(1．皖南醫(yī)學院 人文與管理學院；2.皖南醫(yī)學院 學報編輯部，安徽 蕪湖 241002)

健康醫(yī)療大數(shù)據(jù)的應用對于推動醫(yī)療衛(wèi)生體制改革和促進醫(yī)療科技發(fā)展將起到重大的作用。但在健康醫(yī)療大數(shù)據(jù)的開放共享中，蘊涵著基于國家利益的健康醫(yī)療大數(shù)據(jù)使用與患者個人信息保護的矛盾，如何協(xié)調(diào)這一矛盾，是法律亟需回應的時代話題，訪問權的法律規(guī)制可以有效協(xié)調(diào)這一矛盾，為健康醫(yī)療信息的流動提供法治保障。

一、訪問權規(guī)制是醫(yī)療健康大數(shù)據(jù)開放共享中亟需回應的法律問題

健康醫(yī)療大數(shù)據(jù)的開放共享必然涉及電子病歷等醫(yī)療數(shù)據(jù)使用問題，而電子病歷的使用通常產(chǎn)生保密性、完整性和可用性問題。[1]只有對訪問權進行法律規(guī)制才能保證電子病歷使用的保密性、完整性和可用性，才能協(xié)調(diào)大數(shù)據(jù)開放共享中患者、數(shù)據(jù)管理者、數(shù)據(jù)使用者、數(shù)據(jù)挖據(jù)者、提供數(shù)據(jù)共享服務平臺等主體間的權益關系。而現(xiàn)行法律規(guī)定的局限為健康醫(yī)療大數(shù)據(jù)的開放共享帶來了困境。

(一)現(xiàn)行法律規(guī)定的局限和困境

目前，對于健康醫(yī)療數(shù)據(jù)的使用，主要依據(jù)我國法律中關于病歷資料的查閱、復制權條款，如《侵權責任法》第61條第2款、《醫(yī)療事故處理條例》第10條、《醫(yī)療機構病歷管理規(guī)定》第15-23條、《電子病歷應用管理規(guī)范》第20-22條等。這些法律中設立查閱、復制權的主要目的是滿足患者知情權和解決醫(yī)療糾紛舉證的需要，是規(guī)范醫(yī)患法律關系，解決醫(yī)患沖突的法律依據(jù)。所以傳統(tǒng)法律中查閱、復制的權利主體主要限定為相關醫(yī)務人員、患者本人或其代理人，復制的范圍只是一些客觀性的病歷資料。[注]實踐中人們往往將信息時代的訪問權與傳統(tǒng)法律中“查閱、復制權”混同。如有學者在定義查閱權時，將其與訪問權作為同一概念，“查詢請求權，簡稱查詢權，或稱作查閱權、獲取權、訪問權”，參見高志明：個人信息權的屬性與構成[J].青海師范大學學報(哲學社會科學版),2015(4)：20-29。也有人認為訪問權是復制權的一部分，參見GINSBURG J C. Essay from having copies to experiencing works: the development of access right in U.S copyright law[J]. Journal of the copyright society of the USA, (2002-2003):113-132。而健康醫(yī)療大數(shù)據(jù)的開放與共享已突破了傳統(tǒng)法律中的查閱、復制權的內(nèi)涵和立法目的，基于查閱、復制權基礎上形成的訪問功能發(fā)生變化，其既可能是基于醫(yī)療糾紛解決目的訪問，也可能是基于醫(yī)療目的或其他非醫(yī)療目的的訪問，訪問主體進一步擴大，可能擴大到特定區(qū)域間、特定部門、特定人群間，訪問范圍也越來越廣泛。傳統(tǒng)的查閱復制權規(guī)范已經(jīng)不能滿足健康醫(yī)療大數(shù)據(jù)發(fā)展的需要，不能有效地協(xié)調(diào)健康醫(yī)療大數(shù)據(jù)的促進與患者個人信息保護之間的關系，必須建立與之相適應的訪問權制度。

在健康醫(yī)療數(shù)據(jù)的使用中，我國《電子病歷系統(tǒng)功能規(guī)范》(試行)有關于“訪問”的相關條款，如規(guī)定了電子病歷系統(tǒng)必須具有“創(chuàng)建、修改電子病歷訪問規(guī)則”的功能；對訪問患者電子病歷資料的用戶具有追蹤審計功能；對數(shù)據(jù)的存儲與管理要求系統(tǒng)提供“隨機訪問的功能”；將“授權患者、監(jiān)護人和代理人訪問部分病歷資料”作為推薦功能[2]。這些訪問規(guī)則只是醫(yī)療機構采用電子病歷系統(tǒng)的要求，且只適用醫(yī)療機構內(nèi)部部門和人員間就在本醫(yī)療機構就醫(yī)的患者信息在醫(yī)療機構內(nèi)部的訪問及共享，至于健康醫(yī)療大數(shù)據(jù)跨部門、跨區(qū)域、跨行業(yè)的共享訪問并不適用。在開放共享的政策視野中，如何促進臨床醫(yī)療和科研大數(shù)據(jù)應用，推動精準醫(yī)療技術發(fā)展，除了技術安全外，內(nèi)容安全和患者隱私保護的法律規(guī)制尤為重要。訪問權規(guī)范的欠缺可能使患者的隱私權益因無序失范的訪問而受損，也可能因患者控制訪問的權限無限放大而損害國家、公共利益或他人利益，阻礙衛(wèi)生事業(yè)的發(fā)展。訪問權的法律規(guī)制有利于大數(shù)據(jù)應用發(fā)展政策視野下公私權益的平衡，有利于發(fā)揮健康醫(yī)療大數(shù)據(jù)在造福人類健康事業(yè)福祉的，同時最大限度地保護個人的權益。

(二)訪問權規(guī)制是促進健康醫(yī)療大數(shù)據(jù)應用發(fā)展的必由路徑

實際上，傳統(tǒng)查閱、復制權有其特定的立法目的與背景，其無法適應互聯(lián)網(wǎng)+醫(yī)療發(fā)展中的法律關系，與訪問權的內(nèi)涵具有明顯的差異。

訪問是健康醫(yī)療數(shù)據(jù)應用的前提。在促進健康醫(yī)療大數(shù)據(jù)的應用發(fā)展中，訪問權是個無法回避的現(xiàn)實問題，其需要解決的是何種醫(yī)療信息將被何種用戶以何種方式安全分享。為了保證信息安全和患者個人隱私，在計算機技術領域，學者們從技術角度探究了各種訪問控制模型的設計，有基于角色的訪問控制RBAC(Role-Based Access Control)[3]、基于任務的訪問控制TBAC (Task-Based Access Control)[4]、基于任務-角色的控制訪問TR-BAC(Task-Role Based Access Control)[5]、基于行為的訪問控制ABAC (Action-Based Access Control)[6]、基于時態(tài)特性的訪問控制TRBAC (Temporal Role-Based Access Control)[7]、面向患者隱私保護的訪問控制 POP-PAC(Patient-Oriented Privacy Preserving Access Control Model for HIS)[8]、基于目的管理的醫(yī)療信息系統(tǒng)隱私保護訪問控制PBAC-HIS(Purpose Management-Based Privacy Access Control Hospital Information System)等。各種訪問控制模型從不同的角色、目的、任務、場域、時態(tài)、行為、數(shù)據(jù)屬性等角度對訪問從技術層面進行控制設計，但這種控制方式是否符合法律要求，是否符合數(shù)據(jù)主體的權利保障和社會發(fā)展，由于法律規(guī)范的欠缺，難免造成系統(tǒng)在訪問權的設置時出現(xiàn)過度授權或授權不足問題[9]，過度授權將加大患者個人信息受侵害的風險，授權不足將會阻礙醫(yī)療大數(shù)據(jù)的應用發(fā)展。在健康醫(yī)療大數(shù)據(jù)共享主體多樣化、共享內(nèi)容專業(yè)化，共享方式網(wǎng)絡化的今天，亟需從法律上對訪問權主體、訪問內(nèi)容和訪問途徑加以確定，只有法律上確定了，技術上設置訪問權限的設計才能得到法律的保護。如盡管患者有訪問其自身電子病歷的權限，但患者如何實現(xiàn)其訪問權，其是否可以通過密碼直接訪問其電子病歷，法律并沒有規(guī)定。在存在權利沖突的情形下，如何設立訪問權？如未成年少女的懷孕流產(chǎn)等電子病歷信息，父母是否有權訪問，如果父母一方離婚，不與子女共同生活的監(jiān)護人是否享有訪問權，該權利如何實施？作為一些公共衛(wèi)生機構、科研機構如何實施訪問權？商業(yè)性盈利機構如何合法訪問并利用電子病歷資料？均需法律作出回應。

二、訪問權規(guī)制的正當性基礎

訪問權是醫(yī)療健康大數(shù)據(jù)開放共享的法治化途徑，對其規(guī)制具有憲法、民法、衛(wèi)生法等法律規(guī)范的正當性基礎，符合國家利益和個人信息保護的法治理念。

(一)基于憲法規(guī)范之基礎

憲法規(guī)范性條款為訪問權的法律規(guī)制提供解釋的空間，這無論從憲法規(guī)定的概括性權利條款，還是從憲法規(guī)定的一般性權利條款中都能得到印證。

1.訪問權規(guī)制是患者人格尊嚴權保障的基本路徑

人格尊嚴權是憲法第38條規(guī)定的一項公民基本權利，其被視為憲法上基本權利的出發(fā)點與歸屬點，[10]涵攝了作為基本權利之一的信息自決權[11]。信息自決權主要表現(xiàn)為數(shù)據(jù)主體對個人信息使用的控制權，這種控制權在大數(shù)據(jù)背景下表現(xiàn)為對訪問的控制權，訪問控制權是數(shù)據(jù)被挖據(jù)使用、共享的咽喉，是人格尊嚴保障的必要環(huán)節(jié)。醫(yī)療健康大數(shù)據(jù)中患者的基因信息、遺傳病、精神病等數(shù)據(jù)信息與患者的人格尊嚴息息相關，賦予患者對自身數(shù)據(jù)進行訪問控制的權利是對患者人格尊嚴的尊重。讓患者來控制誰可以訪問他們的病歷數(shù)據(jù)是確保隱私和互操作性之間平衡的關鍵，[1]是大數(shù)據(jù)時代人格尊嚴自由發(fā)展的保障和體現(xiàn)，“在自動化數(shù)據(jù)處理的現(xiàn)代化條件下，人格的自由發(fā)展取決于個人有權對抗個人資料被無限的搜集、儲存、使用與傳送”[12]。

2.訪問權規(guī)制是實現(xiàn)公民科學研究自由權的需要

科學研究自由權是我國憲法第47條規(guī)定的一項公民基本權利。為保障該權利的實現(xiàn)，國家應承擔“尊重、保護、實現(xiàn)的義務”[13]，“實現(xiàn)義務”要求國家應當為公民的科學研究提供一定的物質(zhì)條件和法律制度保障。在大數(shù)據(jù)時代，醫(yī)療健康大數(shù)據(jù)作為一種重要的基礎資源，其為科學研究提供了第一手的數(shù)據(jù)資源，但作為科研工作人員，其是否有訪問健康醫(yī)療大數(shù)據(jù)的權利，其訪問權限如何設定？這就涉及到科學研究自由權在大數(shù)據(jù)時代法治化保障制度的設立，因為科學研究自由權不僅包含了研究過程中的研究自由以及研究結果是否公開的自由，還應包括研究前“資料和信息的獲取權”[14]。研究資料和信息的獲取需要國家從法律層面立法予以保障，只有從制度上對訪問權進行規(guī)制，才能保障科學研究自由權和患者個人信息權利保護的有機統(tǒng)一。

3．訪問權規(guī)制符合人權保障的需要

憲法第33條第3款規(guī)定：“國家尊重和保障人權”。 尊重和保障人權不僅成為憲法未明確列舉的基本權利的概括性條款，[10]同時也成為我國法治國家建設的核心價值[15]。憲法中的人權是以人的尊嚴與自由為核心價值體系，將與人的尊嚴和維護所必要的權利與自由都納入國家保護的范圍。國家作為人權保障的義務主體，應采取立法等方式保障人權的實現(xiàn)及促進人權的發(fā)展。在醫(yī)療信息化時代，訪問權規(guī)制既涉及到患者的人格尊嚴權、數(shù)據(jù)的自主處分權等權利的保障，同時也涉及他人對健康數(shù)據(jù)的科學研究自由權與公共衛(wèi)生安全權等權利的實現(xiàn)，其設立符合國家保障人權的義務，憲法中的“人權條款”不僅為憲法中未列舉的權利提供了安身之所[16]，也為經(jīng)濟、社會文化發(fā)展中新型權利的設立提供“棲身之所”，訪問權的規(guī)制正是大數(shù)據(jù)應用發(fā)展下人權保障和人權促進的法治手段。

4．訪問權規(guī)制符合醫(yī)療衛(wèi)生事業(yè)發(fā)展的要求

發(fā)展醫(yī)藥衛(wèi)生事業(yè)是憲法第21條賦予國家的一項原則性要求，是人民生命健康得以保障的社會需求。在互聯(lián)網(wǎng)+時代，醫(yī)療衛(wèi)生事業(yè)的發(fā)展離不開健康醫(yī)療大數(shù)據(jù)的應用，“健康醫(yī)療大數(shù)據(jù)的應用發(fā)展將帶來健康醫(yī)療模式的深刻變化，有利于激發(fā)深化醫(yī)藥衛(wèi)生體制改革的動力和活力，有利于提升健康醫(yī)療服務的效率和質(zhì)量”，[17]但無論是健康醫(yī)療大數(shù)據(jù)在“臨床醫(yī)療與科研”中的應用，還是在“健康行業(yè)治理”“公共衛(wèi)生”領域中的開發(fā)應用都涉及到數(shù)據(jù)安全問題，如何妥善處理應用發(fā)展與安全保障的關系？如何規(guī)范涉及國家利益、公共衛(wèi)生安全、患者隱私等重要信息的保護，亟需制定健康醫(yī)療數(shù)據(jù)應用中的訪問權制度，只有通過訪問權制度才能明晰數(shù)據(jù)使用者的訪問權限，才能規(guī)范健康醫(yī)療數(shù)據(jù)在醫(yī)學院校、科研機構、公共衛(wèi)生機構、數(shù)據(jù)開發(fā)機構的合法流動，才能切實保護各方的合法權益。

(二)基于民法規(guī)范之基礎

無論多么嚴謹?shù)母拍铙w系都要經(jīng)由現(xiàn)實生活推演得出，倘若原有社會生活發(fā)生極其顯著的變化，新生的利益訴求必將突破現(xiàn)行法律體系，造成傳統(tǒng)民法體系的松動。[18]健康醫(yī)療大數(shù)據(jù)的應用發(fā)展突破了傳統(tǒng)的患者隱私權保護模式，“傳統(tǒng)隱私侵權法的僵硬形式已難以為信息時代提供合適的隱私權保護方法”，[19]患者個人信息保護也面臨嚴重挑戰(zhàn)。

1.訪問權的法律規(guī)制是大數(shù)據(jù)時代個人信息法律保護的新途徑

《民法總則》第111條規(guī)定：“自然人的個人信息受法律保護”。這一條款確定了個人信息受法律保護的原則，是國家對大數(shù)據(jù)時代個人信息保護之立法需求的積極回應[20]。對于如何保護個人信息，該條中對數(shù)據(jù)主體外的組織和第三人提出要依法取得，禁止非法取得、使用的法定義務，但何謂依法取得、何謂非法取得、其法律依據(jù)如何確定，必然涉及數(shù)據(jù)外主體訪問權的法律規(guī)制問題，只有法律上明確加以規(guī)定，才能判定第三人的取得行為是否合法，數(shù)據(jù)主體的權利保障才有法可依，其個人信息保護的民事訴求才能得到維護。在私人信息儲存技術無限發(fā)展的今天，個人數(shù)據(jù)可在數(shù)秒內(nèi)被調(diào)取，并與其他數(shù)據(jù)整合，[21]數(shù)據(jù)信息資源淪落為商品進行買賣的現(xiàn)象也日益多見，訪問權的規(guī)制可以有效協(xié)助個人控制他人對自身健康醫(yī)療信息的使用，為大數(shù)據(jù)時代信息的“收集、使用、加工、傳輸、買賣、提供、公開”等合法使用提供法律依據(jù)，也為健康醫(yī)療數(shù)據(jù)應用發(fā)展提供法律保障。

2．訪問權的法律規(guī)制是大數(shù)據(jù)時代患者隱私保護的新形式

采用紙質(zhì)病歷時代，患者醫(yī)療隱私資料主要由醫(yī)院和醫(yī)務人員掌控，故法律中主要規(guī)范了醫(yī)療機構和醫(yī)務人員的隱私侵權責任。但在大數(shù)據(jù)背景下，掌握和了解患者醫(yī)療數(shù)據(jù)信息的主體眾多且復雜，既有與患者直接接觸的醫(yī)務人員、支付報銷財會人員，也有提供網(wǎng)絡服務的接入者、提供技術支持的中介機構、交互式共享下的匯編者、存檔者等[22]，眾多的知情主體導致患者隱私權保護面臨新的困境。在促進健康醫(yī)療大數(shù)據(jù)應用的政策視野下，國家鼓勵健康醫(yī)療大數(shù)據(jù)在臨床醫(yī)療、科研、醫(yī)藥治理及公共衛(wèi)生領域的應用及發(fā)展，在醫(yī)療健康大數(shù)據(jù)被眾多主體共享的情況下，“隱私權憑借所有權的限制在邏輯上成為一個問題”[1]。隱私權作為一種消極的、排他的權利，其保護的重點在于保密，在以紙質(zhì)作為載體的時代，無論是紙質(zhì)病歷還是其他紙質(zhì)健康檔案有專人管理，隱私資料容易控制，責任主體容易界定。在大數(shù)據(jù)時代，由于傳播的快捷和便利，事后的救濟已很難發(fā)揮其應有功能，訪問權的規(guī)制可以發(fā)揮數(shù)據(jù)隱私受侵犯的事前預防的積極作用，這是由個人信息權所具有的“主動性、積極性權利”和信息權利人所擁有的“信息自決權”[23]特點決定的。通過對患者信息訪問權的法律控制，可以從源頭上對服務提供者使用數(shù)據(jù)信息的權限進行法律限制和約束。

(三)基于衛(wèi)生法律規(guī)范之基礎

訪問權的法律規(guī)制有助于保護健康醫(yī)療數(shù)據(jù)主體的私權益，也有助于國家利益和公共利益的實現(xiàn)。訪問權制度是大數(shù)據(jù)時代國家公共衛(wèi)生安全制度的組成部分。如《傳染病防治法》規(guī)定國家應當建立傳染病的檢測制度，同時賦予了各級疾病預防控制機構“對傳染病的發(fā)生、流行以及影響其發(fā)生、流行的因素進行監(jiān)測”的法定義務，同時“具有收集、分析和報告?zhèn)魅静”O(jiān)測信息，預測傳染病的發(fā)生、流行趨勢”的法定職責。在醫(yī)療信息化時代，由于電子病歷、電子健康檔案等數(shù)據(jù)具有內(nèi)容完整性、知識關聯(lián)性等特征，因而相關主體在履行“信息收集”的法定義務和職責時，如何區(qū)分患者信息類型，是否在自己的權限范圍內(nèi)進行訪問、收集，特別是傳染性病人的敏感信息，均涉及權力的正當性和私權利的維護。目前盡管電子病歷系統(tǒng)具有訪問權限的功能設計，但實踐中，信息系統(tǒng)常采用“用戶+口令”較弱的控制訪問方式，數(shù)據(jù)幾乎處于“裸奔”狀態(tài)[24]，同時訪問權法律規(guī)定的缺位，常出現(xiàn)授權不足或過份授權情形，而無論是哪一種情形，均嚴重影響了相關主體的權利?！爱斈撤N法益在現(xiàn)實生活中具有相當程度的重要性時,或直接經(jīng)由立法,或間接經(jīng)由判例學說被賦予法律效力,使其成為權利?！盵25]訪問權制度的設立可以為大數(shù)據(jù)時代基于公權力對健康醫(yī)療數(shù)據(jù)的采集與使用明晰法律界限。

三、訪問權行使之二元區(qū)分規(guī)則

訪問權規(guī)制是健康醫(yī)療大數(shù)據(jù)發(fā)展的法治保障和必由路徑。為發(fā)揮健康醫(yī)療大數(shù)據(jù)造福人類健康事業(yè)福祉的同時，最大限度地保護個人的私權，在權利行使時應基于性質(zhì)和目的作出二元區(qū)分。

(一)性質(zhì)之二元區(qū)分

作為信息時代的訪問權，既包括了數(shù)據(jù)主體基于個人數(shù)據(jù)利益保護的訪問控制權[26]，也包括數(shù)據(jù)外主體基于公共衛(wèi)生安全、科學研究自由等對健康醫(yī)療數(shù)據(jù)的查閱權、復制權、使用權、知情權等權利。這是由于“個人信息具有個體與社會、倫理與經(jīng)濟的二元價值屬性”[27]決定的，其具有公權的色彩，同時也具有私權的色彩，訪問權設立時應加以區(qū)分。

首先，訪問控制權作為一種私權，體現(xiàn)了數(shù)據(jù)主體對自身信息的掌控，是個人信息保護的重要環(huán)節(jié)，是一種積極的起著事先預防作用的權利，為數(shù)據(jù)信息安全流動提供法治保障。訪問控制權是法律賦予數(shù)據(jù)主體的事前預防性權利，其設置比事后侵權救濟更有利于個人權益的保護，這是由信息網(wǎng)絡傳輸?shù)目焖?、便捷、知情主體眾多等特征決定的。作為健康醫(yī)療大數(shù)據(jù)來源的電子病歷、個人健康檔案既反映了患者的身份信息，也反應了其財產(chǎn)信息，既體現(xiàn)了其精神利益與財產(chǎn)利益，也體現(xiàn)了其精神價值與財產(chǎn)價值[28]，該私權應受法律保護，只要不涉及公共衛(wèi)生安全等社會公共利益，就應受法律保障，即使這些數(shù)據(jù)已被開放共享，相關運用主體仍應在最大范圍內(nèi)保護患者基于個人信息產(chǎn)生的私權。

其次，數(shù)據(jù)主體外的第三人基于國家利益和社會利益而享有的訪問權具有公權性，其包含了查閱權、復制權、知情權、使用權等法定內(nèi)容，該公權是對數(shù)據(jù)主體所享有私權的限制，是健康醫(yī)療大數(shù)據(jù)所承載的社會價值或國家利益等屬性決定的。盡管患者的健康數(shù)據(jù)資料受法律保護，但對其保護也是有限度的，“在面臨國家安全與權利人的同意、信息的自由流通時，對個人信息權的保護力度要根據(jù)具體案情適度克減”[29]，即患者對個人信息的訪問控制權是相對的，而不是絕對的，對其限制是為了更好地實現(xiàn)自身權利和保障公眾健康、發(fā)展人民衛(wèi)生事業(yè)等社會價值。

基于訪問權具有公權和私權的二元屬性，在訪問權規(guī)制時，應適度區(qū)分。對于私權的保護應在民事法律制度中作出具體規(guī)范，對于公權的保護及法定行使的范圍在未來的信息保護法或其他醫(yī)療衛(wèi)生法律制度中應明確界定。“只有公法的介入和公私法的相互扶助，才能為隱私權提供全面系統(tǒng)的保護?！盵21]在健康醫(yī)療大數(shù)據(jù)的應用發(fā)展中，訪問權的行使既要體現(xiàn)規(guī)范數(shù)據(jù)發(fā)展應用的公權，同時也要體現(xiàn)保護患者個人信息及隱私安全等私權利的特點。

(二)目的之二元區(qū)分

訪問權的規(guī)制既要規(guī)范健康醫(yī)療大數(shù)據(jù)的開放共享，又要保障患者基于個人信息所產(chǎn)生的私權。在設立時應基于商業(yè)和非商業(yè)目的的運用作二元區(qū)分。

1．基于非商業(yè)目的的合理訪問規(guī)則

非商業(yè)目的的訪問主要是基于健康研究、疾病的預防、衛(wèi)生監(jiān)測、醫(yī)院質(zhì)量管理等目的對電子病歷或電子健康檔案的信息訪問。[22]非商業(yè)目的的訪問應用是我國健康醫(yī)療大數(shù)據(jù)促進的主要方面，國家通過跨部門、跨區(qū)域、跨行業(yè)的健康醫(yī)療數(shù)據(jù)的融合共享探索醫(yī)療服務新模式，從而建設人民滿意的醫(yī)療衛(wèi)生事業(yè)，進一步提升人民健康福祉。但對共享范圍、方式和內(nèi)容，法律應明確限定，即法律應該明確設定訪問權的邊界，否則可能導致相關機構或個人的權力無限擴張，而個人的信息權利則無限收縮。盡管個人的信息權利在面臨信息自由流通和國家安全時的保護力度要“克減”，[30]但“克減”只是在一定程度內(nèi)的減少，而不是不保護。

在基于醫(yī)療、科研、預防、公共衛(wèi)生等非商業(yè)目的行使訪問權時，法律應規(guī)定適用的法定情形，即國家基于何種情形可以合理使用和法定使用患者的健康醫(yī)療信息。[31]合理使用，取決于個人醫(yī)療信息的社會性質(zhì)，否則不利于國家醫(yī)療衛(wèi)生事業(yè)的發(fā)展和公共衛(wèi)生安全。對此，美國法律中規(guī)定了不需授權使用患者健康信息的幾種情形，如加強公共衛(wèi)生活動的記錄；出生、死亡、疾病等事件；協(xié)助衛(wèi)生監(jiān)督活動；履行義務的法律訴訟；協(xié)助執(zhí)法中提供有關死者的信息；協(xié)助器官捐獻方案；推進調(diào)查研究目的；防范對公共健康或安全造成重大威脅等。[1]我國首部地方性法規(guī)《福州市健康醫(yī)療大數(shù)據(jù)資源管理暫行辦法》將醫(yī)療健康大數(shù)據(jù)的開放分為：普遍開放類、授權開放類和暫不開放類。而開放的規(guī)定實際上涉及相關主體的訪問權限問題。

非商業(yè)目的訪問權行使時應遵循比例原則。即訪問的手段和內(nèi)容要與訪問目的相適宜，訪問方式是目的達成必須的，訪問達成利益要均衡或成比例，即“只有在對保護公共利益有所必要的程度內(nèi)，國家才能對公民的信息自決權予以限制”。[21]非商業(yè)目的的訪問必須要遵守“必要的限度內(nèi)”的義務，即訪問的方式正當、范圍正當、限度正當，法律對此應明確規(guī)定?！陡Ｖ菔薪】滇t(yī)療大數(shù)據(jù)資源管理暫行辦法》中規(guī)定了“高?；蛘呖蒲性核@得的數(shù)據(jù)”只限用于“科研教育等非營利性活動”。如需使用患者“可識別個人身份和隱私內(nèi)容的個案信息的”，應履行相關的法定程序，并在保證患者信息安全的情形下才可使用，即“在征得個人同意或經(jīng)脫敏脫密后”使用?？梢?，在基于公共利益訪問時也應最大限度地保護患者的私權利。

2．基于商業(yè)目的訪問的同意規(guī)則

醫(yī)療健康信息主要是為了治療疾病而采集、儲存在醫(yī)療機構電子病歷系統(tǒng)的患者個人信息，其一般為醫(yī)療機構托管，由患者對電子病歷的訪問行使控制權[22]。由于數(shù)據(jù)信息控制權者和管理者的分離，造成信息主體維權困難，因而各國法律均規(guī)定，個人數(shù)據(jù)的處理不得與數(shù)據(jù)收集的目的相違背[32]。基于醫(yī)療目的可以在醫(yī)療系統(tǒng)內(nèi)部訪問患者的個人健康信息，但脫離醫(yī)療目的和公共利益目的的商業(yè)性訪問必須經(jīng)過患者同意，如利用醫(yī)療健康大數(shù)據(jù)進行藥品營銷、保險銷售等商業(yè)性行為。這是由個人信息具有人身性和財產(chǎn)性等私權性決定，其信息的財產(chǎn)價值屬性決定了患者有權決定其是否進入市場流通、以及如何流通。即使有些個人信息已經(jīng)被政府或者商業(yè)機構收集，也不意味著個人信息可以被任意公開，他人可以任意訪問。[33]除非為了國家利益，患者的信息自決權應該得到尊重，進入市場流通的信息必須經(jīng)過患者同意，取得患者的書面授權。

人類有限的理性必然導致法律的不完備性，其無法預見到將來可能出現(xiàn)的各種各樣的事件，并將其寫入法律中，[34]在互聯(lián)網(wǎng)+醫(yī)療快速發(fā)展的背景下，健康醫(yī)療大數(shù)據(jù)已成為推動醫(yī)療科技發(fā)展的重要資源，訪問權的法律規(guī)制將成為規(guī)范健康醫(yī)療大數(shù)據(jù)發(fā)展的必由路徑和保障。