隨著信息技術的發(fā)展����,計算機技術越來越多地應用到醫(yī)療領域���,建立和完善以電子病歷為核心的醫(yī)院信息系統(tǒng)�����、普及電子病歷的應用已經(jīng)成為實現(xiàn)醫(yī)院現(xiàn)代化和信息化的基本內(nèi)容���。但在電子病歷的普及過程中�����,涌現(xiàn)出諸多問題���,比如法律規(guī)定不明晰;標準缺失�,無操作性,目前未確立電子病歷個人隱私保護標準規(guī)范�����;從業(yè)人員亟需培訓����;技術措施不完善;醫(yī)療健康數(shù)據(jù)尚不能互聯(lián)互通等�。
近日,世界中醫(yī)藥學會聯(lián)合會知識產(chǎn)權保護工作委員會常務理事兼副秘書長、北京觀韜中茂律師事務所數(shù)字法律與網(wǎng)絡合規(guī)委員會秘書長楊旭律師接受了大健康派的采訪��,就電子病歷與患者個人隱私保護的現(xiàn)狀和問題展開介紹��,并作出深度解讀����。
世界中聯(lián)知識產(chǎn)權保護工作委員會常務理事兼副秘書長
數(shù)字法律與網(wǎng)絡合規(guī)委員會秘書長
北京觀韜中茂律師事務所律師
問
如果個人電子病歷泄露了,可能會產(chǎn)生什么樣的后果�,醫(yī)院或醫(yī)生應該承擔什么樣的法律責任?
答
從患者的個人隱私方面來看���,電子病歷包括兩方面的內(nèi)容�����,一是患者的個人信息����,包括姓名�����、性別�、年齡等基本身份信息�����,父母、配偶�����、子女等家庭生活與社會關系的信息��,教育程度����、職業(yè)、政治面貌等社會政治信息�����,家族史�����、病史����、過敏史等基本健康信息,新農(nóng)合、商業(yè)保險��、公費等參保信息�����。��;二是醫(yī)護人員記錄的診療信息�����,包括入院記錄����、病程記錄、手術記錄����、出院記錄、醫(yī)囑記錄����、耗材記錄、生命征象記錄�、會診記錄�、相關的檢查資料與報告��、醫(yī)生對患者的診斷結果以及治療的方案��、知情告知書等方面的資料���。患者電子病歷信息安全指的是患者有權要求數(shù)據(jù)處理者和使用者避免個人病歷信息的丟失���、不當訪問���、破壞、利用����、修改、泄露等風險����,并應采取合理的安全保障措施?��!吨腥A人民共和國民法典》正式實施以后�,對隱私權做了法律上的界定,患者的隱私權����,是指患者醫(yī)療機構接受醫(yī)療服務時表現(xiàn)出的,涉及患者自身因診療服務需要而被醫(yī)療機構及醫(yī)務人員合法獲悉���,不愿他人知悉的個人情況�����。數(shù)字經(jīng)濟時代的三駕馬車《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》�����,也明確界定了個人敏感信息的處理原則�����,醫(yī)生和醫(yī)院作為信息的處理者��,一旦泄露患者的個人敏感信息�����,涉及侵犯患者隱私權��,要承擔相應的民事責任��。
從醫(yī)院管理方面來看��,醫(yī)院要承擔承擔數(shù)據(jù)安全和數(shù)據(jù)合規(guī)義務����,對于患者個人電子病歷中涉及的敏感信息���,醫(yī)院應當妥善地保管��,盡到管理的職責�。以一家大型三甲醫(yī)院為例���,平均門診量高達7000—10000人次/天���,一年的門診量高達240萬—250萬人次/年,電子病歷系統(tǒng)里存放大量的病歷數(shù)據(jù)�����,當患者就診時�����,醫(yī)生通過電子病歷系統(tǒng)從200多萬份數(shù)據(jù)中快速、準確地找到該患者的數(shù)據(jù)����。在使用這些數(shù)據(jù)時,醫(yī)院應當做到合理使用�����、妥善保管�����,避免泄露患者的個人信息����。如果醫(yī)院未履行此義務,就要承擔相關主管部門的行政處罰�,甚至涉及刑事犯罪,單位和相關負責人要承擔刑事責任��。
電子病歷系統(tǒng)建設主要存在的問題
問
從您的專業(yè)的角度���,請您談談目前國內(nèi)電子病歷系統(tǒng)建設主要存在哪些問題��?
答
我認為目前國內(nèi)電子病歷系統(tǒng)的建設存在的問題是:
一是醫(yī)療數(shù)據(jù)共享問題���,在醫(yī)療大數(shù)據(jù)共享系統(tǒng)下�����,患者每次就診便自動將個人所有疾病信息共享給主治醫(yī)生����,甚至是特殊敏感的疾病信息���,如性病、艾滋病等�����。那么是否有必要如此共享����?患者是否有權決定共享的范圍?某些醫(yī)院在給第三方機構調(diào)取患者數(shù)據(jù)時���,并沒有對患者個人的敏感信息進行脫敏處理�����,這就違反了《網(wǎng)絡安全法》�����、《數(shù)據(jù)安全法》等相關法律����。
二是有關數(shù)據(jù)處理問題,醫(yī)院是患者個人信息處理的主要機構���。當前���,醫(yī)院尚未形成體系性的個人信息保護的管理制度,個人隱私保護措施主要體現(xiàn)在各個具體的信息系統(tǒng)管理制度當中����。患者電子病歷數(shù)據(jù)的保存���、利用���、共享���、刪除,保密機制是否有完善���,這是一個全生命周期數(shù)據(jù)合規(guī)體系的搭建問題��,是否對數(shù)據(jù)安全�����、數(shù)據(jù)出境進行評估�,以及患者的個人信息安全影響評估機制�,醫(yī)院是否對防火墻機制進行了評估,從這些角度來看���,目前還是有所缺乏的。國內(nèi)亟需依法對患者隱私信息進行嚴格管控保護�����,設立脫敏�����、去標識化的具體標準和規(guī)定,這樣才能在促進健康醫(yī)療大數(shù)據(jù)應用發(fā)展過程中保護個人隱私和維護信息安全�����。
電子病歷的合規(guī)管理體系
問
隨著互聯(lián)網(wǎng)醫(yī)療的普及�����,在互聯(lián)網(wǎng)診療過程中也會形成電子病歷����,與傳統(tǒng)線下診療中的電子病歷在合規(guī)管理方面有哪些相同點以及不同點?
答
互聯(lián)網(wǎng)診療中形成的電子病歷和線下診療中的電子病歷的相同點是它們都是電子數(shù)據(jù)�����,都全方位�、全流程展示了患者的信息。
它們的不同點在于�����,線下的電子病歷是醫(yī)院和患者進行線下溝通����,經(jīng)過醫(yī)生的診斷����,再經(jīng)由醫(yī)生系統(tǒng)上傳數(shù)據(jù)����;而互聯(lián)網(wǎng)診療過程中形成的電子病歷完全符合全生命周期的概念,所有的數(shù)據(jù)從提取���、存儲�����、共享都是在互聯(lián)網(wǎng)診療機構里面進行的�,是可追溯的�,這一特點符合數(shù)字化時代的特征,互聯(lián)網(wǎng)醫(yī)療領域是醫(yī)療數(shù)據(jù)過度采集和不當使用的重災區(qū)�。互聯(lián)網(wǎng)醫(yī)療機構通過計算機網(wǎng)絡為個人信息主體提供相應的服務時�,可能作為個人信息控制者收集用戶的個人信息并加以利用,而在該過程中更加存在數(shù)據(jù)合規(guī)風險�����。在這樣的背景下�����,合規(guī)管理體系就顯得尤為重要����。
健康醫(yī)療大數(shù)據(jù)的重點發(fā)展方向
問
圍繞健康醫(yī)療大數(shù)據(jù)的保護和流通,您認為未來會有哪些重點的發(fā)展方向���,能否為院方提出一些建議�����。
答
未來�����,健康醫(yī)療大數(shù)據(jù)的會朝著互通���、互享、共治���、共享的方向發(fā)展���,數(shù)據(jù)的流通會更加順暢���,防止數(shù)據(jù)的泄露也是很重要的議題。因此��,院方要尤其注意對醫(yī)療健康數(shù)據(jù)的處理��,建立全生命周期的數(shù)據(jù)合規(guī)管理體系��,并進行認證��,才能更好地規(guī)避信息安全的問題�。
目前看來,建設全國統(tǒng)一醫(yī)院電子病歷系統(tǒng)的關鍵不在于技術手段���,而在于制度細節(jié)——如何在數(shù)據(jù)共享的同時保護好患者隱私�����,如何在互聯(lián)互通的同時保障醫(yī)院的知識產(chǎn)權����,這些都有待于相關制度的進一步建立和完善��。
如楊旭律師所說�,加快建設醫(yī)療健康數(shù)據(jù)合規(guī)管理體系,才能在保障患者信息安全的同時����,亦能幫助醫(yī)院合法有效地進行數(shù)據(jù)共享。
