摘要：详细阐述美国、欧盟及其部分成员国、加拿大、日本、新加坡、澳大利亚等国家和地区医疗信息隐私保护领域立法现状及相关法案特点，分析我国医疗隐私信息保护立法现状与不足，提出相应建议，为建立国内医疗数据隐私法案提供参考。

       当下，大数据已经深度融入到医学领域，基于人工智能和机器学习的大数据分析为传统的医疗行业研究指明了新的方向。然而，在数据的共享与使用中，患者的个人隐私保护是至关重要的工作之一。神州数码医疗科技股份有限公司（以下简称“神州医疗"）一直致力于在保护患者个人隐私的前提下促进医疗大数据的整合和共享，并在患者隐私保护方面取得了一定的成果。

       近日，由神州医疗医学技术部、医学数据安全管理部共同撰写的两篇稿件被“医学信息学杂志”收录。文章分别探讨了“国外医疗信息化领域隐私数据保护现状及其启示“及”医疗信息化领域中基因数据隐私安全的现状与对策”。

今天与大家分享的是“国外医疗信息化领域隐私数据保护现状及其启示”。

从IT时代进入DT时代，各行各业经年积累的数据为行业的发展提供了深厚的资源。据不完全统计，2011年美国产生了150EB的医疗相关数据 ，若保持目前的增速，数据量很快会达到ZB和YB的级别。据统计部门估计，到2020年医疗数据的数据量将是2009年数据量的44倍。加州的一个医疗健康服务系统，就拥有将近千万的会员和44PB左右的电子健康记录 (IHTT, 2013)。

医疗卫生行业的数据量大且数据种类复杂，其中包含的数据价值也极为丰富。医疗数据的来源主要有三类：一是医学医药研究；二是医院临床应用，即诊断信息和临床操作；三是就医患者行为记录和社交网络。对这些数据进行保存、处理、分析研究，可以帮助医护工作者做出更为精确的诊断和决策。这些有待发掘的资源，随着大数据技术的发展必将成为未来数字化时代的重中之重，然而我们也随之面临一个严峻的问题，那就是个人医疗健康信息的安全问题。政府机构、医院、银行、企业和其他机构组织收集到的医疗数据中，通常含有个人姓名、电话、邮箱、身份证号、居住地址、邮编等极为敏感的信息，如果这些信息不处理就被公布，会造成个人信息的泄露，影响个人的信息安全。如何才能在不涉及个人敏感信息的情况下，有效的利用数据的潜在价值，成为数据挖掘中的关键。

据相关统计，美国每年医疗费用财政拨款额度在5万亿美元以上，通过利用医疗数据每年可以节省医疗开支3000到4500亿美元。按此比例估算，面对我国每年2.4万亿元的医疗投入，若能将医疗数据有效的应用，可节省医疗开支2000亿元左右。面对如此广袤的市场，医疗数据的应用至关重要。

2.1  美国

HIPAA (Health Insurance Portability and Accountability Act) 是在1996年美国克林顿总统任职期间签署并颁布的健康卫生领域的基本法^[2]。HIPAA的首要目的在于革新医疗领域，简化工作管理，降低成本费用，增强个人数据隐私的保护。

从实际意义上来说，HIPAA建立了医疗领域的基本概念，明确了实体的行为准则，规范了具体的操作过程，标志着美国在医疗数据安全方面的律法达到领先的水平。

HIPAA禁止未经患者本人授权的受保护的健康信息以任何形式进行交易或市场推广；HIPAA规定了受到约束的法律实体包括：医疗健康提供方、保险提供方和数据交换中心；由于绝大部分的医疗机构和保险公司都无法完全独立地完成所有业务，为了增强隐私保护，HIPAA也对第三方商业合作伙伴进行了约束。

2.1.1  HIPAA的发展与完善

HIPAA实施之初的目的在于保障员工权利，使其在跳槽或失业后继续享受医疗健康保险。随着法案的不断发展，为了提高美国医疗健康保险系统的效率和质量，HIPAA也着力推动对电子健康记录的使用。另外，由于PHI (Protected Health Information)包含较多可识别个人身份的医疗健康数据和其他相关数据，例如，保险单信息、账单消费信息、诊断医疗数据、临床医疗护理数据、影像数据等实验室结果和测试结果。所以HIPAA对这些个人健康信息的安全性和隐私性做出了极其严格的规定，并建立了完善的制度来界定和保护电子病历数据，防范数据泄露的相应风险。

 HIPAA发布的隐私规则和安全规则确立了用于保护特定个人健康信息和保护个人健康数据电子化的国家级标准。这些保护规则的制定，主要目的在于保护个人医疗数据信息隐私的同时，提高相关实体医疗的治疗水平和效率。此外，由于医疗市场差异性很大，所以安全规则被设计的灵活又有可扩展性，使得相关实体可以根据组织规模、结构和相应风险实施恰当的策略、规章和技术。

自HIPAA正式颁布以后，法案经历数次修正完善，使得该法案对医疗信息隐私及安全保护更细致化和现代化^[3-4]。

2009年HIPAA修改了关于隐私数据安全的条目，增加了对被管辖对象的合作方的责任义务的约束，以更好地保护个人数据安全。

2009年美国卫生及公共服务部HHS (Department of Health and Human Service)引入ARRA (American Recovery and Reinvestment Act)和HITECH(Health Information Technology for Economic and Clinic Health Act)，革新了HIPAA，此次革新是为了加强对个人信息的电子健康记录(EHR)的使用管理，进一步强调了HIPAA对个人隐私信息安全的重要性，也增加了对泄露个人隐私数据的行为的惩罚措施。革新后的法案于2010年强制生效，作为ARRA的一部分，该法案获得了400亿美元刺激资金补贴用于鼓励其使用电子病历系统EMRS(Electronic Medical Record System)，与此同时HITECH还给该法案批准了20亿美元用于相关人才培训和基础建设^[5]。

2013年初，美国卫生与公共服务部颁布了Omnibus Rule，融合了过去的HITECH和GINA(Generic Information Nondiscrimination Act)，虽然Omnibus Rule是行政命令而不是法案，但它的内容更加详细，对于违反规定的个人或者机构将会受到更严重的处罚。

2.1.2   HIPAA安全条例的基本标准

 HIPAA将数据安全的标准分为行政保障，技术保障和物理保障三类，以建立更为完善的系统来保护信息系统的保密性、一致性和可用性以及患者的个人隐私。

1.行政保障：

建立和落实安全策略，研究并建设风险评估机制。该点主要在于显示实体如何遵守安全规则的政策和程序，包括以下几点: 安全管理流程，应急计划，指定安全责任，安全知识及意识培训，信息访问管理,  认知和培训、评估，安全事故处理等。

2.物理保障：

保护计算机系统的运行环境和周围设备的安全。该点主要在于对物理访问的控制，以防不适当的访问受保护的数据，包括以下方面：工作站的使用和安全，设备及媒体控制，设施出入控制。

3.技术保障：

采用适当手段对数据进行主动的防御保护，如数据的分类、加密以及双向强身份认证等，并采用现代信息存储方法，如磁盘阵列、数据备份、异地容灾备份等保证个人数据信息的安全。该点主要在于控制对计算机系统的访问和网络上传输的保护，包括以下方面：数据的访问控制、数据的审计控制以及数据的完整性，还有个人或实体认证，传输安全。

2.2 欧盟及其部分成员国相关法案

2.2.1  欧盟

欧盟在1995年制订的数据保护指令(95指令)，是欧盟各国关于个人信息隐私保护的最低标准。随着数据爆发时代的来临，欧盟成员国在信息安全风险防控所面临的挑战逐渐增长，所以欧盟委员会在95指令和欧盟成员国现有相关的信息保护法律基础之上制定了《通用数据保护条例》(General Data Protection Regulation, 679/2016，简称GDPR)^[6-7]。

GDPR的制订提高了欧盟各成员国法律对个人数据保护的普适性与一致性。和各国现有的个人信息保护规定相比，GDPR扩大了数据主体的权利，增加了数据控制者的义务，增强了数据传输过程的程序。

1.数据主体权利

数据的被遗忘和删除权是GDPR较于其他安全条律的闪亮点，是保障个人医疗信息安全的重要手段，其主要包括主体、客体以及不遵守规定的处罚措施。不论个体和企业是故意或者非故意违反被遗忘和删除权，相关的监管部门可以对其处以较高额的罚款，对违法行为起到震慑疏导作用。

数据主体的同意必须是自愿、自由做出的，并且必须是明确的。处理数据时，如果数据主体和数据控制者(非主体)之间地位存在不对等，主体的同意不能被作为使用数据的基础。当这种情形发生时，就要依据GDPR的规定进行处理^[8-10]。

GDPR对个人隐私数据和特殊类别的数据做出了专门的规定，在处理这类数据的时候要先对其进行评估，最终结果会影响到处理数据的权限。关系到医疗的个人隐私数据都有其特定的限制，不能被肆意处理。GDPR的这些规定体现了对个人隐私的尊重和对个人数据安全的维护。

2.数据控制者的义务

非主体数据控制者或者处理者，如果该企业或者机构的处理数据时的人超过一定数量，就要对其进行连续的监控，并任命数据保护专员以保护个人数据的安全。

如果发生数据主体的数据信息被泄露的情况，GDPR要求数据控制者于24小时内向数据安全部门报告相关数据信息泄露的状况，以便数据主体采取补救措施，若是延误超过规定时间要解释超时原因。

3.个人数据传输规则

随着数据量的迅速膨胀，个人数据在跨境的流量数据占有的比例日益增大，此时个人信息就极易受到侵入。所以GDPR规定，对于个人数据的控制者或者处理者在处理个人数据时，不论其在欧盟范围内是否设立机构，只要涉及到欧盟内民众信息的采集、保存、传输等过程都必须受到GDPR的约束^[11]。所以GDPR对无法保证数据传输安全的组织机构发出了禁止令，强力规范传输安全。另外GDPR关于个人隐私数据在传输中制定的规则有助于信息的安全流动。

2.2.2 欧盟成员国相关法案

1. 英国

2017年，英国女王批准相关“脱欧”法案，英国正式启动脱欧程序。2018年3月19日，欧盟与英国达成广泛过渡期条款协议，协议规定英国在2020之前必须继续执行欧盟的所有规则，但没有未来决定的话语权。

英国拥有210年全国普查的健康记录^[12-13]，在遵循有效法律的情况下，如此庞大的数据可以为临床医学研究、医药研发、公共卫生服务乃至全球医疗健康方面创造更多的价值。英国凭着强大的数学和计算机领域的实力，构建了基于医疗数据应用系统平台的强大基础数据库，用来整理英国国民医疗服务系统的数据，并分类开放。

关于医疗数据隐私问题，英国在2005年发布报告《生物医学研究与医疗卫生领域中数据的收集、连接和使用》^[14-16]，其中该《报告》建议政府机关或者相关企业，提高数据使用的透明度。2017年英国发布了《新的数据保护法案：计划的改革》的声明，预计该法案将取代《1998年数据保护法》，使得数据的获取、迁移和删除权利更为严格。英国在隐私数据使用方面，除按照《数据保护法案》和《人权法案》外，主要通过征得数据主体同意和“去识别”使用匿名数据两种方法。在发布的新法案中，扩充了个人数据信息的范围，任何可能泄露个人行踪的数据信息被列为要保护的信息；法案也增加了“被遗忘权”，即社交网络媒体所据有的个人学生时代的数据信息，个人有权要求相关数据实体和控制者将其删除。与此同时，若是违反了法案条例，将面临极为严厉的手段制裁。

2．法国

作为欧盟成员，法国自18世纪大革命及《人权宣言》出世至今，保护公民自身权利，以及公民隐私权成为法国宪法的基本原则。上世纪七十年代末法国颁布的《法国自由、档案、信息法》是一部关于公民信息安全的律法，法国于1983年又颁布了《在个人性质数据自动处理方面保护个人的公约》，颁布的这些法律均详细的规定了法国对于公民隐私数据进行保护的具体措施，为个人隐私数据安全提供了安全保证。由于在医疗领域对于个人信息数据的使用，法国的信息安全法没有给出特别的规定和限制，所以法国政府设立了一个独立的部门，专门对申请使用个人数据信息的人或部门进行处理，以确保个人信息的安全使用。

此外，2013年在巴黎召开的“巴黎大数据大会”，法国政府宣布未来五年将在教育、医疗健康等重点项目投入1150万欧元，用于拓展法国的大数据领域。 

2.3 加拿大

       加拿大政府注重个人信息的隐私，也注重信息的透明度和人民的知情权，所以为保证民众知情权建立了《信息获取法》，为保护公民个人隐私方面加拿大发布了：《隐私法》和《个人信息保护与电子文件法》，其中《隐私法》规定了政府组织机构在收集、储存、调用公民信息的时候要确保信息的安全，并且也赋予公民更正个人隐私数据信息的权利。2001开始实施的《个人信息保护与电子文件法》(PIPEDA)规定了私营企业和机构对于处理个人信息时候的原则。      

《隐私法》为了更大限度的保护个人的信息，加拿大联邦政府专门设立了个人隐私信息保护的机构，并且将国际事务活动、国家防务调查普查以及执行法律行为得到的个人信息称为“豁免信息库”，有效地淡化了公民的隐私，也体现了利益制衡的原则。《隐私法》说明了，加拿大政府对于公民的隐私数据信息的保护不是无条件的，公民的隐私信息只有在符合国家利益的情况下才会被保护，另外如果个人信息和公共利益冲突的时候，加拿大政府律法规定要优先保护公共利益。加拿大制定的政府法律和个人隐私数据之间的制衡，可以为我们的在隐私数据保护层面提供前车之鉴。 

2.4日本

日本有关个人隐私数据信息保护的法律法规，在2003年以前主要适用在政府机构和计算机行业涉及到个人信息时。此时，日本政府对非政府组织机构在涉及到个人信息保护问题上没有相应的法律，各种私营企业、电商、金融机构、保险公司等拥有的客户信息较多，在没有法律规范的情形下，就是出现了个人隐私数据被非法买卖、被披露等泄露行为也不能得到有震慑效果的处罚。所以，限制私营企业对个人隐私数据的利用成为必要。2003年日本颁布了《个人信息保护法》[17]，这部法律是在有效利用个人数据信息的情况下，对公民的数据信息进行保护，以保护公民的合法权利不受侵害，从效用上来讲《个人信息保护法》可以称为企业机构规范法，它面向的对象是据有个人数据信息的企业和组织机构，受到相关行政机构的督察和管理。

2013年安培政府发布了关于未来开放公共数据和大数据为核心的战略布局宣言。2014年又增加了宣言内容，即鼓励在医疗大数据平台下，灵活有效的利用医疗相关的数据，来改善现有的医疗环境、增加疾病的防控能力。

宣言增加的内容一是建立多种主题的医疗服务机构，以提升医疗服务的效率；二是医疗数据和网络相结合，对于医院、保险公司等企业单位提供的数据进行分析利用，使得医疗费用降低的效果；三是健全政府的制度，设立了首席信息技术长官，用于监督日本信息数据的安全和利用情况。

2.5 新加坡

新加坡为了限制个人数据信息被非法用于商业或者一些非法的欺诈活动，近期新加坡个人数据信息保护相关部门修订了《个人数据保护法案》，主要为了限制一些企业和机构使用公民身份证的权利范围。另外，新加坡政府还公布了用于保护政府有关部门隐私数据共享的法案。

《个人数据保护法案》(PDPA)为企业机构在使用公民隐私信息方面提供模式化管理，使得他们虽然拥有隐私数据，却不能随便使用这些数据。比如，不能将身份证用于创建零售账户，但是可以用来查询医疗的病人。由于一些公司或者企业获取公民电话号或者身份证号的方式极多，所以对其使用方式及目的必须加以规范和引导。

2.6澳大利亚

澳大利亚在关于个人信息安全的保护方面一直都是世界的先行者，在上世纪八十年代，就已经制订了《隐私法》专门用于保护个人数据信息安全。随着网络的发展，澳大利亚政府在网络安全方面也有很强的警觉性。在2009年，澳大利亚政府制订了《国家信息安全战略》，随着对法案的不断补充和改进，目前，澳大利亚政府的数据信息保护方面极为完善，如网络硬件基础设施、个人隐私数据的电子记录、数据传输以及政府信息保护方面，都形成了稳定的保护规则。

3.1 中国医疗隐私信息保护立法现状与不足   

中国目前尚未出台专门的个人信息保护法，相关规定散见于多部法律法规和规章制度中。

       2017年6月1日起正式施行的《中华人民共和国网络安全法》中明确规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；除了经过处理无法识别特定个人且不能复原的信息，未经被收集者同意，不得向他人提供个人信息。但是该法律中没有明确规定处理的手段和方法。

 由中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会于2017年12月29日发布，2018年5月1日起实施的《信息安全技术个人信息安全规范》[18-19]对个人数据的收集、存储、应用、传输各个环节，提出了十分确切具体的规定。然而该规范为推荐性的国家标准且并没有专门针对医疗行业的条款。该规范几乎将所有与医疗行为相关而产生的数据都定义为个人敏感数据，强调收集个人敏感信息时的明示同意的同时，又将几个与医疗行业相关情况的条款列为征得授权同意的例外情况中，包括：(1)个人隐私数据控制者是国家研究机构，出于社会利益对个人隐私数据进行统计和研究，但是在向外宣布研究结果时，必须对个人隐私数据进行去标识化处理的；(2)与公共安全、公共卫生、重大公共利益直接相关的；(3)为了维护他人生命财产合法权益但又很难得到信息主体本人同意的。

 2017年8月15日由中国标准化委员会发布的《信息安全技术 个人信息去标识化指南》，该文件目前还是征求意见稿，主要内容为去标识化的方法论，描述了个人信息去标识化的目标和原则，提出了去标识化过程和管理措施。去标识化的定义是通过特定算法或者方法处理个人隐私数据信息，并且经过处理后的数据信息，在不借助其他技术或信息的情形下，无法反向识别信息的主体。

 中国目前没有专门针对医疗信息及个人健康隐私保护的法规、标准，对医疗信息中的敏感部分没有一个统一的界定标准，对于相关信息的去标识化及去标识化效果也没有定量的标准去评估。各国关于个人隐私保护方面都拥有相应的立法，这些法案的侧重点不完全相同，尤其是美国的HIPAA，它是一个专门针对医疗信息与个人隐私的法案，将信息安全保护与医疗健康领域紧密结合，具体规范了敏感信息的保护要求和标准。对各个国家的相关法案进行一个整体性的研究，会对中国未来相关标准的制定给予一定的启示和帮助[20]-[23]。

3.2  对国内的策略和建议

  从国外医疗隐私数据泄露情况分析表明，患者隐私信息泄露的途径有以下两个方面：

1.非交互式泄露

       不论是在欧美发达国家，还是在我们国家，医疗机构、保险公司以及医护人员均有保护就医者隐私的法定义务。但由于医疗机构内部管理存在一定的漏洞，而这将有可能使得患者的隐私数据泄露。然而在律法中，却没有规定对那些擅自泄露隐私数据的行为采取何种惩罚手段。因此，随着数据的日益增长，这方面的立法日趋迫切。

2.交互式泄露

      医生或者医疗机构相关的学者为了临床研究，会从医院或者其他医疗机构拿到患者的隐私数据进行分析；另外，中国正在致力于建立电子病历，以达到局部或者全国医疗信息共享；虽然这两种情况虽然是以便民为目的，也属于征得授权同意的例外情况，但也面临着隐私数据泄露的问题。医疗领域的研究人员往往对于去标识化的相关知识比较欠缺，在缺少硬性指导下，一般的研究人员仅能根据自身常规手段对于一些直接标识符进行处理

需要注意的是，经过常规手段进行去标识化后的个人数据也不能说肯定是安全的。因为随着数据挖掘、机器学习、人工智能等技术的应用和发展，大数据分析的能力越来越强大，而海量的数据本身就蕴藏着价值，尤其是医疗行业，目前医疗大数据正向着多源联合分析的方向发展，其数据内容已经不仅仅包含了常规的临床数据比如EMR，HIS，LIS，PASC等，从数据来源来讲，医疗大数据来源包含医疗从业者提供的电子医疗档案、健康档案、临床测试结果、临床评估记录；来自于患者社交网络的行为数据以及患者提供的结果研究数据；医药企业提供的市场营销数据、医疗数据、研发数据；医保机构持有的报销数据等等。而在对大数据中多源数据进行综合分析时，分析人员更容易通过关联分析挖掘出更多的个人信息，从而进一步加剧了个人信息泄露的风险[24]。在大数据时代，要对个人数据进行安全保护，既要注意防止因数据丢失而直接导致的个人信息泄露，也要注意防止因挖掘分析而间接导致的个人信息泄露，这种综合保护需求带来的安全挑战是巨大的。

  所以通过吸收和学习其他国家的相关法律及经验，尽快出台专门的个人信息保护法已刻不容缓。我国可以从以下几个方面开始着手：

1.首先完善个人隐私法律法规

  公立医院的改革是我国医药卫生领域改革的重点，然而医疗数据的信息化是改革的有效手段。要体现信息化的有效性，就要对电子病历进行立法，确保其有效性、认可性、安全性，规范相关实体的权利和义务，以及对侵犯个人隐私数据所要承担的法律后果，提高法案的可实施性。另外，还要制定医疗健康信息大数据的安全标准，包括数据的采集方式、数据的储存方式和数据的传递方式等；以保证医疗机构和企业之间数据的规范性、安全性、共享性以及流通性。

2.发展保护个人数据隐私的技术

      个人数据的隐私问题，离不开信息技术的支持。随着信息技术的快速发展和应用，一些新的问题、新的情况也会出现，所以隐私技术要跟上信息技术的发展。

       随着国内医疗信息的发展，我们可以通过建立医疗领域的数字身份、数据限制访问信息系统、升级加密手段等，加强对隐私数据的防护。比如，在信息去标识化方面，相关加密算法可以考虑使用循环神经网络(RNN)、LSTM、分段卷积神经网络、分段递归神经网络等。同时还应加强去标识化和再识别风险相关的算法的研究，在数据共享之前针对已经去标识化的数据计算数据再识别风险，以确保共享数据的安全。或者可以采用其他手段进行研究的内部数据共享，如加密等方法进行研究数据共享。总之，在敏感信息处理方面，要跟上信息技术的发展，以确保医疗健康数据的安全。

3.完善医疗数据信息的管理

虽然我国目前正在推动医疗领域的信息披露工作，但是对个人数据的使用和披露没去确切的规定，也没用完善的数据信息保护机制。所以我们国家应该加强医疗隐私数据的安全风险评估和保护。可以根据HIPAA建立医疗隐私数据安全管理机构，包括医疗数据管理委员会、隐私数据业务部门、隐私数据技术部门以及风险安全评估部门；完善相关政策，培训数据安全专业人才；而相关的企业要定期组织员工进行信息安全培训指导，增强保护医疗隐私数据安全的意识，并且做好隐私数据的安全评估，预防可能出现的风险。另外，我国应该将个人信息的保护和披露有效的结合起来，尽量做到医疗数据的质量和信息保护的平衡。在使用研究数据的基础上，也要对发布的信息进行有效的界定和处理，避免个人数据的泄露。

       总的来说，虽然我国对于个人数据保护及相关基本原则进行了规定，但是我国现阶段没有建立起完整的个人信息隐私安全的立法系统，涉及隐私安全的法律分散于法律、行政规范中，并且内容冗杂，缺乏层次性、针对性和统一性，使得医疗大数据在中国的应用一直停滞不前[25-30]。另外，目前的规定主要是针对数据使用的正当和必要程序等方面，对于不同类别的个人数据其保护水平和要求的细分程度不足，使用规范也应进一步细化。所以参照国外的相关法律内容，在涉及医疗数据隐私保护方面，我国今后还需要对更大范围的数据保护立法进行补充和优化。