中日医疗领域个人信息保护政策比较研究

中日医疗领域个人信息保护政策比较研究

王亚茹张心洋

（河北大学管理学院，河北保定071000）

摘要：选取日本《医疗和护理业务中个人信息的恰当处理指导》和我国《医疗机构病历管理规定》，将两则政策内容从个人信息收集活动三阶段进行比较。通过对比研究，发现我国政策的问题及不足，为其提供思路改进，以期推动我国个人信息保护立法进程。

关键词：个人信息保护；政策比较；医疗领域；日本；中国；比较研究

医疗领域个人信息，是患者就医时所提供的个人信息及在诊疗活动中产生的相关信息[1]26。因此类信息的敏感性及泄露后果的严重性，需要重点保护,但由于医疗服务的特殊性，患者对个人信息的控制权较弱[2]1，在互联网普及化与医疗信息化的现代社会，非法利用、传播患者个人信息将带来难以预计的后果，对其加以保护的重要性日益凸显。而保护患者个人信息的重要途径之一即为出台相关政策，从法律层面进行强制性保护。

个人信息保护相关法律的颁布起源于20世纪70年代的德国和瑞典[3]，1970年德国黑森州颁布的《资料保护法》是世界上第一部个人信息保护法律。1980年经济合作与发展组织制定个人信息保护指南，1995年欧盟颁布个人信息保护指令[2]24，这些法律对欧美等国多领域的个人信息保护产生了深远影响。日本是个人信息保护立法较完善的国家，颁布了《个人信息保护法》（以下简称《法》）和医疗领域的《医疗和护理业务中个人信息的恰当处理指导》（以下简称《指导》）；中国目前尚无专门保护个人信息的法规，也没有医疗领域保护个人信息的政策，仅有《医疗机构病历管理规定》（以下简称《规定》）等政策对病历管理进行规范要求。对日本《指导》与中国《规定》条文进行比较，发现我国政策不足，为《规定》等政策提供改进思路，推动我国个人信息保护立法进程。

1中日医疗领域个人信息保护政策制定现状

1.1日本医疗领域个人信息保护政策制定现状

日本政府于1998年开始个人信息保护法制的改革，1999年制定《个人信息条例》，2001年提交《法》草案，2003年通过个人信息保护五联法[4,5]。2005年实施《法》，2015年修订并于2017年5月30日全面实施[6]。现在日本已建立完备的个人信息保护法律体系，对各行各业有着规范指导，几乎所有的医疗机构都依据以《个人信息保护法》为首的个人信息保护条例对患者个人信息进行处理[2]32。

在医疗领域，日本主要通过建立刑法和医疗相关法规来保护个人信息[7]。如《刑法》134条、《放射技师法》29条，2004年颁布《医疗和护理业务中个人信息的恰当处理指南》，2017年5月29日废止并于5月30日起实施《指导》[8]。且《指导》的多数内容都是在《法》的内容基础上，补充医疗领域针对性说明。至此，日本形成在《法》的统领，实施《指导》，再辅以刑法、医疗相关法对患者个人信息加以保护的模式。

1.2中国医疗领域个人信息保护政策制定现状

2003年，我国国务院信息化办公室就对个人信息立法研究课题进行部署，2005年提交专家意见稿，但至今仍未进入正式的立法程序[9]。现阶段，我国对患者个人信息的法律保护主要体现在两方面：一是在刑法等法律中提及对医疗工作人员保护患者个人信息的规定，如《中华人民共和国刑法修正案（七）》第7条、《中华人民共和国侵权责任法》第62条；二是对医疗机构相关人员泄露患者隐私的处罚规定及对病历的管理规定，如《执业医师法》第37条、《护士条例》第31条第2款及《规定》中相关的条例。病历是反应患者诊疗状况和健康情况的最好说明书[1]27，也是患者个人信息的集中体现，对病历的管理反映对个人信息的管理，《规定》一定程度上代表我国现阶段对患者个人信息保护的规定。

2中日两则政策主要内容比较

通过对两则政策内容进行归纳，将内容按收集个人信息活动的时间点划分为个人信息收集前、个人信息收集时和个人信息收集后三个阶段，其中个人信息收集后的活动包括个人信息保管、利用和第三方提供。

2.1个人信息收集前

《指导》对收集个人信息之前的规定可概括为四方面：收集目的明确化、收集目的需公布、收集范围有限制、超越范围收集需经本人同意。其中公布收集目的的措施有院内和事务所公布、主页刊登及告知本人。且收集“要关怀个人信息”时必须经过本人同意，此类信息是指种族、信仰、社会地位、病史、犯罪史、犯罪事实及其他对人不公平的歧视、偏见和其他不利因素[10]。

《规定》没有条文体现对收集个人信息之前的规范说明，上述总结的《指导》中的四方面也未提及。虽然医疗机构收集患者的个人信息是出于医疗目的，最终保障的是患者身体健康，但也不能无限制收集，与患者应有一定的沟通，这是《规定》内容上的缺失。

对比发现，《规定》缺少了收集个人信息前需提前告知目的、是否需经患者同意才能收集信息等说明。日本《指导》赋予了患者事先知晓其个人信息被收集目的、范围及拒绝告知某些信息的权利，我国患者同样有对这些权利的需求。对《指导》条文的内在逻辑梳理后发现，先规定医疗机构要事先公布个人信息收集的目的、范围，后指出超越该范围收集信息须征得本人同意（包括“要关怀个人信息”），我国《规定》可借鉴此逻辑，理清先后顺序，完善条文内容。

2.2个人信息收集时

《指导》规定收集个人信息时必须采用合法正规的途径并保证信息的准确性、时效性。如：使用个人信息的经营者不得以欺骗或其他不正当手段取得个人信息；尽力保持个人信息的正确性和时效性[11]。

《规定》对建立病历的书写规范及装订排序等进行规定。如：对纸质病历、电子病历的编号规范，病历书写需按照《病历书写基本规范》等规范进行，规定住院病历的排序及装订保存顺序。

两则政策的说明侧重点不同，我国《规定》可在原有条文基础上考虑添加对信息准确性、时效性的要求，对原内容加以补充和完善。

2.3个人信息收集后

2.3.1个人信息保管

《指导》为防止个人信息泄露、丢失或损坏，从管理、人员、技术三方面对个人信息进行全面保护。管理指安全管理措施；人员指对从业人员及委托方进行监督；技术指个人信息访问认证、监视信息系统访问状况等手段。还对从业人员进行清晰的界定，包括医疗资格者及接受该事业者的指挥从事业务的所有人[12]。

《规定》对病历的保管要点为：病历由专人管理、保管主体为医疗机构或本人、纸质病历可电子化保存、严禁泄露和篡改病历。

《规定》是医疗机构人员保管的有力指导，但对比《指导》发现，其在后续的措施上未有提及，如电子、纸质病历分别如何保存，保存在何处，是否加密，是否采取安全管理措施等，对后续保管说明不够详细，指导性存在欠缺。

2.3.2个人信息利用

《指导》限制医疗机构利用个人信息并赋予本人控制其个人信息能否被使用的权利。限制利用指规定在使用、处理个人信息时不能超越《法》第15、16条所规定的范围，超越范围使用必须征求本人同意（法律认可的例外情形除外），但匿名加工后的信息在一定条件下，即使本人没有同意也可以利用[11]；允许为医学研究而利用患者个人信息。

《规定》主要体现对研究、教学目的利用患者信息的准许。第16条指出医疗机构及医务人员因科研、教学需要查阅、借阅病历时，可向患者就诊医疗机构提出申请[12]。

通过对比可以发现，《规定》未提及利用患者个人信息时是否需征求本人同意，患者丧失了控制其信息能否被使用的权利；两则政策均对医学研究、教学利用个人信息给予支持，但均未明确规定利用前需征得本人的同意，多数情况下，患者在不知情的情况下个人信息已被利用[1]26。1995年9月世界医师总会通过《关于患者权利修正的里斯本宣言》，在患者的“自主决定权”中增加了“患者有权拒绝参加医学研究或医学教学的权利”[13]。但考虑到患者个人信息有着区别于其他信息的特殊性，是医学研究、教育、药品开发等的重要信息来源，我国政策既应保护患者个人信息，又要为医学研究保驾护航[14]。

2.3.3个人信息第三方提供

个人信息第三方提供，是指掌握患者个人信息的机构将患者信息提供给本机构、患者本人以外的第三方的信息活动。

《指导》的条文可以总结为三个要点：赋予患者个人信息权、匿名加工信息、确保信息“可追溯性”。其中赋予个人信息权指将患者信息提供给第三方前必须经过本人同意（匿名加工后的信息除外），本人有权要求停止（特殊情况除外）；匿名加工信息指删除个人信息中包含记述的一部分，或者根据删除全部个人识别码的方法，加工为不能识别特定个人且不能恢复识别性的信息(《法》第2条9项)[15]；确保信息的可追溯：向第三方提供个人信息时，需记录提供方的姓名、地址等并加以保存。从第三方接收个人信息时，应确认第三方的姓名、住址及其取得该个人信息的经过，将记录用于文档、电磁记录或微交卷，并做迅速记录[11]。

《规定》侧重于对病历借阅、复制权限、流程、范围的规定。但在此过程中，申请材料的接收者和借阅受理者均为医疗机构，未规定医疗机构需与患者沟通、征得患者同意。患者本人处于不知情状态，丧失了对个人信息的知情权和控制权。

《规定》可在上述内容上补充《指导》的三个要点。患者应享有个人信息权，因为患者为个人信息的主体；当信息消除个人识别性后，可以不经本人同意直接使用；确保信息可追溯便于在信息泄露时找到泄露方，追究责任。这些要点同样适用于我国，是我国今后在完善和制定政策时可借鉴的内容。

3对我国政策改进的思考

通过对比《指导》发现，我国《规定》缺失了部分重要内容，如：收集患者个人信息前应公布收集目的、范围并告知患者，超越原公布范围收集信息时需征求本人同意，将患者个人信息（匿名化处理的信息除外）提供给第三方时须征得患者同意等。这些缺失内容集中反映出我国政策未赋予患者个人信息权利的问题。反观《指导》，对个人信息权利的赋予贯穿于个人信息收集活动的各个阶段，充分肯定了患者的个人信息权。另外，《指导》是在《法》的内容基础上进行医疗领域的补充，因此《指导》内容体系完备原因在于健全法制体系，反观我国现状，相差甚远。基于以上对比结果，提出以下两点政策改进的思考：

3.1政策内容体现患者个人信息权

我国在今后制定和完善相关政策时应注重对个人信息权的赋予。有学者参考世界其他国家和地区《个人信息保护法》中的规定，总结出自然人的个人信息权主要包括：查询阅览权、复制件制作权、更正、补充权、删除权、请求停止处理或利用权等，而我国《侵权责任法》第61条仅规定了患者有权查阅或复制其病历资料，对其他权利并未做出规定[16]，《规定》也未赋予患者其他权利。法律未赋予信息主体应有的个人信息权利，患者个人信息泄露风险加大，我国应借鉴日本政策思想，重视对信息主体权利的赋予，完善现有政策，为个人信息保护法等法规制定提供参考。

3.2推进个人信息保护立法进程

我国应全面推进个人信息保护立法进程，构建完善的法制体系，进而制定和完善医疗领域的政策。日本的法制体系相对完善，对各行各业的个人信息保护有着指导意义；而我国法制建设进程整体滞后，至今尚无直接顶层的《个人信息保护法》[17]，也没有专门针对医疗领域的个人信息保护政策，仅有分散于多个医疗领域法规中对患者个人信息、病历等的规定，整体性较差。由于没有可以参考的个人信息保护法律，医疗领域在制定相关政策时也存在问题，法制建设进程的滞后影响了包括医疗领域在内的各个行业的政策制定及实施。

借鉴日本政策制定的顺序和思路，我国想要完善医疗领域的个人信息保护政策，当务之急是出台专门保护个人信息的基本法，对各行各业进行引领性规范，在总法的指导下，对医疗领域针对性内容进行补充。注意借鉴他国相关法律中较为先进的内容，并将我国现有分散于多项政策中与个人信息保护相关的条文进行整理，制定出符合我国国情的个人信息保护法制体系，让法律成为保护公民个人信息的有力武器。

参考文献

[1]唐正一,杨琴.浅议医疗环境下的个人信息保护与利用[J].北京政法职业学院学报,2015(4):25-29.

[2]李国红.论医疗领域个人信息及民法保护[D].苏州:苏州大学,2013.

[3]太田吉夫.医療における個人情報保護法[J].岡山医学会雑誌,2006,117:225-234.

[4]姚岳绒.日本:混合型个人信息立法保护[N].法制日报,2012-06-19(010).

[5]池建新.日韩个人信息保护制度的比较与分析[J].情报杂志,2016,35(12):63-68.

[6]井上博登.2017年個人情報保護法改正～改正の概要及び改正に伴う態勢整備～[J].不動産証券化ジャーナル,2017,36:74.

[7]厚生省.医療分野における個人情報保護について[EB/OL].(2000-02-16)[2019-3-15].https://www.kantei.go.jp/jp/it/privacy/houseika/dai3/3siryou2.html.

[8]個人情報保護委員会事務局,厚生労働省老健局長.医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスについて（通知）[EB/OL].(2018-02-23)[2019-3-15].https://www.kaigotsuki-home.or.jp/news/category/administration/2018/1634.

[9]单士兵.个人信息保护指南折射立法尴尬[N].济南日报,2012-04-06(F02).

[10]黒田知宏,齊藤永,加藤源太,等.医療情報学における個人情報保護法改正の影響[J].オペレーションズ・リサーチ,2016,05:295.

[11]個人情報保護委員会厚生労働省.医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス[S].2017-04-14.

[12]国家卫生计生委、国家中医药管理局.医疗机构病历管理规定（2013年版）[S].2013-11-20.

[13]刘士国.患者隐私权:自己决定权与个人信息控制权[J].社会科学,2011,(6):99.

[14]李丹丹.论个人医疗信息的法律保护[J].吉首大学学报(社会科学版),2015,36(2):87-93.

[15]個人情報の保護に関する法律[S].2015-09-09.

[16]史昕.论个人医疗信息的隐私权保护[D].海口:海南大学,2017.

[17]池建新.日韩个人信息保护制度的比较与分析[J].情报杂志,2016,35(12):63-68.