我国公民个人医疗数据信息的法律保护*

洪欣琳

2021年6月，《国务院办公厅关于推动公立医院高质量发展的意见》发布，指出医疗大数据建设成为我国卫生事业的重要发展目标，应以互联网技术赋能，实现从传统医学到信息医学的巨大转变。信息医学时代，个人医疗数据信息在提升医疗服务质量、转变医疗服务模式，甚至惠及全民医疗卫生事业方面的作用不可小觑。然而，高强度的信息处理也会显著增大个人医疗数据信息被侵犯之风险，进而导致个人医疗数据信息保护的危机。作为高度敏感信息，个人医疗数据信息被侵犯的风险不仅会危及其正常生活，极易导致其生理与心理的双重伤害，且以长远计，还必然会妨碍国家信息医学的战略推进与公共医疗的进步发展。

本文立足于我国医疗大数据发展背景，拟分析个人医疗数据信息法律保护不力的客观现实与原因，并借鉴域外个人医疗数据信息保护相关法治建设情况，结合我国实践提出个人医疗数据信息保护的对策与建议，以期能促进个人医疗数据信息的长效保护，助力我国“互联网＋医疗健康”的长足发展。

一、公民个人医疗数据信息的本质与保护之必要性

我国对个人医疗数据信息的一般释义尚无专门规定，在不同的办法、标准等文件中，关于个人医疗数据信息的法律术语及其内涵各有差异。①结合个人信息的可识别性等特征，“个人医疗数据信息”是指在疾病预防、诊断、治疗等全部医疗过程中所获取的与个人身心健康状况相关的信息，是与特定个人相关联、反映个体特征、具有可识别性的符号。[1]“健康信息”的外延随着医疗卫生产业的发展不断扩充，其可分为四大类:个人基本信息、个人诊疗信息、个人体检信息与遗传基因信息。“个人基本信息”即指辅助诊疗中的一般个人信息，如姓名、身份证号、家庭住址、电话号码、医保信息等；“个人诊疗信息”指的是既往病史、用药记录、病程记录等；“个人体检信息”指体检结果、生活习惯、健康检测结果、健康评估等；“遗传基因信息”是指反映主体遗传本质的信息，其不仅与个体有关，还可推算出家族等群体的健康状况，例如家族病史、遗传病史等。此外，“个人医疗数据信息”的外延随着信息医学产业的发展不断扩充，已然包含慢性病或老年病等疾病的日常健康管理信息、穿戴式APP所记录的生理健康数据、远程诊疗的个人地理位置、语音与视频信息、远程医疗云和影像云平台的健康云信息等新兴内容；其外延的扩充，意味着高强度的信息处理活动频繁，从而导致信息泄露的风险增加。因此，个人医疗数据信息亟待法律保护，这一点在信息医学发展的特殊背景下尤为凸显。

（一）个人医疗数据信息本身的高度敏感性

“个人敏感信息”，是指一旦被泄漏或滥用，极易危及人身、财产安全或导致人格尊严受到损害、歧视性待遇的个人信息。[2]我国《个人信息保护法》第二十八条列举了“生物识别、医疗健康、金融账户”等具体的信息类型，明确个人医疗数据信息属于敏感个人信息。相较于一般个人信息，敏感个人信息的泄漏具有损害个人人格权的高风险性，因为个人医疗数据信息所承载的是其主体的精神的、心理的和身体等隐秘细节与具体内容，一旦发生泄露或滥用等侵犯行为，不仅其主体容易遭致人身歧视、下游犯罪等社会性问题，同时势必严重损害主体的就业权、自由权等带有人权性质的基本权利。因此，个人医疗数据信息的高度敏感性决定了其应当适用更加严苛的保护规则。

（二）侵犯个人医疗数据信息事件的频发性

2020年，全世界针对医疗行业的APT攻击②事件增加了117%；其中，在我国发生的APT攻击中，被黑客入侵的重点区域即医疗卫生行业占据了23.7%③不仅如此，信息处理主体的多元性与处理场景的复杂性，亦使得个人医疗数据信息泄露事件频发，如在“佛山基因歧视案”中，3名初试成绩优异的考生因在复试体检中被查出携带有地中海贫血基因而被拒绝录用，严重侵犯个人就业权[3]；又如，存某某在北京市肛肠医院就诊后病历信息被泄露，致使其肛肠手术视频以光盘形式在网站公然售卖，给尚在哺乳期的存某某造成经常失眠并记忆力下降的精神损害；再如，黄山县人民医院未经时某同意，致使其人流信息在黄山县流传，严重侵犯其名誉权。④特别是新冠疫情期间，确诊患者疫病信息被恶意披露事件频发亦如是，引发多轮网络谩骂与现实骚扰⑤，不仅侵犯个人人格尊严，更严重影响政府公信力与防疫工作有序推进。不断发生的信息被泄露事件表明，加强对个人医疗数据信息的保护刻不容缓。

（三）当前我国个人医疗数据信息的立法滞后

目前，我国针对个人医疗数据信息保护的法律法规主要是行政法规和推荐性标准，对公民个人医疗数据的保护具有一定的滞后性，亟需从立法层面予以修正和完善。

我国对个人医疗数据信息的法律保护散见于各类医疗卫生法律法规、民事法律以及相关司法解释中。《中华人民共和国民法典》（以下简作《民法典》）给予个人信息以私法保护，规定个人私密信息适用隐私权的规定，并要求医务人员对泄密行为承担民事侵权责任。《个人信息保护法》对“敏感个人信息”作出界定，列举了单独同意规则、额外通知规则、限制未成年人规则等。此外，部分医疗法律法规亦对健康（医疗）信息或隐私保护作出粗略规定。⑥

然而，当前我国个人医疗数据信息保护的立法不足以形成完整的法律保护框架，缺乏可实施性，难以有效保护个人医疗数据信息。首先，《民法典》对个人医疗数据信息保护仅作原则性表达，将传统民事制度与个人信息保护的有关制度融为一体，使得《民法典》“人格权编”有关个人信息的条款与其他人格权规定不一样；虽然带有专门化的特点，但是由于条文太过简单，无法形成与《个人信息保护法》的统一，势必会在今后的应用中出现矛盾并造成诸多的不确定性。[4]其二，《个人信息保护法》难以实现个人医疗数据信息的特殊性保护需求，缺乏对个人医疗数据信息的严格使用规则、删除处理、泄露告知义务等实践中所需遵守之具体规定。其三，制订医疗卫生法律法规的主要目的在于促进我国健康医疗服务水平，而信息保护并非其重点规制的内容，故大部分医疗类法律法规的相关条款都只有1～2条。

二、我国公民个人医疗数据信息保护之困境

（一）“知情同意原则”流于形式

“知情-同意”原则是个人信息权利或权益得以实现的首要机制。然而，个人医疗数据信息的收集、存储、处理到加值利用⑦等各个环节均具备不可预测性，信息处理者通常会违背信息的最初收集或者使用之目的，特别是利用大数据分析和挖掘技术对大量个人医疗数据信息进行二次处理。即是说，藉由大数据分析技术找到并确定信息之间的相关性，以此生成预测并应用于疫情监测、AI诊疗、远程诊断等公共领域或私人领域的医疗信息服务。

比较法领域，处理个人医疗数据信息前应征得信息主体的明示同意，默示同意规则不得适用。例如，日本《个人信息保护法》规定搜集和使用个人敏感信息只能适用明示同意规则（又称选择进入规则，即OPT-IN）；美国在医疗信息领域，亦通过《隐私规则》明确要求适用OPT-IN规则。根据我国《个人信息保护法》第十四条、第二十九条的规定，无论一般个人信息还是敏感个人信息，在处理前均应获得信息主体的明示同意，敏感个人信息的处理更应获得信息主体的“单独同意”。

然而，在医疗信息化下，大数据挖掘和分析技术不仅导致信息处理者难以制定出完整且明确的知情同意协议，也导致信息主体无法对知情同意协议进行实质性理解。大数据分析的目的之一即在数据中找到无法预知的模式和相关性，这意味着无论是信息处理者还是信息主体都不太可能明确个人医疗数据信息的全部用途。此外，大数据技术应用的信息处理并不局限于特定目的，往往随着场景、情势等因素的变化而调整，要求信息处理者在首次处理个人医疗数据信息之前，说明未来个人医疗数据信息加值利用的目的难度极大，强制信息处理者在每一次变更处理目的时进行告知更会无限提高法律合规成本。

（二）个人信息权益保护模式的消极性

基于《民法典》第一千零三十五条等可知，个人信息项下得到明确规定的权益有四项：知情同意权、复制查阅权、更改与删除权与信息安全权。由于当前我国并未明确个人信息的权利属性，使得在权益保护模式下，通过控制他人行为来实现对权益主体利益的保护，呈现出消极性和被动性。

在权益保护模式下，个人医疗数据信息的整体利益被分割，一部分给予权益主体（通常为患者），另一部分则给予信息处理者较大自由空间。例如，根据不完全的数据，在这次疫情中采集大量个人医疗数据信息的主体至少有五种类型：教育部门、公安部门、基层社区工作者、电信运营商和互联网公司。[5]这些主体对个人医疗数据信息进行重复采集，导致信息采集安全性降低，使其面临着被泄露的风险。在信息主体“个人信息权利”保护缺位的情况下，相对于数据平台和政府机构所垄断的“数据权力”而言，私权显得无足轻重，因而很难以私法途径充分、全面、有效地保护个人信息。[6]

此外，《民法典》将个人医疗数据信息以隐私权路径进行保护，可能会导致个人医疗数据信息的保护产生路径冲突，因为此规定意味着无论隐私权规定相较于个人信息权益的规定是否更为有利，皆排除个人信息权益保护规定的适用。亦以知情同意为例，在个人信息权路径下，对于个人医疗数据信息二次处理，如果改变处理的方式和范围，则需要获得再次同意；然而在隐私权路径下，对隐私公开的同意是一次性的，一旦公开，就无须获得权利主体再次同意。由于适用隐私权的相关条款，往往致使对个人信息权规定的适用被排除，这时个人医疗数据信息主体便会丧失一般的信息权利，例如知情同意、查阅、删除等权利。

（三）对个人医疗数据信息的侵权救济乏力

《个人信息保护法》第六十九条规定将过错推定原则应用于个人信息侵权责任认定，免去了信息主体对信息处理者主观过错的证明责任，一定程度减轻了信息主体的救济困难。然而，囿于侵权环节的复杂性、侵权主体多样性以及侵权结果的无形性等特点，使得在侵权责任请求权制度下，因果关系证明、损害认定等规定仍不尽合理，无法与个人医疗数据信息的严格保护要求相因应，难以应对多元化信息处理场景，遑论担当个人医疗数据信息侵权救济使命。

其一，过错推定归责下，作为原告的受害人仍需承担过错的主张责任并提供初步证据以支持该主张，被告亦可提供证据证明其尽到合理的注意与提示义务，从而对原告的主张进行抗辩。若被告能够举证并证明其已采取信息安全的技术措施和其他必要措施，则有可能导致案件相反的裁判结果。在个人医疗数据信息侵权诉讼中，证据偏在的客观事实直接导致当事人举证能力的失衡。于受害方之原告，过错要件的主张责任及其初步举证与证明也并非容易，且被告依仗信息技术优势、甚至市场垄断地位，可轻易以多种方式证明已采取信息安全的技术措施和其他必要措施。

其二，因果关系证明不能。个人医疗信息的收集、使用、传输等可以在同一时间内由多个信息处理者同时进行，而且在各个过程中都有可能出现侵权，而造成损害的原因通常是由哪一方的信息处理人的行为造成的无从得知；而由于这因果关系的复杂性，在个人医疗数据信息侵权案件中，受到追究的侵权人数量十分有限。个人医疗数据信息的主体往往没有相对应的信息处理能力，亦无法获取信息收集与处理的客观事实，从社会效益的角度来看，基于相同目的，使受害者而非信息处理者承担因果关系的证明责任，不仅会增加受害者的成本，也会加大社会成本。

其三，损害结果认定困难。个人医疗数据信息侵权的损害结果多体现内心焦虑等非物质损害，而我国很多法院均以无法确认非物质性损害为由直接驳回了原告的索赔请求⑧，被侵权人难以通过侵权赔偿请求权获得应有的救济。不仅如此，在某些非物质性损害认定的案件中，也出现认定范围不明、赔偿金额差距过大等情况。《民法典》第一千一百八十三条明确侵害被侵权人可以请求精神损害赔偿，可见精神损害应当是达到了“严重”的程度。然而，非物质性损害的程度判断缺乏标准，司法机关“酌情认定”极大限制了受害者获得救济的可能性。

三、我国公民个人医疗数据信息保护的对策与建议

（一）采纳动态“知情同意制度模式”

大数据技术的更迭与个人医疗数据信息主体的弱势地位使得知情同意原则流于形式，而过于严苛的知情同意规则又徒增法律合规成本，且不利于医疗健康事业发展，为了走出这种零和博弈的困境，可以构建一种协调个人信息权益与产业发展应用需要的“动态同意模式”。动态同意（Dynamic consent)，是指让个体可以根据知情的方式、频率和内容，自愿地决定是否给予同意或放弃。[7]该模式主张利用现代网络信息技术搭建一个交流平台，使得信息处理和知情同意成为一个持续、动态、开放的过程，信息主体可以随时了解个人信息处理动态，自由地选择加入或退出。在动态同意模式下，个人医疗数据信息主体可以基于自己的个性化选择去同意或不同意，具备诸多优点：

其一，动态知情模式能够最大程度避免“知情-同意”机制流于形式，使得信息主体成为中心，授权有效性大大增加，能够充分实现意思自治。个人能够对其医疗数据信息进行管理且更为知情，区别于现行的知情同意协议中需要信息主体阅读过量信息，动态同意模式更好地保护了信息主体的知情权。其二，动态知情模式结合互联网平台技术发展，具有现实性与可行性，能够克服传统知情同意模式信息滞后的弊端。利用大数据、互联网5G技术搭建动态同意平台并非技术难题，通过医疗机构或卫生部门等主体已有的公众号、小程序等平台，信息处理者能够及时获得有效的同意，信息主体亦能及时知悉相关信息。此基础上构建一个动态的个人知情同意平台有着技术基础的支撑，能够在不增加新技术研发压力下实现个人医疗数据信息处理动态呈现。

（二）确立个人医疗数据信息权

在信息化的社会背景下，信息主体从被动的防卫转向主动的控制和使用，明确个人医疗数据信息权利可以拓展信息主体的法益保护范围，如信息的知情、修改、查询。不仅如此，实现个人信息权利亦有助于改善我国医患关系长期以来不对等的关系，为信息权人提供倾斜性保护，从而让维权路径更加清晰。

个人医疗数据信息权的权利主体直接指向自然人，客体为可识别的个人医疗数据信息权益，对权利主体和客体厘定后，应当对其权利的内容进一步阐释，除《民法典》中已有的知情同意权、查阅更正权、删除修改权之外，还应列举以下几项权利，以期对个人医疗数据信息权的进一步完善：

第一，个人医疗数据信息拒绝权。欧盟《一般数据保护条例》（General Data Protection Regulation,以下简称“GDPR”）第二十一条对信息主体的拒绝权作了明确的规定，即使数据控制者的数据处理行为基于合法情形，但信息主体可以行使拒绝权，要求该数据处理者停止行为。在“Google Spain SL,Google Inc.v.AEPD and Mario Costeja González案”中，欧盟法院认定，信息主体的个人信息权利高于数据控制者的经济利益以及与之对应的社会公众利益，是一种更为强势的选择退出（opt-out）机制。目前我国并没有明文的信息拒绝权，《个人信息保护法》第二十四条可以看做是类似制度设计，但仍需进一步明晰该权利的名称、行使方式、救济程序等细节性规定。

第二，个人医疗数据信息被遗忘权。欧盟法院在“谷歌诉冈萨雷斯被遗忘权案”的判决中认为，被遗忘权是信息主体有权要求搜索引擎运营商对网络上存在的包含涉及自身的不好的、不相关的、过分的信息的链接予以删除的权利。[8]个人对其个人医疗数据信息享有被遗忘权，主要针对某些负面信息，诸如艾滋病、乙肝、肺炎等疾病病史等享有要求医院删除就诊记录的权利。但是，由于我国病历保管有时间限制，且医学科研、公共政策制定、疫情防治等处理行为背后的公共利益与被遗忘权会产生直接冲突，因此需要对被遗忘权进行本土化构建。

第三，个人医疗数据信息不受制于自动化决策权。信息主体有权拒绝利用其个人医疗数据信息实施自动决策，信息处理主体应在自动化决策前取得信息主体的同意；尤其是将个人医疗数据信息用于商业化应用时，应当禁止企业非法抓取大量个人医疗数据信息并进行自动化决策；同时允许个人医疗数据信息主体在其信息遭受侵害时，可以进行举报或提起诉讼以维护个人医疗数据信息权。

（三）完善个人医疗数据信息侵权救济规则

完善侵权救济机制能够增大信息处理者的违法成本，同时促进个人积极维权。个人医疗数据的信息侵权应当建立在侵权责任四要件的基础上。信息主体与处理者之间原本存在着不平等的关系，而随着大数据技术的引入，个人对其医疗数据信息的控制能力被限缩，使得信息主体在证明侵权要件方面更加无能为力。要想解决这个问题，就必须在四要件的基础上不断完善，使医疗数据信息的特殊性得到充分的体现。

1.适用无过错归责原则。

结合我国个人医疗数据信息的高度敏感性特征以及个人信息分级保护的价值导向，本文认为个人信息侵权应当在当前“过错推定”原则基础上，对敏感个人信息侵权适用无过错责任。首先，采无过错归责原则并未突破现有的法律框架。《民法典·侵权责任编》对于特定的侵权行为，如产品责任、高度危险作业致人损害等，均采取无过错责任的归责原则，所以个人信息侵权损害赔偿适用无过失责任原则并不会影响现行的法律架构，只是增加了无过错归责原则的侵权行为类型。此外，《德国联邦数据保护法》以及我国台湾地区的“个人资料保护法”等，都有对个人信息侵权损害赔偿采用无过错归责原则的先例。其二，基于个人信息的分级保护理念，对个人医疗数据信息侵权应实行比一般个人信息侵权更加严厉的严格责任原则。[9]无过错责任原则作为大陆法系中最严格的归责原则，能够最大化保护敏感个人信息。由于医疗机构等主体对个人医疗数据信息的控制和有关知识的掌握程度远超个人，过错推定下的免责事由更像是倾斜向信息处理者的“自救机会”。无过错原则与过错推定原则不同，其相当于“剥夺”了个人信息处理者证明自己无过错的机会，能够体现对敏感个人信息的最严格保护。其三，基于敏感个人信息禁止处理的基本原则，个人医疗数据信息处理者在没有正当理由处理信息时，其行为本身就足以证明其过错，因为在效果上与无过错原则并无二致。因敏感个人信息原则上是不能被处理的，侵权与否的判定就简化为对是否存在合理利用之除外情形进行审查[10]，《个人信息保护法》第二十八条第二款规定，只有具有特定的目的和充分必要性并采取严格保护措施，个人信息处理者才可处理敏感个人信息。可以看出我国对敏感个人信息保护借鉴欧盟GDPR规定，采取“禁止为原则、许可为例外”的原则，即无过错原则与我国敏感个人信息处理原则具有同向性。

2.引入因果关系推定制度。

为有效解决囿于因果关系的不确定性而带来的证明不能问题，学界部分学者提出可适用因果关系推定制度，比较法上亦有适用因果关系推定的立法先例。⑨因果关系推定的特别意义在于，如果一项表见的事实遭到了损害，则可以认定其与事实之间存在着因果关系，并且受害者不需要证明二者的因果关系，便可请求损害赔偿，而当事人仅能用反证来证明其与事实没有任何联系。[11]依因果关系推定理论，只要被害人可以证明数个信息处理者所做出的整体性行为（即表见事实）与侵害之间存在因果关系，就可以推断出每个信息处理者的个人行为和侵权行为存在因果关系，除非信息处理者能够证实这种损害不是由于其信息处理的结果，否则不能排除。一方面，给予“良善”信息处理者证明免责的机会，避免过于严苛的责任承担阻碍个人医疗数据信息的流通使用；另一方面，当信息处理者无法“自证清白”时，又予以严苛的后果，对个人医疗数据信息予以特别保护。

3.细化非物质性损害认定规则。

信息时代，个体的医疗数据信息所承载的价值与人身利益、财产利益相关，如果个人的信息权益受到侵犯，会造成财产损失、人身伤害等物质上的损失，也有可能造成诸如外在危险、内在焦虑等非物质伤害。相较于一般个人信息，个人医疗数据信息侵权更易造成非物质性损害。由于法律对损害的救济必须是可赔偿的，物质损害更容易被司法实践认定，而非物质损害则需要根据法律的明确规定才能获得支持。美国《隐私法案》(Privacy Act)与欧盟GDPR均承认个人信息侵权的非物质性损害可得民事赔偿，我国《民法典》亦明确规定了精神损害赔偿制度，可据此提炼出更具实施性的非物质性损害认定规则，以解决非物质性损害认定困难的问题。

其一，损害具有严重性。当前世界各国（地区）立法对于损害的显著性或严重性规定不一，不同国家（地区）呈现出不同态度。欧盟GDPR第八十二条第一款将损害分为物质性损害和非物质性损害，明确所有遭受损害的信息主体，都有权获得损害赔偿，由此可看出其未对损害的严重性作出要求，法国、比利时等部分国家与欧盟GDPR持相同态度。同时，我国《个人信息保护法》第六十九条所确定的“损害”亦没有对损害程度作出限定。与之相反，大部分国家或地区将非物质性损害的严重程度作为认定标准。以德国为例，只有“严重侵犯人格权”的个人信息违法行为才被请求赔偿。不仅如此，我国《民法典》第一千一百八十三条规定了寻求精神损害赔偿的严格条件，即损害应具有“严重性”，甚至有学者提出，原告无法证明自己遭受了严重的精神损害,则不得请求侵权人承担精神损害赔偿责任[12]。立法者之所以非物质性损害程度提出要求，是因为损害程度过于宽泛可能会导致侵权行为认定缺乏标准，从而造成损害滥认的不良结果。

《民法典》将动态系统论的观点运用于对人格权侵权责任的认定，是除了生命权、身体权和健康权，其他所有人格权侵权民事责任的认定必须综合考虑行为主体与受害人的职业、危害范围、过错程度、行为目的、方法、后果等多重因素。通过对法官在判决过程中需要考虑的诸多要素进行明确规定，从而使法官的裁量范围得到了决定性的限制，在一定程度上能够实现现实生活中多种事实与自由裁量兼顾。[13]因而，个人医疗数据信息侵权中非物质性损害“严重性”可参考受害人的职业、影响范围、过错程度、信息敏感程度以及行为的目的、方式、后果等动态因素进行全方位、专用景化的考量。

其二，损害具有客观性。客观性原则的应用对于损害认定，特别是非物质性损害认定规则的细化具有重要意义。美国联邦最高法院在“Clapper v.Amnesty（2013）案”中规定了个人信息保护的诉讼请求要求，即应当证明损害是客观真实的，“推测的”或“臆想的”损害无法获得法院支持。例如，个人医疗数据信息泄露并不等于信息披露或贩卖，泄露行为是否进一步致使信息披露或贩卖还需相关证据支撑。客观性原则下，个人提出的非物质性损害应当是实际的、特定的、业已发生或是可以预测即将发生的。

非物质性损害发生的风险是否具有客观性与信息流转事实息息相关，并非所有的信息侵害案件都会呈现出相应的损害结果。因而，针对存在损害风险的案件，应该选择优势证据规则作为认定尺度，即只要能够证明个人医疗数据信息被篡改、冒用等，无需适用高度盖然性标准就可以认定为损害会发生，为此实施救济而产生的正当成本也可确定为损害。不过，虽然如果无法证明个人医疗数据信息被侵犯的事实，但是该侵害所应当产生的普遍风险能够特定化到个人时，已出现的风险就可等同于损害的发生。如果该风险是可以消除的，那么消除这些风险的成本就应当视为损害；如果该风险是不可以消除的，由此给自然人增加的生活成本和障碍就构成了损害。[14]

四、结语

近几年，随着公民个人信息保护意识的萌发与提高，个人医疗数据信息关系到个人的自由与尊严，愈发受到关注。2020年初新冠疫情的突发，不仅使医疗卫生领域个人信息收集与应用风险剧增，同时也暴露出我国法律法规在医疗数据信息保护方面存在的阙漏。“知情同意原则”采取灵活的动态知情方式可以防止其流于形式。个人医疗数据信息权的确立能够实现信息主体对个人医疗数据信息的有效控制。完善个人医疗数据信息侵权救济机制，走出救济路径乏力与滞后的困境。在可以预测的未来，医疗大数据纵深发展，个人医疗数据信息加值处理将成为家常便饭，我们只有不断地审视新技术的发展，并持续加强应对风险的能力，最大限度地确保并激发个人医疗数据信息在我国医疗卫生事业中的优势。

注释

①《人口健康信息管理办法（试行）》第三条规定：“人口健康信息”包括人口基本信息、医疗卫生服务信息等；《信息安全技术个人信息安全规范》（GB/T 35273-2020）附录A规定：“个人健康生理信息”是基于医疗行为等产生的住院志、检验报告、药物食物过敏信息、家族病史、传染病史等医疗信息，以及个人基本身体信息，如体重、身高等。《信息安全技术健康医疗信息安全指南》（GB/T 39725-2020）第三条第一款规定：“个人健康医疗数据”是具有可识别性与可结合性的生理与心理健康电子数据。

②Advanced Persistent Threat，简称“APT攻击”，即高级可持续威胁攻击,也称为“定向威胁攻击”，指在计算机领域对特定对象展开的持续有效的攻击活动，攻击者利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。

③参见：《虎符智库2021安全前瞻》

④北京市第二中级人民法院（2014）二中民终字第08046号民事判决书；参见：贵州省黔东南苗族侗族自治州中级人民法院（2020）黔26民终1623号民事判决书。

⑤参见：新浪新闻《深圳10万孕产妇信息泄密》；新京报官微《青岛一医院密接人员名单被外传6千余人隐私泄露，警方展开调查》；潇湘晨报《成都确诊女孩个人隐私被转发，警方调查！现在流传的照片系冒用，当事人报案》。

⑥《中华人民共和国执业医师法》第二十二条、《中华人民共和国传染病防治法（2013修正）》第十二条、《中华人民共和国基本医疗卫生与健康促进法》第九十二条等，都对病人隐私权以及个人卫生信息安全保护措施作出规定，但保护对象的外延与内涵不一，分别为“患者隐私”“关于个人隐私的有关信息”“个人健康信息”。

⑦个人医疗数据信息加值利用即个人医疗数据信息首次收集后得以被其他信息处理者以不同目的再次使用，并创造出不同于首次使用的“新价值”。（详见翁逸泓：《开放全民电子健康资料加值应用之个资保护问题——以英国经验为例》，《月旦法学杂志》2019年第285期：144-173）

⑧北京市第二中级人民法院（2020）京02民终10179号；上海市第二中级人民法院（2019）沪02民终717号；天津市第二中级人民法院（2020）津02民终4520号；浙江省嘉兴市中级人民法院（2019）浙04民终3244号。

⑨欧盟GDPR第八十二条第三款和第四款规定，如果有证据表明数名数据处理者应对其违法数据处理行为承担侵权责任，而其不能证明自己不应承担任何责任，则每个数据处理者都应该承担全部侵权责任。