北京電子病歷互聯互通中的患者信息保護研究

姬雨童，李筱永

(首都醫科大學醫學人文學院，中國 北京 100069)

為節約醫療資源，更好的服務于患者，我國電子病歷共享工程在穩步推進中。而醫療信息集中體現在電子病歷中，包含了患者基本信息、健康信息、醫療費用信息等，具有巨大的潛在價值。如果不對電子病歷加以規制，會對個人信息帶來泄露的威脅。我國2019年12月在全國人大常委會頒布的《基本醫療衛生與健康促進法》第33條中規定，“要保護患者隱私”，并于第102條和第105條中對泄露、非法收集、使用、加工、傳輸個人健康信息的行為作出了處罰規定，在法律層面加大對患者的個人信息保護。

北京市衛健委于2017年發布《關于加強北京地區30家試點醫院電子病歷共享調閱工作的通知》(以下簡稱《通知》)，正式開展了電子病歷互聯互通工作。《通知》中規定：“授權是電子病歷共享調閱實施的前提條件。”即保障患者的知情同意權是實現電子病歷共享的前提，并在此基礎上做出判斷，同意則授權，為他人能夠處理自己的個人信息提供正當化的合法依據；不同意則拒絕授權，但不能成為醫院拒絕為患者提供診療服務的借口。此處的授權不僅是程序性權力，還是實體性權力，即對自己個人信息控制的權利[1]。本文調查了北京市醫患對于醫療信息共享的認知情況，并根據現狀，為實現電子病歷互聯互通和患者信息保護二者的共贏提出針對性的建議。

1 資料來源與方法

1.1 研究對象

本研究抽取北京市西城區(2個)、朝陽區(3個)、昌平區(3個)、懷柔區(2個)，共10個衛生服務中心的患者醫生進行調研。共發放患者問卷420份，回收有效問卷406份，回收有效率為96.6%；發放醫生問卷共295份，回收有效問卷284份，回收有效率為96.2%。

1.2 研究方法

采用自行設計的調查問卷——《北京市關于醫療信息共享認知調查(醫生/患者)》進行現場調研，回收的數據用Epidata 3.1錄入，并用SPSS 25.0軟件進行統計分析。

2 結果

2.1 患者對于醫療信息共享的看法

由表1可知，在醫療信息共享時，患者認為最有可能導致個人隱私泄露的原因由高到低依次為內部泄露、利益驅動、法律缺位、技術問題、患者意識。由表2可知，在醫療信息共享背景下，保護患者隱私最重要的手段依次為提高醫護人員的醫德修養和加強司法監督預防。綜上，患者的角度認為保護患者隱私重在醫院的內部管理。

表1 患者認為醫療信息共享時導致個人信息泄露的原因

表2 患者認為在醫療信息共享時保護個人信息最重要的措施

2.2 醫患雙方對于醫療信息授權方式的意愿

在“醫患對于共享自己的醫療信息的授權方式”上，醫生和患者的選擇不同。由表3可知，患者選擇“每次都要確認”的占比最多，醫生則是“簽署一次性授權書后，還要定期確認”占比最多。可見在授權形式上，患者更注重自己的個人信息保護，醫生在注重信息保護同時還希望具有便利性。

表3 醫患對于醫療信息共享方式的意愿

3 討論

3.1 加強醫院的內部管理對于保護電子病歷互聯互通中的個人信息尤為重要

通過上述數據分析可見，從患者的角度出發，他們認為在信息共享時，信息泄露的原因主要來源于醫院內部，保護個人信息最主要的手段是提高醫護人員修養。在電子病歷互聯互通時，如若有規章制度來規制醫生和患者的行為，明確其權利與義務關系，使授權程序貫穿于醫療信息處理的始終，患者對于自己信息安全能更放心。而通過北京地區實際調研發現，醫院內部對于電子病歷互聯互通沒有明確的授權程序，其授權的形式復雜多樣、授權范圍寬泛、沒有撤回機制且易造成授權機制的僵化。

3.1.1 授權的形式復雜多樣

目前在參與電子病歷共享調閱的30家醫院里，患者授權的形式分三種類型：紙質協議書、醫院自己的APP和數字認證方式。然而在實際運用中，對于醫生來說，無論是哪種方式都會占用診治的時間，無疑會使效率降低，而紙質協議又涉及對其進行保管；對于患者來說，知情同意的權利并沒有真正實現，面對冗長的紙質協議，復雜的電子注冊程序，患者大多不會仔細閱讀條款，使得患者授權流于形式。

3.1.2 授權范圍過于寬泛

在北京衛健委的《通知》中規定：“患者授權同意情況下，可獲取該患者最近3個月就診相關信息。”而在實際運用中，獲取患者既往病歷的時間沒有限制，被授權接診醫生可查看病歷的范圍仍過于寬泛。在電子病歷共享平臺完善后，電子病歷中不只是門急診信息和出院患者信息，隨之會加入住院患者病歷的信息，未來也可能加入放射影像信息等，單純以是否為接診醫生加以區分的話，不利于患者個人信息的保護。再者，電子病歷互聯互通建設處于初級階段，醫護人員缺乏對患者信息保護的關注度，個人識別賬號存在交叉互用的現象，也會給電子病歷中的個人信息安全帶來隱患。

3.1.3 授權沒有撤回規定

在2012年國家標準化管理委員會發布的《信息安全技術公共及商用服務信息系統個人信息保護指南》中規定，“個人信息主體有正當理由要求刪除其個人信息時，及時刪除個人信息。”但是，在北京此次電子病歷互聯互通中，針對患者授權的機制中并沒有涉及撤回授權的規定。患者的權利難以保障，增加了個人信息不受自主支配的風險。

3.1.4 授權機制僵化

個人信息保護和互聯互通是一對矛盾，但互聯互通是趨勢，不可逆轉，我們要在促進電子病歷共享的過程中合理地保護患者信息，過松或過嚴的個人信息保護措施都將不利于患者的利益。但在大數據時代，知情同意對于個人信息的保護并不完全相適應，過度強調知情同意會給數據主體和醫院都造成沉重的負擔，阻礙醫院的醫療活動開展，還需要對知情同意建立合法化的必要豁免。

授權是電子病歷共享調閱的前提條件，但該原則不應該是絕對的。不考慮患者自身的具體情況、患者所處的環境、電子病歷共享的目的，將知情同意原則絕對化，會使醫療工作者和患者都陷入尷尬。電子病歷共享調閱在授權時并不能窮盡的告知患者共享的目的，患者也不都是具有完全的行為能力，還要考慮患者在不知情的情況下是否會危害其利益等。總之，一味的強調患者授權，使知情同意原則絕對化，在特殊情況時，會增加知情同意的控制成本，進而使電子病歷共享成為一種形式，患者不會有實質性的受益。

3.2 醫患雙方對于信息共享方式的意愿不同

在醫療信息共享方式的選擇上，醫患雙方的觀點并不相同。患者自我保護的意識比較強，對于信息的控制比較嚴格，希望“每次都要確認”；醫務工作者更希望在便利患者的同時再保護信息，“簽署一次性授權書后，定期再確認”。這就突顯出醫患雙方在電子病歷互聯互通上的矛盾所在，過度鼓勵共享可能對患者信息保護帶來沖擊；而如果過度保護個人信息、嚴格限制共享，也會對共享形成障礙，不利于發揮個人信息的價值。

經過調研發現，北京地區電子病歷共享調閱，其患者共享方式為一次性的，沒有時間限制。這會造成患者的主觀感受為個人信息的控制權受到威脅，進而不愿意進行授權。從上述醫生和患者關于此問題的調查中可見，由于患者和醫生的角度不同，患者對于授權時間的要求更為嚴苛，如何保證個人信息受到保護又不增加醫生和患者的負擔，平衡二者之間的關系，是需要研究的重點。

3.3 加強司法監督是預防個人信息泄露的重要措施

調研結果顯示，在保護醫療信息的手段中，除了加強醫務工作人員素養，加強司法監督預防也是很重要的措施。北京電子病歷共享《通知》中，規定了“市衛健委要建立信息通報機制，市醫管局要做好督導。”卻沒有可依據的規章制度，沒有設立具體可行的配套措施。對于醫院來說，內部規定各不相同，再加上醫院不重視對于電子病歷共享中患者個人信息的保護，單純依靠醫院內部的管理來監管很容易使規定形同虛設，當發生患者信息泄露事件后，不僅沒有可以應對的措施，對于患者也沒有方便有效的補救途徑。

4 建議

4.1 加強醫院內部管理，明確授權程序

4.1.1 完善授權形式

目前電子病歷共享調閱還在初期階段，由于各醫院的信息技術發展水平不同，統一各醫療機構的授權形式較為困難，可以借鑒我國香港地區關于電子健康記錄互通系統(即醫健通)的經驗[2]，患者可以通過三種方式給予授權同意：①網上遞交申請；②24h查詢熱線；③當面申請，如若正在接受服務可以直接授權，也可以在醫院管理局或衛生署轄下的電子健康紀錄登記站或電子健康紀錄申請及咨詢中心給予授權。增加授權渠道，不只是在接受服務時才能授權，可以縮短就診時間，提高醫生診療效率。

在授權的電子病歷上制作顯眼的標志，是對電子病歷管理的一種形式，可借鑒法國的個人病歷(personal medical record，DMP)模式。DMP模式是由患者決定記錄、創建和管理，但文件集中托管。被授權的DMP上有綠色的標志，沒有授權的為灰色標志，而患者沒有創建DMP的則沒有標志[2]。對于授權的電子病歷上制作標志，可以提醒衛生工作者，注意是否在沒有獲得患者知情同意的情況下侵犯了他人隱私。

4.1.2 分級分類劃分授權范圍

我國香港地區醫健通是按職能劃分授權范圍，獲得授權的不同醫護人員，會給予不同層級的取覽權力，以查看不同的資料以及使用系統的不同功能。在“有需要知道”的原則下，查看電子健康紀錄僅限于與其專業服務有關的部分，且所有瀏覽活動將被妥善記錄，以作審核和檢查。法國DMP的文檔有三種狀態：①開放式的，所有訪問者都可查看；②隱藏形式，只有患者自己可以訪問；③屬于敏感的信息，患者自己無訪問權限，只有在接診醫生的幫助下才可以查看[3]。由于我國患者的電子病歷普遍沒有自主查看的權限，可借鑒香港地區的模式，醫院制訂相關規章，按不同醫護專業人員的臨床需要或職能預先設定不同的查看權限，并且提高醫護人員的素養，加強其職業道德培訓，提高防范風險的意識，在關注患者臨床需要同時，注意到其個人信息安全問題。

4.1.3 建立撤回的規定

美國的知情同意一般為三種模式[4]：①無需知情同意；②選擇-加入，即開始時默認不共享，患者必須積極表示明確的同意才可以加入健康信息交換系統；③選擇-退出，即開始時默認為共享，若希望不共享，則需要積極表示，擁有退出交換系統的權利。選擇加入和選擇退出都賦予了個人拒絕的權利，即設置了退出系統的渠道。我們應該建立患者撤回授權的渠道，在撤回之后醫務人員將不能再查看患者的病歷，可更好的保障患者個人信息安全，加強對個人信息的控制。

4.1.4 建立授權例外規則

大數據時代，數據是基礎性生產資料，法律規制應該不僅在于保護個人信息，更應該在此基礎上能夠合理利用，更重要的是數據所帶來的便利不能沒有邊界和底線[5]。

首先可以對患者的醫療信息進行分類，分為一般信息和敏感信息，一般信息采用默示同意，敏感信息采用明示同意[6]。雖然有的學者認為大數據在深入挖掘、分析之后仍可以識別特定人的身份，應該不分信息類型、統一規范。但是，在我國互聯網蓬勃發展的時期，電子病歷互聯互通是有助于社會公眾的利益的，其所帶來的福祉要遠大于傷害。因此，可以建立法律規范，個人信息在經過匿名化處理后進行二次利用時(比如進行科學研究時)，禁止對其進行深度挖掘以致于恢復為可識別的個人信息。其次在電子病歷共享調閱中，應該明確患者授權的特殊情況。美國1996年頒布的《健康保險可攜帶與責任法案》(Health Insurance Portability and Accountability Act，HIPAA)，規范了“受保護的健康信息”(Protected Health Information，PHI)的使用和披露，原則上為未經許可不可披露PHI，但是對例外做出了規定[7]。對于電子病歷互聯互通，除了需要患者授權外，還要設立例外規定。比如：設立當基于公共衛生目的時、當患者生命健康處于危急時刻但無能力授權時、未成年人進行授權時、以及基于科學研究等情況的例外規定。

4.2 明確電子病歷共享方式

在確定電子病歷的共享方式時，既要注重發揮個人信息的價值，也要注重保護患者的個人信息權利，不能因為過度保護患者權利而限制了健康信息互聯互通，也不能為了發揮健康信息的價值而不考慮患者隱私等權利的保護；既要強化對健康信息共享中個人信息權利的保護，也要避免患者信息權利的泛化。我國香港地區在此問題上設置了兩種模式：一是為期一年的同意；二是無限期同意。患者可以使用唯一標識的8位授權號碼登入系統，隨時更換兩種同意的模式。在實踐中，絕大多數患者首選仍是“為期一年的同意”。電子病歷共享調閱在慢性病治療上發揮巨大的作用，患者不用每次都帶著一堆紙質病歷看病，也便于醫生查看患者常年用藥的情況。“為期一年的同意”不足以支撐慢性病患者常年就醫。筆者認為，“簽署一次性授權書后，再定期確認”是一個可行的方案，而最關鍵的就是給予患者隨時可撤銷授權的權利。

4.3 建立防止患者信息被侵犯的監督制度

醫院是患者電子病歷的保存機構，其內部要完善相關管理制度來規范電子病歷授權流程以及醫務工作者的行為，以確保信息安全，建立醫院信譽。政府還要專門建立一個市屬電子病歷共享的管理機構，制定相關規則和程序，統籌負責管理電子病歷共享調閱工程，并處理各項政策與法律問題，尤其是在涉及患者信息方面，能夠及時應對突發的信息泄露事件，設立安全監測和預警通報機制，防止其危害擴大化。此外，還要設立具有一定的權威性和專業性的第三方監管機構，不僅可針對電子病歷共享中存在的問題提供業務指導，還可以中立的看待患者個人信息安全問題，使患者自身的權益才能得到保障。

4.3.1 建立信息泄露上報制度

借助電子病歷共享平臺，醫院內部的信息中心要監控好自己電子病歷信息安全，市屬的電子病歷共享管理機構也應該實時監測本區域的信息安全，對信息安全按照影響的范圍以及嚴重程度進行“低、中、高”三級風險分級。對于“中、高”級風險安全事件采取上報制度，并分別規定上報的時限。對于低風險的讓醫院自己應對；中風險的信息安全事件上報留存記錄，但仍由醫院負責；對于高風險的信息安全事件不僅需要上報，還應該成立緊急安全小組查明原因，采取應對措施，事件處理后總結回顧，彌補不足。

4.3.2 建立信息通報制度

市屬電子病歷共享管理機構可建立季度通報制度，對于上報的信息安全事件進行統計分析，找出信息泄露的關鍵所在，并下發給各個醫院，督促各醫院內部完善整改。市屬的管理機構也應該對于高風險的信息安全事件及時公示給社會，必要時通知各個數據主體。

4.3.3 責任追究制度

同意授權意味著對自己權利的處分，放棄了抵抗和救濟的權利，具有了法律責任上的豁免；而拒絕授權，意味著當他人超越職能范圍侵害到個人信息時需要承擔法律后果。當發生患者個人信息泄露事件后，要明確醫療機構之間的責任關系，醫院對外是責任主體，醫務工作者由醫院內部進行責任追究。如若找不到責任主體，那么采取責任共擔的追責機制。當涉及的主體不能證明自己沒有責任的情況下，對于泄露信息的數據主體共同承擔賠償，故要設置相應的處罰和賠償標準。比如：葡萄牙“國家信息保護委員會”在認定某醫院未區分臨床數據的訪問權，違反了歐盟《一般數據保護條例》(General Data Protection Regulation，GDPR)的規定時，對其處罰了40萬歐元[8]的賠償。