美国患者隐私权保护制度及其对中国的借鉴

孙煜

摘  要：随着信息技术的进步，个人资料频遭盗用，个人信息安全频受威胁，而患者在就医时的医疗信息也时常面临被透露的危险，中国在对保护患者隐私权方面的工作尚未完善，患者的个人隐私意识也有待提高。随着“云医疗”概念的提出，如何保障患者的医疗隐私权已成为当务之急。美国在患者隐私保护制度方面做的较为出色，有许多经验值得我国学习和借鉴。

关键词：个人信息;医疗信息;隐私权;保护

中图分类号：D93            文献标识码：A            文章编号：1672-8122（2015）09-0029-03

一、患者隐私权

（一）患者隐私权的概念

传统意义上的隐私权理论将隐私视作个人不被外界打扰的私生活。但自隐私权最初被理论界界定为“独处权”以来，隐私权理论在学术界始终未下定论，其内涵和外延仍显模糊。学界对传统的隐私权理论探索可大致分为三大类：“独处权说”，“有限地接近自我说”和“个人信息控制权理论”，其中“个人信息控制权论”在理论界和实务界一直位于上风[1]。

笔者认为，在现今的技术发展条件下，广义概念上的个人信息包括：1.能够根据自然人的个人标志、符号、面貌特征、声音特征直接或间接识别该自然人特征标示;2.自然人的姓名、年龄、生肖、出生日期、身份证号、星座、民族、种族等身份背景;3.自然人的手机号、微信号、微博账号、QQ账号等通信联络社交方式;4.自然人的身体状况、婚姻状况、受教育状况、财务状况等生活信息资料;5.自然人的宗教信仰、思想主张、政治观点、党派等价值观信息。这些信息资料具备形式多样化、传播速度快、传播范围广的特点。

个人医疗信息是个人信息中的一部分，其内容包括：1.自然人在就诊前掌握的个人身体健康信息、家族病史等信息;2.自然人在体检或就诊过程中，所涉及到的个人身体特征、健康状况、疾病症状等信息;3.自然人在医院发生检查、治疗过程中，获知的疾病状况、化验信息、治疗方案计划、化驗治疗结果等信息。在必要情况下，医生从患者处了解到的个人生活习惯、经济状况、家庭信息也属于个人医疗信息中的一部分。

结合以上分析，我们不妨将患者隐私权理解为患者在医疗过程中保护身体特殊隐私部位不被不当暴露或触摸，以及保护个人的医疗信息不被医务工作者或其他人员不当泄露用于其他与医疗活动无关的事务中的权利[2]。

（二）患者隐私权亟需受到重视和保护

在就诊过程中，享受高质正规的医疗服务通常需要患者向医生告知自己生活中一些最私密的细节，因此，一份完整的医疗报告可能包含着比患者的个人档案更多的隐私内容。自希波拉克底（古希腊著名医生）时期，医生即开始宣誓要保证患者个人敏感信息的保密性，以与患者建立相互信任的关系。直到20世纪，这项道德上的义务已经成为患者个人隐私的首要保护墙。然而希波拉克底誓言是以单人对单人的医患关系为前提，患者隐私可以仅仅受医生的控制，而如今我们则需要考虑到现实医疗服务实践中的复杂性。

现今，随着数字网络的不断发展进步，以医院为代表的医疗机构开始积极引入信息化工具，不断改革创新，接受医疗服务已融入进整个医疗行业和保险公司的信息网络中。为了抑制不断增长的医疗服务支出，为医疗服务买单的各方，包括保险公司，政府以及雇佣单位通常需要收集并使用大量医疗服务信息数据。同时，近来的信息技术革命促使并加快了医疗信息储存与传播的电子化。此外，越来越多的二级使用者也开始对医疗信息产生需求，而他们的目的通常与医疗本身无关。许多医疗信息的持有者并没有履行保护医疗信息机密性的道德义务。更重要的是，尽管存在着伦理上的要求，在法律上依然没有强制性措施对患者的医疗隐私进行保护。

基于医疗信息的众多用途以及在现今复杂的医疗服务体系中能够触及医疗信息的人数之多，许多病人都开始担心自己的个人健康信息的机密性。根据美国近期的一项民意调查，只有三分之一的美国成年人愿意信任医疗计划以及政府关于保护医疗服务隐私性的计划。五分之一的美国成年人认为医疗信息的提供者，如保险公司的保险计划，政府机构，或是雇佣单位都会不适当的揭露个人医疗信息。二分之一的民众认为这样的透露隐私置他们于尴尬甚至被伤害的境地。患者害怕他们的雇佣者，家人或是朋友会发现他们的身体状况，并对他们的工作的稳定性，与他人之间的关系或是个人安全造成一定消极的影响。因此，六分之一的美国成年人表示他们曾做出一些出乎意料的举动以保护自己的个人医疗信息的机密性。这些举动包括：重新咨询另外一个医生;支付额外的现金;不再寻求服务;在病历上写下不准确或不完整的信息;要求医生不要在病历上写下健康问题或是记录不是很严重或尴尬的身体状况。显而易见，在现今的医疗服务系统，仅仅道德上的义务约束无法充分的保护患者的医疗信息的隐私，我们需要有更多的措施来保证患者的个人医疗信息隐私。

二、美国患者隐私权保护制度

尽管美国的民意调查显示出民众对政府的患者隐私保护制度仍然缺乏安全感，但仅从对患者隐私制度进行民意调查这一举动，我们即可想象出美国对隐私保护的重视程度，不得不承认，美国的隐私保护制度是目前最完善的。2004年4月26日，美国前总统布什宣布了一项计划，计划中指出要在未来十年内，保证众多美国公民拥有自己的电子健康记录。除此之外，最值得一提的就是美国在1996年通过的《健康保险便利与责任法案》（Health Insurance Portability and Accountability Act，简称HIPAA），规范了绝大多数医疗记录和健康信息的获得和隐私保护制度，这部通行于全国的联邦法律对于患者的医疗健康信息隐私保护程度达到了史无前例的高度。

HIPAA的焦点就是要对电子医疗服务事务建立全国性的标准，以允许在提供安全措施保护患者医疗信息隱私的同时更加有效的加快医疗信息的流通。HIPAA要求健康计划和特定健康服务提供者在进行一切诊疗、护理业务之外的活动中使用或披露个人信息必须首先获取个人同意，并采取积极有效的措施保障患者医疗信息的安全[1]。具体说来其主要内容有以下四个方面：

第一，该规则适用于“受调整实体”，也就是说，任何在通常的商业过程中提供或支付医疗保险的主体，也间接适用于任何从受调整实体处获得受保护的健康信息者[3]。对于受调整实体，该规则建立了概括的禁止规范，以防止他们使用或披露受保护的医疗信息，并用明确的概念对比将“使用”和“披露”区别开来，“使用”（use）指在特定的医疗系统领域内所进行的正当资料运用行为，“披露”（disclosure）则是向医疗系统领域以外的个人或机构提供资料。

第二，该规则以外目的的使用或披露医疗信息必须获得信息主体的授权。取得授权的医疗机构必须很清楚明确地叙明个人资料中哪些部分会被披露以及资料披露的对象为何方机构或个人。规则也规定了一些不需授权的例外情形。

第三，医疗信息主体的信息接近权。信息接近权的内容包括阅读与获得病历信息的复印件，了解其信息披露的所有方式、目的和时间，要求增减信息。不过在某些特定情况下，考虑到信息主体的心理承受情况和抗压能力，可以拒绝信息主体的信息接近权。

第四，医疗相关组织机构内应设立专门的隐私权办公室。其具体职责包括监管机构内所有的有关隐私权保护的活动;接受与建立信息隐私相关的申诉渠道;对员工进行定期隐私权保护培训，培养训练员工的隐私权保护意识;不断更新医疗信息防护机制与程序，以应对信息技术发展带来的信息安全威胁。

三、我国患者隐私保护的现状及困境

（一）我国患者隐私保护的现状

目前我国在患者隐私保护制度方面十分薄弱，医疗活动中存在大量侵犯患者隐私权的现象，在经济欠发达地区的中小型医院尤为严重。例如：在诊疗活动前，有专门的操作团队和个别小型医院签订合同，制作网页，假借其他大型优质医院的名义，让患者误认为是该优质医院的网上预约挂号网页，在患者登陆并填写个人信息后，操作团队即通过获取的号码联系患者，以低价、不排队等理由尽力说服患者改变想法，前往其推荐的医院就诊，在整个过程中，患者的个人隐私已完全暴露在公共网络空间。

在诊疗过程中，一些医院在未事先征得患者同意的情况下，将临床手术的全过程进行现场播放或视频转播，非法获得患者的隐私;一些医职人员未采取必要的预防措施保护患者的信息或遮挡患者的身体，随意泄露患者的个人信息或随意暴露患者的身体隐私部位;在一些临床教学医院，医生在给病人进行检查或治疗时，随意让学生旁观，让病人感到十分尴尬。

在诊疗结束后，一些医院在院内宣传栏、张贴的广告海报等宣传材料中擅自公布患者的病情及个人信息，将患者的隐私公之于众;有的医职人员将患者的隐私信息销售给药品公司或治疗机构，从中牟取经济利益。

然而诸如此类的侵犯患者隐私权的现象，民众都普遍习以为常，有的甚至认为这并不构成侵权。在医患关系甚为紧张，医患冲突不时出现的今天，许多患者已经把个人隐私这项重要的人格权利益置于最末位，而大多医职人员也仅将看病救人视为自己的本职工作，对病人的隐私保护却疏于考虑和重视。

（二）我国患者隐私保护面临的困境

首先，我国现行法律对患者隐私的保护至今未形成完善的基本架构，在个人的医疗信息隐私受侵害时，一般仅能依侵权行为法与合同法为依据请求赔偿，在预防医疗信息隐私受侵害方面也存在严重滞后与不足，信息主体缺乏对其个人信息的掌握与控制，加上目前对保密义务的规定也只是体现在形式上的宣誓，实质上并无相应的责任体系，对医疗目的外的使用和揭露患者隐私的行为并没有具体的法条规制等。这些立法上的缺陷不利于对患者的医疗信息隐私权实现确定、完整的保护。

其次，现实中除去一些收费高昂的私立诊疗机构，我国大部分医疗机构的场所设置、硬件设备设施等医疗条件无法满足患者隐私权保护的需要。目前国家实施的还是基础的医疗保障制度，受到人力、物力、设施、设备等资源条件的限制影响，医院的医疗条件还不是很完善。在这种环境下，想要对患者的隐私权实现全方面的保护，医疗机构方面显然会出现心有余而力不足的感受。在经济较为不发达的地区的一些小医院和诊所，其医疗环境普遍较为简陋，大部分情况下都是患者拥挤在同一间房间里排队看病接受医疗服务，医生的问诊过程都暴露在公共区域。有的医院或诊所在给患者进行检查的过程中，都没有将患者的病床隔离在独立空间内，甚至会出现数个患者在一个公共空间一同接受检查或诊治。

最后，大部分医疗工作从事者的隐私观念还有待提高，由于长期的超负荷、高压力的医疗工作，医疗工作从事者已经无暇或者没有更多的精力顾及在为患者提供检查、诊疗服务的过程中同时注意患者的个人隐私保护。多年的工作惯例已经让他们认为治好疾病让患者尽快恢复身体健康是对患者的最好交代，从而忽略了患者隐私保护的重要性。

四、完善中国患者隐私保护制度的建议

随着人们自身权利意识的提高，对隐私权的保护意识也越来越强烈，患者医疗信息的隐私保护缺口势必会让越来越多的患者感到不安或不满，因此我国亟需完善患者隐私保护制度。在此，提出以下几点建议。

（一）法律保护

隐私权作为一项具体的人格权，对其首先应在立法层面上进行保护。我国《侵权责任法》第62条规定：医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病理资料，造成患者损害的，应当承担侵权责任。但该条规定并没有就侵犯隐私权行为的法律后果做出具体的规定，在实务上缺乏一定的操作性。我们可以借鉴美国HIPAA为患者隐私制定一个全国性标准的做法，就患者隐私权的内涵、外延、权利主体及保护范围等具体内容进行明确界定，对医患关系中侵犯隐私权的不同侵权行为，明确应承担的法律责任方式。

除了在民法中进一步完善包括隐私权在内的公民人格权方面的立法建制，还应当制定一部统一的单行法《患者权益保护法》，明确赋予患者的隐私权，规定医疗工作者不得泄露患者的隐私，并将此作为一项法定义务[4]，保证患者的隐私权在法律上有明确的位置。美国医院协会的《患者权利典章》第5项规定：患者在其个人的治疗计划上，有权利要求其在隐私方面受到保护。针对患者的病历讨论和专家会诊、患者接受的检查和治疗，都应当保密。与患者的治疗活动无直接关系的第三人，必须取得患者同意才可在场。因此我国在制定单行法的时候，可以明确规定患者在就诊时所拥有的自由选择的权利，以保障患者的隐私权利。

（二）行业保护

2002年制定的《醫疗机构病历管理规定》中：“医疗机构应当严格病历管理，严禁任何人涂改、伪造、隐藏、销毁、抢夺、窃取病历。除涉及对患者实施医疗活动的医务人员及医疗服务质量监控人员外，其他任何机构和个人不得擅自查阅该患者的病历。因科研教学需要查阅病历的须经患者就诊的医疗机构同意方可借阅，但不得泄露患者隐私。”

在病案管理方面，医疗机构首先必须以《医疗机构病历管理规定》为基础，严格遵照法律规定，同时在机构内部制定严格的管理制度，对患者的病例、档案等个人信息资料做好整理、归档、保存和管理工作。尤其是在很多医疗机构推行电子病历后，对于病案等具有医学效力和法律效力的文件，需要医院及各界尽快找到具有时代特征、满足患者保护隐私权需要的管理方式，不断完善更新病案的管理制度，保证实现患者病案的系统管理、保密管理、科技管理。其次，医疗机构还要明确只有在法定的几种特殊情形下，或是为了平衡社会、公众的利益，或是有患者本人的书面授权同意书，与患者接触的，直接为患者提供医疗服务的医务人员之外的第三人才可以在一定范围内接触、查阅其病历档案。

在医疗环境和设施设备方面，医疗机构应意识到舒适的就医环境和人性化的诊疗服务也是评判医疗机构质量的一项重要指标[5]。医疗机构应当尽可能为患者提供一个舒适的就医环境，在安排患者接受药物、器械试验，或者有实习医生或外请专家参与诊疗活动的时候，以平等友好、协商理解、知情自愿为指导原则，提前向患者解释原因，在征得患者的同意后才可进行[6];医疗机构工作人员如需进入患者的单人病房时，应先敲门示意才可进入等。

在唤醒医疗机构工作人员的隐私保护意识方面，医疗机构可以专门设置隐私办公室，配备工作人员专职负责患者隐私事务，设定尊重患者隐私权的明确规定，从制度上明确区分为了保证诊疗服务的质量，正常了解患者隐私和利用职务之便打探患者个人信息，侵犯患者隐私两种行为之间的界限，使医务人员在进行医疗行为时都能够严格按照技术操作规程办事，由专门的工作人员监督医疗过程中的隐私权行为，定时定期为医职人员进行隐私权保护的培训，积极接受和及时处理患者在隐私保护上的申诉。

参考文献：

[1] 孔令杰.个人资料隐私的法律保护[M].武汉：武汉大学出版社，2009.

[2] 曾琼.论患者隐私权保护中的权利冲突及其协调[J].法商研究，2009（6）.

[3] 周汉华.个人信息保护前沿问题研究[M].北京：法律出版社，2006.

[4] 赖嫦媛.医患关系中患者隐私权的法律司考[D].暨南大学，2006.

[5] 于京珍，栾成允.患者的隐私权及其保护问题探讨[J].中国农村卫生事业管理，2005（2）.

[6] 王雪峰.泄露患者隐私的渠道、方式及防范措施[J].锦州医学院学报（社会科学版），2006（3）.

[责任编辑：传馨]