吳凌放
(上海市衛(wèi)生健康委員會(huì),上海 200003)
在信息化時(shí)代,數(shù)據(jù)成為了炙手可熱的資源,個(gè)人信息保護(hù)也成為了人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問題之一?!秱€(gè)人信息保護(hù)法》[1]的出臺(tái)實(shí)施,及時(shí)回應(yīng)了人民群眾的關(guān)切,對(duì)規(guī)范包括醫(yī)療領(lǐng)域在內(nèi)的各領(lǐng)域各行業(yè)的數(shù)據(jù)收集、開發(fā)、利用將產(chǎn)生深遠(yuǎn)影響。本文分析《個(gè)人信息保護(hù)法》正式施行后對(duì)醫(yī)療數(shù)據(jù)管理運(yùn)用的影響,提出對(duì)策,為規(guī)范醫(yī)療數(shù)據(jù)的管理運(yùn)用提供參考。
2021年11月1日正式施行的《個(gè)人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等,共同組成了聚焦網(wǎng)絡(luò)信息安全保障的核心法律體系。其中,《個(gè)人信息保護(hù)法》又有以下特點(diǎn)和規(guī)范側(cè)重點(diǎn)。
《個(gè)人信息保護(hù)法》把“保護(hù)個(gè)人信息權(quán)益”放在立法宗旨的首位,之后才是“規(guī)范信息處理活動(dòng)”和“促進(jìn)信息利用”,“規(guī)范”和“促進(jìn)”以“保護(hù)”為基本前提。從個(gè)體權(quán)益保護(hù)的角度,該法是權(quán)利法。同時(shí),該法不僅是權(quán)利法,還是管理法、是行為規(guī)范,直接指引“信息處理者”要建立完善制度管理體系,并規(guī)定必要的行政監(jiān)管作為外力威壓以確保制度落地。但“管理”只是手段,“保護(hù)”才是目的。理解該法以保護(hù)為其功能定位,有助于正確適用該法。
《個(gè)人信息保護(hù)法》明確要求處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意,并且個(gè)人有權(quán)撤回同意,個(gè)人信息處理的重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新向個(gè)人告知并取得同意;并規(guī)定,在處理敏感個(gè)人信息、向他人提供或公開個(gè)人信息、跨境轉(zhuǎn)移個(gè)人信息等環(huán)節(jié)應(yīng)取得個(gè)人的單獨(dú)同意[2]。該法同時(shí)規(guī)定了告知同意規(guī)則的例外,即個(gè)人信息處理中不用取得個(gè)人同意的情形,包括為履行法定職責(zé)或者法定義務(wù)所必需;為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需等。
個(gè)人信息處理者是個(gè)人信息保護(hù)的第一責(zé)任人?!秱€(gè)人信息保護(hù)法》設(shè)專章明確了個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù),要求個(gè)人信息處理者制定內(nèi)部管理制度和操作規(guī)程,采取相應(yīng)的安全技術(shù)措施,指定負(fù)責(zé)人進(jìn)行監(jiān)督,定期進(jìn)行合規(guī)審計(jì),對(duì)處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、對(duì)外提供或公開個(gè)人信息等高風(fēng)險(xiǎn)處理活動(dòng)進(jìn)行事前影響評(píng)估,履行個(gè)人信息泄露通知和補(bǔ)救義務(wù)等。在民事責(zé)任方面,對(duì)個(gè)人信息處理者實(shí)行“過錯(cuò)推定”和“舉證倒置”原則,即處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害的,個(gè)人信息處理者如不能證明自己沒有過錯(cuò)的,就要承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。
《個(gè)人信息保護(hù)法》將生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息等列為敏感個(gè)人信息。對(duì)敏感信息設(shè)置高處理門檻,僅在同時(shí)具備“特定目的性”“充分必要性”及“采取嚴(yán)格保護(hù)措施”的條件下才可以處理,并且應(yīng)進(jìn)行單獨(dú)告知。
《個(gè)人信息保護(hù)法》明確了向境外提供個(gè)人信息應(yīng)當(dāng)具備的條件,規(guī)定個(gè)人信息處理者必須履行的義務(wù),明確未經(jīng)主管機(jī)關(guān)批準(zhǔn)不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中國(guó)境內(nèi)的個(gè)人信息。這為向境外提供個(gè)人信息的情況提供了明確的行為規(guī)則。
在早期,醫(yī)療數(shù)據(jù)大部分以紙質(zhì)化的病歷等形式存在,隨著信息技術(shù)發(fā)展,目前醫(yī)療數(shù)據(jù)相當(dāng)一部分以電子化數(shù)據(jù)形式存儲(chǔ),并向醫(yī)院信息系統(tǒng)和區(qū)域衛(wèi)生信息化平臺(tái)匯集?;趥€(gè)人信息保護(hù)視角,醫(yī)療數(shù)據(jù)有以下特點(diǎn)需予關(guān)注。
伴隨醫(yī)療機(jī)構(gòu)診療服務(wù)自然產(chǎn)生,同時(shí)又為診療服務(wù)所必需,凝結(jié)著醫(yī)生等醫(yī)務(wù)人員的勞動(dòng)與智慧,這是醫(yī)療數(shù)據(jù)有別于其他個(gè)人信息數(shù)據(jù)的最大特點(diǎn)?!痘踞t(yī)療衛(wèi)生與健康促進(jìn)法》等法律法規(guī)對(duì)醫(yī)療機(jī)構(gòu)職責(zé)有明確規(guī)定。醫(yī)療機(jī)構(gòu)以救死扶傷、防病治病、提供健康服務(wù)為宗旨。同時(shí),按照《醫(yī)療事故處理?xiàng)l例》《醫(yī)療糾紛預(yù)防和處理?xiàng)l例》等法規(guī)和病歷管理相關(guān)規(guī)定,醫(yī)療機(jī)構(gòu)書寫和保管病歷是履行法定職責(zé)的客觀需要。按照《個(gè)人信息保護(hù)法》第十三條的規(guī)定,就一般信息來說,在“履行法定職責(zé)或者法定義務(wù)所必需”或者有“法律、行政法規(guī)規(guī)定的其他情形”時(shí),處理個(gè)人信息無需取得個(gè)人同意。
患者診療時(shí)登記的個(gè)人身份信息和聯(lián)系方式、就診時(shí)產(chǎn)生的生物識(shí)別信息、病歷記錄、健康狀況信息、醫(yī)療支付信息等都屬于《個(gè)人信息保護(hù)法》所例舉的敏感信息。按照該法,必須采取嚴(yán)格保護(hù)措施,才可以處理敏感信息;并且只要是敏感信息,其處理都必須取得個(gè)人的單獨(dú)同意。
醫(yī)療數(shù)據(jù)有其自身的特點(diǎn)。一是存量巨大,幾乎每個(gè)人都需要看病就醫(yī),隨之都會(huì)產(chǎn)生醫(yī)療信息。按照《醫(yī)療機(jī)構(gòu)病例管理規(guī)定》《電子病歷應(yīng)用管理規(guī)范》,門急診病歷,由醫(yī)療機(jī)構(gòu)保管的,保存時(shí)間不少于15年,住院病歷保存時(shí)間不少于30年。二是增長(zhǎng)快速,在就診高峰時(shí)期,僅一個(gè)大型綜合醫(yī)院日均門診人數(shù)就可達(dá)到成千甚至上萬,每年出院人數(shù)達(dá)十多萬人次。按照《個(gè)人信息保護(hù)法》,個(gè)人信息處理者應(yīng)保障所處理信息的安全。數(shù)據(jù)量大導(dǎo)致醫(yī)療機(jī)構(gòu)相應(yīng)保障責(zé)任也大。
醫(yī)療數(shù)據(jù)的產(chǎn)生源于臨床診療和健康服務(wù)。一旦生成,有巨大衍生應(yīng)用價(jià)值。例如:可以用于衛(wèi)生行政部門的行業(yè)管理,分析醫(yī)療資源配置與群眾看病就醫(yī)需求的匹配程度,評(píng)價(jià)醫(yī)療機(jī)構(gòu)的運(yùn)行績(jī)效;可以用于疾病發(fā)展趨勢(shì)預(yù)測(cè),為公共衛(wèi)生機(jī)構(gòu)更早地預(yù)測(cè)傳染病傳播途徑及范圍、開展慢性病社區(qū)診斷提供幫助;可以用于新的診療方案、技術(shù)、藥械和試劑的研發(fā),為臨床研究提供數(shù)據(jù)基礎(chǔ);可以用于人工智能輔助診斷,通過人工智能算法對(duì)數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)和深度挖掘,協(xié)助醫(yī)生獲取同類疾病的治療方案;可以用于醫(yī)療保險(xiǎn)精算和產(chǎn)品開發(fā),以及作為患者商業(yè)醫(yī)療保險(xiǎn)賠付依據(jù)等。一旦醫(yī)療數(shù)據(jù)的使用離開為患者診療和提供健康服務(wù)的初始目的,用于診療以外的其他用途,除了《個(gè)人信息保護(hù)法》規(guī)定的例外情形以外,都需要征得患者同意。開展醫(yī)學(xué)科研活動(dòng),有可能涉及個(gè)人信息的跨境提供,此時(shí)還需符合個(gè)人信息跨境提供規(guī)則。
在挖掘醫(yī)療數(shù)據(jù)的衍生應(yīng)用價(jià)值時(shí),由于醫(yī)療數(shù)據(jù)量大且數(shù)據(jù)結(jié)構(gòu)多樣化,需要經(jīng)過清洗、梳理、統(tǒng)計(jì)等多個(gè)環(huán)節(jié),才能使其價(jià)值得到凸顯。多環(huán)節(jié),使接觸數(shù)據(jù)的不僅有醫(yī)療機(jī)構(gòu)人員,還有外部的研究人員與合作研發(fā)人員,增加了數(shù)據(jù)安全的不確定性,對(duì)個(gè)人信息保護(hù)提出了更高的要求。
醫(yī)療數(shù)據(jù)放著不動(dòng),就最不可能出錯(cuò),但顯然不能這樣。當(dāng)前,既要保障數(shù)據(jù)安全和個(gè)人信息權(quán)益,同時(shí)也要鼓勵(lì)數(shù)據(jù)的利用和共享,助力數(shù)字經(jīng)濟(jì)發(fā)展,要兩者兼顧,處理好平衡[3]?!秱€(gè)人信息保護(hù)法》是信息安全領(lǐng)域的基礎(chǔ)法律,規(guī)定是框架性的。在這一框架下,加強(qiáng)醫(yī)療數(shù)據(jù)的管理和利用,有以下幾個(gè)方面值得探討。
醫(yī)療行業(yè)是傳統(tǒng)行業(yè)、醫(yī)療數(shù)據(jù)有其特點(diǎn),《個(gè)人信息保護(hù)法》在醫(yī)療領(lǐng)域具體適用的一些操作性規(guī)則還需細(xì)化。例如:對(duì)大量的存量敏感信息,如何進(jìn)行告知,并獲得同意;是否需要有范本以確保醫(yī)療機(jī)構(gòu)清晰易懂、準(zhǔn)確完整地向個(gè)人告知等。2020年底,有推薦性國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725-2020)出臺(tái),但該標(biāo)準(zhǔn)缺乏法律效力,其中部分內(nèi)容與《個(gè)人信息保護(hù)法》的要求也不匹配;可能需要出臺(tái)專門的行政法規(guī)或部門規(guī)章。
《個(gè)人信息保護(hù)法》要求對(duì)個(gè)人信息的處理目的、處理方式、信息種類、保存期限、變更內(nèi)容等充分告知。醫(yī)療數(shù)據(jù)涉及的利害關(guān)系人多,一旦要增加信息用途,手續(xù)補(bǔ)救起來將十分繁瑣。因此,事先設(shè)計(jì)好用途非常重要,有了數(shù)據(jù)應(yīng)用的頂層設(shè)計(jì),就可以通過制定并公開個(gè)人信息處理規(guī)則的方式進(jìn)行告知。
醫(yī)療數(shù)據(jù)處理,有些是為了履行法定職責(zé),例如:醫(yī)療機(jī)構(gòu)為診療所需收集、存儲(chǔ)、使用;政府部門為履行職責(zé)按照法定權(quán)限、程序使用、加工等。有些是出于商業(yè)目的,例如:用于商業(yè)目的的藥品和試劑研發(fā);用于商業(yè)醫(yī)療保險(xiǎn)的精算和理賠等。在設(shè)計(jì)醫(yī)療數(shù)據(jù)處理的具體規(guī)則時(shí),建議區(qū)分以上兩類情況,不予混淆,需分情境予以告知和取得同意。
個(gè)人信息保護(hù)不僅是一種目標(biāo)性結(jié)果,也是一種合規(guī)狀態(tài),需要醫(yī)療機(jī)構(gòu)及相關(guān)部門、機(jī)構(gòu)持續(xù)投入成本、資源以維持合法、合理的個(gè)人信息保護(hù)水平。要加強(qiáng)信息安全技術(shù)保障,采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施。《個(gè)人信息保護(hù)法》明確“個(gè)人信息”不包括“匿名化處理后的信息”,因此,可以更多地對(duì)信息進(jìn)行匿名化處理。“匿名化”相對(duì)于“去標(biāo)識(shí)化”,要求有更強(qiáng)的技術(shù)和管理支持。在信息技術(shù)方面,醫(yī)療機(jī)構(gòu)及相關(guān)部門亦可考慮購(gòu)買第三方技術(shù)公司服務(wù)。建議對(duì)信息處理第三方技術(shù)公司建立相關(guān)資質(zhì)準(zhǔn)入制度。
保護(hù)信息安全,要靠技術(shù),更要靠管理。醫(yī)療機(jī)構(gòu)等相關(guān)信息處理者要制定內(nèi)部管理制度和操作規(guī)程,對(duì)個(gè)人信息實(shí)行分類管理,合理確定個(gè)人信息處理的操作權(quán)限,制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案,定期開展合規(guī)審計(jì),對(duì)特定情況開展個(gè)人信息保護(hù)影響評(píng)估等。