楊朝暉 簡雅娟 李樹榮

1 天津醫(yī)學(xué)高等專科學(xué)校公共衛(wèi)生與衛(wèi)生事業(yè)管理系，天津，300022；2 天津醫(yī)學(xué)高等專科學(xué)校科研處，天津，300022；3 天津醫(yī)學(xué)高等?？茖W(xué)校成人教育處，天津，300022

個人健康記錄(Personal Health Records，PHR)作為具有前景的個人醫(yī)療健康信息自我管理工具，能為個體患者和整個醫(yī)療系統(tǒng)帶來益處。PHR的廣泛實施會降低醫(yī)療成本，提高醫(yī)療質(zhì)量，促進更好的健康結(jié)果。但目前PHR的采用率相對較低,重要原因是PHR服務(wù)存在多重安全隱患，可能會損害信息隱私性和安全性。醫(yī)療信息失竊將對個人造成嚴重損害，是當(dāng)前PHR亟需解決的問題[1]。目前，我國個人信息保護立法仍在制定中，筆者梳理美國和歐盟涉及PHR安全和隱私的法律框架，為我國相關(guān)立法提供借鑒。

1 PHR的概念

美國衛(wèi)生與公眾服務(wù)部民權(quán)辦公室定義PHR是個人健康信息的電子記錄，并且具有管理、追蹤和參與自身健康保健的功能，個人可通過其控制對健康信息的訪問[2]。美國健康信息技術(shù)協(xié)調(diào)辦公室將PHR定義為符合國家認可的互操作性標準，可以從多個來源獲取，同時由個人管理、共享和控制的與個人健康信息相關(guān)的電子記錄[3]。PHR是一種以患者為中心的工具，用于促進患者參與持續(xù)醫(yī)療保健和自我健康管理，包含個人自我追蹤設(shè)備、可穿戴設(shè)備等設(shè)備采集的連續(xù)健康數(shù)據(jù)，如病史、藥物使用、患者體重、葡萄糖水平、血壓等健康數(shù)據(jù)，以及飲食、運動、活動日志、壓力水平等支持健康生活習(xí)慣、健康管理的數(shù)據(jù)[4]。

PHR數(shù)據(jù)是個人健康數(shù)據(jù)的重要組成部分，其與電子病歷系統(tǒng)的區(qū)別在于電子病歷系統(tǒng)是衛(wèi)生保健服務(wù)人員使用的系統(tǒng)，而PHR的主要目的是讓個體患者獲得和控制個人健康信息[2]。不同的PHR系統(tǒng)提供不同程度的連接和功能，可以與電子病歷系統(tǒng)等其他系統(tǒng)完全或部分集成。PHR將醫(yī)療健康管理的重點轉(zhuǎn)移到以患者為中心的模式，能促進患者尤其是慢性疾病患者參與預(yù)防與實踐，并減少醫(yī)療錯誤和再入院率；PHR匯總數(shù)據(jù)能夠在健康監(jiān)測、疫情管理等公共衛(wèi)生領(lǐng)域和科學(xué)研究領(lǐng)域發(fā)揮作用[5]。

2 美國和歐盟PHR管理的現(xiàn)狀

2.1 美國

美國是PHR系統(tǒng)開發(fā)的核心市場之一[6]，其適用于PHR的相關(guān)法律包括1996年頒布的《健康保險可攜帶與責(zé)任法案》(Health Insurance Portability and Accountability Act，HIPAA)和2009年頒布的《經(jīng)濟和臨床健康信息科技法案》(Health Information Technology for Economic and Clinical Health Act，HITECH)，二者均是管理受保護健康信息隱私和安全的法律。HIPAA確定了交換、披露健康信息的初始安全要求。HITECH對其進一步擴展，要求通知本人有關(guān)其受保護健康信息的違規(guī)行為。

HIPAA旨在管理提供PHR服務(wù)的實體，使其正確履行隱私和安全的要求。HIPAA最適用PHR服務(wù)的是章節(jié)二管理簡化條款中的隱私規(guī)則和安全規(guī)則，隱私規(guī)則主要涉及如何使用個人的受保護健康信息，安全規(guī)則目的是通過解釋如何在各方之間安全地共享數(shù)據(jù)和定義企業(yè)可以遵守的標準來鼓勵電子數(shù)據(jù)的交換傳播[2]。HIPAA僅適用于受管轄實體，主要包括傳統(tǒng)衛(wèi)生保健服務(wù)提供者、衛(wèi)生保健信息處理機構(gòu)，而私人PHR供應(yīng)商未受該法案約束。HIPAA關(guān)于商業(yè)合作伙伴概念及其確切法律地位的界定也比較模糊。隱私規(guī)則限制了受管轄實體使用和披露個人受保護健康信息的方式，但該限制并未傳遞給與受管轄實體相關(guān)聯(lián)的任何商業(yè)業(yè)務(wù)。

安全規(guī)則列出了存儲和傳輸人員對個人受保護的健康信息需要采取的預(yù)防措施，其中包括需具備的管理、物理和技術(shù)保障，以及最低限度的文件和審計要求。安全規(guī)則要求受管轄實體確保受保護健康信息的機密性、完整性和可用性，防止任何可能威脅此類信息安全性或完整性的危險，防止任何被禁止但預(yù)期合理的使用或披露，并確保其員工操作的合規(guī)性。另外安全規(guī)則制定安全措施、審計、加密、身份驗證和處置實施細節(jié)和要求。

HITECH對HIPAA進行了更新，主要是將隱私和安全規(guī)則中對個人受保護健康信息責(zé)任擴展到所受管轄實體的商業(yè)合作伙伴。HITECH闡明了商業(yè)合作伙伴的法律地位，使其受到與受管轄實體相同的隱私要求。2013年HITECH進一步闡明，商業(yè)合作伙伴所涵蓋實體包括創(chuàng)建、接收、維護或傳輸個人健康信息的任何業(yè)務(wù)，因此提供數(shù)據(jù)傳輸和云服務(wù)器等服務(wù)的企業(yè)將有義務(wù)遵守所有HIPAA安全規(guī)則和一部分隱私規(guī)則[7]。

此外，《聯(lián)邦貿(mào)易委員會法案》也適用于美國PHR服務(wù)提供商。該法案第5節(jié)規(guī)定不支持自身所承諾安全措施的PHR供應(yīng)商將被追究責(zé)任[8]。

2.2 歐盟

歐盟最初適用于PHR的指令是1995年頒布的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》和2002年頒布的《關(guān)于隱私和電子通信的指令》。上述指令包含數(shù)據(jù)保護和隱私政策，以及個人和敏感數(shù)據(jù)的一般類別，但未詳細說明哪些安全和隱私措施必須應(yīng)用于保護健康相關(guān)數(shù)據(jù)。

歐盟成員國必須制定基于上述指令概述原則的本國法律，由于各成員國獨立起草和實施的法律間存在差異，導(dǎo)致了不同程度的執(zhí)法和其他相關(guān)問題[9]。為了改善這種情況，歐盟于2016年4月批準新的條例《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR )，并于2018年5月生效。

GDPR旨在通過標準化歐盟的個人數(shù)據(jù)保護制度，更好地應(yīng)對新興和全球化的技術(shù)，并確保個人權(quán)利得到保護。GDPR重點強調(diào)促進問責(zé)制，要求相關(guān)機構(gòu)證明其遵守條例概述的原則。其規(guī)定措施包括：建立加工活動記錄(文件)；明確數(shù)據(jù)保護/隱私影響評估要求，包括評估處理操作和目的描述、與目的相關(guān)處理的必要性和比例、個人風(fēng)險和應(yīng)對風(fēng)險的措施；數(shù)據(jù)泄露的通知責(zé)任，向相關(guān)監(jiān)管機構(gòu)報告某些類型的數(shù)據(jù)泄露的義務(wù)，在某些情況下向受影響的個人報告的義務(wù)；任命數(shù)據(jù)保護官員，其職責(zé)主要包括向組織及其員工告知他們應(yīng)遵守GDPR的義務(wù)、監(jiān)控和管理對GDPR的遵守情況(包括內(nèi)部數(shù)據(jù)保護活動、數(shù)據(jù)保護影響評估、員工培訓(xùn)和內(nèi)部審計)；設(shè)立國家數(shù)據(jù)保護機構(gòu)等。此外GDPR提出了隱私設(shè)計和隱私默認的概念：數(shù)據(jù)控制者必須設(shè)計和實施保護數(shù)據(jù)的機制，以維護條例規(guī)定的標準；并確保默認情況下僅處理特定目的所需的個人數(shù)據(jù)[9]。

2.3 美國和歐盟的比較

表1對美國和歐盟適用于PHR開發(fā)和使用的立法組成部分進行比較。

表1 美國與歐盟適用PHR的立法關(guān)鍵組成部分的比較

由表1可見，歐盟不區(qū)分行業(yè)，對個人數(shù)據(jù)予以統(tǒng)一保護，而美國則基于醫(yī)療健康行業(yè)的特點，對個人的受保護健康信息予以保護；GDPR對合理、適當(dāng)?shù)陌踩c保障措施提供了更具體和嚴格的要求，但諸如隱私設(shè)計和隱私默認等術(shù)語，其含義上具有一定的解釋空間和模糊性；上述法律對用戶認證均不需要特定的先進識別手段，但僅加密用戶身份并不滿足HIPAA安全規(guī)則標準；數(shù)據(jù)控制者、數(shù)據(jù)處理者、數(shù)據(jù)所有者3個特定術(shù)語并不適用于美國司法管轄區(qū)；GDPR中未有涉及數(shù)據(jù)披露的相關(guān)條款；HIPAA與GDPR中數(shù)據(jù)泄露必須通知監(jiān)管機構(gòu)的時間范圍有所不同，但均規(guī)定了最低要求，GDPR為72小時，HIPAA為10天，在通知個人方面，上述法律給責(zé)任機構(gòu)留下了審慎選擇的空間，讓他們評估健康信息泄露潛在風(fēng)險以決定是否通知個人；相對于美國相關(guān)法案，GDPR定義了更直接和更嚴格的懲罰措施，賦予受保護數(shù)據(jù)主體更多權(quán)力，如刪除權(quán)(被遺忘權(quán))與可攜帶權(quán)。綜上比較，GDPR數(shù)據(jù)保護措施更全面和嚴格，但在關(guān)鍵領(lǐng)域留有解釋空間和一定程度的模糊性；美國相關(guān)法案的PHR數(shù)據(jù)保護模式有利于充分促進數(shù)據(jù)流通，但在隱私保護嚴格程度方面又稍遜于歐盟GDPR。

3 對我國相關(guān)立法的啟示

目前，我國PHR保護的相關(guān)立法散見于我國各類法律，如2004年12月1日施行的《中華人民共和國傳染病防治法》、2010年7月1日施行的《中華人民共和國侵權(quán)責(zé)任法》、2015年11月1日施行的《中華人民共和國刑法修正案( 九) 》、2017 年6月1日施行的《中華人民共和國網(wǎng)絡(luò)安全法》、2017年10月1日施行的《中華人民共和國民法總則》等。上述法律相關(guān)條文對于PHR的保護零碎不成系統(tǒng)，無法形成完整的體系[10]，結(jié)合GDPR與HIPAA法案涉及PHR安全和隱私的法律框架回顧，筆者提出以下建議。

3.1 界定相關(guān)概念

新技術(shù)的快速發(fā)展對各種法律體系評估相關(guān)和適用的立法定位提出挑戰(zhàn)。歐盟與美國PHR保護相關(guān)立法均是依據(jù)個人數(shù)據(jù)保護或電子病歷系統(tǒng)制定的，并未針對基于私人和企業(yè)PHR提供具體的規(guī)定：缺乏對構(gòu)成PHR的內(nèi)容明確和一致的定義、PHR各類服務(wù)的定義和術(shù)語，以及未能明確PHR和電子病歷系統(tǒng)之間適當(dāng)?shù)姆煽蚣懿町?，總體上法律體系完善尚未完全跟上PHR相關(guān)技術(shù)的快速發(fā)展，并適應(yīng)其對患者數(shù)據(jù)隱私和安全所帶來的挑戰(zhàn)。建議從法律層面界定PHR等概念，確定其保護范圍、權(quán)利內(nèi)涵、保護原則等法律屬性，使PHR隱私與安全保護有法可依。

3.2 明確責(zé)任主體

PHR數(shù)據(jù)流通過程中涉及的實體包括醫(yī)療機構(gòu)、獨立系統(tǒng)運營商、軟件開發(fā)商、設(shè)備供應(yīng)商等機構(gòu)及其從業(yè)人員等，而我國相關(guān)法律中健康數(shù)據(jù)保護條款適用主體僅涉及衛(wèi)生行政部門、疾病預(yù)防與控制機構(gòu)、醫(yī)療機構(gòu)及醫(yī)療從業(yè)人員。HIPPA中受管轄主體則包括健康計劃、衛(wèi)生保健信息處理機構(gòu)、衛(wèi)生保健服務(wù)提供者及其商業(yè)合作伙伴[11]；GDPR 明確侵權(quán)責(zé)任主體，引入了數(shù)據(jù)控制者、數(shù)據(jù)處理者等概念，并嚴格規(guī)范其義務(wù)。建議我國相關(guān)法律以在PHR健康數(shù)據(jù)流動過程中直接和間接接觸數(shù)據(jù)的范圍和作用來界定侵權(quán)責(zé)任主體。

3.3 完善監(jiān)管機制

美國與歐盟相關(guān)法律制定了完善的監(jiān)管問責(zé)機制并確定了其可執(zhí)行性。如GDPR在企業(yè)內(nèi)部設(shè)立了數(shù)據(jù)保護官；由數(shù)據(jù)控制者與處理者的主營業(yè)機構(gòu)確定主數(shù)據(jù)保護機構(gòu)，主數(shù)據(jù)保護機構(gòu)行使統(tǒng)一管轄權(quán)；設(shè)置歐盟數(shù)據(jù)監(jiān)管的最高機構(gòu)歐盟數(shù)據(jù)保護理事會。GDPR還規(guī)定了各監(jiān)管機構(gòu)的行政執(zhí)法權(quán)、檢查權(quán)、訴訟及處罰權(quán)[12]，使相應(yīng)的問責(zé)與處罰具有較強的操作性。而我國相關(guān)法律缺乏適用于PHR服務(wù)的監(jiān)管機制，應(yīng)要求信息控制者指定或者設(shè)立專門機構(gòu)或具有相應(yīng)資質(zhì)的專門人員負責(zé)PHR保護日常工作[10]；適當(dāng)以列舉的立法方式來制定PHR系統(tǒng)遭到破壞或泄密等情況時責(zé)任主體的責(zé)任以及懲罰措施。

3.4 采用相關(guān)標準

在個人信息保護立法空缺的情況下，與技術(shù)相連的相關(guān)標準可以起到部分立法替代作用[13]。大數(shù)據(jù)時代個人健康數(shù)據(jù)的跨境存儲和流通不可避免，亟需建立一致性的隱私和安全標準，這些標

準要能夠被普通消費者清楚地理解，并且允許各種PHR系統(tǒng)被獨立評級和比較。但目前在數(shù)據(jù)定義、通信協(xié)議和數(shù)據(jù)分析等領(lǐng)域缺乏普遍認同的標準[14]。建議廣泛和強制使用基本、全面的技術(shù)中立標準以促進患者在各種平臺和地理區(qū)域安全地共享數(shù)據(jù)服務(wù)，如HL7安全和隱私標準有效地支持了GDPR的實施，HL7的PHR系統(tǒng)功能模型PHR-S FM可以為患者提供更好的隱私安全保護，更準確地定義組織必須采取的信息保護措施。