周思成，翟晓梅

(北京协和医学院人文和社会科学学院，北京　100730，zhousicheng1992@126.com)



电子医疗保健情境下的隐私保护

周思成，翟晓梅*

(北京协和医学院人文和社会科学学院，北京100730，zhousicheng1992@126.com)

电子医疗保健指互联网和信息通信技术在医疗保健领域的应用，其具体应用包括电子医疗记录、互联网健康信息服务和远程医疗等。总结了电子医疗保健情境下隐私的新特征，梳理了这些技术应用所引发的隐私问题，并对隐私保护问题进行了分析。对隐私泄露的担忧主要源于未经授权的数据获取，以及对隐私数据不合伦理地使用。最后，对互联网和信息通信技术应用于医疗保健领域这一情境下的隐私保护提出一些管理建议。

电子医疗保健；隐私保护；互联网；医学伦理学

电子医疗保健(E-health)这一术语最先由Mitchell于1999年提出，用以描述应用电子信息和通信技术的医疗保健，包含数字资料的电子化传输、存储和检索等技术应用[1]。之后，Eyenbach对此概念进行了扩展，将其描述为利用互联网或相关技术提供医疗保健信息和服务[2]。HansOh等人于2005年对电子医疗保健做了系统的综述，认为所谓电子医疗保健概念涉及一系列多元概念，包括医疗保健、技术和商业[3]。世界卫生组织在2011年将电子医疗保健简单定义为“应用信息通信技术的医疗保健”[4]。

可以看出，虽然电子医疗保健的定义不断演进，随着科技的不断进步，还将会有新的互联网和信息通信技术应用到医疗保健领域中，但电子医疗保健定义的核心仍然是互联网和信息通信技术在医疗保健领域中的应用。电子医疗保健的意义在于带来更好更高效的服务和治疗、改善医疗质量、更好地服务于患者的健康。

实践中，电子医疗保健强化了患者或用户对健康的自我管理能力，使他们能够通过网站方便地获取医疗保健信息以增强自身健康知识水平，还能够通过网络社区与医生或患有同样疾病的人交谈，寻求建议和互相交流治疗信息。通过电子医疗保健中的远程医疗服务可以实现优质医疗资源的跨时空配置，帮助病人免去不必要的到院就医和跨地区就医。此外，比起过去纸质文件的方式，电子化的存储方式使得健康信息可以拥有更加精密的用途，比如自动提醒药剂师是否配药错误，或者整合电子化的医疗信息以用于研究或公共卫生事业[5]。

不过，在电子医疗保健的应用和发展过程中也呈现出伦理、法律、管理方面的挑战。本文将着重探讨电子医疗记录、互联网健康信息服务和远程医疗等电子医疗保健具体应用中的一些关乎隐私保护的伦理学问题。

1　电子医疗保健情境下隐私的新特征

1.1隐私的高价值性

电子化的数据收集和存储能够将患者/用户的信息聚合起来，从而可以创建关于个人的详细的合成档案。而且将收集到的大量数据进行聚类和关联分析后，可以挖掘出新的有价值的信息。对这些数据进行挖掘不仅对于医学科研和公共卫生有很大价值，比如研究基因与疾病的相关性、预测传染病的流行等，而且对于商业运营来说也有很大的经济价值，比如精准营销，可以带来巨大的商机和商业利润。

1.2隐私的脆弱性

计算机存储、互联网和信息处理技术的进步使得我们可以不断大规模收集电子数据。高速通信和处理数据以及远程获取信息致使数据信息的安全性、隐私性和保密性问题突显出来。大数据分析方法和云计算技术的出现使这些问题变得更为复杂。从大量电子信息资源中有效地获取有价值信息的数据挖掘技术尤为如此。因此，数据挖掘的滥用导致安全、隐私和保密性变得尤为脆弱。

1.3隐私破坏的隐蔽性

由于互联网的开放性，在线破坏患者/用户隐私的行为往往很难被用户察觉。用户很少知道哪些人可以获取他们的信息、在什么样的情境下获取，以及使用这些敏感信息的目的，因而也很少意识到他们的隐私可能会被侵犯。

2　隐私保护面临的挑战

电子医疗保健情境中对隐私保护提出了新的挑战。相对于传统医疗模式，电子医疗保健情境下的隐私保护更加困难和复杂，这在电子医疗记录、互联网健康信息服务、远程医疗等应用中均有体现。

2.1电子医疗记录

电子医疗记录可以提高医疗卫生服务的质量和效率。当完全实施时，电子医疗记录便能够交互运作，允许不同系统和网络在全国范围内共享信息[6]。

然而电子医疗记录的这些特性也带来了关于隐私的担忧。与传统纸质病历不同，电子化的健康信息易于复制和共享，很容易被第三方获取。波耐蒙研究所于2015年发布的《第五届医疗数据隐私与安全研究报告》显示，在美国超过90%的医疗机构存在数据泄露情况，40%的公司在过去两年内至少发生了五次数据泄露[7]。

电子化的健康信息速度更快、范围更广，隐私一旦遭到泄露便很难得到控制，因而给患者或用户带来的伤害也会更大。一旦患者知道自己的隐私被泄露，其对信息收集者的信任程度将大大降低。例如，当患者意识到电子医疗记录潜在隐私风险较高时，便会抱有抵制态度，比如在电子医疗记录中只提供有限的敏感信息，而这样做很可能会妨碍就医的诚实性和医疗服务机构为患者提供最佳的治疗。

2.2互联网健康信息服务

在互联网发展普及之前，人们通过咨询医生或者其他医学专业人员，阅读书籍、报纸和杂志，或向亲友询问来获取健康信息。而近几年来，互联网已经成为网民获取健康信息的主要来源。2015年第一季度《中国网民科普需求搜索行为报告》显示，健康与医疗在食品安全、气候与环境等8个搜索主题中占比为57%，最受关注，互联网成为常见疾病的问询平台[8]。

然而，通过互联网获取健康信息和进行健康咨询所引发的隐私风险也不容忽视。比如，许多提供健康信息服务的网站要求用户填写包含个人信息的注册表，只有这样才能获取网站信息。而且，一些网站允许广告商和其他第三方获取用户信息，当用户点击外部广告条幅时，该网站便追踪这些用户，并把信息传到广告商的数据库[9]。广告商便可以利用这些信息定向推送广告。

此外，患者/用户在进行网上咨询或与网络社区中的病友分享信息时，可能会有意无意泄露一些碎片信息。虽然一小片信息看起来毫无价值，但是当这些信息与患者/用户提供的其他信息关联起来就很可能识别出个人身份[10]。

2.3远程医疗

远程医疗是指远距离诊断、监控和管理患者的健康状况[11]。该技术的应用使得医疗保健突破了空间的限制，医疗资源不足地区的患者能够通过远程服务获取专业的医疗，随着移动互联技术和可穿戴设备的发展，患者的健康状况能够在家中得到监控。

然而远程医疗在实施过程中也存在隐私风险。例如，在远程诊断中，患者通过无线网络发送图像、X光图、患者病史以及其他相关材料，并且与医生的沟通一般采用视频通话方式。然而，由于无线网络的开放性,通过其传输数据更容易受到攻击和被动窃听。

此外，家用远程设备使得医疗保健可以在最私人的领域进行，这在许多方面带来了方便。虚弱的患者可以不用消耗太多时间和精力，在医疗机构与家之间来回奔波。然而相对于在家外接受医疗服务，关于患者/用户日常生活的信息在更大程度上为他人可见。因此，患者/用户控制自身私人领域的能力可能会被限制，比如运动传感器能够为医疗机构记录和报告患者健康状况和他们的行为。这些设备可以持续性地从患者/用户家中记录、存储和向医疗保健提供者传输数据。远程收集健康数据和监控可能会收集多余的信息，比如患者/用户的位置信息，这也带来隐私泄露的风险，对患者隐私保护提出了新的挑战。

3　隐私保护的伦理学视角

3.1规范化管理

如上文所述，在电子医疗保健模式下新技术的应用对隐私保护提出了新的挑战，这也引发了学术界和社会公众对隐私泄露和隐私保护问题的广泛讨论。其中存在两种较为极端的观点。一种极端的观点认为，隐私的概念将不再有效，因为隐私保密不再能够得到保证，我们应该逐渐适应越来越高度透明的社会。另一个极端是，若要保护隐私，我们就必须拒绝一些互联网和信息通信技术的应用。

虽然新技术的应用的确使隐私保护变得更加困难和复杂，但这并不能成为我们放弃隐私的理由。因为保护隐私是为了尊重患者和用户的自主性，即决定个人信息是否以及如何被共享和利用的权力。另外，隐私泄露可能会对患者/用户造成伤害，比如歧视、污名化等。

当然，对隐私的保护也不能绝对化。利用互联网和信息通信技术对患者或用户信息进行符合伦理的使用，有着促进人类健康和福祉的潜在价值。比如在2009年，通过分析google中与流感及其症状的检索词，研究人员可以预测最近的流感爆发，而且比疾控中心的检测报告早了两周左右。

如果对健康信息的分析和利用能够对患者健康、医学研究、公共卫生产生很大益处，同时能够通过采取数据安保措施使隐私泄露的潜在伤害被控制到最低限度，并且履行知情同意的程序，并去除可识别身份的信息，那么使用和共享患者/用户数据是能够得到伦理学辩护的。

可见，停止新技术应用是因噎废食，合理的做法应该是对电子医疗保健加以规范，防止误用和滥用。

3.2数据安保

未经授权访问患者/用户数据是引发隐私问题的重要原因，因此所有获取、采集和使用患者信息的机构必须首先有保护隐私安全的合理的安保措施到位。安保是指通过认证、数字签名、加密、防火墙或其他方式，仅允许经过授权的机构或个人获取数据。安保是依情境而定的，由于电子医疗保健领域的快速革新，不太可能界定出一种安保政策为所有的情境和新技术提供指导。因此，安保是持续发展的，应当被看作一个过程而不是状态。同时，安保措施的选择应当依据信息的敏感性，实行分级保护。例如对于高度敏感的个人信息(精神健康记录、HIV感染状态等)需要复合的安保措施，没有采取适当保护措施的机构应当受到惩罚。

3.3知情同意

合乎伦理的健康信息使用和共享应当遵循知情同意原则。健康信息网站，包括患者网络社区，都应该声明他们是否以及如何使用、存储或向第三方共享个人信息，并且使用人们能够理解的语言。建议对于数据的使用以及与第三方共享都应该要求用户“opt-in”。 在网络空间获取同意的方式也与传统方式有所不同，可行的办法包括在隐私条款中设置“同意”或“不同意”的按钮，或者通过电子签名获得明确的同意。

3.4匿名化

当为非医疗目的使用或共享数据时，获得患者的信任是至关重要的。要认识到，即使患者/用户同意他们的数据用于研究或公共卫生目的，他们仍会期望这些数据能够被充分匿名化，即不会追溯到个人身份。所以匿名化对于保护患者/用户隐私是很有必要的。

由于技术更替以及其他可用于识别个人身份的数据出现，匿名化通常是有时限的。超过这个时限就应当再次评估被重新识别的风险，以确定当前情况下原已匿名化的数据是否处于高风险状态，并及时采取隐私保护的措施。

3.5法律规范

欧美一些发达国家对电子医疗保健中隐私保护问题已经制定了较为完善的政策法规。比如美国《医疗电子交换法案》(HIPAA)，针对电子医疗保健信息的交换规则、医疗数据安全、隐私管理等问题制订了详细的法律规定[12]。在英国和瑞典，法律限制任何单位在未经数据拥有者明确同意的情况下获取任何类型的个人信息，存储这类数据的单位必须向政府注册。德国隐私法额外要求数据最少化和目的限制原则，意味着只可以收集最少量的数据来完成特定目的，而这些数据不可以用作特定目的以外的其他目的[13]。

我国《执业医师法》《护士管理办法》《中华人民共和国传染病防治法》等对传统医疗保健模式下的患者隐私保护提出了要求和规定。近年来，针对电子医疗保健的隐私保护也制定了一些规范和管理办法，如《电子病历基本规范》要求：“对操作人员的权限实行分级管理，保护患者隐私。[14]”《互联网医疗保健信息服务管理办法》则提出了网络和信息安全的要求[15]。这些法律规范虽然大多都提出需要保护患者或用户隐私，但管理政策的规范着重于防止隐私的泄露和信息安全，而对于如何共享和使用这些信息并没有明确的管理和相关规定，这对电子医疗保健中隐私信息的保护是远远不够的。加强如何共享和使用这些信息的伦理管理以及政策制定是迫在眉睫的工作。

我国权威管理机构和部门应该结合我国电子医疗保健的发展现状、发展目标以及现实中存在的问题和挑战, 尽快研究并制定法律法规, 为电子医疗保健的健康发展提供伦理管理和法律保障。

[1]Mitchell,JohnGregory.Fromtelehealthtoe-health:theunstoppableriseofe-health[Z].CommonwealthDepartmentofCommunications,InformationTechnologyandtheArts, 1999.

[2]EysenbachG.Whatise-health[J].JournalofMedicalInternetResearch,2001, 3(2):e20.

[3]OhH,RizoC,EnkinM,etal.WhatiseHealth(3):asystematicreviewofpublisheddefinitions[J].JournalofmedicalInternetresearch, 2005, 7(1):e1.

[4]WorldHealthOrganization.AtlasE-HealthCountryProfiles:BasedontheFindingsoftheSecondGlobalSurveyonE-Health[M].WorldHealthOrganization, 2011.

[5]eHealth:legal,ethicalandgovernancechallenges[M].SpringerScience&BusinessMedia, 2012.

[6]RothsteinMA.DebateOverPatientPrivacyControlinElectronicHealthRecords[C].HastingsCenter,BioethicsForum,2011.

[7]波耐蒙研究所.第五届医疗数据隐私与安全研究报告[R]. 波耐蒙研究所,2015.

[8]中国科协科普部,百度指数,中国科普研究所.2015年中国网民科普需求搜索行为报告[R].2015.

[9]BlobelB.EHealth:CombiningHealthTelematics,Telemedicine,BiomedicalEngineeringandBioinformaticstotheEdge:CeHRConferenceProceedings2007[M].ProUniversitate, 2008.

[10]CookDJ.E-Health,TelehealthandTelemedicine[J].TelemedicineJournalande-Health, 2002, 8(2): 167.

[11]DraperH,SorellT.Telecare,remotemonitoringandcare[J].Bioethics, 2013, 27(7): 365-372.

[12]USDepartmentofHealthandHumanServices.SummaryoftheHIPAAprivacyrule[J].Washington,DC:DepartmentofHealthandHumanServices, 2003.

[13]FlahertyDH.Protectingprivacyinsurveillancesocieties:ThefederalrepublicofGermany,Sweden,France,Canada,andtheUnitedStates[M].UNCPressBooks, 2014.

[14]卫生部.电子病历基本规范(试行): 卫医政发(2010)24号. [A/OL].(2010-03-04)[2016-02-05].http://www.gov.cn/zwgk/2010-03/04/content_1547432.htm.

[15]卫生部.互联网医疗保健信息服务管理办法(卫生部令第66号) [A/OL].(2009-06-23)[2016-02-05]http://www.moh.gov.cn/mohbgt/s3580/200906/41403.shtml.

〔编辑吉鹏程〕

《中国医学伦理学》杂志刊期将变更为月刊

《中国医学伦理学》杂志创刊于1988年，是由教育部主管，西安交通大学主办的我国目前唯一的关于医德医风、医学伦理学、生命伦理学的大型学术刊物，为中国科技核心期刊(中国科技论文统计源期刊)。为进一步适应期刊的发展要求，缩短出版周期，提高学术研究成果发布的时效性，更好地为作者和读者服务，经陕西省新闻出版广电局批准，本刊自2017年1月起由双月刊变更为月刊，全年12期。欢迎各位同仁继续撰写及推荐佳作。

对长期以来关心、支持本刊的编委、审稿专家以及广大作者、读者表示诚挚的感谢！

PrivacyProtectionintheContextofE-health

ZHOU Sicheng，ZHAI Xiaomei

(School of Humanities and Social Sciences, Peking Union Medical College, Beijing 100730, China,E-mail: zhousicheng1992@126.com)

E-healthwasreferredastheuseofinternetandICT(informationandcommunicationtechnology)forhealthinthispaper,whichmainlyencompassedelectronichealthrecord,onlinehealthinformationandtelehealth.Thepapersummarizedthenewcharacteristicsofprivacyofe-health,andpresentedcurrentprivacyissuesraisedbytheseapplications.Themajorprivacyconcernswereunauthorizedaccesstoandsecondaryuseofprivacydata.Thepaperputforwardsomegovernancesuggestionsofprivacyprotection.

E-health;PrivacyProtection;Internet;MedicalEthics

，E-mail:xmzhai@hotmail.com

R197.32

A

1001-8565(2016)04-0681-04

2016-05-27〕

2016-07-03〕

doi:10.12026/j.issn.1001-8565.2016.04.42