電子健康檔案中的患者權利：法律問題

瑪麗亞·阿布拉梅科 納澤亞·沙克爾 謝爾蓋·阿布拉梅科 陳華鋒

(1.白俄羅斯國立大學，白俄羅斯 明斯克 220030； 2.浙江樹人大學，浙江 杭州 310015)

隨著信息和通信技術的發(fā)展，醫(yī)療健康領域正在發(fā)生重大變革，出現(xiàn)了新的機遇和挑戰(zhàn)。越來越多的國家正在構建電子健康系統(tǒng)，其核心是醫(yī)院信息系統(tǒng)(Hospital Information System，HIS)和電子健康檔案(Electronic Health Record，EHR)。電子健康系統(tǒng)對社會的主要影響是它改變了醫(yī)務人員和患者之間的關系，這也是本研究的重點，即從患者權利的角度出發(fā)，評估電子健康系統(tǒng)的發(fā)展前景。本研究提出新環(huán)境下醫(yī)患關系的概念框架，并對患者數(shù)據(jù)保護進行闡述。

為了成功實施和運行電子健康系統(tǒng)，必須考慮國家的整體利益和醫(yī)療機構的利益。通過對眾多國家電子健康系統(tǒng)實施經(jīng)驗的分析發(fā)現(xiàn)，醫(yī)療機構、醫(yī)療服務提供者、醫(yī)務人員和患者等參與方的利益并未被充分考慮。各方在醫(yī)療信息系統(tǒng)中相互作用時，必須首先考慮患者的利益，只有在電子健康系統(tǒng)中考慮醫(yī)療供給總體結構，才能實現(xiàn)這一效果。例如，建立一個由國家擁有和運行的中心化的單一電子健康系統(tǒng)時，有必要為私營醫(yī)療機構提供使用該系統(tǒng)的可能。這很重要，原因包括患者可能希望傳輸、共享其數(shù)據(jù)，或者作出其他重要的醫(yī)療決定。若私營醫(yī)療機構和公共醫(yī)療機構完全獨立，而不能共享數(shù)據(jù)，將給患者帶來極大的不便。為實現(xiàn)醫(yī)療數(shù)據(jù)共享，有必要建立電子健康系統(tǒng)使用的統(tǒng)一標準，包括認證、數(shù)據(jù)輸入和數(shù)據(jù)訪問等。

醫(yī)療檔案個人數(shù)據(jù)保護因國而異。世界衛(wèi)生組織歐洲辦事處研究(53個國家中的47個參與調研)表明，歐洲各國在電子健康系統(tǒng)實施方面差異較大(1)Peterson C, Hamilton C, Hasvold P, From Innovation to Implementation: E-health in the WHO European Region, 2020-12-30, https://www.mendeley.com/catalogue/776fca67-b571-3a29-abf9-e8c0fbf47064/.。根據(jù)這項研究，截至2015年底，歐洲大多數(shù)國家都制定了國家健康計劃，為電子健康或信息通信技術在電子健康系統(tǒng)中的應用提供保障。具體而言，27個國家報告了電子健康檔案(EHR)的可用性，38個國家報告了遠程醫(yī)療(或其子項目，如遠程健康)的可用性，19個國家的電子健康檔案與藥房信息系統(tǒng)相連，如支持電子處方等。毫無疑問，如今電子健康領域信息通信技術應用水平更高，健康服務數(shù)字化程度也日益增長。

電子健康系統(tǒng)發(fā)展進程受到各國數(shù)據(jù)保護相關法律法規(guī)的影響，這些法律法規(guī)往往包括關于醫(yī)療數(shù)據(jù)保護的具體規(guī)定。目前，全球有100多個國家已經(jīng)通過了個人數(shù)據(jù)保護的相關法律。在中國，2017年6月1日正式生效的《中華人民共和國網(wǎng)絡安全法》規(guī)定，網(wǎng)絡供應商不得披露、偽造或銷毀其收集的任何個人信息。同年12月29日頒布的《信息安全技術個人信息安全規(guī)范》明確定義了與隱私相關的條款，并引入了許多重要的數(shù)據(jù)保護規(guī)定(2)Gong M C, Wang S, Wang L Z, et al., Evaluation of Privacy Risks of Patients’ Data in China: Case Study, JMIR Medical Informatics, 2020, No.2, e13046.。在歐盟，私生活權和相關自由被視為基本權利。1995年，歐盟頒布了第95/46/EC號指令，目的是為其成員國制定一套關于個人數(shù)據(jù)保護和在成員國之間自由移動這些數(shù)據(jù)的規(guī)定，并在隨后通過其他規(guī)章和條例作為進一步的補充。2018年5月25日生效的《通用數(shù)據(jù)保護條例》(GeneralDataProtectionRegulation，GDPR)建立了一套詳盡的個人數(shù)據(jù)保護制度，尤其強調敏感數(shù)據(jù)，包括健康數(shù)據(jù)(3)Data Privacy and Protection Relating to Healthcare in Europe, the United States and Brazil, 2020-04-30,https://www.lexology.com/library/detail.aspx？g=99b83b76-3f2f-4b23-a5c3-30ad576af369.的保護。美洲在數(shù)據(jù)保護方面已取得重要進展。2018年，巴西頒布了《數(shù)據(jù)保護法》，隨后又相繼出臺了關于國家信息安全政策的第9637號法令、關于儲存病歷的計算機化系統(tǒng)的第13787號法律和用于創(chuàng)建巴西國家數(shù)據(jù)保護局(4)Data Privacy and Protection Relating to Healthcare in Europe, the United States and Brazil, 2020-04-30,https://www.lexology.com/library/detail.aspx？g=99b83b76-3f2f-4b23-a5c3-30ad576af369.的第869號臨時措施等法規(guī)。美國也非常重視數(shù)據(jù)保護問題，1996年頒布的《健康保險可攜性和責任法案》(HealthInsurancePortabilityandAccountabilityAct，HIPAA)是管理與健康有關的醫(yī)療保健信息的隱私和安全的聯(lián)邦法案。日本2003年頒布的《個人信息保護法》大量借用了美國的隱私法概念(5)Kim J, Japanese and American Privacy Laws, Comparative Analysis, The John Marshall Journal of Information Techology & Privacy Law, 2015, No.1, pp.1-13.(6)Yamamoto H, Use of Personal Information in Medical Research in Japan, The Lancet, 2016, pp.1981-1982.。俄羅斯聯(lián)邦制定了大量覆蓋電子健康系統(tǒng)和數(shù)據(jù)保護問題的法律法規(guī)。Pishchita(2013)分析俄羅斯聯(lián)邦有關公民隱私信息保護的立法現(xiàn)狀、醫(yī)務人員在隱私信息流轉中應盡的義務及需承擔的責任(7)Pishchita A N, Legal Maintenance of Patient Data Confidentiality in the Russian Federation, In: Beran R, Legal and Forensic Medicine, Springer, 2013, pp.1659-1682.。

可以看出，在全球范圍內加強數(shù)據(jù)保護，尤其是加強醫(yī)療隱私數(shù)據(jù)保護的趨勢非常明顯。為了構建高效的醫(yī)療保健體系，同時注重保護患者權利，世界主要國家和地區(qū)采取了不同的方法及路徑。本研究將針對電子健康檔案中患者權利的法律問題展開分析，聚焦患者個人信息保護，并提出該領域的立法建議。

一、EHR是HIS的核心組成

今天的醫(yī)院信息系統(tǒng)(HIS)由早期的單一中心化系統(tǒng)轉變而來，在電子病歷中積累醫(yī)療信息，支持異構網(wǎng)絡交互，并具備廣泛的規(guī)范和政策以支持通信(如采用HL7傳輸協(xié)議)、查詢(如利用SQL訪問存儲數(shù)據(jù))以及與醫(yī)院其他功能的交互。

EHR是HIS的核心組成部分，尤其體現(xiàn)在信息集成方面。EHR的目的是存儲由醫(yī)生、護士和醫(yī)院管理人員等生成的患者信息，而病歷數(shù)字化的目標則是改善患者的醫(yī)療狀況，并利用計算機對患者數(shù)據(jù)進行評估，從而支持醫(yī)學研究。EHR不僅僅是紙質醫(yī)療記錄的數(shù)字化形式，更包含了以各種媒體形式存儲的完整健康信息，包括病史、當前用藥和實驗室檢查結果等。HIS可以從若干方面對患者護理產(chǎn)生積極影響，包括具備更高的效率、能提供更高質量的文檔，還可開展自動檢查、預約提醒等，從而幫助醫(yī)生為患者提供最優(yōu)護理。

與傳統(tǒng)紙質病歷相比，EHR具有以下五個優(yōu)點：第一，能同時在不同場所訪問患者信息；第二，信息短時可用，這在緊急情況下非常重要；第三，可通過高級用戶界面改進數(shù)據(jù)采集；第四，支持醫(yī)療操作結果的重復使用，使患者免于重復檢查；第五，為醫(yī)學研究提供支持，如對特定治療結果進行監(jiān)測。然而，EHR也有三個缺點：第一，由于硬件、軟件和人員培訓需要較大成本，它比傳統(tǒng)紙質病歷需要更大的初始投資；第二，需要大量時間和精力為醫(yī)生收集EHR數(shù)據(jù)，而醫(yī)生通常需要大量信息才能作出醫(yī)療決策；第三，數(shù)據(jù)安全和數(shù)據(jù)保護經(jīng)常面臨風險，因為任何數(shù)字化的信息都容易受到未經(jīng)授權的復制、分發(fā)和其他可能的破壞及風險的影響。

當前，世界各國擁有大量醫(yī)療機構，包括公共醫(yī)療機構和私營醫(yī)療機構。在醫(yī)療護理的過程中，病人在不同機構接受分析、檢查和其他醫(yī)療程序，部分甚至可以在國外進行。因此，建設EHR的共同目標是構建一個集成所有級別醫(yī)療護理的全球信息系統(tǒng)，而不依賴于患者或醫(yī)療護理提供者的當前位置。鑒于此，EHR必須能夠與其他系統(tǒng)進行通信，遵循重要的醫(yī)療信息標準(如HL7、DICOM等)和臨床代碼標準(如SNOMED、RCC、LOINC等)，其中，LOINC是一個免費數(shù)據(jù)庫，其中包含臨床觀察(包括實驗室測試和其他測量)的名稱、同義詞和代碼。

若沒有標準化，關于電子數(shù)據(jù)處理的任何承諾都無法實現(xiàn)，因為將數(shù)據(jù)從產(chǎn)生患者數(shù)據(jù)的系統(tǒng)(如實驗室)手動轉換到使用這些數(shù)據(jù)的系統(tǒng)(如辦公信息系統(tǒng))的成本和麻煩往往難以承受。

二、EHR的立法重點

在EHR系統(tǒng)框架中，最初的要素是創(chuàng)建患者個人賬戶，通過該賬戶可以預約與聯(lián)系醫(yī)生、獲取醫(yī)療文件摘要、獲取疫苗接種提醒和電子處方、查看檢查結果等。EHR系統(tǒng)提供了在線快速獲取健康信息的機會，而無須前往醫(yī)療機構，通過辦理醫(yī)療卡查詢相關信息?？梢?，EHR系統(tǒng)對于實現(xiàn)健康信息獲取權非常關鍵，而健康信息獲取權又是健康權的重要組成部分。

健康信息對于患者的重要性決定其應及時、充分地發(fā)布在EHR中，測試結果、預約、門診記錄和醫(yī)療程序等信息更是如此。通常而言，對醫(yī)療服務質量、患者狀態(tài)等的評估，很大程度上取決于醫(yī)療檔案登記的質量，如是否有醫(yī)療文件、記錄的完整性和質量是否符合衛(wèi)生組織基本醫(yī)療文件的格式及要求等。EHR數(shù)據(jù)的完整性及其追蹤各項變化的能力，使患者、醫(yī)療機構在有需要的情況下，如發(fā)生沖突或糾紛時，可以對過往醫(yī)療活動進行溯源和分析。

一些歐洲國家相當重視追蹤EHR的操作記錄。例如，在愛沙尼亞，醫(yī)務人員每次訪問EHR中的患者數(shù)據(jù)都會被系統(tǒng)記錄。系統(tǒng)不僅會存儲訪問者和被訪問者的信息，患者還能知曉哪些人可以訪問其EHR，并有權指定其用途(8)Deguara I, Protecting Patients’ Medical Records under the GDPR, The Synapse, 2018, No.2, pp.6-7.。此外，如果發(fā)現(xiàn)有人請求其信息，患者有權向“數(shù)據(jù)保護監(jiān)察局”報告，由該機構檢查對應請求是否合法。在澳大利亞，患者有權知道以下信息：訪問的日期和時間、訪問者、訪問期間的操作(接收信息、輸入信息等)，可以通過電子郵件或SMS接收EHR被訪問的通知。如果患者擔心其他人訪問其EHR，可以聯(lián)系支持服務并進行適當?shù)恼{查(9)Jolly R, The E Health Revolution-Easier Said than Done, 2021-02-01, https://www.mendeley.com/catalogue/06097d11-1253-3d71-b17a-0584b2a247db.(10)Australian Digital Health Agency, See Who has Accessed Your Record, 2021-02-01, https://www.myhealthrecord.gov.au/for-you-your-family/howtos/see-who-has-accessed-your-record.。

綜上，在國家級EHR實施框架內，有必要在立法層面制定適當?shù)囊?guī)則，保證患者能夠訪問其EHR。在系統(tǒng)中完成用戶認證后，患者能夠掌握自身的健康數(shù)據(jù)。此外，任何患者都能夠追蹤對其EHR執(zhí)行的所有操作。為此，在查看EHR或對其數(shù)據(jù)進行操作時，需采取相應技術措施，自動存儲訪問者、訪問時間。為了保障患者行使保護自身健康信息的權利，建議在醫(yī)療體系外設立個人數(shù)據(jù)保護機構，或者授權已有機構，以確保決策的公正性。

三、患者在EHR中的權利

在電子健康系統(tǒng)中，創(chuàng)建電子健康檔案本質上是一種發(fā)起個人數(shù)據(jù)處理的行為。根據(jù)在創(chuàng)建EHR時所需獲取患者同意的程度，歐盟國家可分為三組：第一組——德國、挪威、法國等，患者創(chuàng)建EHR賬戶并將其EHR數(shù)據(jù)納入醫(yī)療保健信息系統(tǒng)都需要明確同意；第二組——比利時、丹麥、瑞典、愛沙尼亞等，患者無須明確同意創(chuàng)建EHR賬戶，但將EHR數(shù)據(jù)納入醫(yī)療保健信息系統(tǒng)時需要明確同意；第三組——芬蘭等，創(chuàng)建EHR賬戶或將EHR數(shù)據(jù)納入醫(yī)療保健信息系統(tǒng)均無須明確同意。

每個人必須有權獲得健康信息，電子健康系統(tǒng)的設計必須使患者能在盡可能高和可接受的水平上行使此項權利。因此，在電子健康系統(tǒng)框架中，健康信息獲取權有了新的含義。利用EHR獲取健康信息比前往醫(yī)療機構獲取信息更加方便、快捷，比如在醫(yī)療機構往往存在需要排隊、接待時間有限、密集接觸可能導致疾病傳播等問題。

GDPR是個人數(shù)據(jù)保護領域很好的立法范例，它為民眾提供了充分了解其個人數(shù)據(jù)使用情況的廣泛權利，并明確使用個人數(shù)據(jù)的個人和實體的義務和責任。GDPR第4章第2條對個人數(shù)據(jù)處理的定義極其廣泛，包括對個人數(shù)據(jù)進行的任何單一操作或操作集合，無論是否采用自動化手段，涵蓋從收集個人數(shù)據(jù)到銷毀個人數(shù)據(jù)全過程。此外，GDPR規(guī)定，僅當其第6章第1條或第9章第2條中的假設條件至少有一個成立時，才允許進行個人數(shù)據(jù)處理。這些假設條件包括以下四條：第一，數(shù)據(jù)主體同意為一個或多個特定目的處理其個人數(shù)據(jù)；第二，為了遵守所承擔的法律義務；第三，為了保護數(shù)據(jù)主體或其他自然人的切身利益；第四，為了其他正當利益之目的(11)Council of Europe, Explanatory Memorandum to Recommendation CM/Rec(2019)2 of the Committee of Ministers to Member States on the Protection of Health-related Data, 2019-03-27, https://search.coe.int/cm/Pages/result_details.aspx？ObjectId=09000016809339f8.。

綜上，進一步考慮從EHR獲取健康信息的權利(包括拒絕EHR系統(tǒng)處理本人數(shù)據(jù)的權利)、對健康作出決定的權利(如電子處方等)以及其他一些權利(12)Shakel N V, Ablameyko M S, Medical Worker and Patient: Interaction in the Conditions of Electronic Health Care, Ecoperspektiva, 2020.。獲取健康信息是實現(xiàn)健康權的重要組成部分，提供完整、可靠和可理解的信息是進一步?jīng)Q定如何接受治療以及在多大程度上接受治療、如何根據(jù)健康狀況規(guī)劃生活等內容。因此，可以說健康信息權是一個國家努力提高公眾健康素養(yǎng)的重要組成部分。EHR的出現(xiàn)為患者提供了更多獲取醫(yī)療信息的機會，然而患者數(shù)據(jù)也同樣可能被其他人(如大量醫(yī)務人員)訪問。從這個角度來講，患者有權確定其健康信息的訪問邊界，可以從主治醫(yī)生(或其他與患者直接接觸的醫(yī)務人員)和第三方兩個方面來考慮這個問題。

如果無法獲得患者同意，獲取其健康信息的權利可能會受到限制，尤其是從確?；颊咔猩砝娴慕嵌瓤紤]。芬蘭法律規(guī)定，如果病人昏迷，不需要征得其同意即可訪問其EHR。在法國，如果一個人不能表達自身意愿和情況需要，急診醫(yī)生為了病人的最大利益，可以在未經(jīng)事先同意的情況下訪問其EHR。患者決定自身健康信息訪問限制的權力，使其能夠獨立決定是否希望某個特定醫(yī)學專業(yè)人員查看其特定信息。

近年來，患者享有越來越廣泛的權利，如從電子健康系統(tǒng)中刪除關于個人身份信息及其健康信息的權利，或者拒絕創(chuàng)建電子健康檔案的權利。許多國家為民眾提供了快速、便捷地退出電子健康系統(tǒng)的機會。患者參與健康決策的權利部分體現(xiàn)在，能夠獨立地將有關其健康的其他信息輸入EHR(如病情改善或惡化、藥物影響、壓力數(shù)據(jù)、運動量、疼痛感等)。

根據(jù)上述分析，并基于先前研究結果(13)Ablameyko S V, Ablameyko M S, Legal Issues of the Development of E-health in the Republic of Belarus, Management Problems, 2014, No.4, pp.33-40.，為改善醫(yī)療保健中的患者權利，提出以下建議。

1.利用云技術提高遠程交互和醫(yī)療大數(shù)據(jù)分析能力。電子健康系統(tǒng)的未來發(fā)展趨勢是使用云技術和Web服務，通過硬件(計算機、筆記本電腦、平板電腦)和軟件(社交網(wǎng)絡、信使)等技術手段，為醫(yī)生和患者提供遠程交互(遠程健康)，借助電子醫(yī)療卡(EMC)、醫(yī)療分析和大數(shù)據(jù)，為病人提供方便、及時的醫(yī)療服務。相對而言，遠程醫(yī)療能夠節(jié)省時間，受到患者歡迎，因此應提高醫(yī)療服務信息處理能力，為患者提供一站式服務。

2.創(chuàng)建數(shù)據(jù)集成的EHR，實現(xiàn)醫(yī)療機構的有效共享。醫(yī)療信息技術的一個關鍵趨勢是數(shù)據(jù)集成(互聯(lián)健康)。在許多國家，電子健康概念的核心要素是一個綜合的電子健康檔案，即其信息來自以結構化電子醫(yī)療文件形式存儲的分布式數(shù)據(jù)庫，患者有權選擇主治醫(yī)生和醫(yī)療保健機構。為了確保各方數(shù)據(jù)間的順利傳輸，有必要創(chuàng)建一個具備集成EHR的單一信息空間，并覆蓋公共醫(yī)療機構和私營醫(yī)療機構。

3.有效保障患者對EHR的知情權。為了充分享有訪問患者信息的權利，有必要采取措施，確保EHR中所有數(shù)據(jù)都可訪問并能被人類理解(診斷解碼)，應在EHR中創(chuàng)建疾病描述、基本治療方法和藥物描述等信息。

4.為患者提供EHR受眾的選擇機會。EHR應單獨反映患者準備告知其健康狀況的人員信息，并在患者無法作出決定時幫助其作出決定。有關法律法規(guī)通常規(guī)定，可以向患者的近親提供其健康數(shù)據(jù)。然而，患者可能會與親屬之間關系緊張，而認為其伴侶或朋友等更為親近。因此，為患者提供機會，明確了解其健康方面的想法和愿望以及可以幫助其作出適當決定的受眾，是一個很好的解決辦法。

5.EHR應支持拒絕醫(yī)療服務(包括醫(yī)療干預)的權利。某些宗教習俗與現(xiàn)代醫(yī)學存在沖突，因此有必要準確了解可能的權利和限制，如是否同意獻血、禁止輸血等。

四、結論及展望

醫(yī)學信息學是一個快速發(fā)展的領域，可以顯著改善醫(yī)院的工作。EHR是HIS的核心，它可以收集和存儲患者所有信息，該系統(tǒng)的應用將大大提高醫(yī)療服務質量。本研究分析電子健康檔案中患者權利的法律問題，針對患者個人資料保護問題提出相關立法建議。研究表明，實際實施舉措應當綜合考慮國際義務、國外經(jīng)驗和本國國情，同時重視人權保護。只有這樣，醫(yī)患互動在新制度下才能盡可能有效地開展，這將成為實現(xiàn)健康權等人權的一個重要方面。

電子健康發(fā)展的主要目的是醫(yī)療機構利用信息和通信技術，提供高質量醫(yī)療服務，提高民眾對自身健康的認知，并及時獲得診斷和治療。為進一步完善EHR的法律框架，需要在以下方面作進一步研究：第一，獲取患者健康信息的權利及其對患者自由、權利、義務和利益的影響；第二，加強患者在HIS系統(tǒng)中的角色，使其擁有被遺忘的權利，以此作為個性化醫(yī)療發(fā)展的前提條件；第三，個人資料保護和隱私權立法。

在現(xiàn)代民主社會中，人權特別是隱私權至關重要。保護個人數(shù)據(jù)不僅必須在國家層面進行，還應加強國際合作，以確保所有國家都尊重人權和基本自由，而無論患者的國籍和居住地。