個人健康醫療數據隱私安全法律法規研究

隨著生活水平的提高，人們對健康的關注度也逐漸增高，個人健康檔案對個人健康的積極影響也就愈發明顯。那麼，個人健康信息該受到怎樣的保護呢？

通過比較美國和中國在隱私安全方面的法律條款，我們將對國內個人健康隱私安全法律法規的制定提出建議。

OMAHA的第九期《「當歸」個人健康檔案項目白皮書》中對於個人健康檔案有著明確定義，其中個人健康信息分為兩個部分，電子病歷信息（Electronic Medical Record， EMR）和患者產生型健康醫療數據（Patient Generated Health Data， PGHD）。

對患者而言，個人健康信息屬於敏感信息，在儲存、使用和共享等方面有著嚴格的隱私安全要求。通過比較美國和中國在隱私安全方面的法律條款，我們將對國內個人健康隱私安全法律法規的制定提出建議。

HIPAA及其相關法案介紹

美國關於隱私安全的立法較早，1974年即通過《隱私權法》（The Privacy Act），保護公民個人信息的隱私權。1996年，美國通過《健康保險攜帶與責任法》（Health Insurance Portability and Accountability Act， HIPAA），2003年HIPAA中的隱私規則（Privacy Rule）和安全規則（Sercurity Rule）生效。在隨後幾年，HIPAA相關補充法案進一步發布，美國形成了一整套針對個人健康信息的隱私安全法律保護體系。

一、隱私規則（Privacy Rule）：

a.  相關概念：

 · 受保護的健康信息(Protected Health Information，PHI)

HIPAA 提出「受保護的健康信息」(ProtectedHealth Information，PHI)，其定義為：由適用主體或其商業夥伴持有或傳輸的以口頭、書面和電子等任何形式或媒體存在的可識別的個人健康信息。

 · 可識別的個人健康信息(Individually Identifiable Health Information)

可識別的個人健康信息是健康信息的一個子集，是指個人過去，目前和未來的生理和心理健康狀況、醫療護理狀況及與醫療護理相關的支付信息，並且這些信息至少包含法律規定的能夠識別出個人的 18 項身份識別信息中的一項。

 · 適用主體(Covered Entity，CE)

定義中的適用主體是指三種受到 HIPAA 約束的法律實體，分別是醫療健康服務提供方、保險提供方和數據清洗公司。

 · 商業夥伴(Business Associate，BA)

定義中的商業夥伴是指通過CE獲得患者PHI的第三方機構，此概念是2013年HITECH Omnibus rule 生效後加入的，法案中要求BA與CE受相同的法律準則。法律條文中對 BA 提供的服務進行了舉例，其中包括：

·   職能服務:健康數據分析、處理和管理;保險申訴處理和管理;質量管理;醫保報銷等;

·   其他服務:法務;審計;會計;諮詢;數據採集;行政管理;認證和投資等。

b.  個人信息權：

HIPAA定義了患者的個人信息相關的權利，包括限制個人信息使用權、申請獲取個人信息的權利、更正權、個人信息使用情況知情權等。其中申請獲取的權利包括查閱和複製權利。

c.  第一次服務前告知：

此條款規定，在首次使用PHI之前必須告知患者本人，告知內容包括使用和披露PHI的方式，患者的權利以及CE的法律責任等。同時也規定告知用語必須通俗易懂，電子形式告知要符合要求等。

d.  使用前需患者授權同意的情況：

此條款例舉了兩種情況，包括需要患者一般授權同意和特殊授權同意。當CE為了製作內部的索引或者告知患者家人病情時，只需要患者一般授權同意，並且可以口頭告知；而當CE使用心理診斷記錄或者利用患者PHI獲取經濟利益時，則需要患者進行特殊授權，且授權形式必須是書面通俗語言，具體內容如使用機構名稱、使用目的、結束日期、患者有撤回同意權等。

e.  使用前無需患者授權同意的情況：

為患者治療、支付和健康照顧相關的目的使用患者的PHI無需患者授權同意，即無需每次在治療前都經過患者的授權同意，包括患者轉診後，轉診後的醫院可不經患者授權獲得其個人信息。

此條款還例舉了諸多無需患者同意授權的情況，包括法律規定、政府特殊需要、勞工保險、健康監督和公共健康活動等。

同時關於個人健康數據在科研領域的使用也可以在未經患者授權同意的條件下進行，但前提是CE必須得到機構審查委員會（Institutional Review Board）等相關隱私委員會的同意（privacy board）。

f.  特殊情況：

 · 最小必要原則：

CE在向外提供PHI時，必須遵循最小必要原則（MinimumNecessary），即能不披露儘量不披露，以治療為目的的披露、向患者本人的披露和依據患者意願的披露例外。

 · 脫敏數據：

CE可以將脫敏後的數據（De-Identified Information）提供給第三方，脫敏必須符合專家決定原則或者避風港原則。專家決定原則是指由行業內的相關專家決定哪些信息必須去除並且提供書面分析結果；避風港原則是指18項能夠識別出個人的關鍵信息必須要去除。

18項身份識別信息如下：

·   姓名;

·   小於省級的地址，包括街道，城市，地區和三位以後的郵編;

·   除年份以外與個人相關的日期，包括(生日、進院日、出院日、死亡日期、超過 89 歲的年齡);

·   電話號碼;

·   車輛登記號碼、車牌號碼;

·   醫療器械標識號和序列號;

·   傳真號碼;

·   電子郵件;

·   URL;

·   社保號碼;

·   IP 地址;

·   病歷編號;

·   指紋等生物標記信息;

·   醫療保險號碼;

·   正面全臉照片;

·   銀行帳戶號碼;

·   證件號碼(身份證、駕照等);

·   任何其他可用於識別的編碼或特徵

 · 有限數據集（limited data sets）：

有限數據集和避風港原則類似，是指刪除特定信息後的PHI，相較於避風港原則，其要求更加寬鬆，允許保留生日，地址中的市、州和郵政編碼和其他相關的識別特徵。

二、安全規則（Security Rule）：

安全規則是針對隱私規則中以電子形式存儲和傳輸的PHI，HIPAA將其定義為「受保護的電子健康信息」（Electronic Protected Health Information， ePHI），安全規則分為必選規則和推薦規則，其中必選規則是CE和BA必須遵循的安全規則，共13條；推薦規則則是CE和BA可以根據自身的情況決定是否採納，其中不採納的規則需要說明理由並且採取其他的保障措施。安全保護措施具體可分為管理保護、物理保護、技術保護三個方面。

a.   管理保護（Administrative Safeguards）

管理保護中要求CE必須遵循信息安全管理程序，具體可以分為風險分析、風險管理、懲罰政策和信息系統日誌審查四個必選項。同時還包括CE需在員工中指定一人擔任信息安全官，建立獨立的健康照顧統計清算中心以防部門內部的信息洩漏、信息安全事件管理程序，突發事件應變計劃和商業夥伴協議管理等。

b.  物理保護（Physical Safeguards）

物理保護則是對電子系統、設備和資料，設置保護機制，使其不受環境風險和未授權人的訪問和攻擊。主要包括設施的接觸管制，工作站的使用和信息安全規則，設備和媒體的管控等。

c.   技術保護（Technical Safeguards）

技術保護是指通過軟體等技術手段來保護ePHI，主要分為以下幾個方面：

 · 接觸管制

根據信息接觸管理相關政策決定不同對象的權限後，以軟體程序的方式執行每個對象的權限，具體包括四個方面：

·   個人帳號（必要性）：應要求每人登入其姓名和編號，以確認並追蹤其使用。

·   緊急接觸程序（必要性）：在緊急情況下，建立相關程序，開放可接觸必要的受保護信息。

·   自動註銷（建議性）：超過預計的時間或一段時期沒有動作後，建議其自動註銷。

·   加密和解密（建議性）：對受保護信息執行加密和解密。

 · 監視控制

CE應設計硬體、軟體或程序機制，記錄信息系統中使用受保護信息的活動。

 · 完整性

建議以電子機制來確認受保護信息是否被以未授權的方法修改或銷毀。

 · 個人和機構認證

應有相關程序，以確認接觸的個人和機構確實為本人。

 · 傳輸安全

CE應採取相關安全措施，避免未經授權的者透過電子傳輸網絡接觸電子受保護健康信息。具體提出二項建議。

·   完整性：採取安全措施，確保電子傳輸的受保護信息無法在未經察覺下被不當修正。

·   加密：必要時，採取機制對所傳輸的受保護信息進行加密。

 中國相關規範介紹

不論在個人信息安全還是個人健康信息安全領域，我國都沒有一部相關的法律，與信息安全的法律規定主要分散在《網絡安全法》等法規中，條款的規定相較於國外法律條款略顯粗獷，缺乏系統性。2017年12月29日正式發布，2018年5月1日實施的GB/T 35273-2017《信息安全技術個人信息安全規範》是一部相對較完善的個人信息安全規範，從個人信息的收集、保存、使用、共享、轉讓、公開披露等環節出發，提出了保護個人信息安全應遵循的原則和安全要求。

目前該規範只是一個國家推薦標準，暫未上升到法律法規層面，考慮到其專業性以及未來可能對個人信息安全領域專業法規產生的影響，我們對該標準進行了以下研究。

關於個人信息的定義：

國標中將「個人信息」定義為「以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。」「個人敏感信息」定義為「一旦洩露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。」同時，對這兩種信息舉例說明，對判定某項未舉例的信息是否屬於個人信息或個人敏感信息有了明確的定義。

個人信息安全基本原則：

a.權責一致原則：對其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。

b.目的明確原則：具有合法、正當、必要、明確的個人信息處理目的。

c.選擇同意原則：向個人信息主體明示個人信息處理目的、方式、範圍、規則等，徵求其授權同意。

d.最少夠用原則：除與個人信息主體另有約定外，只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量。目的達成後，應及時根據約定刪除個人信息。

e.公開透明原則：以明確、易懂和合理的方式公開處理個人信息的範圍、目的、規則等，並接受外部監督。

f.確保安全原則：具備與所面臨的安全風險相匹配的安全能力，並採取足夠的管理措施和技術手段，保護個人信息的保密性、完整性、可用性。

g.  主體參與原則：向個人信息主體提供能夠訪問、更正、刪除其個人信息，以及撤回同意、註銷帳戶等方法。

HIPAA和國標的相似點：

a.基本原則相似：中美在針對信息安全相關的基本原則上有很大程度的相似，比如選擇同意原則、最少夠用（最小必要）原則。

b.明確個人有權獲得自己的個人信息：HIPAA及其相關法案中明確規定患者有獲得 PHR 的權利;國標指出數據主體可以訪問個人信息。

c.明確個人有權修改或刪除個人信息：HIPAA及其相關法案中明確規定患者有權修改 PHR 中個人輸入的信息;國標指出個人信息主體擁有更正、刪除、撤回同意和註銷帳戶的權利。

d.個人有權清晰知曉個人健康醫療信息被披露和使用的內容、目的及主體：HIPPA 隱私規則中明確授權書中必須包括以上內容並清晰告知患者；國標文件在隱私政策中與HIPAA有著相似的規定，並且在資料性附錄中給出了隱私政策的模版供參考。

e.個人有權不受阻礙的向另一個醫療機構傳輸個人健康醫療信息：HIPAA及其相關法案中明確規定個人有權下載和傳輸個人 PHR；國標則規定根據個人信息主體的請求下，信息控制者應提供含有個人基本資料、個人身份信息、個人健康生理信息、個人教育工作信息等信息副本給個人信息主體或者直接傳給第三方。

國標相較於HIPAA的差別：

a. 國標是針對個人信息安全的規範標準，並未上升到法律層面，且僅適用於個人信息範圍，而HIPAA則是針對於醫療環境下的一項法規，國標專業性和細緻性都與HIPAA存在較大差距。

b.關於數據脫敏在HIPAA中明確寫出，包括專家決定原則和避風港原則等，但是在國標規範中僅對「匿名化 anonymization」給出了定義：「通過對個人信息的技術處理，使得個人信息主體無法被識別，且處理後的信息不能被復原的過程」，並未對如何具體進行匿名化作出要求。

c.在安全規則上，HIPAA相較於國標規範規定更加細緻，國標僅從安全事件處置和組織管理角度來初步明確相關要求，而HIPAA則從管理、物理和技術三個角度，更加專業的從醫療健康數據的方向明確了安全規則的要求。

相關建議

通過對比HIPAA和我國國標文件，我們從個人健康信息的隱私安全角度，對我國的相關法律法規提出以下幾點建議：

1、加快制定《個人信息安全法》，明確個人信息安全的重要性，進一步確定個人健康信息的定義，並且在保證個人信息安全的基礎上就個人健康信息制定出更加專業和細緻的法律法規。

2、規範數據脫敏的使用方法和要求，切實保障個人健康大數據的形成以及更有意義和規範化地利用。

3、制定明確的獎懲機制，推進信息控制者、數據擁有者以及第三方機構在個人健康數據儲存和共享上隱私安全的規範化。

4、結合區塊鏈等新技術在個人健康信息安全上的應用，提高相關法律法規的系統性和前瞻性。

文 | 胡冉