刍议民法典时代的个人信息保护 ——以个人健康信息档案的合规使用为切入点
作者:郑敏 肖浩 宗扬 2020-06-04第十三届全国人大三次会议上通过的《中华人民共和国民法典》(2021年1月1日正式施行,以下简称“《民法典》”)亮点诸多,其中将人格权独立成编且开辟专章规定隐私权及个人信息保护的立法例,是对加强公民个人信息保护的社会呼声的积极回应,彰显出将保护个人信息纳入法治体系的重要意义。
伴随着互联网和大数据技术的发展,个人信息的采集、应用已渗透到我们生活的方方面面,这在重塑我们的生活习惯和社交方式的同时,也带来不容小觑的权利保护问题。百度cookie案和京东数据泄漏事件所引发的法律责任探讨言犹在耳,年初至今在全球范围内爆发的新冠肺炎疫情,又为我们进一步思考如何更好地权衡个人信息保护和公共利益提供了一个很好的窗口。
新冠疫情前经有关媒体报道过的涉及健康信息泄露的代表性事件就有:2017年5月某部委的医疗服务信息系统遭“黑客”入侵,超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖;2018年8月,知名艺人林更新在某医院就诊时,其个人病历资料被泄露至互联网引发广泛传播和舆论热议;同年,武汉某整形医院客户信息遭黑客入侵后大范围泄露等。[i]
我国在应对疫情防控等严峻的公共卫生事件时,为了分析研判并切断传染性病毒的传播链条,不可避免地要收集、存储、交换、研究数量庞大的公民个人信息,包括姓名身份、家庭住址、行程轨迹、健康状况、联系方式、生物识别信息等等,仅微信小程序就有多种信息收集和个人识别端口、信息公示码等。疫情期间的远程医疗亦受到热烈追捧,其本质上就是通过以医学信息的采集、储存、传输、处理和查询为主的技术来支持远程会诊、远程康复指导和远程监护等医疗服务。然而在以上行为或经营活动过程中,由于信息收集主体在公共利益的“金钟罩”下或者运营者在利益驱动下私权保护意识淡薄、部分环节缺乏明确的收集或使用规范,导致出现诸多个人信息泄露的现象,如确诊患者、疑似患者或密切接触者的个人隐私在互联网或自媒体上遭遇疯传,进而引起对上述个体或群体的偏见和恐慌情绪,严重损害了确诊患者、疑似患者或密切接触者的合法权益。
一、 个人信息保护的法律体系
在《民法典》出台后,我们目前针对公民个人信息的保护体系如下表所示:
序号 | 名称 | 发布机构 | 实施时间 | 位阶 |
1 | 《民法典》 | 全国人民代表大会 | 2021年1月1日 | 法律 |
2 | 《民法总则》 | 全国人民代表大会 | 2017年10月1日(将于2021年1月1日废止) | 法律 |
3 | 《网络安全法》 | 全国人大常委会 | 2017年6月1日 | 法律 |
4 | 《刑法修正案(九)》 | 全国人大常委会 | 2015年11月1日 | 法律 |
5 | 《中华人民共和国消费者权益保护法》 | 全国人大常委会 | 2014年3月15日 | 法律 |
6 | 《全国人民代表大会常务委员会关于加强网络信息保护的决定》 | 全国人大常委会 | 2012年12月28日 | 法律 |
7 | 《电信和互联网用户个人信息保护规定》 | 工业和信息化部 | 2013年9月1日 | 部门规章 |
8 | 《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 | 最高法、最高检 | 2017年6月1日 | 司法解释 |
9 | 《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》 | 最高法 | 2014年10月10日 | 司法解释 |
10 | 《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》 | 最高法 | 2001年3月10日 | 司法解释 |
11 | 《关于做好个人信息保护 利用大数据支撑联防联控工作的通知》 | 中央网信办 | 2020年2月4日 | 政策文件 |
12 | 《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》 | 中国人民银行 | 2011年5月1日 | 政策文件 |
13 | GB/T 35273-2020《信息安全技术 个人信息安全规范》 | 国家市场监督管理总局、国家标准化管理委员会 | 2020年10月1日 | 国家标准 |
14 | 《检察机关办理侵犯公民个人信息案件指引》 | 最高检 | 2018年11月9日 | 办案指引 |
15 | 《互联网个人信息安全保护指南》 | 公安部网络安全保卫局、北京网络行业协会、公安部第三研究所 | 2019年4月10日 | 参考性文件 |
大数据时代下,个人信息所涵盖的范围非常广,健康信息是其重要组成部分。电子健康档案的逐渐推广和建立,第三方体检中心和互联网医院的兴起,在尽显其便捷性、高效性、广泛性和共享性优势的同时,也造成了个人的健康信息在数据中心的海量堆积,这些信息在单次医疗活动结束后将何去何从?如何防止电子病历所载的个人健康信息免受泄露的风险?怎样准确把握作为信息所有权人[ii]的就诊者、作为信息制作集成商、信息使用者的医疗机构之间的权利义务关系,进而充分利用电子病历所承载的健康信息,最大限度挖掘其蕴含的公益和商业价值,在保护个人健康信息的同时发现新的效用增长点?以上问题已逐渐成为全社会共同关心的热门话题。
二、 个人健康信息的现有保护路径
鉴于立法的固有局限性和天然滞后性,目前尚未出现在全国范围内全面规范与个人健康信息联系最密切、同时也是最权威的电子健康档案(包括但不限于家族病史、电子病历、体检报告、心理咨询记录、饮食偏好等)制作、保存和使用流程的法律文件(法律、行政法规或部门规章)。行权界限的模糊导致了社会效益的低下,无论是有权管理机关还是社会经营实体都在实践中如履薄冰,个人健康信息相关行为的法律属性悬而未决,尤其是在使用规制层面的法律真空,对于界定权属关系、行为合规与否以及合法权益的切实维护均带来了障碍,也在一定程度上造成了全社会从业人员的集体困惑。笔者曾与个人健康数据库系统开发商、数据和系统维护服务商、民营或公立医疗机构以及各级卫健委相关管理人员等广泛交流、探讨过相关问题,权属争议和具体行为能力的这种模糊状态已经实质抑制了各类社会主体对包括电子病历在内的个人健康信息的合法收集、交互、使用、加工等的积极性,阻碍了新兴数据经济的发展。
受到行政主管部门高度关注和监管的医疗卫生领域因为涉及国计民生,向来面临“法有禁止不可为,法无规定怕踩雷”的尴尬局面。对此,新颁布的《民法典》在其人格权编明确自然人的健康信息属于个人信息的组成部分,并规定了个人信息处理的原则、条件和免责事由,侵权责任编明确指出医疗机构及其医务人员泄露患者的隐私和个人信息或未经患者同意公开其病历资料的,应当承担侵权责任等,即《民法典》第1035条明确规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。第1036条规定,处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。《民法典》第1226条也明确规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
因此,以《民法典》人格权编为概括性授权,以侵权责任编为禁止性兜底,《网络安全法》《APP违法违规收集使用个人信息行为认定方法》为指导原则,以《医疗机构管理条例》《执业医师法》《病历书写规范》等行业行政法规或规范性文件以及各级地方性监管或自律性文件为专业性指南的规范体系为我们构建出“电子健康档案承载健康信息→健康信息属于个人信息→个人信息应依法使用→非法使用或泄露个人信息应承担法律责任”的逻辑链条、法律依据和实践指引,原则上明确了个人健康信息的保护以及合法合规使用的基本路径。
三、 个人健康信息的合理使用和规范建议
如前所述,电子健康档案所承载的个人健康信息是依法重点保护的对象,由于就诊者或其他被收集信息人(以下统称“就诊者”)与医疗服务机构、有权管理机关之间存在信息不对称方面等现象,且就诊者往往缺乏必要的自我保护意识和行为能力,所以立法设计和司法实践均倾向保护处于弱势地位的个人。在此背景下,医疗服务机构和其他经营性实体应注重电子健康档案等承载个人健康信息的使用过程中的保护等合规性问题,紧守法律底线,避免承担民事责任、行政责任甚至遭受刑事追究的法律风险。
我们认为,探索上述合规性问题的重点在于搭建现行有效法律框架下个人健康信息的合法使用流程。结合个人健康信息多维度、宽领域的呈现特点,即其价值不仅仅存在于就诊者个人的单次医疗就诊或治疗活动中,还可被广泛应用于医学科研、教育和生产、经营等领域,如病理研究、新药与医疗器械的研发与生产、临床试验、保险、辅助医疗产品调研和精准销售等。因此我们倾向于将个人健康信息的使用分为非营利性使用和营利性使用两类进行分别探讨。
(一) 非营利性使用及规范建议
非营利性使用是指以国家安全、生物安全和社会公共利益为出发点,以促进全人类的健康为导向的合理善意使用。非营利性使用的核心要义在于对个人利益与社会利益之间进行平衡。在二者并未出现紧急性冲突时,我们应严格保障就诊者的合法权利,只有经有效授权的主体在征得就诊者的同意且不违反公开明示原则的前提下,才能在限定范围内使用个人健康信息。
我们同时应注意到信息权利主体的同意也并非绝对前提,在个人利益需要迫切服从社会公共利益,且有法律、行政法规明文规定的情况下,经有效授权的主体可以未经就诊者同意而使用起健康信息。《个人信息安全规范》即规定在与公共安全、公共卫生、重大公共利益直接相关的情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意,例如在防控新冠疫情的情景中,医疗机构或疾病预防控制机构有权依据《传染病防治法》和国务院出台的行政法规或相关决定,对公民的个人健康信息进行摸排调查、收集利用,进而采取必要的医学治疗和隔离措施。尽管如此,我们仍然建议相关有权组织或个人在收集获取健康信息或使用其个人病历时,明确加入相关条款或声明以获得有效授权,进而避免对个人隐私权产生不必要的侵害或引发社会分歧。
当然,相关机构在对个人健康信息进行非营利性使用的同时,亦应建议注意信息的脱敏化处理,隐去与使用目的无关的敏感信息,保证敏感信息无法被准确地逆推出进而精确识别出信息所有者的身份信息,妥善处理好隐私保密性与数据可用性的矛盾关系,切实保护个人健康信息所有权人的隐私权,并明确若实施侵权行为的相应法律后果以及制定可执行的操作细则。
(二) 营利性使用及规范建议
由于众多营利性的医疗服务机构掌握数量庞大的个人健康信息,在数据即价值的时代,对海量健康信息的大数据分析后投入商业运用是不少该等营利性医疗机构或生命科学技术或服务经营实体寄以厚望的重要新增盈利点。为了防止出现道德、伦理以及法律风险,我们建议个人健康信息的营利性使用应重点加强如下几点:
1. 应在事先征得就诊者的同意。为了降低引发纠纷的风险,最好使用书面形式(如个人健康信息使用告知书、个人健康信息使用知情同意书),并在显要位置标明关键条款。
2. 制定并公开内容清晰、明确的个人健康信息使用规则,避免出现模糊的概括性用语,更新隐私政策时应使用醒目、便捷的方式提醒阅读。
3. 向就诊者明示使用个人健康信息的目的、方式和范围,确保做到相关信息会经专业的保密和脱敏处理。
4. 在涉及较稀缺的个人健康信息或需要就诊者做出更深入的信息披露时,可以考虑适当给予一定的补贴或报酬,以符合民法领域等价有偿的一般性原则。
5. 个人生物识别信息(如有)与个人身份信息应分开储存,应妥善保存好个人电子健康档案等相关载体,不得以遗失毁损作为免责事由;未经同意不得公开,不得超越合理范围使用。
6. 完善组织内控制度,即从企业管理的角度保护好就诊者的健康信息,包括有关个人健康信息使用的操作审批流程、建立个人健康信息安全评估制度、外部人员访问制度、应急预案制度、安全意识宣传教育制度等。
四、结语
值得一提的是,全国人大常委会已将《个人信息保护法》的制定列入下一步的主要工作中[iii],这将成为我国法律体系中第一部系统规定个人信息保护的专门性法律。我们期待并相信其能早日问世,和现行法律一道推动个人健康信息的规范化使用,成为我国在医疗领域全方位高速发展必不可少的底层代码之一,我们也将持续关注这一领域的最新实践。
参考文献:
1、邓勇律师、潘烨桐律师,个人信息保护——互联网时代下企业合规重点,微信公众平台:锦天城律师事务所,2019。
2、史军律师、陈文昊律师、冯欣律师,权利保护与公共利益平衡——新冠肺炎疫情期间个人信息合规所面临的问题与挑战,微信公众平台:锦天城律师事务所,2020。
3、李春光.论电子病历中的个人信息保护[D].重庆:重庆大学硕士论文,2009:P37 。
[i] 分别来源于:https://www.cn-healthcare.com/articlewm/20180809/wap-content-1031232.html;https://www.cn-healthcare.com/articlewm/20180822/wap-content-1031942.html;http://news.eastday.com/eastday/13news/auto/news/society/20180115/u7ai7344364.html,最后访问时间:2020年6月2日。
[ii] 该表述来自于“焦雅辉:电子病历信息所有权归患者 任何人和机构无权擅用”,http://health.people.com.cn/n1/2019/0322/c14739-30989227.html?from=groupmessage&isappinstalled=0,最后访问时间:2020年6月2日。该说法虽未得到现行法律的直接支持,但对此争议较小,为方便理解,笔者在此借用。
[iii] 全国人大常委会工作报告:将制定个人信息保护法,http://www.thepaper.cn/newsDetail_forward_7550677,最后访问时间:2020年6月2日。
