医疗大数据时代病例档案及其隐私权保护机制探究*

（上海大学图书情报档案系 上海 200444）

0 引言

党的十八大以来，大数据已经上升到国家战略层面。随着医疗大数据时代的到来，病例档案作为一项重要的民生档案，将在社会医疗与公众健康领域发挥越来越大的作用，尤其是在当下新冠疫情全球蔓延的背景下，病例作为医学研究的重要源头[1]，其在疫情防治中发挥了重大作用，各国都十分重视这一珍贵的研究资料。2019年10月25日，十三届全国人大常委会第十四次会议举行分组会议，在审议档案法修订草案时提议将病例档案写入档案法，这不仅将为规范病例档案存储、管理与利用提供法律依据，也为病例档案利用中病患权利的保障保驾护航。然而，由于病例档案的敏感性与隐私性特征，其在收集与应用过程中的合法合规及安全性更容易引起质疑，若操作不当，将会对病患的隐私造成威胁。解决这一问题，首先要对病例档案进行界定，规避学界长期以来将其与“病历档案”混淆使用的现象，为病例档案的深入研究奠定基础。在此基础上，建立相应的隐私保护机制，处理好病例档案保密与开放之间的关系，使其在保障病患隐私权益的情况下发挥最大的社会价值。

1 研究现状

截止2020年6月6日，在“中国知网”，以主题=“病例档案”和主题=“病历档案”分别进行检索，前者检索结果为61篇，后者检索结果为14000余篇，不难看出，学界对病历档案的研究较多，而对病例档案的研究较少。但若以主题=“病例档案+隐私权”和主题=“病历档案+隐私权”分别进行检索，前者检索结果为0条，后者检索结果为52条。由此可以看出，学界对病例档案隐私权的研究较为空白。

关于医疗隐私问题的研究，国外学者Price WN等指出了[2]医疗大数据背景下，医疗档案在使用过程中存在的泄露患者隐私的风险。KING T等人[3]在对公众关于医疗隐私问题的看法进行调研之后，提出了应当在数据的发布中制定相关安全措施的建议。Aberrant等[4]为了平衡大数据的广泛运用与病患隐私保护之间的关系，构建了分散存储方案。对于如何保护病患隐私权，国内学者刘宏渭等[5]在其文章中界定了病历档案中所涉及的隐私权，提出应建立相应的法律规范保护病患的隐私权。为了在保护病患隐私权的前提下最大程度的发挥病历档案的作用，闫静提出了[6]法律、伦理、道德三方面平衡机制。张晓伟指出了[7]病历档案在利用过程中的三个利益主体，即公共卫生利益、第三方利益与病患个人隐私利益。随着病例档案在疫情防范、疾病救治、健康保健等领域的利用价值逐渐凸显，学者们对病例档案的实践研究也有了一定的深入。黄英[8]从“郑州市第二人民医院”的工作实践出发，从管理意识、管理理念、硬件设施、人员素质四方面提出医疗病例档案管理中存在的问题及解决对策。王莹[9]从创新病例档案管理模式、建立健全病例档案管理制度、提升人员素质等方面对提升病例档案的利用效果进行探索与研究。

经过文献调研发现，对病历档案的隐私保护问题已早有学者进行研究，他们主要从制度、技术、管理和立法等层面提出了对病历档案隐私权的保护。然而，对“病例档案”的研究却非常少，而且还存在对“病历档案”与“病例档案”界定不清以至于混淆的现象。因此，本文将对“病例档案”进行界定，并聚焦于医疗大数据背景下的“病例档案”在开发利用中涉及的隐私权问题进行探究。

2 “病例档案”与“病历档案”的界定

2.1 “病例档案”与“病历档案”的含义

界定病例档案，离不开对病例的认识。《现代汉语词典》将病例的含义解释为某种疾病的实例，即某人或某种生物患过某种疾病，就是这种疾病的病例。《卫生学大辞典》将病例的含义解释为：①在临床医学中，指某种疾病的案例，如白血病病例。②在流行病学研究中，病例指具有所要研究的某种疾病或者某种特征的人，其病例的含义与临床的病例的含义可能不同，而是根据研究的需要，制定病例的标准。在医疗卫生实践中，病例被赋予了更加具体的内涵。岳林[10]在其医学实践中总结出，病例资料主要包括规范的主诉（三要素：部位、症状、时间）、病史、检查结果、诊断和鉴别、治疗方案、治疗结果、预后。这一概念虽然强调了病例资料的构成，但未能显示出病例资料区别于其他医疗资料的主要特征。显然，在病例档案的概念中，病例是第一要素，档案是第二要素，而档案要素又包括了与档案有关的方方面面。因此，笔者认为，我们可以将病例档案定义为：病例档案是针对某种疾病或者具备某种特征的人，在诊疗的全过程中所留下的具有保存价值的原始记录。

作为与“病例”极易混淆的“病历”，其在《现代汉语词典》中的含义为医务人员对病人的病情、诊断和处理方法的记录。《中国卫生管理词典》中定义的病历为“病案”、“病史”，医务人员对病人患病经过和治疗情况所做的文字记录。学界对于病历档案的含义也有不同的归纳，其中有代表性的是：刘渭宏[11]认为病历档案具体包括姓名、年龄 、性别、职业、住址、患者的主诉、医生的诊察 、诊断、病名、治疗, 以及病程发展的整体记录文件，兼括护理记录, 检验记录 、复健记录、身体检查记录及其他有关文件。经过概念梳理，笔者认为我们可以将病历档案定义为病患在诊疗全过程中产生的信息与数据所形成的记录与文件。

2.2 “病例档案”与“病历档案”的区别分析

“病例档案”与“病历档案”的混淆使用已成为学界长久存在的问题。根据上述定义，可以看出两者存在紧密的联系，但在实际工作中，为避免两者概念的混淆和混用，需要对其存在的区别进行分析。第一，从属性上来看，两者都具备社会性、知识性、历史性、信息性等档案共同特性，此外，还拥有各自特有的属性。病例档案是以某种疾病或具备某种特征的人为记录对象，而病历档案则是以普遍的病患个人诊疗情况为记录对象。从这一角度来看，病例档案具有特殊性的特征，而病历档案则具有普遍性。第二，从来源上来看，病历档案源自医务人员在医疗活动过程中对病患个人疾病治疗情况的事实记录；病例档案的来源是对特定的病历资料进行抽取、整理及在加工后形成的。第三，从研究客体来看，病例档案是以疾病或具备某种特定特征的人为记录与研究对象；病历档案是以普遍的病患个体为记录与研究对象。第四，从作用方面来看，病例档案的作用侧重于便于医疗工作者开展医学研究、为高校师生提供真实可靠的医学案例以便他们开展教学活动、培养医疗后备军等。病历档案的作用则侧重于为医生进行诊断和治疗疾病提供依据、对病患的健康状况进行记录、为疾病研究人员提供丰富的医疗数据并在此基础上做回归分析和大数据分析和统计等。总体而言，病历档案比病例档案的范畴更广，而病例档案在应用层面则更适应当今社会精细化与专业化运作的大趋势。

3 医疗大数据背景下病例档案的隐私权及其特点分析

3.1 病例档案中涉及的病患隐私权

医疗资料中涉及的病患个人信息属于病患隐私的范畴。在对病例档案进行归档时，一方面，由于客观因素，会将病患的年龄、疾病史、家族病史等不愿或不便让他人知道的个人信息记录在病例档案中；另一方面，由于主观因素，例如病例资料的归档人员未按操作标准开展归档工作而造成一些不必要的病患隐私信息归档入册；以及违背病患意志、擅自公开泄露与利用病患个人信息的行为，从而产生对病患隐私安全的威胁。因此，病例资料在归档及之后的运用过程中，可能会包含一些病患的隐私信息，而病患有权对其隐私信息进行合法保护。病患对病例档案中的信息享有的隐私权具体应包括以下几方面：①知情同意权，即病患不仅对其病例档案中记录的全部内容享有知情权，同时对于其病例档案的存储与管理机构、用途、使用对象等均享有知情权，若这些信息用于商业用途需经病患同意。②信息更改权，即病患发现其病例档案中记录的信息有误时，有权要求病例档案管理者进行修改或更正。③信息支配权，即病患有权对病例档案中涉及的个人信息自主决定是否披露，同时病患有权使用其病例档案。④依法求偿权，即病患在个人病例档案中的隐私权遭到非法侵害时，有权采取法律手段保护自身的合法权益，要求停止侵害行为并给予合理的补偿。

3.2 医疗大数据背景下病例档案隐私权特点分析

医疗大数据时代，医疗数据信息本身具有规模大、数量多、价值性高的特征，对海量信息进行数据化汇总可以激发单一数据所不具备的研究价值，但是医疗数据的海量、动态、共享、交叉检索等典型特征，也增加了个人信息泄露的危险[12]。结合上述医疗大数据的时代背景，病例档案隐私权的特点主要表现在：① 隐私信息数据化。随着数据挖掘技术、互联网+、云计算等的发展，病例档案也在朝着信息化的方向迈进，病患的个人信息会以数据的形式进行传输、整合与利用，隐私安全依附于数据安全而存在。② 隐私权易受侵害。病例档案在形成与传递过程中，所参与的人员众多，包括医疗人员、护理人员、行政管理人员等；此外，由于病例档案形成与传递的过程较为复杂，在每一个环节都可能出现病患隐私泄露的危险。因此，病患的病例档案隐私权具有易受侵害的特点。③ 隐私权保护的复杂性。主要表现在以下几方面：首先，病例档案的隐私安全与载体安全直接相关，大数据的迅速发展既是人类社会的福音，但同时又为信息安全带来了巨大挑战。其次，病例档案保存与利用难以形成统一的标准与规范，这一方面的立法还有所欠缺。最后，病例档案利用者的知情权与病患隐私权难以明确划定界限，侵权行为认定复杂。

4 医疗大数据时代病例档案隐私权保护案例分析——以谷歌“夜莺计划”为例

4.1 背景介绍

2019年11月11日，据《华尔街日报》[13]报道，谷歌与美国第二大医疗体系阿森松集团(Ascension)的合作共采集了全美2600家医院、5000万患者的医疗信息，而医生和患者却毫不知情。在这项计划中，谷歌公司秘密潜入到这些医院的医疗信息管理系统，通过技术处理使这些数据最后都流入了谷歌的“夜莺计划”系统中。其采集的医疗信息中就包含了大量病例信息。被泄露的数据信息内容广泛，包括有：姓名、出生日期、地址、家庭成员、过敏史、免疫接种、放射学检查、住院治疗记录、实验室测试、药物等。据知情人士介绍和相关文件显示，至少有150名谷歌员工可以访问上述数据。

4.2 案例焦点

谷歌公司的最终目标是通过对海量医疗信息进行采集，创建一个综合搜索工具。根据HIPAA法案，该项目似乎合法。因为该法律“通常允许医院在不告知患者的情况下与业务合作伙伴共享数据，只要该信息‘仅用于帮助被覆盖实体履行其医疗保健职能’”。然而，这一项目却带来了巨大的风险，引起了美国国会议员及大量民众的批评和不满。一方面，病患信息的搜集与利用并未告知医疗机构与患者；另一方面，谷歌公司在对医疗信息的传递与使用过程中也未采取一系列必要的隐私保护措施，这加剧了病患隐私泄露的风险。因此，谷歌公司“夜莺计划”的可行性与合法性成为多方关注的焦点。

4.3 “夜莺计划”中所涉及的病患隐私权

在本案例中，姓名、出生日期、地址、家庭成员、过敏史、免疫接种、放射学检查、住院治疗记录、实验室测试、药物等病患的个人信息都属于隐私的范围，病患信息的拥有者为病患个人与医疗机构，病患有权了解个人医疗信息的用途。谷歌公司若想征用这些信息用于商业用途，应当征得信息所有者的同意，否则信息所有者的知情同意权就无法得到保障。此外，病患对其个人医疗资料中的敏感信息，应当有权决定是否披露，即使病患的病例信息被同意征用，也应当将一些不必要的信息，如：姓名、出生日期、地址、家庭成员信息等进行数据脱敏或删除，以保护病患的个人隐私信息不受侵犯。上述事件发生后，病患及医疗机构有权及时制止谷歌公司未合法合规采集病患信息的行为，若谷歌公司对病患个人的隐私侵犯造成了严重后果，病患有权进行依法求偿。

4.4 经验及教训

本案例反映了本研究所关注的医疗大数据背景下病患个人隐私遭遇侵犯的现象。同时也反映出当前和未来可能出现的病例档案中隐私权被侵犯的类型。这一案例对于谷歌公司该项目是否合法尚无定论，仍处于调查之中，但其在病患不知情的情况下收集他们的个人信息，已经对病患的个人隐私造成了威胁。由该案例可以看出，目前病例档案的隐私权保护存在以下问题：① 隐私保护意识较差。一方面，医院工作人员对病患个人隐私信息的保护意识欠缺；另一方面，社会整体的隐私意识不高，许多企业没有充分尊重特殊群体的个人隐私，被侵犯者也没有采取必要的措施保护自身隐私。② 信息安全技术保障落后。医院的信息管理系统性能低且保密性不足，使得其他互联网公司能够轻而易举地进入并窃取病患的病例档案信息。③ 病例档案隐私权保护立法尚不完善。立法工作应当紧跟时代变化，以前的隐私权保护法律法规已不能完全适用于解决当下大数据迅猛发展所带来的新问题。

5 建立医疗大数据时代病例档案隐私权保护机制

与病例档案相关的群体主要有，病患个人：病患是病例档案信息产生的源头，也是隐私权保护的主体；医疗机构：医疗机构是病例档案信息的收集者、使用者与保管者，也是病例档案信息产生的直接场所；病例档案使用群体：包括医务人员、研究人员、高校师生、企事业单位等；政府及其职能部门：政府及其职能部门主要起到立法与监督的职能[14]。通过对利益相关者进行分析，提出以下建议：

5.1 增强社会隐私保护意识

社会意识层面的问题，往往不是由单一机构所能改变的，增强全社会隐私保护意识也是如此，需要政府及其职能部门、信息利用机构、当事人等多方共同努力。政府及其职能部门发挥好引导、管理及监督三项职责，通过加强社会宣传与教育，促进公众隐私意识的提升；通过行政管理，设立由政府主导的举报机制与溯源机制，加强对病患病例信息中隐私内容的保护；通过监督，规范医疗机构与企业的行为，最大程度降低侵犯隐私的安全隐患。对于企业来说，应当清醒的意识到，为了追求利润而不遵守法律规范或以打法律“擦边球”的方式侵犯病患的隐私信息，将会付出沉重的代价。这不仅会导致信誉丢失，更会威胁其长期经济利益的流入。隐私保护关系到每个公民的切身利益，只有公民个人明确隐私保护的原因、必要性及方法，才能从根源上有效规避隐私泄露所产生的消极影响。病患个人应当养成保护个人隐私的习惯，不随意泄漏个人隐私信息，当隐私权受到侵犯时也要勇于借助法律手段保护自身合法权益。

5.2 建立行业监督机制

医疗大数据的广泛应用对病例档案中的隐私保护发起新的挑战。病例档案的隐私保护需要多方共同努力，除了医疗机构自身建立完备的管理规定并严格执行、政府及其职能部门发挥好立法与监督职责外，建立第三方的行业监督机制将成为病例档案隐私保护的第三重保障。第三方行业监督机构，其作用在于：给医疗机构病例档案的信息共享与利用提供建议；制订统一的病例档案保存与使用标准；对病例档案的使用行为进行指导与监督；对涉及病患隐私信息的数据进行安全监测；还可以建立病例档案使用者的诚信档案，对于违规、违法使用病例档案造成病患隐私权受到侵害的机构，限制其后续使用等。此外，建立民间认证制度以辅助行业监督，保护病例档案隐私[15]。在病例档案利用群体中有许多社会企业，他们致力于通过商业策略解决社会医疗问题，对于这些企业，进行民间认证，可以促使未认证或不合规企业参照既定的行业标准进行完善与修改。提高筛选标准并限制违规机构的再申请门槛。

5.3 增强电子病例档案数据库安全性能

随着病例档案信息化的发展，电子病例档案逐渐取代了纸质病例档案的主导地位。保证病例档案数据库的信息安全，才能防止类似谷歌“夜莺计划”的事件再次发生。首先，医疗机构作为病例档案产生的源头，应当在充分认识信息安全的基础上，增加资金投入、采购先进的设备与系统，定期进行存储软件的更新、升级与维护，防止病毒入侵和信息被窃。其次，新技术的不断涌现，为病例档案的信息安全保护提供了更多技术支撑。例如，区块链技术因其拥有高安全性、高保密性、可追溯性等优势，对于病例档案存储中存在的一些难点，如提升病例档案信息的安全性、部分病例信息的保密性需求以及病例档案所需存储容量逐步扩大的客观需要等问题，区块链技术能够为其提供新的解决方案（这一方面的研究，笔者会在后续论文中展开）。需要加快这些研究成果从理论到实践的转变进程，为病例档案的隐私权保护提供更多的技术支撑。最后，除技术因素外，医疗机构还需要制定病例档案数据库管理制度来保障数据安全，例如限制数据库的访问权限、列设黑名单、对访问人员进行身份识别等，从制度层面保障病例档案数据库的安全运行。

5.4 完善病例档案隐私保护的相关立法

当前对档案隐私保护的立法工作，存在两方面的问题：保护力度不强以及立法零散难成体系。《档案法》并没有针对档案隐私保护有明确的法律条款，只是在个别条款中有涉及隐私保护的内容，例如第21条规定：档案所有者“……可对其档案中不宜向社会开放的部分提出限制利用的意见。档案馆应当维护他们的合法权益”[16]。这几项立法已经不足以解决医疗大数据时代，信息技术迅猛发展为档案隐私保护带来的新问题。因此，迫切需要《档案法》为档案隐私保护设立专门的条款来规范病例档案实践操作过程中的隐私信息利用行为。除《档案法》外，也应该建立健全与档案有关的法规、部门规章、条例等隐私保护条款，建立一套全方面、多层次的法律体系。针对目前病例档案的隐私保护存在的立法空白的现象，要在上述基础上细化不同类型档案的隐私保护立法工作，增强保护的广度与深度。只有完善立法，划清个人信息公开与保密的界限，并用法律约束公民的行为，才有利于病例档案发挥更大的价值。

6 结语

在日益崇尚精准化治疗的今天，医疗大数据的价值逐渐浮出水面。医疗大数据的广泛运用能够为居民提供精准医疗、个性化健康保健指导、线上医疗诊断等服务；为医生提供临床决策支持并帮助其制定个性化治疗方案；为科研工作者提供大数据支撑，方便他们对临床实验数据的分析与处理；为疾控部门提供流行性疾病的监控与预警。在此背景下，病例档案作为重要的医学资料，为人们开展医学研究及改善医疗服务带来了极大便利。但不能忽视的是，医疗大数据的广泛运用同时也会带来一些负面的影响，例如可能会将病患的隐私暴露在公众的视野之中，从而对病患的隐私权造成侵害。我们应理性的意识到，大数据技术为医疗领域带来的巨大进步并不能以剥夺人们的相关健康隐私权为代价。在实践过程中，明确病例档案的隐私权保护范围，并建立相应的保护机制，才是发挥医疗大数据背景下病例档案最优效能的正确出路。由于病例档案的管理不同于一般的档案管理，其在开发与利用过程中需要更加专业和完善的管理机制，来保护病患的隐私权。这一机制的建立离不开社会各方的共同参与，需要我们从社会意识、管理制度、新兴技术、相关立法等不同维度进行全方位的思考与改进。然而，理论转化为实践的过程中可能还会面临一些问题，例如对病患的隐私权保护不足或过度都会给患者带来不利，如何权衡两者的关系从而找到最优路径等，还需要档案工作者与医疗工作者携手探索与解决。