健康医疗大数据下患者隐私权保护研究

(华南师范大学 广东 广州 510006)

一、健康医疗大数据下患者隐私权的概述

随着大数据在各个领域的不断发展，健康医疗大数据也开始发挥自身的优势，改善着我国传统就医模式，不断促进我国的医疗水平的提高。健康医疗大数据是指与健康、医疗相关的医疗数据的集合，主要包括以下几个方面：个人健康大数据、医疗诊断大数据、药物记录大数据和医院运营大数据，即个人的健康档案、体征数据，患者的就医诊断记录，患者的用药、过敏记录以及医院关于其药品、器材等管理运营和成本核算等数据记录。

而健康医疗大数据下的患者隐私权因其出于医疗大数据的背景下，具有与传统的患者隐私权不完全相同的特点。首先，健康医疗大数据下的患者隐私权的内容是以数据的形式所存储在电子媒介上；其次，健康医疗大数据下的患者隐私权其产生和控制程度有别于传统的隐私权。传统的隐私最初都产生于个体的私人生活以及私人信息，个体对于该隐私的公开与否具有独立完全的控制。相反地，健康医疗大数据下的患者隐私数据的产生和收集完全掌握在诊疗活动中的医疗机构，这使得患者对于其隐私的控制程度下降。最后，健康医疗大数据下的患者隐私权具有人格和财产的双重属性。在健康医疗大数据下，由于其包含的数据内容多，其经济价值也远远高于传统隐私。

二、健康医疗大数据下患者隐私安全保护存在的问题

(一)立法层面上——相关法律法规不完善

当前我国有关患者隐私权保护的相关法律法规并不完善，其相关规定散落于各个法律法规之中。例如，《侵权责任法》第六十二条规定：“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患 者损害的，应当承担侵权责任”；《执业医师法》第二十二条规定“医师在职业活动中,要关心、爱护、尊重患者，保护患者隐私”；《母婴保健法》第四十三条规定“从事母婴保健的人员应严格遵守职业道德，为当事人保守秘密”等等。但这些法律法规的条文中关于患者隐私权的概念、范围等规定均较为笼统，且基本上为原则性的规定，现实操作性较小。

(二)司法层面上——举证困难、惩罚措施较轻

从我国当前的司法实践上看，健康医疗大数据下的患者隐私权被侵权案件中，一般是侵权人通过网络远程对患者的隐私数据进行侵犯，隐蔽性极高，因此在面对患者隐私权侵权案件时，被侵权人针对隐私权被侵犯的举证较为困难。同时，侵犯患者隐私权的惩罚措施较轻，处罚力度不大。一般患者隐私权被侵犯，但并未侵犯到财产权时，侵权人并不承担赔偿责任，而仅仅是适用停止侵害、赔礼道歉等形式。这使得患者隐私权侵权成本较低，降低了对患者隐私权的保护力度。

(三)行政层面上——管理较为混乱

从行政管理层面上来看，我国对于健康医疗大数据下患者隐私权的保护并不足够。当前我国健康医疗大数据体系并未完善，这使得健康医疗大数据管理缺乏一个统一的标准，在术语、存储、应用等方面都并未形成了一个统一完善的管理链，这使得相关的管理者在具体收集、操作和运用健康医疗大数据上都较为混乱，出现了很多漏洞，这使得非法侵权者有机可乘。而且，虽然我国当前对于患者隐私数据进行了相关的分级保护，但是其划分标准并不完善。现有的规范性文件基本上是以医疗信息遭受侵害的客体和程度来划分的，这种划分标准下，医疗信息的安全保护等级被划分为五个等级，而患者的隐私信息处于最低的安全保护等级①，这使得患者隐私权得不到全面彻底的保护。

三、健康医疗大数据下患者隐私安全的保护建议

(一)完善相关法律法规

健康医疗大数据体系的建立和发展是一种时代趋势，为顺应该趋势并切实保护患者的隐私安全，我国必须加大对侵犯患者隐私权的行为的规制和打击力度，完善相关的法律法规，增强其现实操作性。可以结合我国的实际情况，并借鉴美国的立法经验，采取直接保护的方式，对患者隐私权进行专门立法，例如制定一部专门的《隐私权法》或者在相关的法典中增加有关患者隐私权保护的条款，对患者隐私权的概念、保护的方式、内容以及相关主体的权利、义务等进行直接明确的规定，为患者隐私权保护提供直接的法律支持。除此之外，还可以借鉴美国的《健康保险携带与责任法案》中的规定，完善在数据采集、分析、诊断、治疗过程中的制度和程序原则，确立最小程度披露制度、知情同意制度、管理简化制度、病人医疗记录查看权制度等②，对患者医疗信息的收集和使用作出一定的限制以充分保障患者的隐私权。同时，在侵权的惩罚措施上，也应明确其侵权的方式和类型，并对其惩罚标准进行细化，加大惩罚力度，提高侵权成本，以最大程度地保障患者隐私权。

(二)加强行业自律管理

互联网和大数据的发展速度极快，法律法规又具有相应的滞后性，因此在完善法律法规的同时，还应加强行业的自律管理，利用行业协会的自我监督、自我管理来弥补立法上的缺陷并加大对患者隐私权的保障。互联网协会和医院管理协会等相关行业协会可以相互合作，制定有关保障患者隐私权的行业标准和规范，对医疗服务提供者、健康医疗大数据的平台管理者等行业的权利和义务进行明确的规定，强化对个人医疗数据的保护，为全行业的人员提供隐私权声明样本。同时，可以推动医疗大数据相关部门内部设立类似隐私权保护办公室的机构，直接由专门人员对患者隐私数据的安全进行管理和定期评估。

(三)建立健全健康医疗大数据管理体系

患者隐私安全标准的设置是从最根本上对患者隐私权进行保护的重要措施之一，只有将患者隐私进行相对分级并根据级别进行不同程度的保护，才能最大程度上对患者隐私进行全面保护。我国可以借鉴美国的HIPAA的相关规定，对患者隐私信息进行分类分级保护。将患者的隐私信息按照其人身性和价值性进行分级，对人身性强、价值高的信息，如诊断书、病史等加强保护。一方面，对患者隐私信息进行了全方位的保护，一定程度上保证患者重要隐私信息不受非法侵害；另一方面，不会过大加重社会公共机构的负担。除此之外，相关部门还应对健康医疗大数据的采集内容标注和采集流程进行规范，不断健全健康医疗大数据管理体系，以最大程度地对患者隐私权进行保护。

【注释】

①欧世龙.智慧医疗条件下患者隐私权安全保障体系的完善[J].浙江万里学院学报,2017,30(01):36-39.

②谷丽华,徐玲,孟群.欧美国家健康信息隐私保护立法情况探析及对我国立法的启示[J].中国卫生信息管理杂志,2013,10(06):520-524.