歐盟和澳大利亞電子健康檔案信息處理同意原則對我國的啟示

楊朝暉, 沈華杰

1天津醫(yī)學(xué)高等專科學(xué)校公共衛(wèi)生與衛(wèi)生事業(yè)管理系，天津，300022；2天津醫(yī)學(xué)高等?？茖W(xué)校基礎(chǔ)醫(yī)學(xué)部，天津，300022

電子健康檔案(electronic health record,EHR)是深度數(shù)字化的、關(guān)聯(lián)的個(gè)人終身醫(yī)療保健記錄，從時(shí)間跨度上覆蓋個(gè)人從生到死的整個(gè)生命周期，從內(nèi)容上強(qiáng)調(diào)完整的個(gè)人健康信息[1]。它的興起和發(fā)展融合了“信息化”和“大數(shù)據(jù)”的特點(diǎn)[2]。EHR中的患者信息越來越多以電子形式收集、存儲(chǔ)并使用于公共衛(wèi)生服務(wù)中，EHR系統(tǒng)實(shí)施的信息處理同意原則對患者信息的隱私和安全保護(hù)至關(guān)重要。目前國內(nèi)有關(guān)同意原則的研究多集中于患者治療及其程序的知情同意領(lǐng)域，對納入EHR信息處理的同意原則研究涉及甚少。歐盟和澳大利亞EHR信息處理同意原則分別采取了截然相反的選擇加入與選擇退出模式，具有較為典型的研究價(jià)值。本研究通過比較歐盟、澳大利亞EHR相關(guān)立法中有關(guān)信息處理同意原則的法律條款，以期為我國相關(guān)法律規(guī)制的完善提供借鑒。

1 歐盟EHR信息處理同意原則

1.1 法律依據(jù)

歐盟于2004年通過了電子健康行動(dòng)計(jì)劃，截至2017年，歐盟29個(gè)國家已建立國家EHR系統(tǒng)，歐盟EHR系統(tǒng)由所在國家衛(wèi)生主管機(jī)構(gòu)負(fù)責(zé)運(yùn)行[3]。歐盟與EHR相關(guān)的立法包括《歐盟基本權(quán)利憲章》(2007年)、《保護(hù)患者跨境醫(yī)療服務(wù)權(quán)利指令》(2011年)、《一般數(shù)據(jù)保護(hù)條例》(下文簡稱《條例》，2018年)等。其中《條例》是與EHR相關(guān)的最重要的立法。

根據(jù)《條例》第4條第1款關(guān)于個(gè)人數(shù)據(jù)定義，EHR中包含的數(shù)據(jù)是與自然人的身體或精神健康有關(guān)的個(gè)人數(shù)據(jù)，屬于“健康相關(guān)數(shù)據(jù)”。健康相關(guān)數(shù)據(jù)屬于《條例》第9條第1款禁止處理特殊類別的個(gè)人數(shù)據(jù)的范圍之內(nèi)，但《條例》規(guī)定數(shù)據(jù)主體對以一個(gè)或數(shù)個(gè)特定目的對個(gè)人數(shù)據(jù)處理做出明確同意，則第1款不適用。

1.2 同意原則要素

1.2.1 選擇加入，明確同意?！稐l例》第6條第1款(a)項(xiàng)規(guī)定：數(shù)據(jù)主體同意其個(gè)人數(shù)據(jù)為一種或多種特定目而處理，處理視為合法。用戶同意是《條例》首要的合法性基礎(chǔ)，除同意外的合法性基礎(chǔ)都附有近乎苛刻的適用條件?！稐l例》定義同意為通過聲明或明確的肯定方式，如通過書面陳述(包括電子形式)或口頭聲明，依照其意愿自愿作出任何具體的、知情及明確的意思表示，意味著數(shù)據(jù)主體同意其個(gè)人數(shù)據(jù)被處理。默示、預(yù)選方框或不作為不構(gòu)成同意。歐盟患者選擇以EHR形式就醫(yī)，個(gè)人數(shù)據(jù)上傳、存儲(chǔ)到EHR系統(tǒng)之前，醫(yī)療機(jī)構(gòu)必須獲得患者的明確同意,患者不能默示或被迫同意。

1.2.2 具體的同意。《條例》第4條將“處理”定義為：對個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集執(zhí)行的任何一個(gè)操作或一系列操作。對于公共機(jī)構(gòu)，《條例》第43條鑒于條款規(guī)定，數(shù)據(jù)主體與作為控制者的公共機(jī)構(gòu)之間的權(quán)力失衡使得不可能在特定情況下的所有情況下都自由地給予后者同意。因此，除非公共機(jī)構(gòu)可以證明已經(jīng)對不同的個(gè)人數(shù)據(jù)處理操作給予了分別的同意，則同意不會(huì)為處理個(gè)人數(shù)據(jù)提供有效的法律依據(jù)。《對第2016/679號(hào)條例下同意的解釋指南》規(guī)定：數(shù)據(jù)處理是出于幾個(gè)目的而進(jìn)行的，符合有效同意條件的解決方案在于“粒度”，即將這些目的分開并為每個(gè)目分別獲得同意。上述條款對于涉及多個(gè)處理操作的EHR系統(tǒng)尤為重要，EHR系統(tǒng)運(yùn)行醫(yī)療機(jī)構(gòu)顯然屬于“公共機(jī)構(gòu)”，其所有職能都屬于《條例》規(guī)定的“處理”范圍，因此歐盟醫(yī)療機(jī)構(gòu)或醫(yī)務(wù)人員出于診療目的之外目的處理EHR中的個(gè)人數(shù)據(jù)，必須征得患者對不同職能的處理及每個(gè)特定目的的分別同意。

2 澳大利亞EHR信息處理同意原則

2.1 法律依據(jù)

澳大利亞的國家EHR系統(tǒng)“我的健康檔案”(my health record，MHR)啟動(dòng)于2012年，是澳政府電子健康計(jì)劃的一部分。MHR允許醫(yī)療機(jī)構(gòu)及從業(yè)者、政府相關(guān)機(jī)構(gòu)和注冊患者從多來源上傳信息以共享，并在全國范圍內(nèi)實(shí)現(xiàn)MHR向患者開放[4]。MHR受以下法律法規(guī)約束：《隱私權(quán)法》(1988年)、《醫(yī)療保健標(biāo)識(shí)法案》(2010年)、《我的健康檔案法案》(2012年)、《醫(yī)療保健標(biāo)識(shí)條例》(2010年)、《我的健康檔案條例》(2012年)、《我的健康檔案(輔助注冊)規(guī)則》(2015年)、《我的健康檔案(信息專員執(zhí)行權(quán))指南》(2016年)、《我的健康檔案規(guī)則》(2016年)和《我的健康檔案(國家申請)規(guī)則》(2017年)。MHR相關(guān)立法采用《隱私權(quán)法》第6條“健康信息”的定義，將健康信息被歸類為“敏感信息”，個(gè)別規(guī)定敏感信息的管理需要特別注意[5]。

2.2 同意原則要素

2.2.1 選擇退出，默示同意?！段业慕】禉n案法案》沒有定義同意，《隱私法》第6條將其定義為“同意表示明確同意或默示同意”。MHR計(jì)劃授權(quán)澳大利亞數(shù)字健康局作為MHR系統(tǒng)操作員，允許其收集、使用和披露個(gè)人MHR檔案中包含的個(gè)人信息。最初實(shí)施時(shí)MHR計(jì)劃是“選擇加入”模式，有能力的成人“醫(yī)療健康服務(wù)接受者”，即患者必須注冊才能將其健康記錄上傳到系統(tǒng)。《我的健康檔案(國家申請)規(guī)則》將系統(tǒng)注冊更改為“選擇退出”模式，默示同意形式，澳大利亞公民將自動(dòng)獲得MHR，不希望創(chuàng)建MHR賬號(hào)的人可在2018年7月至11月內(nèi)選擇退出。在指定期間內(nèi)未選擇退出的人將自動(dòng)在MHR系統(tǒng)中注冊[6]。

然而即使是選擇退出的澳大利亞公民，其個(gè)人信息也在未經(jīng)同意的情況下被收集。《我的健康檔案(國家申請)規(guī)則》第5條授權(quán)系統(tǒng)操作員收集澳大利亞所有未在MHR系統(tǒng)中注冊個(gè)人的信息為選擇退出做準(zhǔn)備。未經(jīng)同意收集的準(zhǔn)備信息包括個(gè)人的姓名、地址、出生日期、性別、醫(yī)療保險(xiǎn)號(hào)等。另外根據(jù)《我的健康檔案條例》第1.1.7條，系統(tǒng)操作員還可收集個(gè)人電話號(hào)碼、電子地址、駕駛執(zhí)照或護(hù)照等身份驗(yàn)證信息。

2.2.2 “常設(shè)”或“持續(xù)”同意。MHR計(jì)劃創(chuàng)建了“常設(shè)”或“持續(xù)”同意的概念。根據(jù)《我的健康檔案法案》第41條第A(3)款規(guī)定的授權(quán)，如果記錄“與醫(yī)療服務(wù)接受者的醫(yī)療保健直接相關(guān)”，除新南威爾士州、昆士蘭州和首都外，澳大利亞的醫(yī)療機(jī)構(gòu)均可在MHR系統(tǒng)上合法上傳，并向有關(guān)第三方披露其有關(guān)患者健康信息的記錄。除非患者明確拒絕處理，否則將被視為“常設(shè)”或“持續(xù)”的同意。但該法案未定義“直接相關(guān)”，對授權(quán)上傳的健康信息的性質(zhì)、敏感性和數(shù)量并無任何限制。澳大利亞數(shù)字健康局在名為“數(shù)字健康和患者同意”的網(wǎng)站上指出：在注冊MHR時(shí)，患者必須向參與治療的所有醫(yī)療機(jī)構(gòu)提供“常設(shè)同意”，以將臨床信息上傳到他們的記錄。

3 信息處理同意原則比較

澳大利亞MHR系統(tǒng)采用選擇退出的模式為公民在MHR系統(tǒng)中自動(dòng)注冊，并對系統(tǒng)中患者信息上傳、披露處理采用“常設(shè)”同意，顯然有悖于歐盟《條例》規(guī)定的處理個(gè)人數(shù)據(jù)的合法性基礎(chǔ)，其規(guī)定“一個(gè)或多個(gè)特定目”的而處理數(shù)據(jù)主體的數(shù)據(jù)，需要數(shù)據(jù)主體“自由給出、具體的、知情及明確”地同意。

歐盟《條例》的價(jià)值取向和保護(hù)模式就是保護(hù)數(shù)據(jù)主體的權(quán)利，其定位為一部基本權(quán)利保護(hù)法?！坝脩敉狻笔恰稐l例》首要的合法性基礎(chǔ)，《條例》以用戶知情、同意、選擇、控制為核心來建構(gòu)整個(gè)制度。歐盟EHR信息處理同意原則嚴(yán)格保護(hù)患者信息隱私和安全，但對于系統(tǒng)信息流轉(zhuǎn)和共享的起到了限制和阻礙作用[7]。

澳大利亞《我的健康記錄法案》中定義MHR系統(tǒng)的目標(biāo)為建一個(gè)集中式、可訪問的系統(tǒng)以克服健康信息的碎片化，提高健康信息的可用性和質(zhì)量，減少不良醫(yī)療事件的發(fā)生和重復(fù)治療，改善醫(yī)療服務(wù)的協(xié)調(diào)和質(zhì)量[8]。實(shí)現(xiàn)上述目標(biāo)需要大量注冊患者信息能夠在系統(tǒng)中流轉(zhuǎn)和共享。而選擇退出、常設(shè)同意等信息處理同意原則不僅能免除醫(yī)療機(jī)構(gòu)向患者解釋每項(xiàng)處理操作目的的責(zé)任，還能快速匯集上述系統(tǒng)建設(shè)目標(biāo)所需信息，但卻帶來了患者信息隱私和安全保護(hù)的隱患[9]。以上歐盟與澳大利亞EHR信息處理同意原則分別側(cè)重于保護(hù)患者權(quán)利與發(fā)揮EHR信息的效用。

4 對我國相關(guān)立法的啟示

我國于2009年啟動(dòng)全民健康檔案計(jì)劃，目前我國未建立全國層面的EHR系統(tǒng)，但很多省市已經(jīng)逐步建立EHR管理平臺(tái)[10]。我國尚未出臺(tái)個(gè)人信息保護(hù)法和電子健康檔案信息保護(hù)的專門法律法規(guī)[11]，適用于EHR信息處理的同意法律條款散見于民法、刑法、行政法等各類法律部門。主要包括《中華人民共和國民法典》(下文簡稱《民法典》)、《中華人民共和國刑法》和《中華人民共和國網(wǎng)絡(luò)安全法》等。總體而言,我國EHR信息處理同意原則存在同意形式不明確、對具體同意無要求等問題，結(jié)合上述歐盟與澳大利亞EHR信息處理同意原則回顧，提出以下建議。

4.1 EHR處理過程信息分類同意

我國《民法典》在個(gè)人信息保護(hù)制度中以告知同意規(guī)則作為基本的規(guī)則。《民法典》中私密信息和非私密信息處理的同意形式不同，第1033條、1035條分別規(guī)定處理私密信息必須取得的是權(quán)利人的“明確同意”，而處理非私密的個(gè)人信息是取得自然人或者其監(jiān)護(hù)人的“同意”?！睹穹ǖ洹?226條規(guī)定醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員未經(jīng)患者同意公開其病歷資料的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。根據(jù)第1226條規(guī)定，EHR中病歷資料處理的同意形式按照非私密信息處理的“同意”形式要求，具體EHR中哪些健康信息應(yīng)屬于私密信息范圍[12]，其處理同意的形式是否要求明確同意并不明確

歐盟、澳大利亞相關(guān)法律條款對個(gè)人信息中健康信息(數(shù)據(jù))單獨(dú)定義，并歸為特殊類別數(shù)據(jù)、敏感信息，提供額外保護(hù)措施。敏感的個(gè)人信息與作為私密信息的個(gè)人信息之間存在交叉的關(guān)系。健康信息既是私密的個(gè)人信息也是敏感的個(gè)人信息[12]。對于某些特定的個(gè)人健康信息是否應(yīng)歸類為私密信息以及是否應(yīng)為此類信息提供更強(qiáng)的保護(hù)，不同人有不同的理解。若對EHR所有健康信息都視為《民法典》1032條“私密信息”，采取最高級別的方式進(jìn)行隱私和安全保護(hù)，會(huì)影響EHR系統(tǒng)的運(yùn)行效率[13]。建議在患者注冊登記互操作的EHR時(shí)，允許其基于有限數(shù)量的預(yù)定義類別對自身EHR中的健康信息進(jìn)行選擇劃分，賦予其可以對自身選定的特殊類別健康信息設(shè)置訪問權(quán)限的權(quán)利，患者可以設(shè)置、選定可處理這些健康信息的醫(yī)療機(jī)構(gòu)人員、處理目的，也可以將其設(shè)置為不可訪問?；颊咴O(shè)置的不可訪問的健康信息的任何處理需要其的明確同意。在緊急情況下，醫(yī)療機(jī)構(gòu)或醫(yī)務(wù)人員可以查看完整的EHR，但是應(yīng)該注明何時(shí)、為什么以及由誰進(jìn)行的操作，以及采取的措施。

4.2 EHR處理過程分階段同意

《民法典》以“處理”一詞來統(tǒng)稱對個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)?！睹穹ǖ洹?226條規(guī)定醫(yī)療機(jī)構(gòu)及醫(yī)護(hù)人員公開患者病歷資料需要患者同意，但對醫(yī)療機(jī)構(gòu)及醫(yī)護(hù)人員對EHR中病歷資料的收集、存儲(chǔ)、使用、加工、傳輸?shù)忍幚硎欠裥枰颊咄?，以及是否需要為處理的每個(gè)目的獲得同意并無要求。另外《網(wǎng)絡(luò)安全法》僅要求個(gè)人信息的收集和使用個(gè)人信息必須滿足知情同意原則，對其它處理的具體同意也沒有要求。EHR系統(tǒng)發(fā)展之初以各醫(yī)療機(jī)構(gòu)為單位形成單獨(dú)的數(shù)據(jù)集為主，但EHR基本要素是患者個(gè)人信息能夠被授權(quán)的不同系統(tǒng)所共享[13]，隨著異地、異構(gòu)EHR互操作的逐漸實(shí)現(xiàn)，患者信息的出于公共利益和自然人合法權(quán)益以外的目的(如科研、追蹤藥物使用、健康保險(xiǎn)等商業(yè)保險(xiǎn)、健康畫像、健康評分等)之外存儲(chǔ)、使用、加工、傳輸?shù)忍幚聿辉O(shè)置具體同意會(huì)對患者信息的隱私和安全造成隱患。

同意原則需要平衡患者信息隱私安全與公共利益之間的關(guān)系，并適應(yīng)于現(xiàn)有醫(yī)療服務(wù)流程[14]，符合本國健康服務(wù)信息化服務(wù)體系的應(yīng)用水平。一方面，我國EHR處于起步階段，為了推動(dòng)其發(fā)展，EHR需要協(xié)助醫(yī)療健康服務(wù)，使醫(yī)生更好地了解患者的健康狀況，以改善其醫(yī)療決策；另一方面，由于EHR中健康信息的敏感性和私密性，有比一般信息同意標(biāo)準(zhǔn)更高的同意標(biāo)準(zhǔn)，并需要附加的保障措施。建議我國EHR系統(tǒng)信息采用分階段同意：第一階段是收集、存儲(chǔ)EHR個(gè)人信息階段，對于患者是否要以EHR形式就醫(yī)，是否上傳、存儲(chǔ)信息至EHR，建議采取選擇退出模式，默示同意的形式，但是需要賦予其拒絕權(quán)。第二階段是使用、傳輸EHR個(gè)人信息階段，如果出于公共利益和自然人合法權(quán)益目的上述處理建議采用選擇退出模式，默示同意的形式；如果出于公共利益和自然人合法權(quán)益以外目的，上述處理需要患者的明確同意；另外還應(yīng)在不同處理前明確告知患者信息的處理的目的、信息可能被轉(zhuǎn)讓或共享的人員類別，以及是否用于自動(dòng)決策或數(shù)據(jù)畫像；并分別對不同的處理行為的多個(gè)目的取得患者的具體同意；第三個(gè)階段公開處理階段,不論其處理目的，建議均采用選擇同意模式，需要患者的明確同意。