大数据背景下个人健康医疗信息法律保护的检视与完善

2023-11-05覃慧媛

桂海论丛 2023年4期

覃慧媛

摘要：在医疗大数据时代背景下，为推动“健康中国”战略加速实现，我国先后颁布了《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国个人信息保护法》等相关法律，加强了对个人健康医疗信息的保护力度，但其未形成专门性、系统性的法律体系，安全问题频发。目前，我国个人健康医疗信息法律保护存在缺乏单独立法、告知同意规则有待加强、侵权损害赔偿难以实现的问题，无法满足个人健康医疗信息安全保护的需要。建议借鉴域外“基本法+专门立法”的分层保护模式建立专项法律制度；通过明确“告知”内容、细化“同意”标准、明确“撤回”途径等细化“告知+同意”规则；以侵权归责原则及构成要件的重塑，优化民事救济途径；以刑罚处罚范围的扩充、刑事法律规范的衔接、刑罚处罚力度的加强，完善刑事保护机制，进而依法保障个人健康医疗信息安全。

关键词：个人健康医疗信息；法律保护；大数据

中图分类号：D91文献标识码：A文章编号：1004-1494（2023）04-0089-06

基金项目：广西高校大学生思想政治教育理论与实践研究课题“构建和谐医患关系视阈下医学院校《思想道德与法治》课程教学改革研究“（2022LSZ059）；广西高校大学生思想政治教育理论与实践研究课题“00后大学生中华优秀传统法律文化认同研究”（2023SZ067）。

党的二十大报告提出，“推进健康中国建设。人民健康是民族昌盛和国家强盛的重要标志。把保障人民健康放在优先发展的战略位置，完善人民健康促进政策。”[1]随着信息技术的不断进步，“互联网+医疗”高速发展，健康医疗大数据的运用对医疗服务质量的提升、公共卫生服务的优化、医学研究的促进都发挥着重要的作用，健康医疗大数据成为推动健康中国建设的基础性资源，不断驱动“健康中国”战略加速实现。但近年来，随着各种新平台、新应用软件的不断涌现，其在为患者提供个性化治疗与健康管理优质服务的同时，个人健康医疗信息安全问题如影随形，这对公民个人身份安全、国家公共卫生等都带来了严重损害。因此，有必要探寻当前我国个人健康医疗信息的法律保护路径，找到适合我国国情和时代发展要求的法律规范，构建更加完备的法律体系，助推我国互联网医疗的法治化进程，加速推进健康中国建设。

一、个人健康医疗信息的内涵及法律保护状况

（一）个人健康医疗信息的内涵界定

为保护我国医疗大数据中的个人健康信息，2020年6月1日施行的《中华人民共和国基本医疗卫生与健康促进法》第92条规定：“国家保护公民个人健康信息，确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息，不得非法买卖、提供或者公开公民个人健康信息。”[2]由此，我国法律明确提出了“个人健康信息”这一概念，个人健康信息被以法律明文规定的形式纳入了我国的法律保护之中。随后，2021年11月1日施行的《中华人民共和国个人信息保护法》再次加强了对个人健康医疗信息的保护，将个人健康医疗信息归属于敏感信息。但無论是《中华人民共和国民法典》《中华人民共和国基本医疗卫生与健康促进法》，亦或是《中华人民共和国个人信息保护法》，均没有对个人健康医疗信息进行具体的描述，导致法律适用与保护边界难以把控。只有厘清个人健康医疗信息的内涵，才能更有针对性地保护个人健康医疗信息。本文所探讨的个人健康医疗信息是指在疾病预防、诊疗、医治等过程中获取的与个人身体健康状况相关的信息，其与特定个人相关联，能够反映个体特征，并且具有可识别性[3]。

（二）当前个人健康医疗信息法律保护基本状况

为应对医疗健康信息的风险与挑战，我国从立法上逐渐提升了对个人健康医疗信息的保护，如在《中华人民共和国民法典》《中华人民共和国刑法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律规范中，以隐私权等的法益保护形式，从宏观形式对个人信息进行宏观层面的保护；在《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国医师法》《中华人民共和国传染病防治法》《中华人民共和国母婴保健法》《中华人民共和国艾滋病防治条例》《中华人民共和国护士管理办法》等法律规范中，以医务人员保密义务等的规定，从微观层面加强对个人健康医疗信息的保护。但遗憾的是，我国关于个人健康医疗信息的法律保护尚未形成专门性、系统性及可操作性的法律保护体系，其在法律保护上仍存些许困境，个人健康医疗信息安全问题依然存在。这些问题的背后，有“黑客”利用自己编写的电脑程序，在医院盗取“统方”数据，如银川市90后黑客宋某非法侵入原国家卫计委、原湖北省卫计委所属系统窃取精神病患、新生儿公民数据，通过网络批量打包出售[4]；也有“行业内鬼”泄露患者住院病历、产妇及新生儿信息，如广西某医院产科主管护师韦某向南宁市江南区某保健按摩中心吴某甲，出售包括产妇姓名、家庭住址、电话号码、分娩日期、分娩方式等在内的产妇健康生理信息500余条[5]。在巨额经济利益的驱动下，上述大量泄露、滥用患者个人健康医疗信息的行为频发，其对个人乃至国家安全都带来了严重危害，亦不利于我国“互联网+医疗”的稳定和发展。可见，大数据背景下个人健康医疗信息安全亟待加大法律保护力度。

二、个人健康医疗信息法律保护存在的问题

（一）个人健康医疗信息法律保护缺乏单独立法

2021年我国颁布了《中华人民共和国个人信息保护法》作为基本法对个人信息进行保护，其作为个人信息保护的“主干法”，将医疗信息作为敏感个人信息进行保护，规定敏感个人信息应当取得个人的单独同意，应告知处理敏感个人信息的必要性及对个人权益的影响，这一规定从宏观层面提高了对个人健康医疗信息的法律保护。但该法仅将个人健康医疗信息纳入敏感信息范畴，而未对其形成专门性的立法保护，且法条多为政策性、原则性条款，缺乏可操作性，导致个人健康医疗领域相关概念内涵分类不清，对信息处理的合规指导不清晰，数据处理活动受到制约，不利于个人健康医疗信息安全的保护，亦不利于大数据背景下健康医疗信息的收集及对健康大数据的灵活运用。

（二）“告知+同意”规则有待加强

《中华人民共和国个人信息保护法》第13、14条明确将敏感个人资料的特殊保护规则“告知+同意”写入法条，由此，个人健康医疗信息的处理必须以信息主体授权同意为前提，也使得这一规则成为判断个人健康医疗信息处理合法性的重要判断标准之一。这一原则设立的初衷，是以信息收集者的告知义务来保障信息主体的知情权，使信息主体充分知道信息何时被收集、如何使用，从而作出是否同意使用的决定，以期通过“告知+同意”的方式赋予信息主体对其个人健康医疗信息充分的自主权。

所谓“告知+同意”，在互联网时代通常表现为“线上授权”，患者在进行就诊前，需要先通过扫描二维码的方式阅读“协议及隐私声明”，而软件应用者则会通过该协议将“隐私保护协议”等包括患者个人信息的使用目的、途径、内容、方式等以长篇形式记载，并让患者“授权”，当患者点击“同意授权”时，应用开发者或信息收集者即有权合法地收集并使用患者的健康医疗信息；倘若患者不予授权，则可能无法使用该应用的部分功能，甚至会影响其全部就诊权益。可见，这种全盘接受或者拒绝同意则权益受阻的规定，会导致患者授权同意的签署有可能并非出自其真实意思表示，甚至背离了“告知+同意”规则设置的初衷。另一方面，在实践中常见的“协议及隐私声明”的内容繁杂、冗长，甚至包含有部分医学或法学专业名称，而作为一名没有医学专业知识、法学基础的普通患者而言，很难在就诊前短时间内凭借自己的能力阅读并理解该“协议及隐私声明”的全部内容，多数情况下患者都是在几秒钟的短暂阅读后即点击同意授权，其根本不知道自己授权的范围是什么、软件应用者又将获得怎样的权利、授权的法律后果极可能涉及的风险又是什么，这使得“告知+同意”原则设立的初衷再次被弱化。此外，大数据信息的来源渠道和方法多样化，信息收集者甚至可以在信息主体完全不知情、甚至不需要其授权同意的情况下即获取个人健康医疗信息，如某公司能够通过个人在某网络平台多次购买某种药物或医疗器械获知其疾病类型，从而为其推送类似的药品链接或短信等。在这种情况下，法律无法以“告知+同意”原则保护信息主体的自决权。可见，大数据技术的不断推进对“告知+同意”规则形成了冲击，这不仅导致患者难以判断和控制其健康医疗信息的流通，甚至使“告知+同意”规则成为部分信息收集者或应用者后续规避责任的手段。

（三）民事侵权损害赔偿难以实现

从个人健康医疗信息保护常用的《中华人民共和国民法典》及《中华人民共和国个人信息保护法》法规来看，法律规范缺乏确权及侵权损害赔偿的相关规定。目前，在个人健康医疗信息受侵害时，信息主体多用《中华人民共和国民法典》第1183条的规定，请求精神损害赔偿，同时也可以运用《中华人民共和国个人信息保护法》第69条的规定，要求个人信息处理者承担损害赔偿。但两者在损害赔偿所采取的主观归责原则不同，《中华人民共和国民法典》适用过错归责原则，而《中华人民共和国个人信息保护法》则适用过错推定原则。根据新法优于旧法、特别法优于普通法的原则，对于个人健康医疗信息侵权损害赔偿的归责原则我国目前应适用过错推定原则，即被告（信息收集或使用者）对其不存在过错承担举证责任，这种举证责任的倒置在一定程度上降低了受害人（信息主体）举证的难度，但此举依然不足以对受害者（信息主体）提供充分的救济。因为该过错推定归责原则下，受害人（信息主体）依旧需要提出初步的证据证明被告存在过错的主张，而被告作为掌握重要证据且具备专业及技术能力的一方，其在证明自己已经尽到合理注意义务及告知或提示义务时依然存在较大的优势，而该抗辩理由在很大程度上会被审判机关采信，则最终的裁判结果不利于受害人（信息主体）。可见，过错推定原则虽在一定程度上降低了信息主体举证责任的难度，但仍无法从根本上扭转受害人（信息主体）举证及救济的不平等地位。此外，个人健康医疗信息侵权一般以精神损害赔偿为主，而赔偿的金额多以损害事实及后果为依据，故损害事实的认定及程度直接影响着是否赔偿以及赔偿的多少。该规定过于强调损害的后果，而部分侵权更是无法用金钱予以衡量，如泄露诸如患者有乙肝、梅毒等传染性疾病信息而引发的歧视等。

（四）刑法保护力度不明显

个人健康医疗信息具有极强的人身关联性，在蓬勃发展的大数据时代极易被收集和传播，导致个人人格权的侵犯及财产权的损害，甚至影响正常的医疗秩序，其行为具有多重的法益侵害性，仅依靠民事、行政手段已无法有效抑制，需以刑事处罚的方式予以严惩。我国现行《中华人民共和国刑法》以侵犯个人信息罪保护公民的个人信息安全，这一罪名的设置经历了一个不断完善的过程。首先，由《中华人民共和国刑法修正案（七）》將金融、交通、教育、医疗等单位工作人员出售或非法提供公民个人信息情节严重的行为纳入刑事处罚的范围，该规定将犯罪主体限定为特定单位的工作人员，并以履职为限定范围，对入罪进行了缩限；之后，又以《中华人民共和国刑法修正案（九）》将犯罪主体扩充为一般主体，即不再以职务或特定工作限定入罪主体，仅限定了入罪的方式方法，即出售、提供、窃取等方式。不可否认，这一罪名随着时代发展的需求在不断完善其入罪标准，但其在罪与非罪的认定、刑罚的处罚上仍显薄弱，已无法满足保护个人健康医疗信息安全的现实需要。

1.滥用个人信息未入罪

根据《中华人民共和国刑法》及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定，仅将出售、提供、买卖以及交换等行为方式作为入罪的手段，没有将“滥用”行为纳入到刑事处罚的范围，导致“滥用”行为只能依赖于其他刑事犯罪罪名的成立，才得以处罚。如：以合法形式取得的健康医疗信息，通过滥用信息的方式，骗取数额巨大的财产的，只有在满足诈骗罪构成要件时，才能以诈骗罪论处。

2.泄露个人医疗信息的后果严重性应成为定罪的一个考量因素

根据《中华人民共和国刑法》第253条的规定，仅对“情节严重”及“情节特别严重”的情形纳入侵犯公民个人信息罪的刑事处罚范围，并在司法解释中对“情节严重”构成犯罪以50条、500条、5000条的阶梯式认定标准予以保护。但就刑法对健康医疗信息的保护而言，现行法律仅在司法解释中规定“非法获取、出售或者提供健康生理信息，可能影响人身、财产安全的公民个人信息五百条以上的”为“情节严重”，这不仅未能与《中华人民共和国个人信息保护法》中的“敏感个人信息”在名词使用上保持一致，同时也未能在立法中体现健康医疗信息的高影响性、高识别性以及高价值性等特性。不可否认，非法获取、出售或提供信息的数量越多，其损害的可能就越大，进而越应当受到刑罚处罚，这种以定量分析的方式定罪量刑存在一定的合理性，但基于健康医疗信息的特殊性，仅仅依靠数量来认定罪与非罪很难实现罪责刑相适应的刑罚要求，这显然无法达到刑法所要实现的预防和惩治犯罪的目标。如：泄露艾滋病患者等传染性疾病的健康医疗信息与泄露普通疾病的健康医疗信息，对个人的影响以及对社会的影响程度截然不同，对此类行为如仅以数量区分罪与非罪有失偏颇。

3.刑罚处罚与犯罪收益不匹配

我国《中华人民共和国刑法》对侵犯公民个人信息罪的量刑规定为，对情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金[6]。该处罚力度明显与医疗信息的高价值性不符，极高的商业利益与较低的刑罚成本不匹配，导致刑罚处罚效果不明显，使得个人健康医疗信息得不到应有的刑法保护。

三、完善个人健康医疗信息法律保护的路径选择

（一）建立专项法律制度

随着医疗大数据时代的到来，世界上许多国家和地区已经逐渐建立起较为完备的个人信息保护法律制度，以保障大数据时代的信息安全。我国现行《中华人民共和国个人信息保护法》已经无法满足信息主体对个人健康信息保护的需要，也无法为大数据采集和使用者提供全方位的法律支持，个人健康医疗信息的特殊性对其立法提出了更高的要求。可借鉴日本“基本法+专门立法”的分层保护模式，即《中华人民共和国个人信息保护法》和《国家健康医疗大数据标准、安全和服务管理办法（试行）》相结合的方式，完善个人健康医疗信息的保护。以现有《中华人民共和国民法典》侵权责任篇为依托，在《中华人民共和国个人信息保护法》这一基本法的基础上，制定符合我国国情的个人健康医疗信息保护法，将散见于《中华人民共和国精神卫生法》《中华人民共和国医师法》《中华人民共和国艾滋病防治条例》《中华人民共和国人类遗传资源管理条例》等法规中对健康医疗信息的内容进行有效整合，界定个人健康医疗信息法律保护的人格权益，将个人健康医疗信息的概念及内容以“概括+列举”的形式进行细化，明确信息主体与信息处理者、使用者之间共享健康信息的规则，细化个人对健康信息的维护权、使用权和撤回权，分等级规范信息处理者的安全保障义务，从而既顺应大数据时代对信息流通的需求，又能最大限度地在信息流转的全过程保障信息主体的权益不受侵害。

（二）细化“告知+同意”规则

在医疗大数据时代，健康信息的处理者或者管理者对个人健康医疗信息处理及运用的掌握情况，远高于信息主体，两者之间在个人健康医疗信息的掌握及运用上存在明显的不平等，而这种不平等则会严重影响个人健康医疗信息的安全，甚至直接导致个人权益受侵犯。为实现“告知+同意”规则设立的初衷，最大限度地保障个人健康医疗信息的安全，应从以下几个方面完善“告知+同意”规则，实现其对信息主体自决权的保护。

1.明确“告知”的内容

“告知”作为“同意”的前提，应尽可能使用简单、通俗、简洁的方式将授权收集、使用及流通的个人健康信息基本内容、用途、期限等内容以列举而非概括的形式告知信息主体，使信息主体在充分了解其个人健康医疗信息将被如何使用以及可能面临的风险等情况下，作出是否同意的真实意思表示。同时，为使信息主体充分理解信息的处理及运用，应对医学专业名称、法学专业术语及可能面临的风险等常见问题进行解析，可设置常见问题智能答疑、人工电话咨询解答等，以实现“告知”设立的初衷。

2.细化“同意”的标准

《中华人民共和国个人信息保护法》第14条规定了“同意”需自愿作出并强调信息处理的动态化机制，即当个人信息的处理目的、处理方式等发生变更时，应重新取得信息主体的同意。为满足大数据时代对健康信息高效利用的需求，应在上述规定的基础上进一步细化“同意”的标准，可引入“动态保护+分层管理”模式，根据风险登记分程度、分阶段将同意的标准分为“默示”和“明示”两种。对可能产生低等级的隐私风险行为，简化“同意”流程，采取“默示”方式对信息安全进行动态管理，如：对已经隐名化处理且不再具有特殊指向性的医疗信息，在变更处理方式时，规定信息处理者告知的义务，但只要信息主体收到相关告知后，未明确表示反对，即可继续使用相关个人健康医疗信息，以满足医疗大数据的需求；对于可能造成高等级隐私风险的行为，增加额外“义务”，采取严格的“明示”同意机制，保障信息主体自决权的行使，如：即使已经隐名化处理，但该医疗信息具有特殊指向性的，信息处理者对信息主体授权范围以外的信息应用，应在告知的基础上再次取得信息主体明確的“同意”即书面授权，才能再次使用个人健康医疗信息，还可规定特定的政府监管部门或第三方机构对该书面授权进行动态审核，严格使用流程。这种根据信息风险程度分标准的同意机制，避免了“一刀切”均需“同意”才能使用信息而导致信息运用的局限性，满足了健康信息大数据的时代需求，亦有利于保护个人健康医疗信息安全。

3.设置信息主体的访问权

信息主体在授权同意其信息使用后，有权向信息管理监督部门申请访问和查阅信息的使用情况，使其充分了解信息使用的全过程，有利于对信息使用者和收集者的行为进行有效监督，是对“告知+同意”原则的深化。

4.明确“撤回”的途径、方式及监管部门

《中华人民共和国个人信息保护法》第15条规定了信息主体的撤回权，但并未明确撤回的途径及方式，应在相应的行政法规中明确撤回的路径，如信息主体有权在收到信息处理者或使用者的通知时，直接以网络、电话、短信等便捷的方式拒绝个人健康医疗信息的变更使用，又或者信息主体可以通过当面申请的方式，撤回之前的授权。此外，为使撤回权得到有效的行使，还应明确卫健委作为主要监管部门对撤回权进行有效监管，以避免出现多头管理职能重合的情形，而以撤回权的行使保障“告知+同意”规则机制的充分实现。

（三）重塑侵权责任制度

在司法实践中，个人健康医疗信息的保护多以民事救济为主，这必然涉及责任归责原则及责任构成要件的认定，应重塑侵权责任制度，完善民事救济途径。

1.无过错归责原则的应然选择

关于个人健康医疗信息侵权的归责原则，无过错原则是应然选择。正如前文所述，在个人健康医疗信息侵权案件中，能够证明案件事实的大量证据集中控制在信息收集者或应用者一方当事人手中，作为受害者（信息主体）一方存在举证难的情况，在这种证据偏在的状态下，采取无过错归责原则更有利于个人健康医疗信息的有效保护，能够最大限度地消除过错要件的证明困难，维护双方当事人利益的平衡，提高受害者（信息主体）通过诉讼维护合法权益的可能性，同时也能对信息收集、应用者给予一定的威慑力。

2.重塑侵权责任的构成要件

以侵权责任构成要件的重塑，弱化损害后果，强调惩罚性赔偿。个人健康医疗信息作为敏感信息，其侵权责任的认定不应与一般侵权构成要件一致，因为健康医疗信息涉及个人隐私，一旦被公开绝大多数情况下个人会处于尴尬、孤立、被抛弃等状况，这一损害后果多体现在精神损害方面，而对于精神损害后果大小又会因人而异，因而司法实践中个人健康医疗信息的损害后果难以认定。基于此，侵权行为的构成要件中，应以是否违法来认定侵权行为是否存在，弱化对损害后果的要求，并在损害赔偿方面以损害后果为参照采取惩罚性赔偿，加大惩罚力度，以实现对受害人的精神抚慰和对信息处理者的教育与警示作用。

此外，因网络和数据产业的发展，健康医疗信息一旦出现受侵害，其受害主体可能众多，甚至出现群体性事件而引发群体性诉讼。我国有必要在群体性事件中引入公益诉讼，制定相关制度，拓宽公益诉讼的范围，保护公民个人健康医疗信息安全。

（四）完善刑法保护机制

1.扩充刑法处罚的范围

以立法形式将“滥用行为”入刑，扩充刑法处罚的范围。所谓“滥用”，即是指胡乱地或者过度地使用，这种行为往往位于出售、提供行为之后，比如肆意散播、随意张贴公民个人信息的行为[7]。可见，“滥用”行为与出售、提供公民个人健康医疗信息的行为在对公民个人权益的危害程度并无实质性差别，从而应当将其纳入到刑法处罚的范围。将“滥用行为”入刑，能够有效解决“合法取得信息而滥用行为”的刑事处罚问题，以刑事处罚的系统性实现刑法平等的原则。需要注意的是，“滥用行为”入刑，在解决上述问题的同时应坚持“一事不再罚”原则，避免出现重复计算信息量的情形。如行为人同时存在“非法获取”和“濫用行为”时，不能重复计算信息量，以保证刑罚的公平。

2.规范法益保护的衔接性与层次性

从前文所述可知，《中华人民共和国个人信息保护法》中将公民个人信息分为“敏感信息”与“一般信息”两类进行保护，在刑事处罚中也可参照这种分类保护的方式，将侵犯公民个人信息罪的信息以“敏感信息”与“一般信息”进行分类保护，以实现公民个人信息权益保护在不同法律制度保护上的衔接。同时，在敏感信息中再根据敏感程度的不同层次设置轻重不同的刑事处罚标准，提高“敏感信息”的刑法保护力度。如，将诸如传染性强的个人健康医疗信息、可能危害人类生命安全的生物基因技术信息等设定为“50条”以上的入罪标准，以实现医疗信息更高级别的刑法保护机制。

3.加大刑罚处罚力度

大数据时代利用个人健康医疗信息所可能获得的利益巨大、诱惑极高，为避免获利与受处罚的不对等，更好地预防和惩治该类犯罪，有必要在现行刑事处罚基础上增加处罚力度，提高三年起刑点并适时调整罚金的数额，以体现惩罚的力度，实现刑事法律制度教育和威慑的作用。此外，还可以借鉴其他国家和地区设立“未履行资料保护的义务罪”“违反保密义务罪”等[8]，以新罪名的设置扩充刑法保护的范围，适应大数据时代对个人健康医疗信息的刑法保护。

四、结语

大数据时代的到来是一把双刃剑，“互联网+医疗”的飞速发展让我们在享受这一科技红利带来的医疗便捷服务的同时，也面临着个人健康医疗数据安全的危险与挑战。我国现行的《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国刑法》等法律规范都对个人医疗信息的保护作出了规定，但在实践中仍然存在瑕疵。为此，应根据现行法律在实施中存在的困境，探寻符合我国国情的病患个人健康医疗信息法律保障机制，以期促进健康医疗大数据的合法流通，确保大数据背景下医疗信息的良性利用，为“健康中国”建设提供法治保障。