患者个人信息的法律保护与公益利用

2015-03-26杨琴

河南社会科学 2015年9期

杨琴

（贵州大学，贵州贵阳 550004）

有关个人信息保护的研究，是从1890年美国法学家萨缪尔D.沃伦（LouisD.Brandis）和路易斯D.布兰戴斯（SamuelD.Warren）在《哈佛法律评论》上第一次发表有关隐私权的论文后才拉开序幕的①。尤其是进入信息化社会后，互联网技术的飞速发展加速了个人信息的流通，在世界各地，个人信息的运用、滥用、侵权等现象也随之出现，有关个人信息的保护与利用因此引起了人们的热切关注。在我国医疗领域，因利益驱使，个别医生及其管理部门将患者个人信息倒卖、滥用、侵权等事件时有发生，从而造成医患关系紧张导致社会不和谐现象，迫使人们不得不重新思考如何处理患者个人信息保护与公益利用之间的关系，才能既保护患者人身、财产权不受到侵害以维护社会安定，同时又能兼顾医学事业的发展等公益利用之需要。

一、患者个人信息保护与公益利用的必要性

在讨论如何平衡患者个人信息的保护与公益利用之前，先让我们了解患者个人信息保护的相关概念及其必要性。

（一）患者个人信息保护的内涵

关于个人信息的含义，目前在理论及立法上还存在着不同的见解，称谓上也有不同。如我国学者在他们的研究中有称“个人信息”②的，有称“个人资料”③的，也有称为“个人资讯”④的，还有称为“个人数据”⑤、“个人隐私”⑥等等。在立法方面，由于我国尚未颁布《个人信息保护法》，没有法律方面的确切定义。但在国外立法中，定义及名称也有所不同，有“个人数据 ”（personal data）、“ 个人信息 ”（personal information）和“隐私”（privacy）等区别⑦。如在欧盟1995年《个人数据保护指令》中称为“个人数据”（personal data），指的是明确可识别的一个自然人的相关数据⑧。在日本的《个人信息保护法》中，所谓“个人信息”，是指相关生存的个人信息，包括根据该信息所含的姓名、出生年月以及其他描述等，能够据此识别特定的个人的数据（包含与他人信息核对后容易识别出某个特定个人的数据）⑨，由这些个人信息组成的集合物形成个人数据库。日本对于个人信息的定义是列举加概括，凡可以识别某个人的信息就可称为该个人的个人信息。而美国立法则是将个人信息称为“信息隐私”。我国学者王利明、杨立新教授则把隐私权定义为是自然人享有的对其个人的、私人活动和私有领域进行支配的具体人格权⑩。

从以上解释可见，个人信息与个人隐私有交集，并不是同一内容的两种称谓，它们有区别。个人信息是自然人所享有的，能够被识别出属于特定个体的信息。个人信息包含着个人隐私，因为个人信息中既包含了可公开的信息，也包含了个人不可公开的私密性的信息。个人信息具有识别性，对于个人的姓名、年龄、出生日期等，这些公共信息依据法律规定是可以公开的，它们是基于社会交往的需要而予以公开；而在个人隐私中，有部分信息是需要通过特定的法律手段或者必须经过信息持有者的同意才可获得，这部分内容属于个人隐私信息[11]。众所周知，患者在就医时，必须向医方提供自己的姓名、电话、疾病史等相关信息以便医疗活动能顺利开展，同时在诊疗活动中会产生病历、CT等由医方提供的医疗信息。由此，患者个人信息应该就是指患者就医时所必须提供的个人信息以及在诊疗活动中产生的相关隐私信息[12]，即包括患方提供的必要信息和医方提供的医疗隐私信息的总和[13]，也就是患者个人信息除了可以识别的患者姓名等信息外还包括患者不愿为他人所知晓的医疗隐私信息。

按照现代法治国家的规定，患者对本人的个人信息拥有控制权，这个控制权是患者基于自己意愿，同意是否公开其医疗个人信息的权利[14]。因此，患者个人信息保护是指在医疗活动中归属于患者的个人信息受法律永久保护，医方不得随意公布其相关信息，但征得患者同意或患者具有法益侵害性的除外。

（二）患者个人信息保护的必要性

在我们所处的信息时代里，个人信息已经成为一种重要的社会资源，承载着人们的各种需求，其表现出的不只是人格利益还有经济利益和公共利益。受利益驱使，近年患者个人信息无端被泄露、被买卖，使患者财产、身心遭受损失和伤害，使整个医疗秩序和社会秩序遭到破坏的事件不绝于耳。例如，温州医学院附属第一医院在2013年里就碰到一些骗子利用患者及其家属求医心切的心理以及我国现行法律法规禁止医生收红包但执法不严的现状，在医院医生给病人做手术之前的一两天，以医生的名义向患者及其家属发短信索要红包的事件[15]。发生这样的事情，不仅有可能致使患者蒙受损失，也危害了医护人员救死扶伤的职业道德规范，败坏社会风气[16]。再如，某市一产妇在医院刚生完孩子，诈骗电话就找上门来，来自一医院“工作人员”称可报销医药费，产妇被骗近6000元，家属怀疑医院泄露了其个人信息[17]。另外，还有不法之徒利用QQ群公开贩卖患者就诊记录，这些记录可提供包括新生儿及高血压、糖尿病、心血管疾病、肿瘤患者数据，患者的姓名、年龄、病史等个人信息。在现实生活中，这类泄露患者个人信息的案例不胜枚举。由于医疗机构或掌有患者个人信息的医护人员等，若将患者个人信息泄露或非法贩卖给第三方，就会导致患者就医后经常受到广告短信、骗子等的骚扰和伤害，使本来就不太和谐的医患矛盾更加激化，扰乱社会秩序、破坏安定团结的局面、影响国家经济建设。患者个人信息保护，是体现政府保护公民人权和财产权的重要举措，是实现社会秩序、效率、正义的重要组成部分之一[18]。因此，保护患者个人信息在举国上下强调依法治国、构建和谐社会的今天，显得刻不容缓。

（三）为公共利益合理利用患者个人信息的重要性

如前所述，患者的个人信息不仅承载着个人的人格利益和经济利益，还承载着公共利益，这些公共利益主要表现在患者个人信息的合理利用上。

1.患者个人信息利用与疫情防治

也许，2003年非典疫情肆虐我国的情景人们还没有忘怀，我国各地区的地方性流行疾病、近年发生于世界各地的禽流感、2014年90%致死率的埃博拉病毒（Ebolavirus）在西非多国传染，这些流行性疾病最终得到有效控制避免更多人遭受感染、挽救了更多人的生命及健康，都是得益于及时利用了相关患者个人信息资料进行分析研究的结果，从而才在尽量短的时间内获得相应的控制措施。例如，2003年，我国爆发全国性非典疫情后，相关部门对非典患者医疗信息进行了及时的收集与分析利用，为防止非典扩散、抗非典药物的研制等赢得了时间，而且抗非典药物通过临床实验后还成了国家的战略储备药[19]。也许大家还记忆犹新，当时北京是疫情的重灾区，我国调集了大批医务人员和医疗设备集聚北京，通过对非典病人个人信息的资料研究，使医疗资源得到了合理且有效的配置，我国顺利取得了抗击非典的胜利。在这种情况下，患者个人信息的合理利用必不可少。再如，流行于贵州42县市的地氟病是显著的地方性疾病，国家通过对贵州各市、自治州的患者医疗数据进行分析以及派出专家组进行实地考察后，采取了有效措施，达到了有效防治地氟病的目的[20]。由此可见，通过对医疗信息的收集及分析利用，可以达到对疾病有效防治的目的，充分体现了患者个人信息的研究利用对地方卫生事业发展所发挥的重要作用。

2.患者个人信息的合理利用对医学发展的作用

医学需要大量的医疗经验积累才得以发展，医生是在治疗无数患者的过程中，从分析众多患者病例的个体差异、不同的用药方案、治疗方法及过程中积累实践经验，才造就了现代医学之文明，医药的发展史也佐证了由于合理利用无数个案患者病历信息的研究与分析，人们的公共健康权才得以实现[21]。因为患者病历信息是反映患者诊疗状况和健康情况的最好说明书，同时也是医学院校最好的“医学教材”、医学研究人员必不可少的医学研究资料，所以很多医学院校及科研机构都会给医学生提供附属医院收集的患者病例、病历、CT等个人医疗信息资料，供医学生学习、供研究人员研究，从而推动医学教育、新药研制、疑难杂症的医治等医学事业的不断向前发展。

3.患者个人信息利用与公共安全的维护

2014年2月20日，在广州曾发生过精神病人做完检查后逃脱事件，随后，广州市脑科医院向媒体通报与涉嫌伤害致死案有关的这位病人逃脱情况及该病人的个人信息，并报了警。接警后，广州市公安部门在微博上公布了该患者的图文及相关个人信息特征，以提醒广大市民注意安全。该事件引发了患者个人信息保护与兼顾公共安全利用的热议[22]。如果过分强调精神病患者个人信息保护，置更多人的公共安全于不顾，这样的个人信息保护恐怕难以实现法治的目标。在这类案例中，由于精神病人具有法益侵害性，公安机关公布患者个人信息非常必要[23]。公布可能危害公共安全患者必要的相关信息保证了公众的知情权，减少了社会公众受侵害的可能，保护了更多人的生命、财产安全，也达到了法治的目的。

从以上案例不难看出，患者个人信息的公益利用在疫情防治、医学研究、维护公共安全等方面的重要性不言而喻。因此，在加强立法保护患者个人信息的同时，也要注意兼顾患者个人信息的公益利用，因为法律维护的是正义，“正是正义观念，把我们的注意力转到了作为规范大厦组成部分的规则、原则和标准的公正性与合理性之上”[24]。在患者个人信息被滥用、侵害猖獗的今天，加强患者个人信息保护不容置疑，但兼顾公益利用也不可小觑，只有将保护与公益利用相结合的法律，才会被人们所遵从，也才能达到保护的最终目的，而不是顾此失彼。

二、我国现行患者个人信息保护与利用方面的法律规定及缺陷

在本文开头部分笔者就提到，我国目前并无专门的个人信息保护法，有关患者个人信息保护的规定仅散见于执业医师法、侵权法、刑法、互联网医疗卫生信息服务管理办法、病历管理规定、医疗事故处理条例等法律法规中。例如，在《执业医师法》第三十七条第九款中规定，医师在执业活动中违反本法规定，泄露患者隐私，造成严重后果的，由县级以上人民政府卫生行政部门给予警告或者责令暂停六个月以上一年以下执业活动；情节严重的，吊销其执业证书；构成犯罪的，依法追究刑事责任。《传染病防治法》第六十八条第五款规定：疾病预防控制机构若违反本法的规定，有故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的，由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告；对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任。《母婴保健法》第三十四条规定，从事母婴保健工作的人员应当严格遵守职业道德，为当事人保守秘密[25]。《医疗机构病历管理规定》第六条规定，医疗机构及其医务人员应当严格保护患者隐私，禁止以非医疗、教学、研究目的泄露患者的病历资料；第十五条规定：除为患者提供诊疗服务的医务人员，以及经卫生计生行政部门、中医药管理部门或者医疗机构授权的负责病案管理、医疗管理的部门或者人员外，其他任何机构和个人不得擅自查阅患者病历；第十六条规定：其他医疗机构及医务人员因科研、教学需要查阅、借阅病历的，应当向患者就诊医疗机构提出申请，经同意并办理相应手续后方可查阅、借阅，查阅后应当立即归还。《医务人员医德规范及实施办法》第三条第五款规定，医务人员必须为病人保守医密，实行保护性医疗，不泄露病人隐私与秘密。《医疗机构从业人员行为规范》第六条第一款规定，医护人员要尊重患者的知情同意权和隐私权，为患者保守医疗秘密和健康隐私，维护患者合法权益。《侵权责任法》第六十一条规定，医方应妥善保管患者病历资料；第六十二条：医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任[26]。《刑法》第二百五十二条第二款规定，医疗单位等工作人员，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。第三款：违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；第四款：窃取或者以其他方法非法获取公民个人信息的，处二年以下有期徒刑或者拘役。从以上整理的法律法规看，我国有关患者个人信息保护的法律法规相当有限，而且零散不成系统，各部门法各自为政，缺乏协调性；单从法律条款来看，规定都过于原则，可操作性差。这些都有可能导致患者个人信息保护相关法律条款的功能出现重合和遗漏现象。再加上我国到目前为止，还没有设立一个统一的个人信息保护主管机构，多头管理或无人管理的现象在患者个人信息保护领域同样出现，因此现阶段我国患者个人信息保护的制度建设仍然非常严峻。

在我国，除了人大及其常委会有立法权之外，行政机关也享有不同程度的立法权，也就是出现上述多部法律法规的现象，这就导致了对某一法律事实、关系的问题上出现多法可用的情况，也即存在法律竞合或法律冲突的矛盾，而这些问题应如何解决，是患者个人信息保护方面立法需要考虑的问题。例如，解决医疗纠纷虽然可参照《医疗事故处理条例》和《侵权责任法》，按法律冲突法律适用原则，效力级别高的法律优先适用，但根据侵权法的规定，起诉证据规则不适用举证责任倒置，这就会导致患者举证难度加大，使得法律的实效还不如条例高的状况[27]。此外，在《刑法》中，对于出售、非法提供患者个人信息罪的界定不清，规定的处罚过轻，规定要造成严重后果才予以处罚[28]。而这个“严重后果”的程度，法律规定模糊很难把握，这是造成出售、非法提供患者个人信息现象屡禁不止的原因之一。虽然按照张明楷教授曾指出的“情节是否严重？要进行综合判断，综合分析案件的全部情况”的方法好像不错，但因有的出售、非法提供患者个人信息的情况，并不全是牟利的，有的不存在获利金额，有的还是法律规定的国家工作人员“履行职责中获得的患者个人信息”，还有侵犯多少患者的个人信息才算“严重”，这些都没有法律规定，这就很难入罪[29]。即使入罪，就算已经查明“情节严重”，也才处以三年以下有期徒刑或拘役，单处或并处罚金，这也难怪现有患者个人信息的法律保护效果不尽如人意。

再次，关于患者个人信息公益利用方面的法律规定也是羞羞答答，规定很少而且不完善，比起个人信息的保护更为零散、简单，其操作性更加模棱两可。再如上述《医疗机构病历管理规定》中第十六条的规定，对于使用患者病历的主体、使用事由、使用许可等规定过于简单、模糊，特别是其中的因教学、科研等必须查阅患者病历时需经患者就诊的医疗机关同意的规定[30]，如果不同意就不能利用，那医学研究与教学还有望发展？岂不是停滞不前了？有些甚至没有规定，如上述精神病人逃脱事件，等遇到可能会危害更多人生命安全的情况时，才讨论是否可以公开该病人的个人信息，是否有点措手不及？

三、兼顾患者个人信息保护与公益利用的立法思考

本文多次提及我国没有《个人信息保护法》，但随着信息技术的不断发展以及在个人信息保护与合理利用之间发生严重碰撞的情况下，患者个人信息乃至所有领域的个人信息保护与公益利用都盼望相关法律制度的加强和完善，以此来解决个人信息领域中存在的各种社会问题。由于篇幅有限，笔者仅就患者个人信息的保护兼顾公益利用方面提些粗浅的看法。

（一）保护方面的建议

要加强患者个人信息保护立法。针对解决一些患者去医院就诊后，因其个人信息被泄露而遭受各种垃圾短信和电话等的骚扰，给患者造成各种不必要的损失和损害，从而扰乱了社会秩序现象，笔者建议起草独立的《医疗信息保护法》或者尽快出台《个人信息保护法》（或相关法）中专章对医疗领域中个人信息的保护作详细的规定。最近有人大代表提议制定《医疗纠纷处置法》[31]，笔者非常赞同，希望能把有关患者个人信息的保护写入该法中，同时在相关的《医疗信息保护法》出台前应该对当前的法律作出一定的修改。当前的法律对损害患者个人信息的违法犯罪人员的处罚力度不够，致使其违法成本较低，因此立法时更应该强调患者的知情权，让患者有权知道自己的相关信息的去向，对无法说明患者个人资料去向的医疗机构要予以严厉处罚，在刑法处罚上应提高处罚力度和法定最低刑、最高刑等。

完善已有相关法律法规。就现行相关患者个人信息保护法律而言，法律及法律条款数量较为有限，适用范围较窄，应加以明确；对于现行法律条款规定过于原则，可操作性差的问题，仅规定有不可泄露的义务，应增加违反该义务应承担的法律后果[32]；就认定泄露患者个人信息是否违法的规定，应详细规定罪与非罪的界线，列举“特别严重”的情况，增加民事赔偿内容；针对现行法律零散的问题，建议建立统一的患者个人信息保护与利用机构；针对现行法律条款过于简单的问题，建议增加患者个人信息收集、利用、处理及传递的规则、保护的执行及监督机制等内容。

对医疗机构信息化建设并改善其管理方法做出详细规定。应加快医疗机构的信息化建设以提高管理效率，国家应给每一位公民建立电子医疗档案，以方便公民可以随时登录医疗档案查询自己的信息，这样不仅能使医疗机构和患者能直接沟通，减少患者个人信息被泄露的概率，还能让患者随时知晓自己的信息去向，以有效保障患者的知情权。如一般情况下，医院都是随意将患者的化验单、B超单等患者检查结果放置于任何人都可以翻阅的地方，针对这样随意暴露患者隐私的问题，可以让医疗机构直接把患者的电子检查单发送到患者的电子医疗档案中，患者可登录其电子档案下载其检查结果，从而有效保障患者个人信息的安全。除了建立公民电子医疗档案外，医疗机构还应改善其管理方法，采取用编号取代电子显示屏上患者的名字等方法，可以减少多个患者同时进入科室就诊的情形等[33]。让患者凭证领取检查单据等这些措施既能有效地保护患者的个人信息，又能提高患者的满意度，推动医疗活动的顺利进行，既可以改善紧张的医患关系，同时也有利于和谐社会的构建。

（二）利用方面的考虑

由于医学的发展和进步离不开医务人员对患者医疗信息的收集、利用和研究，医疗机构需要通过对患者个人信息数据的分析来研发新的医疗药品，医学生的培养教育也离不开对患者病案信息的分析，还有一些诸如传染病、精神病之类的患者若对不特定多人造成危害时，其个人信息的利用即公益性利用大于其保护的价值等，因此在保护中必须考虑兼顾公共利益不受侵害。

在制定患者个人信息保护内容时，要清晰界定患者个人信息保护的范围，明确规定患者个人信息保护的例外情形。如按我国《婚姻法》规定，婚前患有医学上认为不应当结婚的疾病的患者，隐瞒病情而与他人结婚的婚姻为无效婚姻。也就是说，在未来的《个人信息保护法》立法中，应规定某些患者在面对与自己有特殊关系的第三人时应本着诚信的原则，有告知他人自己的个人医疗信息的义务；基于保护公共利益的情况，在强调保护患者个人信息与公益利用发生矛盾时，应该规定保护让位于利用。如上述说过的精神病人从医院逃出事件中派出所四处张贴当事人信息，看似侵害了患者个人信息，却保护了更多人的生命安全，因此应在未来立法中予以肯定。另外，在规定需要对患者个人信息进行披露时，应明确患者个人信息披露的程度及程序、明确在什么情况下可以有偿利用或无偿利用患者个人信息等；完善相关的行政、司法和民事救济制度，即当患者个人信息保护与公益性利用发生冲突时，如何设计患者的救济制度以及不特定多数人的利益，妥善处理好各方的诉求等。在患者的个人信息保护与利用上，所有的措施与法律制度都要注重其公正性与合理性相结合，决不能顾此失彼而应力求双赢。

总之，在我们所生活的现代社会里，个人信息已经成为继工业社会后知识经济时代的重要社会资源，开发利用个人信息资源不仅有利于增强企业的竞争力，也给个人带来经济收益，放任争夺患者个人信息的滥用或者过度强调患者个人信息的保护，都会造成社会混乱，兼顾患者个人信息的保护与利用的制度建设迫在眉睫。建议在即将出台的《个人信息保护法》中，或者在单独针对患者个人信息的制度建设中，最好是在同一法律法规中规定患者个人信息保护与公益利用的详细条款，设立统一的患者个人信息保护和公益利用相结合的机构，以防顾此失彼。

注释：

①［美］阿丽塔.L.艾伦、理查德.C.托克音顿：《美国隐私法——学说、判例与立法》，中国民主法制出版社2004年版，第17页。

②如齐爱民教授称为个人信息。见齐爱民：《云计算时代的个人信息安全危机与法律对策》，《中国信息安全》2012年第11期。

③如孔令杰称为个人资料。孔令杰：《个人资料隐私的法律保护》，武汉大学出版社2009年版，第1页。

④如陈起行称为“个人资讯”。陈起行：《资讯隐私权法理探讨》，《政大法学评论》2000年第64期。

⑤如涂子沛称为个人数据。涂子沛：《大数据》，广西师范大学出版社2012年版，第3页。

⑥如张新宝称为隐私权。张新宝：《隐私权的法律保护》，群众出版社2004年版，第1页。

⑦齐爱民：《大数据时代个人信息保护法国际比较研究》，法律出版社2015年版，第5页。

⑧任晓玲：《个人数据保护立法推动技术创新——欧盟拟修订〈数据保护指令〉》，《中国发明与专利》2011年第1期。

⑨日本《个人信息保护法（個人情報の保護に関する法律）》（2009年修改版）第2条第1款。原文：「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

⑩王利明、杨立新：《侵权行为法》，法律出版社2005年版，第181—182页。

[11]郎庆斌、孙毅、杨莉：《个人信息保护概论》，人民出版社2008年版，第12页。

[12]周汉华主编：《个人信息保护前沿问题研究》，法律出版社2006年版，第353页。

[13]汤啸天：《个人健康医疗信息和隐私权保护》，《同济大学学报》2006年第6期。

[14]刘士国主编：《医事法前沿问题研究》，中国法制出版社2011年版，第126页。

[15]短信内容往往大致为：医院里禁收红包，请汇款至某某银行账号，我会尽心尽力完成手术。案例来源：《病人个人信息遭泄露骗子假扮医生短信要红包》，《北京青年报》2013年8月16日。

[16]刘鑫：《医疗利益纠纷——现状、案例与对策》，中国人民公安大学出版社2012年版，第55页。

[17]刘小红：《我国医疗侵权知情同意原则问题研究》，《暨南学报（哲学社会科学版）》2014年第7期。

[18]蔡元培：《人权保障机能下实质解释论之反思》，《中国刑事法杂志》2014年第3期。

[19]案例来源：《“抗非典”药物已研制成功》，《深圳特区报》2010年5月17日。

[20]案例来源：谢兴能、杨秀忠、杨胜元、张建江、赵斌：《贵州地氟病氟源探究——以黔中地氟病区地质环境调查为例》，《中国地质》2010年第6期。

[21]宋阳：《论药物知识产权与公共健康权的冲突与协调》，《河南大学学报（社会科学版）》2014年第1期。