智慧醫(yī)療下患者個人信息保護的權(quán)益沖突及其規(guī)制

趙夢真

智慧醫(yī)療，有廣義和狹義之分。廣義“智慧醫(yī)療”，是指一切有關(guān)輔助醫(yī)療機構(gòu)及其醫(yī)務(wù)人員對患者進行新型信息技術(shù)診斷與治療的形式。狹義的“智慧醫(yī)療”，是指醫(yī)療應(yīng)用程序（以下簡稱“App”）開發(fā)企業(yè)及其團隊在移動智能終端上推廣智能醫(yī)療應(yīng)用，以提供線上診療為內(nèi)容，為患者和醫(yī)療機構(gòu)及醫(yī)務(wù)人員搭建網(wǎng)絡(luò)醫(yī)療服務(wù)平臺?；颊呦螺d并注冊智能醫(yī)療應(yīng)用軟件即可享受高效便捷的醫(yī)療服務(wù)。而廣義與狹義的“智慧醫(yī)療”，均是基于“互聯(lián)網(wǎng)+醫(yī)療”的新概念。2009年，國際商業(yè)機器公司（International Business Machines Corporation，簡稱“IBM”）提出“智慧地球”的概念，“智慧醫(yī)療”位列其中。[1]智慧醫(yī)療是信息技術(shù)與生命科學(xué)的結(jié)合，得到患者、醫(yī)療機構(gòu)和信息科技企業(yè)的廣泛關(guān)注，并獲得政府的政策支持；其所具備的數(shù)字化、智能化和信息化的優(yōu)勢，能夠讓患者體驗到優(yōu)質(zhì)的醫(yī)療服務(wù)，打破異地就醫(yī)的重重壁壘，也能夠助力醫(yī)療機構(gòu)精準醫(yī)療，緩解醫(yī)務(wù)人員緊缺的壓力，同時還能夠協(xié)助國家衛(wèi)生管理部門打造醫(yī)療資源共享機制，進一步優(yōu)化醫(yī)療資源分配，助力疫情的常態(tài)化防控。

然而，智慧醫(yī)療在推進過程中也存在一定的利益沖突和法律風(fēng)險?；颊邆€人信息泄露事故的發(fā)生，成為智慧醫(yī)療發(fā)展中需要關(guān)注的重點。例如2020年2月，云南省文山市5名醫(yī)院工作人員拍攝醫(yī)院電腦中的就診記錄，導(dǎo)致患者個人信息泄露，此事造成惡劣影響[2]；又如2020年《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》披露，當年未脫敏醫(yī)學(xué)影像數(shù)據(jù)出境約40萬次，占出境總次數(shù)的7.9%，因而引發(fā)公眾對個人醫(yī)療信息安全的擔(dān)憂[3]。上述事件都涉及智慧醫(yī)療下個人信息安全保護的問題。在這類侵權(quán)案例中，患者個人信息保護的范圍如何界定，其背后蘊藏的利益沖突有哪些，如何平衡多方利益與構(gòu)建協(xié)同治理機制等問題均存在爭議，亟待厘清和解決。本文從這些問題入手，擬探討智慧醫(yī)療下個人信息權(quán)益的范圍，并提出化解智慧醫(yī)療和個人信息保護間之沖突建議。

一、智慧醫(yī)療下的患者個人信息

（一）患者個人信息權(quán)益的界定

“個人信息”（personal information），是指與特定個人相關(guān)聯(lián)的、反映個體特征的具有可識別性的符號系統(tǒng)，包括個人身份、工作、家庭、財產(chǎn)和健康等各方面的信息。[4]患者個人醫(yī)療信息從屬于個人信息，是個人信息在醫(yī)療健康領(lǐng)域的具體表現(xiàn)形式。因此，厘清個人信息的性質(zhì)是界定“患者個人信息”的前提。對個人信息的性質(zhì)認定存在兩種意見：有學(xué)者把“個人信息”界定為“個人信息權(quán)”或者“個人信息權(quán)利”，是指自然人所享有的支配并排除他人侵害的人格權(quán)[5]；有學(xué)者主張個人享有個人信息權(quán)益，明確自然人對其個人信息所享有的是人格權(quán)益，而無須再確認作為財產(chǎn)權(quán)的個人信息權(quán)益[6]。這兩種觀點各有其詳盡的理由，不過筆者認為，具體到智慧醫(yī)療領(lǐng)域，應(yīng)將“個人信息”界定為“個人信息權(quán)益”，理由如下：一是若將患者個人信息置于“個人信息權(quán)”觀點下，就意味著將患者個人信息權(quán)作為一種支配且排他的人格權(quán)，這在一定程度上否定了信息的自由流動；而其一旦被政府、醫(yī)療機構(gòu)或企業(yè)利用就可能對患者造成侵權(quán)，且信息中可深度挖掘的財產(chǎn)權(quán)特質(zhì)即商業(yè)利益與經(jīng)濟價值將無所適從，便可能需要另外單設(shè)信息財產(chǎn)權(quán)來保護。二是將患者個人信息置于“個人信息權(quán)益”下予以保護，既能保護患者作為自然人對自身信息所享有的人格利益，也鼓勵個人參與社會交往促進患者個人信息流轉(zhuǎn)和利用，從而也能保護由此而產(chǎn)生的公共衛(wèi)生利益、醫(yī)療商業(yè)利益。三是不僅《民法典》沒有采用“個人信息權(quán)”概念，《個人信息保護法》也沒有采用，后者認同了“個人信息權(quán)益”的表述，因為其是患者個人信息權(quán)益、患者個人信息處理活動和患者個人信息依法有序自由流動，以及患者個人信息合理利用所內(nèi)含的各方利益協(xié)調(diào)的綜合；而智慧醫(yī)療加速了“個人信息”流動，因此將患者“個人信息”界定為“個人信息權(quán)益”，更能協(xié)調(diào)各方利益，順應(yīng)信息流動的大趨勢。

（二）患者個人信息與一般個人信息的區(qū)別

患者個人信息以個人信息為邏輯基礎(chǔ)，借助互聯(lián)網(wǎng)向智慧醫(yī)療領(lǐng)域發(fā)展，與一般意義上的個人信息是種屬關(guān)系，主要區(qū)別在于保護內(nèi)容、內(nèi)容敏感度和綜合價值方面?；颊邆€人信息所保護的，是與自然人生命、健康高度關(guān)聯(lián)的信息——上述信息依附于人體生物特征，如病歷、化驗檢驗報告等具有高度人身屬性，所需的安全保護程度較一般個人信息更高，所關(guān)涉的醫(yī)學(xué)專業(yè)性更強?；颊咴谠\斷治療的過程中，有大量敏感信息產(chǎn)生，或涉及個人的特殊疾病，或涉及個人的身體隱私部位，故對此不愿公之于眾，因為其敏感程度較一般個人信息中的其他敏感信息（如行蹤軌跡等）更高。而且，多以“信息群”的形式出現(xiàn)的患者個人信息的綜合價值，高于單一的個人信息——最初患者個人信息自身的價值主要是人格利益，其首次用以就診醫(yī)療為目的；而經(jīng)過收集、整合以及深度處理后，其背后便蘊含著二次利用的商業(yè)價值和公共價值，故基于巨大綜合利益的驅(qū)動，在未來無論是醫(yī)療企業(yè)還是醫(yī)療機構(gòu)，都期待從中獲利，甚至患者個人也對其充滿期待，以期從自身提取的個人信息反饋中再重新獲得更優(yōu)質(zhì)、更精準的個性化醫(yī)療服務(wù)和舒適化的公共衛(wèi)生服務(wù)。也正是因為患者個人信息所特有的屬性，在醫(yī)療數(shù)字化推進的過程中，對此類信息應(yīng)多加重視與保護。

（三）個人信息利用的前提：保護患者私密信息

在患者私密信息層面，患者隱私權(quán)是患者個人信息保護的一種特殊形式，處于優(yōu)先適用的地位?！八矫堋敝该囟恍?，是隱私權(quán)的典型特征?！半[私權(quán)”（the right of privacy），是指自然人的私人生活安寧和不愿為他人所知曉的私密空間、私密活動和私密信息等此類抽象的狀態(tài)不受他人不法刺探、侵擾、泄露、公開的具體人格權(quán)。[7]患者隱私權(quán)是自然人處于患者的角色時所應(yīng)當享有的隱私權(quán)，是隱私權(quán)在診療活動中的具體體現(xiàn)[8]，也即患者這一特殊權(quán)利主體在醫(yī)療領(lǐng)域所享有的區(qū)別于一般隱私權(quán)的權(quán)利，其同時與患者個人信息有交叉重疊；比如個人患有某項隱疾，不愿意為他人所知曉，未求醫(yī)問藥之前其享有一般意義上的隱私權(quán)，具有對世性，而一旦向醫(yī)療機構(gòu)或醫(yī)務(wù)人員尋求幫助披露病情，其個人隱私權(quán)就轉(zhuǎn)為權(quán)利受限的患者隱私權(quán)?；颊哂腥萑提t(yī)療方知情和主動披露與病情有關(guān)的隱私的義務(wù)。另外，登記在就診病例中的隱疾信息與診療方案，既屬于患者隱私權(quán)范疇，也屬于患者個人健康信息范疇。在《民法典》第一千二百二十六條關(guān)于患者隱私權(quán)的規(guī)定中，增添了患者個人信息保護相關(guān)內(nèi)容①；另外《民法典》第一千零三十四條第三款，規(guī)定個人信息中的私密信息優(yōu)先適用隱私權(quán)的規(guī)定，而將個人信息保護的適用置于第二位②。因此，既涉及患者隱私權(quán)又涉及個人信息保護的私密信息，則患者隱私權(quán)保護優(yōu)先。

二、智慧醫(yī)療下患者個人信息保護的權(quán)益沖突

之所以需要竭力保護附隨于患者或者因患者個人所形成之診療信息、私密信息，是因為民眾的個人信息保護意識已覺醒，患者個人信息泄露事故會導(dǎo)致強烈輿論震蕩。在過去以人工收集、紙面記錄患者個人信息為主的時代，患者個人信息權(quán)益受到侵害的威脅尚不突出。但今天網(wǎng)絡(luò)的影響力無遠弗屆，患者個人信息多通過零時差、無國界的網(wǎng)絡(luò)技術(shù)得以快速傳播。若大量存在患者個人信息泄露、濫用和誤用情況，將可能使個人人格利益遭受無數(shù)次侵害，受侵害范圍也將無限蔓延和擴大。無論是前文所提及的醫(yī)院就診記錄被泄露，還是未脫敏醫(yī)學(xué)影像數(shù)據(jù)出境或者是其他已經(jīng)發(fā)生的患者信息安全事件，除了會危害到患者個人精神利益、生活安寧、個人或者家庭名譽等人格利益外，還可能威脅到患者個人的財產(chǎn)利益，如資信評級、商譽融資等，甚至造成整個社會的集體恐慌。透過頻發(fā)的患者信息安全事故，去探析隱藏在信息背后錯綜復(fù)雜的權(quán)益關(guān)系，是完善患者個人信息安全防范措施的必由之路。

目前，智慧醫(yī)療表現(xiàn)為兩種模式，即以互聯(lián)網(wǎng)企業(yè)為主導(dǎo)的醫(yī)療機構(gòu)全覆蓋模式和以核心醫(yī)療機構(gòu)為主導(dǎo)的醫(yī)聯(lián)體模式[9]；醫(yī)患關(guān)系也由傳統(tǒng)的以醫(yī)生為主導(dǎo)的“醫(yī)療父權(quán)”模式，逐步轉(zhuǎn)為以患者為中心的患者自決模式；而患者、互聯(lián)網(wǎng)醫(yī)療企業(yè)和醫(yī)療機構(gòu)三方，乃以患者個人信息為核心展開了利益之爭——患者有個人信息保護的訴求，企業(yè)有信息商業(yè)化利用的訴求，醫(yī)療機構(gòu)有以信息為載體的技術(shù)改革更新的訴求。這些存于患者個人信息訴求背后的利益沖突，主要表現(xiàn)為以下兩個方面。

（一）信息商業(yè)利用與患者信息安全的沖突

患者個人信息中所蘊藏的價值逐漸被人們發(fā)掘并認可，醫(yī)療企業(yè)對信息的商業(yè)利用隨之興起。創(chuàng)新型醫(yī)療科技企業(yè)迅速推出自己的健康軟件或者醫(yī)療平臺搶占商機，比如京東健康、阿里健康、壹云健康、叮當快藥、平安好醫(yī)生和微醫(yī)等，已入駐各移動端的應(yīng)用商店，用戶搜索后下載并注冊即可進行就醫(yī)咨詢、預(yù)約掛號、遠程復(fù)診以及健康管理等。醫(yī)療企業(yè)主要以抓取、描述、分析、流轉(zhuǎn)、整理與二次利用患者個人信息為主；其按照商業(yè)利用用途，可以被分為三類：第一，利用各種途徑獲得的患者個人信息，主要涵蓋患者個人身份證明（名字、手機號和婚姻狀態(tài)等）、個人健康生理信息（病癥、住院志、醫(yī)囑單、病史等診療記錄以及身高體重、肺活量、運動狀態(tài)等健康狀況）、個人財產(chǎn)信息（銀行賬號、優(yōu)惠券、兌換碼等）、個人上網(wǎng)記錄與日志信息等，并向其投放商業(yè)廣告進行精準營銷；第二，利用注冊設(shè)置讓登錄者簽《用戶協(xié)議》和《個人信息保護政策》等，其中暗含允許接入第三方，方便后續(xù)獲取患者個人信息后并不直接使用，而是在企業(yè)之間進行讓渡或者共享以謀取利潤；第三，將所追蹤的群體性患者信息進行打包分析和二次利用，了解用戶個人及其家庭成員體檢數(shù)據(jù)和健康情況，進而開展市場調(diào)查與信息數(shù)據(jù)分析以優(yōu)化產(chǎn)品技術(shù)或提升服務(wù)體驗。

雖然患者信息商業(yè)化進程給尋醫(yī)問藥者帶來諸多利好消息，但是，在這一過程中，患者信息卻未能得到有效的安全防護?；颊邚膯栣t(yī)到接受診療，不可避免要披露個人信息。常見患者而造成的，如信息泄露的情形主要包括被動泄露和主動披露不當：被動泄露主要是由惡勢力攻擊信息安全系統(tǒng)而造成的，如2020年《中國互聯(lián)網(wǎng)信息安全報告》顯示，黑客以“COVID-19”“COVID”“Mask”等誘餌信息，精準攻擊企業(yè)、政府系統(tǒng)，誘導(dǎo)目標下載并執(zhí)行惡意代碼，以獲得賬號密碼及其賬號內(nèi)的信息[10]；主動披露不當?shù)男畔?，主要是由?jīng)辦工作人員泄露的，例如青島市公安部門的通報泄露了出入青島市膠州中心醫(yī)院的6000余人的個人信息[11]。

（二）患者知情同意與醫(yī)療信息共享的沖突

醫(yī)療信息廣泛共享實際上正重塑著患者知情同意的權(quán)利空間，患者個人信息不斷透明化，信息處理者的行為卻不斷隱秘化，進而導(dǎo)致沖突加深。患者知情同意是向外披露信息的關(guān)鍵要素，在大數(shù)據(jù)時代已成為一種新的道德責(zé)任。[12]傳統(tǒng)意義上知情同意的內(nèi)容為“醫(yī)師的告知義務(wù)與患者的承諾”，在醫(yī)師充分履行告知義務(wù)的情況下，患者可自主選擇醫(yī)療機構(gòu)、醫(yī)師和醫(yī)療方案甚至是放棄治療，作出同意將與診療有關(guān)的個人身份證明、個人健康生理信息等披露于外的承諾。而智慧醫(yī)療時代，主要討論患者知情同意權(quán)是否應(yīng)該涵蓋患者個人信息的二次利用，即由診療目的轉(zhuǎn)向患者信息分析共享，進行醫(yī)療教學(xué)、醫(yī)療器械研發(fā)和醫(yī)療技術(shù)改進等二次利用挖掘其潛在價值目的時[13]，是否應(yīng)該再次征求患者的同意。二次利用征求患者同意，有兩大現(xiàn)實痛點：一是患者知情同意權(quán)虛化。患者個人信息在被收集時僅一次告知即征得“為公共利益利用”的同意；更多是二次利用時將患者個人信息的“可識別性”剔除，實現(xiàn)“去主體化”，將患者個人信息變成冰冷數(shù)字，無主體可供征詢，視為默示同意。二是群體性患者知情同意權(quán)難以實現(xiàn)。醫(yī)療信息共享的最終目的是整合群體性患者個人信息，將數(shù)組患者個人信息置于某一實驗?zāi)Ｐ椭逻M行分析研討，挖掘潛在共性價值；而這一過程中，患者個人難以知曉自身究竟處于何類群組之中，組內(nèi)成員共同意志下的知情同意權(quán)及自主決定權(quán)更是無法實現(xiàn)。[14]

三、對智慧醫(yī)療下患者個人信息保護之權(quán)益沖突的規(guī)制

（一）須遵循信息處理的基本原則

《個人信息保護法》順應(yīng)國際社會信息保護的趨勢，在《數(shù)據(jù)安全法》的基礎(chǔ)上明確了個人信息處理的底線或紅線，其第五至第九條規(guī)定了五項基本原則③。無論是智慧醫(yī)療企業(yè)基于商業(yè)利益、還是醫(yī)療機構(gòu)基于公共利益利用個人信息，都是處理個人信息的一種表現(xiàn)形式，同樣需要遵循該五項原則，即：

一是秉持誠信原則。合法、正當利用患者個人信息，只有在手段合法，目的正當?shù)臈l件下才能有益于智慧醫(yī)療發(fā)展，否則將侵害患者權(quán)益，催生販賣信息、電信詐騙、敲詐勒索等犯罪行為。

二是遵循最小影響原則。以明確、合理的方式利用患者個人信息，強調(diào)處理患者個人信息的目的要特定且明確，不得過度抽象與寬泛，力爭最小影響。醫(yī)療機構(gòu)或者政府不得以公共利益為名肆意處理患者個人信息[15]，醫(yī)療企業(yè)也不得調(diào)用某些設(shè)備權(quán)限無限度地索取患者個人信息。

三是強化信息共享機制。公開、透明利用患者個人信息，比如疫情期間，若政府不公開疫情蔓延態(tài)勢，恐只會增添公眾無端猜忌，不利于防控工作展開。政府及時公開疫情狀況，使處理目的、方式透明化[16]，保障公眾對個人處理結(jié)果的可期待性，增添公眾對疫情大考勝利的必勝心，強化公眾對政府工作的信任感。

四是保障患者個人信息質(zhì)量原則。力爭完整和準確利用，要保證個人信息數(shù)量達到一定比例，不能歪曲、無端篡改患者個人信息，同時要保證收集信息的精準度與時效性，為精準醫(yī)療打好基礎(chǔ)。

五是遵循信息流動過程中的安全利用原則。創(chuàng)造安全的患者信息流動環(huán)境，實時更新、不斷提升信息安全技術(shù)，保證患者個人信息全生命周期安全高效。

（二）要構(gòu)建有利于協(xié)同治理與沖突化解的機制

單純依靠患者、醫(yī)療企業(yè)或者醫(yī)療機構(gòu)的力量無法完成患者個人信息的價值升級和安全防護。它不僅需要政府政策支持，還需要政府予以醫(yī)療信息體系化引導(dǎo)，聯(lián)合患者、醫(yī)療企業(yè)以及包括醫(yī)療機構(gòu)在內(nèi)的醫(yī)療行業(yè)齊發(fā)力，協(xié)調(diào)各方利益，化解矛盾，實現(xiàn)共贏。

1.政府要主導(dǎo)建設(shè)。

公權(quán)力積極主動介入信息保護工作，形成以患者人格利益保護為前提，兼顧公共利益與商業(yè)利益的保護格局。應(yīng)以國家醫(yī)療保障局牽頭建設(shè)的醫(yī)療保障信息國家平臺為依托，以電信和互聯(lián)網(wǎng)行業(yè)主管部門設(shè)立的全國APP技術(shù)檢測平臺為輔助，構(gòu)建以患者信息為中心的數(shù)據(jù)處理系統(tǒng)，保障患者個人信息安全。技術(shù)上不是以系統(tǒng)為中心，不是單純考慮軟件、域名服務(wù)器安不安全，而是以患者信息為保護核心，優(yōu)先維護患者人格利益。同時，安全有效促進患者信息流動，兼顧公共利益和商業(yè)利益。圍繞患者個人信息的全生命周期展開，從創(chuàng)建（歸類：賦予權(quán)限）、存儲（權(quán)限管理：內(nèi)容發(fā)現(xiàn)）、使用（權(quán)限控制、應(yīng)用安全）、共享（DLP數(shù)據(jù)泄漏防護、數(shù)據(jù)加密）、歸檔（加密、資產(chǎn)管理）到銷毀（碎片管理、安全刪除），形成完整的“保護+利用”體系。支持有關(guān)機構(gòu)開展患者個人信息保護評估、認證機構(gòu)服務(wù)，同時完善患者個人信息保護投訴和舉報工作機制，推動舉報投訴工作標準化、規(guī)范化，及時處理相關(guān)案件。因此，政府要調(diào)動多方力量和資源，形成良性生態(tài)，自上而下走“服務(wù)式”協(xié)同治理道路，構(gòu)建統(tǒng)籌協(xié)調(diào)、相輔相成而日臻完善的治理機制。

2.個人要注重防護。

個人是患者個人信息的邏輯起點，患者個人信息保護離不開個人安全素養(yǎng)提升。在面對人格尊嚴受侵害、信息自主決定權(quán)落空、信息人格被扭曲的危險，無法分享患者個人信息利用所產(chǎn)生的經(jīng)濟價值，以及被自動化決定的損害時，患者只能尋求事后救濟。為避免這些損害后果，患者應(yīng)防患于未然，時刻保持警惕，做好預(yù)防工作，比如提高安全意識、加強安全知識學(xué)習(xí)、培養(yǎng)信息倫理道德和提升信息安全能力等。[17]另外，患者知情同意權(quán)不能流于形式。認為患者會欣然接受剝奪其對個人信息的所有控制權(quán)，將個人利益讓渡給公共利益，這是嚴重的誤解。應(yīng)該保證“每一次具體的知情同意與唯一確定的目的對應(yīng)”[18]，當診療目的轉(zhuǎn)為二次利用的其它目的時，需要重新征求患者意見，以此尊重患者的自主決定權(quán)；無法征求群體性患者一致意見且確有需要時，應(yīng)尋求政府主管部門批示，打造患者個人信息保護大環(huán)境，增強患者信任感。因此，個人一方面要努力提升自身的信息安全素養(yǎng)，另一方面突出“互聯(lián)網(wǎng)+”時代下對人的關(guān)懷[19]，造就患者個人信息保護的大環(huán)境，使患者知情同意權(quán)落實到位。

3.企業(yè)要承擔(dān)責(zé)任。

智慧醫(yī)療企業(yè)正處于被認知與接受的階段，敢于承擔(dān)社會責(zé)任才能推動經(jīng)濟社會深度變革。企業(yè)是最主要的市場主體，互聯(lián)網(wǎng)醫(yī)療技術(shù)企業(yè)和醫(yī)療平臺企業(yè)為醫(yī)學(xué)發(fā)展賦能。比如助力精準醫(yī)療、輔助診斷、藥物研發(fā)、醫(yī)學(xué)影像識別及遠程診療等。[20]相比傳統(tǒng)治理領(lǐng)域，互聯(lián)網(wǎng)醫(yī)療企業(yè)是當前最主要的患者個人信息處理者，因此，履責(zé)于行才能將患者個人信息保護措施落地實施，否則信息安全將不容樂觀。醫(yī)療企業(yè)有權(quán)利對患者信息收集設(shè)置默認值和設(shè)計決策作出原則性的決定，但是也有義務(wù)承擔(dān)《公司法》第五條所規(guī)定的企業(yè)社會責(zé)任④和《個人信息保護法》第五十八條所規(guī)定的大型網(wǎng)絡(luò)平臺的特別責(zé)任⑤。患者個人信息商業(yè)化利用是不可阻擋的，反思過去的信息安全不能遏制信息商業(yè)化利用，不能以“不讓患者個人信息商業(yè)化發(fā)生”為目標。因此，以企業(yè)內(nèi)化社會責(zé)任為前提，讓信息要素發(fā)揮作用，讓安全能夠得到保障。拓展互聯(lián)網(wǎng)醫(yī)療企業(yè)數(shù)字化業(yè)務(wù)的發(fā)展空間，優(yōu)化互聯(lián)網(wǎng)醫(yī)療平臺運作模式，依法合規(guī)管理，自覺接受監(jiān)督，全力打造優(yōu)質(zhì)高效的患者個人信息保護模式，從而謀求新一代智慧醫(yī)療在技術(shù)創(chuàng)新上節(jié)節(jié)突破與大放異彩?？傊?，智慧醫(yī)療企業(yè)需立足長遠，內(nèi)化社會責(zé)任，方能謀求商業(yè)利益最大化。

4.醫(yī)療要行業(yè)自律。

行業(yè)自律不同于公權(quán)力，其主要以業(yè)內(nèi)認可的行業(yè)規(guī)范來推動患者個人信息保護工作的開展。從患者人格利益角度，應(yīng)確立業(yè)界患者個人信息保護標準。建立自律保護組織，進行達標認證和動態(tài)監(jiān)督，規(guī)定具體審核、評估以及認證標志機制。[21]對不符合行業(yè)內(nèi)部規(guī)范，認證不達標，違反醫(yī)療行業(yè)內(nèi)患者隱私權(quán)和患者個人信息保護管理規(guī)定的企業(yè)予以通告，并督促其整改。從患者個人信息防護的角度，行業(yè)聯(lián)盟合作應(yīng)形成良性生態(tài)。大力支持智慧醫(yī)療機構(gòu)和企業(yè)推進，跟蹤創(chuàng)新團隊產(chǎn)品或者商業(yè)模式的迭代，打造醫(yī)療安全生態(tài)圈，對患者的知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)以及刪除權(quán)等予以全方位保護。必要時啟用第三方安全公司，利用專業(yè)水平應(yīng)對高級黑客組織（APT），防止重要敏感數(shù)據(jù)被竊取。從鼓勵企業(yè)合理利用患者個人信息的角度，建立“正向驅(qū)動”的動力模型。鼓勵智慧企業(yè)作為信息安全治理的基本單位，應(yīng)抓緊增強內(nèi)在能力，要分級評估并進一步提升信息安全能力成熟度，依托技術(shù)升級推動醫(yī)療信息安全高效利用，發(fā)展行業(yè)自律。因此，應(yīng)形成自發(fā)性與靈活性于一體的醫(yī)療行業(yè)，以彌補統(tǒng)一立法和分散立法的缺憾。

四、結(jié)語

隨著“互聯(lián)網(wǎng)+醫(yī)療”模式的廣泛傳播，醫(yī)療機器人輔助診斷，互聯(lián)網(wǎng)直播傳播外科醫(yī)療知識，人工智能（AI）助力藥物研發(fā)和醫(yī)學(xué)影像識別，醫(yī)療大數(shù)據(jù)助力疫情防控等正在改變傳統(tǒng)醫(yī)療模式。但是，由于智能科技的加入，患者個人信息流動愈加頻繁，其面臨的被侵害風(fēng)險也愈加突出，新技術(shù)的應(yīng)用給患者個人信息保護帶來全新挑戰(zhàn)。實踐中，患者個人信息泄露和濫用的事件頻頻發(fā)生，因此需要對患者個人信息保護范圍予以界定，同時需要對信息流動中的風(fēng)險管控進行深入剖析，切實保障患者個人信息權(quán)益，同時為《個人信息保護法》的實施提供參考。

注釋

①《民法典》第一千二百二十六條：醫(yī)療機構(gòu)及其醫(yī)務(wù)人員應(yīng)當對患者的隱私和個人信息保密；泄露患者的隱私和個人信息，或者未經(jīng)患者同意公開其病歷資料的，應(yīng)當承擔(dān)侵權(quán)責(zé)任。

②《民法典》第一千零三十四條第三款：個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定。

③《個人信息保護法》第五條：處理個人信息應(yīng)當遵循合法、正當、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。第六條：處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。第七條：處理個人信息應(yīng)當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。第八條：處理個人信息應(yīng)當保證個人信息的質(zhì)量，避免因個人信息不準確、不完整對個人權(quán)益造成不利影響。第九條：個人信息處理者應(yīng)當對其個人信息處理活動負責(zé)，并采取必要措施保障所處理的個人信息的安全。

④《公司法》第五條：公司從事經(jīng)營活動，必須遵守法律、行政法規(guī)，遵守社會公德、商業(yè)道德，誠實守信，接受政府和社會公眾的監(jiān)督，承擔(dān)社會責(zé)任。公司的合法權(quán)益受法律保護，不受侵犯。

⑤《個人信息保護法》第五十八條：提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，應(yīng)當履行下列義務(wù)：

（一）按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督；

（二）遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù)；

（三）對嚴重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；

（四）定期發(fā)布個人信息保護社會責(zé)任報告，接受社會監(jiān)督。