OMAHA的第九期《“當(dāng)歸”個(gè)人健康檔案項(xiàng)目白皮書》中對于個(gè)人健康檔案有著明確定義，其中個(gè)人健康信息分為兩個(gè)部分，電子病歷信息（Electronic Medical Record，EMR）和患者產(chǎn)生型健康醫(yī)療數(shù)據(jù)（Patient Generated Health Data，PGHD）。

對患者而言，個(gè)人健康信息屬于敏感信息，在儲存、使用和共享等方面有著嚴(yán)格的隱私安全要求。通過比較美國和中國在隱私安全方面的法律條款，我們將對國內(nèi)個(gè)人健康隱私安全法律法規(guī)的制定提出建議。

HIPAA及其相關(guān)法案介紹

美國關(guān)于隱私安全的立法較早，1974年即通過《隱私權(quán)法》（The Privacy Act），保護(hù)公民個(gè)人信息的隱私權(quán)。1996年，美國通過《健康保險(xiǎn)攜帶與責(zé)任法》（

Health Insurance Portability and Accountability Act，HIPAA），2003年HIPAA中的隱私規(guī)則（Privacy Rule）和安全規(guī)則（Sercurity Rule）生效。在隨后幾年，HIPAA相關(guān)補(bǔ)充法案進(jìn)一步發(fā)布，美國形成了一整套針對個(gè)人健康信息的隱私安全法律保護(hù)體系。

一、隱私規(guī)則（Privacy Rule）：

a.相關(guān)概念：

 · 受保護(hù)的健康信息(Protected Health Information，PHI) 

HIPAA提出“受保護(hù)的健康信息”(ProtectedHealth Information，PHI)，其定義為：由適用主體或其商業(yè)伙伴持有或傳輸?shù)囊钥陬^、書面和電子等任何形式或媒體存在的可識別的個(gè)人健康信息。

· 可識別的個(gè)人健康信息(Individually Identifiable Health Information)

可識別的個(gè)人健康信息是健康信息的一個(gè)子集，是指個(gè)人過去，目前和未來的生理和心理健康狀況、醫(yī)療護(hù)理狀況及與醫(yī)療護(hù)理相關(guān)的支付信息，并且這些信息至少包含法律規(guī)定的能夠識別出個(gè)人的18項(xiàng)身份識別信息中的一項(xiàng)。

· 適用主體(Covered Entity，CE)

定義中的適用主體是指三種受到HIPAA約束的法律實(shí)體，分別是醫(yī)療健康服務(wù)提供方、保險(xiǎn)提供方和數(shù)據(jù)清洗公司。

 · 商業(yè)伙伴(Business Associate，BA)

定義中的商業(yè)伙伴是指通過CE獲得患者PHI的第三方機(jī)構(gòu)，此概念是2013年HITECH Omnibus rule生效后加入的，法案中要求BA與CE受相同的法律準(zhǔn)則。法律條文中對BA提供的服務(wù)進(jìn)行了舉例，其中包括：

·職能服務(wù):健康數(shù)據(jù)分析、處理和管理;保險(xiǎn)申訴處理和管理;質(zhì)量管理;醫(yī)保報(bào)銷等;

·其他服務(wù):法務(wù);審計(jì);會計(jì);咨詢;數(shù)據(jù)采集;行政管理;認(rèn)證和投資等。

b.個(gè)人信息權(quán)：

HIPAA定義了患者的個(gè)人信息相關(guān)的權(quán)利，包括限制個(gè)人信息使用權(quán)、申請獲取個(gè)人信息的權(quán)利、更正權(quán)、個(gè)人信息使用情況知情權(quán)等。其中申請獲取的權(quán)利包括查閱和復(fù)制權(quán)利。

c.第一次服務(wù)前告知：

此條款規(guī)定，在首次使用PHI之前必須告知患者本人，告知內(nèi)容包括使用和披露PHI的方式，患者的權(quán)利以及CE的法律責(zé)任等。同時(shí)也規(guī)定告知用語必須通俗易懂，電子形式告知要符合要求等。

d.使用前需患者授權(quán)同意的情況：

此條款例舉了兩種情況，包括需要患者一般授權(quán)同意和特殊授權(quán)同意。當(dāng)CE為了制作內(nèi)部的索引或者告知患者家人病情時(shí)，只需要患者一般授權(quán)同意，并且可以口頭告知；而當(dāng)CE使用心理診斷記錄或者利用患者PHI獲取經(jīng)濟(jì)利益時(shí)，則需要患者進(jìn)行特殊授權(quán)，且授權(quán)形式必須是書面通俗語言，具體內(nèi)容如使用機(jī)構(gòu)名稱、使用目的、結(jié)束日期、患者有撤回同意權(quán)等。

e.使用前無需患者授權(quán)同意的情況：

為患者治療、支付和健康照顧相關(guān)的目的使用患者的PHI無需患者授權(quán)同意，即無需每次在治療前都經(jīng)過患者的授權(quán)同意，包括患者轉(zhuǎn)診后，轉(zhuǎn)診后的醫(yī)院可不經(jīng)患者授權(quán)獲得其個(gè)人信息。此條款還例舉了諸多無需患者同意授權(quán)的情況，包括法律規(guī)定、政府特殊需要、勞工保險(xiǎn)、健康監(jiān)督和公共健康活動等。

同時(shí)關(guān)于個(gè)人健康數(shù)據(jù)在科研領(lǐng)域的使用也可以在未經(jīng)患者授權(quán)同意的條件下進(jìn)行，但前提是CE必須得到機(jī)構(gòu)審查委員會（Institutional Review Board）等相關(guān)隱私委員會的同意（privacy board）。

f.特殊情況：

 · 最小必要原則：

CE在向外提供PHI

時(shí)，必須遵循最小必要原則（MinimumNecessary），即能不披露盡量不披露，以治療為目的的披露、向患者本人的披露和依據(jù)患者意愿的披露例外。

· 脫敏數(shù)據(jù)：

CE可以將脫敏后的數(shù)據(jù)（De-Identified Information）提供給第三方，脫敏必須符合專家決定原則或者避風(fēng)港原則。專家決定原則是指由行業(yè)內(nèi)的相關(guān)專家決定哪些信息必須去除并且提供書面分析結(jié)果；避風(fēng)港原則是指18項(xiàng)能夠識別出個(gè)人的關(guān)鍵信息必須要去除。18項(xiàng)身份識別信息如下：

·姓名

·小于省級的地址，包括街道，城市，地區(qū)和三位以后的郵編

·除年份以外與個(gè)人相關(guān)的日期，包括(生日、進(jìn)院日、出院日、死亡日期、超過89歲的年齡)

·電話號碼

·車輛登記號碼、車牌號碼

·醫(yī)療器械標(biāo)識號和序列號

·傳真號碼

·電子郵件

·URL

·社保號碼

·IP地址

·病歷編號·指紋等生物標(biāo)記信息

·醫(yī)療保險(xiǎn)號碼

·正面全臉照片

·銀行賬戶號碼

·證件號碼(身份證、駕照等)

·任何其他可用于識別的編碼或特征

 · 有限數(shù)據(jù)集（limited data sets）：有限數(shù)據(jù)集和避風(fēng)港原則類似，是指刪除特定信息后的PHI，相較于避風(fēng)港原則，其要求更加寬松，允許保留生日，地址中的市、州和郵政編碼和其他相關(guān)的識別特征。

二、安全規(guī)則（Security Rule）：

安全規(guī)則是針對隱私規(guī)則中以電子形式存儲和傳輸?shù)腜HI，HIPAA將其定義為“受保護(hù)的電子健康信息”（Electronic Protected Health Information， ePHI），安全規(guī)則分為必選規(guī)則和推薦規(guī)則，其中必選規(guī)則是CE和BA必須遵循的安全規(guī)則，共13條；推薦規(guī)則則是CE和BA可以根據(jù)自身的情況決定是否采納，其中不采納的規(guī)則需要說明理由并且采取其他的保障措施。安全保護(hù)措施具體可分為管理保護(hù)、物理保護(hù)、技術(shù)保護(hù)三個(gè)方面。

a.   管理保護(hù)（Administrative Safeguards）

管理保護(hù)中要求CE必須遵循信息安全管理程序，具體可以分為風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)管理、懲罰政策和信息系統(tǒng)日志審查四個(gè)必選項(xiàng)。同時(shí)還包括CE需在員工中指定一人擔(dān)任信息安全官，建立獨(dú)立的健康照顧統(tǒng)計(jì)清算中心以防部門內(nèi)部的信息泄漏、信息安全事件管理程序，突發(fā)事件應(yīng)變計(jì)劃和商業(yè)伙伴協(xié)議管理等。

b.  物理保護(hù)（Physical Safeguards）

物理保護(hù)則是對電子系統(tǒng)、設(shè)備和資料，設(shè)置保護(hù)機(jī)制，使其不受環(huán)境風(fēng)險(xiǎn)和未授權(quán)人的訪問和攻擊。主要包括設(shè)施的接觸管制，工作站的使用和信息安全規(guī)則，設(shè)備和媒體的管控等。

c.   技術(shù)保護(hù)（Technical Safeguards）

技術(shù)保護(hù)是指通過軟件等技術(shù)手段來保護(hù)ePHI，主要分為以下幾個(gè)方面：

 · 接觸管制

根據(jù)信息接觸管理相關(guān)政策決定不同對象的權(quán)限后，以軟件程序的方式執(zhí)行每個(gè)對象的權(quán)限，具體包括四個(gè)方面：

·個(gè)人賬號（必要性）：應(yīng)要求每人登入其姓名和編號，以確認(rèn)并追蹤其使用。

·緊急接觸程序（必要性）：在緊急情況下，建立相關(guān)程序，開放可接觸必要的受保護(hù)信息。

·自動注銷（建議性）：超過預(yù)計(jì)的時(shí)間或一段時(shí)期沒有動作后，建議其自動注銷。

·加密和解密（建議性）：對受保護(hù)信息執(zhí)行加密和解密。

·監(jiān)視控制

CE應(yīng)設(shè)計(jì)硬件、軟件或程序機(jī)制，記錄信息系統(tǒng)中使用受保護(hù)信息的活動。

· 完整性

建議以電子機(jī)制來確認(rèn)受保護(hù)信息是否被以未授權(quán)的方法修改或銷毀。

·個(gè)人和機(jī)構(gòu)認(rèn)證

應(yīng)有相關(guān)程序，以確認(rèn)接觸的個(gè)人和機(jī)構(gòu)確實(shí)為本人。

·傳輸安全

CE應(yīng)采取相關(guān)安全措施，避免未經(jīng)授權(quán)的者透過電子傳輸網(wǎng)絡(luò)接觸電子受保護(hù)健康信息。具體提出二項(xiàng)建議。

·完整性：采取安全措施，確保電子傳輸?shù)氖鼙Ｗo(hù)信息無法在未經(jīng)察覺下被不當(dāng)修正。

·加密：必要時(shí)，采取機(jī)制對所傳輸?shù)氖鼙Ｗo(hù)信息進(jìn)行加密。

中國相關(guān)規(guī)范介紹

不論在個(gè)人信息安全還是個(gè)人健康信息安全領(lǐng)域，我國都沒有一部相關(guān)的法律，與信息安全的法律規(guī)定主要分散在《網(wǎng)絡(luò)安全法》等法規(guī)中，條款的規(guī)定相較于國外法律條款略顯粗獷，缺乏系統(tǒng)性。2017年12月29日正式發(fā)布，2018年5月1日實(shí)施的GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》是一部相對較完善的個(gè)人信息安全規(guī)范，從個(gè)人信息的收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等環(huán)節(jié)出發(fā)，提出了保護(hù)個(gè)人信息安全應(yīng)遵循的原則和安全要求。

目前該規(guī)范只是一個(gè)國家推薦標(biāo)準(zhǔn)，暫未上升到法律法規(guī)層面，考慮到其專業(yè)性以及未來可能對個(gè)人信息安全領(lǐng)域?qū)I(yè)法規(guī)產(chǎn)生的影響，我們對該標(biāo)準(zhǔn)進(jìn)行了以下研究。

關(guān)于個(gè)人信息的定義：

國標(biāo)中將“個(gè)人信息”定義為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息?！薄皞€(gè)人敏感信息”定義為“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息?！蓖瑫r(shí)，對這兩種信息舉例說明，對判定某項(xiàng)未舉例的信息是否屬于個(gè)人信息或個(gè)人敏感信息有了明確的定義。

個(gè)人信息安全基本原則：

a.  權(quán)責(zé)一致原則：對其個(gè)人信息處理活動對個(gè)人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任。

b.  目的明確原則：具有合法、正當(dāng)、必要、明確的個(gè)人信息處理目的。

c.  選擇同意原則：向個(gè)人信息主體明示個(gè)人信息處理目的、方式、范圍、規(guī)則等，征求其授權(quán)同意。

d.  最少夠用原則：除與個(gè)人信息主體另有約定外，只處理滿足個(gè)人信息主體授權(quán)同意的目的所需的最少個(gè)人信息類型和數(shù)量。目的達(dá)成后，應(yīng)及時(shí)根據(jù)約定刪除個(gè)人信息。

e..公開透明原則：以明確、易懂和合理的方式公開處理個(gè)人信息的范圍、目的、規(guī)則等，并接受外部監(jiān)督。

f.  確保安全原則：具備與所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護(hù)個(gè)人信息的保密性、完整性、可用性。

g.  主體參與原則：向個(gè)人信息主體提供能夠訪問、更正、刪除其個(gè)人信息，以及撤回同意、注銷賬戶等方法。

HIPAA和國標(biāo)的相似點(diǎn)：

a. 基本原則相似：中美在針對信息安全相關(guān)的基本原則上有很大程度的相似，比如選擇同意原則、最少夠用（最小必要）原則。

b. 明確個(gè)人有權(quán)獲得自己的個(gè)人信息：HIPAA及其相關(guān)法案中明確規(guī)定患者有獲得 PHR 的權(quán)利;國標(biāo)指出數(shù)據(jù)主體可以訪問個(gè)人信息。

c. 明確個(gè)人有權(quán)修改或刪除個(gè)人信息：HIPAA及其相關(guān)法案中明確規(guī)定患者有權(quán)修改 PHR 中個(gè)人輸入的信息;國標(biāo)指出個(gè)人信息主體擁有更正、刪除、撤回同意和注銷賬戶的權(quán)利。

d. 個(gè)人有權(quán)清晰知曉個(gè)人健康醫(yī)療信息被披露和使用的內(nèi)容、目的及主體：HIPPA 隱私規(guī)則中明確授權(quán)書中必須包括以上內(nèi)容并清晰告知患者；國標(biāo)文件在隱私政策中與HIPAA有著相似的規(guī)定，并且在資料性附錄中給出了隱私政策的模版供參考。

e. 個(gè)人有權(quán)不受阻礙的向另一個(gè)醫(yī)療機(jī)構(gòu)傳輸個(gè)人健康醫(yī)療信息：HIPAA及其相關(guān)法案中明確規(guī)定個(gè)人有權(quán)下載和傳輸個(gè)人 PHR；國標(biāo)則規(guī)定根據(jù)個(gè)人信息主體的請求下，信息控制者應(yīng)提供含有個(gè)人基本資料、個(gè)人身份信息、個(gè)人健康生理信息、個(gè)人教育工作信息等信息副本給個(gè)人信息主體或者直接傳給第三方。

國標(biāo)相較于HIPAA的差別：

a. 國標(biāo)是針對個(gè)人信息安全的規(guī)范標(biāo)準(zhǔn)，并未上升到法律層面，且僅適用于個(gè)人信息范圍，而HIPAA則是針對于醫(yī)療環(huán)境下的一項(xiàng)法規(guī)，國標(biāo)專業(yè)性和細(xì)致性都與HIPAA存在較大差距。

b. 關(guān)于數(shù)據(jù)脫敏在HIPAA中明確寫出，包括專家決定原則和避風(fēng)港原則等，但是在國標(biāo)規(guī)范中僅對“匿名化 anonymization”給出了定義：“通過對個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無法被識別，且處理后的信息不能被復(fù)原的過程”，并未對如何具體進(jìn)行匿名化作出要求。

c. 在安全規(guī)則上，HIPAA相較于國標(biāo)規(guī)范規(guī)定更加細(xì)致，國標(biāo)僅從安全事件處置和組織管理角度來初步明確相關(guān)要求，而HIPAA則從管理、物理和技術(shù)三個(gè)角度，更加專業(yè)的從醫(yī)療健康數(shù)據(jù)的方向明確了安全規(guī)則的要求。

相關(guān)建議

通過對比HIPAA和我國國標(biāo)文件，我們從個(gè)人健康信息的隱私安全角度，對我國的相關(guān)法律法規(guī)提出以下幾點(diǎn)建議：

1、加快制定《個(gè)人信息安全法》，明確個(gè)人信息安全的重要性，進(jìn)一步確定個(gè)人健康信息的定義，并且在保證個(gè)人信息安全的基礎(chǔ)上就個(gè)人健康信息制定出更加專業(yè)和細(xì)致的法律法規(guī)。

2、規(guī)范數(shù)據(jù)脫敏的使用方法和要求，切實(shí)保障個(gè)人健康大數(shù)據(jù)的形成以及更有意義和規(guī)范化地利用。

3、制定明確的獎(jiǎng)懲機(jī)制，推進(jìn)信息控制者、數(shù)據(jù)擁有者以及第三方機(jī)構(gòu)在個(gè)人健康數(shù)據(jù)儲存和共享上隱私安全的規(guī)范化。

4、結(jié)合區(qū)塊鏈等新技術(shù)在個(gè)人健康信息安全上的應(yīng)用，提高相關(guān)法律法規(guī)的系統(tǒng)性和前瞻性。

相關(guān)知識

健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私保護(hù)問題研究
健康醫(yī)療數(shù)據(jù)的法律與合規(guī)問題探析（上）
《大健康數(shù)據(jù)智能分析關(guān)鍵方法研究》
健康醫(yī)療大數(shù)據(jù)的安全與應(yīng)用
國家健康醫(yī)療大數(shù)據(jù)中心（北方）隱私計(jì)算與數(shù)據(jù)對撞中心正式發(fā)布
區(qū)塊鏈+大數(shù)據(jù)=醫(yī)療行業(yè)的數(shù)據(jù)安全和患者隱私的革命
國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）
互聯(lián)網(wǎng)醫(yī)院及健康醫(yī)療大數(shù)據(jù)合規(guī)分析
5大醫(yī)療保健數(shù)據(jù)安全挑戰(zhàn)和數(shù)據(jù)保護(hù)技巧
醫(yī)療健康云平臺，保障個(gè)人隱私與提供高效服務(wù)的平衡

網(wǎng)址: 個(gè)人健康醫(yī)療數(shù)據(jù)隱私安全法律法規(guī)研究 http://www.u1s5d6.cn/newsview515537.html