个人信息法律保护模式研究

与患者在医院就医的情况有所不同的是，互联网医疗中医患双方的信息交流是通过网络途径进行并加以保存的，而并非是传统的纸质书写并存于医院的指定档案库。在这种情况下，患者的个人信息通过网络平台被泄露的风险日益增大。通过互联网进行医疗活动能够在解决当下受诊患者问题的同时，还能将有用的医疗信息分享至特定的网络平台中以惠及其他面临相同问题的患者，避免医疗资源的浪费。然而，在分享医疗信息的同时，患者的个人信息也会因我国目前医疗人员的维护意识薄弱和相关法律制度的缺位等原因面临被泄露的风险。诚然，从法律制度的构建等角度对互联网患者的个人信息进行维护是一种重要的措施，然而在明确这种保护措施之前，首先需要厘清个人信息在互联网医疗视阈下的体系和架构，进而对其进行针对性的立法，从而有效打击互联网医疗中患者个人信息泄露等问题的发生［1］。

1互联网医疗中个人信息体系的架构

1．1个人信息主体所谓信息主体，是指实际有权支配个人信息，并能合法进行使用的主体。根据我国《民法总则》的规定，我国对于个人信息主体的确立范畴保持在自然人的维度之内，而对法人成为个人信息主体这一事实持有模糊的态度。信息主体在理论上有广义和狭义之分，从狭义上来讲，在互联网医疗的平台中，个人信息所享有的主体是患者本身，而并非是提供互联网医疗服务的医师或其他工作人员。因此，狭义的个人信息主体是从信息本身产生的源头来分析和确立的，其具有直接性和可观性［2］。然而从广义的角度出发，个人信息主体还包括利用信息的主体，因此除了患者之外，经过患者允许或依据《民法总则》的规定而利用信息的主体都属于信息主体的范畴，其包括互联网医疗的医师、国家卫生部门的公职人员以及其他相关主体等。在研究互联网医疗中个人信息法律保护问题之前明确相关的主体问题有着非常重要的意义：一方面，它能够有效确立个人信息法律保护的对象，使相关立法的保护主体更为明确；另一方面，它能够有效地将非个人信息保护主体排除在立法调控范畴之外，避免法律设置过程中的逻辑混乱。1．2个人信息客体所谓个人信息的客体，可以直接理解或等同于个人信息或个人信息价值，其是指能够识别自然人信息的总和。在互联网医疗环境中，患者或其他合法利用患者信息的主体所享有的个人信息主要可以分为以下两个部分：其一，基本信息。所谓基本信息，主要是用于识别患者本身的信息，如这些主体的姓名、肖像、居住地址、联系电话、个人网络主页等信息。基本信息是主体最贴切于主体本身，也是它们最核心的信息部分，对其进行使用往往是切入其他信息的前提和关键［3］。其二，经济信息。所谓经济信息，是指附着于主体基本信息之上，能够体现出经济价值或满足使用者经济需求的信息。经济信息可以说是对主体基本信息的进一步描述和表达，在阅读经济信息的过程中，使用者可以进一步了解信息主体的概况，并能够从中挖掘出相关的利益链条，从而为己所用［4］。在互联网医疗环境中，患者或其他合法利用患者信息的主体的姓名、肖像、住址、年龄等是他们所属的基本信息，而患者的病历、病情阐述、与互联网医师沟通的对话、自我描述以及相关的配药处方等就属于经济信息。1．3个人信息利用与主体和客体的静态性所不相同的是，个人信息架构本身还有诸多动态性因素构成，而并非只是单一的由个人信息利用主体与个人信息利用客体这组单一的元素所构成［4］。这种动态性的架构元素就是主体对个人信息客体的利用，它既可以指代对于数据进行处理并加以使用的利用行为，也可以指对自然人的姓名、性别、民族、种族、出生日期等加以固定或使用的行为。在没有特定条件进行限制的情形下，个人信息利用的范畴比较广阔，泛指对一切信息进行目的性使用的行为［5］。然而，在互联网医疗环境下，个人信息利用是指信息利用主体对于患者的个人信息（包括基本信息和经济信息）加以利用的行为。患者本身的电子病历、沟通对话以及相关的处方等信息蕴含着很大的经济价值，包括互联网医师在内的诸多主体都希冀更多地获取这类信息以实现自身的经济目的。因此，个人信息利用过程中所产生的法律问题就特别值得关注。作为公民隐私权的一个重要组成部分，患者的个人信息的隐秘性和私人性决定着对这部分信息的利用需要以合法的程序为前提，从而维护患者合法的权利。然而，发达的信息技术能够促使医患双方通过网络平台实现直接的对接并为患者带来便利，同时也给医药企业带来掌握并控制患者医疗信息的契机。在整个过程中，包括医药企业在内的诸多信息利用主体都可能存在对患者个人信息的侵权行为，故而需要进一步讨论对患者个人信息的法律保护问题。

2学界对互联网医疗中个人信息法律保护方式分析

2．1制定一部“个人信息保护法”。制定一部“个人信息保护法”并将互联网医疗环境中患者个人信息保护纳入该法的组成部分是其中的一种保护方式，且这种保护方式的呼声比较明显，我国已经出台了一部《个人信息保护法（草案）》。在拟定这一草案的过程中，有学者就提出要对个人信息进行分类，并认为作为个人信息保护的专有法律，应该在行业分类上具有指导性，以便为各个行业制定个人信息自律规范提供参考。按照这一观点，“个人信息保护法”在制定的过程中应专设模块来规定互联网环境中的个人信息保护问题或者专设模块来规定医疗环境中对患者个人信息的保护问题，并且无论是采用哪种角度，都应该对互联网医疗环境中患者个人信息保护进行必要的提及和规范。2．2完善相关的医疗管理办法与制定一部。“个人信息保护法”所不相同的是，采纳“完善相关医疗管理办法”这种方式更加具有针对性和具体性，且这种法律保护的方式能够直接切入到相关的行业管理条例和管理办法之中。这部分立法的制定主体可能是国家工商行政管理总局或是国家卫生行政部门，其制定的规范如2016年11月实施的《医疗广告管理办法》。完善相关的管理办法，主要作用在于能够直接切入医疗信息的保护立法之中，从而有效避免单一个人信息维护过于一般性，使相关的法律适用更加直接，法律法规的指引性也更加明确。2．3设立相关的监管机制。也有学者认为，无论设立何种立法保护的方式，其力度都很薄弱。由于相关立法规范的设置不得不考虑到其他相关制度的逻辑安排，因此，真正为互联网医疗中个人信息维护设置的立法规范就会相对有限，进而无法顾及到这一问题的全貌。由此，从行政的角度出发设立相关的监管机制反而更加灵活、高效，并可直接切入到互联网医疗中的信息维护问题之中。具体而言，互联网监管机制、互联网信息保护机制、医疗信息管理机制等可以有效辅助相关的立法规范，从而真正地针对互联网医疗下患者的个人信息维护问题。因此，设立相关的监管机制也不失是一种更好的方法。通过对三种不同的法律保护方式的分析，笔者认为，这三种做法基本覆盖了主要的法律保护方式，每种做法都有其自身的优势，并且互相之间也并不绝对的排斥。对于第一种做法而言，制定一部“个人信息保护法”是一种归宿性做法，也是一种较高层级的立法活动。尽管它的出台需要一定的时间，并且对其是否是一种高效的立法活动这一问题学界也存有质疑，但这种做法却能够从整体上、宏观上促进公众对个人信息法律保护的认识，进而可以提升互联网医疗活动中个人信息保护的力度。另外，制定一部“个人信息保护法”也是我国目前立法的趋势所在。对于第二种做法而言，完善相关的医疗管理办法能够有效适应互联网医疗活动中个人信息维护这一具体问题，这种做法对于患者个人信息权的维护有着直接的意义，相关的司法人员在适用起来往往更加方便和直接。对于第三种做法而言，设立相关的监管机制实质上更类似于一种通过行政的手段或方式来保障互联网医疗活动中个人信息的安全问题，本身并不当然是一种有效的立法手段，因此，它的作用更多地还是发挥辅助性作用，而不能独立地形成一套完整的个人信息保护体系。

3互联网医疗中个人信息法律保护模式的问题及分析

尽管三种不同法律保护方式各有优势，但笔者认为，选择任何一种方式作为互联网医疗中个人信息法律保护的模式都是不正确的，具体原因如下。3．1未能注重互联网环境与医疗环境的有机结合。互联网医疗，是互联网在医疗行业的新应用，其包括了以互联网为载体和技术手段的健康教育、医疗信息查询、电子健康档案、疾病风险评估、在线疾病咨询、电子处方、远程会诊等服务［6］。对这种服务形式的有效规范在于将互联网环境与医疗环境做出相关衔接，并且制定的规范不能与既有的法律规范产生矛盾。因此，制定“个人信息保护法”是不能直接落实到互联网医疗环境之中的，其必须顾及到各行各业的个人信息保护规范，而即使能够有所顾及，所能提供的具有直接调整作用的规范也是较少的。因此，直接通过制定“个人信息保护法”的做法并不可取。另外，完善相关的医疗管理办法也较为片面。互联网医疗环境下个人信息的法律保护模式与普通的医疗环境之间有着本质的区别，单一地完善相关的管理办法，如何与其他一般制度之间进行有效的衔接，如何与相关的互联网制度进行充分衔接都是亟待解决的问题，只是通过完善相关的医疗管理办法是不能充分顾及到这种较为前沿的环境所应该有的特点［7］。因此，无论是制定一部“个人信息保护法”，亦或是完善相关的医疗管理办法都不能真正兼顾互联网环境与医疗环境两者之间的特点，并充分进行有机结合。3．2缺乏对不同立法模式的逻辑间考量。无论是制定一部“个人信息保护法”，还是完善相关的医疗管理办法，亦或是单纯地考虑设定某种机制予以监管，它们之间往往不是孤立的存在，而是存在着某种逻辑联系。因此，采取任意一种个人信息法律保护方式都不能有效解决互联网医疗环境下个人信息保护的问题，而是需要通过一种“规范群”的方式才能够得以有效解决［8］。事实上，设立相关的监管机制、完善相关的医疗管理办法以及制定一部“个人信息保护法”三者之间是一种“初始－进阶－归宿”的关系链条，在立法的初始阶段，互联网医疗的个人信息法律保护方式往往是从较低层级的法律法规着手，直至体现在“个人信息保护法”之中。在实践过程中，随着互联网医疗个人信息侵权问题日益凸显，监管机制已经不能有效地杜绝并指引更多网络医疗患者维护自身合法信息权益之时，它就会向规范逐步迈进，直至作为一个重要的子部分形成于“个人信息保护法”之中［9］。因此，任何一种立法模式的选取都应该在特定的时间阶段和特定的实践背景中进行考量，而现如今对这一问题的大多数讨论都或多或少地忽略了这一问题，也没能找准目前我国在个人信息维护立法过程中所处的位置，故而会缺乏针对不同立法模式之间的逻辑考量。3．3忽略了制度构建在互联网医疗中个人信息维护的作用。除了立法模式这一基本问题之外，互联网医疗活动中对个人信息权的维护还需要进行具体制度的构建，这里所提及的制度包括各个层级立法的制度设计，以及相关监管机制的制度设计。然而，目前学界的研究以及现行出台的《个人信息保护法（草案）》均没有注意到具体制度的构建问题，而过多地将视野放置在立法模式选择的思考方面。立法草案里也大多是原则性、一般性的规定，并没有形成某种具体可行的机制以供实务人士参考，因此，制度构建的缺乏无法真正实现对个人信息权的有效维护。互联网医疗环境是互联网环境以及医疗环境二者的有机结合产物，在制度构建的过程中要涉及到两个不同的立法环境。面对互联网医疗活动中的健康教育、医疗信息查询、电子健康档案、疾病风险评估、在线疾病咨询、电子处方、远程会诊等服务，在制度构建上需要综合考虑这些服务可能带给患者个人信息的重要影响，并在制度上予以针对性的设置，进而解决互联网医疗视阈下的个人信息保护问题。

4对互联网医疗视阈下个人信息法律保护的思考

面对当今学术界对互联网医疗服务中个人信息维护的几种立法应对和在该领域内存在的问题，笔者认为，互联网医疗视阈下个人信息法律保护的确立并不是择一种模式而论，而是应该综合考虑三种模式之间的递进关系，并找准目前我国个人信息立法的正确阶段，从而进行适当的展望，以求稳于当下立法环境之中的同时，能够保有一定的前瞻性。4．1互联网医疗视阈下个人信息法律保护的立法模式思考。4．1．1立足于相关监管机制的设置以推动相关管理条例的出台。我国当下并没有出台一部完整的“个人信息保护法”，也不存在一部直接与互联网相关或者直接与医疗活动相关的个人信息保护规范（或者说即使存在，也不过是各大医院或各个网站单独出台的相关管理规范或管理指南）。因此就目前情况看，对互联网医疗视阈下个人信息的保护而言，不宜于过早地采取立法保护的方式，更不宜直接增添《个人信息保护法（草案）》中的相关规定。笔者认为，应该首先立足于互联网医疗活动中相关信息监管机制的出台，且这一监管机制包括但不限于医院网络管理机制、互联网设备和数据管理机制、互联网医疗网站管理机制等。在互联网医疗活动中，相关的监管机制中应该明确：禁止未授权的其他网络运营主体接入互联网患者用户信息以访问和获取它们的基本信息和经济信息，不得利用非法手段复制、截收、篡改患者个人信息以挪作他用；禁止未授权的其他网络运营主体使用监听、伪装等工具对患者个人信息服务平台进行恶意的攻击；禁止第三方运营平台使用这些信息干扰患者的正常工作和正常信息使用等非法行为。4．1．2以“个人信息保护法”作为一种前瞻性的归宿。尽管就目前阶段来看，直接将互联网医疗环境下个人信息的维护纳入未来即将出台的“个人信息保护法”之中确实操之过急，但这并不意味着它将永远无缘于“个人信息保护法”的调整范畴之中。从长远角度来看，制定“个人信息保护法”是一种趋势，这不仅代表了国家针对个人信息立法技术的成熟，而且也是个人信息法治化的必然要求。据此，应通过不断积累经验，逐步细化“个人信息保护法”中的制度，健全和完善各个专门领域内的个人信息保护体系，待整体逻辑框架逐步成熟之时将互联网环境中个人信息保护的相关规范纳入其中，使之走上体系化的道路。4．1．3加强立法模式背后的理论研究。在现有的对“个人信息保护法”下互联网医疗环境中的个人信息保护问题的研究过程中，学者对“个人信息保护立法”问题有了一定的系统研究，对相关具体领域内的个人信息保护问题也逐渐引起了学者的思考。然而，这种理论研究更多局限于单一的互联网范畴之内或者医疗活动的范畴之中。当个人信息保护问题所处于的两个不同领域发生一定的重叠时，设立相关立法的背后是否需要一种特殊的理论予以支撑，是否需要对之前立法的相关理论做出调整，这些都需要进一步的研究。目前，学界的大部分研究成果多集中于互联网环境、广义市场环境、医疗卫生等领域，对于互联网医疗环境这一新兴领域研究的成果还是比较缺乏。因此，需要加大并充实立法模式确立之前的理论研究，给互联网医疗活动中个人信息保护的立法模式选择提供坚实的保障。4．2互联网医疗视阈下个人信息法律保护的制度构建。除了基本模式的确立走向之外，互联网医疗环境下个人信息法律保护还需要相关的制度构建作为支撑，笔者认为，在构建相关的制度体系时，应着重打造以下三个方面。4．2．1明确互联网平台准入制度。尽管互联网医疗活动中的个人信息保护问题与医疗环境密切相关，但侵犯个人信息的问题却实在地发生于互联网平台之中。因此，需要明确互联网平台准入制度。从基本原则出发，互联网医疗活动中的平台准入应符合《电信和互联网用户个人信息保护规定》。同时，互联网平台准入制度要明确其他网络运营主体接入互联网患者用户信息的权限和批准程序，以充分保障患者个人信息安全。4．2．2规范互联网医疗的监督检查制度。在以互联网平台为规范载体的背景下，互联网医疗活动中的信息保护构建框架需要包括监督检查制度，不仅要明确互联网医疗活动中进行监督检查的主体、职责以及权限等实体性内容，还要明确进行监督检查的必要程序，在保护互联网医疗活动中患者个人信息权的同时，还能有效打击互联网医疗活动中的违法行为。4．2．3确立必要的惩处制度。无论是即将出台的《个人信息保护法（草案）》，还是现行的《电信和互联网用户个人信息保护规定》，惩处规则（包括法律责任、处罚程度）都是必不可少的一个部分，其目的在于发挥明确的指引作用以威慑潜在的侵权行为人。同理，互联网医疗环境下的个人信息保护问题也需要相关的处罚标准和责任承担规范以明确侵权行为人的责任，这部分制度也应该参照相关的规范将其设置于规定的最后。

5结语

互联网医疗环境下个人信息权的维护需要相关的立法做出正面的回应，这种立法可以初步地存在于行政监管活动中，并体现于相应的监管机制里。同时，在我国目前对个人信息保护立法的进行程度来看，不宜直接将互联网医疗中的个人信息保护规范直接纳入《个人信息保护法（草案）》之中并加以完善，而应先初步设立相关的管理规定或者将相关的内容完善于《电信和互联网用户个人信息保护规定》之中。在制度构建上，应该以医疗活动中的信息收集和使用规范、相关安全保障措施、监督检查以及相关处罚规则等为基本结构，同时注意将互联网医疗活动中特有的问题注入其中。

作者:王亚男 单位:大连海事大学法学院