今天，我们聊聊医疗数据。

随着互联网、大数据以及5G技术的逐步应用，人类已经走进了信息时代，信息资源将在未来发挥无可替代的作用。医疗数据作为信息时代的产物，属于信息资源之一。有人甚至认为，医疗数据堪喻为“电子石油”，其价值不可估量。今后，医疗数据将为我们研发新药及医疗器械，验证治疗方法是否有效、预测群体及个人健康趋势、健康管理及传染病防控等，提供无可取代的重要作用。同时，面对医疗机构收集医疗数据，患者没有任何保留的提供。医疗数据所包含的个人隐私、个人信息、医疗信息、人类遗传资源信息等，暴露于信息处理者手中，如何防止权力被滥用，保障患者权益、保障医疗安全、保障国家及种族安全，就需要通过法律法规对于如何收集、存储、使用、加工、传输、提供、公开医疗数据，进行系统、科学、合理的规制。

2020年5月28日，第十三届全国人民代表大会第三次会议通过《中华人民共和国民法典》（以下简称“民法典”），这是中国法治建设的一个重要里程碑，本文试图以“民法典”为基础，结合医疗行业的法律法规，对医疗数据的法律规制进行讨论，以期抛砖引玉。

一、   隐私权及个人信息

对于个人隐私和个人信息，“民法典”以专章的形式进行了规定，见于人格权篇的第六章“隐私权和个人信息保护”。在医疗机构及其医务人员向患者收集个人隐私和个人信息时，患者毫无保留地提供，甚至，相比于其他收集者，患者唯恐提供的信息不够多、不够全，抱怨医务人员不耐心倾听，因此，在病历数据中，包含着大量的患者个人隐私和个人信息，医疗机构及其相关单位承担着保护患者个人隐私及个人信息的法定职责。对于个人信息，在法律中，它的规定有别于隐私权，字面表述仅为个人信息，并非个人信息权，因此，个人信息原则上是允许处理的，只是要依法处理。

依照“民法典”第1035条的规定，处理个人信息的原则是合法、正当、必要，不得过度处理。那么，病历数据中个人信息的处理，如何贯彻合法、正当、必要的原则呢？侵犯隐私权和个人信息，如何承担侵权责任？

（一）医疗机构收集个人隐私及个人信息的特殊性

依照我国《网络安全法》第四十一条的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

那么，医疗机构收集个人隐私和个人信息，需要经被收集者明确同意吗？

有过就医体验的读者不难发现，医疗机构收集、使用个人信息以及个人隐私，并不会明确征求就医者的意见，并取得其同意。

法律之所以赋予医疗机构及其医务人员有别于一般网络运营者的权利。理由是：

第一、医疗机构书写、形成病历，历史悠久，在没有互联网、没有电子病历的时代就已经开始，对于医疗机构如何书写病历，如何收集、使用患者信息，相关法律已经有相应规定，根据特别法优于一般法的原则，医疗数据的收集、使用可以依照医疗法规进行；

第二、生命健康权，是人的最基本、最重要权利，其与知情权、隐私权等相比，生命健康权应当首先予以保护，在生命健康遭受危害的情况下，医务人员应当尽最大可能救治患者，如果苛求医务人员收集、使用信息前应当取得患者同意，很可能因此耽误救治，得不偿失；

第三、网络安全法中，要求网络运营者（即网络的所有者、管理者和网络服务提供者）收集个人信息，应当取得被收集者同意，也就是说，医疗机构在日常诊疗活动过程中，并非网络运营者，因此收集、使用个人信息不需要取得患者明示同意（有人理解为默示同意），但是，如果医疗机构成为网络运营者，则其在收集、使用个人信息前，应当依法公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

（二）如何理解合法、正当、必要原则？

依照“民法典”，处理个人信息，包括依照约定处理和依照法规处理。医疗机构和患者之间，一般认为可以成立医疗服务合同，因此，医疗机构收集患者个人信息可以理解为依照约定处理。当然，法规也赋予了医疗机构收集患者个人信息的权利，从这个角度来看，医疗机构收集患者个人信息也可以理解为依照法规处理，医疗机构同时依照法规和约定收集个人信息，两者并不矛盾。医疗机构收集个人信息以后，如何合法、正当、必要的处理，是当前大家关注的焦点问题。

病历数据中个人信息的处理，包括收集、存储、使用、加工、传输、提供、公开等。目前，我国《医疗机构病历管理规定》、《电子病历应用管理规范(试行)》对于医疗机构处理患者个人信息，有相关规定。但是，医疗机构收集患者个人信息以后，在医疗集团、医疗联合体之间，是否可以共享，也就是说，医疗机构依照约定或法定收集患者个人信息以后，是否可以根据自身管理的需要，向关联单位、上级单位共享数据，值得讨论。笔者认为，医疗机构在处理医疗数据中个人信息时，应当严格遵循合法、正当、必要原则。首先，依据《医疗机构病历管理规定》第15条、16条所体现的立法精神，医疗机构的关联单位、上级单位等需要掌握患者的病历数据，并不违背法律规定（合法性）；其次，医疗机构的关联单位、上级单位等处理个人信息的目的应当是有利于患者病案管理（正当性）；再次，医疗机构向关联单位、上级单位共享病历数据中的个人信息，应当有能够明确的必要理由（必要性）。

另外，如果为了公共利益，可以依法公开病历数据中的个人信息。以新冠疫情为例，在疫情流行期间，公众对于患者的个人信息非常关注，因此很多地方政府都向社会公开患者的部分个人信息，如患者的活动轨迹等。但是，向社会公开个人信息应当受到更加严格的限制。公开个人信息的决策和运行机制应当严格遵守法定程序，严格依法公开，法律没有规定的，不可以公开；同时，根据《中华人民共和国传染病防治法》第68条，即便公开个人信息，也应当严格保守个人信息中的个人隐私。

（三）侵犯隐私权和个人信息，如何承担侵权责任？

侵犯隐私权和个人信息，应当承担法律责任，包括民事责任、行政责任，甚至刑事责任。本文仅讨论民事责任中的侵权责任。对比侵权权责任法和民法典，在医疗损害责任这一章中，目前民法典第1226条规定：“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。”（《中华人民共和国侵权责任法》第62条：医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。）对比上述条文，不难看出，民法典的变化主要体现在以下两个方面。

第一、  在隐私权的基础上，增加了个人信息保护

我国立法对于人格权的保护，有一个进步的过程。在侵权责任法中，将隐私权正式写入法律条文，并在医疗损害责任中，专门对医疗机构及其医务人员的保密义务进行了规定。但是，实践中，医疗数据中不仅包含个人隐私，还包含大量个人信息，这些个人信息的泄露也会造成非常严重的后果。因此，本次民法典立法，将隐私权和个人信息均予以保护，足以体现我国立法部门对于个人隐私和个人信息依法保护的重视，这也将对医疗数据的依法管理提出更高的要求。

第二、  没有特别强调“造成患者损害”

在侵权责任法中，规定“造成患者损害的，应当承担侵权责任”，而在民法典中，规定“泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任”，因此，有人解读为民法典不要求损害后果，只要有泄露患者隐私和个人信息的行为，就应当承担侵权责任。笔者不同意这种看法。理由是，承担侵权责任有其法定构成要件，只有过错，没有后果的行为，不符合承担侵权责任的构成要件；法律条文中没有规定“造成患者损害”，因为实践中患者的隐私和个人信息被泄露本身就是患者的损害后果，无需重复举证证明存在其他损害后果，即应当承担侵权责任，当然，如果还存在其他损害后果，则应当因此进一步承担侵权责任。

未完待续---

                                 作者为上海市联合律师事务所律师

                                   2020年9月10日