電子健康檔案信息泄露通知制度的國際經驗及借鑒

鐘其炎

[摘要]信息泄露通知制度是電子健康檔案信息保護的重要環節，已被世界各國廣泛采用。論文從法律依據、觸發條件、通知主體、通知對象、通知時限、通知內容、通知方式和法律責任等方面，詳細比較分析了美國、歐盟、澳大利亞和中國的電子健康檔案信息泄露通知制度。通過比較分析發現，我國電子健康檔案信息泄露通知制度尚不完善，與國際先進水平尚有較大差距，可以從完善電子健康檔案信息泄露通知的法律法規、建立電子健康檔案信息泄露應急響應計劃、加大違反電子健康信息泄露通知制度的懲罰力度等方面進一步改進和提升。

[關鍵詞]健康信息個人信息數據泄露泄露通報制度

[分類號]G279

Learning and Shaping Better Data Breaches Scheme for Electronic Health Records from International Experiences——Based on Analysis of Practices in United States， European Union， Australia and China

Zhong Qiyan（School of Information Management of Sun Yat-sen University， Guangzhou， Guangdong， 511436）

Abstract： Data breaches notification scheme is an important instrument to protect the information in electronic health record， which has been widely adopted by countries all over the world through legislation. This paper intends to analyze the provisions， circumstances， entities and individuals involved， response time， content， methods and legal liabilities of data breaches notification for electronic health record in United States， European Union， Australia and China. By comparing and contrasting the practices in the aforementioned countries， this paper finds that the data breaches scheme in our country needs to be improved. There is a great disparity between the practice in China and those in the leading countries. This paper suggests that we could better our data breaches scheme for electronic health record by improving the laws and regulations for data breaches notification； by establishing data breaches emergency response plan and by reinforcing penalties for violations against any data breaches laws and regulations.

Keywords： Health Information； Personal Data； Data Breaches； Data Breaches Notification Scheme

電子健康檔案是人們在健康相關活動中直接形成的具有保存備查價值的電子化歷史記錄，涵蓋了一個人從出生到死亡健康狀況發展變化的信息資料。電子健康檔案利用價值高、敏感性極強，一旦泄露將可能導致嚴重的個人身心健康和經濟損失，因此世界各國都給予重點關注和嚴格保護。個人信息泄露通知制度，是指當個人信息發生或者可能發生泄露事件，并可能對相關人員造成損害時，信息控制者以適當形式及時通知相關部門和個人，讓各方盡快了解信息泄露情況并采取相應的保護措施的制度[1]。信息泄露通知制度是強化信息保護必不可少的重要環節，已被世界各國立法廣泛采用。本文選取美國、歐盟、澳大利亞、中國為研究對象，比較分析4個國家電子健康檔案信息泄露通知制度的異同，以期借鑒國際先進經驗，進一步完善我國電子健康檔案信息泄露通知制度。

1信息泄露通知制度的比較分析

1.1信息泄露通知的法律依據

美國沒有制定全國統一的個人信息保護法，但針對醫療、電信、金融等行業制定了專門的個人信息保護法。美國于1996年頒布實施了《健康保險攜帶和責任法》（The Health Insurance Portability and Accountability Act of 1996，以下簡稱HIPAA）[2]，2000年制定了《個人可識別健康信息的隱私標準》，保障醫療保健信息的合理流動，保護個人健康信息的安全和患者隱私。HIPAA和《隱私標準》建立了強制性的個人健康信息泄露通知制度，要求相關機構和個人必須遵守，并由美國衛生和公眾福利部的公民權利辦公室負責監督實施。此外，美國目前還有47個州制定了地方性的個人信息泄露通知法案。

歐盟議會于2016年4月14日通過了《通用數據保護條例》（General Data Protection Regulations，以下簡稱GDPR），并于2018年5月25日正式生效實施[3]。該條例統一了整個歐盟的數據保護法律，使各國能夠進行互動，確保其公民的個人數據不會因不同的監管要求而受到損害。該條例的適用范圍極為廣泛，任何收集、傳輸、保留或處理涉及歐盟所有成員國內的個人信息的機構均受該條例的約束，其中個人信息泄露通知制度也是GDPR的重要內容。歐盟沒有單獨制定電子健康檔案信息保護法律，個人健康信息屬于敏感信息，同樣適用于GDPR。

澳大利亞于1988年頒布《隱私權法》，將個人健康和醫療信息列為“敏感信息”，要求嚴格監管，并明確了合法收集、使用及披露健康信息的相關規定。2017年通過了《隱私權修正（數據泄露通知）法案》，建立了嚴格的個人信息泄露通知制度[4]。為了在全國范圍順利推行“個人控制的電子健康記錄”系統（2015年更名為“我的健康記錄”系統），澳大利亞于2012年6月頒布了《個人控制的電子健康記錄法》，2015年正式更名為《我的健康記錄法》[5]。該法案對“我的健康記錄”系統上的健康信息進行嚴格管理，其中包括強制性信息泄露通知義務。

中國尚未出臺個人信息保護法和電子健康檔案信息保護的專門法律法規，《中華人民共和國網絡安全法》于2017年6月1日正式實施，首次在全國法律層面提出建立個人信息泄露通知制度。《中華人民共和國網絡安全法》第四十二條明確提出，網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告[6]。電子健康檔案信息屬于《中華人民共和國網絡安全法》規定的個人信息范疇，適用個人信息泄露通知制度。

上述4個國家（地區）的個人健康檔案信息泄露通知法案存在差異，各有特色。美國和澳大利亞制定了電子健康檔案信息保護專門法律，對于電子健康檔案信息泄露通知制度提出了明確和具體的要求；但澳大利亞《隱私權法》不適用各州和地區的政府機構，各州目前尚未制定個人信息泄露通知法案，《我的健康記錄法》也只是針對全國“我的健康記錄”系統中的健康信息，系統外的個人健康信息不適用，因此澳大利亞個人健康信息泄露通知制度在適用范圍方面還存在一定的局限性。歐盟沒有單獨制定電子健康檔案信息保護法律，而是將電子健康檔案信息納入全面的個人信息保護中，對信息泄露通知制度作出了明確規定和具體要求，并適用于歐盟所有成員國，統一個人信息保護標準，有利于推廣實施。中國沒有制定全面的個人信息保護法和電子健康檔案信息專門法，只針對網絡個人信息的泄露通報進行了規定，內容相對比較籠統，但適用于全國范圍。

1.2信息泄露通知的觸發條件

美國HIPAA規定，信息泄露是指違反隱私規則的未授權的使用或披露，導致信息的機密性、完整性、可用性受到破壞。不是所有電子健康檔案信息泄露都要履行強制通知義務，HIPAA規定超過500人以上的健康信息泄露必須通知，但500人以下的健康信息泄露，需要進行一個風險評估，包括：（1）所涉受保護健康信息的性質和程度，包括識別資料的類型和重新識別的可能性；（2）使用受保護的健康信息或向其披露信息的未經授權的人；（3）受保護的健康信息是否實際獲得或查看；（4）受保護的健康信息面臨的風險是否得到了緩解。如果經過評估分析后，認為所保護的健康信息被泄露的可能性很低或影響很小，可以不需要向相關機構和個人通知。

歐盟GDPR規定，個人信息泄露的定義為“違反安全規定導致所傳輸、存儲或以其他方式處理的個人數據遭受意外或非法毀壞、丟失、篡改、未經授權披露或訪問”[7]；并非所有信息泄露行為都需要履行通知義務，只有對個人的權利和自由造成風險時才需要。因此，信息控制者應先評估信息泄露事件對個人造成的風險，評估時需要考慮違規的類型、信息敏感性和所涉及的個人信息的數量、從該信息中識別個人的難易程度、潛在后果等。由于電子健康檔案信息屬于GDPR規定需嚴格監管的敏感信息，一旦發生泄露事件，相關部門會在評估風險時予以特別重視，因此需要履行通知義務的概率也比較高。信息專員辦公室設立了電話熱線，可為信息控制者評估風險時提供咨詢服務。

澳大利亞《隱私法》規定，在未經授權的情況下收集、訪問或披露實體所持有的個人信息（或者個人信息丟失），并很可能對與信息有關的任何個人造成嚴重傷害，以及該實體未能通過補救行動防止可能存在的嚴重損害風險時，需要強制履行信息泄露通知義務。如果一個實體迅速采取行動補救行為，信息泄露不可能對個人造成嚴重損害，則不需要通知相關個人。澳大利亞《隱私權法》和《我的健康記錄法》沒有對“嚴重傷害”作出具體定義，各機構應全面評估嚴重損害的風險，包括信息泄露所涉及的個人信息類型、信息泄露情況（包括其原因和程度）、對受影響個人的損害性質。

《中華人民共和國網絡安全法》規定，在發生或者可能發生個人信息泄露、毀損、丟失的情況時，網絡運營者應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告[8]。但該法案沒有進一步解釋信息泄露觸發條件，沒有明確究竟何種程度的信息泄露事件需要及時通知。

美國、歐盟、澳大利亞和中國對“信息泄露”定義的實質基本相同，都包括信息的泄露、損毀和丟失，但對信息泄露嚴重程度的判斷標準及觸發通知的條件有所差異。美國、歐盟和澳大利亞都要求對信息泄露事件進行風險評估，并發布了評估指南或要點，中國則缺少風險評估相關指引。

1.3信息泄露通知的主體

電子健康檔案信息一旦發生泄露事件，由誰來負責通知相關機構或人員，各個國家對此規定有所差異。美國HIPPA規定，隱私保護機構包括健康保健計劃、健康信息交換中心以及那些以電子方式進行某些金融和行政交易的醫療保健服務提供者。因此，個人健康信息發生泄露，信息的控制者要承擔信息泄露通知義務。歐盟GDPR規定，只要是處理歐盟公民個人信息的機構（不論該機構辦公地點或注冊地點是否在歐盟境內、不論該信息處理行為是否實際發生在歐盟境內）均適用GDPR，信息的控制者要承擔信息泄露通知的義務，信息處理者發現信息泄露情況后應當及時告知信息控制者[9]。澳大利亞《我的健康記錄法》規定，“我的健康記錄”系統中的信息發生泄露，系統的參與者（包括系統操作員即澳大利亞數字衛生局、注冊的醫療保健服務機構、注冊存儲庫運營商、注冊門戶運營商或注冊的簽約服務提供商）必須報告相關數據泄露情況。《中華人民共和國網絡安全法》規定，信息泄露通知主體為網絡運營者，包括網絡的所有者、管理者和網絡服務提供者。從信息泄露通知的主體來看，美國和歐盟的規定比較類似，主要由信息的控制者負責履行通知義務，但歐盟對信息控制者的定義比較寬泛；澳大利亞則是規定電子健康檔案系統的所有參與者都是信息泄露報告主體，但通知受影響的個人是由澳大利亞數字衛生局所執行。中國規定個人信息泄露通知主體是網絡運營者，范圍也比較廣泛。

1.4信息泄露通知的對象

美國HIPAA規定，發生信息泄露后，信息控制者必須向受影響的個人、美國衛生與公眾服務部公民權利辦公室以及在某些情況下（超過500人信息泄露）向媒體進行通知。此外，如果是由業務伙伴發生違規，業務伙伴必須通知信息控制者，由信息控制者向相關人員或機構通知。歐盟GDPR規定，在個人數據被泄露的情況下，信息控制者將個人數據泄露情況通知主管的監督機構；若信息泄露可能對相關個人產生負面影響，還應當立即通知相關個人。澳大利亞《我的健康記錄法》規定，“我的健康記錄”信息泄露后，醫療服務提供商需要將數據泄露情況通知澳大利亞數字衛生局和澳大利亞信息專員辦公室（其中州或地區的機構不強制向澳大利亞信息專員辦公室報告），澳大利亞數字衛生局必須向澳大利亞信息專員辦公室報告相關情況。《中華人民共和國網絡安全法》規定，發生個人信息泄露后，網絡運營者需及時告知用戶并向有關主管部門報告；該法的第八條規定，國家網信部門負責統籌協調網絡安全工作和相關監督管理工作，國務院電信主管部門、公安部門和其他有關機關依法在各自職責范圍內負責網絡安全保護和監督管理工作。電子健康檔案信息泄露后，除了向有關用戶告知外，還需向網信部門和衛生行業主管部門報告[10]。從電子健康檔案信息泄露通知對象來看，美國、歐盟、澳大利亞、中國都包括政府相關主管機構和受影響個人，但美國、歐盟、澳大利亞都成立了專門的個人信息監管機構，而中國則沒有個人信息（或電子健康檔案信息）專門監管機構，電子健康檔案信息泄露需報告哪些主管機構還不夠明確。

1.5信息泄露通知的時限

美國HIPAA規定，影響500人以上的電子健康檔案信息泄露行為，發現后需立刻向所有受影響的個人和監督機構發出通知，最遲不得超過發現后的60天。影響不到500個人的電子健康檔案信息泄露行為，發現后需立刻向所有受影響的個人發出通知，且必須在第二年開始后60天內向美國衛生和公眾服務部公民權利辦公室報告（每年集中報告一次）。歐盟GDPR規定，如達到個人信息泄露通知標準，信息控制者必須在意識到信息泄露后的72小時內通知監督機構，并在沒有不當拖延的情況下通知受違規行為影響的個人，同時歐盟允許分階段多次通知。澳大利亞規定，相關機構應在30日內完成個人信息泄露可能性評估，并將信息泄露事件通知相關各方。中國對于電子健康檔案信息泄露通知時間沒有作出明確規定，采用了按照規定及時告知的表述[11]。從電子健康檔案信息泄露通知時限來看，歐盟要求最嚴格，澳大利亞次之，美國第三，而中國還缺乏相關規定。

1.6信息泄露通知的內容

美國電子健康檔案信息泄露通知函，必須包括違規的詳細信息、可能泄露的信息、針對違規行為采取的行動說明、為減輕損害所做努力以及個人可以采取哪些行動來降低風險、聯系電話（90天內必須保持有效）。歐盟GDPR規定，在向主管機構報告個人信息泄露情況時，信息控制者應說明發生了什么事件，受影響的人數，涉及哪些個人信息，可能對受影響的人產生什么影響，正在采取或可以采取哪些措施來彌補，以及機構聯系人和聯系方式。在向個人告知時，應當用清楚、明了的語言描述個人信息泄露的性質、可能造成的損失，已采取或建議采取的措施、以及機構聯系人和聯系方式。澳大利亞信息專員辦公室提供了強制性信息泄露通知表，內容包括信息泄露的說明、泄露時間、泄露原因、信息類型、受影響人數、已經采取或正在采取哪些行動來減輕信息泄露的影響、信息泄露是否源于系統性問題或孤立的觸發因素、過去是否經歷過類似的信息泄露事件、是否有信息泄露應急計劃及是否激活、該機構數據保護官員的姓名和聯系方式、任何其他相關信息。中國對電子健康檔案信息的泄露內容沒有作出明確具體的要求。綜合來看，美國、歐盟、澳大利亞對于電子健康檔案信息泄露的通知內容有規范明確的要求，并有詳細的操作指引，而中國則缺少相關規定，不利于實踐操作。

1.7信息泄露通知方式

根據美國HIPAA規定，發生電子健康檔案信息泄露事件后，可通過快遞或電子郵件方式將違規通知函發送給受影響的個人。如果因聯系信息不完整而無法聯系到10人以上的個人，相關機構可將違規詳情發布在其官方網站上且至少保留90天，或在受影響的個人可能會留意的主要印刷物或廣播媒體上發布公告。如果泄露的電子健康檔案信息涉及超過500人，除了通知受影響的個人外，還必須在知名的媒體上發布公告，以便讓社會公眾及時了解。相關機構還必須通過瀏覽美國衛生和公眾服務部公民權利辦公室的網站，在線填寫并以電子方式提交信息泄露報告。歐盟要求信息控制者采取有效方式通知主管機構和個人，并且優先采用直接的通訊方式（如短信、電子郵件等）。澳大利亞規定，相關機構可以使用任何方法通知個人（例如電話、短信、郵件、社交媒體帖子或面對面對話等形式，可以多種通知方式并存）。如果無法直接通知到受影響的個人，相關機構必須在其網站上對信息泄露相關情況進行公告。澳大利亞信息專員辦公室在網站上提供信息泄露通知表格，相關機構須按要求填寫表格內容，然后通過電子郵件方式報送。澳大利亞數字衛生局也在網上提供了聯系電話和電子郵箱地址，相關機構可以通過電子郵件方式發送信息泄露報告。中國對于電子健康檔案信息泄露通知方式沒有作出明確規定。總體而言，美國、歐盟、澳大利亞對于個人的電子健康檔案信息泄露通知一般靈活采取多種方式，確保及時通知到位；對于主管機構的通知方式，一般都是采取書面方式報送。相對來說，中國對于電子健康檔案信息泄露通知方式還不夠完善，缺乏明確的操作指引。

1.8未履行信息泄露通知制度的處罰

美國HIPAA規定，違反電子健康檔案信息泄露通知規則，可給予相關單位最高每年每次150萬美元的罰款。歐盟GDPR規定，不遵守個人信息泄露通知義務可能面臨高達1000萬歐元或相當于全球年營業總額2%的罰款（以其中較高者為準）[12]。澳大利亞《我的健康記錄法》規定，對于不遵守電子健康檔案信息泄露通知義務的個人，最高可給予36萬美元罰款；對于違反規定機構，可最多給予180萬美元罰款，并注銷或暫停相關醫療服務機構在電子健康檔案系統的使用資格。《中華人民共和國網絡安全法》第五十九條規定，未將網絡安全風險、網絡安全事件向有關主管部門報告的，由有關主管部門責令改正；拒不改正或者情節嚴重的，處5萬元以上50萬元以下罰款；對直接負責的主管人員和其他直接責任人員，處1萬元以上10萬元以下罰款[13]。從法律責任來看，歐盟要求最嚴格，處罰金額高，具有很強的威懾力，但不支持集體訴訟。美國對于違反電子健康檔案信息泄露規則的也給予嚴厲處罰，并且支持集體訴訟。澳大利亞的處罰金額也相對比較高，但不支持集體訴訟。中國對于電子健康檔案信息泄露通知的法律責任相對較輕，且不支持集體訴訟。

2完善我國電子健康檔案信息泄露通知制度的建議

從以上比較分析可以看出，我國電子健康檔案信息泄露通知制度尚不完善，仍處于初級階段，與國際先進水平尚有較大差距，需要進一步加以改進和提升。

2.1完善電子健康檔案信息泄露通知的法律法規

我國目前尚未制定全面的個人信息保護法和電子健康檔案信息的專門法，《中華人民共和國網絡安全法》對于個人信息泄露的通知觸發條件、通知時限、通知內容、通知方式規定不明確，缺乏具體的實施細則或操作指南，直接影響實踐效果。我國可以借鑒學習美國、歐盟、澳大利亞的做法，結合國內實際情況，進一步完善電子健康檔案信息泄露通知的相關法律法規，制定相關操作指南，明確信息泄露通知標準和實施細節，提高制度的可操作性。

2.2建立電子健康檔案信息泄露應急響應計劃

電子健康檔案信息屬于高度敏感信息，一旦泄露，容易對個人造成嚴重傷害，因此需要區別對待、嚴格監管。我國可以借鑒歐盟和澳大利亞的做法，要求電子健康檔案信息的保管機構制定信息泄露應急響應計劃，并報政府主管部門備案。通過制定應急響應計劃，相關單位可以進一步完善信息處理的內部流程，降低信息泄露風險，同時一旦發生信息泄露事件，可以快速處置，盡可能減少對相關個人的影響。

2.3加大違反電子健康信息泄露通知制度的懲罰力度

電子健康檔案信息泄露通知制度要取得實效，必須加大法律懲罰力度。從上述比較分析來看，我國電子健康檔案信息泄露通知制度的違法成本相對較低，罰款金額偏少，威懾力較小，可以進一步加大違法處罰力度。此外，我國沒有明確違反信息泄露通知制度的執法機構，目前的監管部門比較分散，不利于實踐執法。建議參考美國、歐盟、澳大利亞的做法，設立統一的監管機構，加大執法監管力度，提高監管執法的威懾力和實效性。

參考文獻

[1][7]何波.數據泄露通知法律制度研究[J].中國信息安全，2017（12）：40-43.

[2]美國衛生與公眾服務部網站.健康保險攜帶和責任法[EB/OL].[2018-11-02]. https：//www.hhs.gov/hipaa/index.html.

[3][9][12]英國信息專員辦公室網站.通用數據保護條例[EB/OL].[2018-11-03]. https：//ico.org.uk/.

[4]澳大利亞信息專員辦公室網站.隱私權修正（數據泄露通知）法案[EB/OL].[2018-11-03].https：//www.oaic.gov.au/privacy-law/privacy-act/notifiable-data-breachesscheme.

[5]澳大利亞我的健康記錄網站.我的健康記錄法[EB/OL].[2018-11-02].https：// www.myhealthrecord.gov.au/.

[6][8][10][13]宜春市教育局信息公開網.中華人民共和國網絡安全法[EB/OL].[2018-11-02].http：//xxgk.yichun.gov.cn/ycsjyj/xxgk/fgwj/201802/t20180226_535815.html.

[11]趙淑鈺，倫一.數據泄露通知制度的國際經驗與啟示[J].中國信息安全，2018（3）：74-75.