欧盟和澳大利亚电子健康档案信息处理同意原则对我国的启示

杨朝晖, 沈华杰

1天津医学高等专科学校公共卫生与卫生事业管理系，天津，300022；2天津医学高等专科学校基础医学部，天津，300022

电子健康档案(electronic health record,EHR)是深度数字化的、关联的个人终身医疗保健记录，从时间跨度上覆盖个人从生到死的整个生命周期，从内容上强调完整的个人健康信息[1]。它的兴起和发展融合了“信息化”和“大数据”的特点[2]。EHR中的患者信息越来越多以电子形式收集、存储并使用于公共卫生服务中，EHR系统实施的信息处理同意原则对患者信息的隐私和安全保护至关重要。目前国内有关同意原则的研究多集中于患者治疗及其程序的知情同意领域，对纳入EHR信息处理的同意原则研究涉及甚少。欧盟和澳大利亚EHR信息处理同意原则分别采取了截然相反的选择加入与选择退出模式，具有较为典型的研究价值。本研究通过比较欧盟、澳大利亚EHR相关立法中有关信息处理同意原则的法律条款，以期为我国相关法律规制的完善提供借鉴。

1 欧盟EHR信息处理同意原则

1.1 法律依据

欧盟于2004年通过了电子健康行动计划，截至2017年，欧盟29个国家已建立国家EHR系统，欧盟EHR系统由所在国家卫生主管机构负责运行[3]。欧盟与EHR相关的立法包括《欧盟基本权利宪章》(2007年)、《保护患者跨境医疗服务权利指令》(2011年)、《一般数据保护条例》(下文简称《条例》，2018年)等。其中《条例》是与EHR相关的最重要的立法。

根据《条例》第4条第1款关于个人数据定义，EHR中包含的数据是与自然人的身体或精神健康有关的个人数据，属于“健康相关数据”。健康相关数据属于《条例》第9条第1款禁止处理特殊类别的个人数据的范围之内，但《条例》规定数据主体对以一个或数个特定目的对个人数据处理做出明确同意，则第1款不适用。

1.2 同意原则要素

1.2.1 选择加入，明确同意。《条例》第6条第1款(a)项规定：数据主体同意其个人数据为一种或多种特定目而处理，处理视为合法。用户同意是《条例》首要的合法性基础，除同意外的合法性基础都附有近乎苛刻的适用条件。《条例》定义同意为通过声明或明确的肯定方式，如通过书面陈述(包括电子形式)或口头声明，依照其意愿自愿作出任何具体的、知情及明确的意思表示，意味着数据主体同意其个人数据被处理。默示、预选方框或不作为不构成同意。欧盟患者选择以EHR形式就医，个人数据上传、存储到EHR系统之前，医疗机构必须获得患者的明确同意,患者不能默示或被迫同意。

1.2.2 具体的同意。《条例》第4条将“处理”定义为：对个人数据或个人数据集执行的任何一个操作或一系列操作。对于公共机构，《条例》第43条鉴于条款规定，数据主体与作为控制者的公共机构之间的权力失衡使得不可能在特定情况下的所有情况下都自由地给予后者同意。因此，除非公共机构可以证明已经对不同的个人数据处理操作给予了分别的同意，则同意不会为处理个人数据提供有效的法律依据。《对第2016/679号条例下同意的解释指南》规定：数据处理是出于几个目的而进行的，符合有效同意条件的解决方案在于“粒度”，即将这些目的分开并为每个目分别获得同意。上述条款对于涉及多个处理操作的EHR系统尤为重要，EHR系统运行医疗机构显然属于“公共机构”，其所有职能都属于《条例》规定的“处理”范围，因此欧盟医疗机构或医务人员出于诊疗目的之外目的处理EHR中的个人数据，必须征得患者对不同职能的处理及每个特定目的的分别同意。

2 澳大利亚EHR信息处理同意原则

2.1 法律依据

澳大利亚的国家EHR系统“我的健康档案”(my health record，MHR)启动于2012年，是澳政府电子健康计划的一部分。MHR允许医疗机构及从业者、政府相关机构和注册患者从多来源上传信息以共享，并在全国范围内实现MHR向患者开放[4]。MHR受以下法律法规约束：《隐私权法》(1988年)、《医疗保健标识法案》(2010年)、《我的健康档案法案》(2012年)、《医疗保健标识条例》(2010年)、《我的健康档案条例》(2012年)、《我的健康档案(辅助注册)规则》(2015年)、《我的健康档案(信息专员执行权)指南》(2016年)、《我的健康档案规则》(2016年)和《我的健康档案(国家申请)规则》(2017年)。MHR相关立法采用《隐私权法》第6条“健康信息”的定义，将健康信息被归类为“敏感信息”，个别规定敏感信息的管理需要特别注意[5]。

2.2 同意原则要素

2.2.1 选择退出，默示同意。《我的健康档案法案》没有定义同意，《隐私法》第6条将其定义为“同意表示明确同意或默示同意”。MHR计划授权澳大利亚数字健康局作为MHR系统操作员，允许其收集、使用和披露个人MHR档案中包含的个人信息。最初实施时MHR计划是“选择加入”模式，有能力的成人“医疗健康服务接受者”，即患者必须注册才能将其健康记录上传到系统。《我的健康档案(国家申请)规则》将系统注册更改为“选择退出”模式，默示同意形式，澳大利亚公民将自动获得MHR，不希望创建MHR账号的人可在2018年7月至11月内选择退出。在指定期间内未选择退出的人将自动在MHR系统中注册[6]。

然而即使是选择退出的澳大利亚公民，其个人信息也在未经同意的情况下被收集。《我的健康档案(国家申请)规则》第5条授权系统操作员收集澳大利亚所有未在MHR系统中注册个人的信息为选择退出做准备。未经同意收集的准备信息包括个人的姓名、地址、出生日期、性别、医疗保险号等。另外根据《我的健康档案条例》第1.1.7条，系统操作员还可收集个人电话号码、电子地址、驾驶执照或护照等身份验证信息。

2.2.2 “常设”或“持续”同意。MHR计划创建了“常设”或“持续”同意的概念。根据《我的健康档案法案》第41条第A(3)款规定的授权，如果记录“与医疗服务接受者的医疗保健直接相关”，除新南威尔士州、昆士兰州和首都外，澳大利亚的医疗机构均可在MHR系统上合法上传，并向有关第三方披露其有关患者健康信息的记录。除非患者明确拒绝处理，否则将被视为“常设”或“持续”的同意。但该法案未定义“直接相关”，对授权上传的健康信息的性质、敏感性和数量并无任何限制。澳大利亚数字健康局在名为“数字健康和患者同意”的网站上指出：在注册MHR时，患者必须向参与治疗的所有医疗机构提供“常设同意”，以将临床信息上传到他们的记录。

3 信息处理同意原则比较

澳大利亚MHR系统采用选择退出的模式为公民在MHR系统中自动注册，并对系统中患者信息上传、披露处理采用“常设”同意，显然有悖于欧盟《条例》规定的处理个人数据的合法性基础，其规定“一个或多个特定目”的而处理数据主体的数据，需要数据主体“自由给出、具体的、知情及明确”地同意。

欧盟《条例》的价值取向和保护模式就是保护数据主体的权利，其定位为一部基本权利保护法。“用户同意”是《条例》首要的合法性基础，《条例》以用户知情、同意、选择、控制为核心来建构整个制度。欧盟EHR信息处理同意原则严格保护患者信息隐私和安全，但对于系统信息流转和共享的起到了限制和阻碍作用[7]。

澳大利亚《我的健康记录法案》中定义MHR系统的目标为建一个集中式、可访问的系统以克服健康信息的碎片化，提高健康信息的可用性和质量，减少不良医疗事件的发生和重复治疗，改善医疗服务的协调和质量[8]。实现上述目标需要大量注册患者信息能够在系统中流转和共享。而选择退出、常设同意等信息处理同意原则不仅能免除医疗机构向患者解释每项处理操作目的的责任，还能快速汇集上述系统建设目标所需信息，但却带来了患者信息隐私和安全保护的隐患[9]。以上欧盟与澳大利亚EHR信息处理同意原则分别侧重于保护患者权利与发挥EHR信息的效用。

4 对我国相关立法的启示

我国于2009年启动全民健康档案计划，目前我国未建立全国层面的EHR系统，但很多省市已经逐步建立EHR管理平台[10]。我国尚未出台个人信息保护法和电子健康档案信息保护的专门法律法规[11]，适用于EHR信息处理的同意法律条款散见于民法、刑法、行政法等各类法律部门。主要包括《中华人民共和国民法典》(下文简称《民法典》)、《中华人民共和国刑法》和《中华人民共和国网络安全法》等。总体而言,我国EHR信息处理同意原则存在同意形式不明确、对具体同意无要求等问题，结合上述欧盟与澳大利亚EHR信息处理同意原则回顾，提出以下建议。

4.1 EHR处理过程信息分类同意

我国《民法典》在个人信息保护制度中以告知同意规则作为基本的规则。《民法典》中私密信息和非私密信息处理的同意形式不同，第1033条、1035条分别规定处理私密信息必须取得的是权利人的“明确同意”，而处理非私密的个人信息是取得自然人或者其监护人的“同意”。《民法典》1226条规定医疗机构及其医务人员未经患者同意公开其病历资料的，应当承担侵权责任。根据第1226条规定，EHR中病历资料处理的同意形式按照非私密信息处理的“同意”形式要求，具体EHR中哪些健康信息应属于私密信息范围[12]，其处理同意的形式是否要求明确同意并不明确

欧盟、澳大利亚相关法律条款对个人信息中健康信息(数据)单独定义，并归为特殊类别数据、敏感信息，提供额外保护措施。敏感的个人信息与作为私密信息的个人信息之间存在交叉的关系。健康信息既是私密的个人信息也是敏感的个人信息[12]。对于某些特定的个人健康信息是否应归类为私密信息以及是否应为此类信息提供更强的保护，不同人有不同的理解。若对EHR所有健康信息都视为《民法典》1032条“私密信息”，采取最高级别的方式进行隐私和安全保护，会影响EHR系统的运行效率[13]。建议在患者注册登记互操作的EHR时，允许其基于有限数量的预定义类别对自身EHR中的健康信息进行选择划分，赋予其可以对自身选定的特殊类别健康信息设置访问权限的权利，患者可以设置、选定可处理这些健康信息的医疗机构人员、处理目的，也可以将其设置为不可访问。患者设置的不可访问的健康信息的任何处理需要其的明确同意。在紧急情况下，医疗机构或医务人员可以查看完整的EHR，但是应该注明何时、为什么以及由谁进行的操作，以及采取的措施。

4.2 EHR处理过程分阶段同意

《民法典》以“处理”一词来统称对个人信息的收集、存储、使用、加工、传输、提供、公开等活动。《民法典》1226条规定医疗机构及医护人员公开患者病历资料需要患者同意，但对医疗机构及医护人员对EHR中病历资料的收集、存储、使用、加工、传输等处理是否需要患者同意，以及是否需要为处理的每个目的获得同意并无要求。另外《网络安全法》仅要求个人信息的收集和使用个人信息必须满足知情同意原则，对其它处理的具体同意也没有要求。EHR系统发展之初以各医疗机构为单位形成单独的数据集为主，但EHR基本要素是患者个人信息能够被授权的不同系统所共享[13]，随着异地、异构EHR互操作的逐渐实现，患者信息的出于公共利益和自然人合法权益以外的目的(如科研、追踪药物使用、健康保险等商业保险、健康画像、健康评分等)之外存储、使用、加工、传输等处理不设置具体同意会对患者信息的隐私和安全造成隐患。

同意原则需要平衡患者信息隐私安全与公共利益之间的关系，并适应于现有医疗服务流程[14]，符合本国健康服务信息化服务体系的应用水平。一方面，我国EHR处于起步阶段，为了推动其发展，EHR需要协助医疗健康服务，使医生更好地了解患者的健康状况，以改善其医疗决策；另一方面，由于EHR中健康信息的敏感性和私密性，有比一般信息同意标准更高的同意标准，并需要附加的保障措施。建议我国EHR系统信息采用分阶段同意：第一阶段是收集、存储EHR个人信息阶段，对于患者是否要以EHR形式就医，是否上传、存储信息至EHR，建议采取选择退出模式，默示同意的形式，但是需要赋予其拒绝权。第二阶段是使用、传输EHR个人信息阶段，如果出于公共利益和自然人合法权益目的上述处理建议采用选择退出模式，默示同意的形式；如果出于公共利益和自然人合法权益以外目的，上述处理需要患者的明确同意；另外还应在不同处理前明确告知患者信息的处理的目的、信息可能被转让或共享的人员类别，以及是否用于自动决策或数据画像；并分别对不同的处理行为的多个目的取得患者的具体同意；第三个阶段公开处理阶段,不论其处理目的，建议均采用选择同意模式，需要患者的明确同意。