患者医疗信息刑法保护完善分析

时间:2022-11-12 04:45:57

患者医疗信息刑法保护完善分析

摘要:侵害患者医疗信息情况层出不穷,患者医疗信息亟待更为有力的保护。患者医疗信息有别于一般公民个人信息,在我国现有规定下的保护尚显不足,鉴于患者医疗信息的敏感性、公益性和具有财产价值的特征,应采取个人信息的保护模式。借鉴德国刑法关于患者医疗信息保护制度,我国应明确患者医疗信息内涵,规范义务主体范围,补充患者医疗信息使用的例外情形,对患者医疗信息提供较为全面的保护,维护我国医疗秩序和社会秩序的稳定。

关键词:患者医疗信息;刑法保护;德国刑法

根据2016年7月新京报的报道,全国有30个省份275位艾滋病感染者称接到了诈骗电话,艾滋病感染者的医疗信息疑似被大面积泄露。[1]患者医疗信息包括病情诊治信息、患者过敏史和家族病史等生理信息,也包括姓名、住址、联系方式等个人身份信息,还有医疗费用结算等其他信息。[2]患者的医疗信息既是疾病诊治的判断依据,又对医学研究和疾病防控有着重要意义。若患者医疗信息遭到泄露,将严重影响患者的财产安全和身心健康,也会对医疗秩序和社会秩序的稳定产生威胁。随着电子病历和远程医疗的普及,患者医疗信息所面临的环境也更加复杂,在患者医疗信息的处理、传递等场合中,该问题则更为突出。

一、我国患者医疗信息保护现状

我国有关患者医疗信息的保护散见于《民法总则》《侵权责任法》《执业医师法》等规定中。例如,在《民法总则》中确立了自然人的个人信息受法律保护;在《侵权责任法》中规定,医方泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任;在《执业医师法》中规定,禁止医师在执业活动中泄露患者隐私。上述规定都较为原则性,并且分散于各个特殊规定中,并未有系统性和针对性的规定。《刑法修正案(九)》为保护日益受到侵犯的公民个人信息权,将侵犯公民个人信息罪的犯罪主体由特殊主体扩展到一般主体,并取消了对信息获取方式的限制,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的行为作为从重处罚的事项。同时,2017年施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》针对“公民个人信息”予以解释,然而该规定并未对相关信息类型进行分类,在其列举中也未明确将患者医疗信息纳入“公民个人信息”的范畴。虽然其规定“非法获取、出售或者提供健康生理信息五百条以上视为情节严重”,但该司法解释及其他法律法规中并未对健康生理信息加以解释,患者的医疗信息是否属于健康生理信息也暂未可知。我国刑法对公民个人信息保护日趋重视,但患者医疗信息相较于公民个人信息又有其特殊性,刑法的条款以及其他法规中并未回答受保护的患者医疗信息的范围是什么,是否有侵犯患者医疗信息的豁免情形,以及针对患者医疗信息利用问题又该如何处理,因此,以适用于公民个人信息保护的规则对患者医疗信息进行保护尚显不足。

二、患者医疗信息保护模式的选择

患者医疗信息主要包含4类信息:一是生理信息,例如病情诊治情况、过敏史和家族病史等;二是个人身份信息,例如姓名、住址、联系方式等;三是患者医疗费用发生、结算等相关信息;四是精神治疗过程中可能涉及的患者的私密信息,例如患者的个人生活、情感经历等。患者医疗信息具有如下特征。第一,具有一定的敏感性。生理信息和私密信息都属于个人隐私的范畴,具有较高的敏感性。此部分信息一般是患者个人不愿主动公开的,一旦被泄露或者不当使用,可能使患者遭受精神损害或者人格利益损害。第二,具有社会公益性。患者医疗信息对公众疾病防治与科学研究具有重要意义,例如传染病信息、药物研发、医疗技术进步等。为了维护社会公共利益,国家机关或者研究机构需要对医疗信息进行搜集、利用和传递等。第三,具有一定的财产价值。得到患者的医疗信息,则可通过大数据进行健康监测和风险评估,可通过大量患者信息的数据集合进行基于患者相似性的个性化预测分析,例如远程监测数据预测心力衰竭等。如上所述,患者医疗信息既具有隐私性,也包含着社会价值和商业价值,因此,对其保护的内容同样有争议。患者医疗信息属于个人信息,参考侵犯公民个人信息罪的保护法益,“隐私权说”认为,侵犯公民个人信息罪保护的是不希望为一般人所知的有保护价值的个人信息[3];“个人信息权说”认为,侵犯公民个人信息罪被设置于《刑法》“侵犯公民人身权利、民主权利”一章,其保护的是个人信息权[4];“社会公共安全说”认为,“侵犯公民个人信息犯罪的法益并不是公民个人的人身权利,而是社会的公共安全,具体来说是公共信息安全”[5];“综合说”则整合了上述观点,从而推导出该罪的保护法益是公民个人的信息自由、安全权以及隐私权[6]。所以,针对患者医疗信息的保护还需围绕其所保护的内容展开,从而为其选择合适的保护模式。笔者认为,患者医疗信息保护宜采取个人信息的保护模式。首先,个人隐私强调的是对人格利益的保护,并不强调财产价值,而个人信息是集人格保护与财产保护于一体的综合性权益,能更好地突出患者医疗信息中蕴涵的财产价值。其次,相较于个人隐私,个人信息更能体现与国家利益的关系,例如基因信息等。在大数据时代背景下,整合的国民基因信息可能涉及国家安全问题,而个人隐私往往与国家利益没有关联。再次,从保护方式上而言,针对个人隐私的救济更多是被动的,出现损害后才可主张精神损害赔偿,而个人隐私一旦公开后即不属于隐私,不再受保护。但个人信息的保护则更为主动,在个人信息因不当使用造成损害前,权利人即可要求信息处理者删除或者更改信息,因此相较而言,以个人信息进行保护更为全面。最后,侵犯公民个人信息罪的前置条件是“违反国家规定”,在《民法总则》第11l条及其他有关个人信息保护的法律法规中已确立了个人信息权的情况下,以个人信息进行保护,更能体现我国法律制度的整体性,同时这也是对国家上述规定的刑法确认。此外,患者医疗信息保护的主体仍然是自然人,以社会信息安全进行界定未免有扩张之嫌,且社会信息安全本身就存在定义之争,不具有可操作性。因此,针对患者医疗信息的保护,采取个人信息的保护模式更为妥当。

三、德国对患者医疗信息的保护

国际上针对个人信息的保护主要有两种模式。区别于美国的隐私权保护模式,德国更加关注个人信息的社会作用,并较早地在宪法层面确立了个人信息的自决权,可为我国患者医疗信息保护提供借鉴。在1983年人口普查法案判决中,德国宪法法院从《基本法》规定的一般人格权出发,将个人信息权益称为“信息自决权”。[7]即个人可以依据法律控制个人信息并决定是否被收集和利用,个人有权知晓何人、因何事、在何时何种情形知悉自己的个人信息。1990年的《德国联邦个人资料保护法》正式确认一般人格权为个人信息权的基础。[8]信息自决权不仅仅确立了个人信息的私人属性,也赋予信息主体限制外部主体收集、使用个人信息的权利。此外,德国将个人信息界定为“可直接或间接识别自然人的任何信息”,患者个人信息中的健康数据、基因数据、生物识别数据、性取向等,也被列为特殊类别的个人信息,受到更为严格的法律保护。[9]根据德国2010年的《个人信息保护法》,在信息自决权基础上的个人信息使用规则是:首先,个人信息的获取、传递或使用在原则上是禁止的,除非获得信息主体的同意、信息处理者符合法定事由或对于信息处理本身具有正当利益;其次,获取个人信息的目的必须明确,并且信息处理行为受限于该目的;最后,信息主体对信息处理者享有删除等积极请求权。在刑法保护上,《德国刑法典》第203条针对侵犯他人秘密进行了规定:医师、牙医、兽医、药剂师以及其他所有须经过国家规定的培训才能执业的医护人员被告知或知悉他人秘密,未被授权而加以泄露的,将被认定为侵犯他人秘密。[10]105这主要是针对从事特殊职业主体项目医疗信息保密义务的,并未将其他主体纳入义务范围。虽然从字面上理解,德国刑法规定保护的法益仍是“秘密”,但目前隐私权的概念已经逐渐从“不被干涉的权利”演变为“控制自己信息的权利”,《个人信息保护法》的出现也是受此种观点的影响。(一)受保护的患者医疗信息的界定。德国刑法中的患者医疗信息具有如下特征:(1)被限定的人际圈中可获知的事实;(2)有实际的守密利益;(3)基于医患之间信任关系获知的患者个人信息,无论是否与诊疗有关。根据上述特征,患者医疗信息的内容包括就医信息、诊疗中的发现以及医疗相关的信息,如治疗、预后和X光片等诊断记录在内的所有医疗上的记录,以及其他诊疗中涉及患者个人经历的信息(未必与诊疗直接相关),如职业经历等。其中,患者的医疗信息还包括诊疗中偶然获知的上述相关信息,但是匿名信息不是保护对象。可见,德国刑法以信赖关系为标准界定患者的个人信息,其根本思想在于,基本医疗行为的顺利开展是以患者向医务人员敞开心扉,如实提供相关信息为前提,因此为了维持患者对其信任,就应为患者保守秘密。(二)守密主体的范围。依据受保护的患者医疗信息范围,德国刑法将守密主体分为有医师执业证的医务人员和无医师执业证的辅助人员。有执业医师证的医务人员是守密主体的核心,包括对患者直接进行诊疗的专业医师、与患者本人无接触的病理检查人员和病理医生、其他经过国家规定的培训取得职业资格的医务人员。无医师执业证的辅助人员是守密主体的扩张部分,包括紧急医疗中参与医疗活动的辅助人员、为医疗活动做日常准备的人员、实习医生和实习护士等,从而将辅助人员通过参与诊治活动而知悉患者医疗信息的情况排除在泄密的范畴外。(三)泄露患者医疗信息行为的正当化事由。德国刑法中,患者医疗信息行为的正当化事由主要是指患者本人同意和优越法益保护。1.患者同意信息自决权的核心在于,信息主体有权许可他人获取、使用、传递本人信息等。患者同意则是通过对法益的自决行为来阻却行为的违法性,也被称为“权利人同意”。德国刑法中的权利人同意源自《基本法》的人格尊严条款所保障的行为自由,“这种行为自由的行使阻却了法益的侵害性和构成要件的复合性”[11]。患者同意分为明示同意、默示同意和推定同意。明示同意是指患者必须亲自对其个人信息的披露进行授权。默示同意是指在患者没有明确反对的情况下,认为患者对其医疗信息的披露是同意的。没有特地询问患者是否同意,患者也没有以语言或书面形式作出任何意思表示,却要论证患者本人的同意确实存在,因此,该项争议最大。推定同意是指法律不要求该项患者的信息披露需要获得患者本人的同意,而是将法律上的判断规则作为违法性阻却要件。例外推定同意主要针对以下两种情况:其一,某类信息尚不足以让患者本人对保守秘密这件事产生兴趣;其二,由于客观情况的限制,如紧急情况,不能询问到患者的意见,从而推定同意。另有德国学者认为,在现代交易型社会中,同意的表示一般都是标准化的,并且法益的所有者在表示同意时,往往会受到经济强制或者是社会强制,从而难以保护其自身法益。基于信息处理者的强势地位,提倡将电脑信息处理的援助者也作为规制的行为主体,增强信息所有者对自己信息的掌控力。[12]2.优越法益保护优越法益保护的原理在于,当向第三方提供患者医疗信息是为了保护相对于为患者保守秘密的利益更为优越的法益时,医生违反守密义务的违法性被阻却。优越法益保护包括紧急避险和公众利益优越。《德国刑法典》第34条对紧急避险进行了规定,为使自己或他人生命、身体、自由、名誉、财产或其他法益免受正在发生的危险,不得已而采取的紧急避险行为不违法,但所要保护的法益应明显大于所造成危害的法益。[10]13仅在所采取的行为属于避免该危险的适当措施时,可适用本条的规定。就提供患者医疗信息而言,例如家庭医生为使患者配偶生命免受正在发生的危险,可将患者身患HIV的情况告知配偶。当公众利益优越于保护患者的隐私权时,医务人员可未经其同意就相关患者的医疗信息提供给相关机构或公众。为避免公众利益优越陷于被滥用的境地,主要通过3种形式来确定优越公共利益:一是通过法律解释确立优越公共利益;二是立法者已作利益衡量,明文予以确立优越公共利益;三是医务人员有权拒绝在刑事诉讼程序中提供患者的医疗信息为搜查或审判之目的使用,不得扣押患者的病例资料。另外,在利益衡量上,医生为患者守密的利益要高于国家刑事追诉的利益。

四、德国相关制度对我国患者医疗信息刑法保护的借鉴

根据我国刑法对患者医疗信息保护现状,借鉴德国刑法中对患者医疗信息保护的制度,笔者认为可以采取如下3条措施。(一)明确患者医疗信息的内涵,并将其纳入个人信息的保护范畴。目前,我国与医疗信息相关的法律法规仍然将患者医疗信息认定为“隐私”,并不符合患者医疗信息采取个人信息保护的路径。我国现有关于个人信息的定义主要采用“可识别性”的标准,但是患者医疗信息中除了可识别的个人信息外,还有部分隐私信息,单个隐私信息可能并不具有识别患者个人的功能。因此当前个人信息的定义难以涵盖患者医疗信息的内容,应在相关规定中明确患者医疗信息的内涵,并将其纳入个人信息保护的范畴。为防止患者医疗信息保护被无限扩大,患者医疗信息应界定为少数人所知悉的、具有守密利益的、基于医患之间信任关系所获知的信息。若医师并没有基于一个治疗行为获得患者的信赖,例如患者只是在诊查阶段,则这名患者的姓名不构成法律保护的患者医疗信息。(二)对义务主体的范围加以界定。接触患者医疗信息最主要的是医务人员。根据我国《医疗机构从业人员行为规范》的规定,医疗机构从业人员大致包括:管理人员、医师、护士、药学技术人员①、医技人员②和其他人员③。除却对患者进行直接诊疗的执业医师外,判断其他人员是否同样具有保密义务,应当首先判断其是否因分工而结成了义务共同体。在实践中,不乏医疗机构内部使用患者医疗信息的情况,例如在会诊时,不同医师、诊室之间需要对患者的医疗信息进行共享以提高效率。虽然部分医师可能并未直接诊治该患者,但为了增进患者的生命健康法益,医务人员对此类患者信息的提供并不构成违法。但是只能限于为实现医疗效果,在必要范围内传递医疗信息,同时,对医疗信息的使用应当限定在诊治目的以内。针对其他义务共同体,在其分工内提供最小必要限度的信息,对医疗信息的利用同样不得超出此范围。此外,除医务人员和因医疗活动形成义务共同体以外,在后续信息传递过程中接触到患者医疗信息的其他信息处理者,可参照侵犯公民个人信息罪进行处理。(三)增加利用患者医疗信息的正当化理由。1.患者同意。对于信息中的自我控制是个人信息权的应有之义,同意规则是赋予权利人决定放弃信息保护的权利。同意规则在公民个人信息中的运用早有先例。例如2014年实施的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》规定,经自然人书面同意,网络用户或者网络服务提供者,可在约定范围内公开自然人基因信息、病历资料、健康检查资料等。但上述规定并未就同意的方法、具体情形进行说明,规定得较为粗糙。所以在对患者医疗信息的刑法保护中,可参照德国的同意制度层次建立“患者同意”规则。(1)明示同意。医务人员在获得患者本人口头或者书面同意后,可以将患者医疗信息提供给第三人。该同意,应当是在患者具有足够的判断能力的情形下作出的,同时该同意的作出应该是在医务人员充分说明的基础上进行的。例如,诊金决算机构的业务内容不涉及医疗活动,并非守密义务共同体,无须经患者明示同意才可提供患者的相关信息。(2)默示同意。首先,家属对患者病情的知晓有助于对患者治疗提供物质支持和精神支持,因此,对患者家属泄露医疗信息应当推断患者会同意。其次,在医疗机构内部中,可能基于医疗机构从业人员的不同分工,会不同程度地获知患者的医疗信息。如执业医师获知患者既往病史等信息,护理人员同样需要知晓患者部分病情信息。为了实现医疗活动,在该部分人员之间的信息传递尤为必要,所以除非患者提出明确反对,在内部人员之间的信息传递应当获得刑法上的正当化。需要注意的是,在此情况下,执业医师和护理人员基于分工构成义务共同体,对义务共同体在其分工必要限度内提供信息,也仅限于在其工作范围内使用信息。最后,医院中没有直接参与医疗活动的行政人员,在其勤务范围内使用患者的个人信息,也应视为默示同意。2.为了保护其他优越法益。患者的法益可能会与其他法益冲突,在这些情形下,应当对冲突的法益进行衡量比较,允许为保护较大利益而牺牲较小利益。(1)与国家法益之间冲突。国家法益维护有赖于司法和行政的顺畅运行。虽然德国免除了医务人员在与刑事诉讼法冲突下的守密义务,但是我国的司法制度和理念同德国不同。根据我国《刑事诉讼法》的规定,公民有检举犯罪事实和犯罪嫌疑人的义务,以及作为证人有如实提供证据的义务。据此,在司法机关要求下提供患者医疗信息,或者是在法庭上提供证言都是属于违法性阻却事由之一的“法令行为”,是为了推动司法有序高效运行,所以,在此类情形下,应构成利用医疗信息的正当化事由。(2)与社会利益冲突。医务人员的守密义务与社会利益冲突主要存在两种情况。一是在医学研究中需要使用和处理患者医疗信息的,例如,在医学研讨会上就某患者的特殊病情进行学术探讨等。由于医学的发展和进步离不开对患者医疗信息的收集、利用和研究,医药的发展史也佐证了对患者医疗信息的合理利用可以保障人们的生命健康,应当允许医学研究中的合理利用。二是在患者威胁公共安全情况下,例如具有危险性的精神病人逃脱,公安机关有权适当披露患者信息,提醒公众注意安全。由于危险性的精神病人可能侵害其他公众的法益,公安机关通过公布该患者信息来警示公众尤为必要。因此,从上述分析可知,患者医疗信息利用在医学研究和安全警示上有一定的必要性,医院或者有关机关在保证社会利益的必要范畴内使用患者的医疗信息,应当得到保证。但信息的使用应当限于保护社会利益,同时披露的患者信息也仅限于必要的研究性信息及维护公众安全的信息。(3)与个人法益冲突。对为了保护特定人员的生命、健康法益而不得不披露患者医疗信息的情形,笔者认为,他人的生命法益在此种情况下当然优于患者的隐私权。当患者身患传染风险大的疾病,对配偶或者家属的健康、生命的威胁具有高度盖然性,出于对他人生命健康权的考量,医务人员可以就患者的该部分信息向患者的配偶或者亲属进行披露。

作者:杨莹 单位:上海交通大学凯原法学院