健康醫(yī)療大數(shù)據(jù)是國家重要的基礎性戰(zhàn)略資源。隨著健康醫(yī)療大數(shù)據(jù)的發(fā)展與應用,相應的安全保障工作已成為影響整體產(chǎn)業(yè)布局和發(fā)展的關鍵環(huán)節(jié)。雖然我國尚未制定專門的政策法規(guī),但從行業(yè)發(fā)展的趨勢來看,通過立法保障我國公民的健康醫(yī)療信息安全是產(chǎn)業(yè)發(fā)展的必經(jīng)之路,更是產(chǎn)業(yè)健康、可持續(xù)發(fā)展的重要保障。本文結合國外健康醫(yī)療信息安全保護立法經(jīng)驗,對我國健康醫(yī)療信息安全保護面臨的主要問題進行梳理,并提出了思考與建議。
2016年以來,健康醫(yī)療大數(shù)據(jù)熱潮席卷全球。健康醫(yī)療大數(shù)據(jù)是大量健康醫(yī)療信息的集合,其發(fā)展需要健康醫(yī)療信息的共享與開放。在此過程中,匯聚的信息越多,整理分析的價值越大,對信息安全保護的需求也越高。目前,我國還未針對健康醫(yī)療信息安全保護出臺專項的政策法規(guī),相關法規(guī)分布在各項專項政策之中無法形成統(tǒng)一體系。隨著健康醫(yī)療信息的價值不斷加大,我國健康醫(yī)療信息安全保護面臨重大挑戰(zhàn)。
一 健康醫(yī)療信息的概念界定
我國目前尚未制定健康醫(yī)療信息的權威定義。健康醫(yī)療信息屬于個人信息的一部分,2014年出臺的《人口健康信息管理辦法(試行)》(國衛(wèi)規(guī)劃發(fā)〔2014〕24號)提出人口健康信息”的概念,并將其定義為“指依據(jù)國家法律法規(guī)和工作職責,各級各類醫(yī)療衛(wèi)生計生服務機構在服務和管理過程中產(chǎn)生的人口基本信息、醫(yī)療衛(wèi)生服務信息等人口健康信息”。2016年,國務院出臺了《國務院辦公廳關于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應用發(fā)展的指導意見》(國辦發(fā)〔2016〕47號),文件并未對健康醫(yī)療數(shù)據(jù)做出明確的定義,文件中提出要推動非醫(yī)療衛(wèi)生計生服務機構產(chǎn)生的數(shù)據(jù)與人口健康信息進行整合。隨著信息技術與醫(yī)療健康領域的不斷融合,健康醫(yī)療信息所涉及的外延范圍和內(nèi)涵定義都在不斷發(fā)生變化。
二 國外現(xiàn)狀
目前,全球已有近三十多個國家和地區(qū)在健康醫(yī)療信息安全保護方面制定了法律。從立法模式上來看,健康醫(yī)療信息安全保護立法模式共有分散立法和統(tǒng)一立法兩種模式,分別以美國和歐盟為代表。
1 美國現(xiàn)狀
作為典型的普通法國家,美國司法體系以數(shù)目眾多、內(nèi)容全面而聞名世界。作為醫(yī)療信息化領域開發(fā)與應用的領跑者,美國以隱私權作為健康醫(yī)療信息保護的立法基礎,在國家層面實行分散立法模式,先后出臺多部法律(如表1所示)。
HIPAA法案是美國健康醫(yī)療信息安全保護體系的核心。自1996年頒布以來,經(jīng)過20多年的修訂與完善,HIPAA及其補充法案已成為一套相對完善、系統(tǒng)并具備較強可操作性的健康醫(yī)療信息保護專門法。法案對于健康醫(yī)療信息共享和開放過程中,相關主體的定義、范圍、責任等細節(jié)都做出了詳細的規(guī)定。
(1)誰必須履行隱私保護義務
HIPAA將必須履行隱私保護義務的主體稱為受限實體(Covered Entities,簡稱CE),其包括:
● 醫(yī)療保險(Health Plans):社會保險部門、商業(yè)保險公司、健康管理機構(Health Management Organization,HMO)、公司保險計劃;
● 醫(yī)療健康服務提供方(Health Care Provider):醫(yī)生、醫(yī)療機構、養(yǎng)老院、醫(yī)學檢驗檢查機構、藥店;
● 醫(yī)療健康清算機構(Health Care Clearinghouse):從其他機構得到信息后轉化為標準信息的相關團隊;
● 商業(yè)合作伙伴(Business Associate,簡稱BA):醫(yī)療健康服務中的相關方,包括軟件開發(fā)商、硬件設備供應商、租賃公司、研究機構等。
(2)哪些信息需要受到隱私保護
HIPAA法案規(guī)定,受限實體以任何形式(電子、紙質、口頭等)持有或傳輸?shù)?ldquo;個人可辨識健康信息”,都屬于條例保護的范疇,并將其統(tǒng)稱為受保護健康信息(Protected Health Information,簡稱PHI),其中通過網(wǎng)絡傳輸?shù)?、儲存于硬盤中的、光盤上的等相關存儲、傳輸形式的受保護健康信息定義為EPHI(Electronic Protected Health Information)。
HIPAA明確規(guī)定以下18種PHI收到保護:姓名、地址、社會保障密碼、生日、醫(yī)療記錄編碼、電話號碼、電子郵件地址、駕照號碼、全部臉部相片、傳真號碼、健康保險編碼、個人賬戶密碼、銀行賬戶號碼、證書/執(zhí)照編碼、設備標示、網(wǎng)絡統(tǒng)一資源定位(URLs)、IP地址、生物標示、任何其他唯一可辨別數(shù)字、特征或編碼。
(3)什么情況之下允許使用隱私信息
HIPAA提出了使用和披露PHI時必須取得個人的書面授權,經(jīng)過多輪的修改和補充,最新版的HIPAA明確提出在以下六種情況下允許使用PHI:
● PHI當事人自己需要從受限實體處調(diào)取隱私信息;
● 受限實體為PHI當事人提供醫(yī)療健康服務及相應財務支付服務;
● 征得當事人同意,或當事人無法同意的情況之下,使用PHI對其最有益;
● 在采取適當信息保護措施的前提下,對PHI進行可控的使用或披露;
● 涉及到國家安全或社會公眾利益;
● 去掉可辨識身份的信息后,用于研究、診療、提供公共服務等目的。
HIPAA還規(guī)定如授權內(nèi)容發(fā)生變更或授權過期,需對信息所有人進行再次授權,授權內(nèi)容包括:
● 授權主體:具體使用PHI的CE范圍;
● 授權形式:必須書面授權,包括線下紙質簽名或線上電子簽名;
● 授權內(nèi)容:信息接收方名稱、披露具體信息的內(nèi)容、信息披露目的、不授權會帶來的后果、授權的有效日期。
(4)隱私信息當事人擁有哪些權利
HIPAA法案中未對PHI的所有權歸屬問題做出明確說明,但HIPAA的隱私保護條例中,法律賦予PHI當事人對PHI的控制權,這種控制權主要從以下幾個方面的體現(xiàn):
● 獲取權:當事人可以要求查看或獲取一份個人的病歷記錄及其他健康信息的復印件,復印件必須在30日內(nèi)交付;
● 修改權:當事人可要求在個人PHI中更改或添加相關信息,受限實體必須在60天內(nèi)對信息進行更新;
● 知情權:當事人可要求受限實體提供個人PHI被調(diào)閱的全部記錄;
● 選擇共享權:當事人可要求選擇不向特定的人、團體或機構共享;
● 投訴權:當事人發(fā)現(xiàn)個人PHI未被進行保護時,可向該機構的信息安全保護部門或政府專門機構進行投訴。
(5)受限實體需要履行哪些義務
為方便落實法案中提出的相關要求,同時也為更好的促進醫(yī)療信息化的發(fā)展,HIPAA規(guī)定CE及BA在EPHI交換過程中需履行以下原則:
● 安全保護原則:PHI應被給予合理的保護,以確保其保密性,完整性和可及性;
● 事故通知原則:涉及信息采集或變更時,需向所有人出示《隱私權政策通知》,說明共享方式、所有人權利、保護PHI的法律責任人、使用途徑、投訴方式。如有信息泄露事故發(fā)生,需馬上通知信息當事人,如泄露范圍超過500人,則需向政府通報;
● 可更正原則:應向PHI所有者提供可隨時修改個人健康醫(yī)療信息的途徑;
● 公開和透明原則:與PHI或EPHI相關的政策與流程應完全公開透明;
● 最低限度必要準則:因特定目的而進行的PHI采集、使用或披露行為,應將使用范圍控制在最小范圍內(nèi);
● 責任性原則:以原則應通過恰當?shù)谋O(jiān)管手段被確保執(zhí)行。
(6)受限實體需要履行哪些義務
美國法律中法案對于非法使用或披露PHI的處罰相當嚴苛。目前處罰方式主要分為以下四類:
● 受限實體符合HIPAA法案的相關要求,但在無意識情況下造成PHI泄露,CE需要承擔單條泄露信息100-50000美金的罰款,罰金的上限為150萬美金每年;
● 受限實體符合HIPAA法案的相關要求,但發(fā)生故意泄露PHI的行為,CE需要承擔單條泄露信息1000-50000美金的罰款,罰金的上限為150萬美金每年;
● 不符合HIPAA的相關要求,但在無意識情況下造成PHI泄露,CE需承擔單條泄露信息10000-50000美金的罰款,罰金的上限為150萬美金每年,此外責任人還需承擔1-5年有期徒刑;
● 不符合HIPAA的相關要求,并發(fā)生故意泄露PHI的行為,CE需要承擔單條泄露信息50000美金的罰款,罰金的上限為150萬美金每年,此外責任人還需承擔5-10年有期徒刑。
(7)美國健康醫(yī)療信息保護體系的優(yōu)勢與劣勢
美國的分散立法模式從嚴格意義上來講是在政府立法引導下的行業(yè)自律,即采用由下而上的方式進行開展,其優(yōu)勢在于:一方面,信息技術仍在快速發(fā)展之中,采取分散立法的方式可以避免國家過早立法而限制技術應用的現(xiàn)象,也能更好的配合技術發(fā)展的趨勢;另一方面,健康醫(yī)療服務過程中不同環(huán)節(jié)對信息的收集和處理也存在區(qū)別,行業(yè)自律分散立法可增強個人健康醫(yī)療信息保護的針對性。但是,美國的這種模式也存在較為明顯的弊端。例如投訴與爭端解決機制相對不完善、缺乏強制執(zhí)行力等問題也表現(xiàn)的比較明顯。尤其是針對個人信息主體權利的保護仍需進一步完善。
2 歐盟現(xiàn)狀
歐盟主張以立法模式保護個人信息。這種做法的目的是通過統(tǒng)一立法,將自然人對其個人信息享有的權利變?yōu)橐豁椃杀U系幕緳嗬?。歐盟現(xiàn)有的相關法律包括1995年制定的《個人信息處理相關的信息保護及此類數(shù)據(jù)自由流動的指令》(簡稱《個人信息保護指令》,已廢除)7、2016年通過的《一般信息保護條例》8(以下簡稱《條例》)、《網(wǎng)絡與信息系統(tǒng)安全指令》9等。除上述統(tǒng)一立法之外,歐盟內(nèi)部各成員國也可基于自身情況制定國內(nèi)法。但從個人健康信息保護體系的整體來看,歐盟各國都需遵守《條例》的相關規(guī)定,并在2018年5月25日正式實施前將其轉化為國內(nèi)法。
相對于1995年制定的《個人信息保護指令》,《條例》通過制定詳細的個人信息管理規(guī)范,確保信息安全保護責任主體在實施保護措施的可操作性。同時《條例》的法律等級更高,相關法條加大了對個人健康信息的保護力度和違規(guī)處罰力度。具體內(nèi)容包括以下幾個方面:
(1)法律關系范圍不再嚴格按照地域劃分
《條例》擴大了歐盟健康醫(yī)療信息安全保護法規(guī)的適用范圍,并在原有的屬地原則的基礎上增加了屬人原則。根據(jù)最新要求,只要在提供產(chǎn)品或者服務的過程中(不論是否收費)處理了歐盟境內(nèi)個體的個人信息,將同樣適用于《條例》。
(2)明確界定何為隱私信息
《條例》將隱私信息定義為:已識別或可識別自然人身份的任何信息,包括:能揭示個人的種族、政治傾向、宗教和哲學信仰。同時,《條例》還明確提出在未經(jīng)本人同意情況下,禁止收集、處理反映個人種族或民族起源、政治觀點、宗教/哲學信仰、是否是工會組織成員的信息、個人基因識別信息、生物信息或涉及健康、性生活或性取向的信息。
(3)要求處理個人信息必須有合法理由
《條例》規(guī)定了合法處理健康醫(yī)療信息的6種情況,即:
● 信息主體同意為特定目的處理其信息;
● 處理信息是為簽訂或履行合同所需的;
● 處理信息是為遵守法定義務所需的;
● 處理信息是為了保護信息主體或其他自然人的至關重要的利益;
● 處理信息是為了公共利益或行使政府授予的權力;
● 處理信息是為追求信息控制者的合理利益,但不得損害信息主體的利益。
(4)將信息保護作為企業(yè)處理信息的基本要求
《條例》規(guī)定企業(yè)和組織在對健康醫(yī)療信息進行操作時,必須記錄所有操作流程和步驟,以備政府和相關監(jiān)管機構檢查。當發(fā)生信息泄露時,《條例》要求公司及組織第一時間通知相關國家監(jiān)管機構,并將信息泄露的方式、渠道以及可能影響的范圍進行上報。如果信息泄露對信息所有者產(chǎn)生負面影響,公司或組織須立即通知信息所有者以便其采取必要措施消除影響。
(5)法律賦予信息主體相關權利
《條例》明確規(guī)定健康醫(yī)療信息的所有權歸信息主體個人所有,同時還對于信息主體的權利進行了明確的闡述,其中包括:
● 訪問權:信息主體可查看或獲取個人病歷記錄及其他健康信息的復印件;
● 知情利:信息控制者必須以清楚、簡單、明了的方式向個人說明其信息是如何被收集處理的;
● 反對權:始終有權隨時拒絕信息控制者基于其合法利益處理個人信息;
● 可攜權:信息主體可將其健康醫(yī)療信息從一個信息服務提供者處轉移至另外一個信息服務提供者;
● 刪除權:信息主體有權要求健康醫(yī)療信息控制者刪除其健康醫(yī)療信息。
(6)對信息泄露規(guī)定了嚴苛的罰款制度
相較于美國,歐盟的《條例》在信息泄露處罰方面更為嚴格,其中具體處罰措施分為兩檔:
● 處以1千萬歐元或者上一年度全球營收的2%,兩者取其高。
違法行為包括:沒有實施充分的IT安全保障措施,或者沒有提供全面的透明的隱私政策,沒有簽訂書面的信息處理協(xié)議等;
● 處以2千萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%,兩者取其高。
違法行為包括:無法說明如何獲得用戶的同意,違反信息處理的一般性原則,侵害信息主體的合法權利以及拒絕服從監(jiān)管機構的執(zhí)法命令等。
(7)歐盟健康醫(yī)療信息保護體系的優(yōu)勢與劣勢
歐盟的統(tǒng)一立法模式對于個人健康醫(yī)療信息起到更好的保護作用。其優(yōu)勢在于:1)將健康醫(yī)療信息作為公民基本權利的一部分,并在此基礎上明確信息主體對于信息的決定、變更、刪除等相關權利,有利于個人健康醫(yī)療信息的保護;2)統(tǒng)一立法可避免制度泛化,并通過設立統(tǒng)一的個人健康信息保護標準,建立信息共享與保障機制,促進信息的互聯(lián)互通;3)統(tǒng)一立法具有較強的執(zhí)行性,相關政策的執(zhí)行可由國家強制力保障實施,更容易得到普遍的遵從。雖然統(tǒng)一立法模式在某種程度上可能影響信息技術的應用,但從全球范圍來看部分國家選擇此種模式開展個人健康信息保護。
3 歐美比較
美國與歐盟在健康醫(yī)療信息安全保護體系構建有明顯的區(qū)別。這種區(qū)別主要源于二者在立法基礎、立法模式等方面都存在巨大差異。首先,在立法基礎方面。美國是以隱私權作為立法基礎,相關立法從保護個人隱私的角度出發(fā),不涉及個人隱私的信息并不在法律保護的范圍之內(nèi);而歐盟則以信息主體的權利為核心,立法的目的是保證信息主體的個人權利不被侵犯,其保護范圍比美國更為寬泛;其次,立法模式方面。美國強調(diào)以行業(yè)自律為主,輔以各項政府法規(guī);而歐洲則以統(tǒng)一立法為主,強調(diào)由政府對個人健康信息進行統(tǒng)一規(guī)范的保護。
美國與歐盟的健康信息保護措施有諸多相似之處。美國與歐盟在對于健康醫(yī)療信息保護的具體措施方面是殊途同歸,其中最主要的是二者都明確提出個人擁有對自己健康醫(yī)療信息的控制權,這種控制權主要體現(xiàn)在以下幾個方面:
● 個人有權獲得自己的個人健康醫(yī)療信息
√ 美國法律規(guī)定患者有獲得PHI的權利;
√ 歐盟法律規(guī)定信息主體可訪問個人的健康醫(yī)療信息。
● 個人有權修改自己的個人健康醫(yī)療信息
√ 美國法律規(guī)定患者有權修改PHI中的個人輸入信息;
√ 歐盟法律規(guī)定信息主體對個人信息享有修改權。
● 個人有權知曉授權單位披露、使用個人健康醫(yī)療信息的細節(jié)
√ 美國法律規(guī)定采集、使用PHI時必須提交授權書,并注明相關細節(jié);
√ 歐盟法律規(guī)定信息主體對個人健康醫(yī)療信息的使用情況享有知情權。
● 個人有權取消對個人健康醫(yī)療信息使用單位的授權
√ 美國法律規(guī)定患者可根據(jù)個人意愿選擇撤回授權書;
√ 歐盟法律規(guī)定信息主體對個人信息享有被遺忘權。
● 個人有權在不同醫(yī)療機構之間傳遞個人健康醫(yī)療信息
√ 美國法律規(guī)定患者有權下載和傳輸個人的健康醫(yī)療信息;
√ 歐盟法律規(guī)定信息主體享有個人健康醫(yī)療信息的可攜帶權。