互联网医疗时代患者隐私保护的美国实践与探索

文　 罗力　芮绍炜　杨帆　霍兆桦

互联网医疗时代患者隐私保护的美国实践与探索

文 罗力芮绍炜杨帆霍兆桦

互联网医疗的兴起在节省医疗成本、提升患者体验、优化医疗模式等方面发挥了重要作用。然而，互联网医疗在发展过程中也一直受到患者隐私保护等问题的困扰。本文基于复旦大学的研究成果，梳理了美国在促进互联网医疗的发展过程及保护隐私等方面的实践经验，并且提出了若干建议。

互联网医疗主要是指以互联网为载体和技术手段，提供在线健康教育、电子健康档案、医疗信息咨询、远程诊断或会诊、电子处方等多种形式的健康医疗信息服务的新兴产业，近年来取得了快速发展。然而，互联网医疗的发展面临着一个非常敏感的问题，即如何处理患者的隐私管理，包括对患者就医资料所有权、使用权和管理权限的明确，以及医疗数据安全及隐私保护标准的形成。美国作为互联网技术与医疗行业最为发达的国家之一，不仅形成了较为完善的互联网医疗体系，在如何保护患者隐私方面也积累了丰富的经验，对上海具有重要的借鉴意义。

互联网技术成为美国医疗发展的“双刃剑”

随着互联网技术的成熟和加快应用，美国互联网医疗呈现快速发展的态势。当前，互联网技术在美国医疗领域的应用已十分广泛，除了较为成熟的电子病历、医疗信息服务、远程就医、健康管理之外，还包括导医导诊、临床决策支持、电子监管服务等新兴的医疗服务。其中，通过互联网进行健康管理在慢性病管理上尤为常见，可以节省医疗费用和提升患者体验。此外，还有新兴的基于电子健康档案，系统持续地进行数据收集、分析、整合、传播等一系列健康管理和促进服务。相对于传统健康管理模式，互联网的应用可以及时收集精确的实时数据，并且及时地分析、传播数据以采取合适的控制和预防措施。与此同时，日益加剧的人口老龄化、慢性病蔓延、医疗资源相对缺乏等问题，以及法律法案的支持和技术的进步，为美国互联网医疗的发展开拓了广阔的市场。据IBIS World统计，美国2014年互联网医疗市场规模达3.2亿美元，2015年达6.5亿美元，近5年市场规模年均增长率达34.1%。

需要指出的是，互联网技术是一把“双刃剑”，在促进医疗发展的同时，患者隐私安全的问题正日益凸现。互联网医疗的发展、医疗大数据的建立，给居民健康和医疗研究带来了极大便利。但是，在享受便利的同时，患者的隐私安全越来越引起重视。由于管理者意识淡薄、机构管理体系不健全等原因，患者的个人隐私常常遭到泄露。2010年，美国纽约医疗与医院集团下属的北部布朗克斯医疗网络报道，两个计算机系统的备份磁盘在停在曼哈顿街道上的供货卡车中被偷，这些磁盘存储着20年员工、供货商和病人的个人健康信息。2011年，作为有史以来最大的HIPAA（《美国健康保险便携与责任法案》）数据泄露事件，美国三军健康管理处和健康网备份磁盘和服务器丢失，导致美国三军健康管理处陷入集体诉讼并赔款49亿美元。

患者的隐私安全问题并非仅在互联网医疗下才会发生，而是贯穿于所有医疗活动中，在互联网、信息技术和大数据时代下，隐私信息的内容并未发生太大变化，但传播途径和范围的大大扩展，提高了隐私泄露的风险。

通过立法为患者隐私保护提供基本保障

美国早在1974年就颁布了《美国1974年隐私法案》（Privacy Act of 1974），对数据使用中的基本概念进行了定义。1996年通过的《美国健康保险便携与责任法案》（HIPAA）是美国保护医疗信息隐私的主要依据，该法案为医疗保健信息的隐私性、安全性和传输制定了新的全国性标准，且为防止信息诈骗和滥用实施了相关项目。该法案通过制定隐私规则、安全规则、信息标准、唯一标识规则、执行规则，对医疗信息隐私进行保护。

制定了信息的隐私规则。明确受保护健康信息（Protected Health Information，PHI）的概念和范围。PHI指的是由相关机构持有的任何形式的个人健康信息，包括健康状况、诊疗记录和支付信息。规范了PHI信息的使用和披露标准，将患者医疗信息的使用和披露分为三种类型：①无需经本人同意或授权即可使用和披露；②患者不明确表示拒绝即视为同意使用或披露；③未经患者同意不得使用和披露。

制定了信息的安全规则。安全规则作为隐私规则的补充，针对的是电子受保护健康信息（EPHI），安全规则从管理安全、医师使用和技术安全三个层面制定了相应的安全标准，“管理安全”包括信息应用的各类规定和程序，“医师使用”规范了医师的信息获取权限，“技术安全”通过控制计算机系统和信息安全技术来实现。

规范了管理和应用标准。通过授予医疗机构全国性的唯一标识来规范管理，同时授予每位患者唯一的识别符，采用电子签名进行用户认证，同时规范了信息的应用标准，以规范各类机构对医疗信息的收集、储存、交换和使用，以简化程序和提高效率。

制定了违规的惩罚规则。规定了违背HIPPA的诉讼流程和惩罚措施等，如对公民泄露医疗信息的处罚为100—25000美元/人/违例，对故意泄密者的处罚为5万美元加1年监禁，对出于经济利益违反隐私法案的处罚为25万美元加10年监禁。

2010年HIPAA法案进行了修改，加强了个体对自身医疗信息和电子健康档案的可及性，而且针对个人医疗信息的使用和贩售制定了严格限制。此外，美国政府还颁布了《个人健康信息隐私国家标准》、《卫生信息技术促进法》、《患者知情同意白皮书》等来保护患者的隐私安全。

科技为患者隐私信息提供“保护伞”

互联网医疗中医疗隐私安全的威胁更多是来自医患关系层面和技术层面，例如电子病历系统的使用导致不同医疗机构和医生可追溯患者的病史，基于信息网络的电子健康档案存在被不法分子攻击、窃取、窜改的风险。因此，政府、医疗机构、信息服务商在技术层面也加强了对医疗信息的保护。

电子签名技术。电子签名技术是基于公钥基础设施的数字签名技术，美国主要有三种模式：智慧卡式、密码式、生物测定式。许多医院将两种或多种技术结合使用，以提高电子签名的可靠性。此外，在电子病历上要求签全名。电子签名的使用，可以防止病历中的信息被窜改、破坏、泄露，使电子病历具有合法性。

信息防火墙技术。电子病历数据库的安全威胁主要来源于黑客攻击、计算机病毒和拒绝服务三个方面，美国医院为了提高电子病历信息的安全性，采用防火墙技术防止非法入侵，包括过滤型和应用代理型两大类。

信息加密技术。信息加密技术把重要的数据进行加密传送，到达目的地后再进行解密，常采用硬件加密和加密软件。电子病历数据库中的敏感数据经过加密系统处理后，以密的形式存储，以防止被截获并阅读。

访问控制技术。访问控制技术是支持特定安全需求的集中式权限管理。病历访问控制指病历内容不会被未授权的用户所访问，能够按病人和病历内容分类进行授权，以保护病人隐私。

隐私保护电子化技术。针对日益频繁的网络医疗信息交换，患者的知情同意和选择权越来越重要。为了不阻碍医疗信息的流畅交换，美国政府开展了隐私保护电子化工程，使与患者隐私相关的决策能够实时、自动地传达，减少医疗信息传输过程中的阻碍，包括碎片化分享病人信息，即病人可选择公开一部分信息给医生，还包括扩展病人知情同意手段、信息获取渠道等。

当前，上海乃至我国互联网医疗发展处于快速发展阶段，如何兼顾技术创新、行业发展以及患者隐私保护三者之间的关系，美国的经验值得我们思考和借鉴。一是加快制定完善医疗信息保护方面的法律法规。美国早在1996年便通过了《美国健康保险便携与责任法案》（HIPAA），为医疗信息的使用与披露、病人隐私安全等制定了一系列原则性条款。随着信息技术的发展，HIPAA法案也在不断完善，针对医疗信息使用的技术标准进行更新。此外，美国政府还陆续颁布了其他多项法律法规，从不同层面和角度对患者的医疗信息隐私进行保护。二是坚持医疗信息公开和病人隐私保护并重。大数据时代下医疗信息的公开是趋势，美国政府一方面积极推动医疗信息的电子化、互联互通和公开，另一方面十分关注对病人隐私的保护，包括在促进法案中强调信息公开与传输的技术标准，患者的知情同意权和权利行使渠道。特别是美国政府专门设立了健康信息化部门，对医疗信息进行全方位管理。三是着力构建完善医疗信息保护的技术手段和数据管理体系。大数据时代通过信息技术的手段加强对患者隐私的保护是必经之路。医疗机构可以通过加强管理手段和技术手段防止患者医疗信息的泄露，如采用电子签名、信息防火墙、信息加密手段、访问控制手段、医疗信息交换标准等规范医疗信息的使用。

【作者罗力、霍兆桦就职于复旦大学，作者芮绍炜、杨帆就职于上海市科学学研究所，本文为上海市软科学研究项目《新兴业态发展与政府管理变革研究》（编号：15692100300）】