導(dǎo)語：移動醫(yī)療信息法律保護制度分析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

移動醫(yī)療信息是移動通信技術(shù)和醫(yī)療信息化相融合的產(chǎn)物，它突破了傳統(tǒng)醫(yī)療形式在時間和地域上的限制。伴隨移動通信技術(shù)和醫(yī)療信息化的快速發(fā)展，以及智能移動終端的快速普及，我國移動醫(yī)療已經(jīng)駛?cè)肓恕翱燔嚨馈薄８鶕?jù)相關(guān)研究機構(gòu)的數(shù)據(jù)，我國移動醫(yī)療健康市場市值在2018年已經(jīng)高達185億，預(yù)計到2023年，其市場規(guī)模將達2000余億元［1］。與之形成鮮明對比的是，我國對移動醫(yī)療信息卻缺乏有效的保護和監(jiān)管。因此，有必要從患者移動醫(yī)療信息入手，對當下移動醫(yī)療信息的安全問題進行深入探討，為健全移動醫(yī)療行業(yè)法制、促進行業(yè)健康發(fā)展助力。

1移動醫(yī)療信息的范疇

1．1移動醫(yī)療信息的內(nèi)涵與外延。移動醫(yī)療信息泛指在移動網(wǎng)絡(luò)服務(wù)器和終端中沉淀下來的與患者醫(yī)療和生命健康相關(guān)的醫(yī)療數(shù)據(jù)，其中最主要的是患者的生理指標、就診基本情況、醫(yī)生診療信息等患者個人疾病情況，具有顯著患者識別特征的數(shù)據(jù)信息。廣義上的移動醫(yī)療信息范圍廣泛，其產(chǎn)生源包括患者、醫(yī)生、商業(yè)開發(fā)人員等。以手機應(yīng)用為例，目前我國醫(yī)療健康類APP主要分為醫(yī)療服務(wù)類、醫(yī)療決策和醫(yī)療資訊類、門診預(yù)約與電子健康管理類、醫(yī)院綜合服務(wù)類、醫(yī)療電商類等。在使用這些健康類APP過程中，沉淀下了海量的醫(yī)患雙方信息數(shù)據(jù)，如用戶日常健康數(shù)據(jù)指標、患者疾病情況、醫(yī)生決策記錄、醫(yī)院采購記錄等移動醫(yī)療信息。本研究僅以患者的醫(yī)療數(shù)據(jù)識別信息為研究對象。1．2移動醫(yī)療法律關(guān)系論。移動醫(yī)療的法律關(guān)系較之傳統(tǒng)醫(yī)療法律關(guān)系更加復(fù)雜。在主體方面，不僅包含醫(yī)療行業(yè)監(jiān)管部門、醫(yī)療服務(wù)機構(gòu)、就醫(yī)患者、醫(yī)護工作人員等傳統(tǒng)醫(yī)療關(guān)系主體，而且包括移動運營商、應(yīng)用程序開發(fā)商、信息平臺系統(tǒng)提供商、醫(yī)藥電商等。在客體方面，移動醫(yī)療法律關(guān)系涉及物、行為、知識產(chǎn)權(quán)和人身權(quán)益等多種復(fù)雜客體［2］。移動醫(yī)療法律關(guān)系涉及合同、侵權(quán)、產(chǎn)品質(zhì)量、消費者權(quán)益保護等民事法律關(guān)系，也涉及以移動醫(yī)療監(jiān)管為主要內(nèi)容的行政法律關(guān)系和以侵犯人身權(quán)利為主要內(nèi)容的刑事法律關(guān)系。在移動醫(yī)療涉及的民事法律關(guān)系中，移動醫(yī)療的實施主體包括移動運營商、醫(yī)療設(shè)備及信息平臺系統(tǒng)供應(yīng)商、應(yīng)用程序開發(fā)商、醫(yī)療服務(wù)機構(gòu)和醫(yī)護工作者，其在不侵害患者權(quán)益的基礎(chǔ)上提供產(chǎn)品或服務(wù)并獲得相應(yīng)報酬，負有保護患者知情同意的義務(wù)?；颊咦鳛橐苿俞t(yī)療服務(wù)的消費者，需要承擔醫(yī)療技術(shù)應(yīng)用所帶來的特定風(fēng)險，并遵守公共利益優(yōu)先的原則，可在消除個人身份標識的前提下提供相關(guān)信息供醫(yī)學(xué)研究。在移動醫(yī)療所涉及行政法律關(guān)系中，主要包含行政許可、行政監(jiān)管和行政處罰。在移動醫(yī)療涉及的刑事法律關(guān)系中，主要指惡意侵犯患者或者醫(yī)療機構(gòu)移動醫(yī)療信息，造成嚴重后果或者損害了公共利益。

2移動醫(yī)療信息的重要價值

由于移動醫(yī)療信息全面記載了患者身體機能、健康指數(shù)、用藥情況、診斷記錄等信息，因此具備了物權(quán)屬性的一般價值，同時由于移動醫(yī)療信息專屬性和綜合性等，移動醫(yī)療信息也被賦予了特殊價值。（1）隱私權(quán)與物權(quán)價值?；颊邆€人信息一般包含在電子病歷、醫(yī)療數(shù)據(jù)、醫(yī)療視頻、就診報告中，患者往往不愿公開或展示，具有強烈的隱私權(quán)屬性。同時由于患者對其個人信息享有直接支配和排他的權(quán)利，因此醫(yī)療信息還兼具物權(quán)價值。（2）商業(yè)開發(fā)價值。在移動醫(yī)療軟件中沉淀著大量的患者醫(yī)療信息，這些信息一旦被泄露，再通過大數(shù)據(jù)分析和挖掘，即可以獲得患者個體健康情況的完整圖譜，就會轉(zhuǎn)換成商業(yè)目標客戶信息或者行業(yè)概況信息，因此患者移動醫(yī)療信息具有商業(yè)開發(fā)價值。（3）普適性醫(yī)療服務(wù)價值。大數(shù)據(jù)時代，通過對不同地域、不同時間段移動醫(yī)療信息的分析整理，可以得到階段性易發(fā)病信息或者區(qū)域性疾病信息，醫(yī)療決策研究機構(gòu)可據(jù)此分析研判某類疾病發(fā)展軌跡、群體病患特征甚至提供常見易發(fā)病預(yù)警，具有普適性醫(yī)療服務(wù)價值。

3侵害患者移動醫(yī)療信息安全的行為

患者移動醫(yī)療信息由于具備多種價值，因此往往會成為網(wǎng)絡(luò)攻擊者的攻擊目標。研究發(fā)現(xiàn)，2009年－2016年，美國發(fā)生了近1800起重大醫(yī)療數(shù)據(jù)泄露事件，美國醫(yī)療行業(yè)每年因數(shù)據(jù)泄露平均損失62億美元［3］。給患者移動醫(yī)療信息帶來安全隱患的情況包括以下幾個方面：（1）數(shù)據(jù)泄露?；颊叩慕】滇t(yī)療信息會被逐利者入侵而導(dǎo)致信息泄露，各種僵尸醫(yī)療應(yīng)用程序、網(wǎng)站中沉淀了大量的患者移動醫(yī)療數(shù)據(jù)但未得到規(guī)范有效的管理，加劇了醫(yī)療信息的濫用誤用風(fēng)險。（2）勒索軟件及釣魚攻擊等。醫(yī)療機構(gòu)在遭遇網(wǎng)絡(luò)攻擊后出于多方考慮，支付贖金而非前期的數(shù)據(jù)備份恢復(fù)移動醫(yī)療信息，加之有些信息在開發(fā)、使用及數(shù)據(jù)匯總時自身漏洞也存在，很容易出現(xiàn)系統(tǒng)崩潰、網(wǎng)絡(luò)竊密等情況。有時候，攻擊者為了達到目的會使用各種辦法，如通過對數(shù)據(jù)、間諜軟件、貨幣挖掘腳本進行加密，或者將勒索軟件安裝在目標系統(tǒng)上，來盜取目標系統(tǒng)的代碼，最終侵入醫(yī)療系統(tǒng)內(nèi)部盜取患者移動醫(yī)療信息。（3）內(nèi)部人員的不規(guī)范操作。移動醫(yī)療行業(yè)的從業(yè)者、客戶端研發(fā)人員、監(jiān)管人員等，在管理和使用過程中無意甚至是有意的泄露醫(yī)療信息。據(jù)《受保護健康信息泄露報告》統(tǒng)計，遭遇數(shù)據(jù)泄露事故的醫(yī)療機構(gòu)中，57．5％是內(nèi)部人士所為，主要是為了獲取經(jīng)濟利益。如MemorialHealth－careSystems公司因兩名員工訪問超過115000名患者的PHI信息，而違反了HIPAA協(xié)議，被處罰支付550萬美元［4］。

4國外應(yīng)對措施

美國等國家在移動醫(yī)療領(lǐng)域的監(jiān)管體系為我國移動醫(yī)療的監(jiān)管提供了經(jīng)驗。如《美國食品藥品化妝品法案》（FDCA）要求，對產(chǎn)品進行上市前后的監(jiān)管，要求建立起以產(chǎn)品風(fēng)險為依據(jù)的醫(yī)療器械分類和管理制度［5］。對包括移動醫(yī)療APP在內(nèi)的醫(yī)療設(shè)備實施三級監(jiān)管系統(tǒng)（ARisk－BasedThree－TierSys－tem）。針對健康風(fēng)險程度最高的三級風(fēng)險設(shè)備，必須在產(chǎn)品入市前向監(jiān)管部門提交申請并提供臨床數(shù)據(jù)，市場準入程序更為復(fù)雜，同時實行分類監(jiān)管與重點監(jiān)管相結(jié)合、適當豁免或不列入監(jiān)管范圍、擴大食品藥品監(jiān)督管理局自由裁量權(quán)等新型監(jiān)管模式［6］?！稓W盟個人數(shù)據(jù)保護條例》和《一般資料保護規(guī)章》中明確劃分了互聯(lián)網(wǎng)醫(yī)療信息的類型，并由歐盟2020地平線（Horizon2020）出資啟動專門項目以識別和阻止網(wǎng)絡(luò)黑客對移動醫(yī)療信息的攻擊。在監(jiān)管范圍和方式方面，歐盟沿用醫(yī)療器械分級系統(tǒng)，對各類移動醫(yī)療應(yīng)用設(shè)置了不同的監(jiān)管級別。一旦某個移動醫(yī)療應(yīng)用程序通過成員國內(nèi)任何一家評審機構(gòu)（ConformiteEuropeenne，CE）的審查，即可在所有成員國內(nèi)使用，同時探索建立移動醫(yī)療軟件標準化測試系統(tǒng)建設(shè)及評價體系。

5建議

目前我國尚未建成針對移動醫(yī)療服務(wù)的法律制度和監(jiān)管機制，尤其對實施移動醫(yī)療信息保護的責任部門、監(jiān)管手段、工作機制、保護對象、投訴機制和救濟措施尚缺乏詳細規(guī)定。因此有必要建立一整套囊括行政監(jiān)管、刑事打擊和民事保障等多種渠道的患者移動醫(yī)療信息安全保障體系。5．1加強對移動醫(yī)療APP信息采集的行政監(jiān)管。由于移動醫(yī)療服務(wù)涉及移動運營商、醫(yī)療設(shè)備及信息平臺系統(tǒng)供應(yīng)商、應(yīng)用程序開發(fā)商、醫(yī)療服務(wù)機構(gòu)、醫(yī)護工作者和患者等多方利益主體，因此若不能明確界定不同部門的監(jiān)管職責或者不能明確協(xié)調(diào)管理機制，則無法形成移動醫(yī)療深入發(fā)展的長效機制。5．1．1明確監(jiān)管部門或聯(lián)合監(jiān)管機制?？蓞⒖计渌麌业淖龇?，建議由國家衛(wèi)生健康委員會或國家醫(yī)療保障局作為監(jiān)管主體部門，并在監(jiān)管標準上采用區(qū)分度較高的評價審核標準。針對醫(yī)療信息安全風(fēng)險較低的移動醫(yī)療應(yīng)用，監(jiān)管部門享有審批自由裁量權(quán)，即可根據(jù)實際情況對其進行入市前審核，如只提供健康教育、健康知識普及等移動醫(yī)療應(yīng)用；對醫(yī)療信息安全風(fēng)險較高的移動醫(yī)療應(yīng)用，則要制定嚴格的準入標準和強制審查制度。5．1．2制定移動醫(yī)療信息采集分析及披露標準。鑒于移動醫(yī)療應(yīng)用采集儲存的數(shù)據(jù)除物權(quán)價值、商業(yè)價值之外，還有地域健康狀況、輔助醫(yī)學(xué)研究、研究疾病分布、提供診療手段分析定位等社會公益價值，因此需要建立移動醫(yī)療應(yīng)用信息的采集、分析及披露標準，如建立電子信息平臺管理“去識別醫(yī)療數(shù)據(jù)系統(tǒng)”。當前，在有些研究或者醫(yī)療機構(gòu)中免費使用去識別的醫(yī)療信息數(shù)據(jù)，針對這種現(xiàn)象，相關(guān)部門要嚴加管理和限制，杜絕將移動醫(yī)療信息應(yīng)用到商業(yè)行為中。5．1．3對接受移動醫(yī)療服務(wù)的群體要強化審核力度盡快建立起網(wǎng)絡(luò)醫(yī)師資質(zhì)審查機制，即在保障醫(yī)師通過互聯(lián)網(wǎng)提供合法性醫(yī)療服務(wù)的前提下，對已入駐互聯(lián)網(wǎng)平臺的醫(yī)師建立嚴格的資質(zhì)審查機制，如要求平臺醫(yī)師定期上傳從業(yè)執(zhí)證或?qū)ζ溽t(yī)師資格比對，確認后于顯要位置標示，有效維護患者的自身權(quán)益。5．2加大對移動醫(yī)療信息泄露刑事案件的打擊力度。對于侵犯患者或者醫(yī)療機構(gòu)移動醫(yī)療信息，造成嚴重后果或者損害公共利益的行為，必須予以嚴厲打擊。如對惡意入侵移動醫(yī)療信息數(shù)據(jù)庫竊取相關(guān)數(shù)據(jù)或?qū)ζ浯鎯?、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行破壞，可依照《中華人民共和國刑法》第二百八十六條以破壞計算機信息系統(tǒng)罪對相關(guān)犯罪行為進行懲罰。對利用不正當手段獲取商業(yè)秘密類的，可按照《中華人民共和國刑法》第二百一十九條以侵犯商業(yè)秘密罪進行處置。對涉嫌侵犯患者人身、財產(chǎn)權(quán)利等行為，可按照非法經(jīng)營或刑事自訴案件標準追究有關(guān)人員刑事責任。5．3加強對移動醫(yī)療信息的民事保障。由于移動醫(yī)療信息被侵害而引發(fā)的侵權(quán)事件法律關(guān)系復(fù)雜，需重點解決以下幾個方面的問題：（1）推動移動醫(yī)療應(yīng)用開發(fā)協(xié)議規(guī)范化。針對移動醫(yī)療應(yīng)用數(shù)據(jù)的特殊性，研究制定專門的開發(fā)協(xié)議及數(shù)據(jù)使用標準。鑒于移動醫(yī)療應(yīng)用不同的定位功能，不能籠統(tǒng)地制定開發(fā)標準，如果不加以區(qū)分則會因門檻過低導(dǎo)致相應(yīng)數(shù)據(jù)得不到有效保護，或者因門檻過高限制了相關(guān)行業(yè)的健康發(fā)展。對于提供醫(yī)療資訊和醫(yī)療決策輔助類等低風(fēng)險的應(yīng)用程序，數(shù)據(jù)保密標準和審核要求可適當降低；對于高醫(yī)療風(fēng)險的應(yīng)用程序，在委托開發(fā)協(xié)議就要明確相關(guān)數(shù)據(jù)讀取、存儲、分析、使用的權(quán)限主體和知曉范圍，從開發(fā)源頭降低信息泄露風(fēng)險。（2）保障患者相關(guān)信息的知情權(quán)。一是在移動醫(yī)療APP注冊使用環(huán)節(jié)加強風(fēng)險提示，提醒患者提交信息的具體用途和保障措施；二是在開展遠程醫(yī)療服務(wù)過程中，必須取得患者的知情同意，明確邀請方、受邀方與患者三者之間的法律關(guān)系和法律責任。（3）建立移動醫(yī)療信息侵權(quán)速裁渠道。對于患者移動醫(yī)療信息泄露未造成嚴重后果的糾紛，可參照民事速裁程序，在法律法規(guī)框架內(nèi)進行民事速裁。同時，考慮到網(wǎng)絡(luò)侵權(quán)與糾紛的復(fù)雜性，建議強調(diào)和確立損害發(fā)生地管轄原則，以滿足網(wǎng)絡(luò)醫(yī)療侵權(quán)救濟的迫切要求。

作者:馮雅嫻