中外個(gè)人健康醫(yī)療信息泄露通知制度比較研究

陳琬珠 相麗玲,2*

(1.山西大學(xué)法學(xué)院，山西 太原 030006；2.山西大學(xué)經(jīng)濟(jì)與管理學(xué)院，山西 太原 030006)

個(gè)人健康醫(yī)療信息泄露的治理是全球健康醫(yī)療數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)化發(fā)展中面臨的重大挑戰(zhàn)。據(jù)IBM Security連續(xù)17年的《數(shù)據(jù)泄露成本報(bào)告》顯示，健康醫(yī)療行業(yè)是信息泄露占比和信息泄露成本最高的行業(yè)，個(gè)人健康醫(yī)療信息泄露通知是治理該信息泄露成本最低的手段[1]。個(gè)人健康醫(yī)療信息泄露通知既能有效地防控信息泄露造成的損害，又能增強(qiáng)公眾對(duì)健康醫(yī)療行業(yè)的信任，推進(jìn)健康醫(yī)療數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)化發(fā)展。為此，歐盟、美國(guó)、澳大利亞、加拿大等國(guó)家(地區(qū))紛紛制定并完善了個(gè)人健康醫(yī)療信息泄露通知制度。我國(guó)在2020年和2021年頒布的《民法典》和《個(gè)人信息保護(hù)法》(簡(jiǎn)稱“個(gè)保法”)中也引入了個(gè)人信息泄露通知制度。研究中外個(gè)人健康醫(yī)療信息泄露通知制度的發(fā)展與異同，對(duì)完善我國(guó)個(gè)人健康醫(yī)療信息泄露通知制度具有理論與現(xiàn)實(shí)意義。

國(guó)內(nèi)外對(duì)這一問(wèn)題的研究集中在以下3個(gè)方面：①該制度早期運(yùn)行中存在的問(wèn)題。Wachler A B等[3]提出，美國(guó)個(gè)人健康信息的“泄露”定義范圍過(guò)窄；Kierkegaard P[4]提出，歐盟數(shù)據(jù)泄露通知制度缺乏執(zhí)行機(jī)制；②該制度的理論和現(xiàn)實(shí)基礎(chǔ)。Jade M K[5]提出，澳大利亞制定這一制度的現(xiàn)實(shí)需求；Mark V等[6]從威懾、緩解、信息強(qiáng)制及個(gè)人自主性4個(gè)方面分析了該制度的理論基點(diǎn)；③研究該制度的可實(shí)施性。Renee W等[7]和Krisby R M等[8]提出，美國(guó)HHS應(yīng)當(dāng)參考NIST制定的相關(guān)標(biāo)準(zhǔn)，以提供更加清晰的制度指南。鐘其炎[2]提出，我國(guó)應(yīng)當(dāng)完善電子健康檔案信息泄露通知法律法規(guī)。總體上看，學(xué)界對(duì)中外個(gè)人健康醫(yī)療信息泄露通知制度研究較少。本文將依據(jù)中外個(gè)人健康醫(yī)療信息泄露通知制度，如表1所示，從適用條件、通知主體、通知內(nèi)容、通知時(shí)間及方式5個(gè)方面對(duì)該制度展開(kāi)比較研究，以期完善我國(guó)的個(gè)人健康醫(yī)療信息泄露通知制度。

表1 中外個(gè)人健康醫(yī)療信息泄露通知主要制度

1 個(gè)人健康醫(yī)療信息泄露通知制度的概念及演進(jìn)歷程

1.1 個(gè)人健康醫(yī)療信息泄露通知制度的概念

個(gè)人健康醫(yī)療信息是指以電子或者其他方式記錄的，與個(gè)人過(guò)去、現(xiàn)在和未來(lái)的身體或心理健康狀態(tài)相關(guān)的可識(shí)別或者已識(shí)別自然人的信息。

從法律意義上講，“泄露”(Breach)有廣義和狹義之分。狹義的“泄露”以美國(guó)為代表，將“泄露”定義為以違反隱私規(guī)則的方式獲取、訪問(wèn)、使用或披露受保護(hù)的健康信息[9]。該概念側(cè)重于強(qiáng)調(diào)個(gè)人健康醫(yī)療信息的保密性泄露。廣義的“泄露”以歐盟為代表，即導(dǎo)致意外或非法破壞、丟失、更改、未經(jīng)授權(quán)的披露或訪問(wèn)，傳輸、存儲(chǔ)或以其他方式處理的個(gè)人數(shù)據(jù)的安全泄露事件[10]。歐盟第29工作組對(duì)此做了進(jìn)一步解釋：違反“信息安全三原則”的泄露即違反保密性——未經(jīng)授權(quán)或意外披露或訪問(wèn)個(gè)人信息；違反完整性——未經(jīng)授權(quán)或意外修改個(gè)人信息；違反可用性——意外或未經(jīng)授權(quán)丟失或損毀個(gè)人信息[11]。這一解釋較為全面地概括了大數(shù)據(jù)時(shí)代個(gè)人健康醫(yī)療信息面臨的關(guān)鍵性安全問(wèn)題。而且為加強(qiáng)該制度的實(shí)用性，歐盟在2022年正式公布了一份面向?qū)嵺`、以案例為基礎(chǔ)的指南《關(guān)于個(gè)人數(shù)據(jù)泄露通知示例01/2021指南》，其中詳細(xì)解釋了6種數(shù)據(jù)泄露情形[12]。我國(guó)、加拿大和澳大利亞等國(guó)家(地區(qū))采用廣義“泄露”說(shuō)。

因此，筆者認(rèn)為，個(gè)人健康醫(yī)療信息泄露通知制度是指在發(fā)生意外或非法破壞、丟失、更改、未經(jīng)授權(quán)的披露或訪問(wèn)，傳輸、存儲(chǔ)或以其他方式處理個(gè)人健康醫(yī)療信息的安全泄露事件時(shí)，信息處理者在履行通知義務(wù)時(shí)所遵循的一系列的制度。

1.2 個(gè)人健康醫(yī)療信息泄露通知制度演進(jìn)歷程

2004年，加拿大安大略省的《個(gè)人健康醫(yī)療信息保護(hù)法案》(簡(jiǎn)稱PHIPA)首次規(guī)定了個(gè)人健康醫(yī)療信息保管人的信息泄露通知義務(wù)。隨后，歐、美、澳、中等國(guó)家(地區(qū))也制定了相應(yīng)的制度。國(guó)際上目前對(duì)該制度的規(guī)定主要有3種模式：①制定專門(mén)的個(gè)人健康醫(yī)療信息泄露通知制度，以美國(guó)和加拿大為代表，如美國(guó)的《HITECH泄露通知臨時(shí)規(guī)則》(簡(jiǎn)稱HITECH)、加拿大艾伯塔省的《健康信息法》(簡(jiǎn)稱HIA)；②制定統(tǒng)一的個(gè)人信息泄露通知制度，歐盟和我國(guó)主要采用這種模式。即無(wú)論何種類型信息，適用統(tǒng)一的個(gè)人信息泄露通知制度；③混合模式，以澳大利亞為代表。單獨(dú)規(guī)定了電子健康記錄系統(tǒng)內(nèi)的個(gè)人健康醫(yī)療信息泄露通知制度，對(duì)該系統(tǒng)之外的個(gè)人健康醫(yī)療信息泄露通知適用《隱私法》中的統(tǒng)一規(guī)定。通過(guò)對(duì)一系列制度的梳理發(fā)現(xiàn)，3種模式下的個(gè)人健康醫(yī)療信息泄露通知制度建設(shè)都?xì)v經(jīng)以下兩個(gè)階段。

第一階段：個(gè)人健康醫(yī)療信息泄露通知制度的建立階段(2004—2016)。該制度源起于加拿大安大略省2004年的PHIPA，法案中明確規(guī)定了保管人負(fù)有向個(gè)人通知健康醫(yī)療信息泄露的義務(wù)。隨后澳大利亞、美國(guó)和歐盟分別于2012年、2013年和2016年制定了個(gè)人健康醫(yī)療信息泄露通知制度。在這一階段，個(gè)人健康醫(yī)療信息泄露通知制度在體系和內(nèi)容上呈現(xiàn)以下特征：①在制度體系上，以法案的形式明確引入了個(gè)人健康醫(yī)療信息泄露通知義務(wù)，從宏觀上規(guī)定了該制度的基本框架：適用條件、通知主體、通知內(nèi)容、通知時(shí)間及方式；②在內(nèi)容上，該制度的實(shí)施內(nèi)容規(guī)定不足。具體而言，a.總體上規(guī)定了制度的適用條件，但未規(guī)定適用條件的具體實(shí)施及適用例外情形；b.適用主體限于醫(yī)療領(lǐng)域的主體；c.通知內(nèi)容上，除美國(guó)詳細(xì)規(guī)定了通知內(nèi)容外，其他國(guó)家(地區(qū))缺乏對(duì)通知內(nèi)容的規(guī)定；d.對(duì)通知時(shí)間及方式的規(guī)定較為籠統(tǒng)。

第二階段：個(gè)人健康醫(yī)療信息泄露通知制度的完善階段(2017—至今)。隨著大數(shù)據(jù)技術(shù)的發(fā)展，個(gè)人健康醫(yī)療大數(shù)據(jù)應(yīng)用廣泛普及，信息泄露風(fēng)險(xiǎn)進(jìn)一步加劇?；ヂ?lián)網(wǎng)時(shí)代的個(gè)人健康醫(yī)療信息泄露通知制度已顯“捉襟見(jiàn)肘”，框架性的規(guī)定無(wú)法有效地回應(yīng)現(xiàn)實(shí)需求。為此，這些國(guó)家(地區(qū))開(kāi)始完善這一制度。澳大利亞2017年出臺(tái)了《我的健康記錄系統(tǒng)中數(shù)據(jù)泄露通知強(qiáng)制性指南》、加拿大艾伯塔省于2018年出臺(tái)了《健康信息條例》(簡(jiǎn)稱HIA條例)、歐盟于2022年出臺(tái)了《關(guān)于個(gè)人數(shù)據(jù)泄露通知示例01/2021指南》。在這一階段，個(gè)人健康醫(yī)療信息泄露通知制度呈現(xiàn)出以下特征：①在制度體系上，形成了“法案+實(shí)施條例(實(shí)施指南)”的規(guī)范體系；②從內(nèi)容上看，以提升制度可操作性為目的，具化了制度內(nèi)容。a.澄明該制度的適用條件。提出該制度適用的“門(mén)檻條件”,引入傷害或風(fēng)險(xiǎn)評(píng)估機(jī)制，同時(shí)明確規(guī)定適用豁例外情形；b.擴(kuò)大制度適用主體；c.明確通知內(nèi)容，細(xì)化通知時(shí)間和方式，增強(qiáng)該制度的實(shí)用性。

我國(guó)2016年的《網(wǎng)絡(luò)安全法》(簡(jiǎn)稱“網(wǎng)安法”)中規(guī)定的網(wǎng)絡(luò)運(yùn)營(yíng)者的信息泄露報(bào)告義務(wù)是我國(guó)個(gè)人信息泄露通知制度的萌芽。隨著大數(shù)據(jù)技術(shù)的進(jìn)一步發(fā)展，2020年的《民法典》首次明確引入了信息處理者的信息泄露通知義務(wù)，但尚未規(guī)定具體的通知程序和條件。隨后出臺(tái)的《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》(簡(jiǎn)稱《健康醫(yī)療數(shù)據(jù)安全指南》)標(biāo)準(zhǔn)，也僅從原則上規(guī)定了個(gè)人健康醫(yī)療信息泄露通知義務(wù)。2021年出臺(tái)的《個(gè)人信息保護(hù)法》在此基礎(chǔ)上，規(guī)定了通知的內(nèi)容和主體，但其規(guī)定過(guò)于模糊，缺乏可操作性。

2 中外個(gè)人健康醫(yī)療信息泄露通知制度的比較

中外個(gè)人健康醫(yī)療信息泄露通知制度的內(nèi)容，主要包括適用條件、通知主體、通知內(nèi)容、通知時(shí)間及方式5個(gè)方面。本文選取歐盟、美國(guó)、澳大利亞、加拿大及我國(guó)的相關(guān)制度，如表1所示，從上述5個(gè)方面深入對(duì)比研究個(gè)人健康醫(yī)療信息泄露通知制度。

2.1 適用條件

2.1.1 觸發(fā)條件

個(gè)人健康醫(yī)療信息泄露通知制度的觸發(fā)條件，如表2所示，主要包括3種模式：

表2 中外個(gè)人健康醫(yī)療信息泄露通知的觸發(fā)條件

1)行為標(biāo)準(zhǔn)模式。在該模式下，只要發(fā)生個(gè)人健康醫(yī)療信息泄露事件，義務(wù)主體即須履行通知義務(wù)。我國(guó)和加拿大安大略省均采用這種模式，該模式能夠最大限度保障自然人的知情權(quán)。但在這種模式下，第一，會(huì)增加信息處理者實(shí)施該規(guī)則的成本，產(chǎn)生“通知疲勞”的問(wèn)題；第二，頻繁地通知受影響的自然人，可能造成自然人警覺(jué)性降低，在關(guān)鍵時(shí)候不利于控制損害的擴(kuò)大[5]。而且會(huì)導(dǎo)致信息主體對(duì)處理者產(chǎn)生信任危機(jī)，進(jìn)而影響健康醫(yī)療行業(yè)的發(fā)展。

2)主觀標(biāo)準(zhǔn)模式，即發(fā)生的個(gè)人健康醫(yī)療信息泄露的事件在給個(gè)人造成嚴(yán)重?fù)p害或存在給個(gè)人造成損害的風(fēng)險(xiǎn)時(shí)，處理者才須履行通知義務(wù)。歐盟的GDPR、加拿大的HIA、美國(guó)的HITECH及澳大利亞的《隱私法》都采用該模式。該模式克服了行為標(biāo)準(zhǔn)模式的弊端，為該信息泄露通知義務(wù)的實(shí)施設(shè)定了閾值，排除了非必要通知，其旨在保護(hù)個(gè)人健康醫(yī)療信息泄露給個(gè)人造成的損害。美國(guó)將“重大損害”解釋為“對(duì)個(gè)人的財(cái)產(chǎn)、名譽(yù)或其他方面造成重大損害”[13]。歐盟拓寬了這一范圍，規(guī)定“此類損害的示例包括歧視、身份盜用或欺詐、經(jīng)濟(jì)損失和聲譽(yù)損害”[14]。但無(wú)論何種解釋，該標(biāo)準(zhǔn)都存在主觀性強(qiáng)的問(wèn)題。為此，這些國(guó)家(地區(qū))提出了損害評(píng)估因素，意圖是以該方式實(shí)現(xiàn)傷害評(píng)估的客觀化。但傷害評(píng)估因素依舊以個(gè)人為中心，相同類型的健康醫(yī)療信息泄露可能對(duì)不同的人產(chǎn)生不同程度的損害，造成了解釋及適用的不一致[15]。更為重要的是，該模式無(wú)法應(yīng)對(duì)個(gè)人健康醫(yī)療信息泄露損害信息安全性、完整性，但未損害個(gè)人權(quán)利的情形，忽視了該信息泄露給健康醫(yī)療行業(yè)造成的損害。

3)客觀標(biāo)準(zhǔn)模式。即處理者在發(fā)生個(gè)人健康醫(yī)療信息泄露事件，導(dǎo)致信息或健康系統(tǒng)的安全性或完整性受損時(shí)，應(yīng)當(dāng)履行通知義務(wù)。美國(guó)的《健康保險(xiǎn)可攜性和責(zé)任法案》(簡(jiǎn)稱HIPAA)和澳大利亞《我的健康記錄法》(簡(jiǎn)稱MHR)采用該模式，其能夠有效克服主觀標(biāo)準(zhǔn)模式的弊端。將觸發(fā)通知義務(wù)的閾值設(shè)定為個(gè)人健康醫(yī)療信息或健康信息系統(tǒng)的安全性或完整性受損，有助于處理者以統(tǒng)一的標(biāo)準(zhǔn)去解釋和應(yīng)用該法規(guī)，同時(shí)能夠促進(jìn)健康醫(yī)療行業(yè)的發(fā)展，但對(duì)信息主體可能會(huì)產(chǎn)生“冗余”通知的情形。

2.1.2 適用例外

通過(guò)對(duì)比表3中外個(gè)人健康醫(yī)療信息泄露通知制度適用例外，發(fā)現(xiàn)這些國(guó)家(地區(qū))規(guī)定的適用例外條件不同。美國(guó)和歐盟分別根據(jù)觸發(fā)通知義務(wù)的條件制定了適用例外情形；澳大利亞規(guī)定基于法定原因、保密義務(wù)、OAIC同意或已有義務(wù)通知主體的情形下，實(shí)體可以不履行通知義務(wù)；加拿大艾伯塔省基于對(duì)個(gè)人權(quán)益的權(quán)衡，規(guī)定保管人認(rèn)為若通知給個(gè)人造成某種損害，可以決定不予通知個(gè)人。而我國(guó)只是簡(jiǎn)要規(guī)定了若能有效避免泄露行為造成危害的，可以不通知個(gè)人。但何為“造成損害”？對(duì)信息主體還是對(duì)信息本身造成損害？立法并未作出明確回應(yīng)。

表3 中外個(gè)人健康醫(yī)療信息泄露通知的適用例外

2.2 通知主體

通過(guò)表4分析可知，目前歐、美、澳、加已經(jīng)構(gòu)建了雙層個(gè)人健康醫(yī)療信息泄露通知主體模式：內(nèi)部通知主體和外部通知主體。我國(guó)僅規(guī)定了外部通知主體。具體而言，內(nèi)部通知主體是指為個(gè)人健康醫(yī)療信息控制者(保管者)處理該信息，提供特定服務(wù)的主體(業(yè)務(wù)伙伴、附屬機(jī)構(gòu)等)，在發(fā)現(xiàn)該信息泄露時(shí)，應(yīng)立即通知該信息的控制者。外部通知主體是指?jìng)€(gè)人健康醫(yī)療信息控制者在發(fā)現(xiàn)信息泄露事件時(shí)，應(yīng)通知受影響的個(gè)人、相關(guān)主管機(jī)關(guān)或公眾。內(nèi)外部通知主體都包括通知義務(wù)主體和通知對(duì)象。

表4 中外個(gè)人健康醫(yī)療信息泄露通知的主體

2.2.1 內(nèi)部通知主體

制定內(nèi)部通知主體的目的是確保內(nèi)部通知對(duì)象在第一時(shí)間內(nèi)掌握該信息泄露情況，評(píng)估存在的具體風(fēng)險(xiǎn)，進(jìn)而采取相應(yīng)的措施，防止損害擴(kuò)大化。內(nèi)部通知義務(wù)主體是為處理個(gè)人健康醫(yī)療信息提供特定服務(wù)的實(shí)體。美國(guó)、加拿大艾伯塔省、澳大利亞及歐盟分別規(guī)定BA、健康醫(yī)療信息保管人的附屬機(jī)構(gòu)、“我的健康記錄”中系統(tǒng)運(yùn)營(yíng)商以外的主體及個(gè)人數(shù)據(jù)的處理者為內(nèi)部通知義務(wù)主體。內(nèi)部通知對(duì)象是個(gè)人健康醫(yī)療信息實(shí)際控制者。美國(guó)的CE、加拿大各省的健康信息保管人、澳大利亞的系統(tǒng)運(yùn)營(yíng)商及歐盟的數(shù)據(jù)控制者都是內(nèi)部通知對(duì)象。我國(guó)目前尚未規(guī)定內(nèi)部通知主體，僅規(guī)定了外部通知主體。

2.2.2 外部通知主體

制定外部通知主體一方面是為了防控個(gè)人健康醫(yī)療信息泄露造成的損害；另一方面為了保障信息主體的知情權(quán)和自主權(quán)。外部通知義務(wù)主體是實(shí)際保管或控制個(gè)人健康醫(yī)療信息的主體。具體而言，歐盟規(guī)定個(gè)人健康醫(yī)療信息控制者為義務(wù)通知主體，包括任何可以決定健康數(shù)據(jù)處理過(guò)程中某些關(guān)鍵元素的組織或個(gè)人[16]。美國(guó)將CE定為通知義務(wù)主體。該規(guī)定是在傳統(tǒng)診療背景下產(chǎn)生的，隨著大數(shù)據(jù)技術(shù)的發(fā)展，個(gè)人健康醫(yī)療信息處理主體不再局限于CE。FTC在2021年發(fā)布聲明，將第三方服務(wù)供應(yīng)商、移動(dòng)應(yīng)用程序和其他連接設(shè)備實(shí)體等規(guī)定為外部通知義務(wù)主體[17]。加拿大絕大多數(shù)省份規(guī)定了個(gè)人健康醫(yī)療信息的保管人為外部通知義務(wù)主體，以艾伯塔省和安大略省為代表。其與美國(guó)相比，將通知義務(wù)主體范圍擴(kuò)大到管理健康醫(yī)療信息的衛(wèi)生行政機(jī)關(guān)，該規(guī)定符合大數(shù)據(jù)時(shí)代衛(wèi)生行政機(jī)關(guān)的雙重身份定位，其既是該信息的管理者，又是利用者[18]。但其未關(guān)注到非診療環(huán)境下個(gè)人健康醫(yī)療信息泄露的通知問(wèn)題。澳大利亞則規(guī)定“我的健康記錄”的系統(tǒng)運(yùn)營(yíng)商和其他注冊(cè)主體都可以成為外部通知義務(wù)主體，但只有系統(tǒng)運(yùn)營(yíng)商可以通知個(gè)人；我的健康記錄系統(tǒng)外的通知義務(wù)主體范圍較廣，但不包括小型企業(yè)經(jīng)營(yíng)者。我國(guó)采取了與歐盟相近的模式，規(guī)定個(gè)人信息處理者為通知義務(wù)主體。

通過(guò)對(duì)表4分析，發(fā)現(xiàn)目前外部通知對(duì)象共3類。①受影響的個(gè)人。這些國(guó)家(地區(qū))規(guī)定在發(fā)生個(gè)人健康醫(yī)療信息泄露事件時(shí)，應(yīng)當(dāng)通知受影響的個(gè)人；②相關(guān)主管部門(mén)。個(gè)人健康醫(yī)療信息泄露通知的主管部門(mén)為負(fù)責(zé)信息安全的主管部門(mén)和健康衛(wèi)生主管部門(mén)。一方面，歐、澳、加等都規(guī)定發(fā)生個(gè)人健康醫(yī)療信息泄露事件時(shí)，應(yīng)當(dāng)通知信息專員(隱私專員)。在此基礎(chǔ)上，加拿大安大略省還規(guī)定保管人應(yīng)在每一年度向信息專員報(bào)告年度個(gè)人健康醫(yī)療信息泄露情況。這不僅能夠?qū)崿F(xiàn)止損的目的，而且能夠預(yù)防未來(lái)發(fā)生同類事件。而我國(guó)并未設(shè)定獨(dú)立的信息專員，僅規(guī)定通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)；另一方面，鑒于個(gè)人健康醫(yī)療信息的專業(yè)性，在發(fā)生個(gè)人健康醫(yī)療信息泄露時(shí)，健康衛(wèi)生主管部門(mén)能夠提出針對(duì)性的止損建議。為此，美、加將健康衛(wèi)生專業(yè)主管部門(mén)定為通知對(duì)象；③社會(huì)公眾。美、澳規(guī)定在發(fā)生大量的個(gè)人健康醫(yī)療信息泄露時(shí)，為引起社會(huì)公眾警覺(jué)，應(yīng)通知公眾。不同之處在于美國(guó)明確規(guī)定“大量”的標(biāo)準(zhǔn)為500人以上的泄露事件，澳大利亞未明確“大量”的標(biāo)準(zhǔn)。

2.3 通知內(nèi)容

通過(guò)梳理表5中外個(gè)人健康醫(yī)療信息泄露通知的內(nèi)容發(fā)現(xiàn)，通知內(nèi)容主要分為統(tǒng)一的通知內(nèi)容和區(qū)別的通知內(nèi)容。

表5 中外個(gè)人健康醫(yī)療信息泄露通知的內(nèi)容

1)統(tǒng)一的通知內(nèi)容指對(duì)任何通知對(duì)象所通知內(nèi)容都是一致的，美國(guó)和我國(guó)采用這種模式。兩國(guó)通知的內(nèi)容基本相同，包括泄露事件的描述、涉及信息種類、建議個(gè)人采取的措施、相關(guān)主體的聯(lián)系方式及已經(jīng)采取的措施。

2)區(qū)別的通知內(nèi)容是指通知義務(wù)主體基于不同目的，對(duì)不同通知對(duì)象通知不同的內(nèi)容，歐、加等國(guó)家(地區(qū))采取了這種方式。通知個(gè)人一方面是為了保障個(gè)人的知情權(quán)；另一方面是為個(gè)人采取補(bǔ)救措施提出建議，減輕對(duì)個(gè)人造成的損害。因此，對(duì)個(gè)人的通知內(nèi)容總體包括：泄露事件的簡(jiǎn)述、涉及的信息類型、對(duì)個(gè)人可能造成的損害、建議個(gè)人采取的措施以及實(shí)體已經(jīng)采取的措施。通知信息專員是為了讓信息專員評(píng)估信息泄露情形，并為其采取相應(yīng)的應(yīng)急措施提供基礎(chǔ)，同時(shí)保障信息專員的監(jiān)督權(quán)。為此，對(duì)信息專員的通知內(nèi)容，除了一般的通知內(nèi)容外，還須通知受影響的范圍和規(guī)模、過(guò)去是否有過(guò)類似行為、降低未來(lái)泄露行為的發(fā)生采取的措施等。

2.4 通知時(shí)間及方式

通過(guò)表6分析可知，目前立法對(duì)通知時(shí)間主要有3種規(guī)定：

表6 中外個(gè)人健康醫(yī)療信息泄露通知的時(shí)間及方式

1)有明確時(shí)間限制的通知：美國(guó)采用的是有明確時(shí)間限制的通知。其根據(jù)不同的通知對(duì)象，分別規(guī)定了不同的通知時(shí)間。

2)無(wú)明確時(shí)間限制的通知：澳大利亞、加拿大艾伯塔省、中國(guó)采用的是無(wú)明確時(shí)間限制的通知，只是規(guī)定盡快或第一時(shí)間內(nèi)予以通知。這種規(guī)定雖然滿足了現(xiàn)實(shí)靈活性的需求，但實(shí)踐操作性較弱，無(wú)法有效地保障個(gè)人的權(quán)益。

3)混合模式，如表6所示。歐盟和加拿大安大略省采用的是混合模式。歐盟對(duì)SA通知時(shí)間有明確的限制，要求數(shù)據(jù)控制者自發(fā)現(xiàn)之日起72小時(shí)內(nèi)通知SA。但對(duì)個(gè)人的通知無(wú)明確的時(shí)間限制，僅規(guī)定應(yīng)“毫無(wú)拖延”地通知個(gè)人。加拿大安大略省只規(guī)定了保管人向?qū)T提交上一年度個(gè)人健康醫(yī)療信息泄露報(bào)告的時(shí)間，未規(guī)定對(duì)其他通知對(duì)象的通知時(shí)間。

就通知方式而言，鑒于不同類型通知對(duì)象聯(lián)系方式的穩(wěn)定性有所差異，各國(guó)(地區(qū))針對(duì)通知對(duì)象的不同分別規(guī)定了不同的通知方式，如表6所示。具體而言：

1)對(duì)個(gè)人的通知，以能夠通知到為原則。由于個(gè)人的聯(lián)系方式易變，單一的通知方式會(huì)影響通知效果，須最大限度地提高向個(gè)人通知的機(jī)會(huì)[16]。因此，這些國(guó)家(地區(qū))對(duì)個(gè)人的通知采取了比較靈活的方式。在眾多通知方式中，原則上依舊以書(shū)面通知為主，美國(guó)在此基礎(chǔ)上根據(jù)個(gè)人的不同情況做了更加靈活的規(guī)定。澳大利亞、歐盟規(guī)定可以采用任何方式通知個(gè)人。

2)針對(duì)信息專員的通知，原則上應(yīng)采用專員指定的格式并以書(shū)面的形式通知。澳大利亞在非強(qiáng)制性指南中在此基礎(chǔ)上規(guī)定還可以電話、電子郵件、傳真等方式通知OAIC[19]。對(duì)健康衛(wèi)生主管部門(mén)的通知，絕大多數(shù)國(guó)家(地區(qū))同樣要求采用官方指定的格式予以通知。對(duì)于公眾、媒體的通知應(yīng)在相關(guān)官網(wǎng)予以公示。我國(guó)目前尚未對(duì)健康信息泄露的通知方式予以規(guī)定。

3 結(jié)論與建議

3.1 結(jié) 論

1)中外個(gè)人健康醫(yī)療信息泄露通知制度的立法目的迥異，體現(xiàn)了不同的國(guó)家安全理念。歐盟、加拿大及我國(guó)防控的是該信息泄露對(duì)個(gè)人權(quán)利造成的損害，其要求只要發(fā)生該信息泄露事件或已發(fā)生的事件可能損害個(gè)人權(quán)利，亟需通知相關(guān)主體，旨在保護(hù)個(gè)人權(quán)利；美國(guó)、澳大利亞更傾向于防控該信息泄露對(duì)健康醫(yī)療行業(yè)造成的損害，要求發(fā)生的泄露事件在影響信息安全性、完整性的情況下，通知義務(wù)主體應(yīng)通知相關(guān)主體，其意在推動(dòng)健康醫(yī)療行業(yè)發(fā)展。

2)中外個(gè)人健康醫(yī)療信息泄露通知制度體系健全程度不同。歐、美、澳、加等國(guó)家(地區(qū))，已形成較為系統(tǒng)的個(gè)人健康醫(yī)療信息泄露通知制度體系。即以“法案(Act)+實(shí)施規(guī)則(Regulation)”或“法案+指南(Guidelines)”的方式規(guī)定該制度。法案從宏觀上規(guī)定個(gè)人健康醫(yī)療信息泄露通知制度的基本框架，實(shí)施規(guī)則或指南旨在細(xì)化或解釋法案關(guān)于該制度的規(guī)定。而我國(guó)目前尚未形成個(gè)人健康醫(yī)療信息泄露通知制度體系，僅在法律層面提供了原則性指引，雖已出臺(tái)《健康醫(yī)療數(shù)據(jù)安全指南》標(biāo)準(zhǔn)，但其尚未規(guī)定個(gè)人健康醫(yī)療信息泄露通知的制度框架和具體內(nèi)容。

3)中外個(gè)人健康醫(yī)療信息泄露通知體系不同。歐、美、澳、加等國(guó)家(地區(qū))，逐步構(gòu)建了個(gè)人健康醫(yī)療信息泄露多元主體的通知體系，并趨于完善。其根據(jù)不同的通知對(duì)象規(guī)定了不同的通知內(nèi)容、時(shí)間及方式，盡可能精準(zhǔn)地實(shí)現(xiàn)防控?fù)p害擴(kuò)大化的目的。我國(guó)目前采用的是“一刀切”的通知體系，對(duì)不同的通知對(duì)象規(guī)定了統(tǒng)一的通知內(nèi)容及時(shí)間，操作性欠佳且難以精準(zhǔn)實(shí)現(xiàn)防控?fù)p害的目的。

3.2 建 議

1)我國(guó)完善個(gè)人健康醫(yī)療信息泄露通知制度的首要任務(wù)是修正立法目的。鑒于健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)的蓬勃發(fā)展，我國(guó)個(gè)人健康醫(yī)療信息泄露通知制度的立法目的不能僅局限于保護(hù)信息主體的權(quán)利，應(yīng)在堅(jiān)持以人民安全為宗旨的國(guó)家安全觀下，將保護(hù)信息主體權(quán)利與促進(jìn)健康醫(yī)療行業(yè)發(fā)展之間的動(dòng)態(tài)平衡作為立法目的。建議在具體制度設(shè)計(jì)中，將主觀標(biāo)準(zhǔn)模式規(guī)定為通知受影響個(gè)人的觸發(fā)條件，將客觀標(biāo)準(zhǔn)模式作為通知相關(guān)主管機(jī)關(guān)的觸發(fā)條件。

2)我國(guó)應(yīng)當(dāng)健全個(gè)人健康醫(yī)療信息泄露通知制度體系，以體系化取消碎片化。鑒于我國(guó)的立法現(xiàn)狀及立法傳統(tǒng)，健全個(gè)人健康醫(yī)療信息泄露通知制度體系應(yīng)：①遵守個(gè)保法的規(guī)定。充分發(fā)揮其對(duì)該制度的原則性指引作用；②出臺(tái)“個(gè)人健康醫(yī)療信息保護(hù)條例”，從5個(gè)方面制定個(gè)人健康醫(yī)療信息泄露通知的制度框架：適用條件、通知主體、通知內(nèi)容、通知時(shí)間及方式；③在《健康醫(yī)療數(shù)據(jù)安全指南》中增加個(gè)人健康醫(yī)療信息泄露通知實(shí)施標(biāo)準(zhǔn)，細(xì)化具體內(nèi)容。這一標(biāo)準(zhǔn)能夠解決法律無(wú)法直接回答的“如何為”的問(wèn)題，提升了制度的可操作性[20]。形成“《個(gè)人信息保護(hù)法》原則性指引+‘個(gè)人健康醫(yī)療信息條例’框架性規(guī)定+《健康醫(yī)療數(shù)據(jù)安全指南》具體性標(biāo)準(zhǔn)”的制度體系。

3)我國(guó)應(yīng)構(gòu)建個(gè)人健康醫(yī)療信息泄露多元主體通知體系，針對(duì)不同的通知對(duì)象，制定不同的通知內(nèi)容、時(shí)間及方式，提升制度的可操作性與靈活性，以期實(shí)現(xiàn)精準(zhǔn)防控?fù)p害擴(kuò)大化的目的。