论医疗信息化中的患者隐私权保护——以电子病历运用为视角
2014-12-04高玉玲
高玉玲
(皖南医学院 人文与管理学院,安徽芜湖 241002)
【学术视点】
论医疗信息化中的患者隐私权保护——以电子病历运用为视角
高玉玲
(皖南医学院 人文与管理学院,安徽芜湖 241002)
医疗信息化建设中,患者的隐私权保护面临新的挑战。具体表现为:医疗机构管理患者隐私信息的难度性增加、患者对其隐私信息的保护具有被动性、患者隐私侵权后果上具有人格和经济的双重性特征。应建立电子病历二次使用中的法律规制,在商业性使用中,应赋予患者对电子病历信息访问的控制权,同时要求医疗机构承担托管义务;在非商业性使用中,应建立披露规则,明确电子病历持有人的披露方式、披露范围和披露责任。
电子病历;共享;隐私权;访问权;披露
目前,世界各国都在采取一系列的措施来推进医疗信息化建设,美国就对电子病历、电子处方、电子信息交换使用提供了一些鼓励的法案,*参见 Ash JS,Sittig DF,Dykstra RH,et al. Categorizing the unintended sociotechnical consequences of computerized provider order entry. Int J Med Inform, 2007,76(Suppl 1):21-27.其正在建设全国性的电子健康信息基础设施,该设施将允许美国医疗卫生人员在美国的任何地方、任何时间都可以访问病人医疗数据资料。*参见 Kevin T. Fuji, Kimberly A. Galt.Pharmacists and Health Information Technology: Emerging Issues in Patient Safety. HEC Forum,2008,20(3): 259-275.医疗电子信息技术的使用,将带来一系列的法律和伦理问题,其中最主要的就是患者的隐私和安全问题。*参见 Goodman KW.Electronic health data and the challenges of medical confidentiality. J Fla Med Assoc,1997,84(8):494-497.尽管电子数据及网络化中的隐私权问题在我国较早地引起学者的关注,*该方面的论文主要有汤啸天:《网络空间的个人数据与隐私权的保护》,载《政法论坛》2000年第1期。但从法律角度研究电子病历使用中的患者隐私权保护的较少。本文以医疗信息建设中的电子病历为视角,拟对电子病历二次使用中的患者隐私权保障进行研究,以期对推进医疗信息化中的法律建设有所裨益。
一、电子病历使用下患者隐私权的法律保护面临的新挑战
“隐私权” 中的“私的权利”意指非经合法授权,任何人不得向他人传播或者向公众宣布关于他人的隐私信息。*参见马新彦、石睿:《论知识经济时代空间隐私权的侵权法启示——以美国侵权法空间隐私权保护为启示的研究》,载《法律科学》2010年第2期。在医疗信息时代,电子病历上患者个人信息是患者隐私权的重要内容,其中积极、正面的隐私信息使用构成侵权的情形较少,*参见 Fahey T.New Hampshire health providers oppose records bill.[2008-03-11].http://www.phiprivacy.net/?p=71.而负面的、消极的隐私信息往往可能对患者造成损害,构成隐私权侵害的情形较多。电子病历的网络传播使患者隐私权的法律保护面临着一些新挑战。
(一)医疗机构对患者隐私信息管制的难度增加
在采用电子病历的情况下,知情主体的多样化和复杂化增加了医院管理难度。
首先,提供病历支持技术的第三方商业实体的加入,改变了以往医院单一控制信息的局面。电子病历是以电子病历系统软件作为载体,以医生站、护士站等临床信息系统复合而成的数据库,该数据库的权利状况如何,法律中没有明确规定,但一般认为供应商对该系统软件享有知识产权,对该系统中生成的信息不享有知情权和转让权。*参见高玉玲:《电子病历视野下的医疗过错推定责任》,载《医学与法学》2012年第6期。但在实际生活中,供应商凭借技术优势具有实时访问电子病历的可能,且在提供指导性服务过程中也有偶然接触患者信息的可能。且不少医疗机构和销售商在签定电子病历软件买卖合同时,明确规定制造电子病历的商业实体可以实时访问数据库或独家享有访问数据库的权限,有的甚至规定电子病历数据归供应商所有。*参见沈建苗:《电子病历安全吗?》,载《计算机世界》2010年4月26日。
其次,在纸质病历时代,医疗信息以纸张作为载体,容易控制和管理,其一般只保存在一个地方,锁在专门的文件柜里,由专人管理,查阅和索取必须经过医疗机构同意。而电子病历则被储存在能够远程控制的计算机服务器里,电子病历的采用改变了医疗信息传播和控制的路径,使未经授权的访问更加容易,同种类的电子病历同时能为多个使用者使用,不仅一个地区甚至不同地区的人员都可以通过远程方式进行访问,网络的开放性特征加大了医院的管理难度。美国医生在国会的信中这样说道:“病人不能在这个计划中获得任何收益,因为他们不能控制访问接触到带有他们身份的敏感信息”。*参见Nicolas P. Terry,Leslie P. Francis.Ensuring the Privacy and Confidentiality of Electronic Health Records.University of Illinois Law Review,2007,12:681-735.
再次,随着电子病历资源共享技术的实施,知情主体的范围将进一步扩大。提供网络服务的接入者、提供技术支持的中介机构、交互式共享下的汇编者、存档者等皆具有浏览或访问电子病历信息的可能。在电子病历被多人共享的情况下,隐私权凭借所有权的限制在逻辑上成为一个问题。*参见John W Hill,Arlen W. Langvardt,Anne P. Massey.Law, Information Technology, And Medical Errors.Journal of Law, Technology & Policy,2007,2:159-237.在这种情况下,所有权是共同的还是个人的?共享的信息是共同享有还是各自享有?什么情况下会变成共同享有?如果个人医疗电子信息未经授权的发布,网络服务者是否需要承担法律责任?这种权利和责任的不确定性为患者的隐私权的保护提出了严峻的挑战。
(二)患者对其自身隐私信息的保护具有被动性
首先,在选择是否进入电子病历系统上,患者相对来说具有被动性的特征。在一般的网络信息收集中,消费者对其个人隐私信息有选择不进入的权利。而在医疗服务中,患者一旦和医疗机构之间建立医疗服务合同关系,就有配合医疗机构治疗的义务。如实地告诉与自己病情相关的个人信息是其基本义务,其无权选择隐瞒、不告诉或告诉虚假信息,否则对其造成的损害,医疗机构可以免责。
其次,在选择是否退出电子病历系统上,患者相对来说也具有被动性。在一般的个人数据资料中,个人对其数据信息有隐私决定自由权,有选择进入或退出的权利,有选择修改或删除的权利。而在医疗活动中,个人无权要求对电子病历进行修改,无权要求退出电子病历系统,或要求医疗机构删除对个人医疗信息的记载。医疗机构对该病历具有保管的义务,非经法律程序不能修改;况且电子病历是医疗纠纷的重要证据 ,尽管个人对隐私信息的利用有决定权,但电子病历的所有权则属于制作该电子病历的医疗机构。
(三)患者隐私侵权的后果上具有人格与经济的双重性
与传统的纸质病历信息内容分散、调看查阅程序烦琐相比,电子病历的内容具有完整性、准确性、知识关联性、及时获得以及共享性等特征。*北京科技研究院:《2013-2018年中国电子病历市场发展态势及投资咨询报告》,http://www.bjkjyjy.com/a/yiyao/yiliaoqixie/13619.html.内容的完整性,电子信息合并和连接的方便性增加了电子病历的经济价值。一项记录中的数据可以随时合并与其相匹配的其他电脑中的数据。*参见Anita L.Allen,Richard C.Turkington:《美国隐私法学说判例与立法》,冯建妹译,中国民主出版社2004年版,第206页。这与在实施电子病历之前,人们通过逐个查询纸质病历文本获取单个、片段的信息要方便许多。而且通过合并和连接而集成的数据库,其价值要远远高于单一的个人信息。“互联网对现行隐私保护制度的根本影响主要体现在它使隐私的经济价值得到极大地提升”。*刘德良:《网络时代的民法学问题》,人民法院出版社,2004年版,第323页。电子病历经济价值的提升刺激了市场对医疗电子信息的需求,基于利益的诱惑,有的医疗机构内部人员利用自己的访问权限从电子病历中下载患者的社会保险号码或重要身份信息数据,然后把它卖给黑市或自己使用做假账报销。*参见Walecia Konrad. Medical Problems Could Include Identity Theft. New York Times,2009-06-12.商业利益的驱动会诱使商家或个人利用技术优势不择手段挖掘医疗数据。在电子病历互享状态下侵权者可以通过远程访问方式知悉患者的隐私信息或直接下载全部信息。一旦信息泄露之后,给患者造成的损害不仅是传统人格尊严或名誉权的损害,甚至带来巨大的财产损害。由于电子病历系统的网络性,骗子可能通过获得的社会保险号码、姓名、地址、出生日期,建立一个新账户,患者可能因此而遭受金融账户的欺诈。有的医疗记录系统里包含了公司付款的银行账户信息或信用卡信息,而骗子可能因此来操纵现有的金融账户。*参见Daniel J. Gilman,James C. Cooper.Striking the Balance Between Privacy Protection and the Flow Of Health Care Information.Michigan Telecommunications and Technology Law Review ,2010,16:279-354.而且病人也可能因此而遭受医疗保险政策的伤害。
二、电子病历商业性使用中访问权的法律规制
电子病历的初次使用主要是指创建电子病历的医疗卫生保健机构为了治疗目的的使用,二次使用是对原有的电子病历信息再次利用,其中既有商业性的使用,如药品营销、保险销售,也有非商业性的使用,如健康研究、疾病的预防、卫生监测、医院质量管理、媒体报道、社会福利计划等。二次商业性使用中,不当访问是引起患者隐私权侵害的重要原因,如何规定合法的访问权规则是医疗信息电子化下患者隐私权保障的重要手段。
(一)患者对电子病历访问的控制权
纸质病历和电子病历记载的内容是相同的,主要是访问权限和方式上的不同,我国目前医疗机构的电子病历一般只限于医院内部使用,在访问权限上设置了多层次的角色访问方式,“对操作人员的权限实行分级管理,用户根据权限访问相应保密等级的电子病历资料”。*卫生部:《电子病历系统功能规范(试行)》,2010年12月30日。医务人员对电子病历数据的收集和访问权限是基于疾病治疗为目的的患者暗示或默示同意,而在医疗范围以外对于与治疗目的无关的二次使用则不存在暗示或默示同意问题。*参见Patricia Kosseim,Megan Brady.Secondary Use Of ElectronicHealthRecords.McGill Journal of Law and Health~Revue de droit et santé de McGill,2008,2:6-43.在二次商业使用中,一些商业实体和个人访问权法律上如何规范?技术上如何保障?这是世界范围内立法和技术上热点问题。
大部分学者和国家主张,电子病历上的信息必须在原有目的基础上使用,如果要改变用途的话,必须经患者同意。即他人对电子病历的访问权,应由患者决定和控制。“只有在患者作出明确同意或法律有明确规定的情形下,保密信息才得以开示”。*Keith A. Bauer, Msw Ph.D.Privacy and Confidentiality in The Age of E-Medicine.Journal Of Health Care Law & Policy,2011,12:47-62.特别是商业化利用电子病历情形下,要由患者控制和决定,这种控制权在电子病历系统程序设计上可以采取选择退出(opt-out)模型和选择进入但有保留(opt-in with restriction)模型方式。*国外有学者对电子病历的二次利用提出五种模型:不需要患者同意模型(no consent);选择退出模型(opt-out);选择进入模型(opt-in);选择退出但有例外模型(opt-out with exeptions);选择进入但有保留模型(opt-in with restriction)。参见:Patricia Kosseim And Megan Brady,Secondary Use Of Electronic Health Records[J],Mcgill Journal Of Lawand Health / Revue De Droit Etsanti De Mcgill,2008:2:6-43选择退出(opt-out)模型中,应事先确定一组个人健康信息作为默认包,但是允许患者选择完全退出参加交换,也可以选择退出电子病历系统的连接,该模型操作简单,也最适合创造患者的热情,尊重了患者自主权;选择进入但有保留(opt-in with restriction)模型表示患者同意对部分信息进行交换,如对于敏感信息的访问,允许病人预先裁定敏感信息范围,并被做上记号表示特定信息避免访问,但患者可以选择披露给特定的供应商或特种类型的供应商或在提供的类型里限制访问,其也可以排除对精神病、性功能障碍或正在进行的HIV检测信息的访问。
由于二次商业使用时,信息采集时间已过,鉴于人口的规模,再要征得每个患者的授权实际上已经不可能,这就需要在采集数据之前和收集数据时要求患者作出选择。这种选择应该采取书面授权的方式,即其是否参加信息交换?允许谁使用?使用权限范围如何?这样第三人在访问患者信息时,医院以患者的书面授权为依据,在系统设定的特定角色、特定权限范围内允许其访问。特别是敏感的数据访问必须有患者“明确的”同意,但是,什么是“明确的”的方式,各国法律中没有规范,在德国是指书面同意的方式,而在英国不需要书面方式,口头方式就足够了,但沉默同意是不符合要求的。*王岳、邓虹:《外国医事法研究》,法律出版社,2011年版,第361-363页。从司法证据的操作性角度,书面的方式有利患者权益保护。
(二)医疗机构对电子病历访问的托管义务
1、医疗机构对非法访问的通知义务。授权的方式表明了患者对电子病历信息拥有所有权,医疗服务提供者仅是基于病人的信任而“托管”电子病历。*See Mark A. Hall.Property, Privacy, and the Pursuit of Interconnected Electronic Medical.Iowa Law Review,2010,95:633-638.医疗机构作为电子病历的管理者和持有者,负有保护医疗电子信息安全的义务,法律中应赋予医疗机构对违法访问的通知义务。在管理中应指派专人定期查看电子病历系统的审计日记,一旦发现没有授权的第三人访问患者信息的时候,应根据电子病历系统自动生成的记录,追踪查看操作者、操作的时间及操作的内容。当其操作内容涉及到患者的身份信息和敏感信息时,应立即通知患者,从而可以减少患者由于身份信息失窃或其他医疗信息泄露所带来预期的损害。事先通知,被通知的病人可以采取一些预防滥用措施,身份失窃后的通知,可以使受害人采取措施防止损害的扩大,如通知银行身份信息被盗后,被通知的患者或保险公司可以采取取消账户方式保护自己权益。*See Office of the National Coordinator for Health Information Technology.Department of Health & Human Service. Medical Identity Theft Final Report.2009:21-22.并保存好所有的访问记录,当病人诉讼需要时,应配合其取证。至于采取何种通知方式是有效的,目前各种立法都没有明确的规定,但从降低成本和操作的便利性角度考虑,通知可以采取电子邮件的方式,对于目前大部分还没有使用网络的农村地区,可以采用电话的通知方式。
2、安全保障义务。由于电子病历易被黑客入侵、第三者非法访问等原因而泄露患者的隐私,因而作为电子病历保管部门的医疗机构应负有安全保障义务。欧洲的数据保护法强调电子病历的控制者应该依照法律的规定,在技术上和组织制度上采取措施确保个人信息安全。*See Rebecca Wong .Assessing the Status of Medical Information in the light of the UK Data Protection Act 1998.Web Journal of Current Legal Issues,2008,5.美国人类健康服务部制定的保密规则也要求医疗机构采取管理的、物质的和技术的措施来保障个人医疗信息的保密性、完整性和可用性。*See Health Insurance Portability and Accountability Act.[2013-04-27]. http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act.我国对电子病历的信息安全也采取了技术上保障,卫生部对电子病历应具备的功能作了明确的要求,如果医疗机构使用的电子病历不具备法定要求功能,发生问题时应认定其有过错。 此外,“电子病历的准确性和可用性以及相关人员的培训和管理,也是电子病历使用中需要关注的伦理与法律问题”。*Eta S. Berner.Ethical and Legal Issues in the Use of Health Information Technology to Improve Patient Safety.HEC Forum ,2008,20(3):243-258.生活中大量数据的泄密与工作人员没有及时关闭应用程序、用户名和密码随意授权他人使用等,都有一定的关系。
三、电子病历非商业性使用中的披露限制
隐私权的保护并不是绝对的,“隐私权并不禁止公开任何涉及公众利益的问题”。*布兰代斯:《哈佛法律评论》,徐爱国译,法律出版社2005年版,第25页。尽管各国隐私的法律制度不同,但有一点是相同的,各国都规定病人的医疗信息可以向卫生行政部门和法律执行部门报告。美国几乎所有的州法律都允许为了健康、教育、医学研究目的披露患者隐私信息,医生和其他医疗服务者也有责任打破电子病历的保密性要求使第三方摆脱危险的困境。加拿大安大略省的《个人健康信息保护法》也规定,健康信息的托管人可以把个人健康信息披露给法定的个人和实体,但那些法定的个人和实体必须采取适当的办法和程序以保护他们接受和保持的个人信息。*参见Patricia Kosseim,Megan Brady.Secondary Use Of Electronic Health Records.McGill Journal of Law and Health~Revue de droit et santé de McGill,2008,2:6-43.在医疗信息时代,由于网络传播的便捷性,掌握患者电子病历信息的医疗机构、政府部门或其他第三人在涉及公众利益时,如何合理地使用和披露患者的隐私信息,最大限度地保护患者的隐私权?这集中表现在隐私信息披露的限制上。
(一)披露方式的限制
权利不同,其保护方式和途径也不同。隐私权可以通过匿名的方式保护,而公众健康权可以通过限制传播的方式来保护。在电子病历的使用中,可以通过身份隐藏术、剥离信息术、匿名术将其中患者个人身份的信息隐藏后再在特定的范围内披露。要实施身份隐藏术,就需要从法律上界定哪些信息属于患者个人身份信息,对此可以借鉴国外的做法,美国的《健康保险责任法案》(HIPPA)中明确规定:姓名、电话号码、传真号码、社会保险号码、电子邮箱、银行账户号码、证件号码等18项内容为个人身份的信息,如果医疗机构将这些个人身份信息去除后再披露不构成侵权。*参见Sharona Hoffman,Andy Podgurski.Balancing Privacy, Autonomy, And Scientific Needs In Electronic Health Records Research.Smu Law Review,2012:65:85-144.只有身份信息在法律上确定后,电子病历的程序设计中患者隐私保护才有可能。在有关的调查中也发现,病人特别关心未经授权的本地访问和披露,该访问和披露通常是让熟人看到了令他尴尬的健康信息。而要消除患者顾虑和对其隐私的保护,剥离信息术也是一种重要技术手段,实施该技术同样面临的问题是哪些“信息”需要剥离,我国法律需要对此作出规范。
(二)披露范围的限制
当个人的身份信息披露不可避免时,必须要坚持最低的必要限度标准,即对电子病历信息披露的量上要进行控制,如果仅仅有特定的信息与目的关联,则不应该披露整个电子病历,如果只需在本部门网站上披露,则不需在本地区网站上披露。如当患者的病情对公共健康造成一定危险时,风险大小是决定披露对象、范围和披露内容的重要因素。根据风险大小来决定披露对象和范围在美国的《梅根法》中曾运用,它通过政府登记并公开犯罪记录来预防性犯罪的法令,当时的新泽西州就是根据性侵犯者的危险程度决定披露范围,对于危险程度较低的人,披露给当地的执法机构;对于危险程度较大的人,除了披露给当地执法机构外,还要披露给当地的学校和社区组织;对于危险程度最大的人,则应向整个社区披露,以便社区成员提高警惕。*参见Anita L.Allen,Richard C.Turkington:《美国隐私法学说判例与立法》,冯建妹译,中国民主出版社2004年版,第106-107页。对于公共健康的风险政府也有披露的义务,但应在合理的范围内。如对于淋病、梅毒、HIV、AID性病(STDs)等患者,由于其主要通过血液和性传播,风险主要发生在夫妻之间或性伙伴之间,所以有关部门有权向其配偶和性伙伴披露,但不得向配偶以外的用人单位和个人披露。对于患者传染病疫情一般根据传播的强度大小和传染病的种类来决定是向全社会披露,还是在本区域内披露,如对于甲类传染病以及非典性肺炎病人,由于传染性强,要向社会披露,对于一般传染性病人只需在本行政区域内披露。我国传染病防治法中的通报制度和公布制度其实就是对传染病患者信息的披露,以保护公共健康和安全。但对于明知自己患有致命性传染病,却故意将其传给别人,对此可以服从公共健康的需要,应详细公布其姓名、地址、照片等信息,因为这和故意犯罪一样,对其隐私没有保护的必要。*参见Helen Nissenbaum.Protecting Privacy in an Information Age: the Problem Of Privacy in Public.Law and Philosophy,1998,17:559-596.隐私规则太多的不确定性和复杂性,构成了电子病历信息互享的直接屏障,这就要求在法律上予以确定,只有如此,才能开发与此标准相关的应用程序,以实现电子病历共享和二次使用中患者隐私权技术和法律上的保障。
(三)确定非法披露责任
有权利就有救济,有义务则有责任,医疗信息技术的发展使患者隐私保护的法律出现盲区,尽管我国法律中有侵犯患者隐私权的法律救济手段,但限定的对象只是医疗机构和医疗人员,针对的是“泄露”行为。但在网络环境下,“披露”已成为侵犯患者隐私权的重要方式,披露相对与“泄露”来说主观恶性程度要高,而披露主体已涉及各类组织和人员,因而法律需对违法披露行为予以严格责任,对于违反法律规制行为予以严厉打击。美国法律将违法披露个人身份信息的规定为犯罪行为,其不仅要承担高额的罚款,还要遭受监禁等刑事处罚,为了金钱利益恶意披露将被罚款10万美元和监禁5年,如果采取身份欺骗的方式访问或获得个人健康信息,或者如果有意图出售、转让,或使用“信息”而获取商业利益,或利用其行为进行恶意伤害,最高罚款高达25万美元和监禁10年的处罚。*参见John W Hill,Arlen W. Langvardt,Anne P. Massey.Law, Information Technology, And Medical Errors.Journal of Law, Technology & Policy,2007:2:159-237.对此我国应结合国情,对违法披露的组织和个人从主体、主观、客观相结合的角度确定合理的民事、行政和刑事法律责任。
在数字信息化时代,隐私政策的制定受到多种因素的影响,有国家历史文化的、全球社会趋势的影响,有敏感性数据重要性的影响;有公司特定的因素影响,如赢利性公司或非赢利性的公司、公司成立年限和经验、企业文化和高层管理团队的伦理道德观等影响。*参见Ravi Sarathy,Christoppher J. Robertson.Strategic and Ethical Considerations in Managing Digital Privacy.Journal of Business Ethics,2003,46:111-126.在电子病历正在逐步使用的今天,一方面我们要加强在技术上的隐私保护,另一方面,也要在法律上规范各主体的权利、义务和法律责任。对此应在中国国情的基础上,借鉴英国、美国等国的立法经验,尽快订立适合我国国情的电子病历二次使用或共享状态的患者隐私权保护法。
[责任编辑:吴岩]
Subject:On the Protection of Patient Privacy Right In the Medical Electronic Informatization——From the Use of the Electronic Medical Records
Author&unit:GAO Yuling
(School of Humanities and Management,Wannan Medical College, Wuhu Anhui 241002,China)
The protection of patient privacy right shoud be more concerned on the sharing and secondary use of electronic medical records . The use of electronic medical records makes the privacy of patients facing greater risk of being violated.The double regulation of legal and contract is the important way of proectiing patients privacy right on the sharing of electronic medical records . Establish legal principle of commercial value-added utilization and non-commercial use is an important means of protecting patient privacy.
electronic medical record;sharing ;privacy right;access right;disclosure
2013-11-26
本文系安徽省教育厅人文社会科学研究重点项目《医疗信息化中的患者隐私权保障问题研究》(SK2013A191)和四川省教育厅人文社会科学重点研究基地《四川医事法治研究中心》资助项目《电子病历使用中的法律问题研究》(YF11-Y08)的研究成果之一。
高玉玲(1971-),女,安徽庐江人,皖南医学院人文与管理学院副教授,安徽师范大学博士研究生,主要研究方向:卫生法学。
D913
:A
:1009-8003(2014)02-0074-06
