醫療健康檔案中的隱私保護

高子云 李健

北京工業大學計算機學院 北京 100124

0 前言

近年來醫療健康檔案信息資源開放利用的力度逐漸加大，醫療健康檔案利用中的問題也日漸突出，其中公民的隱私保護問題更是醫療衛生界和法律界共同關注的課題。醫療健康檔案的開放既要維護每一個社會利用者的利用權，又要保護健康檔案形成者和隱私關聯人的隱私權。唯有協調醫療健康檔案利用者與形成者之間的權利沖突，才能使醫療健康檔案開放利用工作順利進行。同時，醫療健康檔案所記錄的內容具有隱私性，它是記錄隱私的載體。因此，如何妥善處理好利用醫療健康檔案為醫療衛生服務和保護醫療健康檔案主體的隱私權的這一組矛盾，是區域衛生信息系統中開展檔案信息服務工作的主要任務之一。

1 醫療健康檔案的概念

1.1 基本概念

醫療健康檔案是居民健康管理(疾病防治、健康保護、健康促進等)過程的規范、科學記錄。是以居民個人健康為核心，貫穿整個生命過程，涵蓋各種健康相關因素、實現多渠道信息動態收集，滿足居民自我保健和健康管理、健康決策需要的信息資源。

“病歷”是醫療機構對門診、住院患者(或保健對象)臨床診療、指導干預的衛生服務工作記錄。醫療健康檔案與“病歷”既有區別、更有聯系?！安v”是醫療健康檔案的主要信息來源和重要組成部分，醫療健康檔案對“病歷”的信息需求并非“病歷”的全部，具有高度的目的性和抽象性。

1.2 基本內容

根據國家 2009年發布的《健康檔案基本架構與數據標準(試行)》，醫療健康檔案的基本內容主要由個人基本信息和主要衛生服務記錄兩部分組成，如圖1所示。

1.2.1 個人基本信息

包括人口學和社會經濟學等基礎信息以及基本健康信息。其中一些基本信息反映了個人固有特征，貫穿整個生命過程，內容相對穩定、客觀性強。主要有：

（1）人口學信息：如姓名、性別、出生日期、出生地、國籍、民族、身份證件、文化程度、婚姻狀況等。

（2）社會經濟學信息：如戶籍性質、聯系地址、聯系方式、職業類別、工作單位等。

（3）親屬信息：如子女數、父母親姓名等。

（4）社會保障信息：如醫療保險類別、醫療保險號碼、殘疾證號碼等。

（5）基本健康信息：如血型、過敏史、預防接種史、既往疾病史、家族遺傳病史、健康危險因素、殘疾情況、親屬健康情況等。

（6）建檔信息：如建檔日期、檔案管理機構等。

1.2.2 主要衛生服務記錄

醫療健康檔案與衛生服務活動的記錄內容密切關聯。主要衛生服務記錄是從居民個人一生中所發生的重要衛生事件的詳細記錄中動態抽取的重要信息。按照業務領域劃分，與醫療健康檔案相關的主要衛生服務記錄有：

（1）兒童保?。撼錾t學證明信息、新生兒疾病篩查信息、兒童健康體檢信息、體弱兒童管理信息等。

（2）婦女保?。夯榍氨＝》招畔?、婦女病普查信息、計劃生育技術服務信息、孕產期保健服務與高危管理信息、產前篩查與診斷信息、出生缺陷監測信息等。

（3）疾病預防：預防接種信息、傳染病報告信息、結核病防治信息、艾滋病防治信息、寄生蟲病信息、職業病信息、傷害中毒信息、行為危險因素監測信息、死亡醫學證明信息等。

（4）疾病管理：高血壓、糖尿病、腫瘤、重癥精神疾病等病例管理信息，老年人健康管理信息等。

（5）醫療服務：門診診療信息、住院診療信息、住院病案首頁信息、成人健康體檢信息等。

1.3 系統架構

健康檔案的系統架構是以人的健康為中心，以生命階段、健康和疾病問題、衛生服務活動(或干預措施)作為三個緯度構建的一個邏輯架構，用于全面、有效、多視角地描述健康檔案的組成結構以及復雜信息間的內在聯系。通過一定的時序性、層次性和邏輯性，將人一生中面臨的健康和疾病問題、針對性的衛生服務活動(或干預措施)以及所記錄的相關信息有機地關聯起來，并對所記錄的海量信息進行科學分類和抽象描述，使之系統化、條理化和結構化。

健康檔案的三維系統架構如圖2所示。

圖2 健康檔案的三維系統模型

2 醫療健康檔案的特點

由醫療健康檔案所包含的基本內容可以看出，它包含的信息遠大于傳統的健康檔案，并且是一個連續的動態過程記錄。它主要記錄人一生的生理健康、精神健康或與健康狀況相關的信息。其內容主要包括每個人的生活習慣、既往病史、疾病診療情況、家族病史、歷次體檢結果等。由此可見醫療健康檔案的信息具有特殊性，主要表現在：(1)人身專屬性。健康檔案中記錄、儲存的信息與特定的個人不可分割，其記錄的是一個人成長過程中所有健康衛生信息；(2)敏感性。健康檔案中的信息包含既往病史、生理狀況等，特別是涉及有傳染、艾滋、精神等特殊疾病的，關乎人最私密的東西，極具敏感性；(3)安全保密性。健康檔案中的信息具有個人標識，隱私性強，一旦泄露將對個人生活發展造成巨大影響，需要加強保密。

3 醫療健康檔案中的隱私保護

3.1 醫療健康檔案所涉及的隱私保護問題

在區域衛生信息系統中，醫療健康檔案通過互聯網以電子數據形式加以儲存和利用。然而從醫療健康檔案的基本內容及特點可以看出，其中記錄的健康衛生數據信息在被利用的同時，其隱私權很容易受到網絡上其他主體的侵犯，表現為：(1)健康信息征集中侵權。如政府部門的相關機構為收集公民健康信息進行公共健康分析和科學研究，未經當事人同意，且收集的信息可能片面、錯誤，產生與當事人真實情況不符的現象；(2)健康信息管理中的侵權。表現為信息機構工作人員不當泄密，擅自在網上公布、宣揚當事人的健康信息隱私；網絡傳輸系統安全措施有漏洞而泄密，不及時更新信息，錯誤信息不更正，不良信息經過法定期限不刪除，使健康信息主體受到不必要的傷害等；(3)健康信息使用中的侵權。對個人信息使用超出原定目的，尤其是商業機構對個人信息的濫用。

3.2 醫療健康檔案中隱私保護的主要措施

醫療健康檔案中涉及的健康信息是應當作為個人隱私權加以保護的?！鞍凑彰绹嘘P法律的規定，凡與任何私人有關的，對其所有的群體而言并沒有必然的實質性利害關系的所有數據資料都屬于個人隱私權的對象。為此，任何利用計算機系統收集、存儲、控制及使用與私人有關數據資料者，都有可能構成對私人隱私權的侵害”。隱私首先是指可以有所隱瞞，即個人可以在不妨害社會公共利益和他人合法權益的前提下，依照自己的意愿決定隱瞞某些信息；其次，隱私權所指隱瞞的內容是私人信息、私人事務、私人領域。在信息技術高度發達的今天，消極被動地隱瞞已經難以抵御侵犯，隱私權應當具有積極的權能，即對私人信息、私人事務、私人生活領域的支配和控制。個人醫療信息的公開與隱私保護的沖突，歸根結底是私人生活與社會生活之間界限的劃分和個人利益與公共利益的協調。公與私的聯系、區分、協調、平衡涉及到一系列微妙而復雜的問題。要解決這些問題，可以通過法律手段和技術手段來實現。

3.2.1 通過法律手段實現醫療健康檔案中的隱私保護

目前，我國保護患者隱私的法律、法規還存在著以下問題：(1)內容缺乏系統性，規定十分抽象，缺乏可操作性；如醫患關系中隱私的概念不清楚，對患者所具有的隱私范圍也沒有立法解釋。實踐中也存在著對隱私范圍的理解過于狹窄的問題，如只把與性有關的病情視為隱私信息；(2)對隱私權的侵害缺乏明確和嚴厲的法律責任的規定；(3)把隱私權混同于名譽權等，這些都弱化了對患者隱私權的保護。我國立法也沒有界定公共利益的具體范圍，使醫療機構有機會假借公共利益之名，行侵害患者隱私而為自己謀取私利之實。如實踐中便發生以宣傳計劃生育為名披露患者結扎手術過程的侵權行為，以宣傳防止近親結婚而披露患者肖像的行為，還有為宣傳性病、艾滋病防治而侵犯患者隱私的案例。由此可見，我國的這種隱私保護只是概括、宣言式的，缺少具體、可操作的規定，并不能有效的起到保護個人信息資料隱私的作用。因此對于醫療健康檔案中信息隱私的保護很難尋找到相關的法律依據。雖然我國信息化進程落后于歐美發達國家，但在科技高速發展的今天，各種個人信息資料正在被廣泛的收集和使用，特別是以個人健康信息為內容的醫療健康檔案正在建立中。對此，我國在確立隱私權的獨立人格權法律地位之后，還應當積極制定個人信息保護專門立法。

國外設有專門的電子健康檔案數據保護的立法規范，有關電子健康檔案的數據保護被納入數據保護的法令中。如《歐盟數據保護指令》中特別提出了敏感信息資料的概念，其第8條規定：有關種族、血緣、政治傾向、宗教或哲學信仰、工會員工、健康或性生活等敏感信息原則上禁止處理。信息的處理必須經主體的明示同意。主體為合同一方的，為履行合同或依申請可以對信息進行處理。信息資料的管理者為了履行法定義務，保護當事人的重大權益或為履行公共利益性事務可以對信息作以處理，但這些處理都不得危害當事人自由與基本人權。美國《健康保險移轉和責任法》，及其隨后公布的隱私規則規定了對個人健康信息隱私的保護。規則指出，所謂受保護的健康信息主要指以任何形式和介質保存或傳遞的可識別的個人健康信息。對此信息，病人有權取得信息記錄，而且可以對此記錄檢查和復制。如果記錄有錯誤，病人還可以對其進行修正。健康服務者或健康計劃組織對這些健康信息采取任何措施時都必須書面通知病人，若要公布這些信息則還要征得病人同意，病人有權對公布信息的行為作出限制。但是，在法律有特別要求，為病人健康治療考慮或在緊急情況下使用健康信息可以不經病人同意。英國的《數據保護法》中對健康衛生信息保護也有所涉及。其規定，宗教信仰、政治傾向、種族、血緣、健康、基因、性生活等資料往往直接關乎個人最隱秘的領域，皆屬于敏感信息，這些信息明顯涉及到個人極其私密的領域，而且往往與就業、個人評價密切聯系，非常敏感，故應當給予嚴格保護。

鑒于我國隱私權保護現狀的不完善，應參照國外的做法，出臺對個人數據信息保護的相關立法，在合理利用個人信息和信息隱私權保護之間尋求適當平衡。特別是對醫療健康檔案中較為敏感的個人信息在保護時更應予以注意。對個人健康這類敏感信息應予以特別規范，原則上禁止數據管理人處理。對數據信息當事人賦予特定的權利；如查詢的權利；更正、刪除或封存個人信息資料的權利，拒絕的權利等，以區別于其他信息隱私的保護。在發揮健康檔案高效、便捷作用的同時，合理保護患者個人信息，達到既注重個人對其健康信息資料的自由意志，又強調對隱私的保護不應當成為阻礙個人信息合理流動的障礙。

3.2.2 通過技術手段實現醫療健康檔案中的隱私保護

在信息化時代，醫療健康檔案中健康信息的機密性不僅受到不正當地接觸、儲存信息的威脅，也面臨在信息傳輸過程中被截取、篡改的危險。信息安全是有效保護隱私權的技術前提和保障。為保守國家，醫院和用戶秘密，維護用戶的合法權益，實現健康檔案的醫療系統平臺的網絡，主機，存儲備份設備，系統軟件，應用軟件等各部分都應該具有極高的可靠性。數據中心應通過一定技術手段來實現良好的安全策略，安全手段，安全環境及安全管理措施。

為從技術上實現醫療健康檔案中的隱私保護，可采取以下服務來提供保護患者隱私和各區域衛生管理機構實施安全與隱私政策所需的功能。

（1）匿名化服務：這些服務保護患者的隱私和安全，確保在信息平臺中以及提供正常醫療服務以外的(例如醫療保險、管理、以及某種形式的研究)傳遞中使用的患者資料不向非授權用戶透露患者的身份。

（2）許可指令管理服務：許可指令管理服務轉換由立法、政策和個人特定許可指令帶來的隱私要求，并將這些需求應用到區域衛生信息平臺環境中。在提供訪問健康檔案或經過區域衛生信息平臺傳輸健康檔案之前，這些服務應用于健康檔案以確定患者或個人的許可指令是否允許或限制健康檔案的公開。這些服務還允許信息平臺用戶管理患者/居民的特定許可指示，例如根據法律法規的需要和允許，阻止和屏蔽某一醫療服務提供者訪問健康檔案或者在緊急治療情況下不經許可直接開放健康檔案。

（3）身份保護服務：這項服務將一個患者或居民的身份解釋為一個健康檔案標識符?；颊呋蚩蛻敉ǔＳ梢粋€如社?？ㄌ柎a的通用標識碼來標識，這樣的卡號關聯到每個包含健康檔案標識域中的健康檔案標識符。健康檔案標識符是一個受保護信息，只有交換層之上平臺系統才能知道。

（4）數字簽名服務：數字簽名由醫療衛生應用程序的用戶創建，以確保臨床數據的不可否認性，這樣的臨床數據如：數據文件、報告、記錄中的字段域、安全聲明、XML文檔，包括被轉換為XML文檔的HL7消息或對象中的元素。這項服務在生成簽名之前先驗證數字證書沒有被撤銷。

（5）加密服務包括：密鑰管理服務：創建和管理數據存儲的加密密鑰；數據庫加密服務：加密和解密數據庫表中的數據字段(列)和記錄(行)以保護健康檔案以及信息平臺中處于使用狀態的其它保密的關鍵系統數據；數據存儲加密服務：加密和解密文件和其它數據塊，用于保護在聯機存儲、備份或長期歸檔中的數據。

（6）一般性安全服務包括：掃描惡意程序，保護免受侵害；安全備份/恢復數據；資料歸檔；數據安全銷毀。

（7）身份管理服務：這些是面向更高層次服務提供的基礎服務，例如用戶注冊、認證、授權，其中包括用戶的惟一標識、查找用戶的標識，掛起/取消用戶訪問權。

（8）訪問控制服務：這些服務確定對信息平臺應用功能的基于角色的訪問權限。這些服務還提供配置和管理用戶及角色訪問功能和數據的授權。

（9）安全審計服務：這些服務提供對每個事務所涉及到的系統、用戶、醫護工作者、患者/居民、健康數據等等的報告功能。這些服務對于滿足其他業務需求，如系統管理、事務監控、記錄重要的與隱私和安全有關的事件等，也是至關重要的。

（10）用戶認證服務：這項服務驗證用戶的身份。這項服務是在執行醫療衛生應用與區域衛生信息平臺之間的事務的場景下被調用，以驗證參與事務用戶的合法性。

4 結束語

我國的醫療健康檔案在信息技術支持下，伴隨社區衛生服務的發展會被予以更多關注。然而，我們更應對由健康檔案所產生的隱私保護方面的問題予以重視。醫療信息行業需要在這些方面繼續努力，政府應加強信息安全技術開發的投入，并且應該逐漸建立和完善針對醫療健康檔案的相關制度，使得健康信息主體的隱私權得到更好的保護。

[1]朱瑩,金凌紫.醫院信息系統安全性需求分析與總體設計初探[J].算機系統應用.1998.

[2]衛生部.《健康檔案基本架構和標準》(試行).2009.

[3]田侃.關于醫療活動中患者的隱私權[J].上海市政法管理干部學報.1999.