个人健康信息保护现状及完善

赵小爽

（暨南大学，广东 广州 510632）

一、我国个人健康信息保护的现状

（一）零散的行业法规

在中国知网以“个人健康信息”为关键词，限定学科为“民商法”方向，就发表年度趋势图看，2013年之后个人健康信息保护的研究成果激增。其原因主要是国家政策的导向，2013年之后，我国就密集出台了许多政策以规范医疗领域内个人健康信息处理的乱象；并且于2016年提出“到2020年，健康医疗大数据相关政策法规、安全防护、应用标准体系不断完善，适应国情的健康医疗大数据应用发展模式基本建立”。［1］个人健康信息保护逐渐提升，但遗憾的是，我国健康医疗大数据领域的立法推进还存在明显的滞后性，目前对健康医疗信息相关的权益没有设立专门的立法［2］，针对个人健康信息保护的问题散见于我国各种法规中且一般都是简单规定，例如《精神卫生法》《护士管理办法》，《民法典· 侵权责任编》也仅对个人健康信息侵权做了一般规定。这一现象产生了两大难题：一是个人信息健康纠纷案件裁判标准不一致；二是具体侵权认定责任承担方面缺乏相应的规制。

（二）我国《个人信息保护法（二审稿）》的相关规定

我国《个人信息保护法（二审稿）》虽已公布，但仅规定了个人医疗健康信息作为个人敏感信息之一，对其处理必须具有特定的目的和充分的必要性。至于处理者在处理个人健康信息是否根据不同的目的遵循不一样的义务、当个人健康信息受到侵害应当适用什么样的侵权规则等，都亟须进一步的解释说明。

二、欧美个人健康信息保护的借鉴

（一）欧盟立法及实践

欧盟针对个人健康信息保护采取了统一的数据保护立法模式。2016年通过的《一般数据保护条例》（简称GDPR）被国际媒体称为是全球最严厉的一项个人信息保护立法，提高了个人信息处理者处理行为的标准，并且增加了很多监管措施。

关于健康数据，GDPR将其定义为“与自然人的身体或精神健康有关的个人数据，包括提供披露其健康状况信息的医疗服务”被归类为GDPR第九（一）条所述的“特殊类别”，GDPR第九条规定了特殊类型的个人数据处理，其中包括个人健康相关的数据。根据该条规定，个人信息处理者原则上不得处理个人健康信息，除非得到了个人信息主体的授权。为了保证“告知-同意”规则的有效性，GDPR同时规定了告知必须是数据主体自愿做出的真实意思表示，明示或默示个人信息处理者对其个人信息进行处理，同时，该同意也是可以随时撤回的。我国《个人信息保护法（二审稿）》也规定了“告知-同意”规则，但是这一规则在实践中却常常失灵，原因有二：一是专业术语晦涩难懂，数据主体疲于应对；二是数据主体一旦拒绝就无法享受相应的服务。

就医学研究而言GDPR第九（二）（j）和第八十九条规定了“告知-同意”一般规则的若干例外，但仍旧规定了个人信息处理者的安保义务。同时GDPR第九（二）（h）、第九（二）（j）条和第八十九条允许成员国立法对GDPR中有关数据主体权利的若干条款进行额外规定。德国最新修订的《德国联邦数据保护法》（简称BDSG）第二十二条列举了GDPR要求中处理特殊类别数据的若干例外情况。例如，在德国，出于社会保障管理、预防医学和公共卫生事故的目的，允许进行此类处理。同时，BDSG第二节描述了各种必要的保障措施，其中匿名化就是其中之一。此外，BDSG第二十七条规定，如果出于研究目的需要进行数据处理，且控制者的利益大于数据主体的利益，则有理由限制GDPR下数据主体的权利。然而，除了BDSG第二十二节中已经提到的保障措施外，特殊类别的个人数据必须在为其原始目的处理后尽快匿名。欧盟成员国在立法减损GDPR方面的回旋余地使得法律上的规定更加复杂，使得研究机构和公司更难开展国际研究或跨境交换数据。

除数据保护法外，医师和研究人员还必须遵守关于《人用药品临床试验法规》（Regulation（EU）536/2014 on Clinical Trials on Medicinal Products for Human Use）该法规规范了授权程序、安全必要性和参与临床试验的同意要求，这进一步使“告知-同意”规则复杂化，并对后续使用、共享来自临床试验的信息增加了限制。

（二）美国立法及实践

1.完善的健康信息隐私保护法律体系

《健康保险携带和责任法案》（HIPAA）是美国保护个人健康信息隐私的主干法律，其主要内容包括隐私规则和惩罚规则三大部分［3］。为了衡量美国人在接受医疗咨询时所透露的个人健康信息的私密水平的高低，HIPAA法案中规定了Privacy Rule。对于在治疗过程中产生的个人健康信息、病人对自身携带病例要求保护权、对整个过程以及其后的信息保护措施的知悉等权利以及医疗组织之间的信息共享都做了详细的规定。除此之外，对于违反规则的主体，卫生管理等有关部门可以实施罚款。

但是HIPAA法案也存在明显缺陷：第一，HIPAA没有对医疗组织以外的其他组织就个人医疗信息交易做出有关规定；第二，HIPAA赋予了相关医疗组织过多自由裁量权，许多医疗机构或出于过失或严重违反职业道德非法处理个人健康医疗信息，损害个人健康信息主体利益；第三，HIPAA没有赋予被害人最基本的诉权，因此大大削弱了HIPAA法案的震慑力和救助力。

2.相关健康信息隐私保护条例与规章

国家医疗信息技术协调办颁布的《对可辨识的个人健康信息进行电子共享的国家隐私与安全框架》针对健康信息共享过程中存在的安全隐患规定了知情权、纠正权、选择权等相关内容［4］。《个人电子健康信息保护的国家标准》《卫生信息技术促进法》一方面要求相关机构使用先进的医疗信息安全保障技术；另一方面规定全国医疗单位和各执法机关提升卫生信息技术水平。

3.行业规章对保护个人健康信息的规定

在美国，除了受到法律法规的约束外，个人信息处理者的处理行为还要符合行业协会的规定，如《美国医疗协会规章守则》《美国护士协会道德守则》《美国医院协会病人权利》等。值得一提的是根据美国法律的规定从业人员是否参加各自的协会没有强制性要求，因此虽然行业规章规定了从业人员的保护病人隐私的义务和标准，但实际作用有限。

三、个人医疗信息保护的完善建议

（一）完善“告知同意”规则

首先，简化“告知”内容，做到重点突出。个人信息处理者应简化告知规则，就重点条款列举，避免使用繁杂的术语。其次，提高“同意”标准。限制个人信息主体仅限于该患者的个人健康信息，不得默认患者勾选概括性同意；就无完全民事行为能力人而言，其“同意”须由其监护人做出。个人健康信息主体在作出“同意”意思表示之后可以随时撤回，同时有权了解个人健康信息的处理情况；个人健康信息处理者不得以主体不同意信息处理为由，拒绝提供服务。

（二）通过专门立法平衡患者个人信息权益与公共利益

我国《个人信息保护法》呼之欲出，个人医疗信息作为个人敏感信息之一，适用于个人敏感信息的相关规定。个人医疗信息中包含的基因、遗传等信息不仅涉及患者个人的人格尊严，还关乎国家安全；但是，过于限制个人健康信息的处理又会影响医疗科技的进步。因此，笔者建议对个人健康信息保护进行专门立法，细化个人健康信息等级，对于有关基因等涉及生物安全的个人健康信息给予最高等级的保护；对于保密等级较低的个人健康信息可以通过“去身份化”特殊技术手段处理后，再进行处理。

（三）明确规定个人信息主体的诉权，细化个人信息侵权规制

大数据时代，个人信息兼具财产与人格利益，个人信息侵权事件层出不穷，从法律层面看，个人信息主体诉权至关重要。同时，随信息技术的高速发展，个人信息侵权案件也为司法审判工作带来了诸多挑战，例如侵权主体多样难以确定、主观过错究竟是无过错还是过错推定、精神损害如何界定、因果关系的认定等。一般侵权责任构成要件在解决个人信息侵权案件中捉襟见肘，因此亟需更加细化的个人健康信息侵权规制。