美國病人隱私權法探析
——兼論對我國立法的啟示

劉 愷

(荷蘭 伊拉斯姆斯鹿特丹大學 衛生政策與管理研究所)

一、美國病人隱私權立法概述

20世紀90年代后，美國醫療模式由早期的“直接付費”(fee－for service system)型模式(這是一種早期而普遍的醫療模式，即病人前往醫院就診，在接受完畢醫療服務后，直接付費。這種模式下，病人，往往只前往一名醫生處就診，并且不需要參加任何醫療保險項目，因而不涉及醫療保險提供方的保險公司)，演變到“管理醫療”型(mananged care system)模式(此種模式下，病人需要首先參加某種醫療保險或醫療計劃，然后才能接受醫療服務——緊急情況除外。醫療保險和醫療計劃有專門的提供方——保險公司。病人就診時，會出現先后就診于保險公司信息庫中所列出的數位醫生的情形。同時，在就診完畢后，醫療機構將病人接受醫療服務的記錄反饋給保險公司，以便病人從后者處獲得補償，因而這種模式所涉及的主體延伸到保險公司)。前一種模式下，病人隱私信息只在醫患雙方之間傳遞，而后一模式則給病人和醫生(醫院)之外的第三方提供了接觸、了解醫療記錄的機會和途徑。此外，到了本世紀80、90年代，由于計算機的大規模應用和普及，醫院相繼建立電子醫療信息系統(Electronic Medical Records，簡稱EMRs，是傳統紙質記錄的電子化版本)。

具體而言，EMRs中的醫療信息包括病人病情記錄、藥物清單、治療計劃，以及其它相關信息。誠然，EMRs有效地減少了醫療成本，降低醫療事故發生的概率，且極大提高了醫療行為的準確性，［1］但客觀上令病人的醫療信息變得容易獲取，同時導致了獲取地點的多樣化。這就迫切需要立法及時跟進，以便在新形勢下仍然能有效保護病人隱私權。肇于20世紀初的美國病人隱私權保護法隨著時代的變遷不斷進行革新。90年代之后，隨著EMRs的普及，立法機關因時制宜，不斷推出新的立法，從而促使病人隱私權立法逐漸具備了完善、全面、協調的法律框架。其中蘊含的立法水平也居于世界領先地位?？傮w而言，美國病人隱私權立法主要包括:主干法——枝葉法——補充法的體系結構。即主要以《健康保險隱私及責任法》為主干，以《個人健康信息隱私國家標準》、《衛生信息技術促進法》、行業性規章為枝葉，以《公共衛生服務法》、《病人保護與可承擔醫療法》和《全面預防酒精濫用和酒精中毒以及治療和康復法》為補充的傘狀立法體系。

二、美國病人隱私權立法

(一)主干法——《健康保險隱私及責任法》

前述提到，美國醫療模式在90年代時發生了巨大變革，同時EMRs得到了廣泛普及。在新技術背景下，美國病人隱私保護領域對一部基本立法的需求就越發明顯。有鑒于此，1996年8月21日，美國國會通過了《健康保險隱私及責任法》(Health Insurance Portability and Accountability Act，簡稱HIPAA)，由總統克林頓于當年年底簽署生效。該法旨在建立保護病人隱私的法律框架和法律標準，提升整個衛生行業的標準化水平。HIPAA明確規定了侵犯隱病人隱私行為人應面臨的法律責任，徹底改變了醫護人員處理在醫療實務所獲信息的方式。［2］HIPAA是美國病人隱私權立法的主干法，是基于EMRs普及而推出的立法。鑒于HIPAA一方面構筑了保護病人隱私的法律依據，包括傳統領域的隱私保護和在EMRs背景下的新型隱私保護，另一方面替代或改進了其它立法中的相關內容，加之《個人健康信息隱私國家標準》等枝葉性立法的制定和實施均立足于HIPAA，屬于HIPAA中有關條款的配套立法和細化立法，因而，HIPAA是美國病人隱私權法的主干法，是保護病人隱私權的基石。HIPAA通過之后，歷經幾次修改，最近一次是通過2009年奧巴馬總統簽署生效的《美國復興與再投資法》(American Recovery and Reinvestment Act of 2009，簡稱ARRA2009)實現的。ARRA2009將受該法規制的企業所屬的商業合伙人(Business Associaties)也納入到HIPAA的適用范圍之中(該法規定商業合伙人須遵守HIPAA中的以下相關規定:(1)安全政策與培訓;(2)工作場所安全保障(3)技術安全保障(如計算機加密和密碼保護等);如果商業合伙人違反以上規定，泄露了病人的隱私信息，將視情節輕重被處以100－50000美元罰款。這里的情節主要是取決于兩點因素:第一，泄露隱私信息的重要性;第二，違法主體是否具備避免隱私信息泄露的能力)。

1.《健康保險隱私及責任法》確立的法律制度

HIPAA主要確立了以下幾項法律制度:第一，“知情同意(informed content)”制度，即為了確保病人的醫療隱私信息始終處于安全狀態，其他主體在沒有得到病人的明確同意前，不得披露、公開或泄露病人的醫療隱私信息。當然，這一制度也并非絕對，立法同時規定了例外情況:在涉及治療、付款以及衛生保健實務時，受該法規制的主體可以在未經病人明確許可或是病人明確表示反對的情況下，使用或披露受保護的健康信息;［3］第二，管理簡化(Administratieve Simplification)制度，簡稱AS制度。HIPAA規定，在醫療信息的電子傳輸和編碼(Electronic Transaction and Code Sets Standards Requirements)領域應當制定統一標準，在電子衛生保健交易領域也應當建立國家標準，以便實現數據兼容。此外，AS制度還要求制定針對健康保險提供方、健康保險計劃以及雇主三者的國家標識(National Identifier)。［4］AS制度客觀上簡化了醫療信息管理，提高了醫療機構以及其它相關主體處理醫療信息的效率。由于HIPAA是在其第二部分(Part II)對AS制度作出了規定，因此HIPAA的第二部分也被稱作AS條款。第三，病人的醫療記錄查看權制度。根據HIPAA，病人有權在任何時候查看他們的醫療記錄。病人查看權制度保證了病人對自己醫療記錄內容的知情權。但是，查看權的內容不僅局限于此，法律進一步規定，如果病人發現醫療記錄信息有誤，有權要求改正錯誤信息，這客觀上確保了醫療信息的正確性。第四，最小化程度披露制度。HIPAA規定，有關主體搜集、使用、披露信息時，在滿足其目的條件下，應該以最小化程度的方式實施上述行為，也即涉及的信息量盡可能地最少化，對病人的影響盡可能地最小化。這一制度旨在有關主體所接觸的病人隱私信息只局限于治療行為(或者在法律所允許的情況下進行科學研究行為)所必需的信息，不對與上述目的無關的病人的其它隱私信息進行窺探。

2.HIPAA的立法優缺點

HIPAA提供了一個新型隱私權保護法律框架，創新地規范了衛生保健服務提供方及其服務提供方式。［5］另外，HIPAA沒有強制性地要求各州按照聯邦模式來統一隱私立法，而是為各州設定了一個隱私權保護措施的法律底線，這就給各州留下充足的空間從而根據其實際情況進行立法，同時又有力地保障了全國的病人隱私權保護水平。盡管如此，但是HIPAA適用范圍不夠廣泛，有待后續立法改進。

理論上講，作為病人隱私權領域的主干法，HIPAA的適用范圍應該涵蓋所有接觸到病人隱私信息的主體，因為這些主體在隱私權關系中處于主導地位，［6］對病人隱私信息的影響起著關鍵作用。然而實際上，HIPAA的適用范圍并非包含全部掌握有病人隱私信息的單位和個人。例如，制藥企業、公共衛生機構等就不受HIPAA的規制，［7］而這些單位在藥物研發或是公共衛生管理過程中往往能夠獲取并掌握大量病人的醫療信息。適用范圍非廣泛性給部分主體規避法律適用提供了可乘之機，更為嚴重的是，適用范圍不夠廣泛客觀上會削弱病人隱私權保護的水平，帶來了不受規制的主體肆意侵犯病人隱私信息的可能性。

(二)枝葉法

在美國的病人隱私權法律體系中，主干法占有基礎性規范的作用，而枝葉法則具有細化、支持主干法的作用。同時枝葉法的內容不拘泥于固定的法案中，而是多散見于相關的法律、法規、規章、行業規章之中。

1.《個人健康信息隱私國家標準》

2000年12月28日，衛生與人力服務部(Department of Health and Human Services，簡稱DHHS)頒布《個人健康信息隱私國家標準》(National Standards for Privacy of Personal Health Information)，適用于由任何醫院、健康計劃執行機構、健康保險機構以及醫療健康咨詢機構(Healthcare Clearinghouse)保管的醫療信息和個人健康信息。這套標準規范了任何主體披露醫療信息和個人信息的行為，另外還規定病人有權獲取醫療記錄信息以及曾經獲取過該信息的人員名單信息。作為聯邦層面的國家標準，其規定了各州應該履行的最低標準，與此同時，鼓勵各州制定更嚴、更高的標準。

《個人健康信息隱私國家標準》主要規定了以下三部分內容:第一，書面隱私信息規定。這部分規定了有權獲取受保護的信息的主體范圍，此類信息的使用范圍，以及可向其他主體披露此類信息的條件和禁止披露的情形。第二，有關對醫療從業人員進行培訓的規定。這部分規定旨在確保從業人員了解隱私保護程序以及執法主體。第三，申訴程序，也即病人申請關于其隱私記錄的調查、投訴程序。

2.《衛生信息技術促進法》

美國參議院于2006年7月通過了《衛生信息技術促進法》(Health Information Technology Promotion Act，簡稱HITPA)，該法旨在促進全國的醫療衛生單位全面采用EMRs系統。HITPA同時規定了全國和各州執法機關有義務提升衛生信息技術的水平，保護隱私信息的安全。［8］國會在2009年對該法進行了修改，增加的條款規定，有關立法機關和職能部門在職權范圍內對相關法律進行修改，對醫療衛生機構進行整合，從而促進醫療信息技術的使用。這其中就包括醫療信息的安全保障技術。HITPA在法律層面確定了適用先進技術時保障醫療信息安全性的要求。

3.帶有保護病人隱私權的行業規章

一些行業規章帶有保護病人隱私的內容，如《美國醫療協會規章守則》(American Medical Association Code)、《希波克拉底誓言》(Hippocratic Oath)、《美國護士協會道德守則》(American Nurses Association’s Code of Ethics)、《美國醫院協會病人權利條例》(American Hospital Association’s Patient’s Bill of Rights)，以及美國醫師學會(American College of Physicians)的內部規章制度。這些行業規章都規定了從業人員保護病人隱私的義務和標準。然后，由于對于從業人員是否加入各自協會并不存在強制要求，因此，未加入行業協會的從業人員沒有義務遵守行業規章，因而其強制效力并不具有普遍性。

(三)補充性立法

補充性立法并非直接針對病人隱私領域，其主要立法目的往往在于調整其它社會關系，但其中的某一或某幾個條款涉及到了病人隱私保護。這些條款對病人隱私權法律體系起到了補充作用。補充性立法是病人隱私權立法體系不可或缺的部分，是處理交叉領域中涉及病人隱私問題的法律依據。

1.《公共衛生服務法》

《公共衛生服務法》(Public Health Service Act，簡稱PHSA)歷史較為久遠，于1944年獲得國會通過，是適用于美國全境的聯邦立法。其歷經多次修改，且被收錄進《美國法典》第42編第6章第一部分。PHSA的(42 USC§300kk－Data collection，analysis，and quality)第一條第三款規定，衛生信息技術協調機構(National Coordinator for Health Information Technology)具有以下職責:(1)制定數據管理標準;(2)開發數據管理兼容和安全系統。這一規定客觀上要求相關部門制定保護公共衛生數據管理標準，保障了相關數據的安全性。這其中就包括病人醫療信息的數據。

2.《病人保護與可承擔醫療法》

《病人保護與可承擔醫療法》(Patient Protection and Affordable Care Act，簡稱PPACA)由現任總統奧巴馬于2010年3月23日簽署生效，是奧巴馬政府醫療立法改革的主要成果之一。其立法目的在于保障未參加企業或政府資助的醫療計劃的公民有權獲得基本健康保險。與此同時，PPACA涉及了其所適用客體的醫療隱私保護的問題。鑒于該法適用于低收入群體，保障其享受基本的醫療保險，因此其規定，醫療保險代理人(agents)及其經紀人(brokers)應當接受有關如何妥善處理被保險人的納稅信息、醫療信息以及其它個人信息的培訓，且受相關隱私安全標準的約束。

3.《全面預防酒精濫用和酒精中毒以及治療和康復法》

1970年制定的《全面預防酒精濫用和酒精中毒以及治療和康復法》(Comprehensive Alcohol Abuse and Alcoholism Prevention，Treatment and Rehabilitation Act of 1970)旨在應對日益增長的酒精濫用和酒精中毒問題，并建立預防、治療、康復的聯邦法律框架。其中的第三條第三款規定，執法主體有權要求聯邦部門或機構提供相關信息，以便執法主體履行職責。但是，聯邦部門或機構提供相關信息的行為不得違反醫療記錄隱私方面的法律法規。這一規定起到了在防治酒精濫用和酒精中毒領域中保護病人隱私的作用。

三、對中國病人隱私權立法的啟示

我國涉及病人隱私權立法主要包括:有關法律，如《精神衛生法》、《食品衛生法》、《國境衛生檢疫法》、《傳染病防治法》、《職業病防治法》、《母嬰保健法》;有關行政法規，如《全國醫院工作條例》、《婦幼衛生工作條例》;以及一些司法解釋，如1993年8月7日公布的《最高人民法院關于審理名譽權案件若干問題的解答》的第七條第三款(該款規定:“未經他人同意，擅自公布他人的隱私材料或以書面、口頭形式宣揚他人隱私，致他人名譽受到損害的，按照侵害他人名譽權處理。”)，1998年7月14日公布的《最高人民法院關于審理名譽權案件若干問題的解釋》第八條(該條規定:“醫療衛生單位的工作人員擅自公布患者患有淋病、梅毒、麻風病、艾滋病等病情，致使患者名譽受到損害的，應當認定為侵害患者名譽權”，“醫療衛生單位向患者或家屬通報病情，不應當認定為侵害患者的名譽權?！?。雖然較之以往，立法上有了明顯進展，但是依然存在法律體系較雜亂、不完整、缺乏統一性，受保護的醫療信息范圍過窄，EMRs立法缺位等問題。美國病人隱私權法歷經長時間的發展，形成了包含主干法、枝葉法、補充法三個層級的完整、全面、協調的立法體系。美國的立法經驗對解決中國病人隱私權立法存在的問題有著顯著的借鑒意義。

1.構建完整的病人隱私權法體系

我國尚未建立起完整的病人隱私權立法體系。如前所述，法律對病人隱私權的規定，散見于法律、行政法規以及司法解釋之中，其內容龐雜，缺乏銜接性、統一性。［9］因此，我國應該借鑒美國的立法經驗，切實推進立法、修法進度，從而構建完整、全面、統一、協調的病人隱私權立法體系。首先，我國需要制定一部統帥病人隱私權立法體系的主干法?，F行的病人隱私權立法中主干法的缺失在客觀上削弱了現行體系的統一性，使得其它立法無法遵循共同的立法思路和價值。及時制定一部主干法，有利于病人隱私權法律體系完善化、協調化和統一化。其次，提高枝葉法、補充法對病人隱私權法的細化作用和補充作用。現行立法體系內法律、行政法規、司法解釋在內容上相互沖突，［10］起不到應有的細化作用和補充作用。因而國家立法機關應該推進現行法律的修改進程，消除病人隱私權立法中的不和諧因素，確保枝葉法和補充法對病人隱私權立法體系能夠起到應有的細化作用和補充作用。

2.擴大病人隱私信息的范圍

從HIPAA、《個人健康信息隱私國家標準》、《病人保護與可承擔醫療法》等幾部立法中不難發現，美國病人隱私權保護法所保護的隱私信息已經不僅僅局限于傳統意義上的醫療記錄，而是進一步包含了更為廣泛的隱私信息，如健康計劃參與者的名單、保健計劃的資格證書、付款證明、傷害申報記錄，還包括其它“可辨認出病人身份的隱私信息(privacy of individually identifiable health information)”［11］。這充分表明了美國立法中病人隱私信息的廣泛性。病人隱私信息的廣泛性保證了法律對該權利的全面保護。反觀我國立法，直接涉及隱私信息范圍的是前述的《最高人民法院關于審理名譽權案件若干問題的解釋》第八條。其規定的隱私信息局限在淋病、梅毒、麻風病、艾滋病等病情信息。可以看出，我國病人隱私信息范圍過于狹窄，不利于法律對病人隱私權的全面保護。有鑒于此，我國立法有必要學習美國經驗，擴大病人隱私信息，將可以辨認出病人身份的隱私信息都納入到立法的保護范圍之中，擴大病人隱私信息的范圍。

3.制定針對EMRs的立法

如前所敘，EMRs有利于降低整個社會的醫療成本，使得病人隱私權主體能夠便捷地獲取隱私信息，如醫療記錄等，從而充分行使隱私權利。而且，隱私權主體可以在一定程度上及時了解到隱私信息是否侵犯，因此，醫療信息電子化是社會發展的必然趨勢。美國的HIPAA和《衛生信息技術促進法》等法律都扮演著促進EMRs的角色。同時，在立法層面對EMRs作出規定，也有利于在EMRs背景下對病人隱私信息的充分保護，避免因病人隱私信息的獲取地點多樣化造成的不法侵害。盡管如此，EMRs立法在我國的病人隱私權法律體系中基本處于空白狀態。有鑒于此，我國可以借鑒美國立法經驗，在病人隱私權立法體系中頒布有關EMRs內容的立法，填補這一領域的法律空白，以便應對將來的醫療信息電子化的普及。我國在建立有關EMRs立法時，也應該吸取美國立法的教訓，確保立法的適用范圍應該涵蓋所有接觸到病人隱私信息的主體，以便在新技術背景下，充分地保護病人隱私信息。

病人隱私權是病人享有的重要權利之一，是人權的有機組成部分。法律能否切實保護病人隱私權，關系著病人的人格利益能否實現。對美國的病人隱私權法的分析和研究，有利于加速我國立法進度，有利于我國立法水平的提升，有利于我國盡快構建起完整、全面、統一、協調的病人隱私權立法體系。

［1］Sarah S.Mir.HIPAA Privacy Rule:Maintaining the Confi dentiality of Medical Records.Health Care Compliance［J］.2011，(5).

［2］Kristin M.Gebbie.Privacy:The Patient＇s Right.Policy Persepective，2001，(06).

［3］參見 64 Federal Register 34，311，August 14，2002，sec.164.506a.

［4］參見美國醫療救護與醫療救助服務中心網站中的《HIPAA－總覽》一文.http://www.cms.gov/Regulations－

［5］and－Guidance/HIPAA －AdministrativeSimplification/HIPAAGenInfo/index.html?redirect=/HIPAAGenInfo/Choi，Y.B.，Capitan，K.E.，Krause，J.S.，＆ Streeper.Challenges associated with privacy in health care industry:Implementation of HIPAA and the security rules.Journal of Medical Systems，30(1)，57－64.

［6］達慶東，瞿曉敏，樊民勝.中外患者知情同意權的法律保護比較.衛生法學.2004，(2).

［7］Gostin，L.O.，＆ Nass，S.Reforming the HIPAA Privacy Rule.Safeguarding privacy and promoting research.Journal of the American Medical Association.2009，(05).

［8］詳見《衛生信息技術促進法》第27條

［9］孫瑞灼.衛生立法刻不容緩.中國社會保障，2009，(8).

［10］王慶榮.公共衛生法的法律關系.職業與健康，2007，(1).

［11］美國衛生與人力服務部作為HIPAA的執法主體，在其官方網站上明確提出了這一點。參見http://www.hhs.gov/ocr/privacy/