息可以在畫像客戶群、了解市場狀況、制定經(jīng)營戰(zhàn)略等商務(wù)活動(dòng)中發(fā)揮作用，在經(jīng)過加工處理后，醫(yī)療信息本身甚至也能是數(shù)據(jù)產(chǎn)品。由此可見，與隱私不同，醫(yī)療信息指向的利益是綜合性的。

在界分醫(yī)療隱私與醫(yī)療信息的基礎(chǔ)上，應(yīng)當(dāng)看到，在我國的法律規(guī)定中，“隱私權(quán)”的權(quán)利客體只是“隱私”，并非醫(yī)療信息；隱私權(quán)設(shè)立的初衷主要是為了保護(hù)公民精神上的人格利益，它并不能覆蓋到醫(yī)療信息背后的經(jīng)濟(jì)性利益；隱私權(quán)是一種被動(dòng)性的權(quán)利，個(gè)人行使該權(quán)利的前提是他人已對(duì)自己的隱私實(shí)施了侵犯行為。而醫(yī)療信息具備經(jīng)濟(jì)性的利益，主體主動(dòng)利用自己的醫(yī)療信息來獲取收益已經(jīng)成為社會(huì)的普遍現(xiàn)象。同時(shí)，醫(yī)療信息對(duì)應(yīng)的權(quán)利應(yīng)當(dāng)是一種積極、主動(dòng)的權(quán)利，權(quán)利的內(nèi)容應(yīng)當(dāng)包括信息主體可以如何支配、利用自己的信息，而不單是那些對(duì)侵害的防御手段?？梢?，以隱私權(quán)保護(hù)個(gè)人醫(yī)療信息在我國并不合適。

再觀歐洲的保護(hù)模式于我國是否可行。GDPR第四條將個(gè)人數(shù)據(jù)定義為personal data,means any information relating to an identified or identifiable natural person (data subject)，并針對(duì)個(gè)人數(shù)據(jù)設(shè)立了一系列相關(guān)權(quán)利。我國法律體系中雖并無與之完全一致的個(gè)人數(shù)據(jù)權(quán)，但卻規(guī)定了近似的個(gè)人信息權(quán)[5]。網(wǎng)絡(luò)安全法對(duì)個(gè)人信息作出了詳細(xì)的定義，醫(yī)療信息也包括在內(nèi)。該定義雖不同于個(gè)人數(shù)據(jù)的定義，表明了信息“以電子或者其他方式記錄”的存在形式，但兩者并無本質(zhì)上的區(qū)別，都強(qiáng)調(diào)身份的可識(shí)別性。2017年通過的民法總則則圍繞個(gè)人信息，確認(rèn)了公民集人格和財(cái)產(chǎn)利益于一身的信息權(quán)利。此后，隨著信息網(wǎng)絡(luò)相關(guān)法律法規(guī)的完善，個(gè)人信息權(quán)的框架基本清晰，包括知情權(quán)、刪除權(quán)、更正權(quán)在內(nèi)的七類權(quán)利。除并未明確規(guī)定數(shù)據(jù)可攜帶權(quán)外，這些權(quán)利與GDPR規(guī)定的數(shù)據(jù)權(quán)在權(quán)利內(nèi)容上大致相同。不同于隱私權(quán)，信息權(quán)的客體是個(gè)人信息，包括醫(yī)療信息。其保護(hù)的利益是綜合性的，并非單一的人格利益。同時(shí)，信息主體能夠運(yùn)用該權(quán)利主動(dòng)地維護(hù)個(gè)人醫(yī)療信息安全?？梢姡詺W洲模式為參考，通過個(gè)人信息權(quán)來保護(hù)個(gè)人醫(yī)療信息是可行的。

綜上所述，參考?xì)W洲以數(shù)據(jù)權(quán)保護(hù)醫(yī)療信息的模式，通過個(gè)人信息權(quán)保護(hù)公民醫(yī)療信息更符合我國的理論體系與制度現(xiàn)實(shí)。

三、醫(yī)療信息保護(hù)的法律原則

在互聯(lián)網(wǎng)時(shí)代，能夠掌握、處理個(gè)人醫(yī)療信息的主體包括醫(yī)療衛(wèi)生機(jī)構(gòu)及其醫(yī)護(hù)人員，以及網(wǎng)絡(luò)運(yùn)營者。以上主體在接觸、處理、利用醫(yī)療信息時(shí)，必須遵循一定的法律原則，以實(shí)現(xiàn)對(duì)醫(yī)療信息的有效保護(hù)。

(一)信息安全保障原則

因?yàn)獒t(yī)療信息關(guān)系到個(gè)人的生命健康，所以互聯(lián)網(wǎng)醫(yī)療服務(wù)具有不可試錯(cuò)性，信息的完整、準(zhǔn)確至關(guān)重要。這也導(dǎo)致了醫(yī)療信息保護(hù)的特殊之處——將信息安全保障原則放在首位。

信息安全保障原則源于經(jīng)濟(jì)合作與發(fā)展組織在20世紀(jì)80年代出臺(tái)的《關(guān)于隱私保護(hù)與個(gè)人資料跨國流通的指針》，是指信息控制者應(yīng)對(duì)收集的信息采取充分、有效的措施，以保障其安全，避免醫(yī)療信息被篡改、毀損、竊取、披露[6]。對(duì)于互聯(lián)網(wǎng)時(shí)代的醫(yī)療領(lǐng)域而言，在主體方面，該原則要求收集、利用醫(yī)療信息的行為人直接承擔(dān)安全保障責(zé)任，行為人不得以無安全保障能力為由推脫責(zé)任。實(shí)踐中，許多醫(yī)療衛(wèi)生機(jī)構(gòu)因并不具備保障醫(yī)療信息安全的能力而將信息交由第三方平臺(tái)管理。實(shí)際上，委托方和受托方都需要承擔(dān)安全和管理責(zé)任。在保障舉措方面，要求責(zé)任主體在物理、組織和技術(shù)三個(gè)層面盡到保障責(zé)任。物理層面指應(yīng)在物理位置、物理訪問控制、防范盜竊與破壞等方面保障物理基礎(chǔ)設(shè)備安全。組織層面指設(shè)立安全管理規(guī)章制度，在醫(yī)療機(jī)構(gòu)或互聯(lián)網(wǎng)企業(yè)的內(nèi)部組織管理上保護(hù)醫(yī)療信息。技術(shù)層面指應(yīng)采取合理的信息技術(shù)手段防止醫(yī)療信息被非法訪問、獲取。當(dāng)責(zé)任主體發(fā)生變更時(shí)，應(yīng)當(dāng)將其所管理的醫(yī)療信息完整、安全地移交給承接延續(xù)其職能的機(jī)構(gòu)，或本行政區(qū)域內(nèi)的衛(wèi)生健康行政部門，不得造成信息的損毀、丟失和泄露。時(shí)至今日，信息安全保障原則已成為全球醫(yī)療信息安全立法中必須考慮的重要原則。

(二)知情同意原則

知情同意原則是傳統(tǒng)醫(yī)事法律中的重要原則。該原則有兩層含義：一是指患者能夠自主選擇接受或拒絕行醫(yī)方的醫(yī)療行為；二是對(duì)于那些可能影響患者選擇結(jié)果的事項(xiàng)，行醫(yī)一方必須予以完整、詳細(xì)地披露和說明[7]。在醫(yī)學(xué)史上，醫(yī)療活動(dòng)曾長期以醫(yī)師為本位，醫(yī)師的診治活動(dòng)不需要經(jīng)過患者的同意，醫(yī)師可憑借自己的知識(shí)和經(jīng)驗(yàn)自行決定如何行醫(yī)。啟蒙思想后，個(gè)人有權(quán)自由主宰私人生活的理念廣泛傳播，具體到醫(yī)事領(lǐng)域，則表現(xiàn)為知情同意原則的確立。至今，該原則已成為醫(yī)療活動(dòng)必須遵守的重要原則。20世紀(jì)末，我國也在醫(yī)事立法中引入該原則，1999年生效的執(zhí)業(yè)醫(yī)師法中確立了醫(yī)療機(jī)構(gòu)對(duì)患者告知病情、取得醫(yī)療行為同意的義務(wù)。此后，患者的知情同意權(quán)在相關(guān)醫(yī)事法律法規(guī)中不斷得以完善。

互聯(lián)網(wǎng)時(shí)代，知情同意原則延伸到了醫(yī)療信息保護(hù)領(lǐng)域，行為人對(duì)個(gè)人醫(yī)療信息的收集、處理、利用、披露行為，都需要一一向信息主體告知，并取得其同意。與過往規(guī)定相比，負(fù)有說明責(zé)任的主體除了醫(yī)療衛(wèi)生機(jī)構(gòu)和醫(yī)護(hù)人員，還擴(kuò)展到網(wǎng)絡(luò)所有者、管理者、互聯(lián)網(wǎng)醫(yī)療網(wǎng)絡(luò)服務(wù)提供者，其說明的時(shí)間是在收集個(gè)人醫(yī)療信息之前。而需要向信息主體說明的內(nèi)容至少包括：(1)哪些相關(guān)方有機(jī)會(huì)接觸、處理醫(yī)療信息。醫(yī)療服務(wù)中，尤其是在轉(zhuǎn)診或會(huì)診的情況下，醫(yī)療信息可能會(huì)被多方掌控，信息的所有人有權(quán)知曉所有相關(guān)方的情況。(2)信息控制者和處理者收集、使用、加工、傳輸醫(yī)療信息的目的、方式和范圍。(3)醫(yī)療信息可能面臨的安全風(fēng)險(xiǎn)，以及信息控制、處理者采取的相應(yīng)安全保障措施。

當(dāng)醫(yī)療信息主體對(duì)收集處理等行為作出同意的意思表示時(shí)，應(yīng)具備相應(yīng)的民事行為能力；否則，該同意表示應(yīng)由其監(jiān)護(hù)人作出。醫(yī)療信息主體可以同意信息的全部收集、處理、使用行為，也可以僅就部分行為表示同意。醫(yī)療信息主體的同意還應(yīng)當(dāng)是可以自由撤銷的，信息的控制、處理者必須對(duì)此予以保障[8]。

(三)最低限度原則

最低限度原則見于HIPAA法案第160部分502節(jié)隱私規(guī)則中，指的是收集、處理、利用個(gè)人信息應(yīng)當(dāng)圍繞明確的目的，不得收集不必要的信息，不得在該目的之外處理和使用這些信息。就醫(yī)療信息保護(hù)而言，醫(yī)療衛(wèi)生機(jī)構(gòu)和網(wǎng)絡(luò)營運(yùn)者收集、加工、傳輸、披露、使用醫(yī)療信息的行為不能超出醫(yī)療的目的。譬如，不能收集工作單位等與醫(yī)療無關(guān)的信息，不得為了牟取經(jīng)濟(jì)利益非法買賣、泄露醫(yī)療信息。同時(shí)，要控制收集的醫(yī)療信息的數(shù)量，避免過度收集。即使醫(yī)保信息與醫(yī)療目的有關(guān)，但醫(yī)療活動(dòng)若并不涉及清算支付環(huán)節(jié)時(shí)，則不得收集信息主體的醫(yī)保相關(guān)信息。

(四)可用性原則

可用性原則的內(nèi)涵在于推動(dòng)醫(yī)療信息的開放、共享，以實(shí)現(xiàn)對(duì)其的利用，這是醫(yī)療信息保護(hù)的特殊原則。信息主體為了實(shí)現(xiàn)醫(yī)療目的，才授權(quán)醫(yī)療機(jī)構(gòu)或醫(yī)療服務(wù)企業(yè)收集、使用自己的醫(yī)療信息，故而后者的行為不得有違醫(yī)療目的，這背后的價(jià)值取向是對(duì)醫(yī)療信息主體自主決策權(quán)的尊重。然而，醫(yī)療信息能在科研、教學(xué)、公共衛(wèi)生決策等活動(dòng)中起到重要的作用，不僅關(guān)乎個(gè)人，也關(guān)乎社會(huì)公共事項(xiàng)，維護(hù)個(gè)人醫(yī)療信息權(quán)利時(shí)也必須考慮公共利益。這意味著需要打破醫(yī)療信息孤島，推動(dòng)醫(yī)療信息的共享與利用，即保護(hù)個(gè)人信息醫(yī)療安全時(shí)應(yīng)遵循可用性原則。國家衛(wèi)生計(jì)生委2014年印發(fā)的《人口健康信息管理辦法(試行)》(國衛(wèi)規(guī)劃發(fā)[2014]24號(hào))中也對(duì)此作了原則性表述。但應(yīng)當(dāng)注意的是，為了公共利益公開醫(yī)療信息、實(shí)現(xiàn)信息共享時(shí)，需要采取剝離、匿名化等技術(shù)手段將醫(yī)療信息脫敏處理，對(duì)信息主體加以保密，以避免損害主體權(quán)益[9]。

四、個(gè)人醫(yī)療信息保護(hù)的應(yīng)然路徑

(一)完善醫(yī)療信息保護(hù)相關(guān)立法

我國涉及到醫(yī)療信息保護(hù)的現(xiàn)行法律法規(guī)為數(shù)不少，侵權(quán)責(zé)任法、執(zhí)業(yè)醫(yī)師法、網(wǎng)絡(luò)安全法等法律中均有相關(guān)規(guī)定。但遺憾的是，在傳統(tǒng)醫(yī)事法律中，一般只規(guī)定了醫(yī)療機(jī)構(gòu)、醫(yī)療從業(yè)人員的醫(yī)療信息保護(hù)義務(wù)，缺乏對(duì)網(wǎng)絡(luò)運(yùn)營者的約束。與之相對(duì)，網(wǎng)絡(luò)安全法等網(wǎng)信領(lǐng)域的法律又大多從整體的信息權(quán)利出發(fā)制定信息保護(hù)條款，缺乏對(duì)醫(yī)療信息的針對(duì)性，如缺少對(duì)醫(yī)療主體義務(wù)的規(guī)定，在信息存儲(chǔ)期限等保護(hù)措施的制定上無法考慮到醫(yī)療問題的特殊性等。因此，必須銜接這兩個(gè)領(lǐng)域的有關(guān)規(guī)定，完善醫(yī)療信息保護(hù)有關(guān)立法，出臺(tái)具有指向性、針對(duì)性的法律規(guī)范。

欲完善醫(yī)療信息保護(hù)的相關(guān)立法，首先要面對(duì)的是立法形式與層級(jí)問題，即究竟應(yīng)當(dāng)在已有的法律法規(guī)中增設(shè)醫(yī)療信息保護(hù)的規(guī)定，還是另行出臺(tái)專門的法律法規(guī)；其層級(jí)應(yīng)當(dāng)是法律、行政法規(guī)、部門規(guī)章，還是其他層級(jí)。目前，我國正大力推進(jìn)個(gè)人信息保護(hù)法的立法進(jìn)程。個(gè)人信息保護(hù)法是在互聯(lián)網(wǎng)時(shí)代公民信息權(quán)益受到威脅這一背景下，專門設(shè)立的保護(hù)個(gè)人信息權(quán)利的特別法。從現(xiàn)有草案來看，個(gè)人信息的范圍包含了個(gè)人醫(yī)療信息，就理論而言，在此法中進(jìn)一步完善醫(yī)療信息保護(hù)層面的規(guī)定是切實(shí)可行的。相比另設(shè)新的法律法規(guī)，在此法中增加醫(yī)療信息保護(hù)的規(guī)定，也能有效控制立法成本。同時(shí)，個(gè)人信息保護(hù)法的立法層級(jí)也相對(duì)較高，更具有安全保障效力。綜上，建議將個(gè)人醫(yī)療信息保護(hù)的相關(guān)規(guī)定增設(shè)于該法之中。

具體到立法內(nèi)容，立法機(jī)關(guān)可以在該法中明確醫(yī)療信息權(quán)的法律屬性。醫(yī)療信息權(quán)作為信息權(quán)利在醫(yī)療層面的細(xì)分，本質(zhì)上是一種與隱私權(quán)相異的具體人格權(quán)。只有劃清醫(yī)療信息權(quán)和隱私權(quán)的界限，信息主體才能得到更全方位的保護(hù)，才能在消極防止醫(yī)療信息被侵害外，獲得主動(dòng)、積極利用信息權(quán)的利益維護(hù)渠道。只有嚴(yán)格界分醫(yī)療信息權(quán)和隱私權(quán)，才能維護(hù)我國人格權(quán)理論的統(tǒng)一性和嚴(yán)密性。

此外，立法中還應(yīng)明確規(guī)定醫(yī)療信息保護(hù)的責(zé)任主體?；ヂ?lián)網(wǎng)時(shí)代，醫(yī)療與計(jì)算機(jī)技術(shù)相互交織，醫(yī)療信息化水平有了巨大提升，醫(yī)療服務(wù)模式也從傳統(tǒng)的線下模式轉(zhuǎn)變?yōu)榫€上線下一體化。除傳統(tǒng)的醫(yī)療從業(yè)者外，網(wǎng)絡(luò)運(yùn)營者也可以接觸、控制醫(yī)療信息。在制定法律的過程中，只有一并對(duì)其設(shè)立安全保障義務(wù)，方能全面地保護(hù)個(gè)人醫(yī)療信息利益。

在信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)問題上，考慮到醫(yī)療信息的敏感性，責(zé)任主體應(yīng)按第三級(jí)標(biāo)準(zhǔn)完成定級(jí)備案和測評(píng)，每年應(yīng)依法開展測評(píng)，測評(píng)通過后應(yīng)提交系統(tǒng)年度測評(píng)報(bào)告。

針對(duì)醫(yī)療信息保存期限問題，網(wǎng)絡(luò)安全法規(guī)定網(wǎng)絡(luò)運(yùn)營者對(duì)網(wǎng)絡(luò)日志不少于六個(gè)月的保存期限，電子商務(wù)法規(guī)定商品和服務(wù)信息、交易信息保存時(shí)間自交易完成之日起不少于三年，但2017年4月1日起施行的《電子病歷應(yīng)用管理規(guī)范(試行)》中規(guī)定，醫(yī)療機(jī)構(gòu)為患者保存電子病歷的期限不得少于15年，不同領(lǐng)域的規(guī)定存在著沖突。實(shí)際上，由于疾病的診療活動(dòng)是一個(gè)長期的過程，醫(yī)方對(duì)患者醫(yī)療信息的保存時(shí)間不應(yīng)過短?；ヂ?lián)網(wǎng)背景下，責(zé)任人的醫(yī)療信息保存期限應(yīng)當(dāng)與傳統(tǒng)醫(yī)事法中的規(guī)定保持一致。

現(xiàn)行法律法規(guī)主要將違反醫(yī)療信息安全保護(hù)義務(wù)的法律責(zé)任規(guī)定為罰款、停業(yè)整頓、關(guān)閉網(wǎng)站等行政處罰，以及嚴(yán)重情節(jié)之下的刑事處罰，在民事責(zé)任層面的規(guī)定則較少。醫(yī)療信息權(quán)是一種人格與經(jīng)濟(jì)利益兼存的權(quán)利，在醫(yī)療信息遭受竊取、篡改、泄露之時(shí)，醫(yī)療信息主體有權(quán)尋求精神損害賠償或財(cái)產(chǎn)損害賠償。醫(yī)療信息主體可以綜合考慮侵權(quán)的責(zé)任大小、侵權(quán)行為對(duì)自己造成的損失、醫(yī)療機(jī)構(gòu)和網(wǎng)絡(luò)運(yùn)營者從侵權(quán)行為中獲取的利益等因素，提出合理的賠償方案，立法中應(yīng)當(dāng)對(duì)此予以明確[10]。

(二)加強(qiáng)行政部門監(jiān)管力度

為實(shí)現(xiàn)對(duì)個(gè)人醫(yī)療信息全面、有效的保護(hù)，還需加強(qiáng)行政部門的監(jiān)管力度，建立權(quán)責(zé)統(tǒng)一、協(xié)調(diào)合作、公正透明、科學(xué)高效的監(jiān)管體系。

我國現(xiàn)行法律法規(guī)中，負(fù)有醫(yī)療信息安全監(jiān)管義務(wù)的行政部門有衛(wèi)生健康行政部門(包括中醫(yī)藥管理部門)、通信主管部門、公安部門和其他機(jī)關(guān)。各部門應(yīng)當(dāng)依照規(guī)定落實(shí)醫(yī)療信息安全的監(jiān)督和保護(hù)工作，對(duì)線上線下從事診療活動(dòng)或提供信息保健服務(wù)的醫(yī)療衛(wèi)生機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營者進(jìn)行嚴(yán)格的準(zhǔn)入審查，確認(rèn)其是否具備法律要求的技術(shù)設(shè)備、專業(yè)人員、信息安全系統(tǒng)，是否符合相應(yīng)的信息安全等級(jí)標(biāo)準(zhǔn)。對(duì)取得信息準(zhǔn)入資格的相關(guān)主體，各部門需依法定期檢查，一旦發(fā)現(xiàn)其存在信息安全風(fēng)險(xiǎn)，應(yīng)采取約談、要求整改等措施，及時(shí)消除隱患。此外，各部門還需推動(dòng)信息資源共享，建立即時(shí)溝通機(jī)制，加強(qiáng)協(xié)調(diào)合作的能力。

健全信用機(jī)制是保障監(jiān)管體系公正透明的必要手段。行政部門應(yīng)利用已搭建的全國信用公示平臺(tái)，將醫(yī)療衛(wèi)生機(jī)構(gòu)和互聯(lián)網(wǎng)運(yùn)營者的行政許可、行政處罰和檢驗(yàn)檢查情況進(jìn)行社會(huì)公示。同時(shí)，行政部門可以構(gòu)建負(fù)面企業(yè)清單，對(duì)未盡到醫(yī)療信息保護(hù)義務(wù)、造成嚴(yán)重危害的醫(yī)療信息收集、處理者處以從業(yè)限制。

社會(huì)輿情監(jiān)測機(jī)制和應(yīng)急處理機(jī)制是科學(xué)高效的監(jiān)督體系的必備要素。行政部門應(yīng)積極建立醫(yī)療衛(wèi)生服務(wù)的投訴舉報(bào)平臺(tái)，引導(dǎo)公民積極參與對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)和網(wǎng)絡(luò)運(yùn)營者的監(jiān)督，發(fā)揮輿情監(jiān)測的作用。同時(shí)可依照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等法律法規(guī)之規(guī)定，借鑒《通用數(shù)據(jù)保護(hù)條例》中的上報(bào)制度，令醫(yī)療信息的收集、處理、利用主體建立安全事件上報(bào)的應(yīng)急處理機(jī)制。在醫(yī)療信息泄露事件發(fā)生時(shí)，及時(shí)記錄事件詳情，并在48至72小時(shí)內(nèi)向主管部門上報(bào)，將危害盡可能地減小[11]。

(三)加強(qiáng)行業(yè)自律

加強(qiáng)行業(yè)自律是對(duì)個(gè)人醫(yī)療信息進(jìn)行保護(hù)的應(yīng)有之義。我國現(xiàn)已成立了中國互聯(lián)網(wǎng)協(xié)會(huì)、中國醫(yī)療衛(wèi)生行業(yè)協(xié)會(huì)等行業(yè)組織，這些行業(yè)組織主要由領(lǐng)域內(nèi)的學(xué)者和從業(yè)者組成。針對(duì)業(yè)界存在的醫(yī)療信息安全問題，他們有著專業(yè)的判斷力、敏銳的洞察力和豐富的應(yīng)對(duì)經(jīng)驗(yàn)，由其設(shè)立醫(yī)療信息安全層面的行為規(guī)范和安全技術(shù)標(biāo)準(zhǔn)，填補(bǔ)現(xiàn)行法律法規(guī)中的漏洞[12]，可以彌補(bǔ)立法機(jī)構(gòu)和行政機(jī)關(guān)在專業(yè)性上的缺失。這些行業(yè)組織可以依照現(xiàn)有法律法規(guī)中關(guān)于信息分級(jí)的相關(guān)規(guī)定，將個(gè)人醫(yī)療信息分級(jí)。分級(jí)時(shí)應(yīng)綜合考慮醫(yī)療信息所蘊(yùn)含的人格利益、經(jīng)濟(jì)利益、醫(yī)療信息泄露對(duì)信息主體造成精神影響與財(cái)產(chǎn)損失等因素，將醫(yī)療信息分為敏感醫(yī)療信息、一般醫(yī)療信息。敏感醫(yī)療信息指人身性強(qiáng)、醫(yī)療與經(jīng)濟(jì)價(jià)值高的醫(yī)療信息(譬如指紋等)，侵害敏感醫(yī)療信息將對(duì)信息主體造成巨大的損害。一般醫(yī)療信息指人身性相對(duì)較弱、醫(yī)療與經(jīng)濟(jì)價(jià)值也相對(duì)較低的醫(yī)療信息，如治療費(fèi)用清單。針對(duì)不同等級(jí)的醫(yī)療信息，行業(yè)組織需制定相應(yīng)的安全保障規(guī)范，在物理、管理和技術(shù)方面作出詳細(xì)的管制規(guī)定，保障個(gè)人醫(yī)療信息在輸入、存儲(chǔ)、輸出、傳輸過程中的安全。除醫(yī)療信息分級(jí)之外，制定安全技術(shù)標(biāo)準(zhǔn)時(shí)還可以考慮通過引入去中心化的區(qū)塊鏈技術(shù)來應(yīng)對(duì)醫(yī)療信息保護(hù)的痛點(diǎn)。區(qū)塊鏈技術(shù)能夠增強(qiáng)醫(yī)療信息主體對(duì)信息的掌控權(quán)，令其能夠在便攜設(shè)備上隨時(shí)隨地訪問、處理自己的醫(yī)療信息，決定自己的信息匿名或公開，以更有力地保障醫(yī)療信息存儲(chǔ)和共享的安全。

五、總 結(jié)

推進(jìn)健康中國建設(shè)，是實(shí)現(xiàn)人民健康與經(jīng)濟(jì)社會(huì)協(xié)調(diào)發(fā)展的國家戰(zhàn)略，是履行《2030年可持續(xù)發(fā)展議程》國際承諾的重大舉措。健康中國建設(shè)既需要大力發(fā)展互聯(lián)網(wǎng)+醫(yī)療產(chǎn)業(yè)，也需要加強(qiáng)健康法治建設(shè)。面對(duì)醫(yī)療信息安全存在的問題，相關(guān)的法律保護(hù)應(yīng)考慮到醫(yī)療信息的特殊性，在借鑒已有比較法經(jīng)驗(yàn)的基礎(chǔ)上，界分信息權(quán)與隱私權(quán)之間的關(guān)系，以歐盟模式為參考，將醫(yī)療信息納入到信息權(quán)保護(hù)之中。同時(shí)通過明確醫(yī)療信息保護(hù)的原則，協(xié)調(diào)醫(yī)事和網(wǎng)信領(lǐng)域的法律，加強(qiáng)政府監(jiān)管和行業(yè)自律，完善相關(guān)立法，形成符合中國實(shí)際的保護(hù)路徑，通過保障醫(yī)療信息權(quán)推動(dòng)對(duì)個(gè)人信息權(quán)的保障。