发达国家居民电子健康档案开放隐私保护政策研究

齐惠颖，李亚子

1北京大学医学人文学院健康信息管理系，北京，100191；2中国医学科学院医学信息研究所，北京，100020

建立居民电子健康档案，实现居民健康信息联网查询。这不仅方便居民就医，减轻经济负担，而且可以让医生快速了解居民过往病史，准确判断居民病情，减少重复检查，防止漏诊、误诊。而电子健康档案包含个人就诊记录等私密信息，一旦被泄露损失不堪设想，开放居民电子健康档案将使隐私保护和信息安全面临巨大挑战。开放共享居民电子健康档案，前提是我国要制定保障个人隐私的政策规定，防止个人隐私泄露或被非法利用，确保保护个人健康隐私的法律法规已完善，并能真正发挥作用。

欧美等地区发达国家已经建成一套比较成熟的居民电子健康档案开放隐私保护政策法规体系，解读其制定情况，发掘可借鉴之处，可以为我国居民电子健康信息隐私保护法律法规的完善提供参考。

1 国内外相关研究

对于电子健康档案的隐私保护问题，一些学者从不同角度进行了相关的研究。国外学者主要针对医疗电子健康信息的隐私性、可靠性和侵权责任这三个方面的挑战提出了针对性的建议[1]；从技术和政策两个方面研究了患者隐私和数据共享之间的平衡关系[2]；从数据识别技术、对研究者和研究的信任以及相关技术平台的安全三个方面提出患者的隐私保护策略[3]。从技术实现层面通过事件驱动的混合身份管理方法来增加电子健康档案的保密性[4]；研究了基于云计算的电子健康档案的安全和隐私保护问题，认为云服务提供商必须制定安全机制来防止未经授权的访问和数据泄露[5]；提出确保电子健康档案数据隐私信息损失最小化的解决方案[6]。

国内学者重点从保护个人隐私的可行性及其实现路线[7]、电子健康档案的建设中不同利益相关者的要求[8]、共享服务系统建设[9]、居民电子健康档案管理与隐私保护现状及政策[10]、电子健康档案应用问题与应对战略[11]等方面着手，从立法模式的角度，探究我国居民在电子健康档案的开放过程中存在的各种问题[12]。从意识、法律、管理、技术四个方面研究电子健康档案的隐私保障对策[13]，通过介绍国外电子健康档案系统建设的特点，对我国电子健康档案系统建设状况提出了改进的建议[14]。

当前国内外相关研究主要从隐私策略可行性、可靠性、侵权责任、利益相关者利益需求层面探究了电子健康档案开放的各种问题和应对策略，从政策和技术实现层面分析了隐私保护策略如何制定的问题，而较少对发达国家开放隐私保护政策法规系统考察，由于发达国家隐私保护政策法规较早制定和实施，借鉴其相关经验，对完善我国的政策法规建设具有重要的意义。基于此，本文以发达国家和地区16部与健康信息隐私保护相关法律法规为研究对象，解读其内容，以期为我国电子健康档案开放隐私保护相关政策的完善提供借鉴。

2 欧美等地区发达国家居民电子健康档案开放隐私保护政策

通过浏览美国、加拿大、英国、澳大利亚和欧盟的医疗卫生部门官方网站，同时检索中国知网、PubMed、Web of Science等国内外数据库，调研16部有关居民健康信息隐私保护相关法律法规，如表1所示。对这些法律法规从概念的界定、患者隐私权、侵权行为与责罚方式、发展历程四个方面进行系统梳理，总结和分析其特点[15-30]。

表1 与隐私保护相关法律

2.1 个人电子健康信息的概念

目前多部立法中都对个人电子健康信息做出了具体的定义，如美国的《健康保险流通与责任法案》(health insurance portability and accountability act，HIPAA)规定受保护的个人电子健康信息包括与个人过去、现在以及未来健康状况有关的个人可识别信息。个人电子健康信息包括两种，一种是人口统计信息，包括证件号码、年龄、性别、种族、联系方式等；另一类是健康信息，包括诊断、治疗信息、医学检测结果和处方信息[16]。加拿大《个人健康信息保护法案》(personal health information act，PHIA)对个人健康信息的界定涉及在卫生保健过程中收集的所有个人身份识别信息[23]。欧盟《通用数据保护条例》(general data protection regulations，GDPR)将其定义为与人的身体和精神有关、显示个人健康情况的数据[27]。

由此可见，这些法律法规对个人电子健康信息的界定内容虽然不尽相同，但其核心内容都是强调保护贯穿生命过程的、带有识别特征的个人健康信息。

2.2 隐私信息泄露

美国HIPAA规定，对个人信息的非法泄露主要是“未经授权的披露或使用，导致个人信息的机密性、完整性和可用性受到破坏”。美国HIPAA中描述的隐私规则禁止未经个人许可的情况下向未经授权的人披露某些健康信息[17]。卫生与公共服务部民权办公室(office for civil rights,OCR)负责管理和执行这些标准，并可进行投诉调查和合规审查[16]。

欧盟GDPR将信息泄露责任扩大了范围，在信息保护方面，过去仅仅是数据持有者负责数据的保护，现在数据处理人也直接负责保护；信息泄露后数据供应链的各方均将承担责任。对于信息泄露，要求主管监督机关通知信息控制人报知数据泄露情况，若信息泄露达到了个人信息披露通知的标准，信息控制人必须通知因违反规定行为而受到影响的个人[27]。

2.3 责罚方式

多部法律法规除了对泄露健康隐私信息的行为作了严格规定之外，还制订了详细的责罚标准，对违反安全隐私条例的惩罚通常分为民事和刑法两类，而具体责罚主要分为两种：罚款和监禁。美国HIPAA法案对隐私泄露做出了惩罚，处罚分为民事罚款和刑事起诉两种。对于民事罚款，规定在2009年2月18日之前发生的违规行为每次违规罚款金额最高为100美元，多次违规处罚上限为2.5万美元在2009年2月18日之后发生的违规行为每次违规罚款金额为100美元至5万美元或更多，多次违规处罚上限为150万美元。刑事处罚规定对故意收集或公开他人的健康信息处以5万美元罚款，另加一年的监禁；另外，涉及贩卖或非法伤害个人健康信息，最高罚款金额将达25万美元，最长的监禁时间为10年。

欧盟GDPR比HIPAA的惩罚力度更大，GDPR规定如果一家机构违反了相关规定，罚款金额将高达2400万美元，或者机构年收入的4%，并以两者中的高者为准。

2.4 个人健康信息隐私保护法律法规的发展历程

根据个人健康信息隐私保护相关法律法规的颁布时间和内容，可将不同国家和地区制定的法律法规分为三个阶段。

第一阶段：初步建立阶段。

这一阶段制定的法律法规对个人隐私信息的保护发挥了一定作用，本阶段最早颁布的法律法规是1974年美国颁布的《隐私权法》，该法律也是当时美国政府最基本的保障个人隐私的法规[15]。美国随后颁布的一系列相关法律都是在这个基础上建立的；1984年英国通过的《数据保护法案》对个人隐私信息也有非常具体的规定，明确持有数据的机构都应遵守这一规则，并明确规定了个人有权选择如何共享自己的健康信息[28]。1983年加拿大颁布的《隐私权法》[20]和1984年颁布的《加拿大健康法》[21]同样包括了个人信息的隐私保护的内容；1988年颁布的澳大利亚《隐私权法》[24]与《隐私与个人信息保护法》[25]也明确规定了个人隐私信息的安全性。这一阶段出台的法律规定并未明确个人隐私的范围和相应的处罚标准，对个人隐私的保障并不完善，缺乏个人健康隐私保护的完整性，也不能满足个人对隐私权的要求。

第二阶段：不断完善阶段。

随着个人隐私保护意识的不断提高，健康信息隐私保护内容也不断得到增加和补充，该阶段相继出台了一系列新的法律规定。如美国于1996年颁布了HIPPA，要求对居民电子健康档案施加特定隐私保护措施。例如，政府通过对密钥和PIN数字系统的访问控制，限定了居民健康信息只能由授权个人访问；政府对居民的健康信息必须用具有“密钥”“解密”的系统方可读取；通过“审计追踪”功能记录访问信息者以及修改的内容和日期。2000年加拿大颁布的《个人信息保护与电子文档法案》规定机构收集个人信息只能用于收集目的，如果组织要将其用于其他目的，则必须再次获得同意，个人信息必须受到适当保护措施的保护[22]；英国2000年颁布的《调查权法》规定对于特定个人或人群进行监视需要获得授权，因为这种秘密监视很可能会获得个人隐私信息[29]。数字移动网络和互联网的使用为企业和用户的隐私带来了新的风险，2003年颁布的《通信数据保护指导原则》规定了更具体的电子通信隐私权。该阶段的个人健康信息隐私保护法律制度得到了进一步的完善，出台的法律法规使电子健康信息隐私保护力度得到加强[30]。

第三阶段：逐步细化阶段。

这一阶段相关的立法不断完善和细化，如2009年美国颁布的《经济和临床医疗卫生信息技术法案》通过加强HIPAA规则的民事和刑事执法的几项规定，解决了与健康信息电子传输相关的隐私和安全问题，主要包括加强适用HIPAA的主体保护义务，明确并扩大了对商业合作者的规定，增加了关于电子健康档案中的健康信息交换规则[18]。2012年，美国推出了《食品药品管理局安全与创新法案》，通过提高移动应用程序以及其他方式，促进个人健康信息的安全[19]。2010年加拿大政府颁布的《个人健康信息保护法》制定了个人健康信息在收集、使用和披露时必须遵守的规则[23]。还规定了居民在获取和使用其个人健康信息方面的权利。2012年澳大利亚政府颁布的《个人控制电子健康记录法》对个人隐私健康信息也出台了非常详细地明确的规定[26]。欧盟2018年正式实施的GDPR是目前数据隐私安全保护力度最强的保护条例，GDPR与HIPAA相比不仅惩罚力度更高，而且其影响范围也更广，法规适用于所有个人数据的存储和处理，限制所有利用个人身份数据的公司。该阶段已经形成由一部法律为主，多部法律补充完善的较为系统的健康隐私保护法律体系。

3 对我国居民电子健康档案开放隐私保护的思考

目前，我国的许多立法都与健康信息隐私保护有关，如《中华人民共和国医师法》规定了医师具有保护患者隐私的义务，若泄露患者隐私将根据情节严重处以不同的处罚；《中华人民共和国侵权责任法》在第7章医疗损害责任部分也包含了健康信息隐私保护的内容；《医疗机构病历管理规定》特别强调了不得泄露患者隐私。另外，最新颁布的《中华人民共和国民法典》和《中华人民共和国基本医疗卫生与健康促进法》也都包含了健康隐私保障等方面的内容。但我国有关个人健康信息的隐私保护条款分散在不同法律规章下，目前尚未制定专门的健康信息隐私保护法。发达国家通过建立一系列政策法规来规范居民信息健康的收集、共享和利用各个环节，尽管我国的体制和国情与欧美等发达国家不同，但是仍然从中可以获得一些启示。

3.1 明确电子健康档案隐私保护内容

电子健康档案主要涉及个人健康信息的获得、授权、共享和修改等，由于《中华人民共和国民法典》增加了对个人信息隐私保障护的条款，使得对个人信息的收集、使用、传输和加工等方面的信息隐私保护形成了规范。《中华人民共和国基本医疗卫生与健康促进法》中第92条也涉及到了保护个人健康信息隐私安全的内容。这些最新出台的法规对我国居民的电子健康档案隐私保护提供了新的法律依据。

虽然我国多部法律法规中都能找到涉及个人健康隐私信息保护的内容，但还没有一部法律法规是直接针对居民个人电子健康档案的，也没有对个人电子健康信息范围的明确界定，这就对医疗保健提供者理解并遵守隐私和安全规则的义务带来困难，而居民也往往不知道他们的隐私和安全规则下的权利。因此明确电子健康信息的界定，进而确定居民个人电子健康信息隐私保护的具体内容是首要步骤。由于电子健康档案涉及国家卫生健康委、档案管理行政机构、医疗卫生行政机构和社保部门等，所以需要各个部门的积极有效配合与协调，借鉴发达国家已制定的标准，根据我国国情，从个人电子健康信息的内涵与外延、收集和管理、使用与披露、是否要求患者授权等方面提出详细的标准。

3.2 制定隐私保护管理和奖惩机制

建立居民电子健康档案开放与隐私保护的机制，安全责任和奖惩机制等手段对电子健康档案隐私进行保护。医院设置安全责任制度需要将安全责任机制岗位责任到人，提升相关人员的责任意识与职业道德。将医生、护士、档案管理员、网络安全员等人员做好具体的职责界定,将岗位责任落实到具体人员，避免从内部泄露居民的健康隐私信息。

同时，政府还可以建立起对各利益相关机构的政府评估体系，完善监管体制。通过建立有效监管体制实现监管。确保监管和惩罚机制良性的运作。联合医疗卫生机构、新闻传媒机构、行业协会、审计部门，对电子健康档案系统的隐私保护实行监管，严惩弄虚作假，建立有效监管制度。

此外，还需制定一整套可操作、完善的惩罚机制，保证对惩罚规定的执行力度，细化对利益有关者责任的相应惩罚措施，发挥法律威慑的作用，减少对隐私泄露造成的损害。

4 结论

居民电子健康档案的开放隐私保护法律法规是保护居民隐私的法律框架。尽管世界各国医疗卫生服务体系与制度不同，但对用信息化技术推进电子健康档案共享的需求是一致的，都是以为居民提供安全完整的电子健康档案共享为目的。本文通过对发达国家和地区涉及个人健康信息隐私保护的法律法规从概念的界定、隐私信息泄露和责罚方式、法律法规的发展历程几个方面进行分析，希望为我国相关法律法规的制定和完善提供借鉴和启示。