患者醫療信息刑法保護完善分析

導語：患者醫療信息刑法保護完善分析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：侵害患者醫療信息情況層出不窮，患者醫療信息亟待更為有力的保護?；颊哚t療信息有別于一般公民個人信息，在我國現有規定下的保護尚顯不足，鑒于患者醫療信息的敏感性、公益性和具有財產價值的特征，應采取個人信息的保護模式。借鑒德國刑法關于患者醫療信息保護制度，我國應明確患者醫療信息內涵，規范義務主體范圍，補充患者醫療信息使用的例外情形，對患者醫療信息提供較為全面的保護，維護我國醫療秩序和社會秩序的穩定。

關鍵詞：患者醫療信息；刑法保護；德國刑法

根據2016年7月新京報的報道，全國有30個省份275位艾滋病感染者稱接到了詐騙電話，艾滋病感染者的醫療信息疑似被大面積泄露。［1］患者醫療信息包括病情診治信息、患者過敏史和家族病史等生理信息，也包括姓名、住址、聯系方式等個人身份信息，還有醫療費用結算等其他信息。［2］患者的醫療信息既是疾病診治的判斷依據，又對醫學研究和疾病防控有著重要意義。若患者醫療信息遭到泄露，將嚴重影響患者的財產安全和身心健康，也會對醫療秩序和社會秩序的穩定產生威脅。隨著電子病歷和遠程醫療的普及，患者醫療信息所面臨的環境也更加復雜，在患者醫療信息的處理、傳遞等場合中，該問題則更為突出。

一、我國患者醫療信息保護現狀

我國有關患者醫療信息的保護散見于《民法總則》《侵權責任法》《執業醫師法》等規定中。例如，在《民法總則》中確立了自然人的個人信息受法律保護；在《侵權責任法》中規定，醫方泄露患者隱私或者未經患者同意公開其病歷資料，造成患者損害的，應當承擔侵權責任；在《執業醫師法》中規定，禁止醫師在執業活動中泄露患者隱私。上述規定都較為原則性，并且分散于各個特殊規定中，并未有系統性和針對性的規定?！缎谭ㄐ拚福ň牛窞楸Ｗo日益受到侵犯的公民個人信息權，將侵犯公民個人信息罪的犯罪主體由特殊主體擴展到一般主體，并取消了對信息獲取方式的限制，將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人的行為作為從重處罰的事項。同時，2017年施行的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》針對“公民個人信息”予以解釋，然而該規定并未對相關信息類型進行分類，在其列舉中也未明確將患者醫療信息納入“公民個人信息”的范疇。雖然其規定“非法獲取、出售或者提供健康生理信息五百條以上視為情節嚴重”，但該司法解釋及其他法律法規中并未對健康生理信息加以解釋，患者的醫療信息是否屬于健康生理信息也暫未可知。我國刑法對公民個人信息保護日趨重視，但患者醫療信息相較于公民個人信息又有其特殊性，刑法的條款以及其他法規中并未回答受保護的患者醫療信息的范圍是什么，是否有侵犯患者醫療信息的豁免情形，以及針對患者醫療信息利用問題又該如何處理，因此，以適用于公民個人信息保護的規則對患者醫療信息進行保護尚顯不足。

二、患者醫療信息保護模式的選擇

患者醫療信息主要包含4類信息：一是生理信息，例如病情診治情況、過敏史和家族病史等；二是個人身份信息，例如姓名、住址、聯系方式等；三是患者醫療費用發生、結算等相關信息；四是精神治療過程中可能涉及的患者的私密信息，例如患者的個人生活、情感經歷等?；颊哚t療信息具有如下特征。第一，具有一定的敏感性。生理信息和私密信息都屬于個人隱私的范疇，具有較高的敏感性。此部分信息一般是患者個人不愿主動公開的，一旦被泄露或者不當使用，可能使患者遭受精神損害或者人格利益損害。第二，具有社會公益性?；颊哚t療信息對公眾疾病防治與科學研究具有重要意義，例如傳染病信息、藥物研發、醫療技術進步等。為了維護社會公共利益，國家機關或者研究機構需要對醫療信息進行搜集、利用和傳遞等。第三，具有一定的財產價值。得到患者的醫療信息，則可通過大數據進行健康監測和風險評估，可通過大量患者信息的數據集合進行基于患者相似性的個性化預測分析，例如遠程監測數據預測心力衰竭等。如上所述，患者醫療信息既具有隱私性，也包含著社會價值和商業價值，因此，對其保護的內容同樣有爭議?；颊哚t療信息屬于個人信息，參考侵犯公民個人信息罪的保護法益，“隱私權說”認為，侵犯公民個人信息罪保護的是不希望為一般人所知的有保護價值的個人信息［3］；“個人信息權說”認為，侵犯公民個人信息罪被設置于《刑法》“侵犯公民人身權利、民主權利”一章，其保護的是個人信息權［4］；“社會公共安全說”認為，“侵犯公民個人信息犯罪的法益并不是公民個人的人身權利，而是社會的公共安全，具體來說是公共信息安全”［5］；“綜合說”則整合了上述觀點，從而推導出該罪的保護法益是公民個人的信息自由、安全權以及隱私權［6］。所以，針對患者醫療信息的保護還需圍繞其所保護的內容展開，從而為其選擇合適的保護模式。筆者認為，患者醫療信息保護宜采取個人信息的保護模式。首先，個人隱私強調的是對人格利益的保護，并不強調財產價值，而個人信息是集人格保護與財產保護于一體的綜合性權益，能更好地突出患者醫療信息中蘊涵的財產價值。其次，相較于個人隱私，個人信息更能體現與國家利益的關系，例如基因信息等。在大數據時代背景下，整合的國民基因信息可能涉及國家安全問題，而個人隱私往往與國家利益沒有關聯。再次，從保護方式上而言，針對個人隱私的救濟更多是被動的，出現損害后才可主張精神損害賠償，而個人隱私一旦公開后即不屬于隱私，不再受保護。但個人信息的保護則更為主動，在個人信息因不當使用造成損害前，權利人即可要求信息處理者刪除或者更改信息，因此相較而言，以個人信息進行保護更為全面。最后，侵犯公民個人信息罪的前置條件是“違反國家規定”，在《民法總則》第11l條及其他有關個人信息保護的法律法規中已確立了個人信息權的情況下，以個人信息進行保護，更能體現我國法律制度的整體性，同時這也是對國家上述規定的刑法確認。此外，患者醫療信息保護的主體仍然是自然人，以社會信息安全進行界定未免有擴張之嫌，且社會信息安全本身就存在定義之爭，不具有可操作性。因此，針對患者醫療信息的保護，采取個人信息的保護模式更為妥當。

三、德國對患者醫療信息的保護

國際上針對個人信息的保護主要有兩種模式。區別于美國的隱私權保護模式，德國更加關注個人信息的社會作用，并較早地在憲法層面確立了個人信息的自決權，可為我國患者醫療信息保護提供借鑒。在1983年人口普查法案判決中，德國憲法法院從《基本法》規定的一般人格權出發，將個人信息權益稱為“信息自決權”。［7］即個人可以依據法律控制個人信息并決定是否被收集和利用，個人有權知曉何人、因何事、在何時何種情形知悉自己的個人信息。1990年的《德國聯邦個人資料保護法》正式確認一般人格權為個人信息權的基礎。［8］信息自決權不僅僅確立了個人信息的私人屬性，也賦予信息主體限制外部主體收集、使用個人信息的權利。此外，德國將個人信息界定為“可直接或間接識別自然人的任何信息”，患者個人信息中的健康數據、基因數據、生物識別數據、性取向等，也被列為特殊類別的個人信息，受到更為嚴格的法律保護。［9］根據德國2010年的《個人信息保護法》，在信息自決權基礎上的個人信息使用規則是：首先，個人信息的獲取、傳遞或使用在原則上是禁止的，除非獲得信息主體的同意、信息處理者符合法定事由或對于信息處理本身具有正當利益；其次，獲取個人信息的目的必須明確，并且信息處理行為受限于該目的；最后，信息主體對信息處理者享有刪除等積極請求權。在刑法保護上，《德國刑法典》第203條針對侵犯他人秘密進行了規定：醫師、牙醫、獸醫、藥劑師以及其他所有須經過國家規定的培訓才能執業的醫護人員被告知或知悉他人秘密，未被授權而加以泄露的，將被認定為侵犯他人秘密。［10］105這主要是針對從事特殊職業主體項目醫療信息保密義務的，并未將其他主體納入義務范圍。雖然從字面上理解，德國刑法規定保護的法益仍是“秘密”，但目前隱私權的概念已經逐漸從“不被干涉的權利”演變為“控制自己信息的權利”，《個人信息保護法》的出現也是受此種觀點的影響。（一）受保護的患者醫療信息的界定。德國刑法中的患者醫療信息具有如下特征：（1）被限定的人際圈中可獲知的事實；（2）有實際的守密利益；（3）基于醫患之間信任關系獲知的患者個人信息，無論是否與診療有關。根據上述特征，患者醫療信息的內容包括就醫信息、診療中的發現以及醫療相關的信息，如治療、預后和X光片等診斷記錄在內的所有醫療上的記錄，以及其他診療中涉及患者個人經歷的信息（未必與診療直接相關），如職業經歷等。其中，患者的醫療信息還包括診療中偶然獲知的上述相關信息，但是匿名信息不是保護對象?？梢姡聡谭ㄒ孕刨囮P系為標準界定患者的個人信息，其根本思想在于，基本醫療行為的順利開展是以患者向醫務人員敞開心扉，如實提供相關信息為前提，因此為了維持患者對其信任，就應為患者保守秘密。（二）守密主體的范圍。依據受保護的患者醫療信息范圍，德國刑法將守密主體分為有醫師執業證的醫務人員和無醫師執業證的輔助人員。有執業醫師證的醫務人員是守密主體的核心，包括對患者直接進行診療的專業醫師、與患者本人無接觸的病理檢查人員和病理醫生、其他經過國家規定的培訓取得職業資格的醫務人員。無醫師執業證的輔助人員是守密主體的擴張部分，包括緊急醫療中參與醫療活動的輔助人員、為醫療活動做日常準備的人員、實習醫生和實習護士等，從而將輔助人員通過參與診治活動而知悉患者醫療信息的情況排除在泄密的范疇外。（三）泄露患者醫療信息行為的正當化事由。德國刑法中，患者醫療信息行為的正當化事由主要是指患者本人同意和優越法益保護。1．患者同意信息自決權的核心在于，信息主體有權許可他人獲取、使用、傳遞本人信息等?；颊咄鈩t是通過對法益的自決行為來阻卻行為的違法性，也被稱為“權利人同意”。德國刑法中的權利人同意源自《基本法》的人格尊嚴條款所保障的行為自由，“這種行為自由的行使阻卻了法益的侵害性和構成要件的復合性”［11］?；颊咄夥譃槊魇就?、默示同意和推定同意。明示同意是指患者必須親自對其個人信息的披露進行授權。默示同意是指在患者沒有明確反對的情況下，認為患者對其醫療信息的披露是同意的。沒有特地詢問患者是否同意，患者也沒有以語言或書面形式作出任何意思表示，卻要論證患者本人的同意確實存在，因此，該項爭議最大。推定同意是指法律不要求該項患者的信息披露需要獲得患者本人的同意，而是將法律上的判斷規則作為違法性阻卻要件。例外推定同意主要針對以下兩種情況：其一，某類信息尚不足以讓患者本人對保守秘密這件事產生興趣；其二，由于客觀情況的限制，如緊急情況，不能詢問到患者的意見，從而推定同意。另有德國學者認為，在現代交易型社會中，同意的表示一般都是標準化的，并且法益的所有者在表示同意時，往往會受到經濟強制或者是社會強制，從而難以保護其自身法益。基于信息處理者的強勢地位，提倡將電腦信息處理的援助者也作為規制的行為主體，增強信息所有者對自己信息的掌控力。［12］2．優越法益保護優越法益保護的原理在于，當向第三方提供患者醫療信息是為了保護相對于為患者保守秘密的利益更為優越的法益時，醫生違反守密義務的違法性被阻卻。優越法益保護包括緊急避險和公眾利益優越?！兜聡谭ǖ洹返?4條對緊急避險進行了規定，為使自己或他人生命、身體、自由、名譽、財產或其他法益免受正在發生的危險，不得已而采取的緊急避險行為不違法，但所要保護的法益應明顯大于所造成危害的法益。［10］13僅在所采取的行為屬于避免該危險的適當措施時，可適用本條的規定。就提供患者醫療信息而言，例如家庭醫生為使患者配偶生命免受正在發生的危險，可將患者身患HIV的情況告知配偶。當公眾利益優越于保護患者的隱私權時，醫務人員可未經其同意就相關患者的醫療信息提供給相關機構或公眾。為避免公眾利益優越陷于被濫用的境地，主要通過3種形式來確定優越公共利益：一是通過法律解釋確立優越公共利益；二是立法者已作利益衡量，明文予以確立優越公共利益；三是醫務人員有權拒絕在刑事訴訟程序中提供患者的醫療信息為搜查或審判之目的使用，不得扣押患者的病例資料。另外，在利益衡量上，醫生為患者守密的利益要高于國家刑事追訴的利益。

四、德國相關制度對我國患者醫療信息刑法保護的借鑒

根據我國刑法對患者醫療信息保護現狀，借鑒德國刑法中對患者醫療信息保護的制度，筆者認為可以采取如下3條措施。（一）明確患者醫療信息的內涵，并將其納入個人信息的保護范疇。目前，我國與醫療信息相關的法律法規仍然將患者醫療信息認定為“隱私”，并不符合患者醫療信息采取個人信息保護的路徑。我國現有關于個人信息的定義主要采用“可識別性”的標準，但是患者醫療信息中除了可識別的個人信息外，還有部分隱私信息，單個隱私信息可能并不具有識別患者個人的功能。因此當前個人信息的定義難以涵蓋患者醫療信息的內容，應在相關規定中明確患者醫療信息的內涵，并將其納入個人信息保護的范疇。為防止患者醫療信息保護被無限擴大，患者醫療信息應界定為少數人所知悉的、具有守密利益的、基于醫患之間信任關系所獲知的信息。若醫師并沒有基于一個治療行為獲得患者的信賴，例如患者只是在診查階段，則這名患者的姓名不構成法律保護的患者醫療信息。（二）對義務主體的范圍加以界定。接觸患者醫療信息最主要的是醫務人員。根據我國《醫療機構從業人員行為規范》的規定，醫療機構從業人員大致包括：管理人員、醫師、護士、藥學技術人員①、醫技人員②和其他人員③。除卻對患者進行直接診療的執業醫師外，判斷其他人員是否同樣具有保密義務，應當首先判斷其是否因分工而結成了義務共同體。在實踐中，不乏醫療機構內部使用患者醫療信息的情況，例如在會診時，不同醫師、診室之間需要對患者的醫療信息進行共享以提高效率。雖然部分醫師可能并未直接診治該患者，但為了增進患者的生命健康法益，醫務人員對此類患者信息的提供并不構成違法。但是只能限于為實現醫療效果，在必要范圍內傳遞醫療信息，同時，對醫療信息的使用應當限定在診治目的以內。針對其他義務共同體，在其分工內提供最小必要限度的信息，對醫療信息的利用同樣不得超出此范圍。此外，除醫務人員和因醫療活動形成義務共同體以外，在后續信息傳遞過程中接觸到患者醫療信息的其他信息處理者，可參照侵犯公民個人信息罪進行處理。（三）增加利用患者醫療信息的正當化理由。1．患者同意。對于信息中的自我控制是個人信息權的應有之義，同意規則是賦予權利人決定放棄信息保護的權利。同意規則在公民個人信息中的運用早有先例。例如2014年實施的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》規定，經自然人書面同意，網絡用戶或者網絡服務提供者，可在約定范圍內公開自然人基因信息、病歷資料、健康檢查資料等。但上述規定并未就同意的方法、具體情形進行說明，規定得較為粗糙。所以在對患者醫療信息的刑法保護中，可參照德國的同意制度層次建立“患者同意”規則。（1）明示同意。醫務人員在獲得患者本人口頭或者書面同意后，可以將患者醫療信息提供給第三人。該同意，應當是在患者具有足夠的判斷能力的情形下作出的，同時該同意的作出應該是在醫務人員充分說明的基礎上進行的。例如，診金決算機構的業務內容不涉及醫療活動，并非守密義務共同體，無須經患者明示同意才可提供患者的相關信息。（2）默示同意。首先，家屬對患者病情的知曉有助于對患者治療提供物質支持和精神支持，因此，對患者家屬泄露醫療信息應當推斷患者會同意。其次，在醫療機構內部中，可能基于醫療機構從業人員的不同分工，會不同程度地獲知患者的醫療信息。如執業醫師獲知患者既往病史等信息，護理人員同樣需要知曉患者部分病情信息。為了實現醫療活動，在該部分人員之間的信息傳遞尤為必要，所以除非患者提出明確反對，在內部人員之間的信息傳遞應當獲得刑法上的正當化。需要注意的是，在此情況下，執業醫師和護理人員基于分工構成義務共同體，對義務共同體在其分工必要限度內提供信息，也僅限于在其工作范圍內使用信息。最后，醫院中沒有直接參與醫療活動的行政人員，在其勤務范圍內使用患者的個人信息，也應視為默示同意。2．為了保護其他優越法益?；颊叩姆ㄒ婵赡軙c其他法益沖突，在這些情形下，應當對沖突的法益進行衡量比較，允許為保護較大利益而犧牲較小利益。（1）與國家法益之間沖突。國家法益維護有賴于司法和行政的順暢運行。雖然德國免除了醫務人員在與刑事訴訟法沖突下的守密義務，但是我國的司法制度和理念同德國不同。根據我國《刑事訴訟法》的規定，公民有檢舉犯罪事實和犯罪嫌疑人的義務，以及作為證人有如實提供證據的義務。據此，在司法機關要求下提供患者醫療信息，或者是在法庭上提供證言都是屬于違法性阻卻事由之一的“法令行為”，是為了推動司法有序高效運行，所以，在此類情形下，應構成利用醫療信息的正當化事由。（2）與社會利益沖突。醫務人員的守密義務與社會利益沖突主要存在兩種情況。一是在醫學研究中需要使用和處理患者醫療信息的，例如，在醫學研討會上就某患者的特殊病情進行學術探討等。由于醫學的發展和進步離不開對患者醫療信息的收集、利用和研究，醫藥的發展史也佐證了對患者醫療信息的合理利用可以保障人們的生命健康，應當允許醫學研究中的合理利用。二是在患者威脅公共安全情況下，例如具有危險性的精神病人逃脫，公安機關有權適當披露患者信息，提醒公眾注意安全。由于危險性的精神病人可能侵害其他公眾的法益，公安機關通過公布該患者信息來警示公眾尤為必要。因此，從上述分析可知，患者醫療信息利用在醫學研究和安全警示上有一定的必要性，醫院或者有關機關在保證社會利益的必要范疇內使用患者的醫療信息，應當得到保證。但信息的使用應當限于保護社會利益，同時披露的患者信息也僅限于必要的研究性信息及維護公眾安全的信息。（3）與個人法益沖突。對為了保護特定人員的生命、健康法益而不得不披露患者醫療信息的情形，筆者認為，他人的生命法益在此種情況下當然優于患者的隱私權。當患者身患傳染風險大的疾病，對配偶或者家屬的健康、生命的威脅具有高度蓋然性，出于對他人生命健康權的考量，醫務人員可以就患者的該部分信息向患者的配偶或者親屬進行披露。

作者:楊瑩 單位:上海交通大學凱原法學院