欧盟《一般数据保护条例》对我国患者隐私保护的启示*

耿 希，顾翠峰，马俊坚

(上海中医药大学附属曙光医院伦理委员会，上海 201203，grace932@163.com)

近年来，“医患矛盾”突出，原因方方面面，但其中非常重要却往往容易被忽视的原因是对患者的隐私保护不够。患者或受试者在就诊或参与临床研究时，基于治疗或研究目的，往往需要向医护人员或科研人员告知自己的部分隐私[1]。这本是无可厚非的，但近年来，随着个人隐私意识的增强以及医疗卫生领域个人信息滥用事件的曝光，关于医患之间的隐私披露的必要性、尺度和如何保护等方面都争议较大，并由此引发了不少矛盾和纠纷。如何在保障医疗和研究工作顺利开展的同时，充分保护患者依法享有的隐私权，已经成为一个不容忽视的问题。

1 患者隐私保护问题的凸显

1.1 隐私和隐私权

“隐私”这个词为现代社会大众熟知，但究竟什么是隐私，或者说什么是法律意义上的隐私权，却不是一个简单的问题。首先，隐私的诞生是在物质和精神文明不断丰富的基础上，逐渐形成的关注个人本身自由和存在的基本权利，属于西方近现代意义上人格权的重要组成部分。

相对于古人以能够参与公共生活为实现人的价值的认知，现代人更愿意将私人领域和公共领域分开，两者和谐共处、互不侵犯，从而产生了法律意义上的隐私权，这种对隐私利益的法律保护，是承认人的价值、尊重人性及人格尊严的必然结果[2]。

1.2 患者隐私泄露事件愈演愈烈

随着现代信息技术的发展，斯皮内洛指出：“信息已经成为一种商品”，个人产生的数据超出了其控制范围成为一种交易的商品，这些变化可能对隐私构成了侵害[3]。当隐私显露出它的巨大经济价值时，则开始不断地被泄露与曝光，范围越来越大。

这一判断，在医疗卫生领域也很不幸地成为现实，患者隐私泄露的新闻屡见不鲜。早在2004年6月12日，《新民晚报》就报道了题为《婴儿未满月推销便不断，谁将“骚扰”引进家门?》的文章，提到家里的宝宝出生离院回家不足10天，来自各家保险公司的电话已经打爆，使得坐月子的母亲根本无法静养，但她只在医院登记过电话、家庭地址等信息[4]。

近年来，随着互联网的发展，隐私泄露更是有过之而无不及。2016年5月23日，南都网报道的题为《两月三起！产妇信息又遭泄露！》的文章，提到继3月报道的一份数量高达万条、涵盖深圳近50家医院的产妇信息清单流入市场后，又有产妇电话、住址遭泄露，被一家儿童摄影店购买，推销婴儿拍“满月照”等业务[5]。十年前，可能仅仅是某个人或某家医院的隐私被泄露，如今在移动互联网的时代，已经发展到一个城市的患者隐私被泄露，其涉及的数据之大令人咋舌。

此外，由于部分隐私能够博取眼球、哗众取宠，也成为患者隐私泄露事件的重要原因之一。2016年9月，一篇名为《南江妇幼保健院岳护士竟然到处公布患者隐私》的投诉网帖在“问政四川”发布后引起轩然大波，一名患者进行妇科检查的私密照片被护士传到微信群，患者所患隐疾遭到“调侃”[6]。2018年8月，青年演员林更新在中日友好医院看病，其病历资料被医院内部人员拍照发至互联网，因婚姻状况填写已婚而引起网友的热烈讨论，明星固然是公众人物，但隐私依然应被尊重，这一行为博取了大量群众的围观，对林更新的个人生活造成了困扰[7]。

1.3 隐私问题已经开始影响正常医疗工作

隐私泄露事件的频发，为医患之间本已脆弱的信任关系又蒙上了一层阴影，很多患者开始不信任医疗机构，对于一些私密但又涉及自己病情的问题，不愿意放心沟通，从而最终影响了医生的正常判断；参与临床研究的时候，顾虑研究者的职业操守，不配合或者提供虚假的信息。而这当中，部分医疗和科研人员又判断错误，该问的不该问的、该记录的不该记录的信息都向患者索取，就更加加剧了这种不信任感的蔓延。

而一旦这种不信任感发展到一定程度，就会因为一些典型事件被媒体和舆论无限放大，进而形成社会性话题。如上面提到的问政四川和林更新事件，都使得相关医疗机构进行后续的正常医疗业务时，产生了不必要的阻力。一段缺乏信任的医患关系，或者互相提防的研究和受试者关系，造成的可能就是一例本可治愈的疾病被耽误、或一款新药的推迟面世，给患者和整个医疗卫生工作产生重大的不良影响。

2 患者隐私保护的不足和反思

2.1 现有工作中的种种表现

无必要/无意义地公开患者隐私：就诊环节中一些公开信息可能成为患者隐私泄露的重要途径。例如，某些医院会在候诊大屏幕上显示就诊人的姓名和科室；住院患者的床头卡会详细标明姓名、病情和用药信息；或是所有的化验单放在检验室窗口处，由患者随意取单……

诊疗过程中的隐私泄露：很多医院的热门专家，诊室内外都站满候诊患者，集体围观正在就诊的人，令其在口述病情时感到不安；也有些医生在教学查房时未事先与患者沟通，在众多学生面前讲解患者病情、展示患病部位……

被二次利用的隐私：医学研究者在进行临床病例的回顾性研究或利用以往临床诊疗中获得的健康信息和生物标本的研究时，无法获得信息拥有者的知情同意，在此情况下，如果数据处理不当，很可能造成隐私的泄露，引发不必要的纠纷。此外，在医疗大数据整合的背景下，医疗决策者为了获得更全面、更完整的数据集，通过数据挖掘和数据处理等技术，从中获得支持决策的有价值的信息。由于大数据的价值更多源于它的二次利用，在数据的利用过程中可能导致原本看似不相关的数据通过挖掘可能发现个人隐私的数据[8]。

管理机制的欠缺：在上述深圳产妇隐私泄露的新闻中，医院表示2008年后有关部门已对全市信息系统进行了调整，然而由于管理欠佳，未对操作人员进行安全教育，导致护士、保安串通一气，贩卖患者隐私信息。

2.2 不足的原因分析和反思

上述问题，从表面上看，其原因或者是医疗工作者本身隐私保护意识的不足、或者是管理机构的管控机制欠缺、也或者是对新技术的应用缺乏必要的反思等，原因各不相同，很多研究者也都从意识不足和管理不善的角度提出了意见和建议。但从笔者所从事的伦理委员会日常工作来看，真的是意识不足、管理不善吗？答案并非如此。通过观察和了解，很少有医疗工作者认为患者隐私保护工作不重要或者说自己尚未考虑过这个问题，甚至还有人援引《执业医师法》的有关条款，说明患者隐私保护的重要性和必要性；也并非医疗机构不重视，如笔者所在的伦理委员会在进行临床科研项目审查或医疗伦理查房时，知情同意和患者隐私的保护都是审查或检查内容的重要关注点。

所以，隐私保护成为大家都很重视，但却无从下手的事情。隐私意识的培养和宣贯，医护人员在其进行专业课程、职业指导、行为规范的学习时，都从不同程度了解到很多原则性的要求或碎片化的概念。例如，《执业医师法》要求医生尊重和保护患者的隐私，但怎样做才算是尊重和保护？告诉患者的父母、配偶或子女算是随意传播吗？和非该患者主治医生的同事讨论算是侵犯其隐私吗？这些都是知道隐私保护重要性的医护人员却无法回答的问题。又比如更专业的话题如知情同意书中应该明确告知哪些内容？什么样的知情同意书是能够保障患者或受试者权益的？病历或科研数据是否可以跨研究机构共享？这些不仅仅是隐私保护意识的问题，更是隐私保护操作领域的问题。

2.3 知易行难，怎么做是关键

从上面的分析，可以看到关于患者隐私保护工作，所需要的不仅仅是知道是什么，而更重要的是知道怎么做，甚至知道为什么。如果没有系统的培训和宣贯解决怎么做的困扰，就永远只能是“虽然知道隐私保护很重要，但却往往侵犯患者隐私而不自知。”

此外，很多时候患者自身不清楚个人隐私保护的边界在哪里，自己的合法权益是什么，这造成的后果就是往往会顾虑于无法为医生提供足够的诊断信息或者害怕医生认为其不配合治疗，而大量提供不必要的过多的个人信息，或者在不清楚自己的个人隐私被非法收集或合法权益未得到充分保障的情况下，盲目“同意”某些不合理的研究。

所以，大多数时候，我们缺乏的不是仅仅告诉医护人员应该保护患者的隐私，而是要告诉他们怎么做，更要通过合理的途径告诉每一位患者，他们所享有的合法权利是什么，这些合法权利如果受到了侵犯，谁可以帮助他们。

3 欧盟GDPR带来的启示和思路

3.1 什么是欧盟GDPR

在任何行业和领域，法律往往是保护公民合法权益的最佳手段，所以笔者尝试分析了国内相关领域的法律法规，但遗憾的是国内的相关法律虽然规定了医务人员对患者隐私的保密义务，但仍缺乏明确的规范，甚至把隐私权混同于名誉权，对隐私权的侵害也缺乏明确的法律责任规定[9]。

2018年5月25日，欧盟正式实施《一般数据保护条例》(GDPR，General Data Protection Regulation)，引起了世界范围内的巨大反响。这一条例被认为是隐私保护领域最权威和细致的立法。在实践中，GDPR定义了七项隐私保护的基本原则，并提出了一系列更具操作性的隐私保护要求和规范[10]。通过深入分析这些立法原理和其他行业的成功经验，能够给患者隐私保护工作的有效开展带来巨大的提升。

本文选择了GDPR中最核心的指导理念，并结合医务工作的实际情况，提出了一些切实可行的解决患者隐私保护问题的指导思路和方法，从而尝试跳出知易行难的传统窠臼。

3.2 数据主体，明确隐私的权利主体

提到患者隐私保护需要做些什么，往往大家都会觉得无从下手，对于隐私保护的问题，GDPR定义了三个最基本的概念，称为数据主体、数据控制者和数据操作者：

3.2.1 数据主体

数据主体就是隐私信息(数据)的所有者。隐私信息作为能够关联到自然人的信息和数据，是属于某个自然人所有的，无论这个信息是直接从他/她那里获取的，还是通过其他方式分析和加工形成的。只要不违背法律要求或侵犯公共利益，任何对此类隐私信息的采集、分析、处理和存储，都应该是基于数据主体的同意而进行的。

3.2.2 数据控制者

数据控制者可以是人也可以是机构，指决定隐私信息怎么处理的角色。在医疗领域，患者的哪些隐私信息可能在诊疗和研究过程中需要被采集，以及被如何处理，这些内容都不是患者自己能够确定的，它需要专业的知识和技能。数据控制者是直接向数据主体负责的角色，需要决定怎么使用患者隐私、向患者解释清楚需要提供什么样的隐私、会被用于何种用途，并依法获得患者的知情同意，并在此后负责确保本单位和研究团队按照患者(数据主体)同意的范围处理和使用其隐私信息。

3.2.3 数据处理者

数据处理者同样可以是人也可以是机构，不直接面对患者(数据主体)，关于如何处理和分析患者的隐私信息，只需要执行数据控制者的要求即可，只要该要求不违法，就按照要求操作，绝对不可以超范围处理。

这三个角色的分类，首先，明确地定义了隐私工作合法性的来源，即患者(数据主体)的授权；其次，确定了决策管理和确保患者隐私得到充分尊重和保护的责任主体，即数据控制者的全过程管控；最后，对于数据的处理者，从剥夺其决策权的角度，也清晰的划定了责任边界，即只对执行负责，只要不违法不用考虑任何外部隐私，最大地提高了工作效率。

这当中的数据控制者和处理者，基于不同的场景，有不同的具体的身份如在就诊时可以是主治医生，作为控制者向患者告知医院哪些活动可能涉及隐私，其他化验、检查和信息等部门作为处理者，必须不逾越主治医生对患者的承诺；在某个科研小组内，研究负责人是控制者，负责决定向患者采集哪些信息，以及会如何进行研究，而课题组成员则应该严格遵守研究负责人的要求，不得有任何超过其要求的滥用和分享；在多中心的合作治疗/研究中，患者所在的医院是控制者，而其他医院则只能按照该院的明确指示处理患者隐私。

3.3 知情同意，提高信息透明性是关键

对于知情同意这一患者基本权利，GDPR同样能够提供更具操作性的指导思路，包括：

①对给出知情告知的人员，要求以最简练、清晰和无歧义的表述，用患者的母语提供详细(避免用模糊和泛指误导受试者)但不冗长(避免受试者没有耐心看)的告知。

②同意不能混淆主要目标和次要目标，知情同意书中应明确区分哪些是必须的隐私信息，哪些是非必须的，患者拒绝提供非必要的信息不影响其获得合法权益。这也应是知情同意书审查的重点内容，医疗机构或研究者不能给患者或受试者提供简单的选择题，例如“以下信息有任何一项无法提供就不能参与新药研究”的情况，是严格禁止的。

③此外，还特别关注了患者自由意志的行使，也就是说只有患者的同意不是因为特定的利害冲突或信息不对称而做出的，才是被认可的。任何非必要的隐私信息采集，即使基于已签字的知情同意书，但如果不是出于患者自由意志的同意，也会被认为侵犯了患者的合法权益[11]。

可以看到，上述要求不仅仅回答了“知情同意”中要做什么的问题，更详细地规范了应该怎么做的问题，使能够真正指导处理个人数据的研究者，知道应该如何准确、清晰地向患者和受试者传递隐私信息采集的知情同意。关于具体知情同意书的起草，还有一些其他行业的最佳实践指导，如通过通俗、简要解释和专业解释对照的方式，在知情同意书中让患者或受试者第一眼就可以快速获取必要的信息，避免翻阅冗长的文件，但又可以在看到自己关注的内容时，随时可以看到更详细的解释和说明，避免只有概略性说明的表达不准确的问题。

3.4 跨机构研究，谁来把控脱缰的数据

很多时候，一个科研课题采集的患者隐私，可能在多个机构之间共享，或者存储在信息库中，被后续的研究者重新分析，这个过程当中，就往往会存在患者隐私信息离开最初的研究团队之后失去管控的问题。这也是传统隐私保护问题中的难点，特别是电子信息，由于是可复制的内容，一旦脱离最初的控制者就会完全失去控制。

对于不同的研究机构间应该如何合法、安全和有效地共享患者的隐私信息、谁来告知患者这一共享，如何保障研究过程中、研究完毕后个人隐私数据的安全，GDPR都给出了较为详细的规范。基于3.2

节中数据控制者和数据处理者的定义，如果是跨机构的合作研究，可以通过控制者和处理者之间的协议来进行严格的约束，通过合同手段向患者隐私数据的接收和处理者提出管控的要求，用法律来约束其行为。任何超出协议约束的处理，在数据控制者明确写明后合作机构依然一意孤行并造成不良后果的，可以通过法律手段来维护本单位和患者的合法权利。

另外，对于很多医疗和科研人员关心的过度隐私保护是否会影响科研工作的顾虑，GDPR还给出了相应的补充条款，规范了应该如何在这些领域使用个人隐私信息，通过采取一系列的管理和技术措施来降低对个人的不良影响，同时兼顾医学研究工作的开展，如一些重要科研数据的积累，在擦除能够关联到具体人员的信息后，仍可以进行存储和重复使用。