本文是一篇法律论文,本文通过分析法理研究和实证研究的研究成果,为个人医疗健康信息保护制度化路径提出了以下建议:构建权利保障与权力制衡动态平衡的法律保护体系,形塑法律规制体系与行业自治契合的激励相容模式,加快引入合规评估机制,切实保障患者权利束保障机制,希望能为域内个人医疗健康信息保护专门立法提供理论思路,为我国医疗卫生事业和个人信息保护事业的发展助力。
1导论
1.1选题背景与意义
1.1.1选题背景
个人医疗信息的重要性和价值随着人们对健康的关注和需求的多元化而日益突出,但同时也伴随着泄露、滥用、侵权等危险,威胁到个人的尊严、利益。信息技术的快速发展和广泛运用,使收集、存储、使用、共享个人医疗健康信息等环节发生了深刻变革,个人医疗健康信息的数据化为提升医疗卫生服务的质量和效率、实现精准医学和智慧医疗等目标提供了有力支持,同时也带来了新的安全问题和风险。此外,个人医疗信息成为推动医疗卫生服务、健康管理、医药研发等领域发展的重要资源,也成为各类市场主体竞争和利用的对象,涉及到巨大的经济利益。为了促进健康产业的发展和创新,规范市场秩序和维护公共利益,必须坚持个人医疗健康信息的保护。因此,个人医疗信息保护是维护社会公平正义和人权尊严的重要内容,也是社会各界和公众普遍关注和期待的问题。
随着国际社会对个人数据保护的重视程度不断提高,各国纷纷出台了相关法律法规和标准规范,形成了不同的制度模式和治理机制,为个人医疗信息保护提供了法律依据和参考借鉴,同时也带来了跨境数据流动和合作的法律障碍和挑战。我国对个人医疗健康信息保护这一领域的立法和研究明显不足,因此推进个人医疗健康信息保护的研究是完善国家法律体系和国际合作规则的重要前提,也是履行国际义务和参与国际治理的重要途径。
1.2概念边界
1.2.1个人信息
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息不包括匿名化处理后的信息。个人信息的概念在我国法律法规中经历了一个漫长的探索和发展过程,从最初的局部性保护,到后来的全面而明确的界定,再到最新的《个人信息保护法》的专门立法。个人信息的概念定义有三种主流学说,分别是识别说、关联说和场景理论,他们分别从不同的角度解释了什么样的信息能够识别或关联到特定自然人。在司法实践中,判断某个信息是否为个人信息时,需要结合具体场景、处理者已掌握的其他信息、识别成本等因素进行综合评估。
识别说的主要评判标准是看该信息是否能识别到特定自然人。识别说认为,个人信息的核心指标是可识别性,即该信息能够单独或者与其他信息结合识别特定自然人的身份或者特征。识别说是国内外的主流观点,也是我国《网络安全法》、《民法典》和《个人信息保护法》采用的定义方式。
关联说:这是一种从信息主体出发,看该信息是否与已知或可知的特定自然人有关的理论。关联说认为,个人信息不仅包括能够识别特定自然人身份的信息,还包括能够反映特定自然人活动情况的信息。⑥关联说强调个人信息的相对性,即某信息对一些处理者来说可能是个人信息,但对另外一些处理者来说则不是个人信息。关联说是欧盟《通用数据保护条例》(GDPR)采用的定义方式。
2个人医疗健康信息保护合规评估的法理基础
2.1国内个人医疗健康信息保护
2.1.1国内保护立法
当前,世界各国都在加快个人信息保护立法。从2000年到2010年,共有40个国家制定了个人信息保护法。2010年至2019年新增个人信息保护法62部。⑳在数字化时代,个人信息作为一种重要的数据资源,既有利于提升社会生产效率和公共服务水平,也涉及自然人的隐私、尊严和其他合法权益。如何在保障个人信息权益和促进个人信息合理利用之间找到平衡点,是一个亟待解决的问题。目前我国的个人信息保护立法还处于起步阶段,存在着较大的立法空白和滞后。高层次的规范性文件只是做出了形式性或者宣示性的规定,缺乏具体可操作的规则。个人信息处理者的法律责任和义务不明晰;行政监管机构的定位和权限也不清晰,主管部门缺少开展行政管理和执法活动的必要法律依据。这些问题不仅导致了个人医疗健康信息权益频繁受到侵害,也制约了个人医疗健康信息在社会经济发展中发挥积极作用。因此,亟需制定专门针对个人信息保护的专门法律。
个人医疗健康信息作为一种特殊的敏感个人信息,其保护在我国法律上还没有形成一个完整的制度框架。我国对个人医疗健康信息保护的立法历程可以追溯到2000年,当时《互联网信息服务管理办法》作为我国第一部涉及个人信息保护的法律文件,规定了网络服务商在收集、使用个人信息时应当遵守的义务和责任。随后,我国在刑法、民法、网络安全法等方面陆续出台了一系列与个人信息保护相关的法律规范,逐步完善了个人信息保护的基本原则、范围、标准、程序、责任等方面的内容,对侵犯个人信息权利的行为进行了明确的界定。其中,《刑法修正案(七)》首次将“公民个人信息保护”纳入刑事法律调整范畴,设立了“出售、非法提供公民个人信息罪”。2013年,《电信和互联网用户个人信息保护规定》作为我国第一部针对电信和互联网用户个人信息保护的行政规章,规定了信息收集和使用规范、安全保障措施等内容,并对“用户个人信息”进行了定义。
2.2个人医疗健康信息保护的法理逻辑
个人医疗健康信息保护评估研究是一项涉及多个学科领域的综合性课题,它不仅需要在法理学、民法学、刑法学、经济法学等多个学科领域进行深入探讨和综合分析,还需要研究各个学科之间的内在逻辑联系和相关制度规范。通过对个人医疗健康信息保护评估研究所涵盖的各个学科之间的内在逻辑联系和相关制度规范进行系统梳理,可以揭示立法保护的真正目的和实际意图,为评价该领域研究相关法律规范的合理性和有效性提供理论依据,为构建个人医疗健康信息保护评价合规体系提供现实参考,为推动个人医疗健康信息保护规范化研究提供路径指引,对于维护公民的医疗健康权益,促进医疗健康数据的合理利用,推动数字经济和数字社会的发展,都具有积极的作用。
隐私、个人信息是个人信息保护领域的核心概念,但是在理论研究和法律规范中,对于这两个概念的使用、表述和界定,往往存在模糊、混乱、甚至误解的现象。这不仅影响了对个人信息保护的准确理解和有效实施,也制约了个人信息保护立法的进程和质量。
从概念射程上看,个人信息这一概念与隐私这一概念是相互包含关系,即侵犯个人隐私必然侵犯个人信息,但反之侵犯个人信息不必然的侵犯个人隐私。隐私是指个人对自己的私密领域的控制和选择权,包括决定什么信息可以被公开或共享,以及如何公开或共享的权利。隐私是个人的一项基本权利,受到国际法和国内法的保护。而个人信息的概念射程大于个人隐私,他是指能够识别或与特定个人相关联的信息。个人信息不一定属于隐私的范畴,比如自然人的面部特征属于该自然人的个人信息,但因该信息不具有私密性,所以不能被定义为个人隐私。
3 域外个人医疗健康信息保护法律问题研究 ...................................... 21
3.2 域外保护 ...................................... 21
3.2.1 域外保护立法 ..................................... 21
3.2.2 域外保护案例 ..................................... 24
4 个人医疗健康信息保护合规评估体系 ...................... 29
4.1 个人医疗健康信息保护系统性风险识别 .................................... 29
4.1.1 个人医疗健康信息保护行政管理合规 .................................. 29
4.1.2 个人医疗健康信息保护实体文件合规 .................................. 30
5 个人医疗健康信息保护的规制路径完善 ................. 47
5.1 合规体系构建带来的启示 ............................... 47
5.2 构建权利保障与权力制衡动态平衡的法律保护体系 ................ 49
5个人医疗健康信息保护的规制路径完善
5.1合规体系构建带来的启示
在行政安全管理的安全风险评估中,有一项指标是“雇员背景调查”,它是指医疗卫生机构在招聘员工时,对他们的个人信息和履历进行核实的过程。这一指标的得分最低,只有47分,为了探究这一问题的原因和解决办法,我们咨询了相关领域的专家,并得到了以下的分析和建议。首先,专家指出,医疗卫生机构在招聘员工时,通常会对他们的身份信息、学历背景、证书信息、征信、犯罪记录、工作履历等进行一定程度的核查,这是为了保证员工的基本素质和合法性。然而,这些信息并不能有效预测员工是否会在未来的工作中侵犯患者的个人医疗健康信息,例如窃取、泄露、篡改或销毁患者的诊断、治疗等健康信息。这些信息属于患者的隐私权利,受到法律和道德的保护,一旦被侵犯,会给患者造成严重的损害,也会影响医疗卫生机构的声誉和信任。其次,专家指出,虽然医疗卫生机构对员工有违法犯罪记录采取了”零容忍“的态度,一经发现就会立即解雇或拒绝录用,但是这并不足以防止员工侵犯个人医疗健康信息的风险。因为我国目前还没有相关的行业标准来评价员工是否能够严格遵守个人医疗健康信息保护的法律规定,除了违法犯罪记录之外,还缺少其他有效的评价准则。例如,员工是否有良好的职业道德和责任感,是否有足够的知识和技能来保护个人医疗健康信息,是否有接受过相关的培训和教育等。这些因素都可能影响员工在处理个人医疗健康信息时的态度和行为。最后,专家建议,由于目前还没有制度保障和通用标准来支持使用雇员背景调查来降低医疗机构员工侵犯个人医疗健康信息的风险,而且现有的雇员背景调查所收集的信息也不足以判断员工未来的行为倾向,因此建议取消这一指标。取而代之的是,应该建立一个更加全面和科学的评价体系,从多个维度和角度来考察员工对个人医疗健康信息保护的意识和能力,并定期进行监督和检查。
结语
个人医疗健康信息是一种涉及到个人生命、健康、隐私等方面的敏感信息,不仅关乎个人的基本权利,也关乎社会的公共利益。随着社会公众对健康领域的关注以及对个人信息泄露的担忧,个人医疗健康信息保护也越来越被立法者和学界重视。但当前个人医疗健康信息保护制度与个人医疗健康信息的保护需求相比还存在着明显的滞后。个人医疗健康信息保护的专门法律制度缺位,给相关领域的法律保护制造了许多法律漏洞,有些个人权利仅能停留在纸面,无法落实到现实的个人医疗健康信息的保护当中,如患者的删除权就很难在向医疗机构主张后得到实现。故本文通过借鉴域内外成熟立法和先进经验,使用实证研究方法构建了科学系统的个人医疗健康信息保护评价指标体系,为个人医疗健康信息保护法治化提供了实证经验。并通过分析法理研究和实证研究的研究成果,为个人医疗健康信息保护制度化路径提出了以下建议:构建权利保障与权力制衡动态平衡的法律保护体系,形塑法律规制体系与行业自治契合的激励相容模式,加快引入合规评估机制,切实保障患者权利束保障机制,希望能为域内个人医疗健康信息保护专门立法提供理论思路,为我国医疗卫生事业和个人信息保护事业的发展助力。
参考文献(略)