论文部分内容阅读
【摘要】本文阐述了电子病历隐私保护的内容,并从法律层面、管理标准层面、人员意识层面和技术层面对我国目前电子病历隐私保護的现状及存在问题进行了分析。最后针对各个层面存在的问题提出了进一步完善电子病历隐私保护的建议。
【关键词】电子病历档案;隐私;保护
2016年12月,国务院发布的《“十三五”国家信息化规划》提出,到2020年城乡电子健康档案要实现90%的覆盖率。2018年国务院颁布了《关于促进“互联网 医疗健康”发展的意见》,这些文件的出台为医疗卫生机构定出了信息化建设的发展方向,为人们看病就医提供了方便。一方面,数据的共享与网络技术的广泛应用使医疗信息的传播应用更快速、便捷;另一方面,这种快速、便捷的信息传播给患者的隐私保护带来新挑战。如果说纸质病历时代的隐私侵权仅仅会涉及少数患者,那么“互联网 ”时代电子病历的推广将给更大群体的健康隐私问题带来挑战。在“互联网 ”时代,只有处理好电子病历档案与患者隐私保护之间的矛盾,电子病历档案才能最大限度被开发利用,从而实现其价值。
一、电子病历隐私保护的内容
电子病历作为患者诊断治疗的整个过程的电子信息载体,是信息化时代医疗发展的必然产物。电子病历包括了临床诊疗信息的全要素记录,高度融合了患者在就诊过程中所有的检查、检验等有价值的临床诊疗信息。因此,电子病历中隐私内容可以概括为:1.患者的个人信息。包括姓名、性别、年龄等基本身份信息,父母、配偶、子女等家庭生活与社会关系的信息,教育程度、职业、政治面貌等社会政治信息,家族史、病史、过敏史等基本健康信息,新农合、商业保险、公费等参保信息。2.医护人员记录的诊疗信息。包括入院记录、病程记录、手术记录、出院记录、医嘱记录、耗材记录、生命征象记录、会诊记录、相关的检查资料与报告、医生对患者的诊断结果以及治疗的方案、知情告知书等方面的资料。
二、我国电子病历隐私保护现状及存在问题
(一)法律法规。西方国家为了规避电子病历档案对个人隐私保护带来的冲击,在推广电子病历档案的同时,不断完善相应的法律保障机制。美国在医疗信息隐私保护方面的立法较早,早在1996年就制订了HIPAA(Health Insurance Portability and Accountability Act)法案,该法案作为医疗服务提供方、医疗保险机构以及个人在处理电子病历史的行动指南,确保受保护的医疗信息在使用的各环节以及数据的传输过程中都是安全和机密的。相对西方国家而言,我国针对电子病历隐私保护所制订的法律法规略显滞后。相应的法律法规零散见于《宪法》《医务人员医德规范及实施办法》《民法通则》《执业医师保护法》《侵权责任法》。其中《侵权责任法》中的第2条规定了:“侵害民事权益,应当依照本法承担侵权责任。”第62条规定了:“医疗机构及其医务人员应当对患者的隐私保密,泄露患者隐私或者未经患者同意公开其病历资料,造成患者损失的,应当承担侵权责任。”可见,以上的法律法规一定程度保障了公民的隐私权利,但却未对公民隐私信息保护和电子病历档案隐私保护作出明确的规定,也未明确细化侵权行为以及具体的惩罚措施。另外,公民对自身电子病历档案的采集、调取、使用的知情权利也未有相应的法律保障。
(二)电子病历的管理标准不统一。电子病历是患者到医疗卫生服务机构就诊而产生的记载着患者就诊全过程的病历档案。目前我国各个地方卫生系统的分割问题严重,没有统一的管理制度和管理方案。各个地区根据自身经济发展水平和文化特点,因地制宜制定出电子病历的管理标准和管理模式。即便同一地区,各个医疗机构也因自身发展的特点选择不同的第三方软件开发公司管理电子病历,不一样的软件公司对电子病历档案权限设置管理标准也不一致。有的医院只要使用医护人员账号登录电子病历系统,就能查询任何一个病人的住院信息。有的医院对电子病历档案的权限设置较严谨,某一科室的医护人员只能查询该科室出院病人的信息。医护人员使用病历档案信息进行科学研究时,不同医疗机构不同医护人员对病人医疗信息的保护及重视程度也不一样。有的医疗机构在数据导出或传输时,便自动把患者的基本个人信息进行加密,医生看到的只是科学研究所需的医学信息,所有关于患者的个性化信息都以数字代码进行替代。有的医疗机构对医护人员查询患者信息的准入门槛较低,一些临床科室甚至派实习生拷贝数以千计的患者信息。
(三)医护人员和患者对隐私保护的意识淡薄。电子病历的普及方便了医护人员对就诊患者信息的汇总和上报。医护人员做科研再也不需像以前那样逐一翻查病历,大大提高了效率。但与此同时,电子信息的高度汇总与浓缩为患者隐私保护带来严峻的考验。目前,我国医护人员对患者隐私保护的意识较为淡薄,曾有报道,在医学交流会议上,一个医生手上一个小小的U盘承载着成千上万个患者未经加密的所有基本信息和诊疗信息,一旦丢失后果不堪设想。另外,当自身的隐私遭泄露时,只有极少数患者会运用法律武器进行维权。大多数患者采取“大事化小”的态度,正是由于大多数人持这种态度,医护人员才不重视患者隐私的保护,不法分子才会猖狂地钻空子,肆无忌惮地买卖盗取患者的信息。
(四)技术层面。在“互联网 ”浪潮的推动下,医疗卫生行业打破传统医疗模式高速发展。但由于目前软、硬件保密性不足、网络漏洞等技术层面的原因,在巨大利益的驱动下,存在非法套取和利用公民隐私健康信息的行为。如2016年近300名艾滋病患者的个人信息遭泄露,犯罪分子伪装成疾控中心的工作人员实施电话诈骗,以“发放补助”的名义骗取患者的钱财。部分医院的信息系统落后,这导致系统与实际的工作需求存在偏差。中心服务器运行不畅或运行时间过长导致死机的现象经常发生,增加了病毒入侵的概率。另外,市场上电子病历开发商良莠不齐,一些开发商为了抢占市场实现利益最大化,将一些不成熟的软件卖给客户,给医院信息系统带来极大的风险。
三、对策 (一)完善法律法规,加强监管执法力度。制定隐私权法是人权发展的体现,目前我国虽有法律条文体现隐私权是受保护的,但法律条文间不成系统,缺少层次。因此电子病历的隐私保护建设最为关键的是要建立适用于本国的隐私权法。明确个人对病历档案的控制权和知情权,并对相关的条文作出具体详细的说明,使法律的实施具有可操作性。另外,相应的惩罚条款与惩罚细则作为法律实施的护航者,应该作为条文列入法律法规中。与此同时,执法到位是病历档案隐私保护的根本保障,能确保隐私保护真正落到实处。因此,只有在加大监管与执法力度的基礎上,才能从根本上保护患者的病历档案隐私不受侵犯。
(二)统一标准,完善准入审核。针对当前电子病历的管理标准模糊问题,有关职能部门应当尽快制定统一明确的电子病历使用标准及操作细则,以保证电子病历档案的利用是规范以及合理合法的。无论是电子病历的使用者还是开发商都要严格按照标准开展工作,避免因不同地区不同的软件开发商产生管理混乱、端口无法对接等问题。数据在传输和使用的过程中最容易泄露,相关职能部门需要统一确定数据传输的手段及数据使用的范围,避免发生类似于一个U盘拷成千上万未加密患者信息的事件,从而保证患者的隐私信息受到保护。
(三)提高医护人员及患者隐私保护意识。医护人员是电子病历档案的首批接触者,良好的执业素养是做好电子病历档案隐私保护工作的首要条件。通过开展相关的法律知识讲座——以实例释法、举办专题教育活动等,都可以帮助医护人员树立正确的职业价值观,明确自身的岗位职责。而患者作为病历档案的归属者,更应提高自我隐私保护意识。平时应从各方面了解学习相关的法律法规,当个人隐私被非法利用时,能主动拿起法律武器维护自己的权益,通过报纸、手机、电视等多渠道关注民生时事,从实例中学习。
(四)信息加密技术与防火墙技术。电子病历档案信息有可能会在使用或传输的过程中遭不法分子窃取,而信息加密技术则是利用数学手段改变负载信息的数码结构,加密传送至目的地后再运用相同的手段对加密数据进行转化。对医疗机构而言,可使用对应的密钥对患者的信息进行加密,数据以密文的形式存放在后台数据库,医护人员等数据的使用者下载数据时需以密钥解开密文。这样即便数据被不法分子截获或者下载了,他们得到的信息也无法正常打开阅读,毫无利用价值。
另外,防火墙技术是内网最重要的安全技术之一,该技术只保留有用的服务,能有效控制内部网络的访问,并精确制定每一个访问用户的权限,保证每一位访问的用户只能访问权限内的信息资源。总而言之,防火墙技术在电子病历系统上应得到广泛应用,因为它使内部网与外部网有了一定意义的隔离,防止非法使用和入侵内部网络系统。
【参考文献】
[1]张羽.只有医生知道[M].江苏:江苏凤凰文艺出版社,2016: 262-263.
[2]全国近300名艾滋病患者个人信息疑遭泄露[EB/OL].https://gongyi.sina.cn/gyzx/hg/2016-07-25/detail-ifxuhukz0965537.d.html,2016-07-25.
【关键词】电子病历档案;隐私;保护
2016年12月,国务院发布的《“十三五”国家信息化规划》提出,到2020年城乡电子健康档案要实现90%的覆盖率。2018年国务院颁布了《关于促进“互联网 医疗健康”发展的意见》,这些文件的出台为医疗卫生机构定出了信息化建设的发展方向,为人们看病就医提供了方便。一方面,数据的共享与网络技术的广泛应用使医疗信息的传播应用更快速、便捷;另一方面,这种快速、便捷的信息传播给患者的隐私保护带来新挑战。如果说纸质病历时代的隐私侵权仅仅会涉及少数患者,那么“互联网 ”时代电子病历的推广将给更大群体的健康隐私问题带来挑战。在“互联网 ”时代,只有处理好电子病历档案与患者隐私保护之间的矛盾,电子病历档案才能最大限度被开发利用,从而实现其价值。
一、电子病历隐私保护的内容
电子病历作为患者诊断治疗的整个过程的电子信息载体,是信息化时代医疗发展的必然产物。电子病历包括了临床诊疗信息的全要素记录,高度融合了患者在就诊过程中所有的检查、检验等有价值的临床诊疗信息。因此,电子病历中隐私内容可以概括为:1.患者的个人信息。包括姓名、性别、年龄等基本身份信息,父母、配偶、子女等家庭生活与社会关系的信息,教育程度、职业、政治面貌等社会政治信息,家族史、病史、过敏史等基本健康信息,新农合、商业保险、公费等参保信息。2.医护人员记录的诊疗信息。包括入院记录、病程记录、手术记录、出院记录、医嘱记录、耗材记录、生命征象记录、会诊记录、相关的检查资料与报告、医生对患者的诊断结果以及治疗的方案、知情告知书等方面的资料。
二、我国电子病历隐私保护现状及存在问题
(一)法律法规。西方国家为了规避电子病历档案对个人隐私保护带来的冲击,在推广电子病历档案的同时,不断完善相应的法律保障机制。美国在医疗信息隐私保护方面的立法较早,早在1996年就制订了HIPAA(Health Insurance Portability and Accountability Act)法案,该法案作为医疗服务提供方、医疗保险机构以及个人在处理电子病历史的行动指南,确保受保护的医疗信息在使用的各环节以及数据的传输过程中都是安全和机密的。相对西方国家而言,我国针对电子病历隐私保护所制订的法律法规略显滞后。相应的法律法规零散见于《宪法》《医务人员医德规范及实施办法》《民法通则》《执业医师保护法》《侵权责任法》。其中《侵权责任法》中的第2条规定了:“侵害民事权益,应当依照本法承担侵权责任。”第62条规定了:“医疗机构及其医务人员应当对患者的隐私保密,泄露患者隐私或者未经患者同意公开其病历资料,造成患者损失的,应当承担侵权责任。”可见,以上的法律法规一定程度保障了公民的隐私权利,但却未对公民隐私信息保护和电子病历档案隐私保护作出明确的规定,也未明确细化侵权行为以及具体的惩罚措施。另外,公民对自身电子病历档案的采集、调取、使用的知情权利也未有相应的法律保障。
(二)电子病历的管理标准不统一。电子病历是患者到医疗卫生服务机构就诊而产生的记载着患者就诊全过程的病历档案。目前我国各个地方卫生系统的分割问题严重,没有统一的管理制度和管理方案。各个地区根据自身经济发展水平和文化特点,因地制宜制定出电子病历的管理标准和管理模式。即便同一地区,各个医疗机构也因自身发展的特点选择不同的第三方软件开发公司管理电子病历,不一样的软件公司对电子病历档案权限设置管理标准也不一致。有的医院只要使用医护人员账号登录电子病历系统,就能查询任何一个病人的住院信息。有的医院对电子病历档案的权限设置较严谨,某一科室的医护人员只能查询该科室出院病人的信息。医护人员使用病历档案信息进行科学研究时,不同医疗机构不同医护人员对病人医疗信息的保护及重视程度也不一样。有的医疗机构在数据导出或传输时,便自动把患者的基本个人信息进行加密,医生看到的只是科学研究所需的医学信息,所有关于患者的个性化信息都以数字代码进行替代。有的医疗机构对医护人员查询患者信息的准入门槛较低,一些临床科室甚至派实习生拷贝数以千计的患者信息。
(三)医护人员和患者对隐私保护的意识淡薄。电子病历的普及方便了医护人员对就诊患者信息的汇总和上报。医护人员做科研再也不需像以前那样逐一翻查病历,大大提高了效率。但与此同时,电子信息的高度汇总与浓缩为患者隐私保护带来严峻的考验。目前,我国医护人员对患者隐私保护的意识较为淡薄,曾有报道,在医学交流会议上,一个医生手上一个小小的U盘承载着成千上万个患者未经加密的所有基本信息和诊疗信息,一旦丢失后果不堪设想。另外,当自身的隐私遭泄露时,只有极少数患者会运用法律武器进行维权。大多数患者采取“大事化小”的态度,正是由于大多数人持这种态度,医护人员才不重视患者隐私的保护,不法分子才会猖狂地钻空子,肆无忌惮地买卖盗取患者的信息。
(四)技术层面。在“互联网 ”浪潮的推动下,医疗卫生行业打破传统医疗模式高速发展。但由于目前软、硬件保密性不足、网络漏洞等技术层面的原因,在巨大利益的驱动下,存在非法套取和利用公民隐私健康信息的行为。如2016年近300名艾滋病患者的个人信息遭泄露,犯罪分子伪装成疾控中心的工作人员实施电话诈骗,以“发放补助”的名义骗取患者的钱财。部分医院的信息系统落后,这导致系统与实际的工作需求存在偏差。中心服务器运行不畅或运行时间过长导致死机的现象经常发生,增加了病毒入侵的概率。另外,市场上电子病历开发商良莠不齐,一些开发商为了抢占市场实现利益最大化,将一些不成熟的软件卖给客户,给医院信息系统带来极大的风险。
三、对策 (一)完善法律法规,加强监管执法力度。制定隐私权法是人权发展的体现,目前我国虽有法律条文体现隐私权是受保护的,但法律条文间不成系统,缺少层次。因此电子病历的隐私保护建设最为关键的是要建立适用于本国的隐私权法。明确个人对病历档案的控制权和知情权,并对相关的条文作出具体详细的说明,使法律的实施具有可操作性。另外,相应的惩罚条款与惩罚细则作为法律实施的护航者,应该作为条文列入法律法规中。与此同时,执法到位是病历档案隐私保护的根本保障,能确保隐私保护真正落到实处。因此,只有在加大监管与执法力度的基礎上,才能从根本上保护患者的病历档案隐私不受侵犯。
(二)统一标准,完善准入审核。针对当前电子病历的管理标准模糊问题,有关职能部门应当尽快制定统一明确的电子病历使用标准及操作细则,以保证电子病历档案的利用是规范以及合理合法的。无论是电子病历的使用者还是开发商都要严格按照标准开展工作,避免因不同地区不同的软件开发商产生管理混乱、端口无法对接等问题。数据在传输和使用的过程中最容易泄露,相关职能部门需要统一确定数据传输的手段及数据使用的范围,避免发生类似于一个U盘拷成千上万未加密患者信息的事件,从而保证患者的隐私信息受到保护。
(三)提高医护人员及患者隐私保护意识。医护人员是电子病历档案的首批接触者,良好的执业素养是做好电子病历档案隐私保护工作的首要条件。通过开展相关的法律知识讲座——以实例释法、举办专题教育活动等,都可以帮助医护人员树立正确的职业价值观,明确自身的岗位职责。而患者作为病历档案的归属者,更应提高自我隐私保护意识。平时应从各方面了解学习相关的法律法规,当个人隐私被非法利用时,能主动拿起法律武器维护自己的权益,通过报纸、手机、电视等多渠道关注民生时事,从实例中学习。
(四)信息加密技术与防火墙技术。电子病历档案信息有可能会在使用或传输的过程中遭不法分子窃取,而信息加密技术则是利用数学手段改变负载信息的数码结构,加密传送至目的地后再运用相同的手段对加密数据进行转化。对医疗机构而言,可使用对应的密钥对患者的信息进行加密,数据以密文的形式存放在后台数据库,医护人员等数据的使用者下载数据时需以密钥解开密文。这样即便数据被不法分子截获或者下载了,他们得到的信息也无法正常打开阅读,毫无利用价值。
另外,防火墙技术是内网最重要的安全技术之一,该技术只保留有用的服务,能有效控制内部网络的访问,并精确制定每一个访问用户的权限,保证每一位访问的用户只能访问权限内的信息资源。总而言之,防火墙技术在电子病历系统上应得到广泛应用,因为它使内部网与外部网有了一定意义的隔离,防止非法使用和入侵内部网络系统。
【参考文献】
[1]张羽.只有医生知道[M].江苏:江苏凤凰文艺出版社,2016: 262-263.
[2]全国近300名艾滋病患者个人信息疑遭泄露[EB/OL].https://gongyi.sina.cn/gyzx/hg/2016-07-25/detail-ifxuhukz0965537.d.html,2016-07-25.