耿 希，顧翠峰，馬俊堅

(上海中醫(yī)藥大學附屬曙光醫(yī)院倫理委員會，上海 201203，grace932@163.com)

近年來，“醫(yī)患矛盾”突出，原因方方面面，但其中非常重要卻往往容易被忽視的原因是對患者的隱私保護不夠。患者或受試者在就診或參與臨床研究時，基于治療或研究目的，往往需要向醫(yī)護人員或科研人員告知自己的部分隱私[1]。這本是無可厚非的，但近年來，隨著個人隱私意識的增強以及醫(yī)療衛(wèi)生領(lǐng)域個人信息濫用事件的曝光，關(guān)于醫(yī)患之間的隱私披露的必要性、尺度和如何保護等方面都爭議較大，并由此引發(fā)了不少矛盾和糾紛。如何在保障醫(yī)療和研究工作順利開展的同時，充分保護患者依法享有的隱私權(quán)，已經(jīng)成為一個不容忽視的問題。

1 患者隱私保護問題的凸顯

1.1 隱私和隱私權(quán)

“隱私”這個詞為現(xiàn)代社會大眾熟知，但究竟什么是隱私，或者說什么是法律意義上的隱私權(quán)，卻不是一個簡單的問題。首先，隱私的誕生是在物質(zhì)和精神文明不斷豐富的基礎(chǔ)上，逐漸形成的關(guān)注個人本身自由和存在的基本權(quán)利，屬于西方近現(xiàn)代意義上人格權(quán)的重要組成部分。

相對于古人以能夠參與公共生活為實現(xiàn)人的價值的認知，現(xiàn)代人更愿意將私人領(lǐng)域和公共領(lǐng)域分開，兩者和諧共處、互不侵犯，從而產(chǎn)生了法律意義上的隱私權(quán)，這種對隱私利益的法律保護，是承認人的價值、尊重人性及人格尊嚴的必然結(jié)果[2]。

1.2 患者隱私泄露事件愈演愈烈

隨著現(xiàn)代信息技術(shù)的發(fā)展，斯皮內(nèi)洛指出：“信息已經(jīng)成為一種商品”，個人產(chǎn)生的數(shù)據(jù)超出了其控制范圍成為一種交易的商品，這些變化可能對隱私構(gòu)成了侵害[3]。當隱私顯露出它的巨大經(jīng)濟價值時，則開始不斷地被泄露與曝光，范圍越來越大。

這一判斷，在醫(yī)療衛(wèi)生領(lǐng)域也很不幸地成為現(xiàn)實，患者隱私泄露的新聞屢見不鮮。早在2004年6月12日，《新民晚報》就報道了題為《嬰兒未滿月推銷便不斷，誰將“騷擾”引進家門?》的文章，提到家里的寶寶出生離院回家不足10天，來自各家保險公司的電話已經(jīng)打爆，使得坐月子的母親根本無法靜養(yǎng)，但她只在醫(yī)院登記過電話、家庭地址等信息[4]。

近年來，隨著互聯(lián)網(wǎng)的發(fā)展，隱私泄露更是有過之而無不及。2016年5月23日，南都網(wǎng)報道的題為《兩月三起！產(chǎn)婦信息又遭泄露！》的文章，提到繼3月報道的一份數(shù)量高達萬條、涵蓋深圳近50家醫(yī)院的產(chǎn)婦信息清單流入市場后，又有產(chǎn)婦電話、住址遭泄露，被一家兒童攝影店購買，推銷嬰兒拍“滿月照”等業(yè)務[5]。十年前，可能僅僅是某個人或某家醫(yī)院的隱私被泄露，如今在移動互聯(lián)網(wǎng)的時代，已經(jīng)發(fā)展到一個城市的患者隱私被泄露，其涉及的數(shù)據(jù)之大令人咋舌。

此外，由于部分隱私能夠博取眼球、嘩眾取寵，也成為患者隱私泄露事件的重要原因之一。2016年9月，一篇名為《南江婦幼保健院岳護士竟然到處公布患者隱私》的投訴網(wǎng)帖在“問政四川”發(fā)布后引起軒然大波，一名患者進行婦科檢查的私密照片被護士傳到微信群，患者所患隱疾遭到“調(diào)侃”[6]。2018年8月，青年演員林更新在中日友好醫(yī)院看病，其病歷資料被醫(yī)院內(nèi)部人員拍照發(fā)至互聯(lián)網(wǎng)，因婚姻狀況填寫已婚而引起網(wǎng)友的熱烈討論，明星固然是公眾人物，但隱私依然應被尊重，這一行為博取了大量群眾的圍觀，對林更新的個人生活造成了困擾[7]。

1.3 隱私問題已經(jīng)開始影響正常醫(yī)療工作

隱私泄露事件的頻發(fā)，為醫(yī)患之間本已脆弱的信任關(guān)系又蒙上了一層陰影，很多患者開始不信任醫(yī)療機構(gòu)，對于一些私密但又涉及自己病情的問題，不愿意放心溝通，從而最終影響了醫(yī)生的正常判斷；參與臨床研究的時候，顧慮研究者的職業(yè)操守，不配合或者提供虛假的信息。而這當中，部分醫(yī)療和科研人員又判斷錯誤，該問的不該問的、該記錄的不該記錄的信息都向患者索取，就更加加劇了這種不信任感的蔓延。

而一旦這種不信任感發(fā)展到一定程度，就會因為一些典型事件被媒體和輿論無限放大，進而形成社會性話題。如上面提到的問政四川和林更新事件，都使得相關(guān)醫(yī)療機構(gòu)進行后續(xù)的正常醫(yī)療業(yè)務時，產(chǎn)生了不必要的阻力。一段缺乏信任的醫(yī)患關(guān)系，或者互相提防的研究和受試者關(guān)系，造成的可能就是一例本可治愈的疾病被耽誤、或一款新藥的推遲面世，給患者和整個醫(yī)療衛(wèi)生工作產(chǎn)生重大的不良影響。

2 患者隱私保護的不足和反思

2.1 現(xiàn)有工作中的種種表現(xiàn)

無必要/無意義地公開患者隱私：就診環(huán)節(jié)中一些公開信息可能成為患者隱私泄露的重要途徑。例如，某些醫(yī)院會在候診大屏幕上顯示就診人的姓名和科室；住院患者的床頭卡會詳細標明姓名、病情和用藥信息；或是所有的化驗單放在檢驗室窗口處，由患者隨意取單……

診療過程中的隱私泄露：很多醫(yī)院的熱門專家，診室內(nèi)外都站滿候診患者，集體圍觀正在就診的人，令其在口述病情時感到不安；也有些醫(yī)生在教學查房時未事先與患者溝通，在眾多學生面前講解患者病情、展示患病部位……

被二次利用的隱私：醫(yī)學研究者在進行臨床病例的回顧性研究或利用以往臨床診療中獲得的健康信息和生物標本的研究時，無法獲得信息擁有者的知情同意，在此情況下，如果數(shù)據(jù)處理不當，很可能造成隱私的泄露，引發(fā)不必要的糾紛。此外，在醫(yī)療大數(shù)據(jù)整合的背景下，醫(yī)療決策者為了獲得更全面、更完整的數(shù)據(jù)集，通過數(shù)據(jù)挖掘和數(shù)據(jù)處理等技術(shù)，從中獲得支持決策的有價值的信息。由于大數(shù)據(jù)的價值更多源于它的二次利用，在數(shù)據(jù)的利用過程中可能導致原本看似不相關(guān)的數(shù)據(jù)通過挖掘可能發(fā)現(xiàn)個人隱私的數(shù)據(jù)[8]。

管理機制的欠缺：在上述深圳產(chǎn)婦隱私泄露的新聞中，醫(yī)院表示2008年后有關(guān)部門已對全市信息系統(tǒng)進行了調(diào)整，然而由于管理欠佳，未對操作人員進行安全教育，導致護士、保安串通一氣，販賣患者隱私信息。

2.2 不足的原因分析和反思

上述問題，從表面上看，其原因或者是醫(yī)療工作者本身隱私保護意識的不足、或者是管理機構(gòu)的管控機制欠缺、也或者是對新技術(shù)的應用缺乏必要的反思等，原因各不相同，很多研究者也都從意識不足和管理不善的角度提出了意見和建議。但從筆者所從事的倫理委員會日常工作來看，真的是意識不足、管理不善嗎？答案并非如此。通過觀察和了解，很少有醫(yī)療工作者認為患者隱私保護工作不重要或者說自己尚未考慮過這個問題，甚至還有人援引《執(zhí)業(yè)醫(yī)師法》的有關(guān)條款，說明患者隱私保護的重要性和必要性；也并非醫(yī)療機構(gòu)不重視，如筆者所在的倫理委員會在進行臨床科研項目審查或醫(yī)療倫理查房時，知情同意和患者隱私的保護都是審查或檢查內(nèi)容的重要關(guān)注點。

所以，隱私保護成為大家都很重視，但卻無從下手的事情。隱私意識的培養(yǎng)和宣貫，醫(yī)護人員在其進行專業(yè)課程、職業(yè)指導、行為規(guī)范的學習時，都從不同程度了解到很多原則性的要求或碎片化的概念。例如，《執(zhí)業(yè)醫(yī)師法》要求醫(yī)生尊重和保護患者的隱私，但怎樣做才算是尊重和保護？告訴患者的父母、配偶或子女算是隨意傳播嗎？和非該患者主治醫(yī)生的同事討論算是侵犯其隱私嗎？這些都是知道隱私保護重要性的醫(yī)護人員卻無法回答的問題。又比如更專業(yè)的話題如知情同意書中應該明確告知哪些內(nèi)容？什么樣的知情同意書是能夠保障患者或受試者權(quán)益的？病歷或科研數(shù)據(jù)是否可以跨研究機構(gòu)共享？這些不僅僅是隱私保護意識的問題，更是隱私保護操作領(lǐng)域的問題。

2.3 知易行難，怎么做是關(guān)鍵

從上面的分析，可以看到關(guān)于患者隱私保護工作，所需要的不僅僅是知道是什么，而更重要的是知道怎么做，甚至知道為什么。如果沒有系統(tǒng)的培訓和宣貫解決怎么做的困擾，就永遠只能是“雖然知道隱私保護很重要，但卻往往侵犯患者隱私而不自知?！?/p>

此外，很多時候患者自身不清楚個人隱私保護的邊界在哪里，自己的合法權(quán)益是什么，這造成的后果就是往往會顧慮于無法為醫(yī)生提供足夠的診斷信息或者害怕醫(yī)生認為其不配合治療，而大量提供不必要的過多的個人信息，或者在不清楚自己的個人隱私被非法收集或合法權(quán)益未得到充分保障的情況下，盲目“同意”某些不合理的研究。

所以，大多數(shù)時候，我們?nèi)狈Φ牟皇莾H僅告訴醫(yī)護人員應該保護患者的隱私，而是要告訴他們怎么做，更要通過合理的途徑告訴每一位患者，他們所享有的合法權(quán)利是什么，這些合法權(quán)利如果受到了侵犯，誰可以幫助他們。

3 歐盟GDPR帶來的啟示和思路

3.1 什么是歐盟GDPR

在任何行業(yè)和領(lǐng)域，法律往往是保護公民合法權(quán)益的最佳手段，所以筆者嘗試分析了國內(nèi)相關(guān)領(lǐng)域的法律法規(guī)，但遺憾的是國內(nèi)的相關(guān)法律雖然規(guī)定了醫(yī)務人員對患者隱私的保密義務，但仍缺乏明確的規(guī)范，甚至把隱私權(quán)混同于名譽權(quán)，對隱私權(quán)的侵害也缺乏明確的法律責任規(guī)定[9]。

2018年5月25日，歐盟正式實施《一般數(shù)據(jù)保護條例》(GDPR，General Data Protection Regulation)，引起了世界范圍內(nèi)的巨大反響。這一條例被認為是隱私保護領(lǐng)域最權(quán)威和細致的立法。在實踐中，GDPR定義了七項隱私保護的基本原則，并提出了一系列更具操作性的隱私保護要求和規(guī)范[10]。通過深入分析這些立法原理和其他行業(yè)的成功經(jīng)驗，能夠給患者隱私保護工作的有效開展帶來巨大的提升。

本文選擇了GDPR中最核心的指導理念，并結(jié)合醫(yī)務工作的實際情況，提出了一些切實可行的解決患者隱私保護問題的指導思路和方法，從而嘗試跳出知易行難的傳統(tǒng)窠臼。

3.2 數(shù)據(jù)主體，明確隱私的權(quán)利主體

提到患者隱私保護需要做些什么，往往大家都會覺得無從下手，對于隱私保護的問題，GDPR定義了三個最基本的概念，稱為數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)操作者：

3.2.1 數(shù)據(jù)主體

數(shù)據(jù)主體就是隱私信息(數(shù)據(jù))的所有者。隱私信息作為能夠關(guān)聯(lián)到自然人的信息和數(shù)據(jù)，是屬于某個自然人所有的，無論這個信息是直接從他/她那里獲取的，還是通過其他方式分析和加工形成的。只要不違背法律要求或侵犯公共利益，任何對此類隱私信息的采集、分析、處理和存儲，都應該是基于數(shù)據(jù)主體的同意而進行的。

3.2.2 數(shù)據(jù)控制者

數(shù)據(jù)控制者可以是人也可以是機構(gòu)，指決定隱私信息怎么處理的角色。在醫(yī)療領(lǐng)域，患者的哪些隱私信息可能在診療和研究過程中需要被采集，以及被如何處理，這些內(nèi)容都不是患者自己能夠確定的，它需要專業(yè)的知識和技能。數(shù)據(jù)控制者是直接向數(shù)據(jù)主體負責的角色，需要決定怎么使用患者隱私、向患者解釋清楚需要提供什么樣的隱私、會被用于何種用途，并依法獲得患者的知情同意，并在此后負責確保本單位和研究團隊按照患者(數(shù)據(jù)主體)同意的范圍處理和使用其隱私信息。

3.2.3 數(shù)據(jù)處理者

數(shù)據(jù)處理者同樣可以是人也可以是機構(gòu)，不直接面對患者(數(shù)據(jù)主體)，關(guān)于如何處理和分析患者的隱私信息，只需要執(zhí)行數(shù)據(jù)控制者的要求即可，只要該要求不違法，就按照要求操作，絕對不可以超范圍處理。

這三個角色的分類，首先，明確地定義了隱私工作合法性的來源，即患者(數(shù)據(jù)主體)的授權(quán)；其次，確定了決策管理和確?；颊唠[私得到充分尊重和保護的責任主體，即數(shù)據(jù)控制者的全過程管控；最后，對于數(shù)據(jù)的處理者，從剝奪其決策權(quán)的角度，也清晰的劃定了責任邊界，即只對執(zhí)行負責，只要不違法不用考慮任何外部隱私，最大地提高了工作效率。

這當中的數(shù)據(jù)控制者和處理者，基于不同的場景，有不同的具體的身份如在就診時可以是主治醫(yī)生，作為控制者向患者告知醫(yī)院哪些活動可能涉及隱私，其他化驗、檢查和信息等部門作為處理者，必須不逾越主治醫(yī)生對患者的承諾；在某個科研小組內(nèi)，研究負責人是控制者，負責決定向患者采集哪些信息，以及會如何進行研究，而課題組成員則應該嚴格遵守研究負責人的要求，不得有任何超過其要求的濫用和分享；在多中心的合作治療/研究中，患者所在的醫(yī)院是控制者，而其他醫(yī)院則只能按照該院的明確指示處理患者隱私。

3.3 知情同意，提高信息透明性是關(guān)鍵

對于知情同意這一患者基本權(quán)利，GDPR同樣能夠提供更具操作性的指導思路，包括：

①對給出知情告知的人員，要求以最簡練、清晰和無歧義的表述，用患者的母語提供詳細(避免用模糊和泛指誤導受試者)但不冗長(避免受試者沒有耐心看)的告知。

②同意不能混淆主要目標和次要目標，知情同意書中應明確區(qū)分哪些是必須的隱私信息，哪些是非必須的，患者拒絕提供非必要的信息不影響其獲得合法權(quán)益。這也應是知情同意書審查的重點內(nèi)容，醫(yī)療機構(gòu)或研究者不能給患者或受試者提供簡單的選擇題，例如“以下信息有任何一項無法提供就不能參與新藥研究”的情況，是嚴格禁止的。

③此外，還特別關(guān)注了患者自由意志的行使，也就是說只有患者的同意不是因為特定的利害沖突或信息不對稱而做出的，才是被認可的。任何非必要的隱私信息采集，即使基于已簽字的知情同意書，但如果不是出于患者自由意志的同意，也會被認為侵犯了患者的合法權(quán)益[11]。

可以看到，上述要求不僅僅回答了“知情同意”中要做什么的問題，更詳細地規(guī)范了應該怎么做的問題，使能夠真正指導處理個人數(shù)據(jù)的研究者，知道應該如何準確、清晰地向患者和受試者傳遞隱私信息采集的知情同意。關(guān)于具體知情同意書的起草，還有一些其他行業(yè)的最佳實踐指導，如通過通俗、簡要解釋和專業(yè)解釋對照的方式，在知情同意書中讓患者或受試者第一眼就可以快速獲取必要的信息，避免翻閱冗長的文件，但又可以在看到自己關(guān)注的內(nèi)容時，隨時可以看到更詳細的解釋和說明，避免只有概略性說明的表達不準確的問題。

3.4 跨機構(gòu)研究，誰來把控脫韁的數(shù)據(jù)

很多時候，一個科研課題采集的患者隱私，可能在多個機構(gòu)之間共享，或者存儲在信息庫中，被后續(xù)的研究者重新分析，這個過程當中，就往往會存在患者隱私信息離開最初的研究團隊之后失去管控的問題。這也是傳統(tǒng)隱私保護問題中的難點，特別是電子信息，由于是可復制的內(nèi)容，一旦脫離最初的控制者就會完全失去控制。

對于不同的研究機構(gòu)間應該如何合法、安全和有效地共享患者的隱私信息、誰來告知患者這一共享，如何保障研究過程中、研究完畢后個人隱私數(shù)據(jù)的安全，GDPR都給出了較為詳細的規(guī)范?；?.2

節(jié)中數(shù)據(jù)控制者和數(shù)據(jù)處理者的定義，如果是跨機構(gòu)的合作研究，可以通過控制者和處理者之間的協(xié)議來進行嚴格的約束，通過合同手段向患者隱私數(shù)據(jù)的接收和處理者提出管控的要求，用法律來約束其行為。任何超出協(xié)議約束的處理，在數(shù)據(jù)控制者明確寫明后合作機構(gòu)依然一意孤行并造成不良后果的，可以通過法律手段來維護本單位和患者的合法權(quán)利。

另外，對于很多醫(yī)療和科研人員關(guān)心的過度隱私保護是否會影響科研工作的顧慮，GDPR還給出了相應的補充條款，規(guī)范了應該如何在這些領(lǐng)域使用個人隱私信息，通過采取一系列的管理和技術(shù)措施來降低對個人的不良影響，同時兼顧醫(yī)學研究工作的開展，如一些重要科研數(shù)據(jù)的積累，在擦除能夠關(guān)聯(lián)到具體人員的信息后，仍可以進行存儲和重復使用。