移动医疗信息安全保护与法律监管机制建构探讨
2016-02-05余文清邓
■ 余文清邓 勇
移动医疗信息安全保护与法律监管机制建构探讨
■ 余文清①邓 勇②
移动医疗信息 信息安全 患者隐私 法律监管
移动医疗信息产业的迅猛发展是医疗健康事业发展的趋势,而患者健康医疗信息的跨机构、跨区域共享在提高医疗水平、促进经济发展的同时,也引发了一系列信息安全和隐私问题。首先,作者立足移动医疗信息的特征和价值,确定移动医疗信息的性质;其次,以侵权法的视角,探究移动医疗信息安全侵权责任认定;最后,分析现有移动医疗信息安全保护法律和政策监管体系的缺陷,给出立法和行政监管的建议,以期完善移动医疗信息安全保护法律与政策体系,保护患者合法权益。
【Key words】mobile medical information, information safety, patient privacy, legal supervision
【Abstract】The rapid development of mobile medical information industry is the trend of the medical health, and the patients' health information,sharing in inter-agency, improve the medical level. In spite of promoting the development of economy, also caused a series of information security and privacy issues. Firstly, This article examine the nature of the mobile medical information, based on the characteristic of mobile medical information and value; Then in view of tort law, exploring the mobile medical tort responsibility identification; In order to improve the mobile medical information security protection and policy system and protect the legal rights and interests of patients, this article analysis the problems of the existing mobile medical information security protection of law and policy supervision system, and propose suggestions for legislation and administrative supervision.
Author's address:School of Law, Xiamen University, No.422, Siming South Road, Siming District, Xiamen, 361005, Fujian Province, PRC
2 009年,中共中央、国务院将卫生信息化作为深化医疗改革的八大支撑之一,旨在建立实用共享的医药卫生信息系统,推进医药卫生信息化建设。为顺应新医改形势,2010年推出“医疗信息化的‘3521'工程”,重点建设国家级、省级和地市级三级卫生信息平台,建立“健康档案”和“电子病历”两个基础数据库和一个专用网络。大数据、云平台、移动APP等新样态的出现为医疗健康信息产业的发展带来了新思路。但医疗健康数据市场化的集中,各种含有个人信息在内的可识别健康医疗信息的隐私和安全问题引起业内的普遍关注。制度层面上的医疗信息系统是以实现跨机构、跨区域信息的共享和业务协同为目标,致力于推进我国医疗卫生事业的发展,但对健康医疗信息,特别是移动医疗信息的保护和监管尚有阙如。作者以患者健康医疗信息为切入点,对互联网背景下移动医疗信息产生的安全问题进行研究,以期构建一种既保护移动医疗信息安全,又促进移动医疗健康产业和医疗技术进步的法律监管机制。
1 移动医疗信息——一个初步的界定
长期以来,健康医疗信息一直游弋于移动互联网的宫墙之外。随着移动信息产业、网络交流平台等基础技术设施的日趋完善,面对医疗信息的刚性需求,移动互联网大举进军,在医疗行业开疆拓土。近年来,我国移动健康医疗产业呈井喷式增长。2015年《中国互联网医疗发展报告》指出,2014年为互联网医疗爆发元年,未来10年有10倍增长的空间可期[1],尤其是“互联网+”等政策的相继出台,抑制移动医疗信息产业发展的政策坚冰逐渐消融,移动互联网正以前所未及的广度和深度,浸入医疗行业。患者健康医疗信息跳脱传统的信息载体,移动到“云端储存器”“移动医疗APP”等互联网平台。据艾美仕健康研究公司(IMS Health)的预测,2017年移动医疗数据的市场规模数值将达至125.3亿元[2]。
1.1移动医疗信息的性质
移动医疗信息泛指所有在移动互联网产生的,与医疗和生命健康相关的健康医疗信息。其中最引人关注的健康医疗信息是与患者紧密相关的,围绕患者个人疾病状况和医生的诊疗活动形成的,有关患者生理、心理状况、个人基本情况、医生针对特定患者临床疾病的工作总结的识别化信息。
1.1.1移动医疗信息的隐私权属性。移动医疗信息本质上是患者的个人信息。这些信息有的是患者身体的外在表征,有的是针对患者作出的疾病诊断,有的是患者自诉的身体、情感等各方面的信息。在移动医疗关系中,患者个人信息可表现为电子病历、医疗数据、医疗视频、X光片、报告单等各种医疗资料。这些信息与社会公共利益无关,且通常情况下患者不愿意公开或被人知晓该信息。这种具备了“隐私”特性的个人信息事关人格利益和人格尊严,拥有强烈的“人格属性”,在法律上通常被认定为隐私权的保护对象。这些信息脱离了患者的控制,但因其“隐私权”属性,只要未经患者个人同意,一般不能予以公开。
1.1.2移动医疗信息的物权属性。传统的“隐私权”是一种精神性的人格权,隐私权的财产属性并不明显,被侵权人遭受的是精神层面的痛苦,在救济方式层面通常表现为弥补精神损失、赔礼道歉、消除影响。虽然移动医疗信息具备“隐私权”属性,但移动医疗信息本身巨大的商业价值是传统的“隐私”所不具备的。这使移动医疗信息“财产化”,患者成为这笔“无形财产”的所有者和支配者。此时,如果法律依旧仅将移动医疗信息作为精神性人格权的客体进行保护[3],“无形财产”所有者的权益将得不到保障。因此,法律应该给予移动医疗信息物权属性的认可,保护患者对其享有的所有权等权利。
综合移动医疗信息“隐私权”和“物权”的属性,医疗机构及医护人员是患者个人信息的使用者,移动医疗平台扮演患者个人信息保管者的角色。对于具备“人格权”和“所有权”双重性质的移动医疗信息来说,这些主体未经患者同意不享有公开传播、使用和收益的权利。但是,在移动医疗信息安全相关法律缺位的情况下,与患者没有直接关系的医疗机构(医务人员)、电子病历服务商、健康医疗信息挖掘机构、研究人员,甚至是普通互联网用户也有获知、传阅或使用这些信息的可能,移动医疗信息安全亟需法律规定和政策监管保驾护航。
1.2移动医疗信息的价值
医疗行业作为一个极其特殊的领域,其行为和结果必然建立在获取患者个人信息的基础上,基于这种特殊性,移动医疗信息比起其他信息更具有特殊的价值。
1.2.1人格尊严价值。医疗活动会产生患者最为私密的身体信息、患者必须提供的个人基本情况、医生的诊断结果以及其他围绕医疗行为展开的疾病健康情况记录。可以肯定的是,不管是哪一种信息,均可成为患者健康医疗信息的重要组成部分。其中大部分是患者不愿为人所知的敏感信息,且可能构成一个人的人格利益或者人格尊严。而移动医疗信息“隐私权”属性,让患者在互联网领域拥有对个人信息的知情权、保密权、不被非法公开的权利,保护个人生活秘密和人格尊严时刻体现着人的尊严和价值。
1.2.2经济价值。在传统医患关系中,诊疗记录和病例资料通常是由医疗机构和患者掌握、知晓。随着移动健康医疗行业的发展,患者的个人健康医疗信息被赋予了巨大商业价值。医疗信息挖掘行业通常从处方药店、保险公司、医疗机构等部门获取大量的患者健康医疗信息,并对这些信息加以分析和整合,随后转换成商业信息或编辑成医药概况出售给相关行业。在当下移动医疗信息安全法律缺位、移动医疗行业几何式增长和巨大经济利益驱动的局面下,患者个人健康医疗信息极易被第三方获取,患者健康医疗信息面临着严重的隐私威胁。
1.3移动医疗信息安全困境
面对强大的商业利益驱动,缺乏法律保障的移动医疗信息将成为网络攻击的焦点。互联网数据中心(IDC)在其Health IT指出,2015 年近一半的医疗机构会遭受一级到五级不等的网络攻击,其中1/3医疗机构会受损,到2020年,42% 的电子健康数据将处于无保护状态[4]。侵犯移动医疗信息安全通常有以下几种表现形式。
1.3.1信息泄露。该风险一般发生在数据存储、使用和传输阶段,移动医疗信息面临域内医疗机构和信息服务机构人员使用、管理过程中的无意泄露。据美国卫生部民权办公室的统计数据,2015年第一季度美国就发生87起医疗信息泄露事件,500多家医疗机构受到影响,共计9230万人次的个人信息被泄露,同比上升了3709%[5]。
1.3.2设备入侵。由于健康医疗信息存储、流通等活动都发生于移动互联网,患者个人的健康医疗信息面临着各式逐利者的入侵。2015年,美国医疗保险商Anthem遭黑客入侵,超过8000万个人的信息被盗,可称之“史上最大的医疗信息入侵事件”。
1.3.3系统风险。由于移动医疗信息系统自身的漏洞,使得网络窃密、系统崩溃事件频发,医疗数据保护安全难护。据测算,目前超过37%的国内网站存在系统漏洞,并且利用系统漏洞进行的攻击以近5倍的速度增长[6]。
1.3.4误用、滥用及篡改。随着移动健康医疗产业的发展,各式僵尸应用居高不下,加之国内审查普遍不严,造成了移动医疗信息的泡沫现象。僵尸应用引起一大波的信息滥用风险,也增加了健康医疗信息的误用风险,同时,这些信息也面临着移动互联网内部人员的非法传输、篡改、滥用的风险。
这些风险无一不显露出移动医疗信息安全问题。但目前的现状是,大部分人虽然感受到隐私备受侵犯的威胁,但却只在具体的医疗侵权纠纷中真正关注自己的医疗信息归属和隐私侵犯问题。整体上,社会民众对于移动医疗信息的关注目前暂且停留在那些较为明显的健康医疗信息,而对于移动互联网上时常发生的信息泄露、被信息挖掘行业不断暗中利用、开发的隐性健康医疗信息关注不足。移动医疗信息一经产生,便蕴含着各种与之相关的权利。随着公民权利意识的提高,隐私价值的凸显,医疗信息的隐私安全保护将会是移动健康医疗产业发生首先解决的问题。
2 移动医疗信息保护——一个基本的探究
2.1移动医疗信息安全侵权责任构成要件
因为移动医疗信息兼具“隐私权”和“物权”属性,所以在认定他人侵犯患者移动医疗信息安全时,不应局限于隐私侵权构成要件,还要考虑患者本身对个人健康医疗信息的支配权。
2.1.1加害行为。加害行为是指患者在使用移动医疗的过程中,受到医疗机构、医护人员、移动医疗平台、第三人等违反法律规定,非法公开、利用、传播个人信息和获利的行为。具体体现在两个方面。其一,违反“告知+许可”原则。该原则为目前国内外理论和实务界保护隐私权的基本原则。我国虽然在法律层面缺乏对该原则的直接确认,但在2012年全国人大常委会《关于加强网络信息保护的决定》中,明确规定网络服务提供者在使用被收集者个人信息时应当征得其同意。故而,非经患者同意或授权的使用皆构成对患者移动医疗信息安全的侵犯。其二,该行为本身违反法律规定。这种违法包括违反患者隐私权益保护法律法规和网络信息安全法律法规。如《侵权责任法》第六十二条规定的患者隐私权保护,以及工信部出台的《规范互联网信息服务市场秩序若干规定》中关于非法收集使用用户个人信息等规定。
2.1.2损害事实与结果。侵权行为客观上侵犯了患者的移动医疗信息安全,导致对患者造成损害,可以表现为精神损害和财产损害。从精神损害角度来说,互联网的传播速度、深度与广度远远高于传统媒体,每个互联网使用者都可以对网络上的信息下载、保存、再编辑。一旦患者个人信息发生泄漏,给患者造成损害的将不仅仅是侵权者本身,每个互联网用户都是潜在的侵权者,很可能给患者带来二次、三次乃至更多次的伤害。并且,患者享有移动医疗信息不被入侵、不被公开、不被干预、不被搅扰的权利[7],该权利注重保护患者个人信息本身保持隐秘的状态。因此,移动医疗信息安全本身隐密性和伤害的不可控性,决定以实际损害结果作为侵权责任构成条件难以实现对患者权利的有效救济,只有以“损害事实”是否存在为判断标准,才能最大限度地保护患者权益。从财产损害角度来说,虽然移动医疗信息是患者的“无形财产”,但该“财产”的价值难以衡量,并且在患者手中难以直接转化为经济利益,如果仅仅是患者个人信息被非法收集、利用,给患者带来的财产损害难以实际计算。因此,衡量患者财产损害的标准理应不同于精神损害的标准,以患者在侵权事件中实际受到的财产损失即损害结果作为判断标准,才能体现公平正义。
2.1.3因果关系。因果关系是指移动医疗平台、医疗机构及医护人员、第三人的加害行为与患者受到的损害之间存在引起与结果关系。具体表现为上述主体未经患者同意公布、使用、泄漏患者的医疗信息,由此给患者造成损害结果,二者之间具有显著的联系性。其中举证责任的分配是移动医疗信息安全因果关系的关键点。由于患者通常缺少网络技术科学知识,网络平台的信息存取技术掌握在移动医疗企业中,故而发生侵权事件时,如果按照一般侵权责任“谁主张、谁举证”原则将使患者承担巨大的证明义务,因此合理分配加害人和受害人之间的举证责任至关重要。为了有效预防加害人实施该类侵权行为,有必要采取举证责任倒置原则,由患者承担初步证明责任,加害人承担加害行为与损害事实之间不存在因果关系的证明义务。这样既有效预防加害行为的发生,也突出体现对患者权益的保护。
2.1.4主观过错。一般侵权损害归责原则是“过错责任”,特别是在人格权保护中,要求加害人存在主观过错是承担责任的条件之一。在侵犯移动医疗信息安全事件中,如果医疗机构及医护人员、移动医疗平台、第三人主动非法公开、利用、泄漏患者个人医疗健康信息,证明其主观具备过错必不可少。关键问题是,当移动医疗作为网络平台被动公开、泄漏患者个人健康医疗信息时,其归责原则如何认定?移动医疗平台作为患者个人健康医疗信息的储存平台,有妥善保管和保密该信息的义务。但在现实中,许多第三方可能利用移动医疗平台漏洞甚至是主动入侵移动医疗平台来获取患者信息,此时虽然移动医疗不存在“过错”,但是相对于患者其未尽到妥善保管与保密的义务,应该通过某一机制承担责任,督促移动医疗平台不断加强平台安全建设。参照《侵权责任法》第三十六条第二、三款可知,网络服务提供者承担在不知情的情况下“通知+移除”的义务,在明知损害却依旧放任的情况下和加害人承担连带责任。移动医疗的性质与“网络服务提供者”的性质相同,可以适用三十六条的规定作为担责的标准。
2.2移动医疗信息安全法律法规缺陷
目前,我国正处于信息转型阶段。国家正逐步重视和加强对个人信息的安全保护。“中华人民共和国公民的人格尊严权不受侵犯”是我国保护个人信息的法律基础,同时《民法》《民事诉讼法》《关于确定民事侵权精神损害赔偿责任的若干问题的解释》等相关规范也对个人隐私权保护进行了规定。2012年《信息安全技术公共及商用服务信息系统个人信息保护指南》使互联网上的个人信息保护“有标可依”。就患者个人信息而言,我国尚有《中华人民共和国职业医师保护法》《医疗机构病例管理规定》《电子病例基本规范(试行)》等法律予以保护,这些法律一定程度上对医护人员尊重和保护患者隐私作了较为明确的规定。但就移动医疗信息而言,我国仅有2012年全国人大常委会《关于加强网络信息保护的决定》和工信部出台的《规范互联网信息服务市场秩序若干规定》等法规、规章。一方面,这些法规效力有限,规制范围不足;另一方面,对个人医疗数据的可获取性(是否可以将此类信息共享)考虑较少,对移动医疗信息的隐私和安全问题的制度性保护架构不足。
2.3移动医疗信息安全法律完善对策
我国应该借鉴国外经验尽快构建“隐私权”保护法律体系,明确移动互联网时代隐私权和信息安全保护原则。较早对个人信息进行保护的经济合作与发展组织(OECD)于1990年通过了《关于隐私保护与个人资料跨国流通的指针》,该规定确立了8项个人信息保护的原则,其中“限制性”“明确性”等原则可供我国移动信息学习借鉴。1996年,美国《健康保险携带和责任法案》(HIPPA法案)规定,建立国家电子医疗交易保障监督制度,创建医疗信息安全和隐私。该法案通过让医疗服务商和医疗保险行业接触健康信息,控制、监督医疗健康信息的正当使用,以最大限度地保护患者的隐私[8]。随后,美国颁布《安全和创新法案》《个人可识别健康信息的隐私标准》《移动医疗应用程序指南》对互联网时代下的电子医疗信息进行更全面的规定。如今,欧盟正致力于建立覆盖全欧盟的数字医疗体系,并对信息流通过程的隐私安全问题给予高度重视。
3 移动医疗信息法律监管机制——一个暂时的结论
互联网时代,患者、医疗机构和医疗健康信息服务机构等任何一方已无法独占健康医疗信息,仅仅是制度或技术的单一信息保护框架俨然已无法满足移动医疗信息的保护需求。安全问题是一个整体性体系,它需要制度管理者作出全方位、多角度思考,采取组合拳式的保护机制,审慎地对待移动医疗信息,弥合健康医疗信息电子化、商业化之后产生的诸多问题。鉴于移动医疗信息的人格和财产权的双重属性,移动医疗信息的法律监管需要建立在移动医疗信息的非商业监管和商业监管基础之上开展。
3.1移动医疗信息非商业监管
移动医疗信息的非商业使用是指医疗机构、医务人员、研究机构(人员)基于临床医学、医疗研究等非商业目的,进行内部收集、共享、分析等使用活动。医学研究所需的医疗数据不仅含有诊断信息、患者健康信息,还含有个人基本信息。从某种程度上来说,患者医疗信息的共享可以促进医疗事业的发展。为了给医疗信息产业的发展提供适度的空间,从而促进医疗健康水平的提升,有必要在患者个人医疗信息的保密和合理使用之间确定清晰的界限。基于医疗研究目的的医疗数据可以“合理使用”,且“不以患者同意”为前提,但它的使用范围受到限制。一方面,国家可在建立常见电子医疗信息系统基础上,建立“去识别医疗数据系统”,将病例等信息进行再编辑,去除个人基本信息,如姓名、住址、社保号等能够识别出具体患者的信息。同时,规定医学研究所需的相关数据应当从“去识别医疗数据系统”中获取,不得通过其他渠道再识别化的患者健康医疗信息。另一方面,去识别医疗数据的免费使用只能限定在医疗机构、研究机构等相关机构内部,不可将之用于商业用途。
对于近年来兴起的电子病历服务商等掌握移动医疗信息的第三方机构,政府可以“政府购买公共服务”的方式,公私协力,明确第三方服务机构的资质和服务标准,规范电子服务行业。也可以建立健全“合同机制”,明确规定电子服务第三方机构可在何时以何种方式获取、使用患者信息。尽管移动医疗信息储存在第三方服务机构的系统之中,但这并不代表这些机构具有完全的所有权。借鉴美国“HIPAA法案”规定,一旦医疗机构与服务商终止合同关系,第三方服务机构必须销毁系统内的数据。
3.2移动医疗信息商业监管
尽管“去识别医疗信息系统”有利于保护患者个人医疗信息,但是如果医学研究仅以“电子医疗系统”中的“去识别”数据作为研究基础,难以维系医学研究的日常发展需求。近年来,互联网数据挖掘、分析行业、APP移动应用的日渐兴起成为促进移动医疗信息商业化发展的主要力量。以全球数据挖掘行业的领航者IMS健康公司为例,这些机构为了获取与患者或医疗系统纵向或终生的交流,通常会追踪和购买来自多渠道的医疗数据,并组建医疗数据库,仅在2006年该公司医疗数据处理业务获益达至19.6亿美元。这些公司除了从医疗行业购买医疗信息外,还从电子病历中剥离出识别信息,更加精准地确定移动医疗信息。“一刀切式”的禁止信息挖掘行业收集医疗数据已不适应社会经济的发展现状。保护健康医疗信息安全的同时,促进移动医疗信息产业的发展才是当今时代的基本诉求。医疗信息挖掘行业、分析行业以及移动健康医疗应用等产业的存在势不可挡。因此,商业使用的立法应当以“限制使用”为原则,辅之以行业监管,建立移动医疗信息的商业监管机制。
首先,确定非法披露医疗数据的责任。以法律、法规或规章形式确定网络环境下的数据披露责任,根据情节严重程度以及披露者主客观情况对违法披露数据的行为设置民事、行政和刑事责任。
其次,建立限制使用、收集制度。由统一的电子信息平台管理“去识别医疗数据系统”,以“合同”为基础,附加承诺条款,即由医疗数据挖掘行业做出不披露个人基本信息以及其他具有人格属性的医疗数据信息的承诺。明确健康医疗信息的监管主体,建立实行“层级立体”监管体系:由政府总负责,国家食品药品监督管理局作为主要监管主体,各部门、各机构联动执法监督。
再次,在有限制度和披露责任的基础上,建立健全“反哺机制”和“补偿机制”。国家加大资金投入。一部分用于“去识别医疗数据系统”等相关医疗数据监管制度的建设和维护;另一部分用来对医疗数据“披露”和“使用”过程中,隐私权等权利受到损害的人进行补偿。
最后,移动医疗信息的隐私权保护仍有赖于医务人员的自觉和医疗机构的行业自律。虽然这种仅凭医疗数据保有者自身的道德约束不足以完全保护患者健康医疗信息的隐私安全,它仍是移动医疗信息安全保护体系中不可缺失的一部分。
4 结语
在互联网时代,移动医疗正在深刻改变着传统医疗模式,它在为人们带来极大便利的同时,也为现有法律制度带来挑战。传统的隐私保护法律原则在快速发展的移动医疗面前已经捉襟见肘,像我国这样尚未系统建立起信息安全和隐私权法律体系的国家正在承受前所未有的挑战。所以借鉴国外法律与政策经验,尽快建立我国的信息安全与隐私权法律体系、行政监管体系和医疗技术体系刻不容缓。在建立移动医疗信息安全保护体系的过程中,既需要医学专业人员和移动医疗创业者的积极推进,更需要国家行政机构、立法机构对现有的法律和政策体系的完善。在保护患者个人健康医疗信息安全的同时,推动移动医疗的高速发展,促进我国医疗改革事业的进步。
[1] 王晶.reMED2015中国互联网医疗发展报告解读[J].高科技与产业化,2015(4):54-57.
[2] 王雪玉.法律及监管不明确 移动医疗APP“看病”被指不靠谱[J].金融科技时代,2015(5):18.
[3] 汤啸天.网络空间的个人数据与隐私权保护[J].政法论坛:中国政法大学学报,2000(1):10-14.
[4] 环球网.卫计委《远程医疗技术指南》:谁来做移动健康医疗信息的安全卫士?[EB/OL].(2015-01-18)[2016-05-01].http://tech. huanqiu.com/news/2015-01/5432312.html.
[5] 李伟.医疗数据泄露,要损失多少银子[N].健康界,2015-06-02.
[6] 新华网.超37%国内网站有漏洞 23.6亿条用户信息存在泄漏风险[EB/OL].(2015-03-04)[2016-05-03].http://news.xinhuanet.com/legal/2015-03/04/c_127541886.htm.
[7] 杨燕.患者隐私权的民法保护[D].华中科技大学,2006.
[8] Jennifer L. Klocke. Prescription records for secord for sale: privacy and free speech issues arising from the sale of de-identified medical data[J].Idaho Law Review,2008(44):511.
邓 勇:北京中医药大学法律系讲师
E-mail:dengyong8211@163.com
Discussion on the mobile medical information security protection and legal supervision system
YU Wenqing, DENG Yong//Chinese Hospitals. -2016,20(9):53-56
2015年北京市社会科学基金研究基地项目“北京市移动医疗APP产业发展法律问题研究”(15JDFXB004)
①厦门大学法学院,361005 厦门市思明区思明南路422号
②北京中医药大学,100029 北京市朝阳区北三环东路11号
2016-05-10](责任编辑 王远美)
