张润，李劲松

(1.中国人民公安大学法学院，北京 西城 100038；2.中南财经政法大学法学院)

医疗信息作为被称作“新石油”的个人信息的类别之一，是指医疗卫生机构在对患者进行诊疗过程中所形成与收集的能够反映患者身份的信息，包括医疗机构制作、获取的患者的姓名、年龄等身份信息及病情、处方等健康信息。面对日新月异的社会环境，我国关于医疗信息保护的法律规范，因其存在体系上的分裂，难以实现对医疗信息的有效保护和利用。一方面，医疗信息不仅作为《中华人民共和国民法典》(以下简称《民法典》)中规定的隐私权和个人信息权的客体具备私法属性应当受到私法的周全保护；另一方面，医疗信息作为医疗机构收集的信息，需要参照政府信息适用《中华人民共和国政府信息公开条例》(以下简称《政府信息公开条例》)，其又同时具备公法属性，需要受到公法的限制。当私法的保护与公法的限制出现冲突时，此种外部纠纷如何进行解决？且在私法内部，医疗信息同时属于隐私权与个人信息权的客体，私法的多重权利是否会存在冲突？以及医疗信息作为个人信息中具有较大特殊性的信息，统一适用个人信息的规则，是否会导致保护的不足？这些都是为实现对医疗信息协调保护所亟需解决的问题。

1 医疗信息的双重属性

1.1 医疗信息的私法属性

从个人信息保护的历史来看，一般认为，个人信息权衍生于人格权中的隐私权，因而被视为传统人格权的范畴[1]。因此，存在将个人信息以隐私权的方式进行保护的观点，如王泽鉴教授主张，“隐私权包括保护私生活不受干扰及信息自主两个生活领域”[2]。但是，我国理论界以王利明先生为代表的学者多主张个人信息与隐私应当属于独立的权利[3]，我国立法亦采取此种观点，在《民法典》中分别规定了隐私权与个人信息权。因此，在我国私法体系中，医疗信息同时受到隐私权与个人信息权的保护，而成为两者的权利客体。将医疗信息同时认定为隐私权与个人信息权的客体，两种权利在保护的规则上也具有共通性。根据《民法典》第1033条、第1035条的规定，未经自然人或其监护人的同意，不得处理自然人的医疗信息。此处所谓的处理，包括收集、存储、使用、加工、传输、提供、公开等行为。这两个条文基本确立了在私法属性的侧面，法律为医疗信息提供较为有力的保护。

1.2 医疗信息的公法属性

医疗信息并非仅仅体现为个人利益，其还具备相当的公共价值，对于防控疫情、医疗技术的发展等涉及公共利益的事项均具有重大的作用。如在2020年初于我国爆发的新冠肺炎疫情防治中，政府部门通过公开患者的性别、年龄、工作单位、住所等基本信息，从而向社会宣传与此有密切接触的人员及时就诊并进行隔离，通过对患者医疗信息的利用，我国防控疫情工作取得了巨大的成果。将医疗信息作为“类政府信息”认定的同时，在规则上也参照《政府信息公开条例》第5条的规定，应当坚持以公开为常态、不公开为例外。此时，收集、处理医疗信息属于医疗机构所享有的权力，医疗信息具备了公法属性。

2 双重属性下医疗信息规制的外部体系冲突

医疗信息同时具备私法属性与公法属性，一方面作为私法权利的客体，其受到私法的有力保护，未经权利人同意，他人不得处理医疗信息；另一方面，医疗信息作为“类政府信息”，要受到公法的管制。由于私法与公法的区分规制，医疗信息的规则存在外部的体系冲突。

2.1 医疗信息的信息收集问题

在公、私法对医疗信息作有分别规定的情况下，对于医疗机构收集患者的医疗信息问题，在我国公法与私法之间存在矛盾，主要表现在以下几个方面：

2.1.1 知情权的保障不足 从我国现行法的规定来看，行政机关对于医疗信息的收集以及收集后一系列与处理相关的事项，不负有告知患者的义务。从实际操作来看，患者在就医时，也往往难以预料自己的医疗信息可能被用于何种用途。因此，在公法的规则之下，患者的知情权难以得到保障。

2.1.2 同意权的保障不足 我国《民法典》确立了处理他人的个人信息需要征得自然人或其监护人的同意的基本规则。在公法的规则下，患者的同意权难以得到保障。尽管医疗信息蕴含了巨大的公共价值，可能存在个人信息保护应从个人控制走向社会控制的趋势，但是这并不意味着可以完全无视患者的同意[4]。同意权乃是个人信息权中最为基础的权能，若失去此项权能，则个人信息的保护制度根本无从建立。

2.1.3 患者实际缺乏选择空间 不仅在法律规则的冲突中患者的对于医疗机构的收集行为难以控制，在实际操作中，患者亦缺乏选择的余地。如经调查表明，患者在使用在线医疗时对个人信息的安全性是存在担忧的，但显然不可能基于此种担忧放弃疾病的救治[5]。在实践中，互联网平台多通过概括性的使用条款获取了患者形式上的同意，但实质意义上的同意权行使却没有得到保障。如据《华尔街日报》于2019年11月12日的报道显示，谷歌公司通过与美国第二大医疗保健系统Ascension的合作，收集了近5000万美国人的医疗信息。在公法体系之下，医疗机构对患者医疗信息的收集，不以患者的知情与同意为必要前提，此时私法为患者医疗信息所提供的知情权、同意权难以实现有效的保障。

2.2 医疗信息的信息公开问题

我国关于医疗信息得否公开的规定，在我国公法与私法领域存在着截然不同的价值取向，在具体的规则设计上存在着冲突与不能衔接的地方，不利于对个人权利及公共利益的协调保护。

2.2.1 原则与例外的冲突 《民法典》确立了“以不公开为原则，公开为例外”的医疗信息保护规则。而《政府信息公开条例》则明确以公开信息为原则，以“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息”不予公开为例外。在公私法之间，二者的基本价值取向完全不同，在处理案件过程中可能出现矛盾的处理结果。

2.2.2 不公开范围的保护不足 对于医疗信息的公开范围，《民法典》与《政府信息公开条例》的规则不统一，导致现行规则对于个人利益与公共利益均有保护的不周。

2.2.3 公法与私法的衔接不完善 当涉及公共利益时，《民法典》规定了可以处理个人信息的例外，但是在私法与公法之间缺乏明确的衔接机制。首先，对于《民法典》规定的公共利益，在界定上并无清晰的规则。政府信息公开这一制度设计的目的是为了维护公共利益，但并非每一次公开都会涉及到公共利益。因此，是否在政府信息公开工作中可以任意公开他人的医疗信息以及有何限制，《政府信息公开条例》中并无衔接规定。其次，《民法典》强调在为了“公共利益”时，对于他人医疗信息的处理也应当是“合理实施的其他行为”。尽管《民法典》设置了合理的限定，但是在《政府信息公开条例》中却未作要求，缺乏方式上的衔接。

2.3 医疗信息的权利救济问题

不仅在医疗信息的采集与公开环节，公法与私法存在体系的差异，当医疗信息受到侵害时，如何予以救济，公法与私法也存在不同。医疗信息属于《民法典》中隐私权与个人信息权的权利客体，当其受到侵害时，权利人可以请求侵权人承担侵权责任，此时权利人需要向人民法院提起民事诉讼。而按照《政府信息公开条例》第51的规定，权利人认为公开信息损害自身权益时，有权提起行政诉讼。此时，若行政机关的公开行为侵犯到了患者的医疗信息，患者寻求救济时，究竟应当通过何种诉讼主张权利？而提起不同的诉讼，在实体与程序上均存在较大的差别。

2.3.1 在起诉期限方面 按照《民法典》的规定，当事人应当在3年的短期诉讼时效期间内向义务人主张权利，同时作为隐私权与个人信息权客体的医疗信息，当其遭受侵犯时，受害人主张停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉的请求权，不受诉讼时效的限制。而按照我国《行政诉讼法》的规定，权利人应当自知道或者应当知道作出行政行为之日起六个月内提起诉讼，逾期起诉的，人民法院不予受理。因此，在起诉的期限上，私法的民事诉讼对权利人的保护更为有利。

2.3.2 在举证责任方面 按照我国《民事诉讼法》确立的举证责任的原则，主张积极实施者需要对此承担责任，因此当权利人主张侵权责任时，其需要举证证明侵权责任成立的诸要件，此时权利人的举证责任较重。而按照我国《行政诉讼法》的规定，被告需对作出的行政行为负有举证责任，被告不提供或者无正当理由逾期提供证据，视为没有相应证据。因此，在举证责任的分配上，公法的行政诉讼对于权利人的保护更为有利。

2.3.3 在其他制度上 两种诉讼方式也存在适用上的差别。如诉讼费用的预交，在民事诉讼中则按诉讼标的额的比例进行收取，而行政诉讼则按件收费，权利人主张权利的成本较低。因此，选择两种不同的救济途径，在实体法与程序法上均存在一定的差异。

3 双重属性下医疗信息规制的内部体系冲突

不仅在公法与私法之间存在体系冲突，即便在私法内部，医疗信息的保护也存在着规则上的缺陷。

3.1 隐私权与个人信息权的规则冲突

医疗信息具有双重属性，而私法与公法由于立法基础的不同，对于医疗信息的规制存在着规则上的差异，不仅没有实现对医疗信息的多重保护，反而造成了体系的外部冲突。

3.1.1 保护竞合，区分意义不大 尽管并非所有的个人信息均属于隐私，但医疗信息作为紧密层的个人信息，其范围与隐私基本重合[6]。此时，当出现侵害医疗信息的行为时，司法实务中多以隐私权对医疗信息进行保护。例如，实践中有法院对于公开医疗信息的行为，虽将其称之为个人信息的，但在认定隐私权时，其指出“隐私权是指自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权，包含了个人信息的控制权。”因此，尽管隐私权的客体与个人信息权的客体并不完全一致，但在医疗信息上二者是基本重合的，区分的意义不大。

3.1.2 特别规范的适用，不利于权利保护 《民法典》第1034条第3款规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。此规则的设定意味着当隐私权存在规定时，无论该规定相比于个人信息权的规定是否更为有利，皆排除个人信息权规定的适用。此种规则设置在逻辑上符合“特别法优先于一般法”的规则，但不按照规则的有利与否一律适用，却可能不足以保护权利人。

3.2 个人信息权的统一规则不足以保护医疗信息

我国《民法典》未区分个人信息的种类作不同的规则设计，而是确立了统一的保护规则。医疗信息相比于其他个人信息，具有更强的公益性与敏感性，与其他个人信息适用统一的规则不足以保护医疗信息。

3.2.1 医疗信息具有更强的公益性 个人信息虽然能够识别自然人的身份，但是此种识别只有在社会环境中才具有意义。基于此，学者多认为个人信息同时具备公共属性，极端者甚至认为，个人信息作为公共物品仅应由公法规制[7]。相比于身份信息等与社会关联较小的个人信息，医疗信息经整合与分析后可应用于疾病诊断、新药研发、传染病预测预防等领域，具有很高的经济价值与社会价值[8]。如通过对罹患新冠肺炎的患者的医疗信息的利用，我国在短时间内对新冠疫情的防控采取了有效的措施。此时，严格适用个人信息权保护规则中的“知情同意规则”可能不利于公共利益的保护。例如有学者所提出的在精准医疗中建立完善的数据资源库，可能就会因个人信息的保护问题而受到限制[9]。

3.2.2 医疗信息具有更强的敏感性 按照个人信息的敏感程度，可将信息分为敏感信息与一般信息，其中敏感信息主要包括基因信息、医疗记录等信息。敏感信息关涉自然人较为隐私的领域，侵害敏感信息给主体带来的伤害更为严重。如《南方都市报》于2019年12月23日的报道指出，2016年7月，全国30个省份共计275名艾滋病患者因信息泄露而接到诈骗电话。鉴于此，世界多国均存在对敏感信息的单行立法。如欧盟实行的《通用数据保护条例》将“基因数据”“生物学识别数据”等界定为敏感信息，并命令禁止其数据处理。我国《民法典》没有对此类信息进行区分，而是制定统一的规则，不仅提高了对其他非敏感信息的保护，同时也削弱了对敏感信息的保护。

4 我国医疗信息调整规则体系冲突的消解

我国关于医疗信息调整规则存在着外部与内部的体系冲突，其中外部的体系冲突的原因在于采用了分别的立法，而内部体系冲突的原因在于采用了统一的立法。因此，在化解体系冲突时，亦需要以不同的方式进行处理。

4.1 制定统一的《个人信息保护法》

对于公法与私法规则的不协调，其主要原因在于制定法律是各自所秉持的基本价值取向不同。由于我国缺乏一部统一的《个人信息保护法》，关于医疗信息的调整分散在公法与私法等部门中，因此为了化解此种冲突，《个人信息保护法》的制定就具有了很强的必要性。我国已经启动了《个人信息保护法》的制定，从2017年，吴晓灵等45位人大代表向全国人大提交的《个人信息保护法》(立法草案)，到2019年全国人大会议将《个人信息保护法》列入本届人大立法规划，个人信息的统一立法正在从理论走向现实。因此，在制定《个人信息保护法》的过程中，密切关注我国公、私法之间的体系冲突，并进行统一规定，是化解医疗信息保护规则外部冲突最为直接、有效且可行的方法。

4.2 制定医疗信息保护的单行法

无论是《民法典》亦或是还在立法过程中的《个人信息保护法》，在采用统一抽象的规定模式之下，很难具体考量每一种个人信息所具有的特殊性。因此，特殊行业领域中的个人信息具有特殊性，统一立法保护尚不能周全，应当以单行的信息法律、法规予以规制[10]。例如，美国2009年出台的《经济和临床健康信息技术法》即属于针对医疗信息保护的专门立法。通过单行法的立法模式，可以充分考量各种个人信息之间的差异及其特殊性，从而制定最为贴合、周全的规则。

4.3 完善医疗行业的自律规则

法律难以从操作的每一个细节去设定个人信息的保护与利用规则，否则其可能会因为环境的变化而变得不具有合理性。医疗行业是直面患者医疗信息的收集与利用的第一个主体，其也是患者医疗信息保护的第一个主体。由医疗行业设定自律性规则，是完善医疗信息保护规则的有效举措。例如，美国注重对于医疗信息保护的行业自律，其在1998年便制定了《有效保护隐私权的自律规范》[11]。因此，通过医疗行业设定行业自律规则，填补现行法中存在的衔接规则的缺失，能够在一定程度上提高现行法规则的可行性以及缓和现行法中存在的体系冲突。

4.4 加强行政机关对个人信息的统筹监管

在我国，政府不仅扮演着医疗信息的保护者，同时其本身亦为医疗信息等个人数据最大的收集、处理与利用主体[12]。前文提及的医疗信息保护的外部体系冲突，其主要问题就在于政府信息公开中对医疗信息的公开导致的患者权利受损。因此，为保障具体进行信息公开的行政机关在公开他人医疗信息时，能够秉持合法性、合目的性、合比例性的三要件要求，需要增强行政上的统筹监管。同时，由于医疗信息的保护涉及多个行政部门，在域外就存在设置专业性机关进行管理的经验，如欧盟设置的数据保护委员会正是专业的个人信息保护机关。我国现行社会背景之下，设置专业性的医疗信息保护机关无必要，但是增强本级政府或上级机关对于医疗信息保护的统筹监管与领导具备切实的可行性。