姜 雯

（南方医科大学卫生管理学院 广州 501515）

2005年，世界卫生大会鼓励会员国将eHealth纳入卫生系统和服务[1]，2012年世界卫生组织举办健康数据标准化（standardization）和互操作性（interoperability）论坛，促使各国制定全面的路线图以实现国内互操作性[2]。全球卫生领域的发展趋势令多个国家和地区的政府致力于此，一方面以法制保障个人健康信息隐私和安全，另一方面积极推进健康信息的互通共享和应用。在“健康中国”战略和全面依法治国新理念新思想的战略背景下，文章通过比较中国、美国和加拿大关于健康信息保护与共享的法制状况，为我国健康数据的现代化治理和各个利益相关方的协同发展提供参考。

1 美国健康信息保护与互通共享的法制概况

1.1 个人信息保护的基本守则与重要立法

1.1.1 “公平信息实践”是全球信息隐私保护的源泉

二十世纪六七十年代，政府大量处理电子数据催生了信息隐私问题。《1974年隐私法》在当时颇具影响力，其“公平信息实践”（fair information practices）原则影响全球，1980年经济合作与发展组织（OECD）将公平信息实践编入《OECD指南》，1995年欧盟指令95/46/EC引入并加以完善[3]。其后，2004年亚太经济合作组织《APEC隐私框架》、2013年《OECD隐私框架》和2016年欧盟制定的《一般数据保护条例》（GDPR）均继受了公平信息实践原则，可见公平信息实践提供了全球个人信息保护的思想渊源和基本框架[4]96-110。

1973年美国卫生、教育和福利部（HEW）发布了题为《档案、计算机和公民权利》的报告，建议国会通过立法对自动化个人数据系统实行公平信息实践原则：①不得有秘密存在的个人数据档案系统；②个人必须有途径查询个人档案中的信息以及获知信息用途；③个人必须有途径阻止未经个人同意的使用行为；④个人必须有途径更正个人的可识别信息；⑤任何创建、保管、使用或传播可识别个人数据档案的组织，都必须确保数据的可靠性，并采取滥用数据的预防措施。报告还建议组织制定数据保护措施，每年向公众报告保存的数据库及信息种类。对于数据主体应有的权利，报告也予以列出。上述建议在《1974年隐私法》中有所体现。总体上，《1974年隐私法》通过在个人数据上创设四项程序性和实体性权利来保护隐私：①政府应向个人展示他/她的任何记录；②政府机构在收集和处理个人数据时应遵循公平信息实践原则；③设置条件限制政府机构与他方共享个人数据；④允许个人起诉政府[5]。

1.1.2 HIPAA隐私规则的重要内容

1995年，国际权威的信息隐私法专家保罗·施瓦兹（Paul Schwartz）指出，为了使用医疗保健数据，美国必须制定四项联邦公平信息实践原则：①构建法定框架，设定个人信息使用方面的义务；②确保处理系统的透明度；③赋予个人有限的程序权利和实体权利；④对数据使用建立有效的政府监管。美国只有将这四项原则纳入数据保护法，才能克服现有医疗隐私法规的弱点，并解决医疗保健服务系统将会出现的隐私问题[6]。

1996年《健康保险流通与责任法案》（HIPAA）出台，这是旨在创建保护患者敏感健康信息的具有国家标准的联邦法律，以防止未经患者同意或患者不知情的情况下披露其信息[7]。根据该法的要求，美国卫生与公共服务部（HHS）发布了HIPAA隐私规则（privacy rule），建立了保护健康信息的国家标准[8]。隐私规则几乎实现了公平信息实践的所有原则[9]。不过，HIPAA代表了最低保护标准，州或地方法规可以更加严格[10]。隐私规则具有如下重要内容：

（1）个人健康信息的概念

“健康信息”（health information）是指包括基因信息在内的、口述或以任何媒介形式记录的下列信息：健康服务提供者、健康计划、公共卫生机构、雇主、人寿保险公司、学校、大学或健康信息交换中心所创建或者接受的信息。关于个人过往、现在和将来的身体（physical）和精神（mental）状况的信息；向个人提供的卫生保健；在过往、现在或将来为个人提供医疗保健的费用。此外，“受保护的健康信息”（protected health information，缩写为PHI）是指可识别个人身份的健康信息，但是不包括《家庭教育权利和隐私法》中明确规定的相关信息、雇主在就业档案中记录的信息和死亡超过 50 年的死者健康信息。此外，“个人基因信息”（genetic information）包括：个人基因测试的信息；家庭成员基因测试的信息；家庭成员疾病或失调的表现；个人和家庭成员在基因服务、包含基因服务的临床研究中的相关信息；胎儿（fetus）的基因信息；个人或家庭成员利用辅助生殖技术合法拥有的胚胎（embryo）的基因信息[11]。换言之，信息原生者为胚胎、胎儿、自然人和死者；信息内容为身体健康信息和精神健康信息；信息种类为医疗信息和基因信息；信息保护期为个人生前及死后50年。略有遗憾的是，信息种类未提及生物识别信息，因为一部分用于健康医疗、公共卫生目的的生物识别信息事实上也属于健康信息。

（2）使用和披露的一般原则[8]

基本原则。隐私规则的主要目的是定义和限制适用主体（健康服务提供者、健康计划、健康信息交换中心）可能使用或披露个人PHI的情况。适用主体不得使用或披露PHI，除非：隐私规则允许或要求；信息主体（或其代表人）以书面形式授权。

必须披露的情形。适用主体仅在两种情况下必须披露PHI：个人（或其代表人）要求查阅PHI或对披露进行解释；在HHS进行合规调查、审查或执行行动时。

允许使用和披露的情形。未经个人授权，出于下列目的或情况，允许（但不要求）适用主体使用和披露PHI：①向个人披露（要求查阅或解释披露的除外）。②治疗、支付和卫生保健业务。③同意或反对的机会。非正式的许可可通过直接询问个人获得，或通过明确给个人表示同意、默许或反对的机会而获得。在个人无行为能力、处于紧急情况或无法得到帮助的情况下，适用主体根据专业判断，确定使用或披露符合个人最佳利益时，一般可以使用或披露。④其他允许的使用和披露事件。隐私规则并不要求消除偶然使用或披露的风险，只要适用主体按照隐私规则采取了合理的保障措施，并且所共享的信息仅限于“最少必要”。⑤公共利益和公益活动。隐私规则允许出于12个国家优先目的使用和披露PHI，而无需个人的授权或许可：（a）法律（包括法规、规章或法院命令）要求；（b）公共卫生活动；（c）遭受虐待、疏于照顾或家庭暴力的受害者，在这些情况下，适用主体可以向有关当局披露受害者的PHI；（d）卫生监督活动；（e）司法和行政诉讼；（f）执法目的；（g）死者，适用主体可根据需要向丧葬主管披露PHI，并向验尸官或医学检查人员披露，以确定死者的身份、死因和行使法律授权的其他职能；（h）捐赠遗体器官、眼睛或组织，适用主体可以使用或披露PHI，以促进遗体器官、眼睛和组织的捐赠和移植；（i）研究；（j）防止、减轻对健康或安全的严重威胁，适用主体可披露其认为为防止或减轻对个人或公众的严重和迫在眉睫的威胁所必需的PHI，前提是向其认为可以防止或减轻威胁的人（包括威胁对象）披露此类信息，如果需要识别或逮捕逃犯或暴力罪犯，也可以向执法部门披露信息；（k）行使某些重要的政府职能不需要个人授权，例如，确保正确执行军事任务、受法律授权的情报和国家安全活动等；（l）劳工赔偿，适用主体可以在《劳工赔偿法》和其他为工伤或疾病提供福利的项目授权下，披露PHI。⑥用于研究、公共卫生或卫生保健业务目的的有限数据集。有限数据集是受保护的健康信息，其中个人及其亲属、家庭成员和雇主的某些特定直接标识符已被删除。用于上述目的的前提是接收方签订数据使用协议，承诺对有限数据集内受保护的健康信息采取特定保障措施。

书面授权的披露。这是指适用主体必须获得个人书面授权才能使用或披露的情形，用于治疗、支付、医疗保健操作以及隐私规则允许或要求的受保护健康信息除外。两种情形必须经个人书面授权才可披露：心理治疗笔记和营销。

将使用和披露限制在最低限度。隐私规则的一个核心方面是“最少必要”使用和披露原则。适用主体必须做出合理努力，使用、披露和请求的受保护健康信息的数量是达到预期目的所需的最少数量。

1.2 健康信息互通共享的发展与现状

1.2.1 健康信息交换的模式

美国国家卫生信息技术协调办公室（ONC）成立于2004年，负责协调全国范围内实施和使用最先进的健康信息技术以及电子健康信息交换的工作[12]。电子健康信息交换（health information exchange, HIE）使医生、护士、药剂师、其他医疗服务提供者和患者能够适当地访问和安全共享患者重要的电子医疗信息。当前，HIE有三种关键模式：一是定向模式（directed exchange），包括医疗服务提供者之间安全、便捷地发送和接收患者信息，向公共卫生组织发送免疫数据，以及向医疗保险和医疗补助服务中心报告质量措施。二是查询模式（query-based exchange），医疗服务提供者基于查询目的，访问其他医疗服务提供者存储的患者临床信息，常用于提供计划外的服务，例如急诊室医师查询患者用药、近期放射图像等信息，用于优化治疗计划、避免药物不良反应和重复检查。三是患者介入模式（consumer-mediated exchange），患者能够访问、管理其健康信息，表现为向其他医疗服务提供者提供其健康信息、识别与纠正错误或丢失的健康信息、识别并更正错误的账单信息、追踪和监控本人的健康状况[13]。一般认为，HIE可以避免患者健康信息的碎片化和不连续性、加强患者安全、提升医护质量及效率、促进公共卫生工作、降低死亡率、减少医疗保健费用和促进临床研究等[14]。

1.2.2 互操作性愿景

HIE的实现需要依靠互操作性技术。2014年ONC发布了《连通全国健康医疗：互操作医疗IT基础架构之十年愿景》[15]，意在建立全国性的互操作医疗系统，即学习型医疗系统（learning health system）。在该系统中：个人处于健康医疗的中心；医疗服务提供者能够安全地访问和使用不同来源的健康信息；个人健康信息来自电子健康档案及其他来源（包括个人使用的技术），可以展现个人健康状况的纵向图景而非片段；由于信息易于获取，若非必要不得重复诊断检查；公共卫生机构和研究人员可以快速学习、开发和提供最先进的治疗方法。为了实现愿景，“连通全国健康医疗”系列之二《共享型全国互操作路线图（1.0版）》面世[16]。该路线图的形成是ONC与医疗IT利益相关者（临床医生、消费者、医院、公共卫生机构、技术开发人员、付款人、研究人员和政策制定者等）共同努力的结果[15]，具有广泛性和代表性。

1.2.3 《21世纪治愈法案》对互操作性的要求

2016年《21世纪治愈法案》高度重视互操作技术，以“互操作性”为专节，将其定义为一种健康信息技术：“①能够与其他健康信息技术安全交换电子健康信息，能够使用其他健康信息技术中的健康信息。②根据州或联邦法律授权，允许完全访问、交换和使用所有可通过电子方式获取的健康信息。③不造成信息阻塞。”此外，明确要求构建可信交换框架与共同协议（TEFCA）。共同协议的主要内容包括：验证健康信息网络参与者的常用方法；互通规则；网络间互通健康信息的组织与实施政策；提交和裁定违反共同协议条款的程序[17]。

1.2.4 可信交换框架与共同协议的进展

2018年1月，ONC发布了TEFCA草案初稿，框架旨在改善健康信息网络之间的数据共享，为医疗服务提供者，州、区域健康信息交换机构，联邦机构之间交换患者病历与健康信息提供必需的政策、程序和技术标准。2019年4月，ONC发布TEFCA草案第二稿与竞争性融资机会公告，允许行业组织竞争多年合同和合作协议[18]。经过竞争，2019年8月，ONC向红杉项目（The Sequoia Project）授予合作协议，使其成为公认的协调实体（RCE）[19]。作为倡导全国健康信息交换的非营利组织和协调实体，红杉项目将负责制定、更新、实施和维护TEFCA的共同协议组成部分。该共同协议将为健康信息网络提供共享电子健康信息的基线技术和法律要求，并成为《21世纪治愈法案》的一部分。《21世纪治愈法案》对可信交换的关注是提高整个医疗保健系统的透明度和竞争性的重要一步，意在消除阻碍电子健康信息安全和适当共享的技术障碍与商业惯例[18]。

2021年1月，红杉项目启动新的应急准备信息工作组，重点关注各州在互操作性和健康IT方面的挑战，例如政策和法规问题、方案挑战、数据隐私、资金、资源和通信，以确保信息易于访问，从而支持应急准备。工作组还将作为实践社区为各州和其他利益相关者提供交流论坛，并对改善应急准备的互操作性提出建议。该小组将每月开会，并提供以下成果：①从应对新冠肺炎疫情大流行中汲取关于健康IT和互操作性的经验教训；②优先解决阻碍获取公共卫生信息应对灾害的问题；③在实践社区，公共卫生、医疗补助、其他州的实体以及联邦合作伙伴可以讨论创新及其阻碍因素[20]。

1.3 新冠肺炎疫情背景下的健康信息保护与共享

根据2020年新冠肺炎疫情状况，美国学者表示互操作性是变革的推动力，指出实验室检测和快速病例识别对控制新冠肺炎疫情的暴发至关重要，大流行突出了在不同实体之间记录、分发和跟踪诊断检测结果所面临的挑战，并最终暴露了美国医疗数据互操作性方面令人遗憾的双重性：一方面，互操作性对协调紧急公共卫生应对措施非常重要；另一方面，目前互操作性非常薄弱。大流行表明，互操作性对整体公共利益具有重大意义[21]。

2020年12月，HHS民权办公室发布《HIPAA、健康信息交换和基于公共卫生目的的受保护健康信息披露指南》，提出在三种无需个人授权的情况下，HIPAA隐私规则允许适用主体及其商业伙伴将个人受保护的健康信息披露给共享组织，再由共享组织向公共卫生当局报告，以便其开展公共卫生活动：一是在法律（联邦、州、地方或其他可在法院强制执行的法律）要求出于公共卫生报告目的时披露。二是当共享组织是适用主体的商业伙伴或者商业伙伴的商业伙伴时，希望出于公共卫生目的向公共卫生当局提供个人受保护的健康信息。三是当共享组织根据当局的授权行事或者为了公共卫生活动依照与公共卫生当局的合同行事之时。除了法律要求的披露外，通常必须做出合理的努力，将被披露给公共卫生当局的个人受保护健康信息限制在实现公共卫生披露预期目的所需的最低限度之内[22]。

2 加拿大健康信息保护与互通共享的法制概况

2.1 健康信息保护的立法概况

第一，总体上，加拿大立法成绩斐然，联邦、十个省和三个地区均制定了保护个人信息的法律[23]。

第二，规范公共部门的《隐私法》《信息获取法》与规范私营部门的《个人信息保护和电子文件法》（PIPEDA）共同构建了全面的联邦数据保护制度，并贯彻了公平信息实践原则[24]。

《隐私法》和《信息获取法》于1983年实施[25]。一方面，《隐私法》在于保护由政府机构保存的个人健康信息隐私，并赋予个人访问权和更正权。根据该法，未经个人同意，政府机构原则上不能披露个人信息，其例外情形包括：为了实现政府机构获取、汇集信息的目的和用途；为了实现国会法案及其条例中披露信息的目的；为了司法目的；为了执法目的；为了履行加拿大政府以执法或合法调查为目的的协议；为了协助个人解决问题而将相关个人的信息披露给国会议员；为了审计目的披露给指定组织或个人；为了存档目的披露给加拿大国家图书档案馆；为了研究、统计目的，加拿大国家图书档案馆可以根据法规将其保管的信息披露给任何组织和个人；为了研究、统计目的，不披露可识别个人信息就无法实现目的，并且已获取不会存在后续披露的书面保证；为了研究或确认原住民的要求、争论或不满；为了确定某个人，并让该人履行对加拿大女王陛下的债务或实现对加拿大女王陛下的债权；政府机构负责人认为，披露所带来的公共利益明显大于可能造成的隐私侵害或者披露显然会令与信息有关的个人受益[26]。另一方面，《信息获取法》旨在通过赋权人们获取由联邦政府机构控制且应公开的记录，强化联邦机构的问责制和透明度，促进社会开放和民主。政府机构负责人能够披露个人信息的情形包括：与该信息有关的个人同意披露；信息已公开；依据《隐私法》第8条进行的披露[27]。

2000年《个人信息保护和电子文件法》的特点在于：一是明确界定“个人健康信息”的含义。其中，信息原生者包括了自然人和死者，信息内容包括身体健康信息和精神健康信息。二是规定个人的生命、健康、安全的位阶优于个人的信息。三是确立同意制度，要求收集、使用、披露个人信息均须获得个人同意。对于敏感信息，私营组织须获取明示同意，而不敏感信息则可适用默示同意。四是确定个人信息保护的期限，在个人死后已满20年与个人信息档案建立已满100年之中，以期限较短者为准。五是规定当省级立法对收集、使用和披露个人信息的要求与该法实质上相似时，适用省级立法[28]。

第三，在省一级，由于加拿大大多数医疗保健问题由省政府管理，因此更加重视在省一级制定法律[29]。例如，曼尼托巴省1997年通过《个人健康信息法》，萨斯喀彻温省1999年通过《健康信息保护法》，艾伯塔省《健康信息法》和安大略省《个人健康信息保护法》分别于2001年和2004年生效。四个法案具有相似目的：保护个人健康信息隐私；访问和共享健康信息以便提供卫生服务与管理卫生系统；确立收集、使用和披露个人健康信息的规则；赋予个人访问和更正其医疗档案的权利；确立救济措施；规定对根据本法做出的决定进行独立审查。四个法案均适用于可识别的个人健康信息，包括精神健康信息、身体健康信息和基因信息。四个法案要求医师、药剂师、地区卫生局、医学实验室、特殊护理中心、医院、精神卫生保健设施和救护车等必须遵守收集、使用、披露、保管和处置的规定，同时确保个人健康信息的安全性、秘密性、准确性和完整性[30]。

2.2 健康信息互通共享的现状

在互操作方面，成立于2001年的Infoway是联邦政府资助的独立性非营利组织，旨在携手合作伙伴共同在加拿大全境推进数字健康[31]。目前，十省三区均已创建可互操作的电子健康档案（iEHR）系统，iEHR中的信息来自省或地区的数据库以及初级保健、公共卫生、医院和其他电子系统。实验室结果、药物、诊断图像、临床报告和免疫档案由iEHR存储和共享[32]。

在2014—2015年加拿大临床互操作磋商会上，Infoway发现数据共享协议（Data Sharing Agreements，简称DSAs）是公认的难题，可能会造成数字健康计划延迟实施。2016年Infoway主持召开圆桌会议，来自全国的专家分别从临床医生、法律人士、行政人员和供应商的角度讨论DSAs，认为DSAs遭遇的挑战包括：隐私法及其对DSAs的要求具有复杂性；众多机构参与的卫生服务系统具有复杂性；DSAs的协商和确定所需时间长；常变的卫生服务环境需要频繁审查和修订DSAs；缺乏对某个DSA中必备条款的理解；缺乏关于DSAs的总体框架和综合方案；DSAs的开发成本高，DSAs所需活动的负担重[33]。

2.2.1 2016年圆桌会议的主要成绩[33]

（1）展示数据共享的三种模式

立法模式。在魁北克省，《健康信息共享法案》[34]的关键内容包括：建立健康信息共享体系，共享范围包括在初级医疗服务和连续性医疗服务中必不可少的健康信息。卫生和社会服务部长的重要职责为：建立和维护信息资产；任命卫生和社会服务网络信息官员；确立应用健康信息库的临床领域；建立并维护电子处方药管理系统；基于研究和统计目的向特定实体披露不可识别的健康信息；将健康信息库的运营管理委托给运营经理。推定个人同意通过魁北克健康档案发布其个人健康信息，表示拒绝发布临床健康信息的情形除外。

总体上，《健康信息共享法案》要求达成协议的条款包括已生效和尚未生效的条款。其中，已生效条款的内容包括：部长有权力提供各种技术媒介的安装、维护、用户支持和信息资源管理服务，以及信息资产的设计、实施和采购服务。部长可以通过协议将全部或部分权力授予卫生与社会服务网络中的机构、实体和个人。部长将临床领域的健康信息库的运营管理委托给运营经理，应与该经理签订书面协议。当运营经理将服务委托给第三人时，必须有授权书或书面合同；在授权书和合同中，要求确保信息的安全性和机密性，信息仅用于执行任务或合同，任务结束或合同期满后不再保留信息；在授予任务或签订合同之前，应获得第三人的书面保证，保证为健康信息提供与本法相当的保护；在信息发布前，从接受信息的任何人那里获得书面保密协议。部长将临床注册、拒绝登记、电子处方管理系统、实体登记等事项的运营管理委托给运营经理的，应与该经理签订书面协议。部长在必要时可以通过书面协议，将临床领域健康信息库中的健康信息发布给公共卫生主管，以及将在临床领域健康信息库或电子处方管理系统中的健康信息发布给魁北克医学院和魁北克药房。另外，尚未生效的106条要求根据该条发布的任何信息必须以书面协议为准，该条内容是：在不能识别某个特定的人时，部长可以将临床领域健康信息库中的健康信息（唯一标识号除外）发布给魁北克统计研究所、魁北克国家公共卫生研究所、国家卫生与社会服务高级研究所、信息访问委员会授权的人（此人基于在健康和社会服务领域中的学习、研究或统计目的而使用信息）。

标准化协议模式。在萨斯喀彻温省，eHealth公司负责开发和运行本省的电子健康档案，为避免开发多个DSAs，eHealth与12个区域卫生局、卫生部之间签订了一份标准化主数据共享协议，eHealth成为数据受托人。此外，在卫生部或eHealth向已授权医疗组织披露个人健康信息之前，这些组织必须书面同意遵守eHealth批准的标准化政策（此时政策充当完整协议的角色）。

多样化协议模式。安大略省已开发了多种相关协议的模板。其中，电子病历协议包括以下文件：电子健康服务协议、EHR访问服务计划、EHR实践协议、EHR贡献者协议。

（2）总结数据共享协议的共同内容

Infoway总结出多种数据共享协议的共同内容，摘要如下：协议各方的名称；初步说明；共享或交换个人信息的法定职责或义务：根据协议收集个人信息的权力；信息披露是否符合原始收集目的；根据协议披露个人信息的权力；基于研究目的之披露，声明已符合要求；公共机构或其他组织签订协议的权力；协议目的；研究目的（如需适用）；用于共享的个人信息的识别；个人信息的使用；个人信息的披露；通知（如何通知个人或受影响的群体）；个人信息共享/交换的机制；个人信息的准确性和完整性；更正个人信息的要求；个人信息的安全性（保密的安全措施）；个人信息的保留和处置（共享信息应保留多长时间，之后再如何处理）；双方的责任；不当使用或披露的后果；审计；协议的开始和终止；协议的修改；其他一般条款（如财务、法律变更通知、转让、不得违反隐私法）；签名。

2.2.2 加拿大信息专员的意见[35]

各级政府都在寻求利用技术为公民服务，人们却担心扩展信息共享会导致在知之甚少的情况下被收集、使用、披露更多的个人信息。鉴于此，加拿大信息和隐私专员、监察员呼吁各级政府在开展信息共享工作时，通过以下方式尊重个人隐私和信息获取权：

第一，对如何实施信息共享计划保持公开和透明的态度：收集和共享哪些信息以及出于什么目的；将公开什么信息，向谁公开以及出于什么目的；个人可以咨询问题以及获知相关程序如何运行。

第二，通过设置相关程序，以便公民能够更正个人信息、查询个人信息被使用和披露的情况，从而尊重公民的权利。

第三，积极主动地尽早进行评估，帮助识别可能的隐私风险并确定减轻风险的方法。

第四，确保所有参与实体直接履行或以合同方式履行信息获取与隐私法律中所规定的义务。

第五，采取负责任的方式实施信息共享计划：共享范围是满足计划所需的最少量信息；实施所有合理和必要的保障措施；制定并遵循政策和程序、应用风险评估工具、签订正式协议和合同、设置隐私泄露报告条款；对政策和程序提供定期和持续的培训；定期审查和评估信息共享计划，以确保继续满足相关原则和法律要求。

第六，确保信息和隐私监督机构具有权力，以便通过咨询、教育、执法和审计的方式进行有效、有意义的监督。

2.2.3 新冠肺炎疫情期间的虚拟护理[36]

在新冠肺炎疫情期间，在与卫生部和司法管辖区协商后，Infoway确定了在最短时间内产生最大影响的三个优先投资领域：第一，虚拟护理（virtual care）。包括电子访问和电子监控，如视频访问、安全传递消息和远程患者监控。第二，在线心理健康服务和工具。许多加拿大人因自我隔离及经历经济困难，安全获得精神保健的能力特别重要，在线解决方案可帮助他们在家中实现安全连接。第三，虚拟会审和患者访问新冠病毒测试结果。

3 我国健康信息保护与互通共享的法制现状

3.1 国家政策的立场

在我国，2016年《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》[37]要求安全为先、保护隐私，全面建成互通共享的四级人口健康信息平台。2018年国家相继出台了三个重大指导性政策文件：4月发布《国务院办公厅关于促进“互联网+医疗健康”发展的意见》[38]，提出加快实现医疗健康信息互通共享，建立完善个人隐私信息保护制度。7月，《国家健康医疗大数据标准、安全和服务管理办法（试行）》[39]明确规定对我国境内所产生的健康医疗数据进行管理和开发利用的基础是保障公民知情权、使用权和个人隐私。12月，国家卫生健康委《关于加快推进电子健康卡普及应用工作的意见》[40]要求电子健康卡实现全国互通共享。可见，我国对健康医疗数据应用的基本政策是“信息保护”和“信息共享”两手抓，前者是后者的基础和前提。

3.2 健康信息保护与共享的法制概况

3.2.1 健康信息保护概况

法律。我国已发布《个人信息保护法（草案）》，并且《民法典》《网络安全法》《刑法》三大实体法形成了保护个人信息的法律网。有学者提出，公平信息实践体现在两个方面，一是对个体进行信息赋权，二是对信息控制者施加责任。《网络安全法》继承了公平信息实践原则[4]96-110。事实上，《民法典》也彰显了公平信息实践原则，如第1035条明确规定了合法性原则、正当性原则、必要性原则、不得过度处理原则、知情同意原则、安全性原则，第1037条规定了查阅权、复制权、异议权、更正权、删除权，第1038条、1039条规定了信息处理者的保密义务、安全义务、补救义务和报告义务。尽管如此，由于个人健康信息高度敏感，上述法律和草案提供的保护仍较为薄弱：

一方面，未界定“个人健康信息”的概念。“个人健康信息”是国际上通行的法律术语，也是我国《民法典》《基本医疗卫生与健康促进法》《旅游法》相关条款明确表达的术语，是“个人信息”的下位概念。然而，现行法律以及《个人信息保护法（草案）》并没有界定“个人健康信息”的内涵与外延。例如，美国的信息原生者为胚胎、胎儿、自然人和死者，我国法律明确规定是自然人，显然遗漏了胚胎、胎儿和死者客观存在的健康信息。此外，美国、加拿大明确规定了个人健康信息的保护期限，我国法律对此没有做出规定。实际上，法律概念的欠缺不利于周全保护全部信息原生者的健康信息，不利于政府部门规范使用信息，不利于医疗机构、医药企业等合法应用信息，不利于司法和执法部门进行认定。

另一方面，未构建信息原生者、政府和第三方共赢的规则体系。个人健康信息通常由医疗卫生机构以及与健康相关的机构、实体等在职业行为中进行收集和处理。个人健康信息具有巨大的社会价值，有助于公共卫生、医疗、教育和科研事业发展，有助于政府部门履行相应职能，有助于医药卫生企业的研发和经营。在政府、信息原生者和第三方（医疗机构、科研机构、商业实体等）共存的格局下，保护个人健康信息必须兼顾公共利益和第三方利益，现行法律和草案缺乏个人利益、公共利益和第三方利益良性互动的具体规则体系。

行政法规。《人类遗传资源管理条例》主要管制基因信息，不适用其他健康信息。

规章。《儿童个人信息网络保护规定》没有针对儿童健康信息的特别规定。

规范性文件。《人口健康信息管理办法（试行）》《电子病历应用管理规范（试行）》《医疗机构病历管理规定（2013年版）》的主要目的都是规范相关管理工作，并非保护患者的个人健康信息，因此缺乏具体的保护规则。

3.2.2 健康信息互通共享概况

在健康信息共享方面，我国尚未出台专门的法律。《国家健康医疗大数据标准、安全和服务管理办法（试行）》规定国家卫生健康委负责规划、组织制定全国健康医疗大数据标准[39]。随后，国卫办发布专门的政策性文件《关于加快推进电子健康卡普及应用工作的意见》旨在形成个人全生命周期电子健康记录，促进跨部门、跨机构、跨区域的数据共享[41]。

此外，国家卫生健康委统计信息中心发布了《电子健康卡服务应用指南》（征求意见稿），有三点需要注意：第一，居民自愿参与电子健康卡系统，未规定居民能否申请退出；未规定医疗机构能否自愿参与和退出该系统。第二，患者同意后，医生才能查阅患者的病历资料。但是，没有关于撤回同意的规定，不符合《个人信息保护法（草案）》设置“撤回同意”条款的初衷，也不符合同意制度的精神。第三，医生可查阅患者的全部电子病历资料，并非限于患者当次诊治所必需的过往病历资料，即没有限制医生查阅电子病历的范围。这不符合《民法典》第1035条关于处理个人信息应当遵循的必要性原则和不得过度处理原则。

3.2.3 新冠肺炎疫情期间的信息保护与共享政策

中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，此为重大传染病疫情背景下个人健康信息的保护与共享的指导性文件，主要内容为：第一，信息处理者应当依法获得授权，实施收集、使用行为。第二，信息收集以最小范围为原则。第三，个人信息不得用于防控防治以外的目的。第四，未经被收集者同意，不得公开可识别信息，可公开联防联控工作所需且已脱敏的信息。第五，实施严格管理和技术防护。第六，利用大数据支持联防联控[42]。

4 比较与启示

4.1 比较

中国、美国、加拿大的个人信息保护立法建立在公平信息实践的基础之上，这是三个国家立法根据的相同之处。不同之处在于，类似于美国HIPAA、加拿大省级个人健康信息保护法的专门法律，我国尚未出台。再者，我国《个人信息保护法（草案）》也没有制定个人健康信息的专门条款，可以预测正式通过的《个人信息保护法》既不太可能增设专节规定，也不会出台多个专门条款来形成规则体系。因此，当前我国法制还无法为个人健康信息提供较为周全的保护。

个人健康信息共享覆盖多个利益相关者，所面临的法律关系也较复杂。在美国，一方面通过《21世纪治愈法案》将互操作性作为重要目标；另一方面美国卫生和公共服务部积极执行法案的要求，广泛征求公众对TEFCA的意见，遴选非营利组织作为协调实体推进适用于全国的共同协议。在加拿大，联邦政府资助的非营利组织负责数字健康工作，数据共享协议是互操作性的难题，解决此难题必须收集专业、广泛的意见和建议。在省一级，代表性的共享模式为法律模式和协议模式。我国在健康信息共享方面，国家政策态度明确，但是相较于信息技术，专门立法已滞后，亟待加快开展针对性强的立法工作。

4.2 启示

健康信息的保护与共享，是多个国家和地区在信息交互时代必须面对的难题，而在保护个人健康信息的基础上促进互通共享，也是法治国家和地区的共识。对于我国而言，现实需求更为紧迫，我国人口众多，健康医疗数据庞大，其对个人健康医疗、公共卫生、政府公务、科研、统计、教学、健康医疗服务业等具有重大使用价值，覆盖国家利益、公共利益和私人利益，必须在合法安全的前提下进行处理，这也是《网络安全法》《民法典》《刑法》的立场。

由于个人健康信息兼具高度敏感性和实用性，必须以法律或行政法规的形式量身定制规则体系，才能显示我国对健康医疗数据的审慎态度，不仅能推进境内健康信息的互通共享，而且能提升个人信息保护水平，进而吸引境外健康信息流入我国，这对提升我国的健康数据治理水平和能力具有重大意义。

在美国和加拿大，保护个人健康信息的法律早已出台，随着互操作性全球浪潮来袭，健康信息共享的法律也已相继出台。在我国，《个人信息保护法》即使出台，对个人健康信息保护与共享的规范作用也会是有限的。因此，制定《健康信息保护与共享法》或者《健康信息保护与共享条例》符合我国现实需求。我国现阶段可以考虑在同一部法律或者行政法规之中，解决保护与共享的平衡问题。在制定规则体系时，继续以全球公认的公平信息实践原则为指引，借鉴代表性国家和地区先进的法律概念、保护与共享制度、问责制。赋权国家卫生健康委广泛征求社会各界意见，组织制定利益相关方之间的共享协议模板。

（来稿时间：2021年4月）