何雨阳 李海霞
玉溪师范学院,云南 玉溪 653100
2012年以来,“大数据”被人们越来越多的提及,成为当前的热词。对于“大数据”(bigdata),研究机构Gartner给出了这样的定义。即需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。
在大数据时代下移动互联、智能传感器、云计算、机器人等新兴信息通信技术与信息感知方式的发展和变化,深刻地改变着各个传统行业。同样,医疗也不例外,传统医疗模式转换为移动医疗模式。这改变了人们传统的就医模式。移动医疗设备端口可以为人民提供更为便捷精准的医疗信息以及医疗服务人员的建议或与健康有关的信息。使依托于移动通信技术医疗服务得以更大范围的延展,而这不仅节约了患者登记、排队、搭乘交通工具的时间和资源,也将更有效地引导人们养成良好的生活习惯,能够把传统的治疗行为迅速的转变为疾病的预防行为。以此类推,在2019年12月份以来全国新型冠状病毒肺炎疫情防治过程中,民众便可以通过移动医疗服务端进行AI指引,健康自查以及线上医生提供咨询等移动医疗服务,极大程度减少了因患者出门就诊带来的传播途径,也节约了大量的社会资源。
移动医疗的模式多种多样。这些模式的共同点是,在使用设备时,患者必须输入自己的信息或上传图像病历。但正是此环节增加了数据爆发时代患者隐私泄露的风险。患者个人信息和病历信息在上传、存储过程中通过软件工具被获取、存储、管理、分析为专业化信息处理存储在数据库中,此过程数据来源及使用人员广泛,无人能保证患者的隐私安全。隐私权是自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权[1]。
大数据为医疗行业带来机遇的同时也为患者隐私权保护制造了困难,患者隐私权的内容包括患者隐私信息、隐私空间及隐私活动三方面。在实践中常见于非法知晓、披露和使用患者姓名、住址、工作单位、相关病历、身体缺陷、隐匿部位特征、心理病理状况、私人生活习惯等隐私信息;其次是存在不当甚至是非法干扰患者隐私空间的情形;最后是患者的隐私获得被人不当或非法的干扰,给患者生活带来困扰。
在“互联网+”的时代,移动医疗更是成为互联网的下一座金矿[2]。当患者使用移动医疗进行求诊时,由于互联网的开放性,随机数据的漏失可能使患者的个人隐私遭受不同程度的侵犯,如儿科个人信息被披露,可能会带来一系列的市场营销,诈骗,贩卖儿童等严重侵害患者权益的不法行为。诸如此类,患者隐私权的保护成为了移动医疗服务体系中一个值得研究的问题。
当我们使用移动医疗服务时,我们的医疗记录存储正在发生变化。病人的病历信息由纸质病历向无纸质病历(电子病历)转换,使之为患者提供更方便的医疗服务。现每个医院都有医院信息系统(HIS),采用虚拟打印技术,通过虚拟打印接口,将每个患者的病案资料从医院HIS系统中调出,以PDF格式按病案号长期在线存档、集中存储在电子病历归档库中[3]。如今,患者的病历数据可以通过访问进行学习或查询,而在传统的医学模式中,了解患者信息的主体似乎只有医生,移动医疗无疑扩大了知悉患者隐私权的主体范围。病人信息平台和各种医学应用程序的开发、管理、维修人员、黑客等均可能是知情主体[4]。
而且由于患者的病历包含了大量的个人信息及其隐私,这样可观的信息资产可能会被平台开发者泄露;或者因为系统的防火墙被黑客攻击而窃取。在电子病历共享中,由于各地医院建立的电子病历共享平台发展水平参差不一。第三方获取患者信息变得唾手可得,知悉患者隐私主体的增加,意味着在患者隐私被泄露时无法明确问题所在,从而无法进一步明确确认担责主体。
患者的病案资料归档存储于HIS系统中,建立每个患者的ID档案,以供临床查阅,这使得患者在第二次就医时便可直接从该系统中获取病历文件,但病人的姓名、家族史、过敏史等一系列重要病历信息都可能被披露。如果患者用户在使用或访问各个移动医疗平台(各类APP应用程序)客户端服务时,平台遭到犯罪分子恶意攻击窃取信息,那在使用网站或客户端时自动接收并记录的肖像、电话号码、位置信息等数据;以及为达服务用户的目的,客户端必须和第三方分享的用户信息;向客户端因服务必要开展合作的伙伴提供、查询、收集本人的信息等一系列属于患者用户的个人信息及其隐私都会被不法利用。
在网络将各方面信息连接起来的崭新时代,若患者的隐私被泄露,将更大程度地扰乱患者的正常生活秩序,给患者身心带来严重的负面影响。不仅如此,还会导致患者被排挤,加深群众对疾病的误解,从而引发社会恐慌。如上便会使得患者不信任医生或医疗机构,进一步加剧医患之间的矛盾。为了避免患者信息的不合理使用,保护患者权利,维护良好的医患关系,对患者个人信息的保护显得尤为重要。
而目前,我国在《侵权责任法》、《刑法》、《执业医师法》、《电子病历应用管理规范(试行)》中对移动医疗时代患者的隐私权相关方面虽有所涉及,但是规定都不够具体,可操作性差。
(一)病历信息概括不全。《侵权责任法》第六十一条规定,医疗组织及其医务人员理应按照规定填写并妥善保管病案。但根据《医疗机构病历管理规定》:“病历”是指医务人员在医疗活动过程中形成的文字、符号、图表、影像、切片等资料的总和,包括门(急)诊病历和住院病历。但是,其中的信息安全保护,并不包括患者的姓名、住院号、出生日期、家庭住址、电话等内容。
(二)损害程度未明确。《侵权责任法》第六十二条规定,未经患者同意,泄露患者隐私或者泄露患者病历资料,造成患者损害的。其中,损害包含两层含义:一是必须存在损害的事实;二是损害与医疗机构及其医务人员行为之间的因果关系。但根据《刑法》中二百五十三条之一的规定,仅限于医疗机构医务人员故意公开信息,违反国家规定,以获得他们的职责的公民个人信息,或出售、盗窃或其他手段期间提供服务非法获取公民个人信息,虽然法规扩大犯罪主体的范围,却没有涉及导致公众场合的数据管理不善,以及理解受损程度的不同,这将导致机构和侵权的医务人员责任不清楚,移动医疗服务平台以及第三方平台无法明确承担侵权责任。
(三)非职业期保管不善未明确法律责任。《中华人民共和国执业医师法》第三十七条第九项规定,执业期间泄露患者隐私,造成严重后果的,依法追究刑事责任。《医疗机构管理条例(试行)》第二十五条和《电子病历应用管理条例(试行)》第六条、第五项、第十条、第十四条、第十六条、第二十条、第二十四条等法律法规要求,电子病历系统应当标识操作人员,保存前一次操作标识,标注操作时间和操作人员信息,并确保能够查询、追溯,但在电子病历的共享中,各类人员有不同的权限设置和控制密码。但在目前各地因缺乏全面的法规和制度,建立的电子病历共享平台发展水平参差不一可能会导致与治疗无关的第三人获取患者信息,侵犯患者隐私。而上述三部法律法规也没有规定,如果非职业期密码保管不妥,导致患者信息泄露,患者的隐私权如何保障?侵权责任如何承担?
在“互联网+”时代,海量数据高速运转与喷发,每一个细小的环节都有可能造成患者的隐私泄露,再加上相关的个人信息和患者的隐私保护法律基础薄弱,我国法律并未将隐私权视为一种独立人格,移动医疗行业也没有专门保护患者个人信息和隐私权的法律法规。故我国的患者个人信息与隐私保护道阻且长。
(一)完善相关法律。完善关于隐私权的法律法规体系。如何界定隐私权,隐私权损害的程度与保护,侵权人的定义和责任。加强法律法规运行,把保护隐私权落到实处,在具体的关于患者隐私权的系统性法律法规出台之前,国家卫生健康委员会、地方政府卫生部门、医疗机构、移动医疗平台应该制定相关保护患者隐私权的规章制度。
(二)加强医院管理和建设。加强关于病案的管理,医疗记录应及时封存和归档,并妥善保管,以免被无关人员查阅,避免遗失和损坏;加强医院互联网建设,降低信息泄露的风险。
(三)医生医德、相关法律学习。从医生自身来看。医疗机构同时加强医院管理的建设也应提高医德的医生的培训。要从医务人员自身入手,提高他们的服务意识与质量,提高防范隐私泄露的安全意识,严惩泄露患者隐私行为。加强密码的安全性,防止密码被盗。
(四)进行法制宣传。加强隐私保护宣传,提示患者注意隐私保护。患者应该注重自身的隐私保护,主动学习关于隐私的知识,在隐私泄露的情况下能更好地保护自己。患者隐私权的公开与医疗机构知情权应当相对应,增强自我保护和权利意识是根本,同时,相关医务人员及互联网网站也应坚守自身职业操守,保护用户的个人隐私,不以营利为目的出售用户个人信息。互联网平台要加强网站安全,抵制黑客从外部窃取信息,让患者阅读隐私保护的相关规定,提醒用户注意个人隐私的保护。
(五)加强技术管理。在信息存储平台的管理上,要加强防火墙、信息共享平台的建设,加强相关人员和职业道德的培训。从平台人员自身做起,不断提高自身素质和服务意识,提高防范隐私泄露的安全意识,严惩患者隐私权利泄露的行为。
(六)惩罚性赔偿。防止患者隐私泄露环节,强化患者隐私保护机制。一旦病人的隐私遭到泄露,办案机关按照患者隐私经手机构所知信息及泄露可能性百分比分担赔偿。这种机制将提高所有经手患者隐私的操作人员的重视,并且降低泄露隐私的可能性。