大数据背景下电子病历的法律合规

么晓月，戴昱，赵因

（四川明炬律师事务所，四川成都 610041）

2016 年国务院办公厅发布《关于促进和规范健康医疗大数据应用发展的指导意见》①国办发〔2016〕47号《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》：“鼓励各类医疗卫生机构推进健康医疗大数据采集、存储，加强应用支撑和运维技术保障，打通数据资源共享通道。加快建设和完善以居民电子健康档案、电子病历、电子处方等为核心的基础数据库。”，其中鼓励各类医疗卫生机构加快建设和完善电子病历等基础数据库，从而搭建健康医疗资源大数据系统。随后2017年国家卫健委出台了《电子病历应用管理规范（试行）》（以下简称《规范》），电子病历由此而在搭建大数据系统中成为医疗大数据构建的核心要素。

现实中，在电子病历全程电子化采集、记录的实现过程中，患者的个人信息以及隐私不仅医疗机构能够查看，而且电子病历第三方储存平台以及相应保险机构等也同样能够接触到，从而导致患者个人的信息和隐私泄露的风险大幅提升；同时，由于电子病历修改痕迹难以追溯的现实，导致举证困难。可见，电子病历的合法合规对于防范患者个人的信息和隐私泄露至关重要。

一、电子病历概述

（一）“电子病历”概念的界定

正如2017年国家卫健委发布的《规范》所言，所谓“电子病历”是指：医务人员在医疗活动过程中，使用由信息系统生成的文字、符号、图表、图形、数字、影像等数字化信息，并能实现存储、管理、传输和重现的医疗记录，是病历的一种记录形式，包括门（急）诊病历和住院病历。②国卫办医发〔2017〕8号《电子病历应用管理规范（试行）》第3条“电子病历是指医务人员在医疗活动过程中，使用信息系统生成的文字、符号、图表、图形、数字、影像等数字化信息，并能实现存储、管理、传输和重现的医疗记录，是病历的一种记录形式，包括门（急）诊病历和住院病历。”

电子病历是医疗信息化建设的关键，它可以避免信息零散化，同时兼具集成数据平台的统一性。其中患者信息系统可以提供患者的个人信息，这有利于医生了解患者的基本情况；临床信息系统则可以提供各类健康数据，例如检验数据、影像检测数据、查体测量值等。不同疾控机构、医疗机构及其不同科室，均可通过信息共享的方式在一定限度内查看患者的个人健康档案。

传统纸质病历在民事案件、行政案件、刑事案件中作为重要的证据材料存在。电子病历记载了患者的病情发展过程和诊疗进程，从而作为医疗机构或医务人员的诊疗行为存在过错以及诊疗行为与损害之间是否存在因果关系的重要证据。

（二）大数据背景下“电子病历”的界定

《规范》中要求电子病历必须具备以下特征：应当能够对操作人员进行身份识别，当医务人员完成病历后能够显示医务人员姓名及完成时间，同时还能够保存历次操作痕迹、标记准确的操作时间和操作人信息，从而实现电子病历形成过程的可追溯性。③国卫办医发〔2017〕8号《电子病历应用管理规范（试行）》第14条“电子病历系统应当对操作人员进行身份识别，并保存历次操作印痕，标记操作时间和操作人员信息，并保证历次操作印痕、标记操作时间和操作人员信息可查询、可追溯。”

可见，以医疗大数据资源系统搭建为目标的电子病历，其核心特征是方便、快捷、高效地获取、采集、共享患者信息，提高临床诊疗工作效率和保障医疗质量。

二、大数据背景下电子病历在合规建设中所面临的困境

（一）电子病历的证据效力缺陷

在涉及医疗过程的案件中，电子病历是不可缺少的重要证据。电子病历应当符合证据真实性、合法性、关联性的三要素特征，即：第一，病历必须能反映整个医疗过程的客观事实；第二，病历的采集与制作必须合法；第三，病历必须与要证明的事实存在联系。

电子病历一方面给临床带来方便和效率，但是另一方面，由于现有管理与技术层面的多种原因，导致其所形成的病历在真实性和合法性方面经常被质疑，导致电子病历失去证据的意义。系统应该记录病历的历次修改中及修改前后的内容、修改人、修改时间等重要信息。但是目前由医院提交的打印成纸质文件的电子病历并没有显示这些重要信息。这种既不能反应病历产生时间又不能反应病历修改痕迹的电子病历打印文本，由于其原貌无法完整呈现，便缺失了证据特征之一的真实性。在医疗损害侵权纠纷案件中，时常有患方质疑医方电子病历存在涂改、伪造，但患方很难就电子病历打印文本举证证明自己的主张。

（二）电子病历可能影响司法鉴定结论的真实性与准确性

根据《最高人民法院关于审理医疗损害责任纠纷案件适用法律若干问题的解释（2020 年修正）》第四条规定，当患者无法提供诊疗机构或其医务人员的诊疗行为存在过错、该行为与损害后果之间有因果关系的证据时，患者有权向鉴定机构提出医疗损害鉴定申请。④《最高人民法院关于审理医疗损害责任纠纷案件适用法律若干问题的解释（2020年修正）》第4条“患者依据民法典第一千二百一十八条规定主张医疗机构承担赔偿责任的，应当提交到该医疗机构就诊、受到损害的证据。患者无法提交医疗机构或者其医务人员有过错、诊疗行为与损害之间具有因果关系的证据，依法提出医疗损害鉴定申请的，人民法院应予准许。医疗机构主张不承担责任的，应当就民法典第一千二百二十四条第一款规定情形等抗辩事由承担举证证明责任。”

电子病历实质上仍是病历，记载了患者的病情发展过程和诊疗进程，因此它与待证事实之间具备关联性，是鉴定机构重要的鉴定材料。我国关于电子病历的鉴定程序才刚刚确立，因而电子病历中所含数据的提取程序不够完善且缺乏完备的法律规范作为保障。电子病历系统是以数据库的形式存储数据并进行数据修改，这就注定其存在易分离、易修改、且不易留下痕迹的问题。如果电子病历进行过修改、伪造但是又没有被原告或者法院、鉴定机构发现，那么这种不真实的电子病历必然会影响鉴定机构对医疗机构诊疗行为的判断，其所得出的司法鉴定结论就不具有真实性与准确性。前不久由笔者代理的某医疗损害侵权责任纠纷案件中，正是因为电子病历在后期被认定为涂改、伪造，其医疗过错鉴定报告被鉴定机构宣布作废。

（三）电子病历具有易泄露患者的个人信息和隐私的法律风险

患者就诊信息由医疗机构独立保管的局面被彻底打破，如今的电子病历开发单位致力于升级、完善系统，拟全面实现我国各省级、地级、县级的医疗卫生机构、药品管理机构、综合管理机构等的数据共享，这不仅有助于个人医疗的便利化，还能够极大地促进我国公共卫生和医学科研的发展。但电子病历数据共享化是一把双刃剑，大量的第三方单位涌入电子病历系统，必然会导致患者个人信息和隐私受到威胁。

1.电子病历数据共享可能导致患者个人的信息和隐私泄露的风险

依据《中华人民共和国民法典》“人格权编”第六章关于“隐私权和个人信息保护”定义⑤《中华人民共和国民法典》第1032条：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”《中华人民共和国民法典》第1034条：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”，患者的电子病历应当属于个人信息和隐私，受到法律的保护。医疗机构对电子病历数据进行存储、使用、管理，就属于对患者个人信息的处理。依据电子病历数据的性质，可将其分为个人基本数据、健康数据、治疗数据、支付数据四大类；其中个人基本数据包括姓名、出生日期、性别、民族、住址、婚姻状况、联系人信息等，健康数据包括主诉、现病史、既往史、过敏史、专科查体、检验数据等，治疗数据包括门诊病历、住院病历、病程记录、医嘱、手术记录、输血记录等。

电子病历数据会基于患者跨院会诊、跨院就诊、保险公司医疗费用报销、公共卫生机构流行病学调查等原因而供共享。[1]同时，由于电子病历数据是通过互联网实现数据共享，机构在对外传输数据时如果没有采取防火墙、数据保护等措施，则可能使患者个人信息暴露于网络之中，导致患者个人之信息和隐私泄露的风险。

2.电子病历技术缺陷可能导致患者个人的信息和隐私泄露的风险

我国的电子病历系统并未实现完全的智能化，加之部分地区医疗机构的硬件条件有限，当医务人员大量上传患者个人信息、甚至是多次修改之时，极有可能会导致系统超载或崩溃，使没有授权的用户、黑客等有机可乘，从而导致患者个人的信息和隐私泄露。

3.电子病历使用权限区分不明可能导致患者个人的信息和隐私泄露的风险

电子病历系统的访问原则上应当是分类授权的，根据科室、主治医师、药剂师、护理师等职务层级进行区分。但在实践之中，多数医疗机构的电子病历系统仅靠账号、密码进行管控，未对用户权限进行区分，甚至有医疗机构的工作人员随意告知他人自己的账号密码，这就可能导致与医疗行为无关的人员能够轻易获取患者个人信息和隐私。如现实中便已有医药代表通过医生电脑账号拷贝患者病历的事件发生。

三、大数据背景下电子病历之合规建设的建议

（一）增加电子签名及时间戳技术以满足证据要求

电子签名及时间戳技术，即计算机通过计算产生独特的电子签名并在签名时加盖时间证明，从而保证医务人员对电子病历的操作留下完整痕迹。电子签名技术保证了修改留有痕迹，只要电子病历的内容稍有变化，所产生的数据就会与上次不相同，故方便查询修改之前的病历，也可以对修改者身份进行确认，从而保证一旦电子病历作出了修改，就能够通过密钥识别到人，还可以在使用电子签名的同时加盖时间戳，用来证明电子病历创建、修改以及完成的时间。

（二）隐匿化处理患者就诊信息

随着各类医疗数据库的建立和使用，笔者建议应该隐匿化处理患者的就诊信息。利用电子病历建立医疗数据库的过程中涉及对患者诊疗数据的提取、统计、分析，为防止通过就诊信息识别出特定的患者，应当对患者的就诊信息进一步隐匿化处理。首先，可采用代称、马赛克的方式保护患者个人的信息，以降低不法分子通过信息拼凑锁定特定患者的可能性。其次，在电子病历系统中加入一键匿名化的功能并定期升级匿名化系统，将匿名化作为系统安全考评的指标之一。如今，重新识别技术和匿名化技术相互抗衡，某些不法分子为贩卖个人信息获利而不断升级去匿名化技术，企图通过破解的方式获取患者个人信息。[2]因此，完善系统的匿名化功能，加强对患者信息的隐匿化处理是必要之举。

（三）完善电子病历系统访问的权限机制

医疗机构应当针对本机构内不同身份的人员给予区别化电子病历访问权限。例如患者的主治医生可以完全访问患者的电子病历，涉及不同科室会诊之时，需要主治医生向其他医生授予关于患者电子病历的访问权限，这样能够防止患者的诊疗数据在其他科室泄露。同理，护理人员等其他医务人员都只能在主治医生的授权范围内访问患者的信息，行政、后勤等非医疗部门原则上无权访问电子病历。

（四）电子病历管控主体的行为合规机制构建

电子病历系统往往是由提供电子病历系统的厂商和医疗机构共同管理；而现行法律规定只明确了医疗机构所需承担的法律责任，但是电子病历系统的厂商也可能成为侵权主体——电子病历系统中的数据归属不明，现行法律并没有禁止电子病历系统厂商读取患者个人信息，因此其可能会因为故意泄露或者管理不当造成患者个人信息、隐私被泄露或被不正当使用。无论是上述哪种情况，电子病历系统的厂商都应当承担相关侵权的法律责任；同样，若其他机构因医疗保险报销等行为致使患者个人的信息、隐私泄露的，也需要承担责任。随着电子病历时代的到来，我国可加大执法力度，对于造成严重后果的可通过判令高额赔偿的方式，以加强医疗机构、电子病历厂商等主体对患者个人信息、隐私的保护意识。

医疗机构作为患者个人信息的主要管理者应当加强对患者个人信息及隐私的保护。比如，医务人员在对患者进行知情告知时，也要注意强调保护患者的个人信息和隐私，例如患者的资料今后会在哪些方面进行使用，尤其针对非医疗目的的使用应该重点告知，取得患者同意。第一，医务人员提供知情同意书供患者阅读时，应着重告知和患者个人信息保护相关的内容；第二，将知情同意书中与患者个人信息保护相关的条款重点标记出来，可参照履行格式条款中提醒注意义务，从而减少医疗机构因告知不充分而承担侵权责任的风险。[3]再者，处理患者的个人信息应当获得患者的明示同意。例如：患者李某同意将本人的医疗数据，包括个人身份信息、诊疗数据等全部内容用于科研、保险机构、国家机构事业单位、其他就诊医疗机构等主体数据共享。

此外，医疗机构还可以通过制定患者个人信息处理流程、泄密医务人员责任承担等内部制度，加强对患者个人信息、隐私的分级分类管理。例如，可对患者的私密信息加密处理，严格审核访问主体并限制其可访问的范围。此外，医疗机构应该组织医务人员学习相关法律法规，加强医务人员隐私保护意识。

在医疗大数据时代，医院信息化管理正由传统管理方式向“患者为中心，电子病历为核心”的现代管理方式转变。医疗服务作为民生之必需，医疗大数据的发展有利于提高诊疗水平与效率，但只有解决了患者隐私保护的难题，才能大范围推行电子病历，实现高效便捷的医疗服务，惠及患者。笔者通过对电子病历特征、电子病历所存在的法律风险以及原因分析，针对大数据下的电子病历在证据效力、患者个人信息和隐私保护方面提出合规建议，冀能帮助医疗机构规避或降低法律风险。