国外健康医疗信息安全立法的经验与启示

今日爆点
佚名
健康医疗大数据是国家重要的基础性战略资源。随着健康医疗大数据的发展与应用,相应的安全保障工作已成为影响整体产业布局和发展的关键环节。虽然我国尚未制定专门的政策法规,但从行业发展的趋势来看,通过立法保障...

健康医疗大数据是国家重要的基础性战略资源。随着健康医疗大数据的发展与应用,相应的安全保障工作已成为影响整体产业布局和发展的关键环节。虽然我国尚未制定专门的政策法规,但从行业发展的趋势来看,通过立法保障我国公民的健康医疗信息安全是产业发展的必经之路,更是产业健康、可持续发展的重要保障。本文结合国外健康医疗信息安全保护立法经验,对我国健康医疗信息安全保护面临的主要问题进行梳理,并提出了思考与建议。

2016年以来,健康医疗大数据热潮席卷全球。健康医疗大数据是大量健康医疗信息的集合,其发展需要健康医疗信息的共享与开放。在此过程中,汇聚的信息越多,整理分析的价值越大,对信息安全保护的需求也越高。目前,我国还未针对健康医疗信息安全保护出台专项的政策法规,相关法规分布在各项专项政策之中无法形成统一体系。随着健康医疗信息的价值不断加大,我国健康医疗信息安全保护面临重大挑战。

一 健康医疗信息的概念界定

我国目前尚未制定健康医疗信息的权威定义。健康医疗信息属于个人信息的一部分,2014年出台的《人口健康信息管理办法(试行)》(国卫规划发〔2014〕24号)提出人口健康信息”的概念,并将其定义为“指依据国家法律法规和工作职责,各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息”。2016年,国务院出台了《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(国办发〔2016〕47号),文件并未对健康医疗数据做出明确的定义,文件中提出要推动非医疗卫生计生服务机构产生的数据与人口健康信息进行整合。随着信息技术与医疗健康领域的不断融合,健康医疗信息所涉及的外延范围和内涵定义都在不断发生变化。

二 国外现状

目前,全球已有近三十多个国家和地区在健康医疗信息安全保护方面制定了法律。从立法模式上来看,健康医疗信息安全保护立法模式共有分散立法和统一立法两种模式,分别以美国和欧盟为代表。

1 美国现状

作为典型的普通法国家,美国司法体系以数目众多、内容全面而闻名世界。作为医疗信息化领域开发与应用的领跑者,美国以隐私权作为健康医疗信息保护的立法基础,在国家层面实行分散立法模式,先后出台多部法律(如表1所示)。

HIPAA法案是美国健康医疗信息安全保护体系的核心。自1996年颁布以来,经过20多年的修订与完善,HIPAA及其补充法案已成为一套相对完善、系统并具备较强可操作性的健康医疗信息保护专门法。法案对于健康医疗信息共享和开放过程中,相关主体的定义、范围、责任等细节都做出了详细的规定。

(1)谁必须履行隐私保护义务

HIPAA将必须履行隐私保护义务的主体称为受限实体(Covered Entities,简称CE),其包括:

● 医疗保险(Health Plans):社会保险部门、商业保险公司、健康管理机构(Health Management Organization,HMO)、公司保险计划;

● 医疗健康服务提供方(Health Care Provider):医生、医疗机构、养老院、医学检验检查机构、药店;

● 医疗健康清算机构(Health Care Clearinghouse):从其他机构得到信息后转化为标准信息的相关团队;

● 商业合作伙伴(Business Associate,简称BA):医疗健康服务中的相关方,包括软件开发商、硬件设备供应商、租赁公司、研究机构等。

(2)哪些信息需要受到隐私保护

HIPAA法案规定,受限实体以任何形式(电子、纸质、口头等)持有或传输的“个人可辨识健康信息”,都属于条例保护的范畴,并将其统称为受保护健康信息(Protected Health Information,简称PHI),其中通过网络传输的、储存于硬盘中的、光盘上的等相关存储、传输形式的受保护健康信息定义为EPHI(Electronic Protected Health Information)。

HIPAA明确规定以下18种PHI收到保护:姓名、地址、社会保障密码、生日、医疗记录编码、电话号码、电子邮件地址、驾照号码、全部脸部相片、传真号码、健康保险编码、个人账户密码、银行账户号码、证书/执照编码、设备标示、网络统一资源定位(URLs)、IP地址、生物标示、任何其他唯一可辨别数字、特征或编码。

(3)什么情况之下允许使用隐私信息

HIPAA提出了使用和披露PHI时必须取得个人的书面授权,经过多轮的修改和补充,最新版的HIPAA明确提出在以下六种情况下允许使用PHI:

● PHI当事人自己需要从受限实体处调取隐私信息;

● 受限实体为PHI当事人提供医疗健康服务及相应财务支付服务;

● 征得当事人同意,或当事人无法同意的情况之下,使用PHI对其最有益;

● 在采取适当信息保护措施的前提下,对PHI进行可控的使用或披露;

● 涉及到国家安全或社会公众利益;

● 去掉可辨识身份的信息后,用于研究、诊疗、提供公共服务等目的。

HIPAA还规定如授权内容发生变更或授权过期,需对信息所有人进行再次授权,授权内容包括:

● 授权主体:具体使用PHI的CE范围;

● 授权形式:必须书面授权,包括线下纸质签名或线上电子签名;

● 授权内容:信息接收方名称、披露具体信息的内容、信息披露目的、不授权会带来的后果、授权的有效日期。

(4)隐私信息当事人拥有哪些权利

HIPAA法案中未对PHI的所有权归属问题做出明确说明,但HIPAA的隐私保护条例中,法律赋予PHI当事人对PHI的控制权,这种控制权主要从以下几个方面的体现:

● 获取权:当事人可以要求查看或获取一份个人的病历记录及其他健康信息的复印件,复印件必须在30日内交付;

● 修改权:当事人可要求在个人PHI中更改或添加相关信息,受限实体必须在60天内对信息进行更新;

● 知情权:当事人可要求受限实体提供个人PHI被调阅的全部记录;

● 选择共享权:当事人可要求选择不向特定的人、团体或机构共享;

● 投诉权:当事人发现个人PHI未被进行保护时,可向该机构的信息安全保护部门或政府专门机构进行投诉。

(5)受限实体需要履行哪些义务

为方便落实法案中提出的相关要求,同时也为更好的促进医疗信息化的发展,HIPAA规定CE及BA在EPHI交换过程中需履行以下原则:

● 安全保护原则:PHI应被给予合理的保护,以确保其保密性,完整性和可及性;

● 事故通知原则:涉及信息采集或变更时,需向所有人出示《隐私权政策通知》,说明共享方式、所有人权利、保护PHI的法律责任人、使用途径、投诉方式。如有信息泄露事故发生,需马上通知信息当事人,如泄露范围超过500人,则需向政府通报;

● 可更正原则:应向PHI所有者提供可随时修改个人健康医疗信息的途径;

● 公开和透明原则:与PHI或EPHI相关的政策与流程应完全公开透明;

● 最低限度必要准则:因特定目的而进行的PHI采集、使用或披露行为,应将使用范围控制在最小范围内;

● 责任性原则:以原则应通过恰当的监管手段被确保执行。

(6)受限实体需要履行哪些义务

美国法律中法案对于非法使用或披露PHI的处罚相当严苛。目前处罚方式主要分为以下四类:

● 受限实体符合HIPAA法案的相关要求,但在无意识情况下造成PHI泄露,CE需要承担单条泄露信息100-50000美金的罚款,罚金的上限为150万美金每年;

● 受限实体符合HIPAA法案的相关要求,但发生故意泄露PHI的行为,CE需要承担单条泄露信息1000-50000美金的罚款,罚金的上限为150万美金每年;

● 不符合HIPAA的相关要求,但在无意识情况下造成PHI泄露,CE需承担单条泄露信息10000-50000美金的罚款,罚金的上限为150万美金每年,此外责任人还需承担1-5年有期徒刑;

● 不符合HIPAA的相关要求,并发生故意泄露PHI的行为,CE需要承担单条泄露信息50000美金的罚款,罚金的上限为150万美金每年,此外责任人还需承担5-10年有期徒刑。

(7)美国健康医疗信息保护体系的优势与劣势

美国的分散立法模式从严格意义上来讲是在政府立法引导下的行业自律,即采用由下而上的方式进行开展,其优势在于:一方面,信息技术仍在快速发展之中,采取分散立法的方式可以避免国家过早立法而限制技术应用的现象,也能更好的配合技术发展的趋势;另一方面,健康医疗服务过程中不同环节对信息的收集和处理也存在区别,行业自律分散立法可增强个人健康医疗信息保护的针对性。但是,美国的这种模式也存在较为明显的弊端。例如投诉与争端解决机制相对不完善、缺乏强制执行力等问题也表现的比较明显。尤其是针对个人信息主体权利的保护仍需进一步完善。

2 欧盟现状

欧盟主张以立法模式保护个人信息。这种做法的目的是通过统一立法,将自然人对其个人信息享有的权利变为一项法律保障的基本权利。欧盟现有的相关法律包括1995年制定的《个人信息处理相关的信息保护及此类数据自由流动的指令》(简称《个人信息保护指令》,已废除)7、2016年通过的《一般信息保护条例》8(以下简称《条例》)、《网络与信息系统安全指令》9等。除上述统一立法之外,欧盟内部各成员国也可基于自身情况制定国内法。但从个人健康信息保护体系的整体来看,欧盟各国都需遵守《条例》的相关规定,并在2018年5月25日正式实施前将其转化为国内法。

相对于1995年制定的《个人信息保护指令》,《条例》通过制定详细的个人信息管理规范,确保信息安全保护责任主体在实施保护措施的可操作性。同时《条例》的法律等级更高,相关法条加大了对个人健康信息的保护力度和违规处罚力度。具体内容包括以下几个方面:

(1)法律关系范围不再严格按照地域划分

《条例》扩大了欧盟健康医疗信息安全保护法规的适用范围,并在原有的属地原则的基础上增加了属人原则。根据最新要求,只要在提供产品或者服务的过程中(不论是否收费)处理了欧盟境内个体的个人信息,将同样适用于《条例》。

(2)明确界定何为隐私信息

《条例》将隐私信息定义为:已识别或可识别自然人身份的任何信息,包括:能揭示个人的种族、政治倾向、宗教和哲学信仰。同时,《条例》还明确提出在未经本人同意情况下,禁止收集、处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的信息、个人基因识别信息、生物信息或涉及健康、性生活或性取向的信息。

(3)要求处理个人信息必须有合法理由

《条例》规定了合法处理健康医疗信息的6种情况,即:

● 信息主体同意为特定目的处理其信息;

● 处理信息是为签订或履行合同所需的;

● 处理信息是为遵守法定义务所需的;

● 处理信息是为了保护信息主体或其他自然人的至关重要的利益;

● 处理信息是为了公共利益或行使政府授予的权力;

● 处理信息是为追求信息控制者的合理利益,但不得损害信息主体的利益。

(4)将信息保护作为企业处理信息的基本要求

《条例》规定企业和组织在对健康医疗信息进行操作时,必须记录所有操作流程和步骤,以备政府和相关监管机构检查。当发生信息泄露时,《条例》要求公司及组织第一时间通知相关国家监管机构,并将信息泄露的方式、渠道以及可能影响的范围进行上报。如果信息泄露对信息所有者产生负面影响,公司或组织须立即通知信息所有者以便其采取必要措施消除影响。

(5)法律赋予信息主体相关权利

《条例》明确规定健康医疗信息的所有权归信息主体个人所有,同时还对于信息主体的权利进行了明确的阐述,其中包括:

● 访问权:信息主体可查看或获取个人病历记录及其他健康信息的复印件;

● 知情利:信息控制者必须以清楚、简单、明了的方式向个人说明其信息是如何被收集处理的;

● 反对权:始终有权随时拒绝信息控制者基于其合法利益处理个人信息;

● 可携权:信息主体可将其健康医疗信息从一个信息服务提供者处转移至另外一个信息服务提供者;

● 删除权:信息主体有权要求健康医疗信息控制者删除其健康医疗信息。

(6)对信息泄露规定了严苛的罚款制度

相较于美国,欧盟的《条例》在信息泄露处罚方面更为严格,其中具体处罚措施分为两档:

● 处以1千万欧元或者上一年度全球营收的2%,两者取其高。

违法行为包括:没有实施充分的IT安全保障措施,或者没有提供全面的透明的隐私政策,没有签订书面的信息处理协议等;

● 处以2千万欧元或者企业上一年度全球营业收入的4%,两者取其高。

违法行为包括:无法说明如何获得用户的同意,违反信息处理的一般性原则,侵害信息主体的合法权利以及拒绝服从监管机构的执法命令等。

(7)欧盟健康医疗信息保护体系的优势与劣势

欧盟的统一立法模式对于个人健康医疗信息起到更好的保护作用。其优势在于:1)将健康医疗信息作为公民基本权利的一部分,并在此基础上明确信息主体对于信息的决定、变更、删除等相关权利,有利于个人健康医疗信息的保护;2)统一立法可避免制度泛化,并通过设立统一的个人健康信息保护标准,建立信息共享与保障机制,促进信息的互联互通;3)统一立法具有较强的执行性,相关政策的执行可由国家强制力保障实施,更容易得到普遍的遵从。虽然统一立法模式在某种程度上可能影响信息技术的应用,但从全球范围来看部分国家选择此种模式开展个人健康信息保护。

3 欧美比较

美国与欧盟在健康医疗信息安全保护体系构建有明显的区别。这种区别主要源于二者在立法基础、立法模式等方面都存在巨大差异。首先,在立法基础方面。美国是以隐私权作为立法基础,相关立法从保护个人隐私的角度出发,不涉及个人隐私的信息并不在法律保护的范围之内;而欧盟则以信息主体的权利为核心,立法的目的是保证信息主体的个人权利不被侵犯,其保护范围比美国更为宽泛;其次,立法模式方面。美国强调以行业自律为主,辅以各项政府法规;而欧洲则以统一立法为主,强调由政府对个人健康信息进行统一规范的保护。

美国与欧盟的健康信息保护措施有诸多相似之处。美国与欧盟在对于健康医疗信息保护的具体措施方面是殊途同归,其中最主要的是二者都明确提出个人拥有对自己健康医疗信息的控制权,这种控制权主要体现在以下几个方面:

● 个人有权获得自己的个人健康医疗信息

√ 美国法律规定患者有获得PHI的权利;

√ 欧盟法律规定信息主体可访问个人的健康医疗信息。

● 个人有权修改自己的个人健康医疗信息

√ 美国法律规定患者有权修改PHI中的个人输入信息;

√ 欧盟法律规定信息主体对个人信息享有修改权。

● 个人有权知晓授权单位披露、使用个人健康医疗信息的细节

√ 美国法律规定采集、使用PHI时必须提交授权书,并注明相关细节;

√ 欧盟法律规定信息主体对个人健康医疗信息的使用情况享有知情权。

● 个人有权取消对个人健康医疗信息使用单位的授权

√ 美国法律规定患者可根据个人意愿选择撤回授权书;

√ 欧盟法律规定信息主体对个人信息享有被遗忘权。

● 个人有权在不同医疗机构之间传递个人健康医疗信息

√ 美国法律规定患者有权下载和传输个人的健康医疗信息;

√ 欧盟法律规定信息主体享有个人健康医疗信息的可携带权。

THEEND