“互聯網+”時代電子病歷檔案隱私保護研究

鄒雪晶

【摘要】本文闡述了電子病歷隱私保護的內容，并從法律層面、管理標準層面、人員意識層面和技術層面對我國目前電子病歷隱私保護的現狀及存在問題進行了分析。最后針對各個層面存在的問題提出了進一步完善電子病歷隱私保護的建議。

【關鍵詞】電子病歷檔案;隱私;保護

2016年12月，國務院發布的《“十三五”國家信息化規劃》提出，到2020年城鄉電子健康檔案要實現90%的覆蓋率。2018年國務院頒布了《關于促進“互聯網+醫療健康”發展的意見》，這些文件的出臺為醫療衛生機構定出了信息化建設的發展方向，為人們看病就醫提供了方便。一方面，數據的共享與網絡技術的廣泛應用使醫療信息的傳播應用更快速、便捷;另一方面，這種快速、便捷的信息傳播給患者的隱私保護帶來新挑戰。如果說紙質病歷時代的隱私侵權僅僅會涉及少數患者，那么“互聯網+”時代電子病歷的推廣將給更大群體的健康隱私問題帶來挑戰。在“互聯網+”時代，只有處理好電子病歷檔案與患者隱私保護之間的矛盾，電子病歷檔案才能最大限度被開發利用，從而實現其價值。

一、電子病歷隱私保護的內容

電子病歷作為患者診斷治療的整個過程的電子信息載體，是信息化時代醫療發展的必然產物。電子病歷包括了臨床診療信息的全要素記錄，高度融合了患者在就診過程中所有的檢查、檢驗等有價值的臨床診療信息。因此，電子病歷中隱私內容可以概括為：1.患者的個人信息。包括姓名、性別、年齡等基本身份信息，父母、配偶、子女等家庭生活與社會關系的信息，教育程度、職業、政治面貌等社會政治信息，家族史、病史、過敏史等基本健康信息，新農合、商業保險、公費等參保信息。2.醫護人員記錄的診療信息。包括入院記錄、病程記錄、手術記錄、出院記錄、醫囑記錄、耗材記錄、生命征象記錄、會診記錄、相關的檢查資料與報告、醫生對患者的診斷結果以及治療的方案、知情告知書等方面的資料。

二、我國電子病歷隱私保護現狀及存在問題

（一）法律法規。西方國家為了規避電子病歷檔案對個人隱私保護帶來的沖擊，在推廣電子病歷檔案的同時，不斷完善相應的法律保障機制。美國在醫療信息隱私保護方面的立法較早，早在1996年就制訂了HIPAA（Health Insurance Portability and Accountability Act）法案，該法案作為醫療服務提供方、醫療保險機構以及個人在處理電子病歷史的行動指南，確保受保護的醫療信息在使用的各環節以及數據的傳輸過程中都是安全和機密的。相對西方國家而言，我國針對電子病歷隱私保護所制訂的法律法規略顯滯后。相應的法律法規零散見于《憲法》《醫務人員醫德規范及實施辦法》《民法通則》《執業醫師保護法》《侵權責任法》。其中《侵權責任法》中的第2條規定了：“侵害民事權益，應當依照本法承擔侵權責任。”第62條規定了：“醫療機構及其醫務人員應當對患者的隱私保密，泄露患者隱私或者未經患者同意公開其病歷資料，造成患者損失的，應當承擔侵權責任。”可見，以上的法律法規一定程度保障了公民的隱私權利，但卻未對公民隱私信息保護和電子病歷檔案隱私保護作出明確的規定，也未明確細化侵權行為以及具體的懲罰措施。另外，公民對自身電子病歷檔案的采集、調取、使用的知情權利也未有相應的法律保障。

（二）電子病歷的管理標準不統一。電子病歷是患者到醫療衛生服務機構就診而產生的記載著患者就診全過程的病歷檔案。目前我國各個地方衛生系統的分割問題嚴重，沒有統一的管理制度和管理方案。各個地區根據自身經濟發展水平和文化特點，因地制宜制定出電子病歷的管理標準和管理模式。即便同一地區，各個醫療機構也因自身發展的特點選擇不同的第三方軟件開發公司管理電子病歷，不一樣的軟件公司對電子病歷檔案權限設置管理標準也不一致。有的醫院只要使用醫護人員賬號登錄電子病歷系統，就能查詢任何一個病人的住院信息。有的醫院對電子病歷檔案的權限設置較嚴謹，某一科室的醫護人員只能查詢該科室出院病人的信息。醫護人員使用病歷檔案信息進行科學研究時，不同醫療機構不同醫護人員對病人醫療信息的保護及重視程度也不一樣。有的醫療機構在數據導出或傳輸時，便自動把患者的基本個人信息進行加密，醫生看到的只是科學研究所需的醫學信息，所有關于患者的個性化信息都以數字代碼進行替代。有的醫療機構對醫護人員查詢患者信息的準入門檻較低，一些臨床科室甚至派實習生拷貝數以千計的患者信息。

（三）醫護人員和患者對隱私保護的意識淡薄。電子病歷的普及方便了醫護人員對就診患者信息的匯總和上報。醫護人員做科研再也不需像以前那樣逐一翻查病歷，大大提高了效率。但與此同時，電子信息的高度匯總與濃縮為患者隱私保護帶來嚴峻的考驗。目前，我國醫護人員對患者隱私保護的意識較為淡薄，曾有報道，在醫學交流會議上，一個醫生手上一個小小的U盤承載著成千上萬個患者未經加密的所有基本信息和診療信息，一旦丟失后果不堪設想。另外，當自身的隱私遭泄露時，只有極少數患者會運用法律武器進行維權。大多數患者采取“大事化小”的態度，正是由于大多數人持這種態度，醫護人員才不重視患者隱私的保護，不法分子才會猖狂地鉆空子，肆無忌憚地買賣盜取患者的信息。

（四）技術層面。在“互聯網+”浪潮的推動下，醫療衛生行業打破傳統醫療模式高速發展。但由于目前軟、硬件保密性不足、網絡漏洞等技術層面的原因，在巨大利益的驅動下，存在非法套取和利用公民隱私健康信息的行為。如2016年近300名艾滋病患者的個人信息遭泄露，犯罪分子偽裝成疾控中心的工作人員實施電話詐騙，以“發放補助”的名義騙取患者的錢財。部分醫院的信息系統落后，這導致系統與實際的工作需求存在偏差。中心服務器運行不暢或運行時間過長導致死機的現象經常發生，增加了病毒入侵的概率。另外，市場上電子病歷開發商良莠不齊，一些開發商為了搶占市場實現利益最大化，將一些不成熟的軟件賣給客戶，給醫院信息系統帶來極大的風險。

三、對策

（一）完善法律法規，加強監管執法力度。制定隱私權法是人權發展的體現，目前我國雖有法律條文體現隱私權是受保護的，但法律條文間不成系統，缺少層次。因此電子病歷的隱私保護建設最為關鍵的是要建立適用于本國的隱私權法。明確個人對病歷檔案的控制權和知情權，并對相關的條文作出具體詳細的說明，使法律的實施具有可操作性。另外，相應的懲罰條款與懲罰細則作為法律實施的護航者，應該作為條文列入法律法規中。與此同時，執法到位是病歷檔案隱私保護的根本保障，能確保隱私保護真正落到實處。因此，只有在加大監管與執法力度的基礎上，才能從根本上保護患者的病歷檔案隱私不受侵犯。

（二）統一標準，完善準入審核。針對當前電子病歷的管理標準模糊問題，有關職能部門應當盡快制定統一明確的電子病歷使用標準及操作細則，以保證電子病歷檔案的利用是規范以及合理合法的。無論是電子病歷的使用者還是開發商都要嚴格按照標準開展工作，避免因不同地區不同的軟件開發商產生管理混亂、端口無法對接等問題。數據在傳輸和使用的過程中最容易泄露，相關職能部門需要統一確定數據傳輸的手段及數據使用的范圍，避免發生類似于一個U盤拷成千上萬未加密患者信息的事件，從而保證患者的隱私信息受到保護。

（三）提高醫護人員及患者隱私保護意識。醫護人員是電子病歷檔案的首批接觸者，良好的執業素養是做好電子病歷檔案隱私保護工作的首要條件。通過開展相關的法律知識講座——以實例釋法、舉辦專題教育活動等，都可以幫助醫護人員樹立正確的職業價值觀，明確自身的崗位職責。而患者作為病歷檔案的歸屬者，更應提高自我隱私保護意識。平時應從各方面了解學習相關的法律法規，當個人隱私被非法利用時，能主動拿起法律武器維護自己的權益，通過報紙、手機、電視等多渠道關注民生時事，從實例中學習。

（四）信息加密技術與防火墻技術。電子病歷檔案信息有可能會在使用或傳輸的過程中遭不法分子竊取，而信息加密技術則是利用數學手段改變負載信息的數碼結構，加密傳送至目的地后再運用相同的手段對加密數據進行轉化。對醫療機構而言，可使用對應的密鑰對患者的信息進行加密，數據以密文的形式存放在后臺數據庫，醫護人員等數據的使用者下載數據時需以密鑰解開密文。這樣即便數據被不法分子截獲或者下載了，他們得到的信息也無法正常打開閱讀，毫無利用價值。

另外，防火墻技術是內網最重要的安全技術之一，該技術只保留有用的服務，能有效控制內部網絡的訪問，并精確制定每一個訪問用戶的權限，保證每一位訪問的用戶只能訪問權限內的信息資源。總而言之，防火墻技術在電子病歷系統上應得到廣泛應用，因為它使內部網與外部網有了一定意義的隔離，防止非法使用和入侵內部網絡系統。

【參考文獻】

[1]張羽.只有醫生知道[M].江蘇：江蘇鳳凰文藝出版社，2016： 262-263.

[2]全國近300名艾滋病患者個人信息疑遭泄露[EB/OL].https：//gongyi.sina.cn/gyzx/hg/2016-07-25/detail-ifxuhukz0965537.d.html，2016-07-25.