楊朝暉 簡(jiǎn)雅娟 李樹(shù)榮

1 天津醫(yī)學(xué)高等專(zhuān)科學(xué)校公共衛(wèi)生與衛(wèi)生事業(yè)管理系，天津，300022；2 天津醫(yī)學(xué)高等專(zhuān)科學(xué)?？蒲刑?，天津，300022；3 天津醫(yī)學(xué)高等專(zhuān)科學(xué)校成人教育處，天津，300022

個(gè)人健康記錄(Personal Health Records，PHR)作為具有前景的個(gè)人醫(yī)療健康信息自我管理工具，能為個(gè)體患者和整個(gè)醫(yī)療系統(tǒng)帶來(lái)益處。PHR的廣泛實(shí)施會(huì)降低醫(yī)療成本，提高醫(yī)療質(zhì)量，促進(jìn)更好的健康結(jié)果。但目前PHR的采用率相對(duì)較低,重要原因是PHR服務(wù)存在多重安全隱患，可能會(huì)損害信息隱私性和安全性。醫(yī)療信息失竊將對(duì)個(gè)人造成嚴(yán)重?fù)p害，是當(dāng)前PHR亟需解決的問(wèn)題[1]。目前，我國(guó)個(gè)人信息保護(hù)立法仍在制定中，筆者梳理美國(guó)和歐盟涉及PHR安全和隱私的法律框架，為我國(guó)相關(guān)立法提供借鑒。

1 PHR的概念

美國(guó)衛(wèi)生與公眾服務(wù)部民權(quán)辦公室定義PHR是個(gè)人健康信息的電子記錄，并且具有管理、追蹤和參與自身健康保健的功能，個(gè)人可通過(guò)其控制對(duì)健康信息的訪問(wèn)[2]。美國(guó)健康信息技術(shù)協(xié)調(diào)辦公室將PHR定義為符合國(guó)家認(rèn)可的互操作性標(biāo)準(zhǔn)，可以從多個(gè)來(lái)源獲取，同時(shí)由個(gè)人管理、共享和控制的與個(gè)人健康信息相關(guān)的電子記錄[3]。PHR是一種以患者為中心的工具，用于促進(jìn)患者參與持續(xù)醫(yī)療保健和自我健康管理，包含個(gè)人自我追蹤設(shè)備、可穿戴設(shè)備等設(shè)備采集的連續(xù)健康數(shù)據(jù)，如病史、藥物使用、患者體重、葡萄糖水平、血壓等健康數(shù)據(jù)，以及飲食、運(yùn)動(dòng)、活動(dòng)日志、壓力水平等支持健康生活習(xí)慣、健康管理的數(shù)據(jù)[4]。

PHR數(shù)據(jù)是個(gè)人健康數(shù)據(jù)的重要組成部分，其與電子病歷系統(tǒng)的區(qū)別在于電子病歷系統(tǒng)是衛(wèi)生保健服務(wù)人員使用的系統(tǒng)，而PHR的主要目的是讓個(gè)體患者獲得和控制個(gè)人健康信息[2]。不同的PHR系統(tǒng)提供不同程度的連接和功能，可以與電子病歷系統(tǒng)等其他系統(tǒng)完全或部分集成。PHR將醫(yī)療健康管理的重點(diǎn)轉(zhuǎn)移到以患者為中心的模式，能促進(jìn)患者尤其是慢性疾病患者參與預(yù)防與實(shí)踐，并減少醫(yī)療錯(cuò)誤和再入院率；PHR匯總數(shù)據(jù)能夠在健康監(jiān)測(cè)、疫情管理等公共衛(wèi)生領(lǐng)域和科學(xué)研究領(lǐng)域發(fā)揮作用[5]。

2 美國(guó)和歐盟PHR管理的現(xiàn)狀

2.1 美國(guó)

美國(guó)是PHR系統(tǒng)開(kāi)發(fā)的核心市場(chǎng)之一[6]，其適用于PHR的相關(guān)法律包括1996年頒布的《健康保險(xiǎn)可攜帶與責(zé)任法案》(Health Insurance Portability and Accountability Act，HIPAA)和2009年頒布的《經(jīng)濟(jì)和臨床健康信息科技法案》(Health Information Technology for Economic and Clinical Health Act，HITECH)，二者均是管理受保護(hù)健康信息隱私和安全的法律。HIPAA確定了交換、披露健康信息的初始安全要求。HITECH對(duì)其進(jìn)一步擴(kuò)展，要求通知本人有關(guān)其受保護(hù)健康信息的違規(guī)行為。

HIPAA旨在管理提供PHR服務(wù)的實(shí)體，使其正確履行隱私和安全的要求。HIPAA最適用PHR服務(wù)的是章節(jié)二管理簡(jiǎn)化條款中的隱私規(guī)則和安全規(guī)則，隱私規(guī)則主要涉及如何使用個(gè)人的受保護(hù)健康信息，安全規(guī)則目的是通過(guò)解釋如何在各方之間安全地共享數(shù)據(jù)和定義企業(yè)可以遵守的標(biāo)準(zhǔn)來(lái)鼓勵(lì)電子數(shù)據(jù)的交換傳播[2]。HIPAA僅適用于受管轄實(shí)體，主要包括傳統(tǒng)衛(wèi)生保健服務(wù)提供者、衛(wèi)生保健信息處理機(jī)構(gòu)，而私人PHR供應(yīng)商未受該法案約束。HIPAA關(guān)于商業(yè)合作伙伴概念及其確切法律地位的界定也比較模糊。隱私規(guī)則限制了受管轄實(shí)體使用和披露個(gè)人受保護(hù)健康信息的方式，但該限制并未傳遞給與受管轄實(shí)體相關(guān)聯(lián)的任何商業(yè)業(yè)務(wù)。

安全規(guī)則列出了存儲(chǔ)和傳輸人員對(duì)個(gè)人受保護(hù)的健康信息需要采取的預(yù)防措施，其中包括需具備的管理、物理和技術(shù)保障，以及最低限度的文件和審計(jì)要求。安全規(guī)則要求受管轄實(shí)體確保受保護(hù)健康信息的機(jī)密性、完整性和可用性，防止任何可能威脅此類(lèi)信息安全性或完整性的危險(xiǎn)，防止任何被禁止但預(yù)期合理的使用或披露，并確保其員工操作的合規(guī)性。另外安全規(guī)則制定安全措施、審計(jì)、加密、身份驗(yàn)證和處置實(shí)施細(xì)節(jié)和要求。

HITECH對(duì)HIPAA進(jìn)行了更新，主要是將隱私和安全規(guī)則中對(duì)個(gè)人受保護(hù)健康信息責(zé)任擴(kuò)展到所受管轄實(shí)體的商業(yè)合作伙伴。HITECH闡明了商業(yè)合作伙伴的法律地位，使其受到與受管轄實(shí)體相同的隱私要求。2013年HITECH進(jìn)一步闡明，商業(yè)合作伙伴所涵蓋實(shí)體包括創(chuàng)建、接收、維護(hù)或傳輸個(gè)人健康信息的任何業(yè)務(wù)，因此提供數(shù)據(jù)傳輸和云服務(wù)器等服務(wù)的企業(yè)將有義務(wù)遵守所有HIPAA安全規(guī)則和一部分隱私規(guī)則[7]。

此外，《聯(lián)邦貿(mào)易委員會(huì)法案》也適用于美國(guó)PHR服務(wù)提供商。該法案第5節(jié)規(guī)定不支持自身所承諾安全措施的PHR供應(yīng)商將被追究責(zé)任[8]。

2.2 歐盟

歐盟最初適用于PHR的指令是1995年頒布的《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類(lèi)數(shù)據(jù)自由流動(dòng)的指令》和2002年頒布的《關(guān)于隱私和電子通信的指令》。上述指令包含數(shù)據(jù)保護(hù)和隱私政策，以及個(gè)人和敏感數(shù)據(jù)的一般類(lèi)別，但未詳細(xì)說(shuō)明哪些安全和隱私措施必須應(yīng)用于保護(hù)健康相關(guān)數(shù)據(jù)。

歐盟成員國(guó)必須制定基于上述指令概述原則的本國(guó)法律，由于各成員國(guó)獨(dú)立起草和實(shí)施的法律間存在差異，導(dǎo)致了不同程度的執(zhí)法和其他相關(guān)問(wèn)題[9]。為了改善這種情況，歐盟于2016年4月批準(zhǔn)新的條例《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR )，并于2018年5月生效。

GDPR旨在通過(guò)標(biāo)準(zhǔn)化歐盟的個(gè)人數(shù)據(jù)保護(hù)制度，更好地應(yīng)對(duì)新興和全球化的技術(shù)，并確保個(gè)人權(quán)利得到保護(hù)。GDPR重點(diǎn)強(qiáng)調(diào)促進(jìn)問(wèn)責(zé)制，要求相關(guān)機(jī)構(gòu)證明其遵守條例概述的原則。其規(guī)定措施包括：建立加工活動(dòng)記錄(文件)；明確數(shù)據(jù)保護(hù)/隱私影響評(píng)估要求，包括評(píng)估處理操作和目的描述、與目的相關(guān)處理的必要性和比例、個(gè)人風(fēng)險(xiǎn)和應(yīng)對(duì)風(fēng)險(xiǎn)的措施；數(shù)據(jù)泄露的通知責(zé)任，向相關(guān)監(jiān)管機(jī)構(gòu)報(bào)告某些類(lèi)型的數(shù)據(jù)泄露的義務(wù)，在某些情況下向受影響的個(gè)人報(bào)告的義務(wù)；任命數(shù)據(jù)保護(hù)官員，其職責(zé)主要包括向組織及其員工告知他們應(yīng)遵守GDPR的義務(wù)、監(jiān)控和管理對(duì)GDPR的遵守情況(包括內(nèi)部數(shù)據(jù)保護(hù)活動(dòng)、數(shù)據(jù)保護(hù)影響評(píng)估、員工培訓(xùn)和內(nèi)部審計(jì))；設(shè)立國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)等。此外GDPR提出了隱私設(shè)計(jì)和隱私默認(rèn)的概念：數(shù)據(jù)控制者必須設(shè)計(jì)和實(shí)施保護(hù)數(shù)據(jù)的機(jī)制，以維護(hù)條例規(guī)定的標(biāo)準(zhǔn)；并確保默認(rèn)情況下僅處理特定目的所需的個(gè)人數(shù)據(jù)[9]。

2.3 美國(guó)和歐盟的比較

表1對(duì)美國(guó)和歐盟適用于PHR開(kāi)發(fā)和使用的立法組成部分進(jìn)行比較。

表1 美國(guó)與歐盟適用PHR的立法關(guān)鍵組成部分的比較

由表1可見(jiàn)，歐盟不區(qū)分行業(yè)，對(duì)個(gè)人數(shù)據(jù)予以統(tǒng)一保護(hù)，而美國(guó)則基于醫(yī)療健康行業(yè)的特點(diǎn)，對(duì)個(gè)人的受保護(hù)健康信息予以保護(hù)；GDPR對(duì)合理、適當(dāng)?shù)陌踩c保障措施提供了更具體和嚴(yán)格的要求，但諸如隱私設(shè)計(jì)和隱私默認(rèn)等術(shù)語(yǔ)，其含義上具有一定的解釋空間和模糊性；上述法律對(duì)用戶(hù)認(rèn)證均不需要特定的先進(jìn)識(shí)別手段，但僅加密用戶(hù)身份并不滿(mǎn)足HIPAA安全規(guī)則標(biāo)準(zhǔn)；數(shù)據(jù)控制者、數(shù)據(jù)處理者、數(shù)據(jù)所有者3個(gè)特定術(shù)語(yǔ)并不適用于美國(guó)司法管轄區(qū)；GDPR中未有涉及數(shù)據(jù)披露的相關(guān)條款；HIPAA與GDPR中數(shù)據(jù)泄露必須通知監(jiān)管機(jī)構(gòu)的時(shí)間范圍有所不同，但均規(guī)定了最低要求，GDPR為72小時(shí)，HIPAA為10天，在通知個(gè)人方面，上述法律給責(zé)任機(jī)構(gòu)留下了審慎選擇的空間，讓他們?cè)u(píng)估健康信息泄露潛在風(fēng)險(xiǎn)以決定是否通知個(gè)人；相對(duì)于美國(guó)相關(guān)法案，GDPR定義了更直接和更嚴(yán)格的懲罰措施，賦予受保護(hù)數(shù)據(jù)主體更多權(quán)力，如刪除權(quán)(被遺忘權(quán))與可攜帶權(quán)。綜上比較，GDPR數(shù)據(jù)保護(hù)措施更全面和嚴(yán)格，但在關(guān)鍵領(lǐng)域留有解釋空間和一定程度的模糊性；美國(guó)相關(guān)法案的PHR數(shù)據(jù)保護(hù)模式有利于充分促進(jìn)數(shù)據(jù)流通，但在隱私保護(hù)嚴(yán)格程度方面又稍遜于歐盟GDPR。

3 對(duì)我國(guó)相關(guān)立法的啟示

目前，我國(guó)PHR保護(hù)的相關(guān)立法散見(jiàn)于我國(guó)各類(lèi)法律，如2004年12月1日施行的《中華人民共和國(guó)傳染病防治法》、2010年7月1日施行的《中華人民共和國(guó)侵權(quán)責(zé)任法》、2015年11月1日施行的《中華人民共和國(guó)刑法修正案( 九) 》、2017 年6月1日施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、2017年10月1日施行的《中華人民共和國(guó)民法總則》等。上述法律相關(guān)條文對(duì)于PHR的保護(hù)零碎不成系統(tǒng)，無(wú)法形成完整的體系[10]，結(jié)合GDPR與HIPAA法案涉及PHR安全和隱私的法律框架回顧，筆者提出以下建議。

3.1 界定相關(guān)概念

新技術(shù)的快速發(fā)展對(duì)各種法律體系評(píng)估相關(guān)和適用的立法定位提出挑戰(zhàn)。歐盟與美國(guó)PHR保護(hù)相關(guān)立法均是依據(jù)個(gè)人數(shù)據(jù)保護(hù)或電子病歷系統(tǒng)制定的，并未針對(duì)基于私人和企業(yè)PHR提供具體的規(guī)定：缺乏對(duì)構(gòu)成PHR的內(nèi)容明確和一致的定義、PHR各類(lèi)服務(wù)的定義和術(shù)語(yǔ)，以及未能明確PHR和電子病歷系統(tǒng)之間適當(dāng)?shù)姆煽蚣懿町?，總體上法律體系完善尚未完全跟上PHR相關(guān)技術(shù)的快速發(fā)展，并適應(yīng)其對(duì)患者數(shù)據(jù)隱私和安全所帶來(lái)的挑戰(zhàn)。建議從法律層面界定PHR等概念，確定其保護(hù)范圍、權(quán)利內(nèi)涵、保護(hù)原則等法律屬性，使PHR隱私與安全保護(hù)有法可依。

3.2 明確責(zé)任主體

PHR數(shù)據(jù)流通過(guò)程中涉及的實(shí)體包括醫(yī)療機(jī)構(gòu)、獨(dú)立系統(tǒng)運(yùn)營(yíng)商、軟件開(kāi)發(fā)商、設(shè)備供應(yīng)商等機(jī)構(gòu)及其從業(yè)人員等，而我國(guó)相關(guān)法律中健康數(shù)據(jù)保護(hù)條款適用主體僅涉及衛(wèi)生行政部門(mén)、疾病預(yù)防與控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)及醫(yī)療從業(yè)人員。HIPPA中受管轄主體則包括健康計(jì)劃、衛(wèi)生保健信息處理機(jī)構(gòu)、衛(wèi)生保健服務(wù)提供者及其商業(yè)合作伙伴[11]；GDPR 明確侵權(quán)責(zé)任主體，引入了數(shù)據(jù)控制者、數(shù)據(jù)處理者等概念，并嚴(yán)格規(guī)范其義務(wù)。建議我國(guó)相關(guān)法律以在PHR健康數(shù)據(jù)流動(dòng)過(guò)程中直接和間接接觸數(shù)據(jù)的范圍和作用來(lái)界定侵權(quán)責(zé)任主體。

3.3 完善監(jiān)管機(jī)制

美國(guó)與歐盟相關(guān)法律制定了完善的監(jiān)管問(wèn)責(zé)機(jī)制并確定了其可執(zhí)行性。如GDPR在企業(yè)內(nèi)部設(shè)立了數(shù)據(jù)保護(hù)官；由數(shù)據(jù)控制者與處理者的主營(yíng)業(yè)機(jī)構(gòu)確定主數(shù)據(jù)保護(hù)機(jī)構(gòu)，主數(shù)據(jù)保護(hù)機(jī)構(gòu)行使統(tǒng)一管轄權(quán)；設(shè)置歐盟數(shù)據(jù)監(jiān)管的最高機(jī)構(gòu)歐盟數(shù)據(jù)保護(hù)理事會(huì)。GDPR還規(guī)定了各監(jiān)管機(jī)構(gòu)的行政執(zhí)法權(quán)、檢查權(quán)、訴訟及處罰權(quán)[12]，使相應(yīng)的問(wèn)責(zé)與處罰具有較強(qiáng)的操作性。而我國(guó)相關(guān)法律缺乏適用于PHR服務(wù)的監(jiān)管機(jī)制，應(yīng)要求信息控制者指定或者設(shè)立專(zhuān)門(mén)機(jī)構(gòu)或具有相應(yīng)資質(zhì)的專(zhuān)門(mén)人員負(fù)責(zé)PHR保護(hù)日常工作[10]；適當(dāng)以列舉的立法方式來(lái)制定PHR系統(tǒng)遭到破壞或泄密等情況時(shí)責(zé)任主體的責(zé)任以及懲罰措施。

3.4 采用相關(guān)標(biāo)準(zhǔn)

在個(gè)人信息保護(hù)立法空缺的情況下，與技術(shù)相連的相關(guān)標(biāo)準(zhǔn)可以起到部分立法替代作用[13]。大數(shù)據(jù)時(shí)代個(gè)人健康數(shù)據(jù)的跨境存儲(chǔ)和流通不可避免，亟需建立一致性的隱私和安全標(biāo)準(zhǔn)，這些標(biāo)

準(zhǔn)要能夠被普通消費(fèi)者清楚地理解，并且允許各種PHR系統(tǒng)被獨(dú)立評(píng)級(jí)和比較。但目前在數(shù)據(jù)定義、通信協(xié)議和數(shù)據(jù)分析等領(lǐng)域缺乏普遍認(rèn)同的標(biāo)準(zhǔn)[14]。建議廣泛和強(qiáng)制使用基本、全面的技術(shù)中立標(biāo)準(zhǔn)以促進(jìn)患者在各種平臺(tái)和地理區(qū)域安全地共享數(shù)據(jù)服務(wù)，如HL7安全和隱私標(biāo)準(zhǔn)有效地支持了GDPR的實(shí)施，HL7的PHR系統(tǒng)功能模型PHR-S FM可以為患者提供更好的隱私安全保護(hù)，更準(zhǔn)確地定義組織必須采取的信息保護(hù)措施。