個人信息法律保護模式研究

導語：個人信息法律保護模式研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

與患者在醫院就醫的情況有所不同的是，互聯網醫療中醫患雙方的信息交流是通過網絡途徑進行并加以保存的，而并非是傳統的紙質書寫并存于醫院的指定檔案庫。在這種情況下，患者的個人信息通過網絡平臺被泄露的風險日益增大。通過互聯網進行醫療活動能夠在解決當下受診患者問題的同時，還能將有用的醫療信息分享至特定的網絡平臺中以惠及其他面臨相同問題的患者，避免醫療資源的浪費。然而，在分享醫療信息的同時，患者的個人信息也會因我國目前醫療人員的維護意識薄弱和相關法律制度的缺位等原因面臨被泄露的風險。誠然，從法律制度的構建等角度對互聯網患者的個人信息進行維護是一種重要的措施，然而在明確這種保護措施之前，首先需要厘清個人信息在互聯網醫療視閾下的體系和架構，進而對其進行針對性的立法，從而有效打擊互聯網醫療中患者個人信息泄露等問題的發生［1］。

1互聯網醫療中個人信息體系的架構

1．1個人信息主體所謂信息主體，是指實際有權支配個人信息，并能合法進行使用的主體。根據我國《民法總則》的規定，我國對于個人信息主體的確立范疇保持在自然人的維度之內，而對法人成為個人信息主體這一事實持有模糊的態度。信息主體在理論上有廣義和狹義之分，從狹義上來講，在互聯網醫療的平臺中，個人信息所享有的主體是患者本身，而并非是提供互聯網醫療服務的醫師或其他工作人員。因此，狹義的個人信息主體是從信息本身產生的源頭來分析和確立的，其具有直接性和可觀性［2］。然而從廣義的角度出發，個人信息主體還包括利用信息的主體，因此除了患者之外，經過患者允許或依據《民法總則》的規定而利用信息的主體都屬于信息主體的范疇，其包括互聯網醫療的醫師、國家衛生部門的公職人員以及其他相關主體等。在研究互聯網醫療中個人信息法律保護問題之前明確相關的主體問題有著非常重要的意義：一方面，它能夠有效確立個人信息法律保護的對象，使相關立法的保護主體更為明確；另一方面，它能夠有效地將非個人信息保護主體排除在立法調控范疇之外，避免法律設置過程中的邏輯混亂。1．2個人信息客體所謂個人信息的客體，可以直接理解或等同于個人信息或個人信息價值，其是指能夠識別自然人信息的總和。在互聯網醫療環境中，患者或其他合法利用患者信息的主體所享有的個人信息主要可以分為以下兩個部分：其一，基本信息。所謂基本信息，主要是用于識別患者本身的信息，如這些主體的姓名、肖像、居住地址、聯系電話、個人網絡主頁等信息。基本信息是主體最貼切于主體本身，也是它們最核心的信息部分，對其進行使用往往是切入其他信息的前提和關鍵［3］。其二，經濟信息。所謂經濟信息，是指附著于主體基本信息之上，能夠體現出經濟價值或滿足使用者經濟需求的信息。經濟信息可以說是對主體基本信息的進一步描述和表達，在閱讀經濟信息的過程中，使用者可以進一步了解信息主體的概況，并能夠從中挖掘出相關的利益鏈條，從而為己所用［4］。在互聯網醫療環境中，患者或其他合法利用患者信息的主體的姓名、肖像、住址、年齡等是他們所屬的基本信息，而患者的病歷、病情闡述、與互聯網醫師溝通的對話、自我描述以及相關的配藥處方等就屬于經濟信息。1．3個人信息利用與主體和客體的靜態性所不相同的是，個人信息架構本身還有諸多動態性因素構成，而并非只是單一的由個人信息利用主體與個人信息利用客體這組單一的元素所構成［4］。這種動態性的架構元素就是主體對個人信息客體的利用，它既可以指代對于數據進行處理并加以使用的利用行為，也可以指對自然人的姓名、性別、民族、種族、出生日期等加以固定或使用的行為。在沒有特定條件進行限制的情形下，個人信息利用的范疇比較廣闊，泛指對一切信息進行目的性使用的行為［5］。然而，在互聯網醫療環境下，個人信息利用是指信息利用主體對于患者的個人信息（包括基本信息和經濟信息）加以利用的行為。患者本身的電子病歷、溝通對話以及相關的處方等信息蘊含著很大的經濟價值，包括互聯網醫師在內的諸多主體都希冀更多地獲取這類信息以實現自身的經濟目的。因此，個人信息利用過程中所產生的法律問題就特別值得關注。作為公民隱私權的一個重要組成部分，患者的個人信息的隱秘性和私人性決定著對這部分信息的利用需要以合法的程序為前提，從而維護患者合法的權利。然而，發達的信息技術能夠促使醫患雙方通過網絡平臺實現直接的對接并為患者帶來便利，同時也給醫藥企業帶來掌握并控制患者醫療信息的契機。在整個過程中，包括醫藥企業在內的諸多信息利用主體都可能存在對患者個人信息的侵權行為，故而需要進一步討論對患者個人信息的法律保護問題。

2學界對互聯網醫療中個人信息法律保護方式分析

2．1制定一部“個人信息保護法”。制定一部“個人信息保護法”并將互聯網醫療環境中患者個人信息保護納入該法的組成部分是其中的一種保護方式，且這種保護方式的呼聲比較明顯，我國已經出臺了一部《個人信息保護法（草案）》。在擬定這一草案的過程中，有學者就提出要對個人信息進行分類，并認為作為個人信息保護的專有法律，應該在行業分類上具有指導性，以便為各個行業制定個人信息自律規范提供參考。按照這一觀點，“個人信息保護法”在制定的過程中應專設模塊來規定互聯網環境中的個人信息保護問題或者專設模塊來規定醫療環境中對患者個人信息的保護問題，并且無論是采用哪種角度，都應該對互聯網醫療環境中患者個人信息保護進行必要的提及和規范。2．2完善相關的醫療管理辦法與制定一部。“個人信息保護法”所不相同的是，采納“完善相關醫療管理辦法”這種方式更加具有針對性和具體性，且這種法律保護的方式能夠直接切入到相關的行業管理條例和管理辦法之中。這部分立法的制定主體可能是國家工商行政管理總局或是國家衛生行政部門，其制定的規范如2016年11月實施的《醫療廣告管理辦法》。完善相關的管理辦法，主要作用在于能夠直接切入醫療信息的保護立法之中，從而有效避免單一個人信息維護過于一般性，使相關的法律適用更加直接，法律法規的指引性也更加明確。2．3設立相關的監管機制。也有學者認為，無論設立何種立法保護的方式，其力度都很薄弱。由于相關立法規范的設置不得不考慮到其他相關制度的邏輯安排，因此，真正為互聯網醫療中個人信息維護設置的立法規范就會相對有限，進而無法顧及到這一問題的全貌。由此，從行政的角度出發設立相關的監管機制反而更加靈活、高效，并可直接切入到互聯網醫療中的信息維護問題之中。具體而言，互聯網監管機制、互聯網信息保護機制、醫療信息管理機制等可以有效輔助相關的立法規范，從而真正地針對互聯網醫療下患者的個人信息維護問題。因此，設立相關的監管機制也不失是一種更好的方法。通過對三種不同的法律保護方式的分析，筆者認為，這三種做法基本覆蓋了主要的法律保護方式，每種做法都有其自身的優勢，并且互相之間也并不絕對的排斥。對于第一種做法而言，制定一部“個人信息保護法”是一種歸宿性做法，也是一種較高層級的立法活動。盡管它的出臺需要一定的時間，并且對其是否是一種高效的立法活動這一問題學界也存有質疑，但這種做法卻能夠從整體上、宏觀上促進公眾對個人信息法律保護的認識，進而可以提升互聯網醫療活動中個人信息保護的力度。另外，制定一部“個人信息保護法”也是我國目前立法的趨勢所在。對于第二種做法而言，完善相關的醫療管理辦法能夠有效適應互聯網醫療活動中個人信息維護這一具體問題，這種做法對于患者個人信息權的維護有著直接的意義，相關的司法人員在適用起來往往更加方便和直接。對于第三種做法而言，設立相關的監管機制實質上更類似于一種通過行政的手段或方式來保障互聯網醫療活動中個人信息的安全問題，本身并不當然是一種有效的立法手段，因此，它的作用更多地還是發揮輔助性作用，而不能獨立地形成一套完整的個人信息保護體系。

3互聯網醫療中個人信息法律保護模式的問題及分析

盡管三種不同法律保護方式各有優勢，但筆者認為，選擇任何一種方式作為互聯網醫療中個人信息法律保護的模式都是不正確的，具體原因如下。3．1未能注重互聯網環境與醫療環境的有機結合。互聯網醫療，是互聯網在醫療行業的新應用，其包括了以互聯網為載體和技術手段的健康教育、醫療信息查詢、電子健康檔案、疾病風險評估、在線疾病咨詢、電子處方、遠程會診等服務［6］。對這種服務形式的有效規范在于將互聯網環境與醫療環境做出相關銜接，并且制定的規范不能與既有的法律規范產生矛盾。因此，制定“個人信息保護法”是不能直接落實到互聯網醫療環境之中的，其必須顧及到各行各業的個人信息保護規范，而即使能夠有所顧及，所能提供的具有直接調整作用的規范也是較少的。因此，直接通過制定“個人信息保護法”的做法并不可取。另外，完善相關的醫療管理辦法也較為片面。互聯網醫療環境下個人信息的法律保護模式與普通的醫療環境之間有著本質的區別，單一地完善相關的管理辦法，如何與其他一般制度之間進行有效的銜接，如何與相關的互聯網制度進行充分銜接都是亟待解決的問題，只是通過完善相關的醫療管理辦法是不能充分顧及到這種較為前沿的環境所應該有的特點［7］。因此，無論是制定一部“個人信息保護法”，亦或是完善相關的醫療管理辦法都不能真正兼顧互聯網環境與醫療環境兩者之間的特點，并充分進行有機結合。3．2缺乏對不同立法模式的邏輯間考量。無論是制定一部“個人信息保護法”，還是完善相關的醫療管理辦法，亦或是單純地考慮設定某種機制予以監管，它們之間往往不是孤立的存在，而是存在著某種邏輯聯系。因此，采取任意一種個人信息法律保護方式都不能有效解決互聯網醫療環境下個人信息保護的問題，而是需要通過一種“規范群”的方式才能夠得以有效解決［8］。事實上，設立相關的監管機制、完善相關的醫療管理辦法以及制定一部“個人信息保護法”三者之間是一種“初始－進階－歸宿”的關系鏈條，在立法的初始階段，互聯網醫療的個人信息法律保護方式往往是從較低層級的法律法規著手，直至體現在“個人信息保護法”之中。在實踐過程中，隨著互聯網醫療個人信息侵權問題日益凸顯，監管機制已經不能有效地杜絕并指引更多網絡醫療患者維護自身合法信息權益之時，它就會向規范逐步邁進，直至作為一個重要的子部分形成于“個人信息保護法”之中［9］。因此，任何一種立法模式的選取都應該在特定的時間階段和特定的實踐背景中進行考量，而現如今對這一問題的大多數討論都或多或少地忽略了這一問題，也沒能找準目前我國在個人信息維護立法過程中所處的位置，故而會缺乏針對不同立法模式之間的邏輯考量。3．3忽略了制度構建在互聯網醫療中個人信息維護的作用。除了立法模式這一基本問題之外，互聯網醫療活動中對個人信息權的維護還需要進行具體制度的構建，這里所提及的制度包括各個層級立法的制度設計，以及相關監管機制的制度設計。然而，目前學界的研究以及現行出臺的《個人信息保護法（草案）》均沒有注意到具體制度的構建問題，而過多地將視野放置在立法模式選擇的思考方面。立法草案里也大多是原則性、一般性的規定，并沒有形成某種具體可行的機制以供實務人士參考，因此，制度構建的缺乏無法真正實現對個人信息權的有效維護。互聯網醫療環境是互聯網環境以及醫療環境二者的有機結合產物，在制度構建的過程中要涉及到兩個不同的立法環境。面對互聯網醫療活動中的健康教育、醫療信息查詢、電子健康檔案、疾病風險評估、在線疾病咨詢、電子處方、遠程會診等服務，在制度構建上需要綜合考慮這些服務可能帶給患者個人信息的重要影響，并在制度上予以針對性的設置，進而解決互聯網醫療視閾下的個人信息保護問題。

4對互聯網醫療視閾下個人信息法律保護的思考

面對當今學術界對互聯網醫療服務中個人信息維護的幾種立法應對和在該領域內存在的問題，筆者認為，互聯網醫療視閾下個人信息法律保護的確立并不是擇一種模式而論，而是應該綜合考慮三種模式之間的遞進關系，并找準目前我國個人信息立法的正確階段，從而進行適當的展望，以求穩于當下立法環境之中的同時，能夠保有一定的前瞻性。4．1互聯網醫療視閾下個人信息法律保護的立法模式思考。4．1．1立足于相關監管機制的設置以推動相關管理條例的出臺。我國當下并沒有出臺一部完整的“個人信息保護法”，也不存在一部直接與互聯網相關或者直接與醫療活動相關的個人信息保護規范（或者說即使存在，也不過是各大醫院或各個網站單獨出臺的相關管理規范或管理指南）。因此就目前情況看，對互聯網醫療視閾下個人信息的保護而言，不宜于過早地采取立法保護的方式，更不宜直接增添《個人信息保護法（草案）》中的相關規定。筆者認為，應該首先立足于互聯網醫療活動中相關信息監管機制的出臺，且這一監管機制包括但不限于醫院網絡管理機制、互聯網設備和數據管理機制、互聯網醫療網站管理機制等。在互聯網醫療活動中，相關的監管機制中應該明確：禁止未授權的其他網絡運營主體接入互聯網患者用戶信息以訪問和獲取它們的基本信息和經濟信息，不得利用非法手段復制、截收、篡改患者個人信息以挪作他用；禁止未授權的其他網絡運營主體使用監聽、偽裝等工具對患者個人信息服務平臺進行惡意的攻擊；禁止第三方運營平臺使用這些信息干擾患者的正常工作和正常信息使用等非法行為。4．1．2以“個人信息保護法”作為一種前瞻性的歸宿。盡管就目前階段來看，直接將互聯網醫療環境下個人信息的維護納入未來即將出臺的“個人信息保護法”之中確實操之過急，但這并不意味著它將永遠無緣于“個人信息保護法”的調整范疇之中。從長遠角度來看，制定“個人信息保護法”是一種趨勢，這不僅代表了國家針對個人信息立法技術的成熟，而且也是個人信息法治化的必然要求。據此，應通過不斷積累經驗，逐步細化“個人信息保護法”中的制度，健全和完善各個專門領域內的個人信息保護體系，待整體邏輯框架逐步成熟之時將互聯網環境中個人信息保護的相關規范納入其中，使之走上體系化的道路。4．1．3加強立法模式背后的理論研究。在現有的對“個人信息保護法”下互聯網醫療環境中的個人信息保護問題的研究過程中，學者對“個人信息保護立法”問題有了一定的系統研究，對相關具體領域內的個人信息保護問題也逐漸引起了學者的思考。然而，這種理論研究更多局限于單一的互聯網范疇之內或者醫療活動的范疇之中。當個人信息保護問題所處于的兩個不同領域發生一定的重疊時，設立相關立法的背后是否需要一種特殊的理論予以支撐，是否需要對之前立法的相關理論做出調整，這些都需要進一步的研究。目前，學界的大部分研究成果多集中于互聯網環境、廣義市場環境、醫療衛生等領域，對于互聯網醫療環境這一新興領域研究的成果還是比較缺乏。因此，需要加大并充實立法模式確立之前的理論研究，給互聯網醫療活動中個人信息保護的立法模式選擇提供堅實的保障。4．2互聯網醫療視閾下個人信息法律保護的制度構建。除了基本模式的確立走向之外，互聯網醫療環境下個人信息法律保護還需要相關的制度構建作為支撐，筆者認為，在構建相關的制度體系時，應著重打造以下三個方面。4．2．1明確互聯網平臺準入制度。盡管互聯網醫療活動中的個人信息保護問題與醫療環境密切相關，但侵犯個人信息的問題卻實在地發生于互聯網平臺之中。因此，需要明確互聯網平臺準入制度。從基本原則出發，互聯網醫療活動中的平臺準入應符合《電信和互聯網用戶個人信息保護規定》。同時，互聯網平臺準入制度要明確其他網絡運營主體接入互聯網患者用戶信息的權限和批準程序，以充分保障患者個人信息安全。4．2．2規范互聯網醫療的監督檢查制度。在以互聯網平臺為規范載體的背景下，互聯網醫療活動中的信息保護構建框架需要包括監督檢查制度，不僅要明確互聯網醫療活動中進行監督檢查的主體、職責以及權限等實體性內容，還要明確進行監督檢查的必要程序，在保護互聯網醫療活動中患者個人信息權的同時，還能有效打擊互聯網醫療活動中的違法行為。4．2．3確立必要的懲處制度。無論是即將出臺的《個人信息保護法（草案）》，還是現行的《電信和互聯網用戶個人信息保護規定》，懲處規則（包括法律責任、處罰程度）都是必不可少的一個部分，其目的在于發揮明確的指引作用以威懾潛在的侵權行為人。同理，互聯網醫療環境下的個人信息保護問題也需要相關的處罰標準和責任承擔規范以明確侵權行為人的責任，這部分制度也應該參照相關的規范將其設置于規定的最后。

5結語

互聯網醫療環境下個人信息權的維護需要相關的立法做出正面的回應，這種立法可以初步地存在于行政監管活動中，并體現于相應的監管機制里。同時，在我國目前對個人信息保護立法的進行程度來看，不宜直接將互聯網醫療中的個人信息保護規范直接納入《個人信息保護法（草案）》之中并加以完善，而應先初步設立相關的管理規定或者將相關的內容完善于《電信和互聯網用戶個人信息保護規定》之中。在制度構建上，應該以醫療活動中的信息收集和使用規范、相關安全保障措施、監督檢查以及相關處罰規則等為基本結構，同時注意將互聯網醫療活動中特有的問題注入其中。

作者:王亞男 單位:大連海事大學法學院