國內患者隱私泄露情形及隱私保護現狀分析*

郭進京 張 雪

(中國醫學科學院/北京協和醫學院醫學信息研究所/圖書館 北京 100005) (1中國科學院成都文獻情報中心 成都 610041 2中國科學院大學經濟與管理學院圖書情報與檔案管理系 北京 100049)

林 鑫 任慧玲

(中國醫學科學院/北京協和醫學院醫學信息研究所/圖書館 北京 100005)

1 引言

隱私權是指自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、收集、利用和公開[1]。隱私權是一項重要的人格權，該詞最早由Samuel D. Warren和Louis Brandeis提出[2]。患者作為社會群體的一部分，理應享有隱私權[3]。患者的隱私權是指患者在醫療機構接受醫療服務時表現出的，涉及患者自身因診療服務需要而被醫療機構及醫務人員合法獲悉，不愿他人知悉的個人情況，包括患者、家庭住址、聯系方式、經濟狀況等基本信息，以及健康狀況、所患疾病、既往病史、家族病史等有關信息[4]。保護患者隱私是每個醫護人員在從事醫療活動中應盡的責任，而在當前互聯網環境下這份責任應擴展至更多的主體。隨著信息化水平的提高和先進技術的運用，患者隱私權被侵害的情況日益嚴重，患者隱私保護現狀不容樂觀。例如電子病歷如果得不到妥善保管會導致患者個人信息和用藥記錄的泄露；可穿戴設備采集到的健康醫療數據也同樣存在安全隱患。

2 當前患者隱私泄露情況分析

2.1 患者隱私類型

2.1.1 一般隱私信息 指與自身疾病沒有直接關系的個人基本信息，主要包括姓名、性別、出生年月、出生地、婚姻狀況、身份證號、職業、籍貫、聯系方式、工作單位、戶口地址、郵政編碼、家庭住址等。這部分信息雖然與患者病情并不密切相關，但部分機構(如保險公司、廣告商)仍對此類信息有著極大的興趣，一旦被泄露，通過數據挖掘等技術可對個人偏好進行分析，針對性開展廣告投放和商品推銷，對患者生活造成困擾[5]。

2.1.2 敏感隱私信息 一方面包括與患者疾病診斷治療相關的信息，如疾病的主訴、既往史、現病史、家族史、月經史、傳染病史、生育史、生理狀態、身體缺陷、整形等；另一方面包括患者在診療過程中形成的相關信息，如入院記錄、病程記錄、各種輔助檢查及化驗檢驗結果、治療方案、治療情況、麻醉手術過程、康復情況、出院記錄等。這類信息與患者疾病診療直接相關，是隱私保護的重點。

2.2 患者在不同就診階段隱私泄露情形

2.2.1 就診前 患者在就診前會通過網絡平臺進行掛號、通過搜索引擎查找疾病相關信息等，在此過程中會因信息傳輸及存儲過程未做有效加密而導致隱私泄露，搜索引擎會獲取用戶網絡檢索行為、個人基本信息等隱私信息。患者手機中的醫療服務類APP、可穿戴設備軟件病毒感染、被遠程操控、本身存在系統漏洞、第3方監管平臺缺失等，導致患者隱私泄露。這一階段涉及的主體主要包括網絡服務提供者、軟件開發者、互聯網醫療服務提供者等。

2.2.2 就診中 患者就診的過程是隱私泄露的“重災區”，常見的情形包括：床頭卡未做好隱私保護，醫護人員在診療過程(如門診、檢驗檢測、手術、醫學帶教、晨間病情匯報、院內查房、病歷討論等)中未做好保密措施，醫護人員利用職責之便故意泄露或傳播患者隱私，醫療相關重要文件等個人資料保管不嚴(如患者個人資料隨意擺放、電子病歷系統管理不完善，醫療文件檔案損壞、丟失、被盜、少數院外辦案人員私自調閱和復印等，檢驗單、放射線膠片等醫療文件丟失、被錯領)等。這一階段涉及的主體主要包括醫護人員、網絡服務運營商、醫學教學人員、醫療機構、病案保管者、其他患者等。

2.2.3 就診后 患者在結束診治后大量個人信息被留存在醫院中，以下原因會導致患者隱私泄露：黑客入侵醫院病歷管理系統、在醫學社交網絡平臺交流學習分享典型案例時未做好去隱私處理、醫護人員有意或無意泄露、因科研教育需要而拍攝的治療過程視頻未將能識別患者身份的特征隱去、學術會議報告及論文中未做去隱私處理、電子病歷信息挖掘時未做好去隱私化處理等。這一階段涉及的主體主要包括醫療機構、醫護人員、教研人員、科研人員等。

2.2.4 小結 從上述分析可以看出患者隱私泄露形勢非常嚴峻：一方面，患者在診療過程中眾多隱私泄露與醫院管理不當或醫護人員有意或無意的行為息息相關；另一方面，出于技術原因，其他主體(如網絡服務提供商)也會泄露患者隱私。在當前互聯網和大數據環境下醫學研究更多地運用到患者數據，其合理使用和挖掘對于改善患者健康、推動醫療發展具有重要作用，但在進行患者數據挖掘時需要做好隱私保護工作，對患者信息進行合理脫敏。患者隱私保護是一項艱巨的任務，不僅需要醫護人員加強對自身行為的約束，還需要社會各界共同努力，通過法律法規、行為規范、操作指南等規范體系的建立，形成保護患者隱私的規范機制。

3 國內患者隱私保護法律法規及政策文本內容分析

3.1 概述

我國憲法及相關法律中一直沒有對隱私權作出明確規定，只在相關的法律文件中對隱私保護作出規定。如《中華人民共和國憲法》第三十八條規定：“中華人民共和國公民的人格尊嚴不受侵犯”。針對患者隱私權的保護，我國醫療衛生法律、行政法規、規章制度等對患者隱私給予高度關注。例如《中華人民共和國執業醫師法》第二十二條第(三)項規定：“醫生在執業活動中應關心、愛護、尊重患者，保護患者的隱私”。《中華人民共和國護士管理辦法》第二十四條規定：“護士在執業中得悉就醫者的隱私，不得泄露，但法律另有規定的除外”。

3.2 法律、法規、條例、辦法

我國在患者隱私權方面的立法相對較晚，最初是在《護士管理辦法》(1994年施行)[6]和《執業醫師法》(1999年施行)[7]中提出護士與醫師要保護患者隱私不得泄露。隨后，國家從多個方面加強對患者隱私的保護，制定并頒布面向不同主體的法律、法規、條例、辦法等，見表1。

表1 國內有關患者隱私保護立法情況匯總

續表1

3.3 意見、規范、指南

除法律、法規、條例、辦法外，相關部門通過制定規范、發布指導意見、制定指南等形式來保護患者隱私，見表2。如國家衛健委于2018年發布的《醫療質量安全核心制度要點》，原衛計委醫政醫管局發布的《電子病歷基本規范(試行)》和《電子病歷系統功能規范(試行)》，工業和信息化部組織制定的《信息安全技術公共及商用服務信息系統個人信息保護指南》以及由全國信息安全標準化技術委員會于2017年12月29日發布的《信息安全技術 個人信息安全規范》等，對個人信息(尤其是個人醫療信息)的保護做出指導或要求。

表2 國內有關患者隱私保護的規范、指南、意見匯總

續表2

3.4 當前患者隱私保護法律法規及政策文本特點

從內容上可以看出國家在多個領域強調對患者隱私信息和個人信息的保護，逐步加強互聯網環境下及電子病歷廣泛普及情況下的個人信息(尤其是健康信息)保護，患者隱私保護的重視程度日益增加。但需要注意的是國內目前還沒有一部專門針對個人信息保護的法律法規，缺乏在當前互聯網、大數據環境下患者隱私信息脫敏的具體規定和詳細標準，僅在《信息安全技術 數據出境安全評估指南(草案)》中涉及數據脫敏處理的表述，指出需要脫敏的個人信息包括姓名、性別、國籍、民族、身份證種類號碼及有效期限、職業、聯系方式、婚姻狀況、家庭狀況、住所或工作單位地址及照片等。國內亟需依法對患者隱私信息進行嚴格管控保護，設立脫敏、去標識化的具體標準和規定，這樣才能在促進健康醫療大數據應用發展過程中保護個人隱私和維護信息安全。

4 國外患者隱私信息脫敏經驗

4.1 概述

國外對個人信息的保護由來已久，例如美國早在1974年就經參眾兩院通過《隱私權法》(Privacy Act of 1974)[8]并于1979年將其編入《美國法典》(US Code)。英國(如《數據保護法案》(Data Protection Act)[9])、加拿大(如《隱私權法》[10]、《個人信息保護與電子文件法》[11])、德國(如《聯邦數據保護法》[12])、日本(如《刑法》[13]、《個人信息保護法》[14])等國家也對個人信息及數據保護做出規定。

4.2 美國

隱私脫敏是保護患者隱私的一種重要手段，去掉可識別信息可有效保護個人信息。美國的《健康保險攜帶和責任法案》(Health Insurance Portability and Accountability Act, HIPAA)建立醫生、醫院以及其他醫療衛生機構在處理電子病歷時需遵守的行動指南，對多種醫療健康產業都具有規范作用,尤其是對患者隱私保護這一方面提出一些法律規范[15]。HIPAA提出兩種方法來保護患者隱私，一種是專家裁定法，由專家限定可以發布的健康信息，這些限定發布的信息僅有極小可能會引起身份泄露；另外一種方式是安全域策略，規定18個可以標識患者身份的屬性必須被移除，包括姓名、省一級以下的地址(包括街道、城市、地區和三位以后的郵編)、除年份以外與個人相關的日期(包括生日、進院日、出院日、死亡日期、超過89歲的年齡)、電話號碼、車輛登記號碼、車牌號碼、醫療器械標識號和序列號、傳真號碼、電子郵件、網址(URL)、社保號碼、IP地址、病歷編號、指紋等生物標記信息、醫療保險號碼、正面全臉照片、銀行賬戶號碼、證件號碼(身份證、駕照等)、任何其他可用于識別的編碼或特征等。

4.3 歐盟

歐盟的《一般數據保護條例》(General Data Protection Regulation，GDPR)[16]被稱為史上最嚴格的數據保護條例，其規定個人數據處理的透明性(Transparency)、最少數據收集(Data Minimization)原則，賦予數據主體隨時撤銷同意權(Right to Withdraw Consent)、被遺忘權(Right to Erasure)、可攜帶權(Right to Portability)等權利。GDPR規定不能收集和處理涉及個人隱私的敏感信息，例如性取向、性生活、宗教信仰、政治信仰、反映個人種族或民族起源、是否是工會組織成員、犯罪記錄、指紋信息、人臉識別等。

5 建議

5.1 加強患者隱私保護立法工作，建立完整立法體系

借鑒國外立法經驗積極推進隱私保護相關立法及修訂進度。值得關注的是，由全國信息安全標準化技術委員會于2017年12月29日發布的《信息安全技術 個人信息安全規范》[17]被稱為“中國的GDPR”，是監管部門對網絡信息安全進行監管和執法的重要指導，對未來的立法具有重要參考意義。

5.2 細化患者隱私保護標準規則和細節，確定實操性原則

例如針對患者隱私信息脫敏，應當明確哪些身份標識信息需要被去隱私化處理，確定去隱私化的細節問題，如執行單位資質、操作要求、實施方法以及權責認定等[18]。

5.3 增強網絡安全防護，提高技術水平

新技術的出現為患者隱私保護帶來新的解決方案，如區塊鏈、動態加密、開放算法、智能合約、分布式存儲等[19-20]。醫療機構、網絡運營商、網絡服務提供商應加強網絡安全建設，持續強化網絡安全屏障，不斷提高信息加密傳輸和存儲的技術水平，提高醫療衛生機構、網絡運營商系統安全性，防范外部力量竊取患者隱私等行為。

5.4 加強對相關責任主體教育和培訓

加強法制教育，提高隱私保護意識和能力。患者個人應當提高自我保護意識，尤其是在當前互聯網環境下注意互聯網搜索工具、APP、網站、個人穿戴設備等對個人信息的搜集，避免過多的實名注冊和個人信息收集，提高密碼安全等級(如增加復雜度、設置多重密碼等)，加強防范意識和能力。

6 結語

本研究分析當前環境下患者在不同就診階段隱私泄露的情形，對國內患者隱私保護法律法規及政策文本進行梳理，總結當前國內患者隱私保護法律法規及政策文本缺陷，提出患者隱私保護的相關建議，以推動國內患者隱私保護。