智慧医疗背景下个人健康信息的保护策略研究

陈堂炜 ,  任天波

中国医学伦理学 ›› 2024, Vol. 37 ›› Issue (7) : 770 -777.

PDF (586KB)
中国医学伦理学 ›› 2024, Vol. 37 ›› Issue (7) : 770 -777. DOI: 10.12026/j.issn.1001-8565.2024.07.04
临床伦理

智慧医疗背景下个人健康信息的保护策略研究

作者信息 +

Research on protection strategies of personal health information in the context of smart healthcare

Author information +
文章历史 +
PDF (599K)

摘要

“智慧医疗”是一种“互联网+医疗”的新服务模式,通过打造现代化区域医疗信息平台,极大提高医疗智能化水平和患者就医体验感。智慧医疗体系的建设需要收集大量的个人健康数据,不可避免地带来了个人信息保护的问题,具体包括法律保障体系不健全、开发与保护的矛盾、知情同意规则失灵、技术保护的困难。因此需要有效构建均衡机制的方法,如完善法律制度、调整知情同意适用、强化伦理道德支撑、多方共同监管等策略,使个人健康信息促进医学进步,增进民生福祉。

Abstract

“Smart healthcare” is a new service model of “Internet plus healthcare”, which can greatly improve the level of medical intelligence and the sense of patients’ medical experience by creating a modern regional medical information platform. The construction of a smart healthcare system requires the collection of a large amount of personal health data, which inevitably leads to issues related to the protection of personal information, specifically including inadequate legal protection systems, the contradiction between development and protection, the failure of informed consent rules, and difficulties in technical protection. Therefore, it is necessary to find effective methods to build a balanced mechanism, such as improving the legal system, adjusting the application of informed consent, strengthening ethical and moral support, multi-party joint supervision, and other strategies, so that personal health information can promote medical progress and improve people’s well-being.

关键词

智慧医疗 / 个人健康信息 / 信息保护

Key words

smart healthcare / personal health information / information protection

引用本文

引用格式 ▾
陈堂炜,任天波. 智慧医疗背景下个人健康信息的保护策略研究[J]. 中国医学伦理学, 2024, 37(7): 770-777 DOI:10.12026/j.issn.1001-8565.2024.07.04

登录浏览全文

4963

注册一个新账户 忘记密码

1 智慧医疗下的个人健康信息

1.1 个人健康信息概念界定

目前,个人健康信息在法律中并没有形成统一的概念,但个人健康信息属于个人信息的组成部分,其定义可以在“个人信息”的概念里体现出特殊性。在美国《健康保险可携带性和责任法案》中,个人信息是“以口头、书面和电子等任何形式或者媒介传输或保存的可单独识别的信息。”欧盟《通用数据保护条列》采用了“健康有关数据”的广义概念,即可识别个人健康状况的个人数据,包括卫生保健服务相关的信息。2018年中国《国家健康医疗大数据标准、安全和服务管理办法》指出健康信息是在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。而2021年施行的《中华人民共和国个人信息保护法》中对个人信息的界定是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。

因此,可以提取出个人信息的核心特征是“可识别性”,个人健康信息可定义为个人在日常生活或疾病防治过程中产生的与主体生理心理状况高度相关的医疗健康信息,包括病历单、就诊记录、既往病史、体检结果、健康监测报告、医疗保险等。

1.2 个人健康信息与一般个人信息的区别

个人健康信息与一般个人信息都包含于个人信息的范畴。通常在医疗过程中,个人健康信息和一般个人信息并不是相互独立的,它们往往交错组合,形成具有明确指向性、可识别到具体主体的综合信息。例如一份电子病历,既包含了化验单、医嘱单、病理资料、医学影像资料等健康信息,又包含了姓名、性别、出生日期等人口学统计信息——此类信息属于一般个人信息,被自然人已经公开或是愿意公开,不再属于隐私范围。

不同的是,医疗健康信息属于敏感个人信息,具有极高的隐私性,《个人信息保护法》第二十八条规定此类信息的泄露易导致信息主体的人格尊严和人身财产安全受到侵害。而且医疗健康信息相比于一般信息具有更大的经济价值,更容易成为被觊觎侵犯的对象。但考虑到信息数据能助力于科学发展和社会公益,不能“一刀切”式严把严控,法律需要依照一定标准区分敏感度后进行分级保护,对医疗类敏感个人信息采取更严格的保护措施,以体现其特殊性。

1.3 个人健康信息的特征

1.3.1 高敏感性

个人健康信息属于自然人不愿意公开的极度隐私信息,涉及个体的人格尊严,具有法律意义上的敏感性。《个人信息保护法》中提出过敏感信息被泄露或者非法使用将导致人格利益和人身财产安全受到侵害。但法律上的“敏感性”与通用语言意义上的“敏感”有所不同1

对个人而言,敏感意味着对可能发生的侵害的恐惧。健康信息所包含的身体参数、历史疾病、用药情况、基因信息等,此类信息一旦泄露对主体的正常生活与工作可能造成严重打击,如患有性病和精神疾病的人会因此遭到歧视。

对社会而言,敏感意味着撼动医学伦理所维持的公信力水准。医院是收集患者健康信息最为频繁,拥有的健康信息数量最大的机构。患者出于对医生的信任和治病需要,将自己的生理信息告知医生,医生及医院对此负有保管责任。若是此类信息从医院中流出,将无法保证医疗机构的专业性和权威性,患者出于自我保护也许会隐瞒部分病情,信任感缺失也会极大地冲击原本和谐的医患关系。

1.3.2 高传播性和可获取性

在互联网与医疗行业并没有大规模结合时,个人健康信息的载体为纸质文档。传统纸质文件的保管需要消耗大量的人力物力,且缺乏统一的规范标准,给医疗工作造成不便。以病历为例,不同医院纸质病历无法互通,影响跨院合作。受限于篇幅,其内容也并不详尽,增加了不同科室间的沟通成本,部分患者也无法精准了解自身病情。

医疗行业进入“智能化时代”后,个人健康信息的存储方式由纸质转变为电子数据。同样以病历为例,电子病历相较于传统病历更加准确、完整,不仅省下来手写病历的时间,还可以为跨区域的远程医疗提供便利。

个人健康信息的高传播性和可获取性建立在两个基础之上:一是涉及的主体和环节更加多元化。互联互通成为医学发展的刚需,除了医院和医学研究所之外,还有第三方数据保护与开发机构。医疗数据的价值在于高效流通,不同主体在证明必要性和合法性之后,都可以访问数据库获取信息。二是医学技术与医学设备的现代化。科学进步拓展了信息收取途径,不再局限于单一的人工记录,而是能通过智能App或者可穿戴设备进行收集。借助物联网技术,医疗数据能够无视时空距离进行大规模的传输,个性化的医疗需求也在不断增加数据库的储存量。

1.3.3 高集成化利用价值

集成化利用指的是使用数据挖掘和分析技术,将原本低密度的初始资料分类、整合、解析重组成新的资料,以实现多维度利用2。原本分散的个人健康信息利用效率较低,体现不出信息的高价值性,接入计算机网络之后,海量数据被有意识或无意识地应用,为医疗领域作出不菲贡献。

第一,推动医学发展进步。医疗科技的发展离不开实验和数据,例如药物研究会用到大量的对比实验,实验中产生的各种参数整合分析后对新药的问世具有重要意义。医学教学过程中,为了能让学生对疾病和诊问有更直观的了解,医科院校会提供匿名化的患者数据让其使用统计软件进行挖掘和分析。

第二,促进精准医疗的发展。传统的临床治疗,医生只能从患者当前的身体状态和主观描述中进行模糊的病情判断。智慧医疗系统可以收集患者过往就诊信息,借助现代医学设备检查身体部位,使得“溯源循迹”式的治疗方式成为可能。比如靶向疗法,是在分子水平上对患癌部位进行治疗,过程中产生的信息能帮助医生进行综合判断,不会波及肿瘤周围的正常细胞,极大提升了癌症治疗的精准度。

第三,提升个性化医疗服务体验感。集成的医疗信息和智能系统方便患者迅速了解所患疾病,根据疾病特点给出相关建议,预约接诊时间匹配合适的医生,减少等候的时间成本和内心的焦虑感。另外,保健行业获得数据后,能为患者提供更适应个人需求的康复服务和健康管理业务。

1.3.4 多重利益相关性

多重利益来自于多方主体,面对同一个目标,不同主体显现出不同的利益需求,这些需求既能成为潜在合作的内因,又能成为矛盾爆发的基点。个人健康信息因其高价值性被多方主体关注,深入解读不同主体的需求对开发与保护的平衡具有现实意义。

患者作为信息主体,希望能够加强医疗个人信息的保护,以防止可能发生的侵害。与信息主体相对的是信息收集者和利用者,他们从收集来的健康信息中提取所需要的信息,通常收集者会倾向于收集更多的信息来保证目标的完成度和准确性,利用者为最大程度发挥信息价值也会“多次利用”。他们的需求就不可避免地与患者所希望的信息保护,以及相关法律规定个人信息收集中的“必要性、最少性”原则产生了矛盾。

2 个人健康信息保护现状

2.1 欧盟保护模式

欧盟成员国众多,为便于数据信息的共同开发,在各国原有法律基础之上进行整体性层面的统筹,于2018年施行《通用数据保护条例》(General Data Protection Regulations,GDPR)。

欧盟对健康信息的保护来源于对个人信息属于人格权的充分认可,个人信息是人格权在现当代的一种表现形式。人格权源于人的理性和尊严,要求尊重人格的完整性与自主性。欧盟信息保护以自决权为基础,集中体现在个人对其信息的自由意志之上,个人对其所产生的信息具有绝对控制的权利,不受他人的干涉和阻碍3

基于人格权所设立的法律侧重于对个人信息的严格保护,且倾向于采用知情同意、目的限定之类的传统信息保护规则。GDPR规定了覆盖个人健康数据处理的7项基本原则:合法透明公平原则、目的限定原则、数据最小化原则、准确原则、有限留存原则、完整与机密原则、问责与合规原则。此外为了强化个人对其信息的控制又设置了被遗忘权、限制处理权、访问权等一系列权利,以达到保护信息的目的。当侵害行为已经发生时,GDPR允许多种救济途径,如向监管部门申诉、起诉侵权方、寻求公益诉讼等,违法一方将面临巨额罚款。对于收集者和处理者方面则采用了原则性义务与实质性义务相结合的规制方法,值得一提的是医疗机构对患者知情同意的义务,医疗机构必须获得患者的明确同意才能收集处理患者数据,这个“明确”相较于以往更加严格,必须以易于理解和访问的方式告知患者数据处理可能存在的风险,并说明处理行为是否符合法律或合同的要求4

2.2 美国保护模式

美国鉴于其基本国情和司法实践情况,采用了以隐私权为核心的分散立法保护模式,专门针对医疗领域进行立法,形成了以《健康保险可携带性和责任法案》(Health Insurance Portability and Accountability Act of 1996,HIPAA)及其补充法案为框架的个人医疗信息保护体系5

该体系对个人信息的保护来源于承认信息所具有的隐私权和财产权属性。1890年沃伦首先提出了“隐私权”理论,在随后信息保护的立法与司法实践里,隐私权被解释为自然人控制其个人信息的权利,更有学者认为个人信息本质上就是一种隐私。20世纪60年代以后,西方学者开始从经济学的角度看待个人信息,赋予个人信息“价值”和“效益”的维度,信息披露需要考证是否对社会活动有益,受益方按对价向主体购买所需信息。

隐私权理论使美国较早从宪法层面确立了个人信息的地位,以成文法的形式给政府规定了数据保护标准,在私法领域同样给各主体设置了保护的义务、收集与使用的范围。分散立法并不像以往那般“一刀切”式严格保护,而是由各行内部形成统一规范实现信息保护的分业监管,最终沉淀为行业自律。不同于欧盟模式的保守,美国模式最大的优势便是其灵活性与张性,更侧重于医疗数据行业的发展,推动医疗信息化水平不断提升以赢得国际竞争力6

2.3 日本保护模式

日本采用的是“基本法+专门法”结合的保护模式,代表性法律有《个人信息保护法》《次世代医疗基础法》7

2005年生效的《个人信息保护法》是日本健康信息保护的基本法,主要是打击当时日本国内非政府组织和企业比较普遍的信息滥用行为,在保护个人合法权益的基础上促进信息的合理利用。为顺应互联网时代的高速发展,该法于2015年进行了修订,更改了对个人信息权利的侧重保护,转而寻求开发与保护的平衡。个人医疗信息在该法中属于“需要注意的个人信息”,与一般个人信息区别开来,通过主体可干预程度进行保护。简单来说,一般个人信息只需要向个人告知并申报信息委员会就可以进行使用,但医疗信息必须征得本人同意。

考虑到高敏感信息的使用每次都需要征得患者同意会增加医学研究的成本,不利于医疗事业的发展,日本于2017年颁布了《次世代医疗基础法》作为专门法进行补充。主要增加了国家认定的匿名加工制度,即按照国家标准由官方认证一批匿名信息处理机构,医院无需患者同意就可以将个人健康信息提交给有资质的机构,这些机构按照法律标准进行匿名化处理后再移交给有需求的信息处理者。这种方式使得健康信息利用效能得以提升。

2.4 中国保护现状

中国近几年不断完善医疗健康信息保护制度,到目前还没有制定医疗信息领域的专门立法,采用的是“相关法律+规范性文件”相结合的保护模式。

最新的相关法律中比较突出的是2021年施行的《中华人民共和国民法典》《中华人民共和国个人信息保护法》。《中华人民共和国民法典》人格权编第一千零三十四条规定自然人的个人信息受法律保护,并给出了个人信息的定义,第一千零三十五条为个人信息的处理设置了合法、必要、正当原则,且说明了个人信息处理所包含的范围步骤。《中华人民共和国民法典》提到个人信息中的私密信息适用于有关隐私权的规定,但并未明确说明健康信息是否属于私密信息。相较于《中华人民共和国民法典》,《中华人民共和国个人信息保护法》中关于个人信息的定义多了“不包括匿名化处理后的信息”,显露出国家对于信息开发的鼓励倾向。并在第二十八条中明确说明医疗健康信息为敏感个人信息,设计了包括单独同意和告知在内的敏感信息处理规则,对信息主体的权利和处理者的义务也有具体规定。除以上两部法律外,其他法律中也有关于医疗数据隐私安全保护的内容,例如《中华人民共和国刑法》《中华人民共和国网络安全法》《中华人民共和国执业医师法》等。

方安等8把规范性文件划分成三个层面:政策文件、部委规章、国家标准。政策文件如《“健康中国2030”规划纲要》第二十四章提出推进健康医疗大数据应用,加强健康医疗大数据相关法规和标准体系建设;部委规章如国家卫生计生委医政医管局2017年制定的《电子病历应用管理规范(试行)》,对电子病历的内容、封存、使用等情况进行规范;国家标准如2020年《信息安全技术——个人信息安全规范》,规定了信息收集、共享、披露、删除等处理活动所应遵循的原则和安全要求。

3 个人健康信息保护所面临的困境

3.1 法律保护制度体系不甚健全

目前来看,个人健康信息只是被笼统地归类于个人信息大类进行保护,与其相关的保护条例呈现出“无序性”“分散性”的特点,散见于诸多法律与规范性文件中,无法形成完整统一的保护体系9

个人健康信息的立法存在一种争论,即“权利论”和“法益论”的分歧1。权利或是法益事关个人健康信息的法律属性,进而决定其保护模式的倾向。民事权利是法律赋予民事主体享有的利益范围和实施一定行为或不为一定行为以实现某种利益的意志,权利可以说是“特定利益”和“法律力量”的结合,法律会对权利给予足够大的保护。若是个人健康信息采用“权利保护模式”,则更加突出个人对信息的自决权,信息的收集与使用将遵循主体意志,在一定程度上减弱了个人健康信息的流通。法益是指公民或者法人在民事活动中享有的民事权利与民事利益,虽然法律同样会进行保护,但保护力度是远不如权利的。若是采用“法益保护模式”,则个人健康信息更加让渡于公共福利,信息处理者有更大的自由发挥空间。

此外,现有法律的适用性存在着现实困境。有学者认为《中华人民共和国民法典》和《中华人民共和国个人信息保护法》无法有效衔接,因为《民法典》采用的是责任性规范,而《中华人民共和国个人信息保护法》采用了财产性规范,两种不同保护模式产生竞合效果,引起适用困境10。而且大多数立法显现出从严格保护到鼓励开发利用的倾向,为照顾医方的积极性一般对违法行为予以较轻惩罚,事实上患者才是真正需要保护的弱势群体11

3.2 开发与保护的矛盾

随着人工智能的发展,信息数据会成为未来世界的基石。近年来,个人健康信息的开发利用也暴露了一个现实问题,即开发刚需和法律保护之间的矛盾,这种矛盾具有两种表现形式12

一是信息保护与社会公益之间的矛盾,主要体现在公共卫生管理方面。政府利用所收集到的个人健康信息进行群体健康监管、疾病预防监测、公共卫生决策等用途,对提升公民生活质量及健康水平、处理突发性公共卫生事件具有重要的作用。同时,政府也面临信息收集程度和公开范围的质疑13。在常规管理时期,公权力不宜过多地干预私人生活,私人利益并不必然让位于公共利益,信息的收集应该保持最小必要的原则。

二是信息保护与延伸价值开发之间的矛盾,主要体现在医学研究和医疗服务之上。健康信息是医学研究不可或缺的重要资源,挖掘健康信息价值能够增进社会福祉,但是法律又对敏感个人信息的使用作出了严格的规定。例如,《中华人民共和国个人信息保护法》第二十九条和第三十条规定敏感信息处理者需要征得个人单独同意且需要向主体告知处理的必要性和对个人权益的影响。这种规定增加了医学研究的成本,患者可能因为惧怕风险或是未能理解医学研究的意义从而拒绝提供相关信息。此外,医疗服务行业的巨额利润容易刺激第三方数据管理机构在未经信息主体同意的情况下“二次利用”,造成健康信息的非法传播,导致患者受到广告骚扰和信息轰炸。

3.3 知情同意规则的失灵

健康信息违法行为的后果严重且持久,因此不能仅靠事后惩戒和补救措施进行保护,应该把重点放在事前预防,而事前预防的关键就在于“知情同意”规则的落实。知情同意要求处理者将信息处理的目的、方式、程序告知信息主体,并进行风险预估说明。从某种意义上讲,这也是在邀请主体参与到信息处理的过程,并要其对自己的信息负责。但在实际适用中,知情同意规则却常常遭遇困境。

首先,患者的素质水平是参差不齐的,而无论是以口头或者书面形式告知的内容,不可避免地会使用到专业术语,患者未必能够全部理解呈现在他们面前的信息。医患双方在专业知识储备上的地位是不平等的,且患者往往无法预知信息处理方的信誉基础,所以即便能够理解法律条款和合同内容,出于安全考虑也不一定愿意提供自身的健康信息。其次,现实中的数据开发显现出收集者和处理者相分离的状况,医院只负责收集而不具备大规模分析的设备与技术,必须借助第三方数据处理机构,而第三方无法直接对接到信息主体,也就难以征得患者本人同意。最后,法律中所要求的明确告知目的是一种比较理想化的规定,因为数据挖掘一开始并不带有很强的目的性,其真正的价值在于探索原本未知的规律,这种偶然性特征使得信息处理过程做不到完全透明化14

3.4 技术保护的困难

个人健康信息的保护是一项技术含量极高的工作,要求从业人员具备高水平的计算机知识和丰富的法律常识,这样的人才需要长时间的培养,该行业经常陷入“一将难求”的局面。同时,政府机构和信息企业之间所采用的保护标准可能不一致,数据传输过程中容易出现衔接问题。互联网的特性使得信息窃取手段复杂多样,从数据收集到利用的每一个阶段都存在风险。

最常见的个人健康信息保护方式是在数据收集阶段进行匿名化处理,并在使用阶段限制访问。但大量的数据聚合在一起深度挖掘的时候,仍然可以将部分信息和特定患者联系到一起,彻底匿名化在技术上是无法实现的15。况且中国目前尚未突破数据分析处理的技术壁垒,在核心技术及基础设备上严重依赖发达国家,例如医学科研常用的SPSS、Stata软件实际上是由美国开发出的,这种技术上的不足埋下了信息外泄的隐患。

4 建议

4.1 制定专门法律,完善保护制度

中国目前的法律体系中尚没有针对医疗信息领域的专门立法,其他相关的法律涉及医疗健康信息时,也只做了原则性、抽象性的描述,并没有对个人健康信息处理的细则和标准进行具体规定。为形成更加慎密的保护制度,可结合“智慧医疗”时代的特殊性设立一部专门的“个人健康信息保护法”,形成法律层面的强制力和约束力。

首先,需要界定个人信息的法律属性,法律属性将决定个人信息是采用法益保护模式还是权利保护模式。可以增设个人信息作为一项新的独立的权利,使其能够得到更明确和特定的保护。个人信息权利化与人格权高度契合,在法律保护的内在追求上具有一致性,皆为对人的尊严和自主性的保护。个人信息可以视为一般人格权在信息化时代的具体展现,其人格属性可以为创制个人信息权提供法哲学上的依据16。其次,需要协调《个人信息保护法》与其他关于信息保护的法律或规范性文件之间的关系,明确个人健康信息的概念,界定其来源和范围,据此规定利益相关者的责任与义务,并设置违法行为的相应惩罚。惩罚需要体现出一定的倾向性,对医学研究等可以增进社会福利的信息利用行为减少其阻碍,对交易健康信息获得经济利益的行为进行抑制。接着,需要细化从信息收集到使用全过程的技术标准和隐私要求,判定所收集信息种类是否必要,脱敏化程度是否达标。个人健康信息需依据不同情况进行分级分类保护,譬如单独自然人的一般健康信息去标识化后可以与境外团队合作研究,但是涉及国家安全和公共利益的高敏感健康信息要严格把控17。最后,法律应该侧重于预防性保护机制,而不是事后的救济机制,增设官方或是官方授权的信息专员办公室,监测新型技术对隐私保护的影响,适度加大公权力对健康信息使用申请的审批力度,并且要求数据分析处理机构完善隐私政策说明,公示个人信息收集清单名目、第三方信息共享名单等以供监督,此外还可以参照英美等国,设置信息保护通知制度,检测到医疗信息持有机构出现可能存在的侵权行为时发出警告通知18

4.2 唤醒信息保护意识,促进开发保护平衡

信息开发与保护的矛盾是客观存在且无法避免的。根据法律价值秩序理论来看,生命权位阶高于人格权,在对他人生命健康产生威胁的前提下,医院和政府会在未得允许的情况下披露个人信息,但常态下这种价值优先性并不绝对存在,必须视具体情况定夺,且要出具相关论证和声明10。若从利益相关者理论出发,可以找准双方的核心利益,并让其为自身的利益负责,以此缓和开发与保护的矛盾。

个人健康信息侵权案件中患者多为弱势方,其核心利益在于个人信息的保护,许多人因为法律知识和专业知识的匮乏,不知道怎样保护自己的合法权利,国家可以开展网络安全宣传周或个人信息保护日等活动,引导公民对健康信息保护的重视,并掌握部分维权途径。此外,还可以在医院成立志愿者法律咨询处,为患者提供免费的咨询服务,营造良好的医患互信氛围。

信息收集者和使用者是侵权案件中的强势方,其核心利益在于信息的利用,因其利用背景多具备社会公益因素,所以不仅要采用法律这一外在强制力量,还要使用伦理道德这一内在精神力量。在个人健康信息保护领域伦理道德的内在驱动力可以与法律形成联动,侵权行为的内在动机通常是利益引发的贪欲,伦理观念可以在信息处理者内心世界中形成道德归属,影响行为倾向,使其自觉遵守行业规则保护患者隐私,解决泄露问题。最理想的个人健康信息保护状态应该是“伦理为主,法律为辅”。

4.3 调整知情同意适用,采取动态保护模式

知情同意是个人信息保护体系中最重要的元素之一,但数据处理技术的更新、突发性公共卫生事件、医患双方的信息差都容易使知情同意原则无法落实。为了避免其流于形式,需要对传统的原则进行改良:“同意与服务的解绑”,过去的一些“同意”带有很强的胁迫性,因为一旦拒绝就会强制退出服务流程,例如部分健康应用软件注册时的隐私政策,用户若不点击同意,就无法享用后续服务。解绑后可以划分出两种服务模式,拒绝收集信息的使用基础服务模块,同意收集的使用进阶模块;“突出重点的条款”,冗长散乱的隐私条款严重消耗患者的耐心,因此在设置时要做到条理清晰、目录分明,用醒目方式突出核心内容;“强化主体控制”,当主体感到健康信息正在被滥用或者继续利用风险超预期时,可以随时撤回同意授权。

田野19主张使用动态知情同意模式,将告知行为与同意行为技术化为一个开放、持续、共享的过程,这是一种打破健康信息开发与保护零和博弈的新尝试,即建立一个信息处理者与信息主体对接的网络平台,处理者需要在平台上发布信息利用的全部流程,使主体能够随时监测自身信息处理的动态。不仅第一次信息采集需要得到主体同意,往后处理目的和方式产生变化都需重新征得同意。若是被拒绝,处理者有责任证明信息不会再次启用且已经得到妥善保管。这种方式最大限度保证了主体自决权的实现,且因为效率高、成本低容易被信息处理者所接受20

4.4 重视行业标准,多方共同监管

行业标准是某一行业内统一技术要求所制定的标准,虽不具有法律的强制性,却能对行业内从业人员和业务内容产生很强的约束力。医疗行业智能化方兴未艾,后期为了提升服务质量只会收集越来越多的信息,而个人健康信息的立法并非朝夕之间所能完成,为了解决现实困境,需要利用行业标准结合目前的《个人信息保护法》进行监管。中国关于健康信息的标准有《信息安全技术健康医疗数据安全指南》,其中的部分内容可以为后期单独立法提供参考9

因为医疗领域的特殊性,个人健康信息需要公权力进行监管,中国将这部分职能划归给了网信部门。只是在网络空间的无限性面前,仅靠公权力进行监管难免会有缺漏,所以政府有必要下放权力,扩大监管途径,邀请多方共同参与。可以参照日本的监管模式,由国家网信部门和国家卫生健康委联合认证一批第三方监管机构,分担数据处理合规检查以及敏感程度分级工作,政府只需要负责审批和第三方机构资格审查。这种方式不但可以提高监管效率,还能促进医学科技的进步。

5 结语

智慧医疗背景下,为实现患者与医疗机构、医务人员、医疗设备之间深层次、便捷、高速的互动,个人健康信息的开发共享已经成为一种趋势。而保护则意味着要在数据开发的浪潮里保留下一方私人空间,以维护个体的人格尊严和社会的公平性21。唯有开发与保护达到平衡之后,才能形成一股合力,让健康信息的利用促进中国医疗事业的发展。而两者的平衡,一方面依赖于法律层面的宏观调控,形成信息合理开发的制度框架,引导全国范围内群体信息保护意识的觉醒;另一方面又要求伦理道德发挥微观作用,使得从业者自觉遵守行业标准,合法利用健康信息。

参考文献

[1]

郝智文. 个人健康医疗信息的法律保护研究[D].上海:上海财经大学,2022.

[2]

HAO Z W.Research on the legal protection of personal health and medical information[D].Shanghai:Shanghai University of Finance and Economics,2022.

[3]

童峰,张小红,刘金华.大数据时代个人健康医疗信息的立法保护[J].情报资料工作202041(3):105-112.

[4]

TONG FZHANG X HLIU J H.Legislative protection of personal health and medical information in the era of big data[J].Information and Documentation Services202041(3):105-112.

[5]

那旭,李亚子,代涛.国外个人健康信息安全与隐私保护法制建设及启示[J].中国数字医学20149(10):60-62.

[6]

NA XLI Y ZDAI T.The foreign legal system construction on the security and privacy protection of personal health information and its implications[J].China Digital Medicine20149(10):60-62.

[7]

章颖.欧盟GDPR的健康数据保护及对我国的启示[J].中国数字医学202217(3):11-15.

[8]

ZHANG Y.Protection of health data of EU GDPR and its enlightenment to China[J].China Digital Medicine202217(3):11-15.

[9]

王乐子,母健康,朱翀,.国外医疗信息化领域隐私数据保护现状及其启示[J].医学信息学杂志201940(2):40-46.

[10]

WANG L ZMU J KZHU Cet al.Status quo and enlightenment of private data protection in medical informatization domain home and abroad[J].Journal of Medical Informatics201940(2):40-46.

[11]

占南.国内外个人信息保护政策体系研究[J].图书情报知识2019(5):120-129.

[12]

ZHAN N.Domestic and international study on personal information protection[J].Documentation,Information and Knowledge2019(5):120-129.

[13]

李倩倩. 医疗健康大数据应用中的个人信息民法保护研究[D].长春:吉林大学,2021.

[14]

LI Q Q.Research on the civil law protection of personal information in the application of medical and health big data[D].Changchun:Jilin University,2021.

[15]

方安,王茜,王蕾,.我国患者医疗数据隐私保护制度体系及其现实挑战[J].医学信息学杂志202041(5):11-17.

[16]

FANG AWAN XWANG Let al.Privacy protection system of patient medical data and realistic challenges confronting it in China[J].Journal of Medical Informatics202041(5):11-17.

[17]

李向鹏. 我国个人医疗健康信息保护制度研究[D].广州:广州大学,2021.

[18]

LI X P.Research on the protection system of personal medical and health information in China[D].Guangzhou:Guangzhou University,2021.

[19]

魏晓东. 大数据技术应用下医疗行为中个人信息保护的困境与解决[C]//上海市法学会.《上海法学研究》集刊2022年第22卷:智慧法治学术共同体文集,2023:85-98.

[20]

唐正一.患者个人信息保护与公共利益的博弈[J].法制与社会2015(31):171-173.

[21]

何岚.个人健康信息开发与保护的价值冲突及其治理[J].电子政务2018(1):92-99.

[22]

徐着雨,胡美荣,朱玲,.突发公共卫生事件中个人健康信息保护研究[J].中国医学伦理学202336(4):390-396.

[23]

XU Z YHU M R,Z L,et al.Research on the protection of personal health information in public health emergencies[J].Chinese Medical Ethics202336(4):390-396.

[24]

杜育涵.数字医疗背景下个人医疗信息知情同意规则适用的规范和矫治[J].现代商贸工业202344(12):30-32.

[25]

田金威.大数据背景下患者医疗信息的刑法保护[J].河南理工大学学报(社会科学版)202324(4):22-30.

[26]

TIAN J W.Criminal law protection of paptients’ medical information in the context of big data[J].Journal of Henan Polytechnic University(Social Sciences)202324(4):22-30.

[27]

郑维炜.个人信息权的权利属性、法理基础与保护路径[J].法制与社会发展202026(6):125-139.

[28]

ZHENG W W.The right of personal information:Attributes,jurisprudential basis and protection pathway[J].Law and Social Development,2020,26(6):125-139.

[29]

陈怡.健康医疗数据共享与个人信息保护研究[J].情报杂志202342(5):192-199.

[30]

CHEN Y.Research on healthcare data sharing and personal information protection[J].Journal of Intelligence202342(5):192-199.

[31]

张立彬.美英新个人信息保护政策法规的考察与借鉴[J].情报理论与实践202043(6):200-206.

[32]

ZHANG L B.Investigation and reference of American,British and New Zealand personal information protection policies and regulations[J].Information Studies:Theory and Application202043(6):200-206.

[33]

田野.大数据时代知情同意原则的困境与出路:以生物资料库的个人信息保护为例[J].法制与社会发展201824(6):111-136.

[34]

洪欣琳.我国公民个人医疗数据信息的法律保护[J].医学与法学202214(5):82-88.

[35]

HONG X L.Legal protection of citizens’ personal medical data in China[J].Medicine and Jurisprudence202214(5):82-88.

[36]

粟丹.论健康医疗大数据中的隐私信息立法保护[J].首都师范大学学报(社会科学版)2019(6):63-73.

基金资助

2023年宁夏回族自治区法学会法学研究课题“个人医疗健康信息的法律保护研究”(Y2023FXH16)

AI Summary AI Mindmap
PDF (586KB)

0

访问

0

被引

详细

导航
相关文章

AI思维导图

/