“互聯網+醫療服務”體系下患者隱私權保護研究*

張宇清

(湖北中醫藥大學人文學院 武漢 430065)

1 引言

2018年4月國務院發布《關于促進“互聯網+醫療健康”發展的意見》，明確指出要健全“互聯網+醫療健康”服務體系，完善“互聯網+醫療健康”支撐體系，同時加強行業監管和安全保障。醫療健康往往涉及個人隱私，“互聯網+醫療服務”體系下更需要面對嚴肅的隱私安全問題。

2 “互聯網+醫療服務”概述

2.1 概念

“互聯網+醫療”是以互聯網技術為手段，用虛擬的方式組織醫療資源，將部分可以通過非現場方式進行的服務轉移到互聯網平臺，為不同消費群體提供醫療、保健服務。

2.2 體系(圖1)

2.3 類型(圖2)

圖2 “互聯網+醫療服務”類型

2.4 相關政策梳理(表1)

表1 2017-2018年“互聯網+醫療服務”相關政策

續表1

3 “互聯網+醫療服務”體系下患者隱私權概念體系

3.1 隱私權

3.1.1 概念 指自然人所享有的生活安寧與信息秘密依法受到保護，不被他人非法侵擾、知悉、收集、利用和公開的一種人格權。權利主體對他人在何種程度上可以介入個人私生活，對是否向他人公開隱私以及公開的范圍和程度等具有決定權。

3.1.2 隱私與個人信息 個人信息是指與特定個人相關聯、反映個體特征、具有可識別性的符號系統，包括個人身份、工作、家庭、財產、健康等各方面的信息[1]。而隱私包含的內容大多是具有私密性的個人信息，對隱私的侵害主要是非法披露和騷擾。關于個人隱私和個人信息兩者關系，理論界有兩個主流觀點：一種觀點認為個人信息與個人隱私既相互重合又有所區分；另一種觀點認為個人信息中包含個人隱私。若將個人信息分類，筆者認為可根據是否具有隱私價值進行分類：一類是不具有隱私價值的個人信息，另一類則相反，如個人醫療信息等具有一定的私密價值，應該受到隱私權制度的高度關注與保護。

3.2 患者隱私權

指患者所享有要求醫療機構及醫務人員保護合法掌握的涉及患者個人各種隱私以及不被非法侵犯的權利。患者隱私權的保護范圍主要包括信息和空間隱私權，具體指的是隱私部位、個人診療信息、個人信息、私人空間等。

3.3 “互聯網+醫療服務”體系下的患者隱私權

“互聯網+醫療服務”體系下的患者隱私權在主體、客體、內容、性質方面都有獨特之處，是指患者對與個人健康、身份有關，以大數據形式儲存在電子媒介上，具有醫療和經濟價值，經權利人或醫療健康機構采取保密措施的個人敏感信息和健康信息等所享有的自由支配、控制、不被他人非法侵擾的具體人格權[2]。

4 國內外患者隱私權保護立法現狀

4.1 國外

4.1.1 單獨立法 在隱私保護基本法的框架下對患者隱私權單獨立法，制定執行標準。1974年美國制定隱私保護的基本法《隱私權法》。1996年《健康保險流通與責任法案》(Health Insurance Portability and Accountability，HIPPA)頒布，對醫療信息化中的交易規則、醫療服務機構及從業人員的識別、醫療信息安全、醫療隱私、健康計劃識別、患者識別等問題有著詳細規定，有效地保護醫療數據安全和患者隱私權。HIPAA中確立保護患者隱私權的相關制度，包括最小程度披露、知情同意、管理簡化、患者醫療記錄查看權制度等。2000年美國衛生和福利部(Health and Human Service，HHS)制定《個人可識別健康信息的隱私標準》，基本建立完整、操作性強的隱私保護法律體系。澳大利亞的《健康記錄與信息隱私權》(2002年)有效平衡電子健康記錄的發展和維護以及個人信息隱私之間的沖突。法國頒布《醫療隱私法》和《醫療保險法》等。

4.1.2 綜合保護 將個人醫療隱私信息納入個人信息，對其加以綜合保護。歐盟1995年的《關于在個人資料處理和個人資料自由流通過程中對個人資料進行保護的指令》要求成員國務必在3年內完成個人信息保護法的修改以保持與該法令的一致性，該法案還特別提出對敏感信息的使用與保護規則。英國的《數據保護法》(1998年)將健康、基因等醫療信息歸屬到個人私密信息予以嚴格保護。加拿大的《個人信息保護與電子文件法》(The Personal Information Electronic Documents Act，PIPEDA)中禁止跨省或跨國商業機構使用個人健康信息數據。

4.2 國內

4.2.1 涉及隱私權保護的法律法規 包括《憲法》(第38條、第39條、第40條)，《民法總則》(第110條)，《侵權責任法》(第2條、第62條)，《刑法修正案(九)》(第245條、第252條、第253條)，《民事訴訟法》(第68條、第134條、第156條)，《刑事訴訟法》(第52條、第150條、第183條)，《行政訴訟法》(第32條)、《網絡安全法》(第4章)，《傳染病保護法》(第43條)等。

4.2.2 涉及患者隱私權的法律法規 《侵權責任法》首次提出保護患者隱私，“醫療機構及其醫務人員應當對患者的隱私保密。泄露患者隱私或者未經患者同意公開其病歷資料，造成患者損害的，應當承擔侵權責任?！秷虡I醫師法》規定“醫師應當保護患者隱私”?！蹲o士管理辦法》要求“護士在執業中得悉就醫者的隱私，不得泄露”。《網絡安全法》要求“網絡運營者應當對其收集的用戶信息嚴格保密并建立健全用戶信息保護制度”。強調“網絡運營者應當采取技術措施和其他必要措施，確保個人信息安全，防止信息泄露、毀損、丟失”。第45條針對“依法負有網絡安全監督管理職責的部門及其工作人員”提出“不得泄露、出售或者非法向他人提供知悉的個人信息、隱私”。以上法律中患者隱私權都有所涉及，但是法條較為分散，多為原則性規定，缺乏相關的行業規范和標準，適用性不強、缺乏現實操作性。這種分散的立法模式已經無法滿足我國“互聯網+醫療健康”發展的法治需求。

5 “互聯網+醫療服務”體系下患者隱私權保護面臨的挑戰

5.1 數據監測與收集——隱私無處躲藏

遠程無線醫療監護通過無線傳感器網絡，在醫療健康監測領域的應用頗為廣泛?；颊咦悴怀鰬艟涂梢詫€人相關健康監測數據傳送給醫院或其他醫療機構，醫方對數據進行專業化處理和分析后告知患者或其家屬診斷結果，實現患者在家就診。但同時存在患者的醫療隱私信息會在未知情況下被暴露的危險。一些互聯網醫療平臺存在多個漏洞(登錄繞過、未授權訪問、平行越權等)，攻擊者甚至僅通過手機號就可以獲取到患者姓名、身份證、就診卡信息及掛號記錄、化驗檢驗報告單以及其他個人健康生理和醫療信息。對于網絡犯罪分子來說，醫療隱私信息可能比財務數據更有價值。新加坡衛生部近期披露在2015年5月1日-2018年7月4日期間訪問SingHealth的患者，其個人數據均被黑客竊取，其中包括新加坡國家總理李顯龍的醫療信息。被盜數據包括姓名、身份證號、家庭住址、性別、種族等，還有約16 000人的配藥信息遭到泄露。美國《醫療機構面臨的網絡犯罪和其他威脅報告》稱被盜的醫療保險身份證在黑色網站上至少售價1美元，醫療檔案價格從每個5美元起。除來自外部的威脅，根據《受保護健康信息泄露報告》，遭遇醫療信息數據泄露事故的醫療機構中57.5%是內部人士所為，外部攻擊者只有42%。財務收益是內部威脅的主要動機，達到48%。一方面，有些內部人員有權限獲取用戶的大量健康信息，但如果隱私權保護意識不強有可能致使大量醫療健康信息泄露甚至丟失；另一方面，少數內部人員受金錢利益驅使，復制、販賣醫療健康信息，造成患者隱私泄露及濫用。

5.2 數據分享——隱私被濫用

在“互聯網+醫療服務”服務活動中醫療大數據信息交流更加密集，使得區域性平臺的電子病歷系統得到更加迅速的推廣。電子病歷系統最初投入使用時是以各醫療機構為單位形成單獨的數據集。目前一些地區通過與網絡運營商合作，將醫療機構、保險公司以及醫療科研組織的相關數據整合后構建以電子病歷數據為載體的共享平臺，使得醫療數據和相關健康衛生數據信息的區域性共享成為可能。區域性醫療信息共享平臺彌補基于醫院信息系統(Hospital Information System，HIS)的局域網電子病歷系統的不足，數據共享從醫療衛生機構內部擴展到其他的區域性醫療平臺。然而電子病歷系統網絡化發展迅速，人們的醫療隱私數據有時會被有目的的人或機構作為商品進行販售。如網絡營銷組織可以通過分析整合個人醫療信息數據對其投放量身定制的廣告；一些單位或企業通過進入電子病歷數據庫而知曉其員工的健康狀態，從而以此為由對員工進行篩選甚至解雇等。

5.3 數據挖掘——隱私被二次利用

“互聯網+醫療服務”體系下無時無刻都持續產生著海量醫學數據信息，在增進數據交互和共享的同時患者隱私面臨被二次利用的侵權風險?；颊唠[私的一次使用是指直接獲得患者隱私信息的過程，如互聯網診療平臺注冊的賬號、填寫的個人信息等都是一次使用。二次使用則指對上述信息進行加工、分析、處理之后得到的結果并加以利用的過程。而隱私信息的二次使用大多未獲得患者知情或許可，這就可能導致侵權風險。即便已經獲得患者知情同意后使用隱私信息有時也無法確保語境在使用過程中的完整性，所以在挖掘數據其他潛在價值時這種方式很難落實。正如信息技術專家亨特所說：革新將不會是在收集數據方面——不是在臥室安裝電視攝像機，而是在分析已被同意共享的信息方面[3]。

5.4 數據預測——隱私被預測

在“互聯網+醫療服務”時代背景下，患者隱私權保護所面臨的挑戰不僅限于隱私的直接泄露，還可能是通過有目的性地對這些隱私數據進行分析，從而預測信息主體的狀態和行為。人們可以利用數據分析挖掘技術搜索相關數據信息，對信息主體所處的狀態或喜好做出預判，以此來向其推銷符合個人喜好的服務或產品而獲取利潤。如孕婦近期的搜索、瀏覽和購買記錄都可以使人輕松推斷出其可能懷孕，甚至可以判斷出懷孕的狀態和時間，而向其提供孕嬰產品，這就可能引起一系列的推銷詐騙問題。又如獲取就醫者的某些檢查結果，即可對其當前的健康情況和下一步的行為做出推斷。所以不能簡單認為只要有數據隱私匿名處理技術和對高敏感重要信息的保護就足以確?；颊唠[私安全。

6 “互聯網+醫療服務”體系下患者隱私權保護對策

6.1 構建層級保護模式

在“互聯網+醫療服務”活動中，患者隱私被采集、整理、加工和處理，以數據的形式被記錄下來。而這些信息必須區分保護，如果保護程度過高，雖全面有效，但會加重公共機構管理的負擔；保護程度過低，公共機構負擔雖減輕，但也增加隱私被侵害的風險。依據信息敏感程度、人身性以及對患者人格影響程度，從3個維度(患者身體、隱私、環境)來考量，通過隱私信息的經濟價值和社會價值進行規整，可以將患者隱私信息分為3個層級。見表2。在“互聯網+醫療服務”體系下，應針對不同分類在對隱私信息的儲存和使用中采用不同程度的保護方案。如對于敏感信息應區別于其他信息重點保護。另外患者對其醫療隱私信息享有支配權和控制權，在對隱私的使用和共享時應當進行深層次的授權同意。不同層級的隱私信息應實現不同的授權行為，如性功能障礙、流產記錄、艾滋病病毒攜帶者等高敏感信息，不管是否出于醫療范疇內的目的，都應采取特別明示同意的方式予以授權，再配合一些數據技術手段對信息加以保護。

表2 “互聯網+醫療服務”體系下患者隱私信息層級結構

6.2 重視直接保護，加大違法成本

《民法總則》已經確立隱私權作為一項具體人格權的獨立地位，民法典各分編也已確定，其中人格權獨立成編備受矚目。在人格權編中應細化患者隱私權保護標準，明確患者隱私權的概念、范圍、相關主體權利和義務，以列舉的形式確定侵犯患者隱私權的行為，詳細規定侵權責任的認定及舉證責任。另外由于違法成本較低，處罰力度不足，導致個人隱私極易被泄露及濫用，販賣個人隱私信息己形成完整的灰色產業鏈。所以應加大違法成本：其一，增加懲罰性賠償的制度設計。此類懲戒或許不能威懾其他潛在的侵害人，但至少社會通過其法律制度宣告發現一定的非犯罪行為是應受譴責的[4]。歐盟的《一般數據保護條例》中根據不同程度的違法行為有數額較高的罰款制度，最高可達數千萬歐元。其二，對非法獲取大量個人信息的黑客、數據管理人員內外勾結泄露個人信息的從嚴從重處理，對侵犯個人信息、電信網絡詐騙等新型網絡犯罪持續加大打擊力度。其三，積極推進法律適用和落實執行等配套機制，提升犯罪成本，實現法律的指引與預測功能。

6.3 構建與完善醫療信息保護技術手段和數據管理體系

騰訊智慧安全在2018年底發布的《醫療互聯網服務敏感數據泄露風險調查報告》中指出目前我國線上醫療服務系統普遍存在業務漏洞、敏感端口開放等安全問題，給未授權訪問和不法黑客入侵帶來便利，增加醫療數據的安全風險。國內有多家三甲醫院接入的第3方醫療服務平臺存在嚴重邏輯漏洞，這將導致平臺就診患者的個人信息包括姓名、手機號、身份證號以及就診信息和醫療診斷數據等多達10余種敏感信息存在泄露風險。此外有71%的三甲醫院存在高危端口開放情況，以近幾年不法黑客攻擊事件中出現頻率較高的端口為參照，有超過1/3的醫院將SSH登錄、MySQL數據庫服務等高危端口直接開放于外網，易于不法黑客入侵以及未授權訪問，增加醫療信息數據泄露風險?；ヂ摼W醫療服務平臺和醫療機構應建立標準化的患者隱私保護支撐體系。第一，設置專門防火墻，著力加強訪問控制、加密、安全監控等技術手段的應用。第二，對數據存儲設備及場所等進行必要的物理隔離和訪問控制，有效防止隱私信息擴散和泄露。第三，制定嚴格的患者隱私保護規章制度，提高從業人員的保護意識，配備專門人員負責患者隱私保護工作，建立風險應對機制，妥善處理數據泄露等突發事件。

6.4 加強監管，建立協同聯動執法機制

《關于促進“互聯網+醫療健康”發展的意見》明確提出創新監管方式，切實防范風險，建立完善、有章可循的監管體系將是未來一項重要且艱巨的任務。首先，可借鑒國外做法，設立個人信息(包括隱私信息)保護的專門機構(如日本的個人隱私信息保護委員會、歐盟的數據保護官)，主要工作范圍包括接待投訴、投訴處理、落實賠償和處罰等。該機構在必要時可以作為獨立訴訟主體，代表公民利益，提起公益訴訟。其次，應強化消費者權益保護協會及檢察機關公益訴訟的力度和廣度，暢通患者隱私權的救濟渠道。第三，加快制定與完善行業標準規范，確保各類醫療信息在收集、儲存、開放、傳輸和共享過程中的風險可控，明確數據開放范圍、權利、義務和責任。最后，多部門聯動配合，一旦發生患者隱私泄露等信息安全事件，衛健委、網信、工信等應協同執法。建立常態化的巡視機制，重點巡視患者隱私保護情況。