国内患者隐私泄露情形及隐私保护现状分析*

2020-06-03郭进京

医学信息学杂志 2020年2期

关键词：隐私权病历个人信息

郭进京张雪

(中国医学科学院/北京协和医学院医学信息研究所/图书馆北京 100005) (1中国科学院成都文献情报中心成都 610041 2中国科学院大学经济与管理学院图书情报与档案管理系北京 100049)

林鑫任慧玲

(中国医学科学院/北京协和医学院医学信息研究所/图书馆北京 100005)

1 引言

隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开[1]。隐私权是一项重要的人格权，该词最早由Samuel D. Warren和Louis Brandeis提出[2]。患者作为社会群体的一部分，理应享有隐私权[3]。患者的隐私权是指患者在医疗机构接受医疗服务时表现出的，涉及患者自身因诊疗服务需要而被医疗机构及医务人员合法获悉，不愿他人知悉的个人情况，包括患者、家庭住址、联系方式、经济状况等基本信息，以及健康状况、所患疾病、既往病史、家族病史等有关信息[4]。保护患者隐私是每个医护人员在从事医疗活动中应尽的责任，而在当前互联网环境下这份责任应扩展至更多的主体。随着信息化水平的提高和先进技术的运用，患者隐私权被侵害的情况日益严重，患者隐私保护现状不容乐观。例如电子病历如果得不到妥善保管会导致患者个人信息和用药记录的泄露；可穿戴设备采集到的健康医疗数据也同样存在安全隐患。

2 当前患者隐私泄露情况分析

2.1 患者隐私类型

2.1.1 一般隐私信息指与自身疾病没有直接关系的个人基本信息，主要包括姓名、性别、出生年月、出生地、婚姻状况、身份证号、职业、籍贯、联系方式、工作单位、户口地址、邮政编码、家庭住址等。这部分信息虽然与患者病情并不密切相关，但部分机构(如保险公司、广告商)仍对此类信息有着极大的兴趣，一旦被泄露，通过数据挖掘等技术可对个人偏好进行分析，针对性开展广告投放和商品推销，对患者生活造成困扰[5]。

2.1.2 敏感隐私信息一方面包括与患者疾病诊断治疗相关的信息，如疾病的主诉、既往史、现病史、家族史、月经史、传染病史、生育史、生理状态、身体缺陷、整形等；另一方面包括患者在诊疗过程中形成的相关信息，如入院记录、病程记录、各种辅助检查及化验检验结果、治疗方案、治疗情况、麻醉手术过程、康复情况、出院记录等。这类信息与患者疾病诊疗直接相关，是隐私保护的重点。

2.2 患者在不同就诊阶段隐私泄露情形

2.2.1 就诊前患者在就诊前会通过网络平台进行挂号、通过搜索引擎查找疾病相关信息等，在此过程中会因信息传输及存储过程未做有效加密而导致隐私泄露，搜索引擎会获取用户网络检索行为、个人基本信息等隐私信息。患者手机中的医疗服务类APP、可穿戴设备软件病毒感染、被远程操控、本身存在系统漏洞、第3方监管平台缺失等，导致患者隐私泄露。这一阶段涉及的主体主要包括网络服务提供者、软件开发者、互联网医疗服务提供者等。

2.2.2 就诊中患者就诊的过程是隐私泄露的“重灾区”，常见的情形包括：床头卡未做好隐私保护，医护人员在诊疗过程(如门诊、检验检测、手术、医学带教、晨间病情汇报、院内查房、病历讨论等)中未做好保密措施，医护人员利用职责之便故意泄露或传播患者隐私，医疗相关重要文件等个人资料保管不严(如患者个人资料随意摆放、电子病历系统管理不完善，医疗文件档案损坏、丢失、被盗、少数院外办案人员私自调阅和复印等，检验单、放射线胶片等医疗文件丢失、被错领)等。这一阶段涉及的主体主要包括医护人员、网络服务运营商、医学教学人员、医疗机构、病案保管者、其他患者等。

2.2.3 就诊后患者在结束诊治后大量个人信息被留存在医院中，以下原因会导致患者隐私泄露：黑客入侵医院病历管理系统、在医学社交网络平台交流学习分享典型案例时未做好去隐私处理、医护人员有意或无意泄露、因科研教育需要而拍摄的治疗过程视频未将能识别患者身份的特征隐去、学术会议报告及论文中未做去隐私处理、电子病历信息挖掘时未做好去隐私化处理等。这一阶段涉及的主体主要包括医疗机构、医护人员、教研人员、科研人员等。

2.2.4 小结从上述分析可以看出患者隐私泄露形势非常严峻：一方面，患者在诊疗过程中众多隐私泄露与医院管理不当或医护人员有意或无意的行为息息相关；另一方面，出于技术原因，其他主体(如网络服务提供商)也会泄露患者隐私。在当前互联网和大数据环境下医学研究更多地运用到患者数据，其合理使用和挖掘对于改善患者健康、推动医疗发展具有重要作用，但在进行患者数据挖掘时需要做好隐私保护工作，对患者信息进行合理脱敏。患者隐私保护是一项艰巨的任务，不仅需要医护人员加强对自身行为的约束，还需要社会各界共同努力，通过法律法规、行为规范、操作指南等规范体系的建立，形成保护患者隐私的规范机制。

3 国内患者隐私保护法律法规及政策文本内容分析

3.1 概述

我国宪法及相关法律中一直没有对隐私权作出明确规定，只在相关的法律文件中对隐私保护作出规定。如《中华人民共和国宪法》第三十八条规定：“中华人民共和国公民的人格尊严不受侵犯”。针对患者隐私权的保护，我国医疗卫生法律、行政法规、规章制度等对患者隐私给予高度关注。例如《中华人民共和国执业医师法》第二十二条第(三)项规定：“医生在执业活动中应关心、爱护、尊重患者，保护患者的隐私”。《中华人民共和国护士管理办法》第二十四条规定：“护士在执业中得悉就医者的隐私，不得泄露，但法律另有规定的除外”。

3.2 法律、法规、条例、办法

我国在患者隐私权方面的立法相对较晚，最初是在《护士管理办法》(1994年施行)[6]和《执业医师法》(1999年施行)[7]中提出护士与医师要保护患者隐私不得泄露。随后，国家从多个方面加强对患者隐私的保护，制定并颁布面向不同主体的法律、法规、条例、办法等，见表1。

表1 国内有关患者隐私保护立法情况汇总

续表1

3.3 意见、规范、指南

除法律、法规、条例、办法外，相关部门通过制定规范、发布指导意见、制定指南等形式来保护患者隐私，见表2。如国家卫健委于2018年发布的《医疗质量安全核心制度要点》，原卫计委医政医管局发布的《电子病历基本规范(试行)》和《电子病历系统功能规范(试行)》，工业和信息化部组织制定的《信息安全技术公共及商用服务信息系统个人信息保护指南》以及由全国信息安全标准化技术委员会于2017年12月29日发布的《信息安全技术个人信息安全规范》等，对个人信息(尤其是个人医疗信息)的保护做出指导或要求。

表2 国内有关患者隐私保护的规范、指南、意见汇总

续表2

3.4 当前患者隐私保护法律法规及政策文本特点

从内容上可以看出国家在多个领域强调对患者隐私信息和个人信息的保护，逐步加强互联网环境下及电子病历广泛普及情况下的个人信息(尤其是健康信息)保护，患者隐私保护的重视程度日益增加。但需要注意的是国内目前还没有一部专门针对个人信息保护的法律法规，缺乏在当前互联网、大数据环境下患者隐私信息脱敏的具体规定和详细标准，仅在《信息安全技术数据出境安全评估指南(草案)》中涉及数据脱敏处理的表述，指出需要脱敏的个人信息包括姓名、性别、国籍、民族、身份证种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等。国内亟需依法对患者隐私信息进行严格管控保护，设立脱敏、去标识化的具体标准和规定，这样才能在促进健康医疗大数据应用发展过程中保护个人隐私和维护信息安全。

4 国外患者隐私信息脱敏经验

4.1 概述

国外对个人信息的保护由来已久，例如美国早在1974年就经参众两院通过《隐私权法》(Privacy Act of 1974)[8]并于1979年将其编入《美国法典》(US Code)。英国(如《数据保护法案》(Data Protection Act)[9])、加拿大(如《隐私权法》[10]、《个人信息保护与电子文件法》[11])、德国(如《联邦数据保护法》[12])、日本(如《刑法》[13]、《个人信息保护法》[14])等国家也对个人信息及数据保护做出规定。

4.2 美国

隐私脱敏是保护患者隐私的一种重要手段，去掉可识别信息可有效保护个人信息。美国的《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act, HIPAA)建立医生、医院以及其他医疗卫生机构在处理电子病历时需遵守的行动指南，对多种医疗健康产业都具有规范作用,尤其是对患者隐私保护这一方面提出一些法律规范[15]。HIPAA提出两种方法来保护患者隐私，一种是专家裁定法，由专家限定可以发布的健康信息，这些限定发布的信息仅有极小可能会引起身份泄露；另外一种方式是安全域策略，规定18个可以标识患者身份的属性必须被移除，包括姓名、省一级以下的地址(包括街道、城市、地区和三位以后的邮编)、除年份以外与个人相关的日期(包括生日、进院日、出院日、死亡日期、超过89岁的年龄)、电话号码、车辆登记号码、车牌号码、医疗器械标识号和序列号、传真号码、电子邮件、网址(URL)、社保号码、IP地址、病历编号、指纹等生物标记信息、医疗保险号码、正面全脸照片、银行账户号码、证件号码(身份证、驾照等)、任何其他可用于识别的编码或特征等。

4.3 欧盟

欧盟的《一般数据保护条例》(General Data Protection Regulation，GDPR)[16]被称为史上最严格的数据保护条例，其规定个人数据处理的透明性(Transparency)、最少数据收集(Data Minimization)原则，赋予数据主体随时撤销同意权(Right to Withdraw Consent)、被遗忘权(Right to Erasure)、可携带权(Right to Portability)等权利。GDPR规定不能收集和处理涉及个人隐私的敏感信息，例如性取向、性生活、宗教信仰、政治信仰、反映个人种族或民族起源、是否是工会组织成员、犯罪记录、指纹信息、人脸识别等。

5 建议

5.1 加强患者隐私保护立法工作，建立完整立法体系

借鉴国外立法经验积极推进隐私保护相关立法及修订进度。值得关注的是，由全国信息安全标准化技术委员会于2017年12月29日发布的《信息安全技术个人信息安全规范》[17]被称为“中国的GDPR”，是监管部门对网络信息安全进行监管和执法的重要指导，对未来的立法具有重要参考意义。

5.2 细化患者隐私保护标准规则和细节，确定实操性原则

例如针对患者隐私信息脱敏，应当明确哪些身份标识信息需要被去隐私化处理，确定去隐私化的细节问题，如执行单位资质、操作要求、实施方法以及权责认定等[18]。

5.3 增强网络安全防护，提高技术水平

新技术的出现为患者隐私保护带来新的解决方案，如区块链、动态加密、开放算法、智能合约、分布式存储等[19-20]。医疗机构、网络运营商、网络服务提供商应加强网络安全建设，持续强化网络安全屏障，不断提高信息加密传输和存储的技术水平，提高医疗卫生机构、网络运营商系统安全性，防范外部力量窃取患者隐私等行为。