人工智能時代患者個人信息的保護(hù)*

阿克白·加米力，阿依加馬麗·蘇皮

(1 烏魯木齊友誼醫(yī)院重癥醫(yī)學(xué)科,新疆 烏魯木齊 830000，1148113154@qq.com;2 新疆財經(jīng)大學(xué)法學(xué)院,新疆 烏魯木齊 830000)

數(shù)據(jù)是人工智能的基礎(chǔ)，算法是人工智能的本質(zhì)，人工智能離不開數(shù)據(jù)的支撐。數(shù)據(jù)是個人信息最主要的表現(xiàn)形式之一，具有很大的社會價值，在大數(shù)據(jù)時代，人不僅僅具有“生理”形態(tài)，也具有了“數(shù)據(jù)”形態(tài)。數(shù)據(jù)承載著個人信息，是一個重要的財富[1-3]。患者作為特殊的群體，其個人信息大部分涉及其敏感信息，甚至涉及核心隱私。在線醫(yī)療、人工智能、電子病歷、遠(yuǎn)程控制傳感器,精準(zhǔn)醫(yī)療等醫(yī)療技術(shù)給患者提供優(yōu)質(zhì)的服務(wù)，解決看病成本高、資源匱乏、交通不便等問題，同時給患者的個人信息保護(hù)帶來極大的風(fēng)險。

1 人工智能時代的患者個人信息危機(jī)

1.1 人工智能增強(qiáng)了對患者個人信息的直接監(jiān)控

人工智能具有非常大的社會價值，尤其是對患者來說，帶來高質(zhì)量醫(yī)療服務(wù)；同時,增強(qiáng)了人工智能對患者個人信息的直接的監(jiān)控力。如各種醫(yī)療設(shè)備、手表(健康設(shè)備)、手術(shù)機(jī)器人、個人健康管理檢測、康復(fù)機(jī)器人等智能醫(yī)療設(shè)備直接控制患者的隱私信息。除了物理空間之外，人工智能技術(shù)極大地增強(qiáng)了網(wǎng)絡(luò)空間對患者個人隱私信息的監(jiān)控。如在線醫(yī)療、網(wǎng)醫(yī)聯(lián)盟的健康檔案管理系統(tǒng)，支持患者上傳各種格式的病歷，并且可以在服務(wù)器內(nèi)長久保留。此外，患者的網(wǎng)上搜索健康信息、網(wǎng)上購買醫(yī)療設(shè)備、購買藥物等內(nèi)容時時刻刻處于監(jiān)控之下。

1.2 人工智能帶來了對患者信息的快捷獲取性和傳播性

各種新型技術(shù)的不斷出現(xiàn)，為患者提供更加個性化的醫(yī)療服務(wù)，醫(yī)療服務(wù)越要個性化，越要智能化，就要越多的了解患者的個人信息，包括一些敏感信息。在物聯(lián)網(wǎng)環(huán)境下，信息的產(chǎn)生和傳播都可能是自動的，不需要患者的參與，因此，信息的傳遞具有高速的獲取性和傳播性的特征[4]。人工智能輔助醫(yī)療過程也是患者信息數(shù)據(jù)積累的過程，包括疾病診斷記錄、患者用藥效果、基因數(shù)據(jù)、家庭病史、接觸史、異常生理特征等病歷和隱私信息自動收集和處理儲存的過程。患者病歷檔案承載著患者個人信息，而這些信息都是以電子數(shù)據(jù)形式儲存。這種儲存跟傳統(tǒng)的患者病歷的儲存方式不同，其具有永久性、迅速獲取性的特征。這些數(shù)據(jù)化信息的傳播比紙質(zhì)版病歷的傳播更為方便，可以超越國家的界限。

1.3 人工智能時代，患者個人信息的高度集中性和關(guān)聯(lián)性

“大數(shù)據(jù)”“人工智能”及“物聯(lián)網(wǎng)”都是相互聯(lián)系在一起的，存在互相依賴的循環(huán)關(guān)系。人工智能依賴數(shù)據(jù)，數(shù)據(jù)的收集靠人工智能的物聯(lián)網(wǎng)功能更加豐富[5]。大數(shù)據(jù)時代，數(shù)據(jù)共享成了大數(shù)據(jù)公司重要的盈利模式，沒有數(shù)據(jù)共享，數(shù)據(jù)也難以成為財富。不同數(shù)據(jù)控制者共享數(shù)據(jù)，節(jié)省成本，又能創(chuàng)造很大的社會效益。因而數(shù)據(jù)就有了高度的關(guān)聯(lián)性和集中性?，F(xiàn)在多家醫(yī)療機(jī)構(gòu)和保險機(jī)構(gòu)可能使用同一個電子醫(yī)療記錄系統(tǒng)。這些數(shù)據(jù)具有高度集中性、保留無期限性的特征，涉及患者各個方面的信息，一旦被泄露出去，后果非常嚴(yán)重。

1.4 患者個人信息侵害后果的嚴(yán)重性

在大數(shù)據(jù)時代，侵害個人信息變得更加容易、侵權(quán)行為方式亦變得更加隱秘，侵權(quán)后果亦體現(xiàn)出多樣化的特征[6]?；颊邆€人信息侵害后果多樣化且程度的嚴(yán)重性是患者個人信息的快捷獲取性和高度集中性的必然結(jié)果。如患者所有的健康信息，包括電子病歷、家族史、接觸史、購買的藥物、網(wǎng)上搜索等，與患者健康具有直接和間接關(guān)系的信息會集中在數(shù)據(jù)控制者的手中，這些信息一旦被泄露會影響患者生活的各個方面，如人身保險、就業(yè)、貸款等。如美國馬里蘭州的一名銀行職員，在得到癌癥患者的名單之后，對那些患者的未償貸款重新進(jìn)行審核[7]?？梢?，侵犯患者個人信息的行為，不僅侵害患者精神利益，也對患者財產(chǎn)利益造成損害。人工智能時代，侵犯個人信息行為的受害人具有多數(shù)性的特征。高度集中的患者個人信息，不僅包括患者本人的個人信息，也包括其家屬或者他人的信息。這些信息一旦被曝光，受害人不僅是患者其本人，也涉及其家人以及其接觸過的人等。此外，信息的集中性、儲存的方便性為侵權(quán)行為提供便捷。為了經(jīng)濟(jì)利益，黑客可能進(jìn)入系統(tǒng)一次性獲取大量的數(shù)據(jù)，這種可復(fù)制性數(shù)據(jù)的盜竊方法隱秘，也不會留下痕跡，其造成的損害后果更為嚴(yán)重。

2 我國現(xiàn)行法律對患者個人信息的保護(hù)及其存在的問題

我國目前并無保護(hù)個人信息的專門的法律，個人信息保護(hù)的相關(guān)規(guī)定散見于2016年頒布的《中華人民共和國網(wǎng)絡(luò)安全法》，強(qiáng)調(diào)個人信息保護(hù)的重要性，并對個人信息的概念作了界定。2017年國務(wù)院發(fā)布的《新一代人工智能發(fā)展規(guī)劃》突出地反映了這一思路。人工智能寫入了黨的十九大報告，推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實(shí)體經(jīng)濟(jì)的深度融合。2017年工信部出臺了《促進(jìn)新一代人工智能產(chǎn)業(yè)發(fā)展三年行動計(2018—2020年)》，推動人工智能的科技研發(fā)和產(chǎn)業(yè)化發(fā)展。2020年出臺的《中華人民共和國民法典》進(jìn)一步明確將個人信息作為一項獨(dú)立的人格利益來保護(hù)。就人工智能的法律應(yīng)對而言，我國目前更多的是從產(chǎn)業(yè)政策促進(jìn)、扶持和發(fā)展的角度對人工智能提供行政指導(dǎo)。

我國法律體系中沒有專門針對患者個人信息的相關(guān)規(guī)定，涉及患者個人信息保護(hù)的內(nèi)容主要散見于一些法律和醫(yī)療法規(guī)中。2009年《中華人民共和國侵權(quán)責(zé)任法》(第五十六條、第六十二條)的出臺，患者隱私權(quán)才正式被法律確認(rèn)；《中華人民共和國執(zhí)業(yè)醫(yī)師法》第三十七條規(guī)定“醫(yī)師應(yīng)當(dāng)保護(hù)患者隱私”；《中華人民共和國護(hù)士管理辦法》規(guī)定“護(hù)士在執(zhí)業(yè)中得悉就醫(yī)者的隱私，不得泄露”?！夺t(yī)療機(jī)構(gòu)病歷管理規(guī)定》《電子病歷管理辦法》等規(guī)定了患者病歷的保管、使用和復(fù)制的問題。此外，《中華人民共和國傳染病防治法》《艾滋病防治條例》等也有相關(guān)規(guī)定。2019年3月，為落實(shí)《關(guān)于印發(fā)進(jìn)一步改善醫(yī)療服務(wù)行動計劃(2018—2020年)的通知》(國衛(wèi)醫(yī)發(fā)〔2017〕73號)有關(guān)要求，指導(dǎo)醫(yī)療機(jī)構(gòu)科學(xué)、規(guī)范開展智慧醫(yī)院建設(shè)，國家衛(wèi)生健康委員會辦公廳制定了《醫(yī)院智慧服務(wù)分級評估標(biāo)準(zhǔn)體系(試行)》，供各地推進(jìn)智慧醫(yī)院建設(shè)和改善醫(yī)療服務(wù)參考。人工智能的發(fā)展對患者的個人信息保護(hù)提出新的挑戰(zhàn)，而法律是最為有效的規(guī)范措施。當(dāng)前我國對于人工智能帶來的個人信息危機(jī)的立法問題，還處于初級階段，對于個人信息保護(hù)問題上還缺乏專門的立法，患者個人信息保護(hù)制度體系也不夠健全，存在諸多問題，難以應(yīng)對大數(shù)據(jù)和人工智能引發(fā)的信息危機(jī)。

2.1 患者在醫(yī)療領(lǐng)域中的權(quán)利缺失

《侵權(quán)責(zé)任法》第一次把患者信息權(quán)相關(guān)的內(nèi)容提高到了法律的層面，雖然之前的相關(guān)醫(yī)療管理條例有患者個人信息有關(guān)的內(nèi)容，但層次比較低，都是屬于行政條例。《侵權(quán)責(zé)任法》作為一種救濟(jì)法，也不能正式規(guī)定患者信息權(quán)的具體內(nèi)容，因此只規(guī)定了泄露患者隱私應(yīng)承擔(dān)的法律責(zé)任。我國《執(zhí)業(yè)醫(yī)師法》《護(hù)士管理辦法》《電子病歷管理辦法》等規(guī)定醫(yī)務(wù)人員保密義務(wù)以及一些程序性的規(guī)則，并沒有患者和醫(yī)務(wù)人員權(quán)利義務(wù)的詳細(xì)規(guī)定，尤其是沒有正面確認(rèn)患者個人信息的控制權(quán)及其內(nèi)容?；颊邆€人信息權(quán)屬于患者人格權(quán)，患者個人信息包含著較多的隱私信息，而且這些健康信息由醫(yī)療機(jī)構(gòu)來管理，跟普通的個人信息比較具有容易被泄露的特征，因此，法律上必須詳細(xì)規(guī)定患者個人信息權(quán)的內(nèi)容，明確醫(yī)生和患者之間的權(quán)利義務(wù)關(guān)系的內(nèi)容，才能保障患者的私人生活安寧。

2.2 承載患者個人信息的載體歸屬不明確

對電子病歷以及記錄患者個人信息的檔案的權(quán)利屬性，相關(guān)法律法規(guī)沒有作出規(guī)定。從已有的醫(yī)療領(lǐng)域的相關(guān)規(guī)定來看，對于病歷的儲存，是否允許他人復(fù)制等相關(guān)決定權(quán)都?xì)w屬于醫(yī)院，患者唯一的權(quán)利就是經(jīng)過醫(yī)院的同意后方可對自己的病歷進(jìn)行復(fù)制。電子病歷作為患者個人信息的載體，患者應(yīng)當(dāng)具有支配和控制的權(quán)利。但相關(guān)法律法規(guī)對患者病歷的法律屬性界定不明確，造成患者失去對自己個人信息應(yīng)有的控制和支配的權(quán)利。

2.3 患者個人信息保護(hù)的規(guī)定缺乏統(tǒng)一性和協(xié)調(diào)性

目前，關(guān)于我國患者個人信息保護(hù)的綜合性立法缺位，相關(guān)立法規(guī)定不一致，甚至存在沖突，這就對患者個人信息的保護(hù)制造了制度性障礙?！肚謾?quán)責(zé)任法》第六十二條規(guī)定“……泄露患者隱私或者未經(jīng)患者同意公開其病歷資料，造成患者損害的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任”?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第四十七條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意”。從這些條款內(nèi)容可以推斷，患者病歷以及相關(guān)的個人信息的收集和復(fù)制，應(yīng)由患者來決定，而不是醫(yī)院。但《醫(yī)療機(jī)構(gòu)病歷管理》第十六條規(guī)定，“其他醫(yī)療機(jī)構(gòu)及醫(yī)務(wù)人員因科研、教學(xué)需要查閱、借閱病歷的,應(yīng)當(dāng)向患者就診醫(yī)療機(jī)構(gòu)提出申請，經(jīng)同意并辦理相應(yīng)手續(xù)后方可查閱、借閱?！薄峨娮硬v管理辦法》第二十五條和第二十六條也有類似的規(guī)定，如第二十五條規(guī)定“醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)受理下列人員或機(jī)構(gòu)復(fù)印或者復(fù)制電子病歷資料的申請：(一)患者本人或其代理人；(二)死亡患者近親屬或其代理人……”，從這些規(guī)定可以推斷出，患者病歷的查閱和復(fù)制的決定權(quán)歸屬于醫(yī)院。

2.4 患者個人信息的保管制度不完善

患者的電子病歷涉及患者的個人信息，這些信息應(yīng)當(dāng)嚴(yán)格的保管，不能輕易讓第三人得到。但現(xiàn)有的相關(guān)規(guī)定對于申請復(fù)制病歷的主體范圍的規(guī)定非常寬泛，對于復(fù)制的范圍和復(fù)制的目的沒有限制。根據(jù)現(xiàn)有的相關(guān)規(guī)定，對于醫(yī)療機(jī)構(gòu)內(nèi)部查閱和復(fù)制患者病歷的主體沒有嚴(yán)格的控制，如《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》第十五條規(guī)定“除為患者提供診療服務(wù)的醫(yī)務(wù)人員，以及經(jīng)衛(wèi)生計生行政部門、中醫(yī)藥管理部門或者醫(yī)療機(jī)構(gòu)授權(quán)的負(fù)責(zé)病案管理、醫(yī)療管理的部門或者人員外，其他任何機(jī)構(gòu)和個人不得擅自查閱患者病歷。”從這些規(guī)定可以推斷出，“為患者提供醫(yī)療服務(wù)的醫(yī)務(wù)人員”，以及上述所提及的相關(guān)的主體均可以查閱患者病歷，且本條款提及的“為患者提供診療服務(wù)的醫(yī)務(wù)人員”的范圍也比較寬泛。此外，對于查閱的目的和范圍也無相關(guān)限制性的規(guī)定，此種情況下，很容易將患者的個人信息和隱私泄露給他人，不利于患者個人信息的保護(hù)。

2.5 法律規(guī)范的滯后性

人工智能的應(yīng)用標(biāo)志著醫(yī)療新時代的開始。但現(xiàn)行法律跟不上智能醫(yī)療實(shí)踐的發(fā)展速度，呈現(xiàn)滯后性。相較于傳統(tǒng)醫(yī)療實(shí)踐，人工智能時代的患者健康信息已經(jīng)不再僅僅是醫(yī)療機(jī)構(gòu)控制，而是存在于不同的機(jī)構(gòu)和網(wǎng)絡(luò)平臺之間。大數(shù)據(jù)時代下，電子病歷信息的二次使用價值凸顯，會增加各種醫(yī)療機(jī)構(gòu)和網(wǎng)絡(luò)平臺出售個人信息，侵害患者個人信息權(quán)的風(fēng)險。為醫(yī)院信息化系統(tǒng)進(jìn)行技術(shù)支持的第三方公司人員竊取患者基本信息進(jìn)行倒賣或者幫助醫(yī)藥公司進(jìn)行統(tǒng)方，從中非法獲利[8]。根據(jù)《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》第六條、第十三條的規(guī)定，住院病歷由醫(yī)療機(jī)構(gòu)保管，醫(yī)療機(jī)構(gòu)及醫(yī)務(wù)人員有保護(hù)患者隱私義務(wù)?！峨娮硬v應(yīng)用管理規(guī)范(試行)》，為電子病歷提供國家級指導(dǎo)，規(guī)定電子病歷的基本規(guī)范要求，對電子病歷的書寫、錄入、儲存及封存等問題作了規(guī)定。以上的相關(guān)法律法規(guī)以傳統(tǒng)的醫(yī)療實(shí)踐為主要的調(diào)整對象，規(guī)定醫(yī)療人員的義務(wù)。而在信息化醫(yī)療背景下，為醫(yī)療機(jī)構(gòu)提供技術(shù)支持并參與醫(yī)療信息收集、儲存過程中的第三方的權(quán)利義務(wù)沒有規(guī)定，也沒有對醫(yī)療信息共享行為進(jìn)行全面的規(guī)制。

3 完善我國患者個人信息保護(hù)制度的建議

3.1 患者個人信息權(quán)的公私法共同保護(hù)模式的選擇

在人工智能廣泛地適用于醫(yī)療領(lǐng)域之前，以民法為核心的保護(hù)模式基本能滿足患者的權(quán)利保護(hù)需求。人工智能的廣泛使用，需要數(shù)據(jù)來維持其優(yōu)質(zhì)的服務(wù)，這就給患者的個人信息權(quán)帶來巨大的危機(jī)?；颊邆€人信息在被收集和利用過程中，患者不僅僅是信息源，而更多的是自愿發(fā)布信息的積極參與者?；颊叩膫€人信息對一些從事醫(yī)療健康有關(guān)的商家，如保險公司、制造健康設(shè)備的企業(yè)、藥商等來說具有很大的經(jīng)濟(jì)價值。因而收集、儲存患者個人信息的，不僅是一些國家機(jī)關(guān)和醫(yī)療機(jī)構(gòu)，還包括保險公司、數(shù)據(jù)分析相關(guān)的企業(yè)等私營企業(yè)。這些企業(yè)的收集、利用等過程比較難監(jiān)管，很難靠個人的維權(quán)行動來保障個人信息的安全。從《民法典》規(guī)定的個人信息權(quán)利出發(fā)，個人信息權(quán)作為患者的人格權(quán)，以上主體與患者之間有絕對性的個人信息法律關(guān)系，雙方都是民事主體、地位平等、意思自治。患者對自己的個人信息權(quán)具有絕對的控制和支配的權(quán)利[9]。但從實(shí)質(zhì)公平的角度出發(fā)，雙方所控制的資源差距很大，這就會導(dǎo)致患者維權(quán)困難。因此，為了突破民法對個人信息保護(hù)的困境，我國應(yīng)該重視公法對個人信息的保護(hù)，注重特定領(lǐng)域的立法來規(guī)制個人信息的收集，使用等行為。比較法上，有的國家已經(jīng)開始踐行用公法來保護(hù)個人信息的模式。如歐盟豐富個人數(shù)據(jù)權(quán)的內(nèi)容和公法的作用，以強(qiáng)化對個人信息權(quán)的保護(hù)。公法領(lǐng)域?qū)€人數(shù)據(jù)的保護(hù)也有相關(guān)的規(guī)定。如《一般數(shù)據(jù)保護(hù)條例》第六十八條賦予歐盟數(shù)據(jù)委員會和成員國組成的主管機(jī)關(guān)監(jiān)督數(shù)據(jù)控制者和持有者，并對其違法行為給予行政處罰的權(quán)利。美國不是強(qiáng)調(diào)個人知情同意機(jī)制，而更多的是基于嵌入式控制，鼓勵開發(fā)人員在設(shè)計階段將安全性和隱私性方面的透明度嵌入到產(chǎn)品中。在美國通過特定領(lǐng)域的部門立法來給個人信息提供保護(hù)，如1996年《醫(yī)療保險轉(zhuǎn)移和責(zé)任法案》(HIPAA)和2009年《經(jīng)濟(jì)和臨床健康法》(Hitech法案)，以及聯(lián)邦監(jiān)管機(jī)構(gòu)的強(qiáng)制性監(jiān)管規(guī)則來規(guī)范數(shù)據(jù)控制者對個人信息的保護(hù)。違反以上個人信息保護(hù)的法定義務(wù)的行為，美國相關(guān)機(jī)關(guān)具有予以行政處罰的權(quán)利[10]。人工智能時代，侵犯公民個人信息的行為從個體性走向群體性，因此，侵害個人信息的行為不僅侵害患者個人權(quán)利，也損害社會和國家利益[11]。個人信息權(quán)確定為一項受法律保護(hù)的利益，它不僅需要得到其他民事主體的尊重，更需要國家權(quán)力機(jī)構(gòu)予以尊重并有義務(wù)采取一定措施保障該項權(quán)利的實(shí)現(xiàn)。對患者個人信息的保護(hù)，不僅從私法角度進(jìn)行規(guī)范，也應(yīng)從公法層面進(jìn)行規(guī)范。對患者個人信息的保護(hù)，一方面應(yīng)在《民法典》人格權(quán)篇中確認(rèn)和完善個人信息權(quán)，為患者個人信息權(quán)提供請求權(quán)基礎(chǔ);另一方面，以《民法典》規(guī)定的個人信息權(quán)為基礎(chǔ)，落實(shí)和細(xì)化患者個人信息在醫(yī)療領(lǐng)域中的具體內(nèi)容，明確醫(yī)生對患者承擔(dān)的義務(wù)及侵犯患者個人信息的情況下的法律責(zé)任，保障患者的個人信息權(quán)?！睹穹ǖ洹穼€人信息及隱私的確認(rèn)屬于一般性的規(guī)定，涉及所有民事主體的個人信息權(quán)利。患者個人信息權(quán)利是患者對自己在醫(yī)療過程中所形成的信息所享有的權(quán)利，需要根據(jù)醫(yī)療領(lǐng)域的特征，通過醫(yī)療領(lǐng)域的相關(guān)制度來進(jìn)一步細(xì)化。

3.2 患者個人信息保護(hù)的具體制度構(gòu)建

為了更好地應(yīng)對大數(shù)據(jù)時代的患者個人信息危機(jī)，我們應(yīng)當(dāng)關(guān)注以下制度的構(gòu)建：

①充實(shí)患者知情同意權(quán)的內(nèi)容。醫(yī)患關(guān)系中所體現(xiàn)的患者知情同意權(quán)，作為患者主要的權(quán)利之一，是指患者享有了解醫(yī)療人員對其進(jìn)行的治療及其結(jié)果并做出是否同意的權(quán)利[12]?；颊咧橥鈾?quán)是自我決定權(quán)在醫(yī)患關(guān)系中的體現(xiàn)，屬于患者具體人格權(quán)，即身體權(quán)和健康權(quán)的支配和控制權(quán)能在醫(yī)療領(lǐng)域中的延伸。對此，筆者認(rèn)為，為了應(yīng)對人工智能引發(fā)的患者個人信息危機(jī)，我們應(yīng)該豐富和充實(shí)患者知情同意權(quán)的內(nèi)容。個人信息權(quán)作為一種人格權(quán)，其內(nèi)容應(yīng)包括主體對自己個人信息的控制權(quán)和信息知情權(quán)?？刂茩?quán)是指主體對自己個人信息的決定，控制并排除他人非法侵害的權(quán)利；信息知情同意權(quán)是指主體對自己個人信息的查詢和了解個人信息的情況[13]。對于患者來說，知情同意權(quán)應(yīng)不僅包括患者對自己健康和身體利益的支配和控制，還應(yīng)該包括患者對其本人的醫(yī)療有關(guān)信息的控制和知情的權(quán)利，應(yīng)是個人信息權(quán)利在醫(yī)療領(lǐng)域的具體化。從比較法上看，2016年歐盟頒布《一般數(shù)據(jù)保護(hù)條例》，該法主要是以個人的知情同意機(jī)制為核心，豐富個人對自己的個人數(shù)據(jù)的控制和支配的權(quán)利。歐盟《一般數(shù)據(jù)保護(hù)條例》規(guī)定個人的訪問權(quán)、知情同權(quán)、被遺忘權(quán)、數(shù)據(jù)攜帶權(quán)等個人權(quán)數(shù)據(jù)權(quán)利的內(nèi)容，這些數(shù)據(jù)也包括健康數(shù)據(jù)。美國《數(shù)字經(jīng)濟(jì)報告》中，建議針對物聯(lián)網(wǎng)設(shè)備和服務(wù)提供商建立一個評估系統(tǒng)，對他們的隱私安全能力和實(shí)踐進(jìn)行評估。雖然這種安全風(fēng)險評估標(biāo)準(zhǔn)還沒有完全建立起來，這種做法賦予個人自己的隱私可能面臨何種風(fēng)險的知情和選擇權(quán)利。為了應(yīng)對大數(shù)據(jù)和人工智能時代的個人信息危機(jī)，我們應(yīng)借鑒國外經(jīng)驗，根據(jù)我國國情，完善患者知情同意權(quán)的內(nèi)容，賦予患者對其醫(yī)療信息的儲存、復(fù)制、處理等過程的知情和同意的權(quán)利。如醫(yī)療人員之外的人員對患者電子病歷的查閱和復(fù)制，必須經(jīng)過患者的同意，對患者病歷的儲存、保管、封存及匿名處理情況必須讓患者知情。

②整合和協(xié)調(diào)相關(guān)的法律制度?；颊邆€人信息權(quán)是個人信息權(quán)在醫(yī)療領(lǐng)域中的延伸，是指患者對其在醫(yī)療過程中產(chǎn)生的，個人健康信息的支配并排除他人非法利用的權(quán)利?；颊咴卺t(yī)療過程中產(chǎn)生的信息從其內(nèi)容上看，大部分涉及敏感信息，甚至是患者的核心隱私，需要嚴(yán)格的保護(hù)。我國《民法典》對自然人的隱私權(quán)、個人信息、數(shù)據(jù)受法律保護(hù)做出了原則性規(guī)定。《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循的原則及使用規(guī)則作出規(guī)定?！缎谭ā穼覚C(jī)關(guān)、交通、金融、醫(yī)療等單位的工作人員，違反國家規(guī)定，泄露公民個人信息，應(yīng)承擔(dān)的刑事責(zé)任做出了規(guī)定。除了上述個人信息保護(hù)的綜合性的法律之外，《執(zhí)業(yè)醫(yī)師法》《護(hù)士管理辦法》《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》《電子病歷管理辦法》等衛(wèi)生法規(guī)也對患者個人信息提供了保護(hù)。然而，以上所說，保護(hù)患者個人信息的規(guī)定碎片化，相關(guān)規(guī)定不完善、不協(xié)調(diào)，難以解決人工智能引發(fā)的患者個人信息危機(jī)。對此，筆者認(rèn)為相關(guān)的醫(yī)療法律法規(guī)，以《民法典》規(guī)定的信息權(quán)為基礎(chǔ)，參考《網(wǎng)絡(luò)安全法》等相關(guān)法律，對《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》《電子病歷管理辦法》《艾滋病防治條例》《傳染病防治法》等法規(guī)進(jìn)行修改，將個人信息權(quán)在醫(yī)療領(lǐng)域中的內(nèi)容更加具體化，明確醫(yī)方在患者個人信息保護(hù)方面的權(quán)利義務(wù)等，以協(xié)調(diào)和整合患者信息權(quán)的相關(guān)規(guī)定。

③完善患者個人信息責(zé)任制度。權(quán)利的確認(rèn)不等同于權(quán)利的保護(hù)，沒有完善的責(zé)任制度，無法實(shí)現(xiàn)權(quán)利的保護(hù)。對此，筆者認(rèn)為，在患者通過民法的途徑維權(quán)存在諸多困難的情況下，用相關(guān)的醫(yī)療管理條例等行政法規(guī)來規(guī)定醫(yī)方侵犯患者信息權(quán)的行政責(zé)任，以保障患者個人信息權(quán)。醫(yī)方侵犯患者信息權(quán)的行為，不僅損害患者私人利益，也會損害行政法所保護(hù)的公益，應(yīng)承擔(dān)相應(yīng)的行政責(zé)任。從比較法上看，歐盟《一般數(shù)據(jù)保護(hù)條列》第八十三條規(guī)定，對數(shù)據(jù)控制者違反個人信息保護(hù)法的行為，最高可以實(shí)施2000萬歐元或其上一財政年度全球營業(yè)總額4%的行政罰款。在美國，只有符合HIPAA規(guī)定的情況下，才可以使用和公開法律保護(hù)的健康信息。根據(jù)HIPAA規(guī)定，信息持有者具有保密健康信息的法定義務(wù)[14]。對此，我們也可以強(qiáng)化作為數(shù)據(jù)控制者的醫(yī)療機(jī)構(gòu)及相關(guān)單位的法律責(zé)任，以避免和威懾泄露患者隱私信息的行為。