论我国移动医疗中患者隐私权之保护
2019-08-31徐樱珍
徐樱珍
摘要:随着网络通信技术、移动医疗产业迅速发展,提高了医疗效率,但其依赖互联网的特性会使患者隐私信息更易泄露。对于移动医疗中的患者隐私权,我国现行法律并未明确规定,患者维权难度大。移动医疗中,患者隐私权具有主体多样性、客体复杂性、利益多样性的特点。借鉴美欧及台湾地区的法律制度,从立法、监管、救济等角度提出了保护患者隐私的措施。
关键词:移动医疗;患者隐私权;法律问题;保护措施
中图分类号:R-052
文献标识码:A
DOI: 10.15913/j.cnki.kjycx.2019.08.042
大约在20世纪60年代,“远程医学”开始兴起,之后技术革新不断发展,成为如今的“移动医疗”。国际医疗卫生委员会将其定义为通过使用移动通信技术和卫星通信技术来提供医疗服务和信息,具体到移动互联网领域,以医疗健康应用软件为主。约在2008年进入中国市场,2015年,已有2 000多款同性质应用软件在市面流通[1]。它的优点在于提高了医疗效率,但其依赖互联网的特性会使患者信息更易被泄露。在传统诊疗中,医患双方可直接交流,侵权发生后问责主体清晰,患者对个人隐私信息的可控范围较大。但在互联网背景下,法律关系错综复杂,患者隐私权如何保护成为一个新问题。
1 移动医疗中患者隐私权的特点
隐私权是指自然人所享有的能够在私人活动和私有领域对与社会公共利益无关的个人信息进行自我支配的一种人格权。患者隐私权是隐私权的下位概念,本文将其定义为在互联网活动中,移动医疗平台及其工作人员就其诊疗过程中,负有保密义务和防止泄露患者信息的义务。患者隐私权虽属于隐私权,但前者有着与后者不同的特点。
1.1 主体多样性
移动医疗中,患者隐私權的侵权主体更加多元。从内部的整个诊疗活动来看,能与患者产生隐私权法律关系的主体包括了为患者提供诊疗的医护人员、其他接触到患者信息的工作人员、移动医疗软件运营商、监管部门。这四个主体都有可能利用职务之便单方盗取或者多方勾结侵犯患者的隐私权,情形复杂。从外部的信息保护来看,与医药相关的保险公司抑或兜售药品的商家甚至是诈骗集团都有可能在利益的驱使下,通过网络技术突破移动医疗平台设置的安全网,秘密窃走患者信息,侵权的不确定性决定了侵权主体的多样性。
1.2 客体复杂性
在移动医疗中,患者隐私权所保护的客体具有复杂性。患者隐私权的客体大致可分为个人信息、医疗信息、财产信息、私人空间信息、私人活动信息[2]。在传统诊疗中,患者个人信息包括姓名、联系方式等;患者医疗信息包括各类化验单、病历等;患者财产信息包括银行卡号、医保卡号等;患者私人空间信息基本在手术室、住院病房发生;患者私人活动信息则是患者在接受医疗服务时医患双方所作出的行为。而在移动医疗中,患者个人信息包括各类型证件号等;患者医疗信息包括医疗数据(如电子病历);患者财产信息包括微信个人账户、支付宝个人账户、银行卡及医保个人账户信息;患者私人空间信息发生在网络个人空间;患者私人活动信息则是远程医疗、康复指导、医疗相关应用软件登录及操作活动。
由此可知,移动医疗中患者隐私权与普通患者隐私权相比,其复杂性体现在以下三个方面:①客体的范围大。传统诊疗只需知道患者的姓名、年龄等基本信息,移动医疗却需要付款账户的信息授权,这已从患者的现实身份延伸到患者的网络身份,患者信息暴露区域变大。②客体的威胁性高。移动医疗中的电子病历、电子化验单由于借助互联网传输,信息更容易留下痕迹,患者信息难以“被遗忘”。③客体的综合性高,医疗数据具有针对性,集患者多项信息为一体,加以分析处理后比普通隐私信息价值高。
1.3 利益广泛性
移动医疗中,患者隐私权有以下两个重要的价值,蕴含着广泛深远的利益:①人格尊严价值。在诊疗中,医护人员以患者提供的个人情况为依据诊断,为了确保诊疗结果正确,患者一般会无条件地信任医生,对个人情况有问必答,这些信息中可能包括患者的“难言之隐”,一旦泄露就会伤害到患者的人格尊严。②经济价值。移动医疗平台极易保存患者提交的个人信息,而患者只能依赖其妥善保管。在利益驱动下,患者信息被移动医疗平台卖给收集信息的搜索公司,搜索公司对信息再加工,做成数据卖给利益链的下一端口。依托互联网,这个过程会更隐蔽更快捷,对不法分子更具诱惑力,患者的信息价值自然不言而喻。
2 国内移动医疗中患者隐私权保护存在的问题
自2011年好大夫发布手机客户端应用软件以来,移动医疗行业如雨后春笋般在中国这片土壤生长起来。2015-03,李克强总理在政府工作报告中首次将“互联网+”提升至国家战略,移动医疗行业从此有了政策支持。与该行业迅猛发展势头不相应的是,我国的相关法律制度仍存在着一些问题。
2.1 立法零碎,未成系统
2.1.1 法律
我国《宪法》规定,“公民人格尊严不受侵犯”“公民住宅不得非法入侵”“公民享有通信自由和通信秘密”为隐私权;《刑法》就三种妨害隐私权的主体制定了相应的“非法搜查罪”“侵犯通信自由罪”“私自开拆、隐匿、毁弃邮件、电报罪”罪名;我国三大诉讼法确立了尊重诉讼当事人隐私的原则;《民法总则》中提到了“自然人的个人信息受法律保护”;《侵权责任法》将隐私权纳入保护范围,明文保护患者隐私权。
2.1.2 法规
为了与社会发展相适应,国家出台了多项单行法规,其中《医疗机构管理条例》《护士管理办法》《计算机信息网络国际联网安全保护管理办法》《执业医师法》等都涉及了隐私权的保护,如《护士管理办法》第24条规定“护士在执业中,得悉就医者的隐私,不得泄露”;《执业医师法》第22条规定“医生在执业活动中,要关心、爱护、尊重患者,保护患者的隐私”。
可见,在我国关于患者隐私权的法律规定是零碎的,并非一个完整的系统。这些条款排布分散,大到宪法的兜底性条款,小到各单行法的只言片语,难以查找;其次,这些规定实际操作性弱,如《执业医师法》《护士管理办法》中的规定,更多的是宣言、倡导之意,虽有正面作用,但过于概括,不利于执行;最后,我国目前尚未出现一部是以移动医疗模式为基础制订的、能够规范其中患者隐私中权利义务关系并具有综合性质的专门法。
2.2 监管不明,分责不清
2.2.1 职能机构
职能机构的监管问题体现在以下两个方面:①外部监管。从监管外部来看,职能机构“谁监管”“监管谁”不明确,如《医疗器械网络销售监督管理办法》规定“各级食品药品监督管理部门负责本层级行政区域内医疗器械网络销售的监督管理”;《关于推进医疗机构远程医疗服务的意见》规定“各级地方卫生计生行政部门要加强远程医疗服务的监督管理”,实行监管的对象定义不清,在二者都可以监管的情形下,容易造成二者都管理或者二者都不管理的后果,行政效率低下[3]。②内部监管。从监管内部来看,掌握监管权限的职能部门权力大,执法人员面对利益诱惑,难免利用职务犯罪。因此亟需合理、有效的内部监督制度,以便分权明责,从源头遏制。
2.2.2 移动医疗平台
在移动医疗中,第一手掌握患者信息的是医疗平台方,在无相应法律约束的情形下,医疗平台方处于相对自由的状态,处理信息方式多种多样,情况多变复杂。其监管问题体现在以下两个方面:①平台对内部工作人员的监管。患者在诊疗时产生的隐私信息,医护人员、后台数据录入人员等内部工作人员都有可能获取该信息,目前暂无相应监管措施。②平台对患者信息数据库的监管。一方面平台方需要提高技术,对患者信息数据库予以保护;另一方面需要监管数据库的正常运转,但目前只能依靠平台自觉。移动医疗行业自我监管制度必不可少,仅依赖职能机构的监管,不利于当事人及时止损,患者隐私权的维护会受到更大的挑战。
2.3 救济措施不完善
目前,移动医疗领域患者隐私权的救济方式是以《侵权责任法》规定为主。依照《侵权责任法》第16条规定可知,承担侵权责任的方式主要有停止侵害、排除妨碍、消除危险、返还财产、恢复原状、赔偿损失、赔礼道歉、消除影响、恢复名誉。虽然有“停止侵害、排除妨碍、消除危险”作为补救,有“赔偿损失、赔礼道歉、消除影响”作为惩罚,但该法条在移动医疗适用上仍然水土不服。
移动医疗犯罪具有隐蔽性,即便患者及时得知隐私权被侵犯,但是难以清楚哪一主体侵犯自身权益。即使得知违法主体,当事人用何种方式与该违法主体取得联系要求其停止侵害,又可以要求何种监管主体行使公权力介入保护,仅凭法律上这几句话难以定论,要求当事人独立追责不现实。加之,患者隐私权的人格尊严具有不可恢复的属性,稍挽回不及时,便无法补救。另外,惩罚措施中“赔偿损失”标准不明,患者隐私作为一种抽象的价值,如何判定、怎么判定、由谁判定均未知,如果这些不能确定,当事人维权必定举步维艰。
3 完善我国移动医疗中患者隐私权保护的建议
借鉴国外先进经验,再结合移动医疗中患者隐私权的特点,针对我国移动医疗中患者隐私权保护存在的问题,我从以下三方面提出了建议用以保护移动医疗下患者的隐私权。
3.1 系统立法,制订专门法
建立一个系统的法律保护框架。如美國20世纪发布的HIPAA法案,该法案构建了一系列针对患者隐私权保护的原则[4]。从我国实际出发,系统化的法律保护体系必须包括以下两个方面:①确定责任主体。前文已述,移动医疗中患者隐私权主体具有多样性,以明文规定清晰侵权主体有利于当事人厘清权利义务关系,更快找到维权手段,提高维权效率。②明确患者隐私权的客体内容。移动医疗中患者隐私权保护的客体具有复杂性,客体范围广、威胁性大。在诊疗过程中,患者判断何者为不必透露的个人隐私信息难度大,而且接触到患者信息的工作人员不一定具备这方面的知识,因此作出明文规定有利于患者的自我保护和相关人员的专业保护。
需要补充专门法和程序法。一方面,有了宏观的系统,面临的法律问题虽有基本原则,但法律具有滞后性,随着技术、观念的更新,新问题必定会出现。这就需要立法机关根据实际及时补充制订专门法,完善移动医疗中的新问题。另一方面,移动医疗中患者隐私权涉及隐私,利益广泛,起诉、上诉、应诉、申诉程序都要考虑到这个问题,而现行的诉讼法暂无适用该问题的配套程序。
3.2 加强监管,权责分明
3.2.1 职能机构
职能机构有两个问题亟需解决,一个是“谁监管”,另一个是“监管谁”。目前,我国掌握监管权的“有关部门”很多,如食品药品监督管理部门、卫生计生行政部门,以及负责应用审核上架的移动医疗软件运营商等等。但权力太分散,监管步调难以一致,因此监管难度大幅度上升。如何确立掌握监管权的职能机构?在此,我国可以借鉴美国的先进经验。早在1989年,医疗软件就被纳入美国食品药品监督管理局( FDA)的管理范围,FDA掌握监管权。因移动医疗仍属于医药类,因此建议我国的食品药品监督管理部门作为主要的监管主体,卫生计生行政部门为辅助的监管主体。为防止权力过于集中导致的内部腐败现象,特将FDA掌握的审核和监控职能分给两个部门。即我国的食品药品监督管理部门掌握审核权,卫生计生行政部门掌握监控权。食品药品监督管理部门审核移动医疗中的重点问题,如医护人员的资质、远程医疗器械的安全。卫生计生行政部门掌握监控移动医疗的次要问题,如移动医疗软件运营商对软件的审核上架、工商管理部门对移动医疗广告的审核。食品药品监督管理部门与卫生计生行政部门互相监督。至此,职能机构的“谁监管”“监管谁”两个问题能够得到初步解决。
3.2.2 移动医疗平台
移动医疗平台缺乏对内部工作人员的监管以及对患者信息数据库的监管。对于这两个问题,可以借鉴欧盟的相关制度。1995年欧盟的《数据保护指令》要求“相关的监管机构及工作保护组也应当履行相应的监管职责和程序”[5],建议我国借鉴该指令,将移动医疗平台定义为“工作保护组”,有义务履行对内部相关工作人员的监管职责。《数据保护指令》还指出“信息处理人应对本人履行完善的通知义务”,之后对患者信息数据库的监管,欧盟“选择进入机制”,即只有经过患者本人同意,相关人员才能将患者档案录入系统,拒绝录入者会丧失此方面的多项便利。虽然这项机制时间、金钱成本高,但是站在了患者立场维护了网络信息安全,对我国仍有一定参考意义。
3.3 救济措施具体化
患者隐私权属于人格权,其被侵犯后的不可恢复性体现了补救措施的重要性。互联网环境下,隐私被泄露这一事件,往往具有紧迫性。对此,建议借鉴台湾地区的《民法典》相关规定。台湾地区的《民法典》规定“人格权受侵害时,得请求法院除去其侵害”,可以将“法院”作为隐私权补救的申诉机关,从而完善补救时患者找不到申诉机关的问题。再借鉴“有受侵害之虞时,得请求防止之”的规定,有关部门出台一些能为补救提供时间、空间便利的特殊条例,做到在法院申诉后“一反应就反馈”,从而提升补救时的及时性。
至于移动医疗中,侵犯患者隐私权的惩罚措施,建议将我国的《侵权责任法》和2016年欧盟颁布的《一般数据保护条例》结合起来。在此,本文将惩罚分为非物质惩罚和物质惩罚。出于对患者的精神弥补,侵权之后的非物质惩罰,仍然按照《侵权责任法》的“赔礼道歉、消除影响”执行。物质惩罚的“赔偿损失”标准建议按《一般数据保护条例》执行。该条例规定“一般违法行为,罚款上限为1 000万欧元或该公司去年全球收入的2%(以最高值为准);严重违法行为,最高罚款是2000万欧元或该公司去年全球收入的4%(以最高值为准)”[6],建议“一般违法”和“严重违法”情形确立标准由食品药品监督管理部门根据我国实际确立,建议数额标准结合我国国情,参照巨额罚款数额确立执行。欧盟这项惩罚十分严格,极大地震慑了盗取数据犯罪。若能将这项机制引入国内,有利于患者维护隐私权。
4 结束语
自古以来,中国人民权利意识淡薄,大多只重视财产权。但是,随着法制观念的普及和社会的发展,越来越多的人重视维护人格权。与朝气蓬勃的移动医疗行业高昂的势头相比,我国移动医疗的相关立法可以说是几乎处于真空状态,监管制度也相当不完善,以致移动医疗中患者隐私权保护没有直接引用的法律和制度。在此情形下,结合行业特点,借鉴国外法律制度,根据实际制订系统法并完善专门法、程序法,才能使这个行业焕发巨大的生命力,更好地为人民服务,让社会发展更好。
参考文献:
[1]宗文红,陈晓萍.国外移动医疗监管对我国的启示[J].中国卫生信息管理杂志,2015,12 (4): 342.
[2]陆慧敏,张宇清.“互联网+医疗”模式下患者隐私权保护探析[J].医学与法学,2018,10 (4): 29-33.
[3]郝晓霞.论电子医疗的患者信息保护[D].济南:山东大学,2018.
[4] FDA.Mobile medical applications guidance for industryand Food and Drug Admini stration staff[EB/OL].http://www.fda.gov/medicaldevices/productsandmedicalprocedures/connectedhealth/mobilemedicalapplications/default.htm.2015 -06-10.
[5]庹兵兵,沈丽宁,徐彪.美欧移动医疗项目推进与监管措施探析[J].中国医院管理,2016, 36(2):78-80.
[6] Maja Brkan.The Unstoppable Expansion of the EUFundamental Right to Data Protection : Little Shop ofHorrors [J] .Maastricht Journal of European&ComparativeLaw, 2016 ( 2 ) .
