姜 雯

（南方醫(yī)科大學(xué)衛(wèi)生管理學(xué)院 廣州 501515）

2005年，世界衛(wèi)生大會鼓勵會員國將eHealth納入衛(wèi)生系統(tǒng)和服務(wù)[1]，2012年世界衛(wèi)生組織舉辦健康數(shù)據(jù)標準化（standardization）和互操作性（interoperability）論壇，促使各國制定全面的路線圖以實現(xiàn)國內(nèi)互操作性[2]。全球衛(wèi)生領(lǐng)域的發(fā)展趨勢令多個國家和地區(qū)的政府致力于此，一方面以法制保障個人健康信息隱私和安全，另一方面積極推進健康信息的互通共享和應(yīng)用。在“健康中國”戰(zhàn)略和全面依法治國新理念新思想的戰(zhàn)略背景下，文章通過比較中國、美國和加拿大關(guān)于健康信息保護與共享的法制狀況，為我國健康數(shù)據(jù)的現(xiàn)代化治理和各個利益相關(guān)方的協(xié)同發(fā)展提供參考。

1 美國健康信息保護與互通共享的法制概況

1.1 個人信息保護的基本守則與重要立法

1.1.1 “公平信息實踐”是全球信息隱私保護的源泉

二十世紀六七十年代，政府大量處理電子數(shù)據(jù)催生了信息隱私問題?！?974年隱私法》在當時頗具影響力，其“公平信息實踐”（fair information practices）原則影響全球，1980年經(jīng)濟合作與發(fā)展組織（OECD）將公平信息實踐編入《OECD指南》，1995年歐盟指令95/46/EC引入并加以完善[3]。其后，2004年亞太經(jīng)濟合作組織《APEC隱私框架》、2013年《OECD隱私框架》和2016年歐盟制定的《一般數(shù)據(jù)保護條例》（GDPR）均繼受了公平信息實踐原則，可見公平信息實踐提供了全球個人信息保護的思想淵源和基本框架[4]96-110。

1973年美國衛(wèi)生、教育和福利部（HEW）發(fā)布了題為《檔案、計算機和公民權(quán)利》的報告，建議國會通過立法對自動化個人數(shù)據(jù)系統(tǒng)實行公平信息實踐原則：①不得有秘密存在的個人數(shù)據(jù)檔案系統(tǒng)；②個人必須有途徑查詢個人檔案中的信息以及獲知信息用途；③個人必須有途徑阻止未經(jīng)個人同意的使用行為；④個人必須有途徑更正個人的可識別信息；⑤任何創(chuàng)建、保管、使用或傳播可識別個人數(shù)據(jù)檔案的組織，都必須確保數(shù)據(jù)的可靠性，并采取濫用數(shù)據(jù)的預(yù)防措施。報告還建議組織制定數(shù)據(jù)保護措施，每年向公眾報告保存的數(shù)據(jù)庫及信息種類。對于數(shù)據(jù)主體應(yīng)有的權(quán)利，報告也予以列出。上述建議在《1974年隱私法》中有所體現(xiàn)?？傮w上，《1974年隱私法》通過在個人數(shù)據(jù)上創(chuàng)設(shè)四項程序性和實體性權(quán)利來保護隱私：①政府應(yīng)向個人展示他/她的任何記錄；②政府機構(gòu)在收集和處理個人數(shù)據(jù)時應(yīng)遵循公平信息實踐原則；③設(shè)置條件限制政府機構(gòu)與他方共享個人數(shù)據(jù)；④允許個人起訴政府[5]。

1.1.2 HIPAA隱私規(guī)則的重要內(nèi)容

1995年，國際權(quán)威的信息隱私法專家保羅·施瓦茲（Paul Schwartz）指出，為了使用醫(yī)療保健數(shù)據(jù)，美國必須制定四項聯(lián)邦公平信息實踐原則：①構(gòu)建法定框架，設(shè)定個人信息使用方面的義務(wù)；②確保處理系統(tǒng)的透明度；③賦予個人有限的程序權(quán)利和實體權(quán)利；④對數(shù)據(jù)使用建立有效的政府監(jiān)管。美國只有將這四項原則納入數(shù)據(jù)保護法，才能克服現(xiàn)有醫(yī)療隱私法規(guī)的弱點，并解決醫(yī)療保健服務(wù)系統(tǒng)將會出現(xiàn)的隱私問題[6]。

1996年《健康保險流通與責任法案》（HIPAA）出臺，這是旨在創(chuàng)建保護患者敏感健康信息的具有國家標準的聯(lián)邦法律，以防止未經(jīng)患者同意或患者不知情的情況下披露其信息[7]。根據(jù)該法的要求，美國衛(wèi)生與公共服務(wù)部（HHS）發(fā)布了HIPAA隱私規(guī)則（privacy rule），建立了保護健康信息的國家標準[8]。隱私規(guī)則幾乎實現(xiàn)了公平信息實踐的所有原則[9]。不過，HIPAA代表了最低保護標準，州或地方法規(guī)可以更加嚴格[10]。隱私規(guī)則具有如下重要內(nèi)容：

（1）個人健康信息的概念

“健康信息”（health information）是指包括基因信息在內(nèi)的、口述或以任何媒介形式記錄的下列信息：健康服務(wù)提供者、健康計劃、公共衛(wèi)生機構(gòu)、雇主、人壽保險公司、學(xué)校、大學(xué)或健康信息交換中心所創(chuàng)建或者接受的信息。關(guān)于個人過往、現(xiàn)在和將來的身體（physical）和精神（mental）狀況的信息；向個人提供的衛(wèi)生保??；在過往、現(xiàn)在或?qū)頌閭€人提供醫(yī)療保健的費用。此外，“受保護的健康信息”（protected health information，縮寫為PHI）是指可識別個人身份的健康信息，但是不包括《家庭教育權(quán)利和隱私法》中明確規(guī)定的相關(guān)信息、雇主在就業(yè)檔案中記錄的信息和死亡超過 50 年的死者健康信息。此外，“個人基因信息”（genetic information）包括：個人基因測試的信息；家庭成員基因測試的信息；家庭成員疾病或失調(diào)的表現(xiàn)；個人和家庭成員在基因服務(wù)、包含基因服務(wù)的臨床研究中的相關(guān)信息；胎兒（fetus）的基因信息；個人或家庭成員利用輔助生殖技術(shù)合法擁有的胚胎（embryo）的基因信息[11]。換言之，信息原生者為胚胎、胎兒、自然人和死者；信息內(nèi)容為身體健康信息和精神健康信息；信息種類為醫(yī)療信息和基因信息；信息保護期為個人生前及死后50年。略有遺憾的是，信息種類未提及生物識別信息，因為一部分用于健康醫(yī)療、公共衛(wèi)生目的的生物識別信息事實上也屬于健康信息。

（2）使用和披露的一般原則[8]

基本原則。隱私規(guī)則的主要目的是定義和限制適用主體（健康服務(wù)提供者、健康計劃、健康信息交換中心）可能使用或披露個人PHI的情況。適用主體不得使用或披露PHI，除非：隱私規(guī)則允許或要求；信息主體（或其代表人）以書面形式授權(quán)。

必須披露的情形。適用主體僅在兩種情況下必須披露PHI：個人（或其代表人）要求查閱PHI或?qū)ε哆M行解釋；在HHS進行合規(guī)調(diào)查、審查或執(zhí)行行動時。

允許使用和披露的情形。未經(jīng)個人授權(quán)，出于下列目的或情況，允許（但不要求）適用主體使用和披露PHI：①向個人披露（要求查閱或解釋披露的除外）。②治療、支付和衛(wèi)生保健業(yè)務(wù)。③同意或反對的機會。非正式的許可可通過直接詢問個人獲得，或通過明確給個人表示同意、默許或反對的機會而獲得。在個人無行為能力、處于緊急情況或無法得到幫助的情況下，適用主體根據(jù)專業(yè)判斷，確定使用或披露符合個人最佳利益時，一般可以使用或披露。④其他允許的使用和披露事件。隱私規(guī)則并不要求消除偶然使用或披露的風險，只要適用主體按照隱私規(guī)則采取了合理的保障措施，并且所共享的信息僅限于“最少必要”。⑤公共利益和公益活動。隱私規(guī)則允許出于12個國家優(yōu)先目的使用和披露PHI，而無需個人的授權(quán)或許可：（a）法律（包括法規(guī)、規(guī)章或法院命令）要求；（b）公共衛(wèi)生活動；（c）遭受虐待、疏于照顧或家庭暴力的受害者，在這些情況下，適用主體可以向有關(guān)當局披露受害者的PHI；（d）衛(wèi)生監(jiān)督活動；（e）司法和行政訴訟；（f）執(zhí)法目的；（g）死者，適用主體可根據(jù)需要向喪葬主管披露PHI，并向驗尸官或醫(yī)學(xué)檢查人員披露，以確定死者的身份、死因和行使法律授權(quán)的其他職能；（h）捐贈遺體器官、眼睛或組織，適用主體可以使用或披露PHI，以促進遺體器官、眼睛和組織的捐贈和移植；（i）研究；（j）防止、減輕對健康或安全的嚴重威脅，適用主體可披露其認為為防止或減輕對個人或公眾的嚴重和迫在眉睫的威脅所必需的PHI，前提是向其認為可以防止或減輕威脅的人（包括威脅對象）披露此類信息，如果需要識別或逮捕逃犯或暴力罪犯，也可以向執(zhí)法部門披露信息；（k）行使某些重要的政府職能不需要個人授權(quán)，例如，確保正確執(zhí)行軍事任務(wù)、受法律授權(quán)的情報和國家安全活動等；（l）勞工賠償，適用主體可以在《勞工賠償法》和其他為工傷或疾病提供福利的項目授權(quán)下，披露PHI。⑥用于研究、公共衛(wèi)生或衛(wèi)生保健業(yè)務(wù)目的的有限數(shù)據(jù)集。有限數(shù)據(jù)集是受保護的健康信息，其中個人及其親屬、家庭成員和雇主的某些特定直接標識符已被刪除。用于上述目的的前提是接收方簽訂數(shù)據(jù)使用協(xié)議，承諾對有限數(shù)據(jù)集內(nèi)受保護的健康信息采取特定保障措施。

書面授權(quán)的披露。這是指適用主體必須獲得個人書面授權(quán)才能使用或披露的情形，用于治療、支付、醫(yī)療保健操作以及隱私規(guī)則允許或要求的受保護健康信息除外。兩種情形必須經(jīng)個人書面授權(quán)才可披露：心理治療筆記和營銷。

將使用和披露限制在最低限度。隱私規(guī)則的一個核心方面是“最少必要”使用和披露原則。適用主體必須做出合理努力，使用、披露和請求的受保護健康信息的數(shù)量是達到預(yù)期目的所需的最少數(shù)量。

1.2 健康信息互通共享的發(fā)展與現(xiàn)狀

1.2.1 健康信息交換的模式

美國國家衛(wèi)生信息技術(shù)協(xié)調(diào)辦公室（ONC）成立于2004年，負責協(xié)調(diào)全國范圍內(nèi)實施和使用最先進的健康信息技術(shù)以及電子健康信息交換的工作[12]。電子健康信息交換（health information exchange, HIE）使醫(yī)生、護士、藥劑師、其他醫(yī)療服務(wù)提供者和患者能夠適當?shù)卦L問和安全共享患者重要的電子醫(yī)療信息。當前，HIE有三種關(guān)鍵模式：一是定向模式（directed exchange），包括醫(yī)療服務(wù)提供者之間安全、便捷地發(fā)送和接收患者信息，向公共衛(wèi)生組織發(fā)送免疫數(shù)據(jù)，以及向醫(yī)療保險和醫(yī)療補助服務(wù)中心報告質(zhì)量措施。二是查詢模式（query-based exchange），醫(yī)療服務(wù)提供者基于查詢目的，訪問其他醫(yī)療服務(wù)提供者存儲的患者臨床信息，常用于提供計劃外的服務(wù)，例如急診室醫(yī)師查詢患者用藥、近期放射圖像等信息，用于優(yōu)化治療計劃、避免藥物不良反應(yīng)和重復(fù)檢查。三是患者介入模式（consumer-mediated exchange），患者能夠訪問、管理其健康信息，表現(xiàn)為向其他醫(yī)療服務(wù)提供者提供其健康信息、識別與糾正錯誤或丟失的健康信息、識別并更正錯誤的賬單信息、追蹤和監(jiān)控本人的健康狀況[13]。一般認為，HIE可以避免患者健康信息的碎片化和不連續(xù)性、加強患者安全、提升醫(yī)護質(zhì)量及效率、促進公共衛(wèi)生工作、降低死亡率、減少醫(yī)療保健費用和促進臨床研究等[14]。

1.2.2 互操作性愿景

HIE的實現(xiàn)需要依靠互操作性技術(shù)。2014年ONC發(fā)布了《連通全國健康醫(yī)療：互操作醫(yī)療IT基礎(chǔ)架構(gòu)之十年愿景》[15]，意在建立全國性的互操作醫(yī)療系統(tǒng)，即學(xué)習型醫(yī)療系統(tǒng)（learning health system）。在該系統(tǒng)中：個人處于健康醫(yī)療的中心；醫(yī)療服務(wù)提供者能夠安全地訪問和使用不同來源的健康信息；個人健康信息來自電子健康檔案及其他來源（包括個人使用的技術(shù)），可以展現(xiàn)個人健康狀況的縱向圖景而非片段；由于信息易于獲取，若非必要不得重復(fù)診斷檢查；公共衛(wèi)生機構(gòu)和研究人員可以快速學(xué)習、開發(fā)和提供最先進的治療方法。為了實現(xiàn)愿景，“連通全國健康醫(yī)療”系列之二《共享型全國互操作路線圖（1.0版）》面世[16]。該路線圖的形成是ONC與醫(yī)療IT利益相關(guān)者（臨床醫(yī)生、消費者、醫(yī)院、公共衛(wèi)生機構(gòu)、技術(shù)開發(fā)人員、付款人、研究人員和政策制定者等）共同努力的結(jié)果[15]，具有廣泛性和代表性。

1.2.3 《21世紀治愈法案》對互操作性的要求

2016年《21世紀治愈法案》高度重視互操作技術(shù)，以“互操作性”為專節(jié)，將其定義為一種健康信息技術(shù)：“①能夠與其他健康信息技術(shù)安全交換電子健康信息，能夠使用其他健康信息技術(shù)中的健康信息。②根據(jù)州或聯(lián)邦法律授權(quán)，允許完全訪問、交換和使用所有可通過電子方式獲取的健康信息。③不造成信息阻塞?！贝送?，明確要求構(gòu)建可信交換框架與共同協(xié)議（TEFCA）。共同協(xié)議的主要內(nèi)容包括：驗證健康信息網(wǎng)絡(luò)參與者的常用方法；互通規(guī)則；網(wǎng)絡(luò)間互通健康信息的組織與實施政策；提交和裁定違反共同協(xié)議條款的程序[17]。

1.2.4 可信交換框架與共同協(xié)議的進展

2018年1月，ONC發(fā)布了TEFCA草案初稿，框架旨在改善健康信息網(wǎng)絡(luò)之間的數(shù)據(jù)共享，為醫(yī)療服務(wù)提供者，州、區(qū)域健康信息交換機構(gòu)，聯(lián)邦機構(gòu)之間交換患者病歷與健康信息提供必需的政策、程序和技術(shù)標準。2019年4月，ONC發(fā)布TEFCA草案第二稿與競爭性融資機會公告，允許行業(yè)組織競爭多年合同和合作協(xié)議[18]。經(jīng)過競爭，2019年8月，ONC向紅杉項目（The Sequoia Project）授予合作協(xié)議，使其成為公認的協(xié)調(diào)實體（RCE）[19]。作為倡導(dǎo)全國健康信息交換的非營利組織和協(xié)調(diào)實體，紅杉項目將負責制定、更新、實施和維護TEFCA的共同協(xié)議組成部分。該共同協(xié)議將為健康信息網(wǎng)絡(luò)提供共享電子健康信息的基線技術(shù)和法律要求，并成為《21世紀治愈法案》的一部分?！?1世紀治愈法案》對可信交換的關(guān)注是提高整個醫(yī)療保健系統(tǒng)的透明度和競爭性的重要一步，意在消除阻礙電子健康信息安全和適當共享的技術(shù)障礙與商業(yè)慣例[18]。

2021年1月，紅杉項目啟動新的應(yīng)急準備信息工作組，重點關(guān)注各州在互操作性和健康IT方面的挑戰(zhàn)，例如政策和法規(guī)問題、方案挑戰(zhàn)、數(shù)據(jù)隱私、資金、資源和通信，以確保信息易于訪問，從而支持應(yīng)急準備。工作組還將作為實踐社區(qū)為各州和其他利益相關(guān)者提供交流論壇，并對改善應(yīng)急準備的互操作性提出建議。該小組將每月開會，并提供以下成果：①從應(yīng)對新冠肺炎疫情大流行中汲取關(guān)于健康IT和互操作性的經(jīng)驗教訓(xùn)；②優(yōu)先解決阻礙獲取公共衛(wèi)生信息應(yīng)對災(zāi)害的問題；③在實踐社區(qū)，公共衛(wèi)生、醫(yī)療補助、其他州的實體以及聯(lián)邦合作伙伴可以討論創(chuàng)新及其阻礙因素[20]。

1.3 新冠肺炎疫情背景下的健康信息保護與共享

根據(jù)2020年新冠肺炎疫情狀況，美國學(xué)者表示互操作性是變革的推動力，指出實驗室檢測和快速病例識別對控制新冠肺炎疫情的暴發(fā)至關(guān)重要，大流行突出了在不同實體之間記錄、分發(fā)和跟蹤診斷檢測結(jié)果所面臨的挑戰(zhàn)，并最終暴露了美國醫(yī)療數(shù)據(jù)互操作性方面令人遺憾的雙重性：一方面，互操作性對協(xié)調(diào)緊急公共衛(wèi)生應(yīng)對措施非常重要；另一方面，目前互操作性非常薄弱。大流行表明，互操作性對整體公共利益具有重大意義[21]。

2020年12月，HHS民權(quán)辦公室發(fā)布《HIPAA、健康信息交換和基于公共衛(wèi)生目的的受保護健康信息披露指南》，提出在三種無需個人授權(quán)的情況下，HIPAA隱私規(guī)則允許適用主體及其商業(yè)伙伴將個人受保護的健康信息披露給共享組織，再由共享組織向公共衛(wèi)生當局報告，以便其開展公共衛(wèi)生活動：一是在法律（聯(lián)邦、州、地方或其他可在法院強制執(zhí)行的法律）要求出于公共衛(wèi)生報告目的時披露。二是當共享組織是適用主體的商業(yè)伙伴或者商業(yè)伙伴的商業(yè)伙伴時，希望出于公共衛(wèi)生目的向公共衛(wèi)生當局提供個人受保護的健康信息。三是當共享組織根據(jù)當局的授權(quán)行事或者為了公共衛(wèi)生活動依照與公共衛(wèi)生當局的合同行事之時。除了法律要求的披露外，通常必須做出合理的努力，將被披露給公共衛(wèi)生當局的個人受保護健康信息限制在實現(xiàn)公共衛(wèi)生披露預(yù)期目的所需的最低限度之內(nèi)[22]。

2 加拿大健康信息保護與互通共享的法制概況

2.1 健康信息保護的立法概況

第一，總體上，加拿大立法成績斐然，聯(lián)邦、十個省和三個地區(qū)均制定了保護個人信息的法律[23]。

第二，規(guī)范公共部門的《隱私法》《信息獲取法》與規(guī)范私營部門的《個人信息保護和電子文件法》（PIPEDA）共同構(gòu)建了全面的聯(lián)邦數(shù)據(jù)保護制度，并貫徹了公平信息實踐原則[24]。

《隱私法》和《信息獲取法》于1983年實施[25]。一方面，《隱私法》在于保護由政府機構(gòu)保存的個人健康信息隱私，并賦予個人訪問權(quán)和更正權(quán)。根據(jù)該法，未經(jīng)個人同意，政府機構(gòu)原則上不能披露個人信息，其例外情形包括：為了實現(xiàn)政府機構(gòu)獲取、匯集信息的目的和用途；為了實現(xiàn)國會法案及其條例中披露信息的目的；為了司法目的；為了執(zhí)法目的；為了履行加拿大政府以執(zhí)法或合法調(diào)查為目的的協(xié)議；為了協(xié)助個人解決問題而將相關(guān)個人的信息披露給國會議員；為了審計目的披露給指定組織或個人；為了存檔目的披露給加拿大國家圖書檔案館；為了研究、統(tǒng)計目的，加拿大國家圖書檔案館可以根據(jù)法規(guī)將其保管的信息披露給任何組織和個人；為了研究、統(tǒng)計目的，不披露可識別個人信息就無法實現(xiàn)目的，并且已獲取不會存在后續(xù)披露的書面保證；為了研究或確認原住民的要求、爭論或不滿；為了確定某個人，并讓該人履行對加拿大女王陛下的債務(wù)或?qū)崿F(xiàn)對加拿大女王陛下的債權(quán)；政府機構(gòu)負責人認為，披露所帶來的公共利益明顯大于可能造成的隱私侵害或者披露顯然會令與信息有關(guān)的個人受益[26]。另一方面，《信息獲取法》旨在通過賦權(quán)人們獲取由聯(lián)邦政府機構(gòu)控制且應(yīng)公開的記錄，強化聯(lián)邦機構(gòu)的問責制和透明度，促進社會開放和民主。政府機構(gòu)負責人能夠披露個人信息的情形包括：與該信息有關(guān)的個人同意披露；信息已公開；依據(jù)《隱私法》第8條進行的披露[27]。

2000年《個人信息保護和電子文件法》的特點在于：一是明確界定“個人健康信息”的含義。其中，信息原生者包括了自然人和死者，信息內(nèi)容包括身體健康信息和精神健康信息。二是規(guī)定個人的生命、健康、安全的位階優(yōu)于個人的信息。三是確立同意制度，要求收集、使用、披露個人信息均須獲得個人同意。對于敏感信息，私營組織須獲取明示同意，而不敏感信息則可適用默示同意。四是確定個人信息保護的期限，在個人死后已滿20年與個人信息檔案建立已滿100年之中，以期限較短者為準。五是規(guī)定當省級立法對收集、使用和披露個人信息的要求與該法實質(zhì)上相似時，適用省級立法[28]。

第三，在省一級，由于加拿大大多數(shù)醫(yī)療保健問題由省政府管理，因此更加重視在省一級制定法律[29]。例如，曼尼托巴省1997年通過《個人健康信息法》，薩斯喀徹溫省1999年通過《健康信息保護法》，艾伯塔省《健康信息法》和安大略省《個人健康信息保護法》分別于2001年和2004年生效。四個法案具有相似目的：保護個人健康信息隱私；訪問和共享健康信息以便提供衛(wèi)生服務(wù)與管理衛(wèi)生系統(tǒng)；確立收集、使用和披露個人健康信息的規(guī)則；賦予個人訪問和更正其醫(yī)療檔案的權(quán)利；確立救濟措施；規(guī)定對根據(jù)本法做出的決定進行獨立審查。四個法案均適用于可識別的個人健康信息，包括精神健康信息、身體健康信息和基因信息。四個法案要求醫(yī)師、藥劑師、地區(qū)衛(wèi)生局、醫(yī)學(xué)實驗室、特殊護理中心、醫(yī)院、精神衛(wèi)生保健設(shè)施和救護車等必須遵守收集、使用、披露、保管和處置的規(guī)定，同時確保個人健康信息的安全性、秘密性、準確性和完整性[30]。

2.2 健康信息互通共享的現(xiàn)狀

在互操作方面，成立于2001年的Infoway是聯(lián)邦政府資助的獨立性非營利組織，旨在攜手合作伙伴共同在加拿大全境推進數(shù)字健康[31]。目前，十省三區(qū)均已創(chuàng)建可互操作的電子健康檔案（iEHR）系統(tǒng)，iEHR中的信息來自省或地區(qū)的數(shù)據(jù)庫以及初級保健、公共衛(wèi)生、醫(yī)院和其他電子系統(tǒng)。實驗室結(jié)果、藥物、診斷圖像、臨床報告和免疫檔案由iEHR存儲和共享[32]。

在2014—2015年加拿大臨床互操作磋商會上，Infoway發(fā)現(xiàn)數(shù)據(jù)共享協(xié)議（Data Sharing Agreements，簡稱DSAs）是公認的難題，可能會造成數(shù)字健康計劃延遲實施。2016年Infoway主持召開圓桌會議，來自全國的專家分別從臨床醫(yī)生、法律人士、行政人員和供應(yīng)商的角度討論DSAs，認為DSAs遭遇的挑戰(zhàn)包括：隱私法及其對DSAs的要求具有復(fù)雜性；眾多機構(gòu)參與的衛(wèi)生服務(wù)系統(tǒng)具有復(fù)雜性；DSAs的協(xié)商和確定所需時間長；常變的衛(wèi)生服務(wù)環(huán)境需要頻繁審查和修訂DSAs；缺乏對某個DSA中必備條款的理解；缺乏關(guān)于DSAs的總體框架和綜合方案；DSAs的開發(fā)成本高，DSAs所需活動的負擔重[33]。

2.2.1 2016年圓桌會議的主要成績[33]

（1）展示數(shù)據(jù)共享的三種模式

立法模式。在魁北克省，《健康信息共享法案》[34]的關(guān)鍵內(nèi)容包括：建立健康信息共享體系，共享范圍包括在初級醫(yī)療服務(wù)和連續(xù)性醫(yī)療服務(wù)中必不可少的健康信息。衛(wèi)生和社會服務(wù)部長的重要職責為：建立和維護信息資產(chǎn)；任命衛(wèi)生和社會服務(wù)網(wǎng)絡(luò)信息官員；確立應(yīng)用健康信息庫的臨床領(lǐng)域；建立并維護電子處方藥管理系統(tǒng)；基于研究和統(tǒng)計目的向特定實體披露不可識別的健康信息；將健康信息庫的運營管理委托給運營經(jīng)理。推定個人同意通過魁北克健康檔案發(fā)布其個人健康信息，表示拒絕發(fā)布臨床健康信息的情形除外。

總體上，《健康信息共享法案》要求達成協(xié)議的條款包括已生效和尚未生效的條款。其中，已生效條款的內(nèi)容包括：部長有權(quán)力提供各種技術(shù)媒介的安裝、維護、用戶支持和信息資源管理服務(wù)，以及信息資產(chǎn)的設(shè)計、實施和采購服務(wù)。部長可以通過協(xié)議將全部或部分權(quán)力授予衛(wèi)生與社會服務(wù)網(wǎng)絡(luò)中的機構(gòu)、實體和個人。部長將臨床領(lǐng)域的健康信息庫的運營管理委托給運營經(jīng)理，應(yīng)與該經(jīng)理簽訂書面協(xié)議。當運營經(jīng)理將服務(wù)委托給第三人時，必須有授權(quán)書或書面合同；在授權(quán)書和合同中，要求確保信息的安全性和機密性，信息僅用于執(zhí)行任務(wù)或合同，任務(wù)結(jié)束或合同期滿后不再保留信息；在授予任務(wù)或簽訂合同之前，應(yīng)獲得第三人的書面保證，保證為健康信息提供與本法相當?shù)谋Ｗo；在信息發(fā)布前，從接受信息的任何人那里獲得書面保密協(xié)議。部長將臨床注冊、拒絕登記、電子處方管理系統(tǒng)、實體登記等事項的運營管理委托給運營經(jīng)理的，應(yīng)與該經(jīng)理簽訂書面協(xié)議。部長在必要時可以通過書面協(xié)議，將臨床領(lǐng)域健康信息庫中的健康信息發(fā)布給公共衛(wèi)生主管，以及將在臨床領(lǐng)域健康信息庫或電子處方管理系統(tǒng)中的健康信息發(fā)布給魁北克醫(yī)學(xué)院和魁北克藥房。另外，尚未生效的106條要求根據(jù)該條發(fā)布的任何信息必須以書面協(xié)議為準，該條內(nèi)容是：在不能識別某個特定的人時，部長可以將臨床領(lǐng)域健康信息庫中的健康信息（唯一標識號除外）發(fā)布給魁北克統(tǒng)計研究所、魁北克國家公共衛(wèi)生研究所、國家衛(wèi)生與社會服務(wù)高級研究所、信息訪問委員會授權(quán)的人（此人基于在健康和社會服務(wù)領(lǐng)域中的學(xué)習、研究或統(tǒng)計目的而使用信息）。

標準化協(xié)議模式。在薩斯喀徹溫省，eHealth公司負責開發(fā)和運行本省的電子健康檔案，為避免開發(fā)多個DSAs，eHealth與12個區(qū)域衛(wèi)生局、衛(wèi)生部之間簽訂了一份標準化主數(shù)據(jù)共享協(xié)議，eHealth成為數(shù)據(jù)受托人。此外，在衛(wèi)生部或eHealth向已授權(quán)醫(yī)療組織披露個人健康信息之前，這些組織必須書面同意遵守eHealth批準的標準化政策（此時政策充當完整協(xié)議的角色）。

多樣化協(xié)議模式。安大略省已開發(fā)了多種相關(guān)協(xié)議的模板。其中，電子病歷協(xié)議包括以下文件：電子健康服務(wù)協(xié)議、EHR訪問服務(wù)計劃、EHR實踐協(xié)議、EHR貢獻者協(xié)議。

（2）總結(jié)數(shù)據(jù)共享協(xié)議的共同內(nèi)容

Infoway總結(jié)出多種數(shù)據(jù)共享協(xié)議的共同內(nèi)容，摘要如下：協(xié)議各方的名稱；初步說明；共享或交換個人信息的法定職責或義務(wù)：根據(jù)協(xié)議收集個人信息的權(quán)力；信息披露是否符合原始收集目的；根據(jù)協(xié)議披露個人信息的權(quán)力；基于研究目的之披露，聲明已符合要求；公共機構(gòu)或其他組織簽訂協(xié)議的權(quán)力；協(xié)議目的；研究目的（如需適用）；用于共享的個人信息的識別；個人信息的使用；個人信息的披露；通知（如何通知個人或受影響的群體）；個人信息共享/交換的機制；個人信息的準確性和完整性；更正個人信息的要求；個人信息的安全性（保密的安全措施）；個人信息的保留和處置（共享信息應(yīng)保留多長時間，之后再如何處理）；雙方的責任；不當使用或披露的后果；審計；協(xié)議的開始和終止；協(xié)議的修改；其他一般條款（如財務(wù)、法律變更通知、轉(zhuǎn)讓、不得違反隱私法）；簽名。

2.2.2 加拿大信息專員的意見[35]

各級政府都在尋求利用技術(shù)為公民服務(wù)，人們卻擔心擴展信息共享會導(dǎo)致在知之甚少的情況下被收集、使用、披露更多的個人信息。鑒于此，加拿大信息和隱私專員、監(jiān)察員呼吁各級政府在開展信息共享工作時，通過以下方式尊重個人隱私和信息獲取權(quán)：

第一，對如何實施信息共享計劃保持公開和透明的態(tài)度：收集和共享哪些信息以及出于什么目的；將公開什么信息，向誰公開以及出于什么目的；個人可以咨詢問題以及獲知相關(guān)程序如何運行。

第二，通過設(shè)置相關(guān)程序，以便公民能夠更正個人信息、查詢個人信息被使用和披露的情況，從而尊重公民的權(quán)利。

第三，積極主動地盡早進行評估，幫助識別可能的隱私風險并確定減輕風險的方法。

第四，確保所有參與實體直接履行或以合同方式履行信息獲取與隱私法律中所規(guī)定的義務(wù)。

第五，采取負責任的方式實施信息共享計劃：共享范圍是滿足計劃所需的最少量信息；實施所有合理和必要的保障措施；制定并遵循政策和程序、應(yīng)用風險評估工具、簽訂正式協(xié)議和合同、設(shè)置隱私泄露報告條款；對政策和程序提供定期和持續(xù)的培訓(xùn)；定期審查和評估信息共享計劃，以確保繼續(xù)滿足相關(guān)原則和法律要求。

第六，確保信息和隱私監(jiān)督機構(gòu)具有權(quán)力，以便通過咨詢、教育、執(zhí)法和審計的方式進行有效、有意義的監(jiān)督。

2.2.3 新冠肺炎疫情期間的虛擬護理[36]

在新冠肺炎疫情期間，在與衛(wèi)生部和司法管轄區(qū)協(xié)商后，Infoway確定了在最短時間內(nèi)產(chǎn)生最大影響的三個優(yōu)先投資領(lǐng)域：第一，虛擬護理（virtual care）。包括電子訪問和電子監(jiān)控，如視頻訪問、安全傳遞消息和遠程患者監(jiān)控。第二，在線心理健康服務(wù)和工具。許多加拿大人因自我隔離及經(jīng)歷經(jīng)濟困難，安全獲得精神保健的能力特別重要，在線解決方案可幫助他們在家中實現(xiàn)安全連接。第三，虛擬會審和患者訪問新冠病毒測試結(jié)果。

3 我國健康信息保護與互通共享的法制現(xiàn)狀

3.1 國家政策的立場

在我國，2016年《國務(wù)院辦公廳關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》[37]要求安全為先、保護隱私，全面建成互通共享的四級人口健康信息平臺。2018年國家相繼出臺了三個重大指導(dǎo)性政策文件：4月發(fā)布《國務(wù)院辦公廳關(guān)于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》[38]，提出加快實現(xiàn)醫(yī)療健康信息互通共享，建立完善個人隱私信息保護制度。7月，《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法（試行）》[39]明確規(guī)定對我國境內(nèi)所產(chǎn)生的健康醫(yī)療數(shù)據(jù)進行管理和開發(fā)利用的基礎(chǔ)是保障公民知情權(quán)、使用權(quán)和個人隱私。12月，國家衛(wèi)生健康委《關(guān)于加快推進電子健康卡普及應(yīng)用工作的意見》[40]要求電子健康卡實現(xiàn)全國互通共享?？梢姡覈鴮】滇t(yī)療數(shù)據(jù)應(yīng)用的基本政策是“信息保護”和“信息共享”兩手抓，前者是后者的基礎(chǔ)和前提。

3.2 健康信息保護與共享的法制概況

3.2.1 健康信息保護概況

法律。我國已發(fā)布《個人信息保護法（草案）》，并且《民法典》《網(wǎng)絡(luò)安全法》《刑法》三大實體法形成了保護個人信息的法律網(wǎng)。有學(xué)者提出，公平信息實踐體現(xiàn)在兩個方面，一是對個體進行信息賦權(quán)，二是對信息控制者施加責任。《網(wǎng)絡(luò)安全法》繼承了公平信息實踐原則[4]96-110。事實上，《民法典》也彰顯了公平信息實踐原則，如第1035條明確規(guī)定了合法性原則、正當性原則、必要性原則、不得過度處理原則、知情同意原則、安全性原則，第1037條規(guī)定了查閱權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)、刪除權(quán)，第1038條、1039條規(guī)定了信息處理者的保密義務(wù)、安全義務(wù)、補救義務(wù)和報告義務(wù)。盡管如此，由于個人健康信息高度敏感，上述法律和草案提供的保護仍較為薄弱：

一方面，未界定“個人健康信息”的概念?！皞€人健康信息”是國際上通行的法律術(shù)語，也是我國《民法典》《基本醫(yī)療衛(wèi)生與健康促進法》《旅游法》相關(guān)條款明確表達的術(shù)語，是“個人信息”的下位概念。然而，現(xiàn)行法律以及《個人信息保護法（草案）》并沒有界定“個人健康信息”的內(nèi)涵與外延。例如，美國的信息原生者為胚胎、胎兒、自然人和死者，我國法律明確規(guī)定是自然人，顯然遺漏了胚胎、胎兒和死者客觀存在的健康信息。此外，美國、加拿大明確規(guī)定了個人健康信息的保護期限，我國法律對此沒有做出規(guī)定。實際上，法律概念的欠缺不利于周全保護全部信息原生者的健康信息，不利于政府部門規(guī)范使用信息，不利于醫(yī)療機構(gòu)、醫(yī)藥企業(yè)等合法應(yīng)用信息，不利于司法和執(zhí)法部門進行認定。

另一方面，未構(gòu)建信息原生者、政府和第三方共贏的規(guī)則體系。個人健康信息通常由醫(yī)療衛(wèi)生機構(gòu)以及與健康相關(guān)的機構(gòu)、實體等在職業(yè)行為中進行收集和處理。個人健康信息具有巨大的社會價值，有助于公共衛(wèi)生、醫(yī)療、教育和科研事業(yè)發(fā)展，有助于政府部門履行相應(yīng)職能，有助于醫(yī)藥衛(wèi)生企業(yè)的研發(fā)和經(jīng)營。在政府、信息原生者和第三方（醫(yī)療機構(gòu)、科研機構(gòu)、商業(yè)實體等）共存的格局下，保護個人健康信息必須兼顧公共利益和第三方利益，現(xiàn)行法律和草案缺乏個人利益、公共利益和第三方利益良性互動的具體規(guī)則體系。

行政法規(guī)?！度祟愡z傳資源管理條例》主要管制基因信息，不適用其他健康信息。

規(guī)章?！秲和瘋€人信息網(wǎng)絡(luò)保護規(guī)定》沒有針對兒童健康信息的特別規(guī)定。

規(guī)范性文件?！度丝诮】敌畔⒐芾磙k法（試行）》《電子病歷應(yīng)用管理規(guī)范（試行）》《醫(yī)療機構(gòu)病歷管理規(guī)定（2013年版）》的主要目的都是規(guī)范相關(guān)管理工作，并非保護患者的個人健康信息，因此缺乏具體的保護規(guī)則。

3.2.2 健康信息互通共享概況

在健康信息共享方面，我國尚未出臺專門的法律。《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法（試行）》規(guī)定國家衛(wèi)生健康委負責規(guī)劃、組織制定全國健康醫(yī)療大數(shù)據(jù)標準[39]。隨后，國衛(wèi)辦發(fā)布專門的政策性文件《關(guān)于加快推進電子健康卡普及應(yīng)用工作的意見》旨在形成個人全生命周期電子健康記錄，促進跨部門、跨機構(gòu)、跨區(qū)域的數(shù)據(jù)共享[41]。

此外，國家衛(wèi)生健康委統(tǒng)計信息中心發(fā)布了《電子健康卡服務(wù)應(yīng)用指南》（征求意見稿），有三點需要注意：第一，居民自愿參與電子健康卡系統(tǒng)，未規(guī)定居民能否申請退出；未規(guī)定醫(yī)療機構(gòu)能否自愿參與和退出該系統(tǒng)。第二，患者同意后，醫(yī)生才能查閱患者的病歷資料。但是，沒有關(guān)于撤回同意的規(guī)定，不符合《個人信息保護法（草案）》設(shè)置“撤回同意”條款的初衷，也不符合同意制度的精神。第三，醫(yī)生可查閱患者的全部電子病歷資料，并非限于患者當次診治所必需的過往病歷資料，即沒有限制醫(yī)生查閱電子病歷的范圍。這不符合《民法典》第1035條關(guān)于處理個人信息應(yīng)當遵循的必要性原則和不得過度處理原則。

3.2.3 新冠肺炎疫情期間的信息保護與共享政策

中央網(wǎng)信辦發(fā)布《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，此為重大傳染病疫情背景下個人健康信息的保護與共享的指導(dǎo)性文件，主要內(nèi)容為：第一，信息處理者應(yīng)當依法獲得授權(quán)，實施收集、使用行為。第二，信息收集以最小范圍為原則。第三，個人信息不得用于防控防治以外的目的。第四，未經(jīng)被收集者同意，不得公開可識別信息，可公開聯(lián)防聯(lián)控工作所需且已脫敏的信息。第五，實施嚴格管理和技術(shù)防護。第六，利用大數(shù)據(jù)支持聯(lián)防聯(lián)控[42]。

4 比較與啟示

4.1 比較

中國、美國、加拿大的個人信息保護立法建立在公平信息實踐的基礎(chǔ)之上，這是三個國家立法根據(jù)的相同之處。不同之處在于，類似于美國HIPAA、加拿大省級個人健康信息保護法的專門法律，我國尚未出臺。再者，我國《個人信息保護法（草案）》也沒有制定個人健康信息的專門條款，可以預(yù)測正式通過的《個人信息保護法》既不太可能增設(shè)專節(jié)規(guī)定，也不會出臺多個專門條款來形成規(guī)則體系。因此，當前我國法制還無法為個人健康信息提供較為周全的保護。

個人健康信息共享覆蓋多個利益相關(guān)者，所面臨的法律關(guān)系也較復(fù)雜。在美國，一方面通過《21世紀治愈法案》將互操作性作為重要目標；另一方面美國衛(wèi)生和公共服務(wù)部積極執(zhí)行法案的要求，廣泛征求公眾對TEFCA的意見，遴選非營利組織作為協(xié)調(diào)實體推進適用于全國的共同協(xié)議。在加拿大，聯(lián)邦政府資助的非營利組織負責數(shù)字健康工作，數(shù)據(jù)共享協(xié)議是互操作性的難題，解決此難題必須收集專業(yè)、廣泛的意見和建議。在省一級，代表性的共享模式為法律模式和協(xié)議模式。我國在健康信息共享方面，國家政策態(tài)度明確，但是相較于信息技術(shù)，專門立法已滯后，亟待加快開展針對性強的立法工作。

4.2 啟示

健康信息的保護與共享，是多個國家和地區(qū)在信息交互時代必須面對的難題，而在保護個人健康信息的基礎(chǔ)上促進互通共享，也是法治國家和地區(qū)的共識。對于我國而言，現(xiàn)實需求更為緊迫，我國人口眾多，健康醫(yī)療數(shù)據(jù)龐大，其對個人健康醫(yī)療、公共衛(wèi)生、政府公務(wù)、科研、統(tǒng)計、教學(xué)、健康醫(yī)療服務(wù)業(yè)等具有重大使用價值，覆蓋國家利益、公共利益和私人利益，必須在合法安全的前提下進行處理，這也是《網(wǎng)絡(luò)安全法》《民法典》《刑法》的立場。

由于個人健康信息兼具高度敏感性和實用性，必須以法律或行政法規(guī)的形式量身定制規(guī)則體系，才能顯示我國對健康醫(yī)療數(shù)據(jù)的審慎態(tài)度，不僅能推進境內(nèi)健康信息的互通共享，而且能提升個人信息保護水平，進而吸引境外健康信息流入我國，這對提升我國的健康數(shù)據(jù)治理水平和能力具有重大意義。

在美國和加拿大，保護個人健康信息的法律早已出臺，隨著互操作性全球浪潮來襲，健康信息共享的法律也已相繼出臺。在我國，《個人信息保護法》即使出臺，對個人健康信息保護與共享的規(guī)范作用也會是有限的。因此，制定《健康信息保護與共享法》或者《健康信息保護與共享條例》符合我國現(xiàn)實需求。我國現(xiàn)階段可以考慮在同一部法律或者行政法規(guī)之中，解決保護與共享的平衡問題。在制定規(guī)則體系時，繼續(xù)以全球公認的公平信息實踐原則為指引，借鑒代表性國家和地區(qū)先進的法律概念、保護與共享制度、問責制。賦權(quán)國家衛(wèi)生健康委廣泛征求社會各界意見，組織制定利益相關(guān)方之間的共享協(xié)議模板。

（來稿時間：2021年4月）