馬文瑞 姜茂敏

“遠(yuǎn)程醫(yī)療”旨在擴大醫(yī)療服務(wù)和醫(yī)學(xué)教育在時間和空間上的覆蓋面，減少因地區(qū)差異、醫(yī)療衛(wèi)生資源差異等造成的醫(yī)療水平不均衡[1]。當(dāng)下，我國醫(yī)療患者的就診數(shù)據(jù)被多方主體收集濫用的情況較為嚴(yán)重，患者隱私侵犯程度和范圍難以控制[2]。有效識別遠(yuǎn)程醫(yī)療患者的隱私風(fēng)險并建立保護(hù)機制，不僅有助于加強患者自身隱私泄露的防護(hù)意識，提升遠(yuǎn)程醫(yī)療機構(gòu)管理患者隱私數(shù)據(jù)的風(fēng)險防控能力，也有助于推動政府及時制定醫(yī)療數(shù)據(jù)保護(hù)的相關(guān)法律，進(jìn)一步充實遠(yuǎn)程醫(yī)療服務(wù)理論體系與方法體系，更好地促進(jìn)遠(yuǎn)程醫(yī)療事業(yè)的安全規(guī)范發(fā)展。

1 遠(yuǎn)程醫(yī)療發(fā)展現(xiàn)狀

國內(nèi)外學(xué)者從法律、管理、技術(shù)及醫(yī)療政策等多角度得出醫(yī)療監(jiān)管法規(guī)政策缺乏、醫(yī)療協(xié)同監(jiān)管措施不到位、醫(yī)務(wù)人員職業(yè)素養(yǎng)偏低等風(fēng)險制約遠(yuǎn)程醫(yī)療患者隱私保護(hù)進(jìn)程[3]。余思萍等[4]、粟丹[5]針對遠(yuǎn)程醫(yī)療患者隱私數(shù)據(jù)泄露風(fēng)險狀況，提出采取“公私并進(jìn)、私法為主”隱私保護(hù)模式，建議建立法律、政策、倫理保護(hù)框架；王彩芬等[6]運用信息熵控制醫(yī)務(wù)人員訪問數(shù)據(jù)庫權(quán)限，改進(jìn)協(xié)商密鑰并構(gòu)建風(fēng)險訪問控制模型；陳雪等[7]倡導(dǎo)加強醫(yī)患隱私保護(hù)意識，對數(shù)據(jù)進(jìn)行分級分類管理，以提升數(shù)據(jù)庫密碼級別；戴正等[8]、劉海琴等[9]分析患者隱私數(shù)據(jù)采集與傳輸過程中的暴露因素，提議加強互聯(lián)網(wǎng)醫(yī)療政策監(jiān)督機制；Patrick[10]從信息安全與隱私、知情同意等多角度剖析遠(yuǎn)程醫(yī)療倫理問題，建議強化遠(yuǎn)程醫(yī)療患者的隱私主體意識、倫理協(xié)同制約等方式；Haimes[11]與Stewart[12]調(diào)查患者對于隱私管理程序的熟悉程度并評估隱私風(fēng)險發(fā)生概率，以建立技術(shù)與管理維度隱私保護(hù)設(shè)想。

綜上，學(xué)者們對遠(yuǎn)程醫(yī)療隱私風(fēng)險多處在認(rèn)知狀態(tài)下，特別是遠(yuǎn)程醫(yī)療患者的就診流程（圖1）更是未形成系統(tǒng)性的隱私保護(hù)措施，遠(yuǎn)程醫(yī)療患者就診管理平臺雖然對邀約方與被邀約方的數(shù)據(jù)傳輸、存儲等提供監(jiān)管服務(wù)，但依然存在隱私信息大范圍泄露、非法盜取隱私數(shù)據(jù)等風(fēng)險。本研究通過分析當(dāng)前遠(yuǎn)程醫(yī)療患者隱私保護(hù)現(xiàn)存困境，精準(zhǔn)識別出遠(yuǎn)程醫(yī)療患者面臨的隱私風(fēng)險，構(gòu)建以法律保護(hù)為根本、流程優(yōu)化為原則、技術(shù)保護(hù)為支撐、意識觀念為基礎(chǔ)的風(fēng)險防控模式，進(jìn)而為遠(yuǎn)程醫(yī)療患者的隱私權(quán)保護(hù)提供更有力保障。

2 遠(yuǎn)程醫(yī)療患者隱私保護(hù)現(xiàn)存困境

2.1 商業(yè)利益的價值性與遭受侵害的隱蔽性

遠(yuǎn)程醫(yī)療數(shù)據(jù)的潛在價值加大了商業(yè)機構(gòu)盜取患者隱私的風(fēng)險。從外部信息保護(hù)來看，患者就診數(shù)據(jù)是進(jìn)行科學(xué)研究及政府制定衛(wèi)生決策的信息來源，而部分非法商家利用信息資源優(yōu)勢，突破遠(yuǎn)程醫(yī)療平臺設(shè)置的安全網(wǎng)，在患者不知情的情況下侵犯其隱私。其次，網(wǎng)絡(luò)犯罪行為的易銷毀性也為犯罪分子盜取患者個人隱私提供可乘之機，致使患者隱私信息被侵害變得更加隱蔽。目前，我國法律缺乏專門針對遠(yuǎn)程醫(yī)療患者隱私信息管理的具體條令，導(dǎo)致各地區(qū)之間涉及遠(yuǎn)程醫(yī)療患者隱私信息的保管均存在差異[13]，若是患者個人信息可以被盜用來實施網(wǎng)絡(luò)詐騙，進(jìn)而同樣可以對患者隱私造成極大侵害。

2.2 主體關(guān)系的多樣性與客體關(guān)系的復(fù)雜性

遠(yuǎn)程醫(yī)療患者的隱私不同于一般隱私的關(guān)鍵之處在于其權(quán)利主體的多樣性。遠(yuǎn)程醫(yī)療患者的隱私侵權(quán)主體不僅包括為其提供診療服務(wù)的醫(yī)務(wù)人員，提供網(wǎng)絡(luò)運營監(jiān)管的服務(wù)方也可能利用職務(wù)便利侵犯患者隱私。因此，在保證醫(yī)師不濫用數(shù)據(jù)的情況下，患者隱私的公開僅限定于為其提供遠(yuǎn)程診療服務(wù)的醫(yī)師[14]。遠(yuǎn)程醫(yī)療患者隱私權(quán)客體較之傳統(tǒng)醫(yī)療更具復(fù)雜性，傳統(tǒng)醫(yī)療患者就診只需提交姓名、年齡等基本信息，而遠(yuǎn)程醫(yī)療患者需要付款賬戶的信息授權(quán)等，患者現(xiàn)實身份的變更使得信息暴露區(qū)域變大。其次，遠(yuǎn)程醫(yī)療患者就診過程中的數(shù)據(jù)因醫(yī)療機構(gòu)內(nèi)部管理流程欠清晰規(guī)范，進(jìn)而導(dǎo)致客體的安全風(fēng)險系數(shù)增高。

2.3 數(shù)據(jù)采集的廣泛性與隱私利用的重復(fù)性

圖1 遠(yuǎn)程醫(yī)療患者就診流程

遠(yuǎn)程醫(yī)療數(shù)據(jù)的采集對患者知情同意權(quán)提出了新的挑戰(zhàn)。一方面，遠(yuǎn)程醫(yī)療數(shù)據(jù)的應(yīng)用建立在大范圍采集患者隱私信息基礎(chǔ)上，數(shù)據(jù)庫的不斷更新易使患者隱私信息被反復(fù)利用。另一方面，第三方利益主體在采集遠(yuǎn)程醫(yī)療患者隱私信息時，往往利用現(xiàn)有數(shù)據(jù)優(yōu)勢對患者所處的狀態(tài)做出預(yù)判，以此推銷符合患者自身情況的醫(yī)療產(chǎn)品而獲取利潤，例如被邀請的遠(yuǎn)程醫(yī)療服務(wù)端通過獲取遠(yuǎn)程患者的醫(yī)療檢查數(shù)據(jù)，進(jìn)而對其當(dāng)前的醫(yī)療健康行為做出預(yù)測[15]。因此，對遠(yuǎn)程醫(yī)療患者自身重要信息的保護(hù)以及采用數(shù)據(jù)隱私匿名處理技術(shù)，這兩者還不足以完全確保遠(yuǎn)程醫(yī)療患者自身隱私數(shù)據(jù)的絕對安全。

3 遠(yuǎn)程醫(yī)療患者隱私保護(hù)的風(fēng)險識別

3.1 患者隱私保護(hù)的法律制度風(fēng)險

遠(yuǎn)程醫(yī)療數(shù)據(jù)庫權(quán)利界定模糊，患者隱私信息容易被篡改是當(dāng)前面臨的法律風(fēng)險?；颊唠[私風(fēng)險因知情主體多樣化而不斷增加，尤其是第三方醫(yī)療機構(gòu)的參與對醫(yī)院單方掌握患者醫(yī)療數(shù)據(jù)的傳統(tǒng)醫(yī)療模式形成沖擊。遠(yuǎn)程醫(yī)療機構(gòu)通過平臺將患者就診信息匯總至數(shù)據(jù)庫，但法律并未對數(shù)據(jù)庫的權(quán)利使用進(jìn)行明確界定；同時，網(wǎng)絡(luò)服務(wù)方因利用信息優(yōu)勢竊取患者隱私信息，進(jìn)而增加隱私信息傳播風(fēng)險。以法律層面而言，患者具有隱私保護(hù)權(quán)卻無法更改數(shù)據(jù)，從而充滿被動性，相反，醫(yī)療機構(gòu)單方享有患者隱私數(shù)據(jù)的權(quán)利[16]。當(dāng)前法律未對患者隱私處理清晰界定，加大了遠(yuǎn)程醫(yī)療機構(gòu)濫用醫(yī)療數(shù)據(jù)的風(fēng)險。

3.2 患者隱私保護(hù)的內(nèi)部管理風(fēng)險

醫(yī)療主體間權(quán)責(zé)關(guān)系的重構(gòu)化以及流程環(huán)節(jié)的繁瑣導(dǎo)致醫(yī)療數(shù)據(jù)濫用是其面臨的內(nèi)部管理風(fēng)險[17]。首先，患者接受醫(yī)療機構(gòu)為其提供的遠(yuǎn)程診療服務(wù)標(biāo)志醫(yī)療服務(wù)合同關(guān)系的形成，但由于遠(yuǎn)程醫(yī)療涉及多方主體，多方主體對診療過程中對患者造成的損害是否實行免責(zé)容易產(chǎn)生職責(zé)混亂問題；其次，在傳統(tǒng)醫(yī)療模式中,紙質(zhì)病歷作為記載患者信息的載體，整個診治過程包括知情權(quán)均在雙方掌控范圍內(nèi)。隨著醫(yī)療模式的不斷更新,醫(yī)生借助電子病歷可實時獲得患者基本就醫(yī)信息，但因醫(yī)療機構(gòu)內(nèi)部缺乏相關(guān)的醫(yī)院規(guī)章條例加以約束，因此在電子病歷數(shù)據(jù)庫的傳輸過程中易導(dǎo)致患者隱私泄露的風(fēng)險性加大。

3.3 患者隱私保護(hù)的技術(shù)安全風(fēng)險

遠(yuǎn)程醫(yī)療平臺使用中的隱私泄露，導(dǎo)致患者隱私數(shù)據(jù)庫遭致商業(yè)化上的利用是其面臨的技術(shù)安全風(fēng)險。首先，遠(yuǎn)程醫(yī)療設(shè)備或各種醫(yī)療APP在幫助患者實現(xiàn)自我健康管理的同時，平臺運營方也通過技術(shù)手段獲取患者疾病咨詢的個人信息，并定時向遠(yuǎn)程醫(yī)療機構(gòu)輸送患者醫(yī)療隱私數(shù)據(jù)，隱私信息的雙重備份侵犯了患者的隱私權(quán)。但我國目前并無此類設(shè)備數(shù)據(jù)采集相關(guān)規(guī)定，這就存在患者隱私泄露或直接被用于定向營銷等商業(yè)應(yīng)用的安全隱患。其次，利用新技術(shù)難免會出現(xiàn)患者的隱私被中間商利用技術(shù)手段非法截取的現(xiàn)象，傳播范圍的擴大化進(jìn)一步加劇了隱私權(quán)被侵犯的風(fēng)險。

3.4 患者隱私保護(hù)的醫(yī)療倫理風(fēng)險

醫(yī)務(wù)人員保護(hù)患者隱私意識薄弱，以及未合理限定平臺使用權(quán)限是其面臨的醫(yī)療倫理風(fēng)險。根據(jù)《中華人民共和國執(zhí)業(yè)醫(yī)師法》相關(guān)規(guī)定“醫(yī)務(wù)人員不能擅自泄露涉及患者隱私的電子病歷”。近期，醫(yī)務(wù)人員外借患者電子簽名致使患者隱私泄露現(xiàn)象頻發(fā)，歸結(jié)原因在于醫(yī)務(wù)人員隱私保護(hù)意識薄弱。根據(jù)《執(zhí)業(yè)醫(yī)師法》及《醫(yī)療機構(gòu)管理條例》相關(guān)規(guī)定“不同級別的醫(yī)護(hù)人員對于遠(yuǎn)程平臺的控制與使用分別享有不同權(quán)限”[18]，上級醫(yī)師有權(quán)對下級醫(yī)師給出的病歷信息進(jìn)行適當(dāng)性修改，但在整個診療過程中，若不限定遠(yuǎn)程操作平臺人員的使用權(quán)限，最終會導(dǎo)致醫(yī)療數(shù)據(jù)泄露，進(jìn)而侵犯患者隱私權(quán)。

4 遠(yuǎn)程醫(yī)療患者隱私保護(hù)風(fēng)險成因及相應(yīng)對策

4.1 法律風(fēng)險成因及對策分析

法律保護(hù)為遠(yuǎn)程醫(yī)療機構(gòu)保護(hù)患者隱私提供制度保障。遠(yuǎn)程醫(yī)療機構(gòu)作為醫(yī)療數(shù)據(jù)安全責(zé)任的管理者，健全數(shù)據(jù)安全等級保護(hù)制度并及時告知患者自身隱私動態(tài)是其主要職責(zé)。但我國現(xiàn)有法律欠缺患者隱私保護(hù)的事前監(jiān)督和必要介入，多數(shù)網(wǎng)絡(luò)服務(wù)者保護(hù)患者隱私措施的事前監(jiān)督意識具有滯后性；法律目前仍依據(jù)傳統(tǒng)侵權(quán)方式應(yīng)用于遠(yuǎn)程醫(yī)療隱私保護(hù)，較低的違法成本無法有效打擊犯罪分子侵權(quán)動機[19]。因此，通過刑事處罰手段明確危害數(shù)據(jù)安全行為的法律責(zé)任，在《民法總則》中加大患者隱私遭致侵犯時賠償?shù)馁M用及損害他人名譽時的處罰力度；及時在《中華人民共和國執(zhí)業(yè)醫(yī)師法》中明確遠(yuǎn)程醫(yī)療機構(gòu)與患者的保密責(zé)任，通過上升至法律高度加大對醫(yī)療機構(gòu)的權(quán)限設(shè)置。

4.2 管理風(fēng)險成因及對策分析

流程優(yōu)化為遠(yuǎn)程醫(yī)療機構(gòu)保護(hù)患者隱私發(fā)揮引導(dǎo)規(guī)范作用，但傳統(tǒng)醫(yī)療管理流程已不能適應(yīng)遠(yuǎn)程醫(yī)療的發(fā)展需要。首先，遠(yuǎn)程醫(yī)療機構(gòu)未能對其內(nèi)部數(shù)據(jù)的采集、存儲、傳輸與刪除制定統(tǒng)一標(biāo)準(zhǔn)。其次，多數(shù)醫(yī)療機構(gòu)未能對患者的隱私數(shù)據(jù)保護(hù)給予充分重視以致數(shù)據(jù)分類不明確，外加專門用于患者隱私保護(hù)方面的經(jīng)費預(yù)算偏低，雙重方面不利于遠(yuǎn)程醫(yī)療患者的隱私管理[20]。為更加優(yōu)化管理流程及確保醫(yī)療數(shù)據(jù)庫的安全性，醫(yī)療機構(gòu)應(yīng)采用統(tǒng)一數(shù)據(jù)采集通道；應(yīng)用碎片化存儲技術(shù)實現(xiàn)保存醫(yī)療數(shù)據(jù)的目的；采用VPN和數(shù)據(jù)傳輸加密等技術(shù)實現(xiàn)數(shù)據(jù)的安全傳輸；相關(guān)醫(yī)療數(shù)據(jù)在被其他用戶使用前應(yīng)確保完全刪除，最終在有效發(fā)揮政府監(jiān)管的主導(dǎo)作用基礎(chǔ)上，實現(xiàn)逐步引導(dǎo)社會輿論有序參與監(jiān)管。

4.3 技術(shù)風(fēng)險成因及對策分析

技術(shù)保護(hù)為遠(yuǎn)程醫(yī)療機構(gòu)保護(hù)患者隱私提供技術(shù)支撐。當(dāng)前，遠(yuǎn)程醫(yī)療面臨數(shù)據(jù)安全性較差與網(wǎng)絡(luò)系統(tǒng)漏洞等技術(shù)風(fēng)險，例如原始數(shù)據(jù)匿名化方法在提高數(shù)據(jù)安全性的同時也會損失患者的部分信息；其次，目前多數(shù)遠(yuǎn)程醫(yī)療機構(gòu)缺乏漏洞管理技術(shù)及網(wǎng)絡(luò)安全管理經(jīng)驗。在互聯(lián)網(wǎng)醫(yī)療背景下，適時形成“小范圍披漏風(fēng)險小的疾病信息，根據(jù)需要披漏威脅較大的疾病信息”的標(biāo)準(zhǔn)體系。分別針對我國具體情況與信息披漏人的主、客觀狀況，對相應(yīng)違規(guī)的披露行為設(shè)立統(tǒng)一的遠(yuǎn)程醫(yī)療信息傳輸標(biāo)準(zhǔn)。醫(yī)療機構(gòu)人員還可通過手機將患者的電子病歷圖片上傳至云端前，服務(wù)器會根據(jù)收到文件塊的用戶身份通過特定手段進(jìn)行加密存儲。

4.4 倫理風(fēng)險成因及對策分析

醫(yī)務(wù)人員保護(hù)患者隱私意識不足及患者隱私保護(hù)意識薄弱，是當(dāng)前遠(yuǎn)程醫(yī)療患者隱私泄漏的主要原因。首先，醫(yī)務(wù)人員本身缺乏專業(yè)化培訓(xùn)及醫(yī)療隱私信息的高價值性，容易驅(qū)使醫(yī)務(wù)人員出賣患者隱私以獲取高額利潤。其次，多數(shù)遠(yuǎn)程醫(yī)療患者對自身醫(yī)療隱私辨別及維護(hù)自身權(quán)益的意識模糊[21]。為此，建立以制度為導(dǎo)向、技術(shù)為切入點的全方位系統(tǒng)監(jiān)控體系，加強遠(yuǎn)程醫(yī)療機構(gòu)醫(yī)務(wù)人員的專業(yè)素質(zhì)教育，以提高患者對于隱私保護(hù)的辨識度及維權(quán)意識。除了遠(yuǎn)程醫(yī)療機構(gòu)在診療過程中告知患者應(yīng)該享有的權(quán)利外，政府等相關(guān)部門應(yīng)加強醫(yī)療健康隱私信息的宣傳，患者自身也需有意識地了解隱私權(quán)及醫(yī)療隱私的相關(guān)法規(guī)，以在維護(hù)自身權(quán)益的基礎(chǔ)上做到識權(quán)、用權(quán)與維權(quán)。