宁人法评
 
专题系列(五):健康医疗数据收集、存储法律问题分析
·时间:2019/11/26      ·点击:690


1122-01.jpg


一、健康医疗数据收集法律问题

 

《人口健康信息管理办法》第六条规定了“采集、利用、管理人口健康信息应当按照法律法规的规定,遵循医学伦理原则,保证信息安全,保护个人隐私。”健康医疗数据的收集、存储或处理首要遵守的原则应当是医学伦理原则,其次是保护信息安全和个人隐私。遵守医学伦理即收集、存储或使用患者医疗数据的目的要符合医学伦理,不能违反人类正常的医学伦理规范,不能违反法律或者法规禁止的行为目的。在合法目的前提下,才可以继续探讨健康医疗数据的收集、存储和使用问题。

 

(一)医疗机构可以收集患者医疗信息吗?


《医疗机构病历管理规定》第3条明确要求医疗机构要建立患者病历管理制度。《医疗机构管理条例实施细则》第53条明确要求医疗机构要将患者的住院、门诊病历分别要保存15、30年。《人口健康信息管理办法》中并未明确各级医疗机构作为数据收集者是否需要向患者表明其医疗信息有被收集的可能性,收集医疗信息是否需要征得患者的同意。那么,医疗机构可以收集患者的医疗信息吗?医疗机构应当怎么采集医疗信息?根据《医疗机构病历管理规定》,医疗机构只有保管病例的义务,研究机构以研究为目的只能借阅,不能复制,借阅完毕需要归还病例。那么,医疗机构依法保存患者的医疗信息是否就代表在掌握患者的病历信息后,就享有随意处分医疗信息的权利(除规章规定的临床试验和研究行为以外)。本报告认为,医疗机构作为法定的患者病历信息保存单位,除法律及部门规定规定的保存并研究使用病历之外,法律及部门规章未授予的权利并不能作为医疗机构随意处分患者病历信息的正当性理由。实践中存在诸多医疗机构在未经患者同意的前提下,私自将患者的病历信息通过各种方式非法向其他机构提供的情形。《人口健康信息管理办法》中笼统的规定了“责任单位对人口健康信息的采集、管理、利用、安全和隐私保护工作”,并未具体明确医疗机构的对患者病历信息的权利义务。人口健康信息作为健康医疗信息的一部分,并不能代表全部的健康医疗数据或者患者的病历信息。因此,目前亟需上位法明确医疗机构对患者健康医疗信息所享有的法定权利、义务与责任。


(二)收集的目的和方式是什么?


《人口健康信息管理办法》第8条规定所采集的信息应当符合业务应用和管理要求,但是所采集的信息是否只能适用于业务应用和管理,还是以研究为目的的应用都符合收集的目的,或者还能用于商业目的?在实践中,各医疗机构及互联网医疗数据公司均积极开发以服务医疗为目的的商业化医疗数据产品,并未受到监管机构的禁止。《国家健康医疗大数据标准、安全和服务管理办法(试行)》第2条规定“国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用。”收集健康医疗信息需要在确保患者知情权的基础上,根据国家战略安全和人民群众生命安全需要予以规范和利用。

 

2019年1月23日,欧盟数据保护委员会(EDP)正式发布《<临床试验条例>(CTR)与<一般数据保护条例>(GDPR)之间的关系的文件》,主要就临床试验数据处理进行了明确。首先,将对医疗数据进行纯研究活动与以保健为目的处理活动进行了区分,EDP认为“数据处理主体必须是基于与保健相关‘纯碎研究’的目的”,并且需要遵守GDPR关于收集明确同意(第6(1)a条与第9(2)a条)的规定,或者基于满足公共利益或数据权利主体的合法权益的目的等[[1]]。特别需要注意的是此处的“知情同意”与CTR中的同意并非同一内涵,此处的同意接近于数据主体对医疗数据的绝对控制权,这也在CTR第18款中得以应证[[2]]。CTR中的“同意”是权利主体能够真正做出选择并控制数据,在数据主体和数据控制者之间存在明显不平衡的特定情况下,“同意”不能为处理个人数据提供有效法律依据。


我国台湾地区《个人资料保护法》第6条第六款明确规定除法定情形外,经当事人书面同意[[3]]也可以收集当事人的病例、医疗、基因、健康检查等医疗信息。但也明确了经书面同意也不可以收集数据的情形:第一,经书面同意,只能收集特定目的范围内的信息,超越特定目的信息不得收集。第二,当其他法律对收集、处理或利用另有规定不得仅依照书面同意的限制时,仅以当事人的书面同意不足以构成收集、使用或处理的法定条件。第三,即使获得当事人的书面同意,只要违背当事人原意的,不可以收集。

 

在我国医疗机构病历系统信息化的背景下,医疗数据的采集是实时抽取PACS(影像归档与传输系统)、LIS(检验科信息管理系统)、CIS(临床信息管理系统)、EMR(电子病历系统)、PIMS(个人信息管理体系)等系统中的医疗数据,经异构数据融合、初步清洗转换后上传至医疗数据存储中心,从而实现各平台间的数据采集与交换及医疗部门之间的数据共享与业务协同的过程,该过程需要有实时的数据监管[[4]]。如果直接从病历库中实时采集患者医疗信息,则存在侵犯患者知情权的合理怀疑,是否不利于保护患者的个人信息及隐私?《人类遗传资源管理条例》第12条规定,采集人类遗传资源必须征得提供者的书面同意。按照《网络安全法》规定,其他医疗信息的采集也需要征得患者的同意,充分保护患者的知情同意、个人信息权及隐私权。在此,本报告建议健康医疗信息的采集应当以书面形式提前获得患者的同意。


二、健康医疗数据存储法律问题

 

目前,国内医院存储患者病历信息主要有三种存储的方式,第一种是患者病历信息存储于医院向第三方采购的HIS系统,数据的存储及系统的运营维护由医院负责;第二种是患者病历信息存储于由第三方建设、运营及维护的病历信息系统;第三种是由第三方技术服务商提供系统搭建和信息存储服务,信息系统维护和运营由医院负责。以上通过协议将健康医疗数据存储在第三方服务机构的介质中,这种情形双方达成的是保管合同,还是无名合同中的服务合同?根据《合同法》第三百六十五条规定:“保管合同是保管人保管寄存人交付的保管物,并返还该物的合同。”保管合同是基于当事人之间意思表示的实践合同,直接目的就是为保管。所谓的保管,是指占有保管物,提供劳务加以照管保护,而维持其现状。[[5]]保管合同中保管的对象为物,是单纯的财产或者具有财产价值属性的物。这种物是可以直接观察到外观、形状的可触摸物,保管人不容易复制、制造。保管合同标的物的领取有约定按照约定,非特别事由不得领取;没有约定的可以随时领取保管物。根据《合同法》第三百七十六条规定:“寄存人可以随时领取保管物。当事人对保管期间没有约定或者约定不明确的,保管人可以随时要求寄存人领取保管物;约定保管期间的,保管人无特别事由,不得要求寄存人提前领取保管物。”保管物的领取,实际上是对保管期限的间接规定。有约定的,不得随意更改期限。除重大事由外,擅自更改领取保管物的应当承担违约责任。保管合同分为无偿和有偿,两种形式的保管人需要承担不同的保管责任。根据《合同法》第三百七十四条规定:“保管期间,因保管人保管不善造成保管物毁损、灭失的,保管人应当承担损害赔偿责任,但如果保管是无偿的,保管人证明自己没有重大过失的,不承担损害赔偿责任。”无偿保管合同的保管人需要承担重大过失责任,一般过失不承担责任。有偿合同保管人则需要承担与合同相应的妥善保管责任,一旦没有妥善保管就需要承担责任。

 

关于上述健康医疗数据的存储能否依照保管合同进行,本报告的观点是否定的,原因有二:

第一,数据不是物,数据是对事实、活动的数字化记录,是一种无形财产,不仅具有财产性,还具有人身性。由于数据是信息化技术发展的一种产物,数据并不是民法意义上的“物”,其具有极强的复制性,是一种无形的、可压缩、不可视的无体化数字。“我国《物权法》上‘物’的根本属性是可独占的,可被某主体完全支配的客体”,“根据我国《物权法》第2条第2款和第3款,物,包括不动产和动产,以及法律规定准用物权法的权利;”这种支配是现实中的可以直接操作的支配,并不是数据中通过信息技术进行处理的行为。健康医疗数据是通过物理介质存储的,并不是直接以物理形式表现出来的客观存在,不具有可视性,不能直接被某主体物理性的支配,只能通过物理介质和信息技术进行控制和利用。


就以上健康医疗数据而言,第一种存储方式由医疗机构采购第三方HIS系统,将患者的病历信息存储在HIS系统中,HIS系统提供方主要是将自己研发的系统安装在医疗机构的病历信息系统中或者为医疗机构构建起一整套以HIS系统为中心的电子病历信息系统。医疗机构作为系统的使用方,可以自由支配信息系统中的病历信息。大型的或有一定技术维护能力的医疗机构对采购的HIS系统独立运维的能力较强,对HIS系统提供商的依赖性较弱,而较小型的或不具有技术维护能力的医疗机构独立运维购买的系统的能力弱,对HIS系统提供商的依赖性较强。独立性较强的医疗机构的采购合同应当属于购买设备类型的买卖合同,而不具备独立运维能力的医疗机构的采购方式实际上是医疗机构向HIS系统提供商购买设备及专业技术运维服务,电子病历最终存储在了HIS系统提供商的服务器内。这类双方合作的合同类型既包括了系统的采购买卖合同,又包含了技术的服务合同,还有部分利用技术服务的加工承揽行为。总之,本质上较为弱势的医疗机构与HIS系统提供商之间达成的是一种综合性的服务性合同,该合同中不仅包含了系统采购的内容,还包含了医疗数据存储安全、使用等具体的特殊性约定。


第二种存储方式即适用上述弱势医疗机构法律关系的分析内容。第三种是第三方技术服务商仅向医院提供存储服务,不涉及医院信息系统的维护和运营。这种仅提供存储服务的行为类似于保管行为,但其不同与保管合同保管人对物进行直接的物理性支配保管。由于健康医疗数据的存储具有其特殊性,具有极强的可复制性,其内容可包含各种人身性信息,被复制后并不容易被发现。一旦发生泄漏的事件,就会产生重大的社会影响。健康医疗数据不同于普通物的保管,保管合同的对象是物,在保管合同履行完毕后,如果被保管物发生损害,通过现实中物理观察就可以发现,健康医疗数据则不能。

 

目前,国家卫健委《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》第三十二条[[6]]将医疗机构与第三方合作对健康医疗数据的存储、运营行为定性为委托行为,并且要求委托单位与受托单位共同承担健康医疗数据的管理和安全责任。由于“管理”一词并非法学专有名词,如何界定受托方对医疗大数据的管理和安全责任?前一段论述了健康医疗数据作为一种计算机代码不具有《物权法》上“物”的特征,不适用保管合同的规定。而《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》针对受托人的管理权限是否包括处分权、收益权未予以明确规定。本报告认为,此“管理”不包括任何对健康医疗数据的使用及处理行为,仅作为普通行政管理的权限,旨在确认受托人的义务和责任。主要原因在于,医疗机构收集患者的医疗信息是基于法定或征求患者授权同意后才获得利用医疗信息的正当性权能,而受托单位不具有获取或者使用、处理健康医疗数据的正当性权利,除非其获得患者同意。否则,只能认定为非法获取健康医疗数据。《人口健康信息管理办法(试行)》第11条明确规定委托存储人对人口健康信息承担管理和安全义务责任,受托机构“应当严格按照合作协议做好技术支撑,禁止超权限采集、开发和利用人口健康信息。因此,健康医疗数据存储受托人的管理和安全责任是基于技术服务及委托合同履行健康医疗数据的行政管理和安全管理义务,而非对健康医疗数据享有任何权利。


[[1]]See" Processing operationspurely related to research activities in the context of a clinical trial cannot,however, be derived from a legal obligation. Depending on the wholecircumstances of the trial and the concrete data processing activity, researchrelated activities may either fall under the data subject’s explicit consent(Article 6(1)(a) in conjunction with Article 9(2)(a)), or a task carried out inthe public interest (Article 6(1)(e)), or the legitimate interests of thecontroller (Article 6(1)(f)) in conjunction with Article 9(2)(i) or (j) of theGDPR."

[[2]]See The EDPB considers that datacontrollers should pay particular attention to the condition of a “freely given”consent. As stated in the Working Party 29 Guidelines on consent, this elementimplies real choice and control for data subjects. Besides, consent should notprovide a valid legal ground for the processing of personal data in a specificcase where there is a clear imbalance between the data subject and thecontroller.

[[3]]我国台湾地区《个人资料保护法》将“同意”分为两类,一是公务机关和非公务机关法定职责范围内收集个人资料的“同意”,是指当事人经收集者告知本法所定应告知事项后,所允许之意思表示。二是规定公务机关和非公务机关非法定职责范围外收集时的“同意”,是指当事人经收集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后,单独所作的意思表示。

[[4]]来源于亿欧《2019年中国医疗大数据研究报告》。

[[5]]参见崔建元:《合同法》,法律出版社2010年版,第527页.

[[6]]参考《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》 第三十二条规定。


专题系列:




微信图片_20191122163649.jpg


 

电话:0951-5065711 传真:0951-5065708
宁夏银川市贺兰山路与虹桥南路交汇处天源财汇中心C座26层

 
版权所有:宁夏宁人律师事务所 宁ICP备05001789号  欢迎您第640400位访客