芻議民法典時代的個人信息保護 ——以個人健康信息檔案的合規使用為切入點
作者:鄭敏 肖浩 宗揚 2020-06-04第十三屆全國人大三次會議上通過的《中華人民共和國民法典》(2021年1月1日正式施行,以下簡稱“《民法典》”)亮點諸多,其中將人格權獨立成編且開辟專章規定隱私權及個人信息保護的立法例,是對加強公民個人信息保護的社會呼聲的積極回應,彰顯出將保護個人信息納入法治體系的重要意義。
伴隨著互聯網和大數據技術的發展,個人信息的采集、應用已滲透到我們生活的方方面面,這在重塑我們的生活習慣和社交方式的同時,也帶來不容小覷的權利保護問題。百度cookie案和京東數據泄漏事件所引發的法律責任探討言猶在耳,年初至今在全球范圍內爆發的新冠肺炎疫情,又為我們進一步思考如何更好地權衡個人信息保護和公共利益提供了一個很好的窗口。
新冠疫情前經有關媒體報道過的涉及健康信息泄露的代表性事件就有:2017年5月某部委的醫療服務信息系統遭“黑客”入侵,超過7億條公民信息遭泄露,8000余萬條公民信息被販賣;2018年8月,知名藝人林更新在某醫院就診時,其個人病歷資料被泄露至互聯網引發廣泛傳播和輿論熱議;同年,武漢某整形醫院客戶信息遭黑客入侵后大范圍泄露等。[i]
我國在應對疫情防控等嚴峻的公共衛生事件時,為了分析研判并切斷傳染性病毒的傳播鏈條,不可避免地要收集、存儲、交換、研究數量龐大的公民個人信息,包括姓名身份、家庭住址、行程軌跡、健康狀況、聯系方式、生物識別信息等等,僅微信小程序就有多種信息收集和個人識別端口、信息公示碼等。疫情期間的遠程醫療亦受到熱烈追捧,其本質上就是通過以醫學信息的采集、儲存、傳輸、處理和查詢為主的技術來支持遠程會診、遠程康復指導和遠程監護等醫療服務。然而在以上行為或經營活動過程中,由于信息收集主體在公共利益的“金鐘罩”下或者運營者在利益驅動下私權保護意識淡薄、部分環節缺乏明確的收集或使用規范,導致出現諸多個人信息泄露的現象,如確診患者、疑似患者或密切接觸者的個人隱私在互聯網或自媒體上遭遇瘋傳,進而引起對上述個體或群體的偏見和恐慌情緒,嚴重損害了確診患者、疑似患者或密切接觸者的合法權益。
一、 個人信息保護的法律體系
在《民法典》出臺后,我們目前針對公民個人信息的保護體系如下表所示:
序號 | 名稱 | 發布機構 | 實施時間 | 位階 |
1 | 《民法典》 | 全國人民代表大會 | 2021年1月1日 | 法律 |
2 | 《民法總則》 | 全國人民代表大會 | 2017年10月1日(將于2021年1月1日廢止) | 法律 |
3 | 《網絡安全法》 | 全國人大常委會 | 2017年6月1日 | 法律 |
4 | 《刑法修正案(九)》 | 全國人大常委會 | 2015年11月1日 | 法律 |
5 | 《中華人民共和國消費者權益保護法》 | 全國人大常委會 | 2014年3月15日 | 法律 |
6 | 《全國人民代表大會常務委員會關于加強網絡信息保護的決定》 | 全國人大常委會 | 2012年12月28日 | 法律 |
7 | 《電信和互聯網用戶個人信息保護規定》 | 工業和信息化部 | 2013年9月1日 | 部門規章 |
8 | 《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 | 最高法、最高檢 | 2017年6月1日 | 司法解釋 |
9 | 《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》 | 最高法 | 2014年10月10日 | 司法解釋 |
10 | 《最高人民法院關于確定民事侵權精神損害賠償責任若干問題的解釋》 | 最高法 | 2001年3月10日 | 司法解釋 |
11 | 《關于做好個人信息保護 利用大數據支撐聯防聯控工作的通知》 | 中央網信辦 | 2020年2月4日 | 政策文件 |
12 | 《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》 | 中國人民銀行 | 2011年5月1日 | 政策文件 |
13 | GB/T 35273-2020《信息安全技術 個人信息安全規范》 | 國家市場監督管理總局、國家標準化管理委員會 | 2020年10月1日 | 國家標準 |
14 | 《檢察機關辦理侵犯公民個人信息案件指引》 | 最高檢 | 2018年11月9日 | 辦案指引 |
15 | 《互聯網個人信息安全保護指南》 | 公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所 | 2019年4月10日 | 參考性文件 |
大數據時代下,個人信息所涵蓋的范圍非常廣,健康信息是其重要組成部分。電子健康檔案的逐漸推廣和建立,第三方體檢中心和互聯網醫院的興起,在盡顯其便捷性、高效性、廣泛性和共享性優勢的同時,也造成了個人的健康信息在數據中心的海量堆積,這些信息在單次醫療活動結束后將何去何從?如何防止電子病歷所載的個人健康信息免受泄露的風險?怎樣準確把握作為信息所有權人[ii]的就診者、作為信息制作集成商、信息使用者的醫療機構之間的權利義務關系,進而充分利用電子病歷所承載的健康信息,最大限度挖掘其蘊含的公益和商業價值,在保護個人健康信息的同時發現新的效用增長點?以上問題已逐漸成為全社會共同關心的熱門話題。
二、 個人健康信息的現有保護路徑
鑒于立法的固有局限性和天然滯后性,目前尚未出現在全國范圍內全面規范與個人健康信息聯系最密切、同時也是最權威的電子健康檔案(包括但不限于家族病史、電子病歷、體檢報告、心理咨詢記錄、飲食偏好等)制作、保存和使用流程的法律文件(法律、行政法規或部門規章)。行權界限的模糊導致了社會效益的低下,無論是有權管理機關還是社會經營實體都在實踐中如履薄冰,個人健康信息相關行為的法律屬性懸而未決,尤其是在使用規制層面的法律真空,對于界定權屬關系、行為合規與否以及合法權益的切實維護均帶來了障礙,也在一定程度上造成了全社會從業人員的集體困惑。筆者曾與個人健康數據庫系統開發商、數據和系統維護服務商、民營或公立醫療機構以及各級衛健委相關管理人員等廣泛交流、探討過相關問題,權屬爭議和具體行為能力的這種模糊狀態已經實質抑制了各類社會主體對包括電子病歷在內的個人健康信息的合法收集、交互、使用、加工等的積極性,阻礙了新興數據經濟的發展。
受到行政主管部門高度關注和監管的醫療衛生領域因為涉及國計民生,向來面臨“法有禁止不可為,法無規定怕踩雷”的尷尬局面。對此,新頒布的《民法典》在其人格權編明確自然人的健康信息屬于個人信息的組成部分,并規定了個人信息處理的原則、條件和免責事由,侵權責任編明確指出醫療機構及其醫務人員泄露患者的隱私和個人信息或未經患者同意公開其病歷資料的,應當承擔侵權責任等,即《民法典》第1035條明確規定,處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,并符合下列條件:(一)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;(二)公開處理信息的規則;(三)明示處理信息的目的、方式和范圍;(四)不違反法律、行政法規的規定和雙方的約定。第1036條規定,處理個人信息,有下列情形之一的,行為人不承擔民事責任:(一)在該自然人或者其監護人同意的范圍內合理實施的行為;(二)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;(三)為維護公共利益或者該自然人合法權益,合理實施的其他行為。《民法典》第1226條也明確規定,醫療機構及其醫務人員應當對患者的隱私和個人信息保密。泄露患者的隱私和個人信息,或者未經患者同意公開其病歷資料的,應當承擔侵權責任。
因此,以《民法典》人格權編為概括性授權,以侵權責任編為禁止性兜底,《網絡安全法》《APP違法違規收集使用個人信息行為認定方法》為指導原則,以《醫療機構管理條例》《執業醫師法》《病歷書寫規范》等行業行政法規或規范性文件以及各級地方性監管或自律性文件為專業性指南的規范體系為我們構建出“電子健康檔案承載健康信息→健康信息屬于個人信息→個人信息應依法使用→非法使用或泄露個人信息應承擔法律責任”的邏輯鏈條、法律依據和實踐指引,原則上明確了個人健康信息的保護以及合法合規使用的基本路徑。
三、 個人健康信息的合理使用和規范建議
如前所述,電子健康檔案所承載的個人健康信息是依法重點保護的對象,由于就診者或其他被收集信息人(以下統稱“就診者”)與醫療服務機構、有權管理機關之間存在信息不對稱方面等現象,且就診者往往缺乏必要的自我保護意識和行為能力,所以立法設計和司法實踐均傾向保護處于弱勢地位的個人。在此背景下,醫療服務機構和其他經營性實體應注重電子健康檔案等承載個人健康信息的使用過程中的保護等合規性問題,緊守法律底線,避免承擔民事責任、行政責任甚至遭受刑事追究的法律風險。
我們認為,探索上述合規性問題的重點在于搭建現行有效法律框架下個人健康信息的合法使用流程。結合個人健康信息多維度、寬領域的呈現特點,即其價值不僅僅存在于就診者個人的單次醫療就診或治療活動中,還可被廣泛應用于醫學科研、教育和生產、經營等領域,如病理研究、新藥與醫療器械的研發與生產、臨床試驗、保險、輔助醫療產品調研和精準銷售等。因此我們傾向于將個人健康信息的使用分為非營利性使用和營利性使用兩類進行分別探討。
(一) 非營利性使用及規范建議
非營利性使用是指以國家安全、生物安全和社會公共利益為出發點,以促進全人類的健康為導向的合理善意使用。非營利性使用的核心要義在于對個人利益與社會利益之間進行平衡。在二者并未出現緊急性沖突時,我們應嚴格保障就診者的合法權利,只有經有效授權的主體在征得就診者的同意且不違反公開明示原則的前提下,才能在限定范圍內使用個人健康信息。
我們同時應注意到信息權利主體的同意也并非絕對前提,在個人利益需要迫切服從社會公共利益,且有法律、行政法規明文規定的情況下,經有效授權的主體可以未經就診者同意而使用起健康信息。《個人信息安全規范》即規定在與公共安全、公共衛生、重大公共利益直接相關的情形中,個人信息控制者收集、使用個人信息不必征得個人信息主體的授權同意,例如在防控新冠疫情的情景中,醫療機構或疾病預防控制機構有權依據《傳染病防治法》和國務院出臺的行政法規或相關決定,對公民的個人健康信息進行摸排調查、收集利用,進而采取必要的醫學治療和隔離措施。盡管如此,我們仍然建議相關有權組織或個人在收集獲取健康信息或使用其個人病歷時,明確加入相關條款或聲明以獲得有效授權,進而避免對個人隱私權產生不必要的侵害或引發社會分歧。
當然,相關機構在對個人健康信息進行非營利性使用的同時,亦應建議注意信息的脫敏化處理,隱去與使用目的無關的敏感信息,保證敏感信息無法被準確地逆推出進而精確識別出信息所有者的身份信息,妥善處理好隱私保密性與數據可用性的矛盾關系,切實保護個人健康信息所有權人的隱私權,并明確若實施侵權行為的相應法律后果以及制定可執行的操作細則。
(二) 營利性使用及規范建議
由于眾多營利性的醫療服務機構掌握數量龐大的個人健康信息,在數據即價值的時代,對海量健康信息的大數據分析后投入商業運用是不少該等營利性醫療機構或生命科學技術或服務經營實體寄以厚望的重要新增盈利點。為了防止出現道德、倫理以及法律風險,我們建議個人健康信息的營利性使用應重點加強如下幾點:
1. 應在事先征得就診者的同意。為了降低引發糾紛的風險,最好使用書面形式(如個人健康信息使用告知書、個人健康信息使用知情同意書),并在顯要位置標明關鍵條款。
2. 制定并公開內容清晰、明確的個人健康信息使用規則,避免出現模糊的概括性用語,更新隱私政策時應使用醒目、便捷的方式提醒閱讀。
3. 向就診者明示使用個人健康信息的目的、方式和范圍,確保做到相關信息會經專業的保密和脫敏處理。
4. 在涉及較稀缺的個人健康信息或需要就診者做出更深入的信息披露時,可以考慮適當給予一定的補貼或報酬,以符合民法領域等價有償的一般性原則。
5. 個人生物識別信息(如有)與個人身份信息應分開儲存,應妥善保存好個人電子健康檔案等相關載體,不得以遺失毀損作為免責事由;未經同意不得公開,不得超越合理范圍使用。
6. 完善組織內控制度,即從企業管理的角度保護好就診者的健康信息,包括有關個人健康信息使用的操作審批流程、建立個人健康信息安全評估制度、外部人員訪問制度、應急預案制度、安全意識宣傳教育制度等。
四、結語
值得一提的是,全國人大常委會已將《個人信息保護法》的制定列入下一步的主要工作中[iii],這將成為我國法律體系中第一部系統規定個人信息保護的專門性法律。我們期待并相信其能早日問世,和現行法律一道推動個人健康信息的規范化使用,成為我國在醫療領域全方位高速發展必不可少的底層代碼之一,我們也將持續關注這一領域的最新實踐。
參考文獻:
1、鄧勇律師、潘燁桐律師,個人信息保護——互聯網時代下企業合規重點,微信公眾平臺:錦天城律師事務所,2019。
2、史軍律師、陳文昊律師、馮欣律師,權利保護與公共利益平衡——新冠肺炎疫情期間個人信息合規所面臨的問題與挑戰,微信公眾平臺:錦天城律師事務所,2020。
3、李春光.論電子病歷中的個人信息保護[D].重慶:重慶大學碩士論文,2009:P37 。
[i] 分別來源于:https://www.cn-healthcare.com/articlewm/20180809/wap-content-1031232.html;https://www.cn-healthcare.com/articlewm/20180822/wap-content-1031942.html;http://news.eastday.com/eastday/13news/auto/news/society/20180115/u7ai7344364.html,最后訪問時間:2020年6月2日。
[ii] 該表述來自于“焦雅輝:電子病歷信息所有權歸患者 任何人和機構無權擅用”,http://health.people.com.cn/n1/2019/0322/c14739-30989227.html?from=groupmessage&isappinstalled=0,最后訪問時間:2020年6月2日。該說法雖未得到現行法律的直接支持,但對此爭議較小,為方便理解,筆者在此借用。
[iii] 全國人大常委會工作報告:將制定個人信息保護法,http://www.thepaper.cn/newsDetail_forward_7550677,最后訪問時間:2020年6月2日。
