共享个人医疗信息范围须立法明确

医疗与互联网、大数据之间擦出的火花，正愈发耀眼。最近，微信挂号、未来医院以及越来越多的移动医疗APP，让医疗与互联网、大数据的结合成为最炙手可热的一块沃土。前不久，我国首富马云在2014年“全球互联网大会”上放出豪言，30年后让医生失业。

但医疗领域的大数据在优化医疗资源的同时也引发了变成双刃剑的担忧。显然，用户医疗信息与用户个人基本信息不同，前者更具有专业性，直接涉及用户的隐私利益。因此，前者更具有医疗价值。越具有医疗价值的信息，也就越具有商业价值。

“必须在立法上明确，法律应禁止医疗信息的非法流动。”中国政法大学传播法研究中心研究员朱巍今天在接受《法制日报》记者采访时指出，我国现行法律仅将“非法公开”作为承担侵权责任的构成要件，虽然很有利于大数据隐晦性使用的发展，但也可能导致大数据使用被滥用。建议在立法上尽早引入“被遗忘权”立法观念，将用户作为自己信息的控制者，在不继续使用服务或产品之后，相关信息保有者应立即彻底删除相关信息记录。

互联网与医疗大数据不断在矛盾中权衡

互联网医疗、大数据开发、可穿戴设备、咨询、远程医疗、医患沟通……对于互联网医疗，目前并没有官方的定义。但必须承认，对缓解看病难、看病贵，互联网以及大数据的介入已经立竿见影，比如微信挂号，就可以在一定程度上解决挂号难的问题。

现实中，医患关系紧张的一个重要原因就是患者觉得挂号难、挂号贵。提前大半夜挂号，又等了一上午，十分钟就被医生打发了。有这种就诊经历的患者绝对不在少数。北京市第二医院医务科樊荣介绍，大数据的应用可以有效解决这个难题，对医患沟通起到很好的作用。比如，患者可以在手机端挂号，大数据会根据患者的表述将号直接分配给相应的医生，并确定好就诊时间。患者按约定时间来到医院后，可以自助取号并以最快速度看病，最后用网络支付的方式付费。全程都很流畅，从而节省看病的时间和费用，患者满意度提升自然会降低医患纠纷的发生。

“医疗领域大数据的开发应用远不止挂号，其范围非常广。”樊荣告诉记者，常见的应用方式还包括:根据大数据相应结果，分析用户需求进行准确的健康投递服务;利用大数据来明确一个市场需求，从而确定产品服务供给;监测人群发病状况，进行疾病预测和分析;根据人群疾病的监测确定下一步研发方向的评估;根据大数据进行疾病治疗干预效果的分析评测，等等。

但樊荣同时指出，互联网与医疗领域大数据仍需要不断在矛盾中去进行权衡。互联网越便捷，其风险性越大。以苹果公司为例，其一直以优秀的产品设计、丰富的应用市场和安全的icloud云数据为优势。但2014年，icloud的用户资料泄露导致了众多用户，包括许多知名人士的隐私权受到严重侵害。这不得不给互联网公司敲响一个警钟。具体到医疗领域，掌握了大数据的公司是选择自我研发，还是出售开发?基于大数据的研发或开发是否要经过患者进一步同意?这些都存在着矛盾和权衡。

大数据产品医疗领域自由流动值得称道

“用户基本信息属于典型的用户隐私，在世界各国都属于隐私法和个人信息保护法的保护范围。”朱巍表示，任何机关、机构、组织或个人都无权擅自公开，或将这些信息通过转卖、变卖、发送广告等形式非法使用。

据了解，我国侵权责任法首次将隐私权写入民事法律制度。最高人民法院也在2014年10月10日公布实施的网络侵权司法解释中，再次强调了对包括基因在内个人信息的保护力度，即任何人不得非法公开。“该司法解释没有对医疗信息作出明确类型区分，而是将基因信息、病历资料、健康检查资料、家庭住址、私人活动等一并作为隐私保护的范围。尤其是该解释对私人活动的规定说明，实际上是将几乎所有的网络医疗信息都涵盖在法律保护之内。”朱巍强调。

对于网络服务提供者、医疗机构和第三方机构这些共享医疗信息大数据的各方来说，朱巍认为其共享医疗信息的范围必须在立法上明确，法律应禁止医疗信息的非法流动。一般来说，网络医疗中网络服务提供者作为医疗机构的信息采集人，运用大数据加工的信息产品以及用户基本信息和医疗信息都是网络服务提供者向医疗机构或第三方机构共享的产品。共享也应符合法律规定，符合必要性和正当性原则，事先应告知用户信息流转方向和使用情况。任何人、组织或机构都不得在未经用户同意的情况下非法与他人共享医疗信息。

“当然，不能特定化到个人的大数据信息在性质上属于数据产品，不在个人信息保护范围之内。这些大数据产品在医疗机构和医疗产品服务机构之间自由流动，会极大提升医疗发展水平，这也是大数据医疗最值得称道之处。”朱巍说。

立法明确网络医疗信息合法合理正当使用

“用户行为信息和实时监控信息是典型的大数据信息，只要这些信息在搜集、使用或利用时符合《关于加强网络个人信息保护的决定》规定的合法性、正当性和必要性的基本原则，没有将这些信息公开特定化到个人，那么，运用大数据信息的行为不仅不是非法的，甚至应该是得到鼓励的。”对于来势汹汹的医疗领域大数据，朱巍持支持态度。

但朱巍同时强调，应从多方面进一步明确立法，使大数据的使用更加规范化，发挥出更大的作用。他建议从以下方面加以完善:

首先，法律应明确用户的个人信息、医疗信息属于隐私敏感信息。医疗机构、网络服务提供者和第三方机构都应确保信息的安全性。在搜集和使用这些信息时，应明确得到用户的事先授权，不得越界使用，超期使用或非法转卖、转让。

其次，法律应该明确精准营销的范围。“精准营销和广告是大数据和网络免费时代的前提，法律不应对精准营销作出禁止性规定。但精准营销应控制在一定范围和限度之内。”朱巍具体分析指出，在用户明确拒绝之时，在用户不再使用网络服务或医疗服务之时，网络服务提供者或医疗机构不得以任何方式继续精准营销。

再次，立法应将“必要性、合法性和正当性”这些原则具体化到医疗信息保护之中，而实时监控信息搜集和使用必须要遵守。具体来说，必要性原则就是防止对用户信息的过分采集，网络服务提供者和医疗机构，不得以任何理由在未明确告知信息采集范围时超过必要范围。合法性就是强调网络服务提供者、医疗机构或第三方机构是用户信息的保有人，使用信息应遵守包括侵权责任法、消费者权益保护法、未成年人保护法等法律法规，它们应该承担信息泄露或被非法利用的民事、行政或刑事责任。正当性原则指的是信息使用者对信息使用是为了用户权益，遵守事先承诺，不得以技术优势或信息优势非法使用医疗信息。