“互聯(lián)網(wǎng)+醫(yī)療服務”體系下患者隱私權(quán)保護研究*

張宇清

(湖北中醫(yī)藥大學人文學院 武漢 430065)

1 引言

2018年4月國務院發(fā)布《關(guān)于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》，明確指出要健全“互聯(lián)網(wǎng)+醫(yī)療健康”服務體系，完善“互聯(lián)網(wǎng)+醫(yī)療健康”支撐體系，同時加強行業(yè)監(jiān)管和安全保障。醫(yī)療健康往往涉及個人隱私，“互聯(lián)網(wǎng)+醫(yī)療服務”體系下更需要面對嚴肅的隱私安全問題。

2 “互聯(lián)網(wǎng)+醫(yī)療服務”概述

2.1 概念

“互聯(lián)網(wǎng)+醫(yī)療”是以互聯(lián)網(wǎng)技術(shù)為手段，用虛擬的方式組織醫(yī)療資源，將部分可以通過非現(xiàn)場方式進行的服務轉(zhuǎn)移到互聯(lián)網(wǎng)平臺，為不同消費群體提供醫(yī)療、保健服務。

2.2 體系(圖1)

2.3 類型(圖2)

圖2 “互聯(lián)網(wǎng)+醫(yī)療服務”類型

2.4 相關(guān)政策梳理(表1)

表1 2017-2018年“互聯(lián)網(wǎng)+醫(yī)療服務”相關(guān)政策

續(xù)表1

3 “互聯(lián)網(wǎng)+醫(yī)療服務”體系下患者隱私權(quán)概念體系

3.1 隱私權(quán)

3.1.1 概念 指自然人所享有的生活安寧與信息秘密依法受到保護，不被他人非法侵擾、知悉、收集、利用和公開的一種人格權(quán)。權(quán)利主體對他人在何種程度上可以介入個人私生活，對是否向他人公開隱私以及公開的范圍和程度等具有決定權(quán)。

3.1.2 隱私與個人信息 個人信息是指與特定個人相關(guān)聯(lián)、反映個體特征、具有可識別性的符號系統(tǒng)，包括個人身份、工作、家庭、財產(chǎn)、健康等各方面的信息[1]。而隱私包含的內(nèi)容大多是具有私密性的個人信息，對隱私的侵害主要是非法披露和騷擾。關(guān)于個人隱私和個人信息兩者關(guān)系，理論界有兩個主流觀點：一種觀點認為個人信息與個人隱私既相互重合又有所區(qū)分；另一種觀點認為個人信息中包含個人隱私。若將個人信息分類，筆者認為可根據(jù)是否具有隱私價值進行分類：一類是不具有隱私價值的個人信息，另一類則相反，如個人醫(yī)療信息等具有一定的私密價值，應該受到隱私權(quán)制度的高度關(guān)注與保護。

3.2 患者隱私權(quán)

指患者所享有要求醫(yī)療機構(gòu)及醫(yī)務人員保護合法掌握的涉及患者個人各種隱私以及不被非法侵犯的權(quán)利。患者隱私權(quán)的保護范圍主要包括信息和空間隱私權(quán)，具體指的是隱私部位、個人診療信息、個人信息、私人空間等。

3.3 “互聯(lián)網(wǎng)+醫(yī)療服務”體系下的患者隱私權(quán)

“互聯(lián)網(wǎng)+醫(yī)療服務”體系下的患者隱私權(quán)在主體、客體、內(nèi)容、性質(zhì)方面都有獨特之處，是指患者對與個人健康、身份有關(guān)，以大數(shù)據(jù)形式儲存在電子媒介上，具有醫(yī)療和經(jīng)濟價值，經(jīng)權(quán)利人或醫(yī)療健康機構(gòu)采取保密措施的個人敏感信息和健康信息等所享有的自由支配、控制、不被他人非法侵擾的具體人格權(quán)[2]。

4 國內(nèi)外患者隱私權(quán)保護立法現(xiàn)狀

4.1 國外

4.1.1 單獨立法 在隱私保護基本法的框架下對患者隱私權(quán)單獨立法，制定執(zhí)行標準。1974年美國制定隱私保護的基本法《隱私權(quán)法》。1996年《健康保險流通與責任法案》(Health Insurance Portability and Accountability，HIPPA)頒布，對醫(yī)療信息化中的交易規(guī)則、醫(yī)療服務機構(gòu)及從業(yè)人員的識別、醫(yī)療信息安全、醫(yī)療隱私、健康計劃識別、患者識別等問題有著詳細規(guī)定，有效地保護醫(yī)療數(shù)據(jù)安全和患者隱私權(quán)。HIPAA中確立保護患者隱私權(quán)的相關(guān)制度，包括最小程度披露、知情同意、管理簡化、患者醫(yī)療記錄查看權(quán)制度等。2000年美國衛(wèi)生和福利部(Health and Human Service，HHS)制定《個人可識別健康信息的隱私標準》，基本建立完整、操作性強的隱私保護法律體系。澳大利亞的《健康記錄與信息隱私權(quán)》(2002年)有效平衡電子健康記錄的發(fā)展和維護以及個人信息隱私之間的沖突。法國頒布《醫(yī)療隱私法》和《醫(yī)療保險法》等。

4.1.2 綜合保護 將個人醫(yī)療隱私信息納入個人信息，對其加以綜合保護。歐盟1995年的《關(guān)于在個人資料處理和個人資料自由流通過程中對個人資料進行保護的指令》要求成員國務必在3年內(nèi)完成個人信息保護法的修改以保持與該法令的一致性，該法案還特別提出對敏感信息的使用與保護規(guī)則。英國的《數(shù)據(jù)保護法》(1998年)將健康、基因等醫(yī)療信息歸屬到個人私密信息予以嚴格保護。加拿大的《個人信息保護與電子文件法》(The Personal Information Electronic Documents Act，PIPEDA)中禁止跨省或跨國商業(yè)機構(gòu)使用個人健康信息數(shù)據(jù)。

4.2 國內(nèi)

4.2.1 涉及隱私權(quán)保護的法律法規(guī) 包括《憲法》(第38條、第39條、第40條)，《民法總則》(第110條)，《侵權(quán)責任法》(第2條、第62條)，《刑法修正案(九)》(第245條、第252條、第253條)，《民事訴訟法》(第68條、第134條、第156條)，《刑事訴訟法》(第52條、第150條、第183條)，《行政訴訟法》(第32條)、《網(wǎng)絡安全法》(第4章)，《傳染病保護法》(第43條)等。

4.2.2 涉及患者隱私權(quán)的法律法規(guī) 《侵權(quán)責任法》首次提出保護患者隱私，“醫(yī)療機構(gòu)及其醫(yī)務人員應當對患者的隱私保密。泄露患者隱私或者未經(jīng)患者同意公開其病歷資料，造成患者損害的，應當承擔侵權(quán)責任。《執(zhí)業(yè)醫(yī)師法》規(guī)定“醫(yī)師應當保護患者隱私”?！蹲o士管理辦法》要求“護士在執(zhí)業(yè)中得悉就醫(yī)者的隱私，不得泄露”。《網(wǎng)絡安全法》要求“網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密并建立健全用戶信息保護制度”。強調(diào)“網(wǎng)絡運營者應當采取技術(shù)措施和其他必要措施，確保個人信息安全，防止信息泄露、毀損、丟失”。第45條針對“依法負有網(wǎng)絡安全監(jiān)督管理職責的部門及其工作人員”提出“不得泄露、出售或者非法向他人提供知悉的個人信息、隱私”。以上法律中患者隱私權(quán)都有所涉及，但是法條較為分散，多為原則性規(guī)定，缺乏相關(guān)的行業(yè)規(guī)范和標準，適用性不強、缺乏現(xiàn)實操作性。這種分散的立法模式已經(jīng)無法滿足我國“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的法治需求。

5 “互聯(lián)網(wǎng)+醫(yī)療服務”體系下患者隱私權(quán)保護面臨的挑戰(zhàn)

5.1 數(shù)據(jù)監(jiān)測與收集——隱私無處躲藏

遠程無線醫(yī)療監(jiān)護通過無線傳感器網(wǎng)絡，在醫(yī)療健康監(jiān)測領(lǐng)域的應用頗為廣泛?；颊咦悴怀鰬艟涂梢詫€人相關(guān)健康監(jiān)測數(shù)據(jù)傳送給醫(yī)院或其他醫(yī)療機構(gòu)，醫(yī)方對數(shù)據(jù)進行專業(yè)化處理和分析后告知患者或其家屬診斷結(jié)果，實現(xiàn)患者在家就診。但同時存在患者的醫(yī)療隱私信息會在未知情況下被暴露的危險。一些互聯(lián)網(wǎng)醫(yī)療平臺存在多個漏洞(登錄繞過、未授權(quán)訪問、平行越權(quán)等)，攻擊者甚至僅通過手機號就可以獲取到患者姓名、身份證、就診卡信息及掛號記錄、化驗檢驗報告單以及其他個人健康生理和醫(yī)療信息。對于網(wǎng)絡犯罪分子來說，醫(yī)療隱私信息可能比財務數(shù)據(jù)更有價值。新加坡衛(wèi)生部近期披露在2015年5月1日-2018年7月4日期間訪問SingHealth的患者，其個人數(shù)據(jù)均被黑客竊取，其中包括新加坡國家總理李顯龍的醫(yī)療信息。被盜數(shù)據(jù)包括姓名、身份證號、家庭住址、性別、種族等，還有約16 000人的配藥信息遭到泄露。美國《醫(yī)療機構(gòu)面臨的網(wǎng)絡犯罪和其他威脅報告》稱被盜的醫(yī)療保險身份證在黑色網(wǎng)站上至少售價1美元，醫(yī)療檔案價格從每個5美元起。除來自外部的威脅，根據(jù)《受保護健康信息泄露報告》，遭遇醫(yī)療信息數(shù)據(jù)泄露事故的醫(yī)療機構(gòu)中57.5%是內(nèi)部人士所為，外部攻擊者只有42%。財務收益是內(nèi)部威脅的主要動機，達到48%。一方面，有些內(nèi)部人員有權(quán)限獲取用戶的大量健康信息，但如果隱私權(quán)保護意識不強有可能致使大量醫(yī)療健康信息泄露甚至丟失；另一方面，少數(shù)內(nèi)部人員受金錢利益驅(qū)使，復制、販賣醫(yī)療健康信息，造成患者隱私泄露及濫用。

5.2 數(shù)據(jù)分享——隱私被濫用

在“互聯(lián)網(wǎng)+醫(yī)療服務”服務活動中醫(yī)療大數(shù)據(jù)信息交流更加密集，使得區(qū)域性平臺的電子病歷系統(tǒng)得到更加迅速的推廣。電子病歷系統(tǒng)最初投入使用時是以各醫(yī)療機構(gòu)為單位形成單獨的數(shù)據(jù)集。目前一些地區(qū)通過與網(wǎng)絡運營商合作，將醫(yī)療機構(gòu)、保險公司以及醫(yī)療科研組織的相關(guān)數(shù)據(jù)整合后構(gòu)建以電子病歷數(shù)據(jù)為載體的共享平臺，使得醫(yī)療數(shù)據(jù)和相關(guān)健康衛(wèi)生數(shù)據(jù)信息的區(qū)域性共享成為可能。區(qū)域性醫(yī)療信息共享平臺彌補基于醫(yī)院信息系統(tǒng)(Hospital Information System，HIS)的局域網(wǎng)電子病歷系統(tǒng)的不足，數(shù)據(jù)共享從醫(yī)療衛(wèi)生機構(gòu)內(nèi)部擴展到其他的區(qū)域性醫(yī)療平臺。然而電子病歷系統(tǒng)網(wǎng)絡化發(fā)展迅速，人們的醫(yī)療隱私數(shù)據(jù)有時會被有目的的人或機構(gòu)作為商品進行販售。如網(wǎng)絡營銷組織可以通過分析整合個人醫(yī)療信息數(shù)據(jù)對其投放量身定制的廣告；一些單位或企業(yè)通過進入電子病歷數(shù)據(jù)庫而知曉其員工的健康狀態(tài)，從而以此為由對員工進行篩選甚至解雇等。

5.3 數(shù)據(jù)挖掘——隱私被二次利用

“互聯(lián)網(wǎng)+醫(yī)療服務”體系下無時無刻都持續(xù)產(chǎn)生著海量醫(yī)學數(shù)據(jù)信息，在增進數(shù)據(jù)交互和共享的同時患者隱私面臨被二次利用的侵權(quán)風險?；颊唠[私的一次使用是指直接獲得患者隱私信息的過程，如互聯(lián)網(wǎng)診療平臺注冊的賬號、填寫的個人信息等都是一次使用。二次使用則指對上述信息進行加工、分析、處理之后得到的結(jié)果并加以利用的過程。而隱私信息的二次使用大多未獲得患者知情或許可，這就可能導致侵權(quán)風險。即便已經(jīng)獲得患者知情同意后使用隱私信息有時也無法確保語境在使用過程中的完整性，所以在挖掘數(shù)據(jù)其他潛在價值時這種方式很難落實。正如信息技術(shù)專家亨特所說：革新將不會是在收集數(shù)據(jù)方面——不是在臥室安裝電視攝像機，而是在分析已被同意共享的信息方面[3]。

5.4 數(shù)據(jù)預測——隱私被預測

在“互聯(lián)網(wǎng)+醫(yī)療服務”時代背景下，患者隱私權(quán)保護所面臨的挑戰(zhàn)不僅限于隱私的直接泄露，還可能是通過有目的性地對這些隱私數(shù)據(jù)進行分析，從而預測信息主體的狀態(tài)和行為。人們可以利用數(shù)據(jù)分析挖掘技術(shù)搜索相關(guān)數(shù)據(jù)信息，對信息主體所處的狀態(tài)或喜好做出預判，以此來向其推銷符合個人喜好的服務或產(chǎn)品而獲取利潤。如孕婦近期的搜索、瀏覽和購買記錄都可以使人輕松推斷出其可能懷孕，甚至可以判斷出懷孕的狀態(tài)和時間，而向其提供孕嬰產(chǎn)品，這就可能引起一系列的推銷詐騙問題。又如獲取就醫(yī)者的某些檢查結(jié)果，即可對其當前的健康情況和下一步的行為做出推斷。所以不能簡單認為只要有數(shù)據(jù)隱私匿名處理技術(shù)和對高敏感重要信息的保護就足以確保患者隱私安全。

6 “互聯(lián)網(wǎng)+醫(yī)療服務”體系下患者隱私權(quán)保護對策

6.1 構(gòu)建層級保護模式

在“互聯(lián)網(wǎng)+醫(yī)療服務”活動中，患者隱私被采集、整理、加工和處理，以數(shù)據(jù)的形式被記錄下來。而這些信息必須區(qū)分保護，如果保護程度過高，雖全面有效，但會加重公共機構(gòu)管理的負擔；保護程度過低，公共機構(gòu)負擔雖減輕，但也增加隱私被侵害的風險。依據(jù)信息敏感程度、人身性以及對患者人格影響程度，從3個維度(患者身體、隱私、環(huán)境)來考量，通過隱私信息的經(jīng)濟價值和社會價值進行規(guī)整，可以將患者隱私信息分為3個層級。見表2。在“互聯(lián)網(wǎng)+醫(yī)療服務”體系下，應針對不同分類在對隱私信息的儲存和使用中采用不同程度的保護方案。如對于敏感信息應區(qū)別于其他信息重點保護。另外患者對其醫(yī)療隱私信息享有支配權(quán)和控制權(quán)，在對隱私的使用和共享時應當進行深層次的授權(quán)同意。不同層級的隱私信息應實現(xiàn)不同的授權(quán)行為，如性功能障礙、流產(chǎn)記錄、艾滋病病毒攜帶者等高敏感信息，不管是否出于醫(yī)療范疇內(nèi)的目的，都應采取特別明示同意的方式予以授權(quán)，再配合一些數(shù)據(jù)技術(shù)手段對信息加以保護。

表2 “互聯(lián)網(wǎng)+醫(yī)療服務”體系下患者隱私信息層級結(jié)構(gòu)

6.2 重視直接保護，加大違法成本

《民法總則》已經(jīng)確立隱私權(quán)作為一項具體人格權(quán)的獨立地位，民法典各分編也已確定，其中人格權(quán)獨立成編備受矚目。在人格權(quán)編中應細化患者隱私權(quán)保護標準，明確患者隱私權(quán)的概念、范圍、相關(guān)主體權(quán)利和義務，以列舉的形式確定侵犯患者隱私權(quán)的行為，詳細規(guī)定侵權(quán)責任的認定及舉證責任。另外由于違法成本較低，處罰力度不足，導致個人隱私極易被泄露及濫用，販賣個人隱私信息己形成完整的灰色產(chǎn)業(yè)鏈。所以應加大違法成本：其一，增加懲罰性賠償?shù)闹贫仍O計。此類懲戒或許不能威懾其他潛在的侵害人，但至少社會通過其法律制度宣告發(fā)現(xiàn)一定的非犯罪行為是應受譴責的[4]。歐盟的《一般數(shù)據(jù)保護條例》中根據(jù)不同程度的違法行為有數(shù)額較高的罰款制度，最高可達數(shù)千萬歐元。其二，對非法獲取大量個人信息的黑客、數(shù)據(jù)管理人員內(nèi)外勾結(jié)泄露個人信息的從嚴從重處理，對侵犯個人信息、電信網(wǎng)絡詐騙等新型網(wǎng)絡犯罪持續(xù)加大打擊力度。其三，積極推進法律適用和落實執(zhí)行等配套機制，提升犯罪成本，實現(xiàn)法律的指引與預測功能。

6.3 構(gòu)建與完善醫(yī)療信息保護技術(shù)手段和數(shù)據(jù)管理體系

騰訊智慧安全在2018年底發(fā)布的《醫(yī)療互聯(lián)網(wǎng)服務敏感數(shù)據(jù)泄露風險調(diào)查報告》中指出目前我國線上醫(yī)療服務系統(tǒng)普遍存在業(yè)務漏洞、敏感端口開放等安全問題，給未授權(quán)訪問和不法黑客入侵帶來便利，增加醫(yī)療數(shù)據(jù)的安全風險。國內(nèi)有多家三甲醫(yī)院接入的第3方醫(yī)療服務平臺存在嚴重邏輯漏洞，這將導致平臺就診患者的個人信息包括姓名、手機號、身份證號以及就診信息和醫(yī)療診斷數(shù)據(jù)等多達10余種敏感信息存在泄露風險。此外有71%的三甲醫(yī)院存在高危端口開放情況，以近幾年不法黑客攻擊事件中出現(xiàn)頻率較高的端口為參照，有超過1/3的醫(yī)院將SSH登錄、MySQL數(shù)據(jù)庫服務等高危端口直接開放于外網(wǎng)，易于不法黑客入侵以及未授權(quán)訪問，增加醫(yī)療信息數(shù)據(jù)泄露風險?；ヂ?lián)網(wǎng)醫(yī)療服務平臺和醫(yī)療機構(gòu)應建立標準化的患者隱私保護支撐體系。第一，設置專門防火墻，著力加強訪問控制、加密、安全監(jiān)控等技術(shù)手段的應用。第二，對數(shù)據(jù)存儲設備及場所等進行必要的物理隔離和訪問控制，有效防止隱私信息擴散和泄露。第三，制定嚴格的患者隱私保護規(guī)章制度，提高從業(yè)人員的保護意識，配備專門人員負責患者隱私保護工作，建立風險應對機制，妥善處理數(shù)據(jù)泄露等突發(fā)事件。

6.4 加強監(jiān)管，建立協(xié)同聯(lián)動執(zhí)法機制

《關(guān)于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》明確提出創(chuàng)新監(jiān)管方式，切實防范風險，建立完善、有章可循的監(jiān)管體系將是未來一項重要且艱巨的任務。首先，可借鑒國外做法，設立個人信息(包括隱私信息)保護的專門機構(gòu)(如日本的個人隱私信息保護委員會、歐盟的數(shù)據(jù)保護官)，主要工作范圍包括接待投訴、投訴處理、落實賠償和處罰等。該機構(gòu)在必要時可以作為獨立訴訟主體，代表公民利益，提起公益訴訟。其次，應強化消費者權(quán)益保護協(xié)會及檢察機關(guān)公益訴訟的力度和廣度，暢通患者隱私權(quán)的救濟渠道。第三，加快制定與完善行業(yè)標準規(guī)范，確保各類醫(yī)療信息在收集、儲存、開放、傳輸和共享過程中的風險可控，明確數(shù)據(jù)開放范圍、權(quán)利、義務和責任。最后，多部門聯(lián)動配合，一旦發(fā)生患者隱私泄露等信息安全事件，衛(wèi)健委、網(wǎng)信、工信等應協(xié)同執(zhí)法。建立常態(tài)化的巡視機制，重點巡視患者隱私保護情況。