首頁 資訊 芻議民法典時代的個人信息保護 ——以個人健康信息檔案的合規(guī)使用為切入點

芻議民法典時代的個人信息保護 ——以個人健康信息檔案的合規(guī)使用為切入點

來源:泰然健康網(wǎng) 時間:2024年12月14日 10:43

第十三屆全國人大三次會議上通過的《中華人民共和國民法典》(2021年1月1日正式施行,以下簡稱“《民法典》”)亮點諸多,其中將人格權(quán)獨立成編且開辟專章規(guī)定隱私權(quán)及個人信息保護的立法例,是對加強公民個人信息保護的社會呼聲的積極回應,彰顯出將保護個人信息納入法治體系的重要意義。

伴隨著互聯(lián)網(wǎng)和大數(shù)據(jù)技術的發(fā)展,個人信息的采集、應用已滲透到我們生活的方方面面,這在重塑我們的生活習慣和社交方式的同時,也帶來不容小覷的權(quán)利保護問題。百度cookie案和京東數(shù)據(jù)泄漏事件所引發(fā)的法律責任探討言猶在耳,年初至今在全球范圍內(nèi)爆發(fā)的新冠肺炎疫情,又為我們進一步思考如何更好地權(quán)衡個人信息保護和公共利益提供了一個很好的窗口。

新冠疫情前經(jīng)有關媒體報道過的涉及健康信息泄露的代表性事件就有:2017年5月某部委的醫(yī)療服務信息系統(tǒng)遭“黑客”入侵,超過7億條公民信息遭泄露,8000余萬條公民信息被販賣;2018年8月,知名藝人林更新在某醫(yī)院就診時,其個人病歷資料被泄露至互聯(lián)網(wǎng)引發(fā)廣泛傳播和輿論熱議;同年,武漢某整形醫(yī)院客戶信息遭黑客入侵后大范圍泄露等。[i]

我國在應對疫情防控等嚴峻的公共衛(wèi)生事件時,為了分析研判并切斷傳染性病毒的傳播鏈條,不可避免地要收集、存儲、交換、研究數(shù)量龐大的公民個人信息,包括姓名身份、家庭住址、行程軌跡、健康狀況、聯(lián)系方式、生物識別信息等等,僅微信小程序就有多種信息收集和個人識別端口、信息公示碼等。疫情期間的遠程醫(yī)療亦受到熱烈追捧,其本質(zhì)上就是通過以醫(yī)學信息的采集、儲存、傳輸、處理和查詢?yōu)橹鞯募夹g來支持遠程會診、遠程康復指導和遠程監(jiān)護等醫(yī)療服務。然而在以上行為或經(jīng)營活動過程中,由于信息收集主體在公共利益的“金鐘罩”下或者運營者在利益驅(qū)動下私權(quán)保護意識淡薄、部分環(huán)節(jié)缺乏明確的收集或使用規(guī)范,導致出現(xiàn)諸多個人信息泄露的現(xiàn)象,如確診患者、疑似患者或密切接觸者的個人隱私在互聯(lián)網(wǎng)或自媒體上遭遇瘋傳,進而引起對上述個體或群體的偏見和恐慌情緒,嚴重損害了確診患者、疑似患者或密切接觸者的合法權(quán)益。

一、    個人信息保護的法律體系

在《民法典》出臺后,我們目前針對公民個人信息的保護體系如下表所示:

序號

名稱

發(fā)布機構(gòu)

實施時間

位階

1

《民法典》

全國人民代表大會

2021年1月1日

法律

2

《民法總則》

全國人民代表大會

2017年10月1日(將于2021年1月1日廢止)

法律

3

《網(wǎng)絡安全法》

全國人大常委會

2017年6月1日

法律

4

《刑法修正案(九)》

全國人大常委會

2015年11月1日

法律

5

《中華人民共和國消費者權(quán)益保護法》

全國人大常委會

2014年3月15日

法律

6

《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》

全國人大常委會

2012年12月28日

法律

7

《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》

工業(yè)和信息化部

2013年9月1日

部門規(guī)章

8

《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》

最高法、最高檢

2017年6月1日

司法解釋

9

《關于審理利用信息網(wǎng)絡侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》

最高法

2014年10月10日

司法解釋

10

《最高人民法院關于確定民事侵權(quán)精神損害賠償責任若干問題的解釋》

最高法

2001年3月10日

司法解釋

11

《關于做好個人信息保護 利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》

中央網(wǎng)信辦

2020年2月4日  

政策文件

12

《中國人民銀行關于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》

中國人民銀行

2011年5月1日

政策文件

13

GB/T 35273-2020《信息安全技術 個人信息安全規(guī)范》

國家市場監(jiān)督管理總局、國家標準化管理委員會

2020年10月1日

國家標準

14

《檢察機關辦理侵犯公民個人信息案件指引》

最高檢

2018年11月9日

辦案指引

15

《互聯(lián)網(wǎng)個人信息安全保護指南》

公安部網(wǎng)絡安全保衛(wèi)局、北京網(wǎng)絡行業(yè)協(xié)會、公安部第三研究所

2019年4月10日

參考性文件

大數(shù)據(jù)時代下,個人信息所涵蓋的范圍非常廣,健康信息是其重要組成部分。電子健康檔案的逐漸推廣和建立,第三方體檢中心和互聯(lián)網(wǎng)醫(yī)院的興起,在盡顯其便捷性、高效性、廣泛性和共享性優(yōu)勢的同時,也造成了個人的健康信息在數(shù)據(jù)中心的海量堆積,這些信息在單次醫(yī)療活動結(jié)束后將何去何從?如何防止電子病歷所載的個人健康信息免受泄露的風險?怎樣準確把握作為信息所有權(quán)人[ii]的就診者、作為信息制作集成商、信息使用者的醫(yī)療機構(gòu)之間的權(quán)利義務關系,進而充分利用電子病歷所承載的健康信息,最大限度挖掘其蘊含的公益和商業(yè)價值,在保護個人健康信息的同時發(fā)現(xiàn)新的效用增長點?以上問題已逐漸成為全社會共同關心的熱門話題。

二、    個人健康信息的現(xiàn)有保護路徑

鑒于立法的固有局限性和天然滯后性,目前尚未出現(xiàn)在全國范圍內(nèi)全面規(guī)范與個人健康信息聯(lián)系最密切、同時也是最權(quán)威的電子健康檔案(包括但不限于家族病史、電子病歷、體檢報告、心理咨詢記錄、飲食偏好等)制作、保存和使用流程的法律文件(法律、行政法規(guī)或部門規(guī)章)。行權(quán)界限的模糊導致了社會效益的低下,無論是有權(quán)管理機關還是社會經(jīng)營實體都在實踐中如履薄冰,個人健康信息相關行為的法律屬性懸而未決,尤其是在使用規(guī)制層面的法律真空,對于界定權(quán)屬關系、行為合規(guī)與否以及合法權(quán)益的切實維護均帶來了障礙,也在一定程度上造成了全社會從業(yè)人員的集體困惑。筆者曾與個人健康數(shù)據(jù)庫系統(tǒng)開發(fā)商、數(shù)據(jù)和系統(tǒng)維護服務商、民營或公立醫(yī)療機構(gòu)以及各級衛(wèi)健委相關管理人員等廣泛交流、探討過相關問題,權(quán)屬爭議和具體行為能力的這種模糊狀態(tài)已經(jīng)實質(zhì)抑制了各類社會主體對包括電子病歷在內(nèi)的個人健康信息的合法收集、交互、使用、加工等的積極性,阻礙了新興數(shù)據(jù)經(jīng)濟的發(fā)展。

受到行政主管部門高度關注和監(jiān)管的醫(yī)療衛(wèi)生領域因為涉及國計民生,向來面臨“法有禁止不可為,法無規(guī)定怕踩雷”的尷尬局面。對此,新頒布的《民法典》在其人格權(quán)編明確自然人的健康信息屬于個人信息的組成部分,并規(guī)定了個人信息處理的原則、條件和免責事由,侵權(quán)責任編明確指出醫(yī)療機構(gòu)及其醫(yī)務人員泄露患者的隱私和個人信息或未經(jīng)患者同意公開其病歷資料的,應當承擔侵權(quán)責任等,即《民法典》第1035條明確規(guī)定,處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,并符合下列條件:(一)征得該自然人或者其監(jiān)護人同意,但是法律、行政法規(guī)另有規(guī)定的除外;(二)公開處理信息的規(guī)則;(三)明示處理信息的目的、方式和范圍;(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定。第1036條規(guī)定,處理個人信息,有下列情形之一的,行為人不承擔民事責任:(一)在該自然人或者其監(jiān)護人同意的范圍內(nèi)合理實施的行為;(二)合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;(三)為維護公共利益或者該自然人合法權(quán)益,合理實施的其他行為。《民法典》第1226條也明確規(guī)定,醫(yī)療機構(gòu)及其醫(yī)務人員應當對患者的隱私和個人信息保密。泄露患者的隱私和個人信息,或者未經(jīng)患者同意公開其病歷資料的,應當承擔侵權(quán)責任。

因此,以《民法典》人格權(quán)編為概括性授權(quán),以侵權(quán)責任編為禁止性兜底,《網(wǎng)絡安全法》《APP違法違規(guī)收集使用個人信息行為認定方法》為指導原則,以《醫(yī)療機構(gòu)管理條例》《執(zhí)業(yè)醫(yī)師法》《病歷書寫規(guī)范》等行業(yè)行政法規(guī)或規(guī)范性文件以及各級地方性監(jiān)管或自律性文件為專業(yè)性指南的規(guī)范體系為我們構(gòu)建出“電子健康檔案承載健康信息→健康信息屬于個人信息→個人信息應依法使用→非法使用或泄露個人信息應承擔法律責任”的邏輯鏈條、法律依據(jù)和實踐指引,原則上明確了個人健康信息的保護以及合法合規(guī)使用的基本路徑。

三、    個人健康信息的合理使用和規(guī)范建議

如前所述,電子健康檔案所承載的個人健康信息是依法重點保護的對象,由于就診者或其他被收集信息人(以下統(tǒng)稱“就診者”)與醫(yī)療服務機構(gòu)、有權(quán)管理機關之間存在信息不對稱方面等現(xiàn)象,且就診者往往缺乏必要的自我保護意識和行為能力,所以立法設計和司法實踐均傾向保護處于弱勢地位的個人。在此背景下,醫(yī)療服務機構(gòu)和其他經(jīng)營性實體應注重電子健康檔案等承載個人健康信息的使用過程中的保護等合規(guī)性問題,緊守法律底線,避免承擔民事責任、行政責任甚至遭受刑事追究的法律風險。

我們認為,探索上述合規(guī)性問題的重點在于搭建現(xiàn)行有效法律框架下個人健康信息的合法使用流程。結(jié)合個人健康信息多維度、寬領域的呈現(xiàn)特點,即其價值不僅僅存在于就診者個人的單次醫(yī)療就診或治療活動中,還可被廣泛應用于醫(yī)學科研、教育和生產(chǎn)、經(jīng)營等領域,如病理研究、新藥與醫(yī)療器械的研發(fā)與生產(chǎn)、臨床試驗、保險、輔助醫(yī)療產(chǎn)品調(diào)研和精準銷售等。因此我們傾向于將個人健康信息的使用分為非營利性使用和營利性使用兩類進行分別探討。

(一)     非營利性使用及規(guī)范建議

非營利性使用是指以國家安全、生物安全和社會公共利益為出發(fā)點,以促進全人類的健康為導向的合理善意使用。非營利性使用的核心要義在于對個人利益與社會利益之間進行平衡。在二者并未出現(xiàn)緊急性沖突時,我們應嚴格保障就診者的合法權(quán)利,只有經(jīng)有效授權(quán)的主體在征得就診者的同意且不違反公開明示原則的前提下,才能在限定范圍內(nèi)使用個人健康信息。

我們同時應注意到信息權(quán)利主體的同意也并非絕對前提,在個人利益需要迫切服從社會公共利益,且有法律、行政法規(guī)明文規(guī)定的情況下,經(jīng)有效授權(quán)的主體可以未經(jīng)就診者同意而使用起健康信息?!秱€人信息安全規(guī)范》即規(guī)定在與公共安全、公共衛(wèi)生、重大公共利益直接相關的情形中,個人信息控制者收集、使用個人信息不必征得個人信息主體的授權(quán)同意,例如在防控新冠疫情的情景中,醫(yī)療機構(gòu)或疾病預防控制機構(gòu)有權(quán)依據(jù)《傳染病防治法》和國務院出臺的行政法規(guī)或相關決定,對公民的個人健康信息進行摸排調(diào)查、收集利用,進而采取必要的醫(yī)學治療和隔離措施。盡管如此,我們?nèi)匀唤ㄗh相關有權(quán)組織或個人在收集獲取健康信息或使用其個人病歷時,明確加入相關條款或聲明以獲得有效授權(quán),進而避免對個人隱私權(quán)產(chǎn)生不必要的侵害或引發(fā)社會分歧。

當然,相關機構(gòu)在對個人健康信息進行非營利性使用的同時,亦應建議注意信息的脫敏化處理,隱去與使用目的無關的敏感信息,保證敏感信息無法被準確地逆推出進而精確識別出信息所有者的身份信息,妥善處理好隱私保密性與數(shù)據(jù)可用性的矛盾關系,切實保護個人健康信息所有權(quán)人的隱私權(quán),并明確若實施侵權(quán)行為的相應法律后果以及制定可執(zhí)行的操作細則。

(二)     營利性使用及規(guī)范建議

由于眾多營利性的醫(yī)療服務機構(gòu)掌握數(shù)量龐大的個人健康信息,在數(shù)據(jù)即價值的時代,對海量健康信息的大數(shù)據(jù)分析后投入商業(yè)運用是不少該等營利性醫(yī)療機構(gòu)或生命科學技術或服務經(jīng)營實體寄以厚望的重要新增盈利點。為了防止出現(xiàn)道德、倫理以及法律風險,我們建議個人健康信息的營利性使用應重點加強如下幾點:

1.    應在事先征得就診者的同意。為了降低引發(fā)糾紛的風險,最好使用書面形式(如個人健康信息使用告知書、個人健康信息使用知情同意書),并在顯要位置標明關鍵條款。

2.    制定并公開內(nèi)容清晰、明確的個人健康信息使用規(guī)則,避免出現(xiàn)模糊的概括性用語,更新隱私政策時應使用醒目、便捷的方式提醒閱讀。

3.    向就診者明示使用個人健康信息的目的、方式和范圍,確保做到相關信息會經(jīng)專業(yè)的保密和脫敏處理。

4.    在涉及較稀缺的個人健康信息或需要就診者做出更深入的信息披露時,可以考慮適當給予一定的補貼或報酬,以符合民法領域等價有償?shù)囊话阈栽瓌t。

5.    個人生物識別信息(如有)與個人身份信息應分開儲存,應妥善保存好個人電子健康檔案等相關載體,不得以遺失毀損作為免責事由;未經(jīng)同意不得公開,不得超越合理范圍使用。

6.    完善組織內(nèi)控制度,即從企業(yè)管理的角度保護好就診者的健康信息,包括有關個人健康信息使用的操作審批流程、建立個人健康信息安全評估制度、外部人員訪問制度、應急預案制度、安全意識宣傳教育制度等。

四、結(jié)語

值得一提的是,全國人大常委會已將《個人信息保護法》的制定列入下一步的主要工作中[iii],這將成為我國法律體系中第一部系統(tǒng)規(guī)定個人信息保護的專門性法律。我們期待并相信其能早日問世,和現(xiàn)行法律一道推動個人健康信息的規(guī)范化使用,成為我國在醫(yī)療領域全方位高速發(fā)展必不可少的底層代碼之一,我們也將持續(xù)關注這一領域的最新實踐。

參考文獻

1、鄧勇律師、潘燁桐律師,個人信息保護——互聯(lián)網(wǎng)時代下企業(yè)合規(guī)重點,微信公眾平臺:錦天城律師事務所,2019。

2、史軍律師、陳文昊律師、馮欣律師,權(quán)利保護與公共利益平衡——新冠肺炎疫情期間個人信息合規(guī)所面臨的問題與挑戰(zhàn),微信公眾平臺:錦天城律師事務所,2020。

3、李春光.論電子病歷中的個人信息保護[D].重慶:重慶大學碩士論文,2009:P37 。

[i] 分別來源于:https://www.cn-healthcare.com/articlewm/20180809/wap-content-1031232.html;https://www.cn-healthcare.com/articlewm/20180822/wap-content-1031942.html;http://news.eastday.com/eastday/13news/auto/news/society/20180115/u7ai7344364.html,最后訪問時間:2020年6月2日。

[ii] 該表述來自于“焦雅輝:電子病歷信息所有權(quán)歸患者 任何人和機構(gòu)無權(quán)擅用”,http://health.people.com.cn/n1/2019/0322/c14739-30989227.html?from=groupmessage&isappinstalled=0,最后訪問時間:2020年6月2日。該說法雖未得到現(xiàn)行法律的直接支持,但對此爭議較小,為方便理解,筆者在此借用。

[iii] 全國人大常委會工作報告:將制定個人信息保護法,http://www.thepaper.cn/newsDetail_forward_7550677,最后訪問時間:2020年6月2日。

相關知識

電子健康檔案信息向居民個人開放哪些內(nèi)容?()
個人健康醫(yī)療信息保護模式考察
健康檔案信息化經(jīng)驗交流
電子健康檔案是一個人健康為核心,貫穿整個生命過程,并能進行信息交換共享,滿足個人及管理需求的信息資源。()
健康素養(yǎng)是指個人獲得和理解健康信息,并利用信息做出正確決策、維護和促進自身健康的能力,以下不屬于健康素養(yǎng)范疇的是()。
電子健康檔案,保障你的醫(yī)療信息安全與隱私
《“十四五”全民健康信息化規(guī)劃》:醫(yī)療信息化未來復合增速有望超28%
科技資迅|電子健康檔案里的信息安全
醫(yī)藥與健康護理行業(yè)信息點評:《“十四五”全民健康信息化規(guī)劃》制定 醫(yī)療信息化產(chǎn)業(yè)有望加速發(fā)展
電子健康檔案與區(qū)域衛(wèi)生信息平臺

網(wǎng)址: 芻議民法典時代的個人信息保護 ——以個人健康信息檔案的合規(guī)使用為切入點 http://m.u1s5d6.cn/newsview515528.html

推薦資訊