美國和歐盟基于個人健康記錄隱私和安全的法律框架比較及對我國的啟示

楊朝暉 簡雅娟 李樹榮

1 天津醫學高等專科學校公共衛生與衛生事業管理系，天津，300022；2 天津醫學高等專科學校科研處，天津，300022；3 天津醫學高等專科學校成人教育處，天津，300022

個人健康記錄(Personal Health Records，PHR)作為具有前景的個人醫療健康信息自我管理工具，能為個體患者和整個醫療系統帶來益處。PHR的廣泛實施會降低醫療成本，提高醫療質量，促進更好的健康結果。但目前PHR的采用率相對較低,重要原因是PHR服務存在多重安全隱患，可能會損害信息隱私性和安全性。醫療信息失竊將對個人造成嚴重損害，是當前PHR亟需解決的問題[1]。目前，我國個人信息保護立法仍在制定中，筆者梳理美國和歐盟涉及PHR安全和隱私的法律框架，為我國相關立法提供借鑒。

1 PHR的概念

美國衛生與公眾服務部民權辦公室定義PHR是個人健康信息的電子記錄，并且具有管理、追蹤和參與自身健康保健的功能，個人可通過其控制對健康信息的訪問[2]。美國健康信息技術協調辦公室將PHR定義為符合國家認可的互操作性標準，可以從多個來源獲取，同時由個人管理、共享和控制的與個人健康信息相關的電子記錄[3]。PHR是一種以患者為中心的工具，用于促進患者參與持續醫療保健和自我健康管理，包含個人自我追蹤設備、可穿戴設備等設備采集的連續健康數據，如病史、藥物使用、患者體重、葡萄糖水平、血壓等健康數據，以及飲食、運動、活動日志、壓力水平等支持健康生活習慣、健康管理的數據[4]。

PHR數據是個人健康數據的重要組成部分，其與電子病歷系統的區別在于電子病歷系統是衛生保健服務人員使用的系統，而PHR的主要目的是讓個體患者獲得和控制個人健康信息[2]。不同的PHR系統提供不同程度的連接和功能，可以與電子病歷系統等其他系統完全或部分集成。PHR將醫療健康管理的重點轉移到以患者為中心的模式，能促進患者尤其是慢性疾病患者參與預防與實踐，并減少醫療錯誤和再入院率；PHR匯總數據能夠在健康監測、疫情管理等公共衛生領域和科學研究領域發揮作用[5]。

2 美國和歐盟PHR管理的現狀

2.1 美國

美國是PHR系統開發的核心市場之一[6]，其適用于PHR的相關法律包括1996年頒布的《健康保險可攜帶與責任法案》(Health Insurance Portability and Accountability Act，HIPAA)和2009年頒布的《經濟和臨床健康信息科技法案》(Health Information Technology for Economic and Clinical Health Act，HITECH)，二者均是管理受保護健康信息隱私和安全的法律。HIPAA確定了交換、披露健康信息的初始安全要求。HITECH對其進一步擴展，要求通知本人有關其受保護健康信息的違規行為。

HIPAA旨在管理提供PHR服務的實體，使其正確履行隱私和安全的要求。HIPAA最適用PHR服務的是章節二管理簡化條款中的隱私規則和安全規則，隱私規則主要涉及如何使用個人的受保護健康信息，安全規則目的是通過解釋如何在各方之間安全地共享數據和定義企業可以遵守的標準來鼓勵電子數據的交換傳播[2]。HIPAA僅適用于受管轄實體，主要包括傳統衛生保健服務提供者、衛生保健信息處理機構，而私人PHR供應商未受該法案約束。HIPAA關于商業合作伙伴概念及其確切法律地位的界定也比較模糊。隱私規則限制了受管轄實體使用和披露個人受保護健康信息的方式，但該限制并未傳遞給與受管轄實體相關聯的任何商業業務。

安全規則列出了存儲和傳輸人員對個人受保護的健康信息需要采取的預防措施，其中包括需具備的管理、物理和技術保障，以及最低限度的文件和審計要求。安全規則要求受管轄實體確保受保護健康信息的機密性、完整性和可用性，防止任何可能威脅此類信息安全性或完整性的危險，防止任何被禁止但預期合理的使用或披露，并確保其員工操作的合規性。另外安全規則制定安全措施、審計、加密、身份驗證和處置實施細節和要求。

HITECH對HIPAA進行了更新，主要是將隱私和安全規則中對個人受保護健康信息責任擴展到所受管轄實體的商業合作伙伴。HITECH闡明了商業合作伙伴的法律地位，使其受到與受管轄實體相同的隱私要求。2013年HITECH進一步闡明，商業合作伙伴所涵蓋實體包括創建、接收、維護或傳輸個人健康信息的任何業務，因此提供數據傳輸和云服務器等服務的企業將有義務遵守所有HIPAA安全規則和一部分隱私規則[7]。

此外，《聯邦貿易委員會法案》也適用于美國PHR服務提供商。該法案第5節規定不支持自身所承諾安全措施的PHR供應商將被追究責任[8]。

2.2 歐盟

歐盟最初適用于PHR的指令是1995年頒布的《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》和2002年頒布的《關于隱私和電子通信的指令》。上述指令包含數據保護和隱私政策，以及個人和敏感數據的一般類別，但未詳細說明哪些安全和隱私措施必須應用于保護健康相關數據。

歐盟成員國必須制定基于上述指令概述原則的本國法律，由于各成員國獨立起草和實施的法律間存在差異，導致了不同程度的執法和其他相關問題[9]。為了改善這種情況，歐盟于2016年4月批準新的條例《通用數據保護條例》(General Data Protection Regulation，GDPR )，并于2018年5月生效。

GDPR旨在通過標準化歐盟的個人數據保護制度，更好地應對新興和全球化的技術，并確保個人權利得到保護。GDPR重點強調促進問責制，要求相關機構證明其遵守條例概述的原則。其規定措施包括：建立加工活動記錄(文件)；明確數據保護/隱私影響評估要求，包括評估處理操作和目的描述、與目的相關處理的必要性和比例、個人風險和應對風險的措施；數據泄露的通知責任，向相關監管機構報告某些類型的數據泄露的義務，在某些情況下向受影響的個人報告的義務；任命數據保護官員，其職責主要包括向組織及其員工告知他們應遵守GDPR的義務、監控和管理對GDPR的遵守情況(包括內部數據保護活動、數據保護影響評估、員工培訓和內部審計)；設立國家數據保護機構等。此外GDPR提出了隱私設計和隱私默認的概念：數據控制者必須設計和實施保護數據的機制，以維護條例規定的標準；并確保默認情況下僅處理特定目的所需的個人數據[9]。

2.3 美國和歐盟的比較

表1對美國和歐盟適用于PHR開發和使用的立法組成部分進行比較。

表1 美國與歐盟適用PHR的立法關鍵組成部分的比較

由表1可見，歐盟不區分行業，對個人數據予以統一保護，而美國則基于醫療健康行業的特點，對個人的受保護健康信息予以保護；GDPR對合理、適當的安全與保障措施提供了更具體和嚴格的要求，但諸如隱私設計和隱私默認等術語，其含義上具有一定的解釋空間和模糊性；上述法律對用戶認證均不需要特定的先進識別手段，但僅加密用戶身份并不滿足HIPAA安全規則標準；數據控制者、數據處理者、數據所有者3個特定術語并不適用于美國司法管轄區；GDPR中未有涉及數據披露的相關條款；HIPAA與GDPR中數據泄露必須通知監管機構的時間范圍有所不同，但均規定了最低要求，GDPR為72小時，HIPAA為10天，在通知個人方面，上述法律給責任機構留下了審慎選擇的空間，讓他們評估健康信息泄露潛在風險以決定是否通知個人；相對于美國相關法案，GDPR定義了更直接和更嚴格的懲罰措施，賦予受保護數據主體更多權力，如刪除權(被遺忘權)與可攜帶權。綜上比較，GDPR數據保護措施更全面和嚴格，但在關鍵領域留有解釋空間和一定程度的模糊性；美國相關法案的PHR數據保護模式有利于充分促進數據流通，但在隱私保護嚴格程度方面又稍遜于歐盟GDPR。

3 對我國相關立法的啟示

目前，我國PHR保護的相關立法散見于我國各類法律，如2004年12月1日施行的《中華人民共和國傳染病防治法》、2010年7月1日施行的《中華人民共和國侵權責任法》、2015年11月1日施行的《中華人民共和國刑法修正案( 九) 》、2017 年6月1日施行的《中華人民共和國網絡安全法》、2017年10月1日施行的《中華人民共和國民法總則》等。上述法律相關條文對于PHR的保護零碎不成系統，無法形成完整的體系[10]，結合GDPR與HIPAA法案涉及PHR安全和隱私的法律框架回顧，筆者提出以下建議。

3.1 界定相關概念

新技術的快速發展對各種法律體系評估相關和適用的立法定位提出挑戰。歐盟與美國PHR保護相關立法均是依據個人數據保護或電子病歷系統制定的，并未針對基于私人和企業PHR提供具體的規定：缺乏對構成PHR的內容明確和一致的定義、PHR各類服務的定義和術語，以及未能明確PHR和電子病歷系統之間適當的法律框架差異，總體上法律體系完善尚未完全跟上PHR相關技術的快速發展，并適應其對患者數據隱私和安全所帶來的挑戰。建議從法律層面界定PHR等概念，確定其保護范圍、權利內涵、保護原則等法律屬性，使PHR隱私與安全保護有法可依。

3.2 明確責任主體

PHR數據流通過程中涉及的實體包括醫療機構、獨立系統運營商、軟件開發商、設備供應商等機構及其從業人員等，而我國相關法律中健康數據保護條款適用主體僅涉及衛生行政部門、疾病預防與控制機構、醫療機構及醫療從業人員。HIPPA中受管轄主體則包括健康計劃、衛生保健信息處理機構、衛生保健服務提供者及其商業合作伙伴[11]；GDPR 明確侵權責任主體，引入了數據控制者、數據處理者等概念，并嚴格規范其義務。建議我國相關法律以在PHR健康數據流動過程中直接和間接接觸數據的范圍和作用來界定侵權責任主體。

3.3 完善監管機制

美國與歐盟相關法律制定了完善的監管問責機制并確定了其可執行性。如GDPR在企業內部設立了數據保護官；由數據控制者與處理者的主營業機構確定主數據保護機構，主數據保護機構行使統一管轄權；設置歐盟數據監管的最高機構歐盟數據保護理事會。GDPR還規定了各監管機構的行政執法權、檢查權、訴訟及處罰權[12]，使相應的問責與處罰具有較強的操作性。而我國相關法律缺乏適用于PHR服務的監管機制，應要求信息控制者指定或者設立專門機構或具有相應資質的專門人員負責PHR保護日常工作[10]；適當以列舉的立法方式來制定PHR系統遭到破壞或泄密等情況時責任主體的責任以及懲罰措施。

3.4 采用相關標準

在個人信息保護立法空缺的情況下，與技術相連的相關標準可以起到部分立法替代作用[13]。大數據時代個人健康數據的跨境存儲和流通不可避免，亟需建立一致性的隱私和安全標準，這些標

準要能夠被普通消費者清楚地理解，并且允許各種PHR系統被獨立評級和比較。但目前在數據定義、通信協議和數據分析等領域缺乏普遍認同的標準[14]。建議廣泛和強制使用基本、全面的技術中立標準以促進患者在各種平臺和地理區域安全地共享數據服務，如HL7安全和隱私標準有效地支持了GDPR的實施，HL7的PHR系統功能模型PHR-S FM可以為患者提供更好的隱私安全保護，更準確地定義組織必須采取的信息保護措施。