個人健康信息保護現狀及完善

趙小爽

（暨南大學，廣東 廣州 510632）

一、我國個人健康信息保護的現狀

（一）零散的行業法規

在中國知網以“個人健康信息”為關鍵詞，限定學科為“民商法”方向，就發表年度趨勢圖看，2013年之后個人健康信息保護的研究成果激增。其原因主要是國家政策的導向，2013年之后，我國就密集出臺了許多政策以規范醫療領域內個人健康信息處理的亂象；并且于2016年提出“到2020年，健康醫療大數據相關政策法規、安全防護、應用標準體系不斷完善，適應國情的健康醫療大數據應用發展模式基本建立”。［1］個人健康信息保護逐漸提升，但遺憾的是，我國健康醫療大數據領域的立法推進還存在明顯的滯后性，目前對健康醫療信息相關的權益沒有設立專門的立法［2］，針對個人健康信息保護的問題散見于我國各種法規中且一般都是簡單規定，例如《精神衛生法》《護士管理辦法》，《民法典· 侵權責任編》也僅對個人健康信息侵權做了一般規定。這一現象產生了兩大難題：一是個人信息健康糾紛案件裁判標準不一致；二是具體侵權認定責任承擔方面缺乏相應的規制。

（二）我國《個人信息保護法（二審稿）》的相關規定

我國《個人信息保護法（二審稿）》雖已公布，但僅規定了個人醫療健康信息作為個人敏感信息之一，對其處理必須具有特定的目的和充分的必要性。至于處理者在處理個人健康信息是否根據不同的目的遵循不一樣的義務、當個人健康信息受到侵害應當適用什么樣的侵權規則等，都亟須進一步的解釋說明。

二、歐美個人健康信息保護的借鑒

（一）歐盟立法及實踐

歐盟針對個人健康信息保護采取了統一的數據保護立法模式。2016年通過的《一般數據保護條例》（簡稱GDPR）被國際媒體稱為是全球最嚴厲的一項個人信息保護立法，提高了個人信息處理者處理行為的標準，并且增加了很多監管措施。

關于健康數據，GDPR將其定義為“與自然人的身體或精神健康有關的個人數據，包括提供披露其健康狀況信息的醫療服務”被歸類為GDPR第九（一）條所述的“特殊類別”，GDPR第九條規定了特殊類型的個人數據處理，其中包括個人健康相關的數據。根據該條規定，個人信息處理者原則上不得處理個人健康信息，除非得到了個人信息主體的授權。為了保證“告知-同意”規則的有效性，GDPR同時規定了告知必須是數據主體自愿做出的真實意思表示，明示或默示個人信息處理者對其個人信息進行處理，同時，該同意也是可以隨時撤回的。我國《個人信息保護法（二審稿）》也規定了“告知-同意”規則，但是這一規則在實踐中卻常常失靈，原因有二：一是專業術語晦澀難懂，數據主體疲于應對；二是數據主體一旦拒絕就無法享受相應的服務。

就醫學研究而言GDPR第九（二）（j）和第八十九條規定了“告知-同意”一般規則的若干例外，但仍舊規定了個人信息處理者的安保義務。同時GDPR第九（二）（h）、第九（二）（j）條和第八十九條允許成員國立法對GDPR中有關數據主體權利的若干條款進行額外規定。德國最新修訂的《德國聯邦數據保護法》（簡稱BDSG）第二十二條列舉了GDPR要求中處理特殊類別數據的若干例外情況。例如，在德國，出于社會保障管理、預防醫學和公共衛生事故的目的，允許進行此類處理。同時，BDSG第二節描述了各種必要的保障措施，其中匿名化就是其中之一。此外，BDSG第二十七條規定，如果出于研究目的需要進行數據處理，且控制者的利益大于數據主體的利益，則有理由限制GDPR下數據主體的權利。然而，除了BDSG第二十二節中已經提到的保障措施外，特殊類別的個人數據必須在為其原始目的處理后盡快匿名。歐盟成員國在立法減損GDPR方面的回旋余地使得法律上的規定更加復雜，使得研究機構和公司更難開展國際研究或跨境交換數據。

除數據保護法外，醫師和研究人員還必須遵守關于《人用藥品臨床試驗法規》（Regulation（EU）536/2014 on Clinical Trials on Medicinal Products for Human Use）該法規規范了授權程序、安全必要性和參與臨床試驗的同意要求，這進一步使“告知-同意”規則復雜化，并對后續使用、共享來自臨床試驗的信息增加了限制。

（二）美國立法及實踐

1.完善的健康信息隱私保護法律體系

《健康保險攜帶和責任法案》（HIPAA）是美國保護個人健康信息隱私的主干法律，其主要內容包括隱私規則和懲罰規則三大部分［3］。為了衡量美國人在接受醫療咨詢時所透露的個人健康信息的私密水平的高低，HIPAA法案中規定了Privacy Rule。對于在治療過程中產生的個人健康信息、病人對自身攜帶病例要求保護權、對整個過程以及其后的信息保護措施的知悉等權利以及醫療組織之間的信息共享都做了詳細的規定。除此之外，對于違反規則的主體，衛生管理等有關部門可以實施罰款。

但是HIPAA法案也存在明顯缺陷：第一，HIPAA沒有對醫療組織以外的其他組織就個人醫療信息交易做出有關規定；第二，HIPAA賦予了相關醫療組織過多自由裁量權，許多醫療機構或出于過失或嚴重違反職業道德非法處理個人健康醫療信息，損害個人健康信息主體利益；第三，HIPAA沒有賦予被害人最基本的訴權，因此大大削弱了HIPAA法案的震懾力和救助力。

2.相關健康信息隱私保護條例與規章

國家醫療信息技術協調辦頒布的《對可辨識的個人健康信息進行電子共享的國家隱私與安全框架》針對健康信息共享過程中存在的安全隱患規定了知情權、糾正權、選擇權等相關內容［4］。《個人電子健康信息保護的國家標準》《衛生信息技術促進法》一方面要求相關機構使用先進的醫療信息安全保障技術；另一方面規定全國醫療單位和各執法機關提升衛生信息技術水平。

3.行業規章對保護個人健康信息的規定

在美國，除了受到法律法規的約束外，個人信息處理者的處理行為還要符合行業協會的規定，如《美國醫療協會規章守則》《美國護士協會道德守則》《美國醫院協會病人權利》等。值得一提的是根據美國法律的規定從業人員是否參加各自的協會沒有強制性要求，因此雖然行業規章規定了從業人員的保護病人隱私的義務和標準，但實際作用有限。

三、個人醫療信息保護的完善建議

（一）完善“告知同意”規則

首先，簡化“告知”內容，做到重點突出。個人信息處理者應簡化告知規則，就重點條款列舉，避免使用繁雜的術語。其次，提高“同意”標準。限制個人信息主體僅限于該患者的個人健康信息，不得默認患者勾選概括性同意；就無完全民事行為能力人而言，其“同意”須由其監護人做出。個人健康信息主體在作出“同意”意思表示之后可以隨時撤回，同時有權了解個人健康信息的處理情況；個人健康信息處理者不得以主體不同意信息處理為由，拒絕提供服務。

（二）通過專門立法平衡患者個人信息權益與公共利益

我國《個人信息保護法》呼之欲出，個人醫療信息作為個人敏感信息之一，適用于個人敏感信息的相關規定。個人醫療信息中包含的基因、遺傳等信息不僅涉及患者個人的人格尊嚴，還關乎國家安全；但是，過于限制個人健康信息的處理又會影響醫療科技的進步。因此，筆者建議對個人健康信息保護進行專門立法，細化個人健康信息等級，對于有關基因等涉及生物安全的個人健康信息給予最高等級的保護；對于保密等級較低的個人健康信息可以通過“去身份化”特殊技術手段處理后，再進行處理。

（三）明確規定個人信息主體的訴權，細化個人信息侵權規制

大數據時代，個人信息兼具財產與人格利益，個人信息侵權事件層出不窮，從法律層面看，個人信息主體訴權至關重要。同時，隨信息技術的高速發展，個人信息侵權案件也為司法審判工作帶來了諸多挑戰，例如侵權主體多樣難以確定、主觀過錯究竟是無過錯還是過錯推定、精神損害如何界定、因果關系的認定等。一般侵權責任構成要件在解決個人信息侵權案件中捉襟見肘，因此亟需更加細化的個人健康信息侵權規制。