患者隐私权保护在大数据和远程医疗中面临的挑战和对策

王 敦 宫芳芳 李亚男

1 大数据时代背景下加强患者隐私保护的必要性

随着大数据时代的到来，以及云计算、人工智能、5G技术等为代表的新技术的迅猛发展，传统医疗逐渐向数字医疗过渡，疾病的预防、检测、诊断和治疗模式也逐渐向个性化、精准化、智能化和远程化的方向发展，医疗服务的公平性和可及性将大幅提高，医疗大数据产业也将迎来新的变革。2014年9月，原国家卫生计生委发布《关于推进医疗机构远程医疗服务的意见》，鼓励各地探索建立基于区域人口健康信息平台的远程医疗服务平台，推动远程医疗服务持续健康发展。随后国务院办公厅陆续发布关于促进和规范健康医疗大数据以及“互联网+医疗健康” 应用发展的意见，将健康医疗大数据应用发展纳入国家大数据战略布局，推动互联网与医疗健康深度融合，提高医疗健康服务的可及性。2019年11月，世界卫生组织正式发布了《数字健康全球战略(2020—2024)》，“数字化”逐渐成为了全球医疗健康领域的重要发展方向。同时世界卫生组织表示，2020—2030年可能是数字技术重塑医疗卫生系统的十年。

一方面，大数据时代的到来为现代医学的发展和进步带来了新的机遇，医疗服务的信息化和大规模的医疗数据，为临床精准诊断、健康管理和卫生决策支持提供了强有力的支撑；另一方面，大数据时代的到来也给患者的隐私保护带来了巨大的挑战，大量个人健康信息、就诊记录等数据在医疗服务机构、网络运营商等媒介中传播和存储，信息一旦泄露将为当事人带来难以估量的风险和危害。因此，在大数据时代以及互联网医疗、远程医疗等的背景下，加强患者隐私保护是非常必要的。

2 患者隐私权保护面临的挑战

目前我国对于患者隐私保护的力度不足，在医疗过程中侵犯患者隐私权或患者隐私信息泄露的现象时有发生，随着社会的不断发展和人们思想观念的不断转变，公众对于隐私权的保护需求越来越大，但面临的挑战也越来越大。

2.1 在远程医疗中可能会泄露患者隐私

电子病历相比传统的纸质病例，查阅和保存更加方便，不仅为医院也为患者带来了极大便利。并且远程医疗和数据共享极大地提高了医院工作效率，对于提高患者就医体验、减轻患者经济负担和缓解医患矛盾等方面具有积极的促进作用，但其中患者信息呈现集中布局、查阅和传输成本低廉的特点也极大地增加了患者隐私被侵犯和泄露的风险[1]。在大数据时代和远程医疗中患者面临的隐私威胁并不仅限于个人隐私的泄漏，还在于基于大数据对人们行为的预测[2]，这种被挖掘或二次利用所涉及的隐私问题是对医疗隐私保护的更大威胁。目前物联网技术快速发展的背景下，具有携带方便、低成本、低功耗、集成标准化无线连接特点的医用可穿戴设备越来越被人们接受并广泛使用，如远程疾病诊断、健康监测等功能。医用可穿戴设备除了采集佩戴者个人身份信息之外，还能够采集他们的生命体征实时监测数据和地理位置等信息，但是这项新技术在给患者带来便利的同时也会可能因患者隐私权被侵犯而引发新的伦理问题[3]。随着“互联网+医疗”的逐渐兴起，医疗服务提供机构内部电子病历系统和互联网系统之间传输、共享患者信息的安全性、保密性不足或缺失，都可能会导致患者隐私的泄露。

2.2 国内有关专门保护患者隐私权的法律欠缺

在美国，关注和讨论人权问题的时间较早，并且隐私权的概念和理论最早也起源于美国。1996年美国国会通过了《健康保险便携性和责任法案》(Health Insurance Portability and Accountability Act，HIPAA)，该法定义了患者的个人信息相关的权利，明确规定了侵犯病人受保护的健康信息应面临的法律责任和受到的严厉处罚[4]。英国1998年通过的《数据保护法》(The Data Protection Act)将健康、基因等医疗卫生信息划为个人重要隐私信息加以严格保护[5]。韩国与日本也分别于2001年和2003 年分别颁布了各自的《个人信息保护法》，对个人隐私信息加强法律保护，以有效遏制日益增多的个人隐私权被侵犯和个人信息泄露事件[6-7]。2016年欧洲理事会和欧洲议会分别表决通过了《一般数据保护条例》(General Data Protection Regulation，GDPR)，从创新个人信息管理机制、明确个人对其信息的控制权、界定个人信息相关单位责任、完善特殊情况信息保护规则等多个方面加强个人隐私信息的保护[8]。

我国1999年5月起施行的《中华人民共和国执业医师法》规定医师在执业活动中履行关心、爱护、尊重患者以及保护患者隐私的义务，泄露患者隐私造成严重后果的，依情节轻重承担相应法律责任；2010年7月起施行的《中华人民共和国侵权责任法》将“隐私权”列为应受保护的民事权益范围之内，侵害权益应当承担侵权责任；2017年6月起施行的《中华人民共和国网络安全法》对网络信息安全有明确规定，如：网络运营者应对用户信息严格保密，不得泄露、篡改、毁损其收集的个人信息，任何个人和组织不得窃取和非法出售个人信息等。此外，我国宪法、刑法及有关民法通则的司法解释中均对保护个人隐私作了间接性和原则性的规定。但我国大陆目前还没有专门的隐私保护法，个人对其隐私信息缺乏一定的掌控权，对于哪些个人信息可以被医疗服务机构采集以及如何使用这些信息都还没有具体的规范，对患者的隐私信息尚未形成系统的保护体系。这些立法上的缺陷将不利于对患者隐私信息的保护。

2.3 医疗机构和医护人员对患者隐私保护有待加强

在传统的观念中，往往认为医生在医疗过程中享有一切的权利，同时认为患者在医生面前毫无隐私可言。以前医院只是注重为患者看病而忽略了患者在看病过程中隐私方面的需求。随着我国有关医疗卫生法律法规的逐渐健全，尤其是2002年国务院颁布的《医疗事故处理条例》，经过多年的实施使得医疗机构和医护人员增强了对患者合法权益和保障医疗安全的认识，但是在日常诊疗工作中，损害患者隐私权、泄露患者隐私信息，对患者造成困扰和伤害的现象时有发生，成为导致医患纠纷发生的一个重要原因[9]。如：2016年美国医疗保险公司 Health Net由于医疗系统没有加密导致约45万名患者的医疗记录数据丢失[10]，2008年4万多名深圳孕产妇女信息被刻录成光碟在市场上非法售卖[11]，2014—2016年间上海疾控中心员工利用职务之便非法贩卖20余万条新生儿信息[12]等事件，均造成患者隐私泄露并被滥用，都由此承担相应的法律责任。此外，目前我国大部分的医疗机构的场所设置、设备设施等条件还无法完全满足患者隐私保护的需要，许多地方由于条件有限会出现多个患者在同一个诊室就医或多个医生在同一诊室看诊的现象，无意中增加了患者隐私暴露的风险。随着电子病历和远程医疗的应用和普及，医疗机构更要注重医疗信息安全，严防患者隐私信息泄露。

2.4 患者自身的隐私保护意识有待提高

在我国，有一部分患者对自己享有的权利认识不清，尤其是对待自己隐私权的问题上，例如医生检查什么部位以及用什么样的方法进行检查都是由医生自行决定的，病人则绝对地服从，这会让一些职业道德和修养有待提高的医生恶意侵害患者的隐私权变得有机可乘；而另有一部分患者对自己的个人隐私权过于强调和看重，只是意识到自己的权利不可侵犯，而忽略甚至无视了自己所应当承担的义务。显然，这两种极端的心态都不利于患者隐私权的合理和有效保护。随着现在远程医疗的兴起和大数据的广泛应用，医疗健康产品也越来越普及，患者自身授权或被收集的信息也越来越多，患者非常有必要提高自身的隐私保护意识，以减少隐私暴露的风险。

3 加强保护患者隐私权的对策

3.1 国家应积极推进隐私权保护法的立法

虽然目前我国已经有多部法律、法规涉及到个人或患者的信息保护，如刑法、侵权责任法、网络安全法、执业医师法、护士管理办法等都作出了相关的规定。但总体来看呈现分散立法状态，迫切需要根据目前实际情况制定系统性的针对个人隐私权保护的法律。从2008年开始就陆续有全国人大代表呼吁制定个人信息保护法，对相关各方的权利、义务和承担的法律责任予以明确，以便更好地保护个人隐私信息。但直到2019年才将制定个人信息保护法列入立法规划。随着网络信息技术、数字医疗、远程医疗的快速发展，因个人信息被泄露和滥用而导致患者受到侵扰和伤害的事件时有发生。通过立法加强个人隐私信息的保护已成为时代发展的必然要求，同时对于加强患者隐私权的保护和医疗事业的健康发展具有重要的意义。

3.2 医疗服务提供者要加强患者隐私保护行业自律

随着大数据时代的到来，数字化服务已逐渐渗透到各行各业，个人信息的收集、使用和交互传输更加频繁，越来越多的机构拥有大量的个人信息，当然医疗机构也不例外。首先医疗机构要加强对患者个人信息的管理，不仅包括患者个人资料、疾病诊断、诊疗过程等，还涉及医护的诊疗操作和行为规范等任何与患者接触的场景。其次医疗机构要对医护人员强化职业素养和医德医风的培训和教育[13]，对不同人员设定访问患者病历资料的特定权限，加大医疗安全督导和巡查力度，同时要加强医疗信息网络系统维护，切实保障患者隐私资料和医疗数据安全。尊重患者的知情同意权不管是在传统的医疗模式中和远程医疗模式中都是首要遵循的原则，特别是在个人信息的二次使用上[14]。以往信息传播渠道较为单一，但随着互联网医疗、远程医疗的快速发展，更多、更详细的患者信息被暴露在互联网之中，因此强化医疗服务提供者的行业自律，构建保护患者隐私的自律机制，对加强患者隐私权的保护具有不可或缺的作用。

3.3 患者个人要提高隐私保护的意识

作为我国卫生健康领域内的一部基础性、综合性的法律，于2020年6月1日起施行的《中华人民共和国基本医疗卫生与健康促进法》规定：公民在接受医疗卫生机构提供的服务时，对其病情、诊疗方案等事项依法享有知情同意的权利，并应当受到尊重。患者在日常生活中应增强法制观念和树立维权意识，在加强自我隐私保护意识的同时也要尊重他人的隐私，这样才有助于树立良好的社会风尚。患者个人隐私保护意识的薄弱可能会导致零散的个人信息被大数据分析后进行关联和累积，最终被不法分子利用而使个人隐私信息暴露。在目前我国对个人隐私信息保护的相关法律尚不完善的情况下，患者从源头上注意加强个人隐私数据的管理和保护意识，是一个低成本且易操作的可行方法之一[2]。基本医疗卫生与健康促进法亦提出：国家推进全民健康信息化，运用信息技术促进优质医疗卫生资源的普及与共享。在当前数字医疗、远程医疗快速发展，以及推进全民健康信息化的大背景下，提高患者个人隐私保护意识对于营造促进健康医疗大数据安全规范、创新应用的发展环境也显得至关重要。