杨朝晖 简雅娟 李树荣

1 天津医学高等专科学校公共卫生与卫生事业管理系，天津，300022；2 天津医学高等专科学校科研处，天津，300022；3 天津医学高等专科学校成人教育处，天津，300022

个人健康记录(Personal Health Records，PHR)作为具有前景的个人医疗健康信息自我管理工具，能为个体患者和整个医疗系统带来益处。PHR的广泛实施会降低医疗成本，提高医疗质量，促进更好的健康结果。但目前PHR的采用率相对较低,重要原因是PHR服务存在多重安全隐患，可能会损害信息隐私性和安全性。医疗信息失窃将对个人造成严重损害，是当前PHR亟需解决的问题[1]。目前，我国个人信息保护立法仍在制定中，笔者梳理美国和欧盟涉及PHR安全和隐私的法律框架，为我国相关立法提供借鉴。

1 PHR的概念

美国卫生与公众服务部民权办公室定义PHR是个人健康信息的电子记录，并且具有管理、追踪和参与自身健康保健的功能，个人可通过其控制对健康信息的访问[2]。美国健康信息技术协调办公室将PHR定义为符合国家认可的互操作性标准，可以从多个来源获取，同时由个人管理、共享和控制的与个人健康信息相关的电子记录[3]。PHR是一种以患者为中心的工具，用于促进患者参与持续医疗保健和自我健康管理，包含个人自我追踪设备、可穿戴设备等设备采集的连续健康数据，如病史、药物使用、患者体重、葡萄糖水平、血压等健康数据，以及饮食、运动、活动日志、压力水平等支持健康生活习惯、健康管理的数据[4]。

PHR数据是个人健康数据的重要组成部分，其与电子病历系统的区别在于电子病历系统是卫生保健服务人员使用的系统，而PHR的主要目的是让个体患者获得和控制个人健康信息[2]。不同的PHR系统提供不同程度的连接和功能，可以与电子病历系统等其他系统完全或部分集成。PHR将医疗健康管理的重点转移到以患者为中心的模式，能促进患者尤其是慢性疾病患者参与预防与实践，并减少医疗错误和再入院率；PHR汇总数据能够在健康监测、疫情管理等公共卫生领域和科学研究领域发挥作用[5]。

2 美国和欧盟PHR管理的现状

2.1 美国

美国是PHR系统开发的核心市场之一[6]，其适用于PHR的相关法律包括1996年颁布的《健康保险可携带与责任法案》(Health Insurance Portability and Accountability Act，HIPAA)和2009年颁布的《经济和临床健康信息科技法案》(Health Information Technology for Economic and Clinical Health Act，HITECH)，二者均是管理受保护健康信息隐私和安全的法律。HIPAA确定了交换、披露健康信息的初始安全要求。HITECH对其进一步扩展，要求通知本人有关其受保护健康信息的违规行为。

HIPAA旨在管理提供PHR服务的实体，使其正确履行隐私和安全的要求。HIPAA最适用PHR服务的是章节二管理简化条款中的隐私规则和安全规则，隐私规则主要涉及如何使用个人的受保护健康信息，安全规则目的是通过解释如何在各方之间安全地共享数据和定义企业可以遵守的标准来鼓励电子数据的交换传播[2]。HIPAA仅适用于受管辖实体，主要包括传统卫生保健服务提供者、卫生保健信息处理机构，而私人PHR供应商未受该法案约束。HIPAA关于商业合作伙伴概念及其确切法律地位的界定也比较模糊。隐私规则限制了受管辖实体使用和披露个人受保护健康信息的方式，但该限制并未传递给与受管辖实体相关联的任何商业业务。

安全规则列出了存储和传输人员对个人受保护的健康信息需要采取的预防措施，其中包括需具备的管理、物理和技术保障，以及最低限度的文件和审计要求。安全规则要求受管辖实体确保受保护健康信息的机密性、完整性和可用性，防止任何可能威胁此类信息安全性或完整性的危险，防止任何被禁止但预期合理的使用或披露，并确保其员工操作的合规性。另外安全规则制定安全措施、审计、加密、身份验证和处置实施细节和要求。

HITECH对HIPAA进行了更新，主要是将隐私和安全规则中对个人受保护健康信息责任扩展到所受管辖实体的商业合作伙伴。HITECH阐明了商业合作伙伴的法律地位，使其受到与受管辖实体相同的隐私要求。2013年HITECH进一步阐明，商业合作伙伴所涵盖实体包括创建、接收、维护或传输个人健康信息的任何业务，因此提供数据传输和云服务器等服务的企业将有义务遵守所有HIPAA安全规则和一部分隐私规则[7]。

此外，《联邦贸易委员会法案》也适用于美国PHR服务提供商。该法案第5节规定不支持自身所承诺安全措施的PHR供应商将被追究责任[8]。

2.2 欧盟

欧盟最初适用于PHR的指令是1995年颁布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》和2002年颁布的《关于隐私和电子通信的指令》。上述指令包含数据保护和隐私政策，以及个人和敏感数据的一般类别，但未详细说明哪些安全和隐私措施必须应用于保护健康相关数据。

欧盟成员国必须制定基于上述指令概述原则的本国法律，由于各成员国独立起草和实施的法律间存在差异，导致了不同程度的执法和其他相关问题[9]。为了改善这种情况，欧盟于2016年4月批准新的条例《通用数据保护条例》(General Data Protection Regulation，GDPR )，并于2018年5月生效。

GDPR旨在通过标准化欧盟的个人数据保护制度，更好地应对新兴和全球化的技术，并确保个人权利得到保护。GDPR重点强调促进问责制，要求相关机构证明其遵守条例概述的原则。其规定措施包括：建立加工活动记录(文件)；明确数据保护/隐私影响评估要求，包括评估处理操作和目的描述、与目的相关处理的必要性和比例、个人风险和应对风险的措施；数据泄露的通知责任，向相关监管机构报告某些类型的数据泄露的义务，在某些情况下向受影响的个人报告的义务；任命数据保护官员，其职责主要包括向组织及其员工告知他们应遵守GDPR的义务、监控和管理对GDPR的遵守情况(包括内部数据保护活动、数据保护影响评估、员工培训和内部审计)；设立国家数据保护机构等。此外GDPR提出了隐私设计和隐私默认的概念：数据控制者必须设计和实施保护数据的机制，以维护条例规定的标准；并确保默认情况下仅处理特定目的所需的个人数据[9]。

2.3 美国和欧盟的比较

表1对美国和欧盟适用于PHR开发和使用的立法组成部分进行比较。

表1 美国与欧盟适用PHR的立法关键组成部分的比较

由表1可见，欧盟不区分行业，对个人数据予以统一保护，而美国则基于医疗健康行业的特点，对个人的受保护健康信息予以保护；GDPR对合理、适当的安全与保障措施提供了更具体和严格的要求，但诸如隐私设计和隐私默认等术语，其含义上具有一定的解释空间和模糊性；上述法律对用户认证均不需要特定的先进识别手段，但仅加密用户身份并不满足HIPAA安全规则标准；数据控制者、数据处理者、数据所有者3个特定术语并不适用于美国司法管辖区；GDPR中未有涉及数据披露的相关条款；HIPAA与GDPR中数据泄露必须通知监管机构的时间范围有所不同，但均规定了最低要求，GDPR为72小时，HIPAA为10天，在通知个人方面，上述法律给责任机构留下了审慎选择的空间，让他们评估健康信息泄露潜在风险以决定是否通知个人；相对于美国相关法案，GDPR定义了更直接和更严格的惩罚措施，赋予受保护数据主体更多权力，如删除权(被遗忘权)与可携带权。综上比较，GDPR数据保护措施更全面和严格，但在关键领域留有解释空间和一定程度的模糊性；美国相关法案的PHR数据保护模式有利于充分促进数据流通，但在隐私保护严格程度方面又稍逊于欧盟GDPR。

3 对我国相关立法的启示

目前，我国PHR保护的相关立法散见于我国各类法律，如2004年12月1日施行的《中华人民共和国传染病防治法》、2010年7月1日施行的《中华人民共和国侵权责任法》、2015年11月1日施行的《中华人民共和国刑法修正案( 九) 》、2017 年6月1日施行的《中华人民共和国网络安全法》、2017年10月1日施行的《中华人民共和国民法总则》等。上述法律相关条文对于PHR的保护零碎不成系统，无法形成完整的体系[10]，结合GDPR与HIPAA法案涉及PHR安全和隐私的法律框架回顾，笔者提出以下建议。

3.1 界定相关概念

新技术的快速发展对各种法律体系评估相关和适用的立法定位提出挑战。欧盟与美国PHR保护相关立法均是依据个人数据保护或电子病历系统制定的，并未针对基于私人和企业PHR提供具体的规定：缺乏对构成PHR的内容明确和一致的定义、PHR各类服务的定义和术语，以及未能明确PHR和电子病历系统之间适当的法律框架差异，总体上法律体系完善尚未完全跟上PHR相关技术的快速发展，并适应其对患者数据隐私和安全所带来的挑战。建议从法律层面界定PHR等概念，确定其保护范围、权利内涵、保护原则等法律属性，使PHR隐私与安全保护有法可依。

3.2 明确责任主体

PHR数据流通过程中涉及的实体包括医疗机构、独立系统运营商、软件开发商、设备供应商等机构及其从业人员等，而我国相关法律中健康数据保护条款适用主体仅涉及卫生行政部门、疾病预防与控制机构、医疗机构及医疗从业人员。HIPPA中受管辖主体则包括健康计划、卫生保健信息处理机构、卫生保健服务提供者及其商业合作伙伴[11]；GDPR 明确侵权责任主体，引入了数据控制者、数据处理者等概念，并严格规范其义务。建议我国相关法律以在PHR健康数据流动过程中直接和间接接触数据的范围和作用来界定侵权责任主体。

3.3 完善监管机制

美国与欧盟相关法律制定了完善的监管问责机制并确定了其可执行性。如GDPR在企业内部设立了数据保护官；由数据控制者与处理者的主营业机构确定主数据保护机构，主数据保护机构行使统一管辖权；设置欧盟数据监管的最高机构欧盟数据保护理事会。GDPR还规定了各监管机构的行政执法权、检查权、诉讼及处罚权[12]，使相应的问责与处罚具有较强的操作性。而我国相关法律缺乏适用于PHR服务的监管机制，应要求信息控制者指定或者设立专门机构或具有相应资质的专门人员负责PHR保护日常工作[10]；适当以列举的立法方式来制定PHR系统遭到破坏或泄密等情况时责任主体的责任以及惩罚措施。

3.4 采用相关标准

在个人信息保护立法空缺的情况下，与技术相连的相关标准可以起到部分立法替代作用[13]。大数据时代个人健康数据的跨境存储和流通不可避免，亟需建立一致性的隐私和安全标准，这些标

准要能够被普通消费者清楚地理解，并且允许各种PHR系统被独立评级和比较。但目前在数据定义、通信协议和数据分析等领域缺乏普遍认同的标准[14]。建议广泛和强制使用基本、全面的技术中立标准以促进患者在各种平台和地理区域安全地共享数据服务，如HL7安全和隐私标准有效地支持了GDPR的实施，HL7的PHR系统功能模型PHR-S FM可以为患者提供更好的隐私安全保护，更准确地定义组织必须采取的信息保护措施。