導語：移動醫療信息法律保護制度分析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

移動醫療信息是移動通信技術和醫療信息化相融合的產物，它突破了傳統醫療形式在時間和地域上的限制。伴隨移動通信技術和醫療信息化的快速發展，以及智能移動終端的快速普及，我國移動醫療已經駛入了“快車道”。根據相關研究機構的數據，我國移動醫療健康市場市值在2018年已經高達185億，預計到2023年，其市場規模將達2000余億元［1］。與之形成鮮明對比的是，我國對移動醫療信息卻缺乏有效的保護和監管。因此，有必要從患者移動醫療信息入手，對當下移動醫療信息的安全問題進行深入探討，為健全移動醫療行業法制、促進行業健康發展助力。

1移動醫療信息的范疇

1．1移動醫療信息的內涵與外延。移動醫療信息泛指在移動網絡服務器和終端中沉淀下來的與患者醫療和生命健康相關的醫療數據，其中最主要的是患者的生理指標、就診基本情況、醫生診療信息等患者個人疾病情況，具有顯著患者識別特征的數據信息。廣義上的移動醫療信息范圍廣泛，其產生源包括患者、醫生、商業開發人員等。以手機應用為例，目前我國醫療健康類APP主要分為醫療服務類、醫療決策和醫療資訊類、門診預約與電子健康管理類、醫院綜合服務類、醫療電商類等。在使用這些健康類APP過程中，沉淀下了海量的醫患雙方信息數據，如用戶日常健康數據指標、患者疾病情況、醫生決策記錄、醫院采購記錄等移動醫療信息。本研究僅以患者的醫療數據識別信息為研究對象。1．2移動醫療法律關系論。移動醫療的法律關系較之傳統醫療法律關系更加復雜。在主體方面，不僅包含醫療行業監管部門、醫療服務機構、就醫患者、醫護工作人員等傳統醫療關系主體，而且包括移動運營商、應用程序開發商、信息平臺系統提供商、醫藥電商等。在客體方面，移動醫療法律關系涉及物、行為、知識產權和人身權益等多種復雜客體［2］。移動醫療法律關系涉及合同、侵權、產品質量、消費者權益保護等民事法律關系，也涉及以移動醫療監管為主要內容的行政法律關系和以侵犯人身權利為主要內容的刑事法律關系。在移動醫療涉及的民事法律關系中，移動醫療的實施主體包括移動運營商、醫療設備及信息平臺系統供應商、應用程序開發商、醫療服務機構和醫護工作者，其在不侵害患者權益的基礎上提供產品或服務并獲得相應報酬，負有保護患者知情同意的義務。患者作為移動醫療服務的消費者，需要承擔醫療技術應用所帶來的特定風險，并遵守公共利益優先的原則，可在消除個人身份標識的前提下提供相關信息供醫學研究。在移動醫療所涉及行政法律關系中，主要包含行政許可、行政監管和行政處罰。在移動醫療涉及的刑事法律關系中，主要指惡意侵犯患者或者醫療機構移動醫療信息，造成嚴重后果或者損害了公共利益。

2移動醫療信息的重要價值

由于移動醫療信息全面記載了患者身體機能、健康指數、用藥情況、診斷記錄等信息，因此具備了物權屬性的一般價值，同時由于移動醫療信息專屬性和綜合性等，移動醫療信息也被賦予了特殊價值。（1）隱私權與物權價值。患者個人信息一般包含在電子病歷、醫療數據、醫療視頻、就診報告中，患者往往不愿公開或展示，具有強烈的隱私權屬性。同時由于患者對其個人信息享有直接支配和排他的權利，因此醫療信息還兼具物權價值。（2）商業開發價值。在移動醫療軟件中沉淀著大量的患者醫療信息，這些信息一旦被泄露，再通過大數據分析和挖掘，即可以獲得患者個體健康情況的完整圖譜，就會轉換成商業目標客戶信息或者行業概況信息，因此患者移動醫療信息具有商業開發價值。（3）普適性醫療服務價值。大數據時代，通過對不同地域、不同時間段移動醫療信息的分析整理，可以得到階段性易發病信息或者區域性疾病信息，醫療決策研究機構可據此分析研判某類疾病發展軌跡、群體病患特征甚至提供常見易發病預警，具有普適性醫療服務價值。

3侵害患者移動醫療信息安全的行為

患者移動醫療信息由于具備多種價值，因此往往會成為網絡攻擊者的攻擊目標。研究發現，2009年－2016年，美國發生了近1800起重大醫療數據泄露事件，美國醫療行業每年因數據泄露平均損失62億美元［3］。給患者移動醫療信息帶來安全隱患的情況包括以下幾個方面：（1）數據泄露。患者的健康醫療信息會被逐利者入侵而導致信息泄露，各種僵尸醫療應用程序、網站中沉淀了大量的患者移動醫療數據但未得到規范有效的管理，加劇了醫療信息的濫用誤用風險。（2）勒索軟件及釣魚攻擊等。醫療機構在遭遇網絡攻擊后出于多方考慮，支付贖金而非前期的數據備份恢復移動醫療信息，加之有些信息在開發、使用及數據匯總時自身漏洞也存在，很容易出現系統崩潰、網絡竊密等情況。有時候，攻擊者為了達到目的會使用各種辦法，如通過對數據、間諜軟件、貨幣挖掘腳本進行加密，或者將勒索軟件安裝在目標系統上，來盜取目標系統的代碼，最終侵入醫療系統內部盜取患者移動醫療信息。（3）內部人員的不規范操作。移動醫療行業的從業者、客戶端研發人員、監管人員等，在管理和使用過程中無意甚至是有意的泄露醫療信息。據《受保護健康信息泄露報告》統計，遭遇數據泄露事故的醫療機構中，57．5％是內部人士所為，主要是為了獲取經濟利益。如MemorialHealth－careSystems公司因兩名員工訪問超過115000名患者的PHI信息，而違反了HIPAA協議，被處罰支付550萬美元［4］。

4國外應對措施

美國等國家在移動醫療領域的監管體系為我國移動醫療的監管提供了經驗。如《美國食品藥品化妝品法案》（FDCA）要求，對產品進行上市前后的監管，要求建立起以產品風險為依據的醫療器械分類和管理制度［5］。對包括移動醫療APP在內的醫療設備實施三級監管系統（ARisk－BasedThree－TierSys－tem）。針對健康風險程度最高的三級風險設備，必須在產品入市前向監管部門提交申請并提供臨床數據，市場準入程序更為復雜，同時實行分類監管與重點監管相結合、適當豁免或不列入監管范圍、擴大食品藥品監督管理局自由裁量權等新型監管模式［6］。《歐盟個人數據保護條例》和《一般資料保護規章》中明確劃分了互聯網醫療信息的類型，并由歐盟2020地平線（Horizon2020）出資啟動專門項目以識別和阻止網絡黑客對移動醫療信息的攻擊。在監管范圍和方式方面，歐盟沿用醫療器械分級系統，對各類移動醫療應用設置了不同的監管級別。一旦某個移動醫療應用程序通過成員國內任何一家評審機構（ConformiteEuropeenne，CE）的審查，即可在所有成員國內使用，同時探索建立移動醫療軟件標準化測試系統建設及評價體系。

5建議

目前我國尚未建成針對移動醫療服務的法律制度和監管機制，尤其對實施移動醫療信息保護的責任部門、監管手段、工作機制、保護對象、投訴機制和救濟措施尚缺乏詳細規定。因此有必要建立一整套囊括行政監管、刑事打擊和民事保障等多種渠道的患者移動醫療信息安全保障體系。5．1加強對移動醫療APP信息采集的行政監管。由于移動醫療服務涉及移動運營商、醫療設備及信息平臺系統供應商、應用程序開發商、醫療服務機構、醫護工作者和患者等多方利益主體，因此若不能明確界定不同部門的監管職責或者不能明確協調管理機制，則無法形成移動醫療深入發展的長效機制。5．1．1明確監管部門或聯合監管機制。可參考其他國家的做法，建議由國家衛生健康委員會或國家醫療保障局作為監管主體部門，并在監管標準上采用區分度較高的評價審核標準。針對醫療信息安全風險較低的移動醫療應用，監管部門享有審批自由裁量權，即可根據實際情況對其進行入市前審核，如只提供健康教育、健康知識普及等移動醫療應用；對醫療信息安全風險較高的移動醫療應用，則要制定嚴格的準入標準和強制審查制度。5．1．2制定移動醫療信息采集分析及披露標準。鑒于移動醫療應用采集儲存的數據除物權價值、商業價值之外，還有地域健康狀況、輔助醫學研究、研究疾病分布、提供診療手段分析定位等社會公益價值，因此需要建立移動醫療應用信息的采集、分析及披露標準，如建立電子信息平臺管理“去識別醫療數據系統”。當前，在有些研究或者醫療機構中免費使用去識別的醫療信息數據，針對這種現象，相關部門要嚴加管理和限制，杜絕將移動醫療信息應用到商業行為中。5．1．3對接受移動醫療服務的群體要強化審核力度盡快建立起網絡醫師資質審查機制，即在保障醫師通過互聯網提供合法性醫療服務的前提下，對已入駐互聯網平臺的醫師建立嚴格的資質審查機制，如要求平臺醫師定期上傳從業執證或對其醫師資格比對，確認后于顯要位置標示，有效維護患者的自身權益。5．2加大對移動醫療信息泄露刑事案件的打擊力度。對于侵犯患者或者醫療機構移動醫療信息，造成嚴重后果或者損害公共利益的行為，必須予以嚴厲打擊。如對惡意入侵移動醫療信息數據庫竊取相關數據或對其存儲、處理或者傳輸的數據和應用程序進行破壞，可依照《中華人民共和國刑法》第二百八十六條以破壞計算機信息系統罪對相關犯罪行為進行懲罰。對利用不正當手段獲取商業秘密類的，可按照《中華人民共和國刑法》第二百一十九條以侵犯商業秘密罪進行處置。對涉嫌侵犯患者人身、財產權利等行為，可按照非法經營或刑事自訴案件標準追究有關人員刑事責任。5．3加強對移動醫療信息的民事保障。由于移動醫療信息被侵害而引發的侵權事件法律關系復雜，需重點解決以下幾個方面的問題：（1）推動移動醫療應用開發協議規范化。針對移動醫療應用數據的特殊性，研究制定專門的開發協議及數據使用標準。鑒于移動醫療應用不同的定位功能，不能籠統地制定開發標準，如果不加以區分則會因門檻過低導致相應數據得不到有效保護，或者因門檻過高限制了相關行業的健康發展。對于提供醫療資訊和醫療決策輔助類等低風險的應用程序，數據保密標準和審核要求可適當降低；對于高醫療風險的應用程序，在委托開發協議就要明確相關數據讀取、存儲、分析、使用的權限主體和知曉范圍，從開發源頭降低信息泄露風險。（2）保障患者相關信息的知情權。一是在移動醫療APP注冊使用環節加強風險提示，提醒患者提交信息的具體用途和保障措施；二是在開展遠程醫療服務過程中，必須取得患者的知情同意，明確邀請方、受邀方與患者三者之間的法律關系和法律責任。（3）建立移動醫療信息侵權速裁渠道。對于患者移動醫療信息泄露未造成嚴重后果的糾紛，可參照民事速裁程序，在法律法規框架內進行民事速裁。同時，考慮到網絡侵權與糾紛的復雜性，建議強調和確立損害發生地管轄原則，以滿足網絡醫療侵權救濟的迫切要求。

作者:馮雅嫻