我国电子健康档案隐私保护现状与应对研究 摘要:通过国内外电子健康档案相关隐私保护发展和现状的分析,总结我国电子健康档案隐私保护在法律保障、管理制度、应用技术等方面的相关问题,并从法律、政策保障和卫生标准三方面提出相关建议。 关键词:电子健康档案;隐私保护;现状;应对 所谓隐私权是一种基本、具体的人格权利,具体是指公民享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。所谓健康档案的隐私保护就是通过各种手段保护个人电子健康档案中的隐私信息不被他人非法采集、知悉、利用、公开[1]。2015年国家卫计委将电子健康档案建设纳入全国卫生计生系统的“十三五”工作规划中,作为卫生信息化发展的核心基础之一的电子健康档案(EHR)开始了新一轮的高速发展。与此同时对电子健康档案隐私保护的呼声也在不断提高。当前健康档案中隐私保护问题已成为健康档案发展过程中日益突出的隐患。 1 我国电子健康档案隐私保护的现状分析 我国目前尚未颁布正式的隐私权法。关于患者隐私权的保护,《执业医师法》第22条,《护士管理办法》第24条、第37条,《医务人员医德规范及其实施办法》第3条,最高人民法院《关于审理名誉权案件若干问题的解答》第7条第 3款等都作出相关规定。在《关于规范城乡居民健康档案管理的指导意见》中,明确“不得擅自泄露健康档案中的居民个人信息以及涉及居民健康的隐私信息。除法律规定必须出示或出于保护居民健康目的,居民健康档案不得转让、出卖给其他人员或机构,更不能用于商业目的。”在《关于建立农村居民健康档案的工作方案》中提出了建立农村居民健康档案两大原则,第一个是农民自行同意,第二个就是隐私保护[2] 。 2 我国电子健康档案隐私保护的不足 分析国内外电子健康档案隐私保护的现状,本研究认为,我国目前电子健康档案隐私保护主要有以下几个方面的不足: 2.1法律保障方面 对比国内外的隐私信息法制保障,我国电子健康档案隐私保护主要存在以下法律保障问题:①公民隐私权不明确。目前我国法律体系中没有明确的隐私权定义。②个人信息隐私保护不明确。我国在个人信息隐私出现泄漏造成名誉损失 时,仅依靠名誉权进行维护。③卫生行业隐私信息保护不明确。根据国家卫计委要求,居民健康档案由纸质向电子化发展,并逐步互通共享,一旦在全国范围内建立了居民电子健康档案,这个庞大的数据集必将成为国家性战略资源而被应用和保护,同时卫生数据有其特殊性和保密性的特点,所以应该明确个人卫生信 息隐私保护的范畴。④缺乏专职机构管理。目前我国还没有美国隐私保护署这类专职保护公民隐私并推动隐私管理法制化进程的管理机构。 2.2管理制度方面 目前我国居民电子健康档案隐私保护的管理方面还存在很多问题,主要表现在以下几个方面:①档案缺乏监督管理。各地建档质量、档案安全由行业自律而缺乏专职机构负责监督考核,从而增加了档案隐私泄露的危险。②居民权责不明。居民电子健康档案的主体是居民自身,医疗机构仅负责EHR的管理和授权建立与应用。而目前有些地方将建立档案作为工作指标,对于居民知情与授权不够重视,居民对于自己的档案,看不到,也改不了;出现泄露也不知道,无法维护自己的权益。③档案存储管理权责不明。作为电子健康档案应该真实、一致、全面。目前很多地方建档只在单一站、所、医院,档案保存、更新也缺乏统一管理的要求。另一方面,国家规划实现了三级平台后,健康档案由机构还是平台管理,共享协同后的数据如何落地、什么条件下落地尚未有定论。类似这样档案管理的权责不明,更造成了隐私保护的困难。④档案保密程度不够。对于档案信息缺乏信息保密分级,医生、护士无需授权就能够随时看到病人全部健康档案信息。同时对于信息系统安全管理也缺乏重视,有些地方的档案维护、管理最高权限由公司掌握而不是医疗卫生机构,这些都造成了隐私保护的重大安全隐患。 2.3应用技术方面 我国卫生信息化相关软件技术取得了极大的进展。与此同时在技术上我们还存在很多问题:①标准不完善。近年来我国大力推进卫生信息标准化进程,但是对于在各信息系统中那些数据属于病人隐私、如何对私密信息分级、针对不同级别信息应作何等程度保护,尚缺乏明确的标准。②忽略数据安全。公司开发软件,普遍重视功能和应用,对于数据安全重视程度不够,数据库中信息甚至没有加密处理,一旦泄露损失严重。③系统自身不够强壮,目前我国大部分卫生信息系统包括平台和网站对于防病毒、防恶意攻击上缺乏经验。如果不加强重视,作出调整,我国卫生信息网络体系很可能因自身安全防御能力薄弱而受到攻击,从而使大量的公民隐私信息泄露。 3 思考与建议 3.1 建立电子健康档案隐私保护相关法律法规 目前我国公民维权意识在逐步提升,现有法律已不能满足公民保障自身隐私权益的需求,完善隐私保护法律体系是当务之急。笔者认为完善电子健康档案隐私保护相关法律体系可分为以下三部分: (1)公民隐私权保护。明确隐私权的定义,清晰公民隐私界定,侵权问责是隐私保护法制化的基础。 (2)个人信息隐私保护。建议尽早出台相关法律,对于居民健康信息予以特别规范。同时对于个人隐私信息侵害事件情节严重的,应引入刑事处罚。 (3)个人健康档案隐私保护。从法律保护的角度,目前很多发达国家也并没有建立专门的法律保护个人健康信息,一般通过个人隐私隐私保护来实现。但是由于卫生行业的特殊性,卫生信息化带来大量集中管理的个人健康信息,也应当以个人信息隐私保护为基础,针对电子健康档案隐私保护建立专门的行业规则。使健康档案隐私保护在具体环境下具有更强的可操作性。规则制定的标准应当是:通过规范的EHR应用环境,明确健康档案主体的知情权、所有权,保护主体的隐私不受侵犯,同时不影响电子健康的数据流通和正当应用,使电子健康档案保持自身高效便捷的特点为居民健康管理提供支持。 3.2 健康档案隐私保护相关管理建议 (1)加强宣传、提高认识通过宣传、培训等各种手段,提高健康档案使用人群相关隐私保护的意识。从而使卫生管理人员在推进信息化进程中,加强对健康档案隐私保护的重视;提高信息管理人员信息安全相关技术水平和安全管理意识;医生、护士规范使用健康档案;居民了解自我权限,明晰健康档案档案内容和用途。 (2)成立管理机构、加强隐私保护成立专职管理机构,制定并完善健康档案监管考核制度,并对下辖医疗机构所建立健康档案质量、应用进行监督考核; 本文来源:https://www.wddqw.com/doc/856acb37ab114431b90d6c85ec3a87c240288ac5.html