孟凯欣, 赵晓娜, 曹高芳

(滨州医学院公共卫生与管理学院,山东 烟台 264003)

伴随“互联网技术”的普及,人类社会由信息社会转变为“大数据时代”。个人健康医疗信息是个人信息的一个分支,是指“能够识别出个人身份的所有健康医疗相关信息”[1],与人类健康最为密切,对健康医疗信息的分析和利用大大提高了就诊效率和医疗效果,在大数据时代下已经渗透到人类日常生活的方方方面[2]。COVID-19暴发流行后,健康医疗信息的数字化应用助力保障公共卫生安全效果斐然[3]。但是,利用的前提是保护好信息。据《2022年数据泄露成本报告》显示,全球医疗健康行业连续12年在所有行业中平均数据泄露成本最高,数据泄露成本飙升至1010万美元[4]。《2021年度数据泄漏态势分析报告》显示国内个人信息泄露行业占比中,互联网和医疗行业位居前两位,医疗行业的个人信息泄漏占比达到20%[5]。可见,个人健康医疗信息保护问题面临严峻挑战。早在2018年7月,我国《国家健康医疗大数据标准、安全和服务管理办法(试行)》中规定,中国境内所产生的健康医疗数据进行管理和开发利用的基础是保护公民的知情权、使用权和个人隐私权[6]。健康医疗信息安全无法得到保障,也就无法实现信息的合理利用,平衡信息保护与信息利用的关键在于强有力的保护。

1 个人健康医疗信息保护实践现状

2013年之后,大数据在全球兴起,国内外针对健康医疗大数据广泛应用下健康医疗信息的保护问题相继制定了法律政策、明确了相应的管理主体、采用了现代化信息技术,在法律、管理、技术保护上已有一定发展。本文对比国内外在此三方面保护的实践现状,梳理以下情况:

1.1 法律保护现状

国外对个人健康医疗信息的保护始于20世纪60年代,目前各国对个人健康息的法律保护可以分为以美国为代表的隐私权保护和以欧盟为代表的个人信息保护两种模式[7]。美国1974年颁布实施了《隐私权法》,1996年建立《健康保险携带与责任法》(HIPPA法案),对个人健康信息进行“专门保护”。2000年发布《个人健康信息的隐私保护标准和实施指南》,建立了个人健康医疗信息保护国家安全标准。大数据应用后,美国制定患者隐私保护和跨系统数据交换安全相关标准和要求[8]。COVID-19流行后,2020年12月,美国发布《HIPAA、健康信息交换和基于公共卫生目的的受保护健康信息披露指南》,要求披露的信息限制在最小披露范围内[9]。欧盟在1995年制订了《关于个人数据处理中个人权利保护及促进数据自由流通的指令》,规定了隐私保护的最低标准。随着大数据的爆发,欧盟在2016年制定《通用数据保护条例》,将全部个人信息纳入立法的保护范围,开启“严格保护”模式,把个人健康医疗信息归为个人数据统一保护。欧洲数据保护委员会发布的《新冠肺炎疫情下个人数据处理声明》特意提出个人数据保护至关重要,强调无论什么时期数据控制者和数据处理者都应严格履行数据安全保护义务[10]。

国内对个人健康医疗信息的法律保护始于20世纪90年代末期,1998年发布的《中华人民共和国执业医师法》首次对患者隐私保护进行规定。2009年发布的《基于健康档案的区域卫生信息平台建设南(试行)》的通知,第一次提出了“个人健康档案”“医疗卫生信息”的概念。新医改政策的实行和大数据的到来,2013年后,我国密集出台了许多涉及健康医疗信息的政策[11],比如《中华人民共和国精神卫生法》《医疗机构病历管理规定》等,较为分散。2021年施行的《中华人民共和国民法典》规定个人信息受法律保护。2021年11月颁布的《个人信息保护法》明确列举医疗健康个人信息属于敏感个人信息类型之一,遵守个人信息法律保护。

在法律上,国外法律体系成熟,立法模式清晰。美国将个人健康医疗信息视为具有隐私权益的信息,进行单独立法。欧盟将个人健康信息列为个人敏感或特殊信息,归为个人信息保护。我国起步较晚,法律保护体系正在逐渐完善,立法模式尚在探索中,目前是以《民法典》《个人信息保护法》为基础,遵守个人信息的保护规定。

1.2 管理保护现状

美国、欧盟、日本等国家和地区,主要通过设立管理和监管机构、建立组织体系或设置行业自律规范推动管理保护实践。美国在联邦和各州政府不仅设立了专门的健康医疗信息保护机构,同时设立隐私保护同盟、健康医疗信息安全与隐私保护合作组织、电子健康洲际联盟等民间和行业组织,在与医疗机构合作的企业设立首席隐私官,构建了政府-民间-企业三位一体的个人健康医疗信息保护管理体系。美国医疗协会、护士协会、医院协会等出台了相应的行业自律规范守则,补充规定了从业人员保护病人隐私的要求[12]。欧盟则增设欧洲数据保护委员会作为独立监管机构,统一各成员国的监管权力和任务[13],设置了数据保护官制度,承担数据监督和管理职能[14]。日本政府设立了个人信息保护委员会,该机构负责制定推动个人信息保护的基本方针、规则和指南,监督个人信息处理等行为,认证个人信息保护组织等[15]。此外,设立首席信息技术长官,监督信息数据利用情况的安全[16]。

我国健康医疗信息目前主要受卫生健康委、中医药、疾控等主管部门的监督管理。各医疗行业自行设置内部数据监管机构或部门。学者吴友富等人建议政府应在制定健康医疗数据管理规则和技术标准及强制管理方面发挥关键作用[17]。孙政春主张成立统一的健康医疗数据管理委员会、信息安全监管机构[18]。高玉玲强调在突发公共卫生事件背景下,政府不仅要纵向完善健康医疗数据监管制度,也要横向建立不同部门间的数据协同治理制度;不仅要完善外部监管制度,也应建立内部监管制度[3]。

总体来说,在管理保护方面,国外重视程度较高,美国设置行业自律规范,欧盟等国家设立管理和监管机构推动管理体系建设。国内在管理层面仍在宏观层面,未建立统一的医疗数据管理机构[19],没有具体管理保护措施,行业自律规范尚不完善[20]。

1.3 技术保护现状

借助于大数据技术,国外发展了访问控制、电子签名、信息加密、信息防火墙、匿名化处理等技术解决健康医疗数据保护问题[21]。例如美国流行的电子签名技术,有效防止病历中的信息被篡改、破坏与泄露。美国许多医院将智慧卡式、密码式、生物测定式三种电子签名模式结合使用,大大提高了电子签名的可靠性。COVID-19流行后,学者Lee等针对新冠疫情所涉及的患者数据信息,基于区块链架构建立了三重加密机制,应用于电子医疗记录方面,保护了新冠肺炎患者记录不外泄[22]。

国内主要围绕基于访问权限控制的技术、基于数据脱敏的技术、基于数据分类分级的技术和基于数据加密的技术展开[23]。2019年10月,习近平总书记强调“区块链技术的集成应用在新的技术革新和产业变革中起着重要作用,要把区块链作为核心技术自主创新的重要突破口”[24]。李洪晨等在理论上提出区块链技术的去中心化、可扩展、匿名化和安全可靠的特征可以为信息系统安全和隐私保护提供双重保障[23]。同时学者赵炳昊指出当前区块链技术模式存在的不足,提出基于区块链技术的个人健康医疗信息保护之完善路径[25]。

在技术保护上,国内外现有的隐私保护技术大致相同,可以分为基于数据脱敏与基于差分隐私的数据存储保护技术、基于权限管理的防范内部威胁的技术、基于匿名化处理、防火墙设计与数据加密的防范外部威胁的技术。但是,国外在技术保护上研究应用较早,先进的技术能较好地应对大数据和突发公共卫生事件对保护的冲击。国内近几年引入区块链技术,众多学者提供了理论指导,提出区块链技术在大数据时代的可行性和优势,但实践层面的资料与数据尚不完备。

2 个人健康医疗信息保护面临的挑战

根据实践现状对比,结合国内实际情况,总结国内个人健康医疗信息保护面临以下挑战:

2.1 法律保护力度不足

我国个人健康医疗信息立法模式未明确,相关规定分散、可操作性弱,没有形成个人健康医疗信息保护特别立法。虽然目前《个人信息保护法》已出台,但是仍存在已制定的法律条款上,对标识化和匿名化的定义不明确;对“特定的目的”和“充分的必要性”的界定不明晰[26];个人健康医疗信息主体知情同意权、侵权损害赔偿难以实现等。保护法虽明确规定“知情同意”原则,但是由于健康医疗信息来源的广泛、技术漏洞、国家监管部门监管不善等原因导致很多信息收集泄露通常在信息主体不知情的情况下发生,缺乏对实践中个人健康医疗信息收集、使用、删除等规则的具体规定。

此外,法律保护还面临医疗信息所属权不明[27]、财产属性保护不够[28]、信息分级保护制度缺位[26]、救济制度缺失、行政处罚规制乏力、刑事制裁威慑不足[30]等问题。总之,个人健康医疗信息法律保护总体面临基本法不完善、专门法缺失的挑战。

2.2 管理保护薄弱

主要表现为管理和监督机构未统一、行业自律不规范。我国不仅没有形成系统的法律规范,且目前未建立统一的健康医疗信息管理或监管机构。部分医疗机构虽建立了各自的信息安全管理机构或部门,但机构或部门履行职责不到位,缺乏日常监督[31]。大部分医院缺乏对移动医疗设备的管理规范[32],信息管理系统开发和测试人员、运维人员和操作人员都很容易将数据打包下载窃取信息,行为隐蔽性较强。此外,引起信息泄露事件发生的很多情况是由医疗机构或企业内部人员信息保护意识不强造成的。如2020年1月,某卫生健康局工作人员将内部工作文件通过微信转发给无关人员,导致未确诊病例及相关人员的信息泄露[33]。尽管近几年内部人员安全意识和安全能力有所提升,但仍处于较差水平[34]。

2.3 信息技术保护落后

我国在健康医疗信息方面的核心技术掌握能力、技术实际应用率等尚且落后于国外发达国家。一是存在数据脱敏技术标准不统一[35]、分类分级技术未普及和加密技术待增强等问题[36]。流行的区块链技术在我国处于起步阶段,发展尚不成熟,底层设施不完善[23],国内目前没有成熟实例,处于院内分析应用阶段。二是目前我国网络安全攻击比较严重,针对医疗系统的黑客攻击、网络钓鱼等在疫情期间频繁遭遇,绝大部分医院新一代网络安全设备及技术应用率低于50%[37]。三是技术模式与现有法律保护理念存在一定冲突,赵炳昊指出《个人信息保护法》规定的个人信息处理要求与区块链技术的共识机制、可溯源性、不可篡改性和去中心化等特征相悖[25]。

总之,国内个人健康医疗信息保护面临基本保护法不完善、专门法缺失,管理体制尚不健全,技术保护落后等挑战。只有在法律制度完善、管理体系完备、技术能力支持的综合场景下,才能放心深入拓展和深化医疗信息的利用。

3 完善个人健康医疗信息保护的建议

我国个人健康医疗信息保护起步较晚,要充分利用后发优势,汲取国外实践经验,结合我国现实需求逐步完善对个人健康医疗信息的保护。

3.1 进一步健全法律法规,完善相关保护政策

法律是健康医疗信息在各个领域的保护盾牌。首先要将《个人信息保护法》中的相关规定予以完善。如引入动态知情同意模式[38];注意强调《个人信息保护法》的技术规范内容,优化解释区块链技术处理方式,提供针对应用区块链技术的合理豁免等。

其次,我国应在《个人信息保护法》出台的基础上,适当参考国外立法保护模式,结合中国特色出台《个人健康医疗信息保护法》,解决法律规定分散的问题。立法需增强法律条文的实践操作性,强调违反条例后所要承担的法律后果。明确界定个人健康医疗信息的概念和受保护的范围;详细规定信息主体的权利;明确信息收集主体和侵权责任;完善事前预防与事后救济制度;规定个人健康信息保护的特殊情况,应对突发情况下不同的信息利用需求等。坚持合法性原则,合理把握比例原则,例如普通时期,依照比例原则适当放宽对个人医疗信息的保护要求,紧急突发公共卫生事件时期,需适当突破比例原则限制[39],公共安全此时优先于个人信息权益保护。

3.2 设立管理和监督机构,推进行业自律

一是国家设立专门负责个人健康信息保护的行政机关,修订完善行业信息保护政策,针对与个人健康信息相关的医疗机构、互联网企业、医疗保险机构等,细化行业标准,建立发展规范。二是各行业机构根据规范,结合行业特点制定本行业内部信息安全管理的制度规范、应急预案及风险评估管理办法。三是提升医疗行业人员信息安全意识水平,推进信息保护意识常态化建设,将主观故意泄露行为纳入诚信体系建设,对于泄露患者个人信息的行为严加惩戒。四是设立独立的监管机构,建立健康医疗信息安全监督管理标准,对健康医疗数据收集、存储、利用的全过程进行日常监督。

3.3 应用新兴技术强化科技支撑

法律和管理的完善并非朝夕之间可以完成,个人医疗健康信息保护的专门立法也无法一蹴而就,信息泄露与保护之间的平衡很大程度上取决于技术的先进性。未来我国应在技术创新和人才培养上加大投资。服务器安全加固,建设信息平台,通过医疗数据和信息化技术辅助实现个人健康医疗信息的全方位安全。相关机构应当与专业安全机构合作,提前规划,通过每次黑客攻击,分析其特点与系统漏洞,对症下药,防范更强的网络攻击行为。imit白皮书提到区块链技术和隐私计算将是是新型数据保护技术未来发展方向[40]。充分利用区块链、物联网技术,提供实际应用,定期评估系统风险,及时发现和修复潜在的技术漏洞,借助区块链技术实现《个人信息保护法》中强调的补充更正权、被遗忘权和可携带权的权利谱系[25],使技术服务法律、法律推动技术。

综上所述,通过梳理国内外健康医疗信息在法律、管理和技术三方面保护现状,对比发现我国面临的挑战,应尽快建立健全法律体系,完善《个人信息保护法》、制定专门的《个人健康医疗信息保护法》,政府建立管理和监管机构、行政主管单位制定切合实际的行业自律规范刻不容缓,如何提高医疗行业人员信息保护意识更应该值得重视,健康医疗信息保护也离不开技术防控的关键作用。只有协同发力、共建共治、技法共治,才能筑牢个人健康医疗信息保护防线,最大程度上平衡个人健康医疗信息的保护与利用。