論我國移動醫療中患者隱私權之保護

徐櫻珍

摘要：隨著網絡通信技術、移動醫療產業迅速發展，提高了醫療效率，但其依賴互聯網的特性會使患者隱私信息更易泄露。對于移動醫療中的患者隱私權，我國現行法律并未明確規定，患者維權難度大。移動醫療中，患者隱私權具有主體多樣性、客體復雜性、利益多樣性的特點。借鑒美歐及臺灣地區的法律制度，從立法、監管、救濟等角度提出了保護患者隱私的措施。

關鍵詞：移動醫療;患者隱私權;法律問題;保護措施

中圖分類號：R-052

文獻標識碼：A

DOI： 10.15913/j.cnki.kjycx.2019.08.042

大約在20世紀60年代，“遠程醫學”開始興起，之后技術革新不斷發展，成為如今的“移動醫療”。國際醫療衛生委員會將其定義為通過使用移動通信技術和衛星通信技術來提供醫療服務和信息，具體到移動互聯網領域，以醫療健康應用軟件為主。約在2008年進入中國市場，2015年，已有2 000多款同性質應用軟件在市面流通[1]。它的優點在于提高了醫療效率，但其依賴互聯網的特性會使患者信息更易被泄露。在傳統診療中，醫患雙方可直接交流，侵權發生后問責主體清晰，患者對個人隱私信息的可控范圍較大。但在互聯網背景下，法律關系錯綜復雜，患者隱私權如何保護成為一個新問題。

1 移動醫療中患者隱私權的特點

隱私權是指自然人所享有的能夠在私人活動和私有領域對與社會公共利益無關的個人信息進行自我支配的一種人格權。患者隱私權是隱私權的下位概念，本文將其定義為在互聯網活動中，移動醫療平臺及其工作人員就其診療過程中，負有保密義務和防止泄露患者信息的義務。患者隱私權雖屬于隱私權，但前者有著與后者不同的特點。

1.1 主體多樣性

移動醫療中，患者隱私權的侵權主體更加多元。從內部的整個診療活動來看，能與患者產生隱私權法律關系的主體包括了為患者提供診療的醫護人員、其他接觸到患者信息的工作人員、移動醫療軟件運營商、監管部門。這四個主體都有可能利用職務之便單方盜取或者多方勾結侵犯患者的隱私權，情形復雜。從外部的信息保護來看，與醫藥相關的保險公司抑或兜售藥品的商家甚至是詐騙集團都有可能在利益的驅使下，通過網絡技術突破移動醫療平臺設置的安全網，秘密竊走患者信息，侵權的不確定性決定了侵權主體的多樣性。

1.2 客體復雜性

在移動醫療中，患者隱私權所保護的客體具有復雜性。患者隱私權的客體大致可分為個人信息、醫療信息、財產信息、私人空間信息、私人活動信息[2]。在傳統診療中，患者個人信息包括姓名、聯系方式等;患者醫療信息包括各類化驗單、病歷等;患者財產信息包括銀行卡號、醫保卡號等;患者私人空間信息基本在手術室、住院病房發生;患者私人活動信息則是患者在接受醫療服務時醫患雙方所作出的行為。而在移動醫療中，患者個人信息包括各類型證件號等;患者醫療信息包括醫療數據（如電子病歷）;患者財產信息包括微信個人賬戶、支付寶個人賬戶、銀行卡及醫保個人賬戶信息;患者私人空間信息發生在網絡個人空間;患者私人活動信息則是遠程醫療、康復指導、醫療相關應用軟件登錄及操作活動。

由此可知，移動醫療中患者隱私權與普通患者隱私權相比，其復雜性體現在以下三個方面：①客體的范圍大。傳統診療只需知道患者的姓名、年齡等基本信息，移動醫療卻需要付款賬戶的信息授權，這已從患者的現實身份延伸到患者的網絡身份，患者信息暴露區域變大。②客體的威脅性高。移動醫療中的電子病歷、電子化驗單由于借助互聯網傳輸，信息更容易留下痕跡，患者信息難以“被遺忘”。③客體的綜合性高，醫療數據具有針對性，集患者多項信息為一體，加以分析處理后比普通隱私信息價值高。

1.3 利益廣泛性

移動醫療中，患者隱私權有以下兩個重要的價值，蘊含著廣泛深遠的利益：①人格尊嚴價值。在診療中，醫護人員以患者提供的個人情況為依據診斷，為了確保診療結果正確，患者一般會無條件地信任醫生，對個人情況有問必答，這些信息中可能包括患者的“難言之隱”，一旦泄露就會傷害到患者的人格尊嚴。②經濟價值。移動醫療平臺極易保存患者提交的個人信息，而患者只能依賴其妥善保管。在利益驅動下，患者信息被移動醫療平臺賣給收集信息的搜索公司，搜索公司對信息再加工，做成數據賣給利益鏈的下一端口。依托互聯網，這個過程會更隱蔽更快捷，對不法分子更具誘惑力，患者的信息價值自然不言而喻。

2 國內移動醫療中患者隱私權保護存在的問題

自2011年好大夫發布手機客戶端應用軟件以來，移動醫療行業如雨后春筍般在中國這片土壤生長起來。2015-03，李克強總理在政府工作報告中首次將“互聯網+”提升至國家戰略，移動醫療行業從此有了政策支持。與該行業迅猛發展勢頭不相應的是，我國的相關法律制度仍存在著一些問題。

2.1 立法零碎，未成系統

2.1.1 法律

我國《憲法》規定，“公民人格尊嚴不受侵犯”“公民住宅不得非法入侵”“公民享有通信自由和通信秘密”為隱私權;《刑法》就三種妨害隱私權的主體制定了相應的“非法搜查罪”“侵犯通信自由罪”“私自開拆、隱匿、毀棄郵件、電報罪”罪名;我國三大訴訟法確立了尊重訴訟當事人隱私的原則;《民法總則》中提到了“自然人的個人信息受法律保護”;《侵權責任法》將隱私權納入保護范圍，明文保護患者隱私權。

2.1.2 法規

為了與社會發展相適應，國家出臺了多項單行法規，其中《醫療機構管理條例》《護士管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》《執業醫師法》等都涉及了隱私權的保護，如《護士管理辦法》第24條規定“護士在執業中，得悉就醫者的隱私，不得泄露”;《執業醫師法》第22條規定“醫生在執業活動中，要關心、愛護、尊重患者，保護患者的隱私”。

可見，在我國關于患者隱私權的法律規定是零碎的，并非一個完整的系統。這些條款排布分散，大到憲法的兜底性條款，小到各單行法的只言片語，難以查找;其次，這些規定實際操作性弱，如《執業醫師法》《護士管理辦法》中的規定，更多的是宣言、倡導之意，雖有正面作用，但過于概括，不利于執行;最后，我國目前尚未出現一部是以移動醫療模式為基礎制訂的、能夠規范其中患者隱私中權利義務關系并具有綜合性質的專門法。

2.2 監管不明，分責不清

2.2.1 職能機構

職能機構的監管問題體現在以下兩個方面：①外部監管。從監管外部來看，職能機構“誰監管”“監管誰”不明確，如《醫療器械網絡銷售監督管理辦法》規定“各級食品藥品監督管理部門負責本層級行政區域內醫療器械網絡銷售的監督管理”;《關于推進醫療機構遠程醫療服務的意見》規定“各級地方衛生計生行政部門要加強遠程醫療服務的監督管理”，實行監管的對象定義不清，在二者都可以監管的情形下，容易造成二者都管理或者二者都不管理的后果，行政效率低下[3]。②內部監管。從監管內部來看，掌握監管權限的職能部門權力大，執法人員面對利益誘惑，難免利用職務犯罪。因此亟需合理、有效的內部監督制度，以便分權明責，從源頭遏制。

2.2.2 移動醫療平臺

在移動醫療中，第一手掌握患者信息的是醫療平臺方，在無相應法律約束的情形下，醫療平臺方處于相對自由的狀態，處理信息方式多種多樣，情況多變復雜。其監管問題體現在以下兩個方面：①平臺對內部工作人員的監管。患者在診療時產生的隱私信息，醫護人員、后臺數據錄入人員等內部工作人員都有可能獲取該信息，目前暫無相應監管措施。②平臺對患者信息數據庫的監管。一方面平臺方需要提高技術，對患者信息數據庫予以保護;另一方面需要監管數據庫的正常運轉，但目前只能依靠平臺自覺。移動醫療行業自我監管制度必不可少，僅依賴職能機構的監管，不利于當事人及時止損，患者隱私權的維護會受到更大的挑戰。

2.3 救濟措施不完善

目前，移動醫療領域患者隱私權的救濟方式是以《侵權責任法》規定為主。依照《侵權責任法》第16條規定可知，承擔侵權責任的方式主要有停止侵害、排除妨礙、消除危險、返還財產、恢復原狀、賠償損失、賠禮道歉、消除影響、恢復名譽。雖然有“停止侵害、排除妨礙、消除危險”作為補救，有“賠償損失、賠禮道歉、消除影響”作為懲罰，但該法條在移動醫療適用上仍然水土不服。

移動醫療犯罪具有隱蔽性，即便患者及時得知隱私權被侵犯，但是難以清楚哪一主體侵犯自身權益。即使得知違法主體，當事人用何種方式與該違法主體取得聯系要求其停止侵害，又可以要求何種監管主體行使公權力介入保護，僅憑法律上這幾句話難以定論，要求當事人獨立追責不現實。加之，患者隱私權的人格尊嚴具有不可恢復的屬性，稍挽回不及時，便無法補救。另外，懲罰措施中“賠償損失”標準不明，患者隱私作為一種抽象的價值，如何判定、怎么判定、由誰判定均未知，如果這些不能確定，當事人維權必定舉步維艱。

3 完善我國移動醫療中患者隱私權保護的建議

借鑒國外先進經驗，再結合移動醫療中患者隱私權的特點，針對我國移動醫療中患者隱私權保護存在的問題，我從以下三方面提出了建議用以保護移動醫療下患者的隱私權。

3.1 系統立法，制訂專門法

建立一個系統的法律保護框架。如美國20世紀發布的HIPAA法案，該法案構建了一系列針對患者隱私權保護的原則[4]。從我國實際出發，系統化的法律保護體系必須包括以下兩個方面：①確定責任主體。前文已述，移動醫療中患者隱私權主體具有多樣性，以明文規定清晰侵權主體有利于當事人厘清權利義務關系，更快找到維權手段，提高維權效率。②明確患者隱私權的客體內容。移動醫療中患者隱私權保護的客體具有復雜性，客體范圍廣、威脅性大。在診療過程中，患者判斷何者為不必透露的個人隱私信息難度大，而且接觸到患者信息的工作人員不一定具備這方面的知識，因此作出明文規定有利于患者的自我保護和相關人員的專業保護。

需要補充專門法和程序法。一方面，有了宏觀的系統，面臨的法律問題雖有基本原則，但法律具有滯后性，隨著技術、觀念的更新，新問題必定會出現。這就需要立法機關根據實際及時補充制訂專門法，完善移動醫療中的新問題。另一方面，移動醫療中患者隱私權涉及隱私，利益廣泛，起訴、上訴、應訴、申訴程序都要考慮到這個問題，而現行的訴訟法暫無適用該問題的配套程序。

3.2 加強監管，權責分明

3.2.1 職能機構

職能機構有兩個問題亟需解決，一個是“誰監管”，另一個是“監管誰”。目前，我國掌握監管權的“有關部門”很多，如食品藥品監督管理部門、衛生計生行政部門，以及負責應用審核上架的移動醫療軟件運營商等等。但權力太分散，監管步調難以一致，因此監管難度大幅度上升。如何確立掌握監管權的職能機構？在此，我國可以借鑒美國的先進經驗。早在1989年，醫療軟件就被納入美國食品藥品監督管理局（ FDA）的管理范圍，FDA掌握監管權。因移動醫療仍屬于醫藥類，因此建議我國的食品藥品監督管理部門作為主要的監管主體，衛生計生行政部門為輔助的監管主體。為防止權力過于集中導致的內部腐敗現象，特將FDA掌握的審核和監控職能分給兩個部門。即我國的食品藥品監督管理部門掌握審核權，衛生計生行政部門掌握監控權。食品藥品監督管理部門審核移動醫療中的重點問題，如醫護人員的資質、遠程醫療器械的安全。衛生計生行政部門掌握監控移動醫療的次要問題，如移動醫療軟件運營商對軟件的審核上架、工商管理部門對移動醫療廣告的審核。食品藥品監督管理部門與衛生計生行政部門互相監督。至此，職能機構的“誰監管”“監管誰”兩個問題能夠得到初步解決。

3.2.2 移動醫療平臺

移動醫療平臺缺乏對內部工作人員的監管以及對患者信息數據庫的監管。對于這兩個問題，可以借鑒歐盟的相關制度。1995年歐盟的《數據保護指令》要求“相關的監管機構及工作保護組也應當履行相應的監管職責和程序”[5]，建議我國借鑒該指令，將移動醫療平臺定義為“工作保護組”，有義務履行對內部相關工作人員的監管職責。《數據保護指令》還指出“信息處理人應對本人履行完善的通知義務”，之后對患者信息數據庫的監管，歐盟“選擇進入機制”，即只有經過患者本人同意，相關人員才能將患者檔案錄入系統，拒絕錄入者會喪失此方面的多項便利。雖然這項機制時間、金錢成本高，但是站在了患者立場維護了網絡信息安全，對我國仍有一定參考意義。

3.3 救濟措施具體化

患者隱私權屬于人格權，其被侵犯后的不可恢復性體現了補救措施的重要性。互聯網環境下，隱私被泄露這一事件，往往具有緊迫性。對此，建議借鑒臺灣地區的《民法典》相關規定。臺灣地區的《民法典》規定“人格權受侵害時，得請求法院除去其侵害”，可以將“法院”作為隱私權補救的申訴機關，從而完善補救時患者找不到申訴機關的問題。再借鑒“有受侵害之虞時，得請求防止之”的規定，有關部門出臺一些能為補救提供時間、空間便利的特殊條例，做到在法院申訴后“一反應就反饋”，從而提升補救時的及時性。

至于移動醫療中，侵犯患者隱私權的懲罰措施，建議將我國的《侵權責任法》和2016年歐盟頒布的《一般數據保護條例》結合起來。在此，本文將懲罰分為非物質懲罰和物質懲罰。出于對患者的精神彌補，侵權之后的非物質懲罰，仍然按照《侵權責任法》的“賠禮道歉、消除影響”執行。物質懲罰的“賠償損失”標準建議按《一般數據保護條例》執行。該條例規定“一般違法行為，罰款上限為1 000萬歐元或該公司去年全球收入的2%（以最高值為準）;嚴重違法行為，最高罰款是2000萬歐元或該公司去年全球收入的4%（以最高值為準）”[6]，建議“一般違法”和“嚴重違法”情形確立標準由食品藥品監督管理部門根據我國實際確立，建議數額標準結合我國國情，參照巨額罰款數額確立執行。歐盟這項懲罰十分嚴格，極大地震懾了盜取數據犯罪。若能將這項機制引入國內，有利于患者維護隱私權。

4 結束語

自古以來，中國人民權利意識淡薄，大多只重視財產權。但是，隨著法制觀念的普及和社會的發展，越來越多的人重視維護人格權。與朝氣蓬勃的移動醫療行業高昂的勢頭相比，我國移動醫療的相關立法可以說是幾乎處于真空狀態，監管制度也相當不完善，以致移動醫療中患者隱私權保護沒有直接引用的法律和制度。在此情形下，結合行業特點，借鑒國外法律制度，根據實際制訂系統法并完善專門法、程序法，才能使這個行業煥發巨大的生命力，更好地為人民服務，讓社會發展更好。

參考文獻：

[1]宗文紅，陳曉萍.國外移動醫療監管對我國的啟示[J].中國衛生信息管理雜志，2015，12 （4）： 342.

[2]陸慧敏，張宇清.“互聯網+醫療”模式下患者隱私權保護探析[J].醫學與法學，2018，10 （4）： 29-33.

[3]郝曉霞.論電子醫療的患者信息保護[D].濟南：山東大學，2018.

[4] FDA.Mobile medical applications guidance for industryand Food and Drug Admini stration staff[EB/OL].http：//www.fda.gov/medicaldevices/productsandmedicalprocedures/connectedhealth/mobilemedicalapplications/default.htm.2015 -06-10.

[5]庹兵兵，沈麗寧，徐彪.美歐移動醫療項目推進與監管措施探析[J].中國醫院管理，2016， 36（2）：78-80.

[6] Maja Brkan.The Unstoppable Expansion of the EUFundamental Right to Data Protection ： Little Shop ofHorrors [J] .Maastricht Journal of European&ComparativeLaw， 2016 （ 2 ） .