·卫生法学·

美国和欧盟基于个人健康记录隐私和安全的法律框架比较及对我国的启示

杨朝晖¹简雅娟²李树荣³

¹天津医学高等专科学校公共卫生与卫生事业管理系，天津，300022；²天津医学高等专科学校科研处，天津，300022；³天津医学高等专科学校成人教育处，天津，300022

摘要作为个人医疗健康信息自我管理工具，个人健康记录能为个体患者和整个医疗系统带来益处，但存在损害信息安全性和隐私性的隐患。笔者对美国和欧盟适用于个人健康记录隐私和安全的法律框架重要组成部分予以梳理和比较分析，指出美国相关法案的数据保护模式有利于促进数据流通，欧盟数据保护措施更全面和严格。结合我国个人健康记录相关立法现状，提出界定个人健康记录相关概念、明确责任主体、完善监管机制、采用相关标准等建议。

关键词个人健康记录;隐私；安全；启示；美国；欧盟

个人健康记录(Personal Health Records，PHR)作为具有前景的个人医疗健康信息自我管理工具，能为个体患者和整个医疗系统带来益处。PHR的广泛实施会降低医疗成本，提高医疗质量，促进更好的健康结果。但目前PHR的采用率相对较低,重要原因是PHR服务存在多重安全隐患，可能会损害信息隐私性和安全性。医疗信息失窃将对个人造成严重损害，是当前PHR亟需解决的问题^[1]。目前，我国个人信息保护立法仍在制定中，笔者梳理美国和欧盟涉及PHR安全和隐私的法律框架，为我国相关立法提供借鉴。

在选修2-3中介绍了随机误差、线性回归模型后，引出了相关系数的概念，此处也是“科普”式的处理方法，只是在“链接”中解释了相关系数为什么越接近1，两个量之间的线性相关程度越强．

1 PHR的概念

美国卫生与公众服务部民权办公室定义PHR是个人健康信息的电子记录，并且具有管理、追踪和参与自身健康保健的功能，个人可通过其控制对健康信息的访问^[2]。美国健康信息技术协调办公室将PHR定义为符合国家认可的互操作性标准，可以从多个来源获取，同时由个人管理、共享和控制的与个人健康信息相关的电子记录^[3]。PHR是一种以患者为中心的工具，用于促进患者参与持续医疗保健和自我健康管理，包含个人自我追踪设备、可穿戴设备等设备采集的连续健康数据，如病史、药物使用、患者体重、葡萄糖水平、血压等健康数据，以及饮食、运动、活动日志、压力水平等支持健康生活习惯、健康管理的数据^[4]。

事故致因理论认为事故发生的根源在于管理失误[9]. 管理失误是导致人、物、环境和信息缺陷的直接原因. 如图3所示，人、物和环境3者的缺陷都反映出其背后的管理失误，而信息缺陷一方面根源于管理失误，另一方面也会导致管理者对人、物及环境认识的不足，进而引起管理失误[9]. 管理上的失误充分折射出企业安全文化缺失这一深层原因.

PHR数据是个人健康数据的重要组成部分，其与电子病历系统的区别在于电子病历系统是卫生保健服务人员使用的系统，而PHR的主要目的是让个体患者获得和控制个人健康信息^[2]。不同的PHR系统提供不同程度的连接和功能，可以与电子病历系统等其他系统完全或部分集成。PHR将医疗健康管理的重点转移到以患者为中心的模式，能促进患者尤其是慢性疾病患者参与预防与实践，并减少医疗错误和再入院率；PHR汇总数据能够在健康监测、疫情管理等公共卫生领域和科学研究领域发挥作用^[5]。

2 美国和欧盟PHR管理的现状

2.1 美国

针孔模型是摄像头的最简单模型。其原理是,光线从场景或物体发射过来,经过一个点可认为针孔,被投影到成像表面,在图像平面上,图像被聚焦。因此与远处物体相关的图像大小可以只用一个摄像头参数来描述:焦距。

此外，《联邦贸易委员会法案》也适用于美国PHR服务提供商。该法案第5节规定不支持自身所承诺安全措施的PHR供应商将被追究责任^[8]。

安全规则列出了存储和传输人员对个人受保护的健康信息需要采取的预防措施，其中包括需具备的管理、物理和技术保障，以及最低限度的文件和审计要求。安全规则要求受管辖实体确保受保护健康信息的机密性、完整性和可用性，防止任何可能威胁此类信息安全性或完整性的危险，防止任何被禁止但预期合理的使用或披露，并确保其员工操作的合规性。另外安全规则制定安全措施、审计、加密、身份验证和处置实施细节和要求。

HITECH对HIPAA进行了更新，主要是将隐私和安全规则中对个人受保护健康信息责任扩展到所受管辖实体的商业合作伙伴。HITECH阐明了商业合作伙伴的法律地位，使其受到与受管辖实体相同的隐私要求。2013年HITECH进一步阐明，商业合作伙伴所涵盖实体包括创建、接收、维护或传输个人健康信息的任何业务，因此提供数据传输和云服务器等服务的企业将有义务遵守所有HIPAA安全规则和一部分隐私规则^[7]。

HIPAA旨在管理提供PHR服务的实体，使其正确履行隐私和安全的要求。HIPAA最适用PHR服务的是章节二管理简化条款中的隐私规则和安全规则，隐私规则主要涉及如何使用个人的受保护健康信息，安全规则目的是通过解释如何在各方之间安全地共享数据和定义企业可以遵守的标准来鼓励电子数据的交换传播^[2]。HIPAA仅适用于受管辖实体，主要包括传统卫生保健服务提供者、卫生保健信息处理机构，而私人PHR供应商未受该法案约束。HIPAA关于商业合作伙伴概念及其确切法律地位的界定也比较模糊。隐私规则限制了受管辖实体使用和披露个人受保护健康信息的方式，但该限制并未传递给与受管辖实体相关联的任何商业业务。

2.2 欧盟

欧盟最初适用于PHR的指令是1995年颁布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》和2002年颁布的《关于隐私和电子通信的指令》。上述指令包含数据保护和隐私政策，以及个人和敏感数据的一般类别，但未详细说明哪些安全和隐私措施必须应用于保护健康相关数据。

由表1可见，欧盟不区分行业，对个人数据予以统一保护，而美国则基于医疗健康行业的特点，对个人的受保护健康信息予以保护；GDPR对合理、适当的安全与保障措施提供了更具体和严格的要求，但诸如隐私设计和隐私默认等术语，其含义上具有一定的解释空间和模糊性；上述法律对用户认证均不需要特定的先进识别手段，但仅加密用户身份并不满足HIPAA安全规则标准；数据控制者、数据处理者、数据所有者3个特定术语并不适用于美国司法管辖区；GDPR中未有涉及数据披露的相关条款；HIPAA与GDPR中数据泄露必须通知监管机构的时间范围有所不同，但均规定了最低要求，GDPR为72小时，HIPAA为10天，在通知个人方面，上述法律给责任机构留下了审慎选择的空间，让他们评估健康信息泄露潜在风险以决定是否通知个人；相对于美国相关法案，GDPR定义了更直接和更严格的惩罚措施，赋予受保护数据主体更多权力，如删除权(被遗忘权)与可携带权。综上比较，GDPR数据保护措施更全面和严格，但在关键领域留有解释空间和一定程度的模糊性；美国相关法案的PHR数据保护模式有利于充分促进数据流通，但在隐私保护严格程度方面又稍逊于欧盟GDPR。

美国是PHR系统开发的核心市场之一^[6]，其适用于PHR的相关法律包括1996年颁布的《健康保险可携带与责任法案》(Health Insurance Portability and Accountability Act，HIPAA)和2009年颁布的《经济和临床健康信息科技法案》(Health Information Technology for Economic and Clinical Health Act，HITECH)，二者均是管理受保护健康信息隐私和安全的法律。HIPAA确定了交换、披露健康信息的初始安全要求。HITECH对其进一步扩展，要求通知本人有关其受保护健康信息的违规行为。

目前，我国PHR保护的相关立法散见于我国各类法律，如2004年12月1日施行的《中华人民共和国传染病防治法》、2010年7月1日施行的《中华人民共和国侵权责任法》、2015年11月1日施行的《中华人民共和国刑法修正案( 九) 》、2017 年6月1日施行的《中华人民共和国网络安全法》、2017年10月1日施行的《中华人民共和国民法总则》等。上述法律相关条文对于PHR的保护零碎不成系统，无法形成完整的体系^[10]，结合GDPR与HIPAA法案涉及PHR安全和隐私的法律框架回顾，笔者提出以下建议。

GDPR旨在通过标准化欧盟的个人数据保护制度，更好地应对新兴和全球化的技术，并确保个人权利得到保护。GDPR重点强调促进问责制，要求相关机构证明其遵守条例概述的原则。其规定措施包括：建立加工活动记录(文件)；明确数据保护/隐私影响评估要求，包括评估处理操作和目的描述、与目的相关处理的必要性和比例、个人风险和应对风险的措施；数据泄露的通知责任，向相关监管机构报告某些类型的数据泄露的义务，在某些情况下向受影响的个人报告的义务；任命数据保护官员，其职责主要包括向组织及其员工告知他们应遵守GDPR的义务、监控和管理对GDPR的遵守情况(包括内部数据保护活动、数据保护影响评估、员工培训和内部审计)；设立国家数据保护机构等。此外GDPR提出了隐私设计和隐私默认的概念：数据控制者必须设计和实施保护数据的机制，以维护条例规定的标准；并确保默认情况下仅处理特定目的所需的个人数据^[9]。

2.3 美国和欧盟的比较

新技术的快速发展对各种法律体系评估相关和适用的立法定位提出挑战。欧盟与美国PHR保护相关立法均是依据个人数据保护或电子病历系统制定的，并未针对基于私人和企业PHR提供具体的规定：缺乏对构成PHR的内容明确和一致的定义、PHR各类服务的定义和术语，以及未能明确PHR和电子病历系统之间适当的法律框架差异，总体上法律体系完善尚未完全跟上PHR相关技术的快速发展，并适应其对患者数据隐私和安全所带来的挑战。建议从法律层面界定PHR等概念，确定其保护范围、权利内涵、保护原则等法律属性，使PHR隐私与安全保护有法可依。

表1 美国与欧盟适用PHR的立法关键组成部分的比较

图3显示肉桂醛/壳聚糖微球中川陈皮素的释放行为.结果表明，在酸性环境中，川陈皮素释放率要远高于其在碱性环境下的释放率.此结果与已报道的结果一致[6].在释放初期，主要是川陈皮素的溶解为主，肉桂醛/壳聚糖微球吸水后部分川陈皮素溶解而释出.后期主要是基于交联壳聚糖微球的溶胀导致川陈皮素释出.肉桂醛/壳聚糖微球在酸性环境中比在中性环境中更容易发生溶胀(图2).随着体系中肉桂醛含量增加，川陈皮素的释放速率有一定延后作用.肉桂醛含量越高，加大壳聚糖的交联程度，导致肉桂醛/壳聚糖微球内部及表面结构更致密，从而延缓川陈皮素的释放[5].

3 对我国相关立法的启示

欧盟成员国必须制定基于上述指令概述原则的本国法律，由于各成员国独立起草和实施的法律间存在差异，导致了不同程度的执法和其他相关问题^[9]。为了改善这种情况，欧盟于2016年4月批准新的条例《通用数据保护条例》(General Data Protection Regulation，GDPR )，并于2018年5月生效。

3.1 界定相关概念

表1对美国和欧盟适用于PHR开发和使用的立法组成部分进行比较。

3.2 明确责任主体

PHR数据流通过程中涉及的实体包括医疗机构、独立系统运营商、软件开发商、设备供应商等机构及其从业人员等，而我国相关法律中健康数据保护条款适用主体仅涉及卫生行政部门、疾病预防与控制机构、医疗机构及医疗从业人员。HIPPA中受管辖主体则包括健康计划、卫生保健信息处理机构、卫生保健服务提供者及其商业合作伙伴^[11]；GDPR 明确侵权责任主体，引入了数据控制者、数据处理者等概念，并严格规范其义务。建议我国相关法律以在PHR健康数据流动过程中直接和间接接触数据的范围和作用来界定侵权责任主体。

由此看来，当花序长度超过12 cm，花序处理时间距开花时间不足10天，必须把稀释倍数调整至 1 ∶110 000～120 000。

3.3 完善监管机制

美国与欧盟相关法律制定了完善的监管问责机制并确定了其可执行性。如GDPR在企业内部设立了数据保护官；由数据控制者与处理者的主营业机构确定主数据保护机构，主数据保护机构行使统一管辖权；设置欧盟数据监管的最高机构欧盟数据保护理事会。GDPR还规定了各监管机构的行政执法权、检查权、诉讼及处罚权^[12]，使相应的问责与处罚具有较强的操作性。而我国相关法律缺乏适用于PHR服务的监管机制，应要求信息控制者指定或者设立专门机构或具有相应资质的专门人员负责PHR保护日常工作^[10]；适当以列举的立法方式来制定PHR系统遭到破坏或泄密等情况时责任主体的责任以及惩罚措施。

3.4 采用相关标准

在个人信息保护立法空缺的情况下，与技术相连的相关标准可以起到部分立法替代作用^[13]。大数据时代个人健康数据的跨境存储和流通不可避免，亟需建立一致性的隐私和安全标准，这些标

准要能够被普通消费者清楚地理解，并且允许各种PHR系统被独立评级和比较。但目前在数据定义、通信协议和数据分析等领域缺乏普遍认同的标准^[14]。建议广泛和强制使用基本、全面的技术中立标准以促进患者在各种平台和地理区域安全地共享数据服务，如HL7安全和隐私标准有效地支持了GDPR的实施，HL7的PHR系统功能模型PHR-S FM可以为患者提供更好的隐私安全保护，更准确地定义组织必须采取的信息保护措施。

参考文献

[1]KOCH D D.Is the HIPAA security rule enough to protect electronic personal health information (PHI) in the cyber age? [J].Journal of Health Care Finance 2017,43(3):25.

[2]Department of Health and Human Services. Personal health records and the HIPAA privacy rule [EB/OL].https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/understanding/special/healthit/phrs.pdf-185k,2019-06-08.

[3]What is a personal health record?[EB/OL]. https://www.healthit.gov/faq/what-personal-health-record-0,2019-03-15.

[4]杨朝晖,王心,徐香兰.医疗健康大数据分类及问题探讨[J].卫生经济研究,2019,36(3):29-31.

[5]VANCE B, TOMBLIN B, STUDNEY J,et al. Benefits and barriers for adoption of personal health records[C].Business and Health Administration Association Annual Conference,2015.

[6]NEW J P,LEATHER D,BAKERLY N D,et al.Putting patients in control of data from electronic health records[J].BMJ,2018,360:5554.

[7]WANG C J,HUANG D J.The HIPAA Conundrum in the Era of Mobile Health and Communications[J].JAMA,2013,310(11):1121.

[8]Federal Trade Commission Act.[EB/OL]. https://www.ftc.gov/,2019-02-23.

[9]VOIGT P,BUSSCHE .The EU general data protection regulation (GDPR)[M]. London：Springer International Publishing,2017.

[10]周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向[J].法学研究,2018,40(2):3-23.

[11]蔡宏伟,龚赛红.HIPAA法案健康信息隐私保护借鉴研究[J].中国社会科学院研究生院学报,2017(5):114-121.

[12]彭星.欧盟《一般数据保护条例》浅析及对大数据时代下我国征信监管的启示[J].武汉金融,2016(9):42-45.

[13]王秀哲.大数据时代个人信息法律保护制度之重构[J].法学论坛,2018,33(6):115-125.

[14]ARCHER N, FEVRIERTHOMAS U , LOKKER C,et al. Personal health records: a scoping review[J].J Am Med Inform Assoc,2011,18(4):515-522.

A Comparative Study of the Legal Framework based on Privacy and Security of Personal Health Records between the United States and the European Union and the Enlightenment to China

Yang Zhaohui et al

School of Public Health ,Tianjin medical college ,Tianjin ，300022

Abstract Personal health records (PHR) has been recognized as a promising tool for self-management of personal medical and health information, which brings benefits to both patients and the entire medical system. The main obstacle to the implementation of PHR is that the public questions about their capability of PHR system to protect the security and privacy of sensitive information. This paper reviewed and compared the important components of the legal framework applicable to privacy and safety of PHR between the United States and the European Union. The PHR data protection model of the relevant laws in the United States is conducive to fully promoting data flow, and the EU data protection measures are more comprehensive and stringent. Combined with the existing legislation of PHR in China, this paper put forward some suggestions, such as defining the legal attributes of such concepts as PHR, defining the subject of responsibility, improving the mechanism of supervision and adopting recognized standards.

Key Words Personal Health Records; Privacy; Security；Enlightenment；The United States; The European Union

中图分类号 R199

文献标识码 A

DOI ： 10.13723/ j.yxysh.2019.11.031

基金项目：天津市教育科学十三五规划课题资助项目“医学高职院校提升社会服务能力的研究与实践”，编号为VE4081

(收稿日期 2019-06-26; 编辑张晓莉)

标签：个人健康记录论文; 隐私论文; 安全论文; 启示论文; 美国论文; 欧盟论文; 天津医学高等专科学校公共卫生与卫生事业管理系论文; 天津医学高等专科学校科研处论文; 天津医学高等专科学校成人教育处论文;

美国和欧盟基于个人健康记录隐私和安全的法律框架比较及对我国的启示论文