澳大利亚电子健康档案全生命周期隐私保护体系及借鉴

钟其炎

摘要：加强电子健康档案隐私保护，是保障电子健康档案有效利用的重要前提，也是当前世界各国面临的共同挑战。本文通过调研澳大利亚电子健康档案隐私保护的法律政策、标准指南和实践做法，介绍了澳大利亚电子健康档案的发展历程，并从规划阶段、收集阶段、存储阶段、利用阶段、销毁阶段介绍了澳大利亚电子健康档案全生命周期的隐私保护体系。我们可以借鉴学习澳大利亚的经验做法，从完善电子健康档案隐私保护的法律法规、强化电子健康档案隐私保护的监管体制、充分调动电子健康档案隐私保护的个人积极性、重视电子健康档案规划阶段的隐私影响评估等方面，进一步完善我国电子健康档案隐私保护体系。

关键词：澳大利亚 电子健康档案 隐私保护 生命周期

电子健康档案是人们在健康相关活动中直接形成的具有保存备查价值的电子化历史记录，它以个人健康为核心，贯穿整个生命周期，对于医疗保健、健康管理、医疗决策、公共卫生和医学研究具有重要价值。电子健康档案涉及个人诊疗、保健、遗传等高度敏感信息，且信息集中存储，网上查阅和传播快速方便，个人隐私被侵犯的风险高、伤害大。因此，加强电子健康档案隐私保护，是保障电子健康档案有效利用的重要前提，也是当前世界各国面临的共同挑战。澳大利亚是电子健康档案建设的先行者，建立了较完善的电子健康档案全生命周期隐私保护体系，隐私保护水平位居国际前列，值得其他国家借鉴学习。国内尚缺乏对澳大利亚电子健康档案隐私保护经验的深入研究，本文通过深入研究澳大利亚电子健康档案隐私保护的法律政策、标准指南和实践做法，详细介绍了澳大利亚电子健康档案全生命周期的隐私保护举措，以期为完善我国电子健康档案隐私保护体系提供有益借鉴。

一、澳大利亚电子健康档案发展的历程概况

1999年，澳大利亚成立了国家电子健康档案工作小组，2000年制定了“澳大利亚健康信息网络”战略;2005年成立了国家电子健康过渡管理局，并在全国部分州和地区试点实施“健康连接”（Health Connect）项目。2008年，澳大利亚颁布了国家电子健康发展战略，为国家电子健康档案建设提供了具体蓝图。2009年，澳大利亚卫生部颁布了《医疗保健标识法案》（the Healthcare Identifiers Act 2010），保证医疗保健服务与医疗信息相匹配。2012年7月1日，澳大利亚“个人控制的电子健康档案”系统正式在全国范围投入使用，澳大利亚公民可在该系统注册、创建及管理个人电子健康档案。2016年，澳大利亚解散了国家电子健康过渡管理局，成立了澳大利亚电子健康署（Australian Commission for Electronic Health），并把“个人控制电子健康档案”（Personally Controlled Electronic Health Record，PCEHR）更名为“我的健康档案”（My Health Record.MyHR），同时将“我的健康档案”的选择性加入（Opt-in）模式更改为选择性退出（Opt-out）模式，即默认每个澳大利亚人都会有“我的健康档案”，除非他们选择退出。

二、澳大利亚电子健康档案的隐私保护举措

澳大利亚高度重视电子健康档案的隐私保护，综合采取各种措施，建立了从规划、收集、存储、利用到销毁的全生命周期隐私保护体系。

（一）规划阶段

1.完善电子健康档案隐私保护的相关法律。澳大利亚于1988年颁布了《隐私权法》，将个人健康和医疗信息列为“敏感信息”，明确界定了合法收集、使用及披露健康信息的相关规定。澳大利亚还制定了十三项隐私保护原则，针对个人信息的收集、储存、利用、披露、更改和销毁，提出了明确的隐私保护要求。鉴于电子健康档案的特殊性，为了进一步加强电子健康档案隐私保护力度，并配合在全国范围顺利推行“个人控制的电子健康档案”系统，澳大利亚于2012年6月在《隐私权法》的基础上，专门制定了《个人控制的电子健康档案法》，2015年正式更名為《我的健康档案法》（My Health Records Act）。《我的健康档案法》是一部非常具有操作性的法案，对隐私保护的范围规定得非常细致，涉及健康信息的收集、存储、利用、披露及销毁整个生命周期，极大地从立法层面上保护了患者的隐私。

2.明确电子健康档案隐私保护机构及职责。澳大利亚《隐私权法》规定成立信息专员办公室，该机构履行个人信息隐私保护的调查、调解和执法等职责。信息专员办公室根据相关法律规定，制定了执法细则。《我的健康档案法》明确了电子健康档案系统的运营机构为澳大利亚数字卫生局，其也肩负着隐私保护职责，具体包括：建立及监管访问控制权限机制和系统健康信息的审计机制，建立处理关于系统相关投诉机制;负责教育及引导患者、医疗服务提供者及相关参与方，提高隐私保护意识，推广“我的健康档案”系统：为研究及公共卫生准备及提供匿名化数据等职能。澳大利亚高度重视公民的权利保障，“我的电子健康档案”信息发生隐私泄露问题后，个人可以向澳大利亚数字卫生局或澳大利亚信息专员办公室投诉。《我的健康档案法》也细化了侵权的行为与责任，制定了具体的惩罚措施，确保个人权利能得到充分保障。

3.开展电子健康档案隐私影响评估。澳大利亚隐私原则第一条就强调管理个人信息必须公开透明，目的是提倡通过设计保护隐私（privacy by design），即在信息系统设计之初，就融入隐私保护的理念，开展隐私影响评估，将隐私保护的举措融入整个系统建设过程之中。2011年，澳大利亚隐私保护第三方机构组织专业人员对于拟在全国推行的电子健康档案系统进行了详细的隐私影响评估，罗列了电子健康档案系统可能面临的隐私风险，提出了完善建议，并将报告内容提交给澳大利亚卫生和老龄部参考。澳大利亚卫生和老龄部对该隐私报告进行了认真审议，其中77条建议被全部采纳，26条建议原则或部分采纳，8条建议未采纳，1条建议有待进一步研究。该部还对未采纳的建议进一步征求了澳大利亚国会参议院社区事务委员会的意见，并将对隐私报告的详细回应在网上进行全文公开。

（二）收集阶段

1.充分尊重个人的知情权。澳大利亚在收集个人信息时，将个人隐私利益放在首位，充分保障个人的知情权。澳大利亚隐私原则第三条规定了个人信息及敏感信息收集的条件及要求，即必须是为了履行机构职责，在合理必要的情况下通过合法、正当的手段取得。澳大利亚隐私原则第五条规定了在收集个人信息时必须告知当事人如下信息：收集信息的机构及其联系方式：收集的目的;披露给第三方的一般情形;投诉处理程序及向海外披露该信息的可能性。“我的健康档案”的注册网站也发布了《隐私收集告知书》，详细告知个人有哪些信息将被系统收集及个人有哪些相关权利。

2.充分尊重个人的同意权。澳大利亚公民有权自主选择健康信息是否允许被政府收集，并上传至“我的健康档案”系统。2016年前，澳大利亚电子健康档案系统实施选择性加入（Opt-in）模式，即医疗服务提供者需征得患者的明确同意，且在患者系统注册之后才能收集患者的健康信息。由于主动注册登记的人数不够理想，经过评估，澳大利亚于2016年调整为选择性退出（Opt-out）模式，即电子健康信息收集改为立法授权同意，如果患者不在特定时间提出异议，政府将默认为每个公民收集健康信息，建立“我的健康档案”。在政府规定的特定时间内，14岁以上（含14岁）的澳大利亚公民可以通过各种渠道选择不参与“我的健康档案”系统。14岁以下的公民如果能证明自己有相关的决策能力，也可以自行选择退出，或者通过授权代表来做出决定。在放弃期之后，患者也可以改变决定，可再选择参与或者是不再参与“我的健康档案”系统。此外，考虑到每个人对于隐私的内涵和外延理解有差异，公众对于隐私的接受程度也不一样，因此澳大利亚“我的健康档案”系统强调以患者为中心，允许患者自己决定上传哪些健康信息到系统，保障个人充分享有自主选择权。例如，首次登录系统时，系统会提示是否上传近两年的健康信息，其中包括医保福利方案信息、药品福利方案信息、免疫接种注册信息以及器官捐献注册信息。每个人还可以通过“访问权限”设置，限定健康信息的收集范围，医疗服务机构只能上传患者允许范围内的个人健康信息。根据《我的健康档案法》第59条规定，违反个人意愿非法收集患者健康信息，将会被处以重大的刑事或民事处罚。

（三）存储阶段

1.完善电子健康档案安全防护体系。澳大利亚“我的电子健康档案”系统数据由全国统一集中存储，为了更好地监控和保障电子健康档案的数据安全，系统运作机构即澳大利亚数字卫生局专门成立了数字健康网络安全中心。该中心采用了一系列技术手段和管理策略来保护“我的健康档案”系统中所保存的敏感个人和健康信息，包括：阻止未经授权访问的防火墙：跟踪记录访问情况的审核日志：对上传至“我的健康档案”系统的文档进行初始和定期防病毒扫描：所有参与管理“我的健康档案”系统的人员都需要接受安全记录调查。同时，网络安全中心也设计了一系列安全流程，限制对“我的健康档案”系统、服务器和管理计算机的访问。外部软件需经过一致性流程审核，才可连接到“我的健康档案”系统。

2.确保电子健康档案信息的准确性。为了确保电子健康档案系统信息的准确性，根据《我的健康档案法》第73条规定，澳大利亚数字卫生局有更正电子健康档案信息的义务，可以要求系统参与者更正电子健康档案的个人信息并上传至系统。如果系统参与者拒绝更正，澳大利亚数字卫生局可以指导系统参与者把患者提供的关于档案中个人信息的相关声明及该档案上传至系统，而系统参与者必须服从系统运作机构的指导。因此，当患者发现个人健康档案信息不准确时，他们可以向澳大利亚数字卫生局要求相关医疗部门予以更正，避免因信息不准确产生个人隐私风险。

3.建立电子健康档案信息泄露通知制度。澳大利亚《隐私法》规定，当发生个人信息泄露并可能对与信息有关的个人造成严重伤害时，信息保管机构需要强制履行信息泄露通知义务，及时采取补救措施，将隐私泄露的伤害降到最低。《我的健康档案法》规定，“我的健康档案”系统中的信息发生泄露，医疗服务提供商需要将数据泄露情况在30天内通知澳大利亚数字卫生局和澳大利亚信息专员办公室（其中州或地区的组织机构不强制向澳大利亚信息专员办公室报告），澳大利亚数字卫生局必须向澳大利亚信息专员办公室报告相关情况并同时通知受影响的个人。澳大利亚政府同时要求电子健康档案信息的保管机构制定信息泄露应急响应预案，明确隐私管理机构和职责，完善隐私管理内部流程。对于不遵守电子健康档案信息泄露通知义务的个人，最高可给予36万美元的罚款：对于违反规定的机构，可最多给予180万美元的罚款，并注销或暂停相关医疗服务机构在电子健康档案系统的使用资格。

（四）利用阶段

电子健康档案的利用阶段是泄露个人隐私的重要风险点，也是个人隐私保护的重点环节，因此，澳大利亚对电子健康档案的利用与披露环节做出了详细的规定。

1.充分保障个人的知情选择权。个人可以在“我的健康档案”系统进行隐私和访问权限设置，并可以随时更改访问权限。访问权限设置主要有以下功能：一是患者可以进行隐私高级访问设置，包括：设置记录访问码，以便允许选定的医疗服务机构访问;控制对特定文档的访问，以限制可以查看的人士：赋予指定代表（如家人、密友或照料人）访问权限。二是患者可以对电子健康档案利用情况进行访问监控。患者可以在系统中设置自动通知，以便在新的医疗服务提供者访問“我的健康档案”时（包括紧急访问）或者是有异常访问时收到电子邮件或短消息提醒。用户可以在网上查阅到自己的健康档案被查阅的时间、机构及操作内容（如上传、修改、下载或删除）。三是如果患者不愿意共享自己的健康信息用于科研或者是公共健康方面，可在系统中设置取消参与，相关机构不得收集相关信息进行二次利用。

2.明确电子健康档案的利用范围。澳大利亚隐私原则第六条规定了个人信息的利用及披露的相关规定，除了法律规定的特殊情况以外，原则上个人信息只能用于收集的初始目的，不得二次利用。《我的健康档案法》第四部分第二章也对电子健康档案信息的利用及披露等情况做了详细规定。电子健康档案原则上只能用于医疗保健服务，其系统默认设置为信息可供医疗服务提供者进行常规访问。如果电子健康档案要用于医疗服务之外的其他用途（即二次利用），必须取得患者的同意，除非法律有特殊规定。违法使用或披露“我的健康档案”信息，按照《我的健康档案法》第59条和第60条，可处以民事处罚12.6万澳元的罚款、两年监禁的刑事处罚或者两者并罚。不需经患者本人同意，即可利用其电子健康档案的法定情形主要有以下几种。

（1）医疗服务机构可以在患者生命、健康或安全受到了严重的威胁时，使用及披露患者的电子健康档案。在这种情形下，医疗服务机构无法或者不可能获得患者的明确同意，但是为了提供最好的治疗和护理，经相关组织同意，可以启动紧急访问，查看患者的健康信息，比如过敏史、用药史和免疫接种等。紧急访问最长可以持续5天时间，并且会显示在患者的记录访问日志中。

（2）如果电子健康档案的利用或披露对于预防或调查犯罪和保护公共利益是必要的，那么基于保护公共利益的目的，经澳大利亚数字卫生局审查后，可以向司法机构或执法机构披露患者电子健康档案信息。但是司法机构和执法机构无权直接访问“我的健康档案”系统，需要由澳大利亚数字卫生局根据执法目的提供相关信息，且任何信息披露将限制在满足请求目的所必需内容之内。澳大利亚数字卫生局将披露信息的情况以书面形式记载存档，并视披露信息的具体情况来决定是否要通知相关个人。

（3）澳大利亚“我的健康档案”信息可用于科学研究和以促进公众健康为目的的二次利用，但不能用于保险公司等商业服务。澳大利亚政府制定了《我的健康档案数据二次利用的框架》（以下简称《框架》），规定了“我的健康档案”中不同类别的数据在何种情形下能被用于科研、政策制定及规划等用途。澳大利亚卫生福利中心负责保管电子健康档案二次利用数据，“我的健康档案”数据二次利用管理委员会负责《框架》的实施。《框架》还详细规定了申请数据二次利用的条件、步骤、委员会的审核标准、利用环境和监管制度，规范了数据准备环节和披露环节的隐私保护细节，大大减少了电子健康档案二次利用中的隐私泄露风险。

（4）禁止跨境传输电子健康档案信息。《我的健康档案法》规定，把“我的健康档案”系统的健康信息带出澳大利亚境外，在境外持有、处理“我的健康档案”或者是导致以上的行为结果，可处以民事处罚12600澳元的罚款、两年监禁的刑事处罚或者是两者并罚。

（五）销毁阶段

根据《我的健康档案法》第17条，澳大利亚数字卫生局负责储存保管上传到中央服务器的电子健康档案。保管期限从上传到中央服务器之时到患者去世后的30年;如果无法确定患者的死亡日期，则保管至患者出生后的130年。按照目前系统的设置，患者有权限清除自己的“我的健康档案”中的临床和国民医保相关的电子健康档案。清除后，医疗服务提供者将无法访问这些临床电子健康档案，包括在紧急情况下。如果患者改变主意或错误地清除了某个文档，患者还可以恢复该文档。但是这个清除功能也引起了一些争议，有些患者认为，清除功能并不是永久删除功能，意味着这些健康信息还是存储在系统里，只是当前被禁用，而且经过批准后还可以进行利用，存在一定的隐私泄露风险。为了消除公众的疑虑，澳大利亚卫生部也承诺，将进一步加强立法，在《我的健康档案法》中增加隐私保护条款，如有人想永久删除存储在“我的健康档案”系统中的信息，澳大利亚政府将立法保障他们的权益。

三、对完善我国电子健康档案隐私保护体系的启示

我国于2009年启动全民健康档案计划，将建立居民电子健康档案作为促进基本公共卫生服务均等化的重要手段和深化医药卫生体制改革的重要工作。目前我国尚未建立全国层面的电子健康档案系统，但很多省市已经逐步建立电子健康档案管理平台。据国家卫生管理部门提供的资料，截至2015年底，全国居民电子健康档案建档率达76.4%。我国目前尚未制定全面的个人信息保护法或者电子健康档案信息保护专门法，隐私泄露事件屡有发生，电子健康档案隐私保护体系有待进一步完善。澳大利亚通过完善立法、成立机构、改进技术、加强监管等方式，建立了较完善的电子健康档案全生命周期隐私保护体系，其经验和做法值得我们学习。

（一）完善电子健康档案隐私保护的法律法规

澳大利亚制定了《隐私权法》和隐私保护国家原则，全面保护各类个人信息。在此基础上，针对属于“敏感信息”的电子健康档案，专门出台了《医疗标识法案》和《我的健康档案法》，对电子健康档案在规划、创建、保管、利用和销毁阶段的隐私保护进行了详细规定，内容完善且条款细致，具有很强的针对性和操作性。而且，澳大利亚还根据实际工作中发现的问题，不断修订和完善相关法律条款。除此之外，澳大利亚还出台了电子健康档案隐私保护的相关指南，对相关法律条款内容进行进一步解释和细化。我国尚未建立完整的电子健康档案隐私保护立法体系，关于电子健康档案隐私保护的法律规定零散地出现于《刑法》《民法通则》《侵权责任法》《网络安全法》《执业医师法》《护士条例》等相关法律法规中，立法体系零散、内容高度概括、可操作性不强、侵权赔偿标准笼统，特别是对于“电子健康档案”等敏感信息没有区别保护机制，保护力度有限。我国卫生行政管理部门2014年出台了《人口健康信息管理办法（试行）》，但作为部门规章，该办法效力层级较低，且只提出了原则性要求，很多细节未明确，例如在利用环节，只是提出责任单位应当建立人口健康信息综合利用工作制度，授权利用有关信息，但对于电子健康档案初次利用和二次利用的原则、范围、方式均没有涉及，与澳大利亚《我的健康档案法》相比，在内容的系统性、保护的全面性、操作的可执行性等方面差距明显。电子健康档案属于高度敏感的个人信息，我国可以参照澳大利亚等国家的理念和做法，在整体立法保护的基础上，针对电子健康档案隐私保护出台专门的法律法规，或者在个人信息保护法中对“电子健康档案”等敏感信息予以专门规定，细化电子健康档案在规划、创建、保管、利用和销毁等全生命周期的隐私保护举措，针对每个周期的隐私泄露风险点，建立全面、具体的隐私保护体系，提高立法的系统性和可操作性。

（二）强化电子健康档案隐私保护的监管体制

澳大利亚设立了信息专员办公室，全面履行个人隐私保护的调查、调解和执法等职责。针对“我的健康档案”系统的健康信息管理和保护，澳大利亚还专门成立数字卫生局，明确其隐私保护的监管职责。同时，澳大利亚在信息专员办公室网站、澳大利亚数字卫生局网站、“我的健康档案”网站的显著位置公开隐私保护的投诉机构、投诉方式和解决途径，并制定了相关的投诉指南，让普通民众能够清楚了解个人健康隐私被侵犯后，如何申请权利救济。澳大利亞信息专员办公室每年还定期在网站上公布隐私保护报告，让民众知晓隐私保护的举措和效果。此外，澳大利亚授予信息专员办公室根据《隐私权法》和《我的健康档案法》制定《行使信息专员权力的指导方针》，采取多种法律制裁手段来处理违法行为。我国尚未成立专门的个人信息隐私保护机构，国家卫生计生委颁布的《人口健康信息管理办法（试行）》规定，县级以上人民政府卫生计生行政部门是人口健康信息主管部门，各级各类医疗卫生计生服务机构是人口健康信息管理中的责任单位。当前，我国电子健康档案管理平台主要由各级卫生计生行政部门牵头推进建设，并负责电子健康档案的集中保管和利用服务，电子健康档案的隐私保护监督责任不明确。各级卫生计生行政部门既当运动员又当裁判员的现状，注定了难以胜任电子健康档案隐私保护和监管工作。基于我国目前的国情和机构改革的背景，我国独立设置个人信息保护机构不太现实，但我国可以参考澳大利亚的相关做法，让各级卫生计生行政部门承担类似澳大利亚数字卫生局的职能，负责监管各级各类医疗卫生服务机构的隐私保护，对于卫生计生行政部门的隐私保护监管，则由同级政府的相关部门负责（例如，有些地方设置的大数据管理局）。我国需要整合已有的相关管理机构，建立统一的电子健康档案隐私保护监管体系，明确侵权赔偿标准，完善监管细则，加大各类违法行为的惩罚力度。

（三）充分调动电子健康档案隐私保护的个人积极性

澳大利亚高度重视个人的隐私权利，充分尊重个人的知情选择权，将个人的隐私保护理念渗透到每个细节中。例如，在创建阶段，由个人选择是否同意其电子健康档案被系统采集，即使同意，个人也可以自主选择具体采集哪些健康檔案：在利用阶段，个人可以自主设置查阅权限，决定个人健康档案的具体用途和查阅方式，并可以随时监控电子健康档案的访问利用情况：在保管阶段，针对不准确的信息，个人还可以要求进行更正，并可以要求管理部门对个人电子健康档案相关信息进行删除。澳大利亚健康信息服务网站设有“隐私与信息安全”专栏，就居民关心的“电子健康档案主要收集了哪些个人信息”“主诊医生在查阅健康档案时，哪些信息将会被看到”“系统操作员是如何保证电子健康档案的信息安全的”“如何纠正和更新个人的电子健康档案信息”等问题，进行了详细的回答和说明，使普通民众能深入了解个人隐私保护的相关问题。我国电子健康档案隐私保护的相关法律法规和规章制度，对个人权利的保障力度还不够，个人对于电子健康档案的收集、保管、利用和删除没有充分的知情权和选择权。在电子健康档案系统的建设过程中，过多强调政府的统一主导，整个管理过程透明度不高，宣传教育力度不够，民众的参与度不深。隐私的概念具有主观性和复杂性，每个人对于隐私的内涵和外延的理解都不一样，我们若想建立完善的电子健康档案隐私保护体系，可以借鉴澳大利亚的做法，充分尊重民众的个人权利，加强宣传教育，充分调动民众对电子健康档案隐私保护的积极性和主动性。

（四）重视电子健康档案规划阶段的隐私影响评估

澳大利亚在正式推广“我的健康档案”系统之前，就深入开展试点工作，并进行了电子健康档案隐私影响评估工作。在电子健康档案系统设计之初或正式实施前，澳大利亚组织第三方对于整个生命周期的隐私风险点进行详细评估和及时改进，将隐私保护理念融入整个建设过程中，最大限度地提高隐私保护的系统性，避免系统后期改造的高额成本。当前，我国各地都在大力推进电子健康档案平台建设，但是在系统功能需求分析或系统试行时，缺乏隐私保护设计的理念，甚少组织专门人员开展专项的隐私影响评估，对于隐私风险的预判和应对缺乏深入论证，导致电子健康档案系统的隐私保护的顶层设计先天不足。我国可以借鉴澳大利亚的做法，树立隐私保护的前端控制理念，在电子健康档案规划阶段就深入开展隐私影响评估，制定详细的隐私影响评估流程，深入分析整个生命周期的隐私风险和应对举措，强化隐私保护体系的顶层设计。

四、结语

澳大利亚将隐私保护作为电子健康档案建设的重要内容，详细分析电子健康档案在规划、收集、存储、利用、销毁等不同阶段的隐私泄露风险，制定具有针对性的隐私保护举措，建立了严谨、高效的全生命周期隐私保护体系。我国可以结合实际情况，从完善法律法规、强化监管体制、调动个人积极性、开展隐私影响评估等多方面借鉴澳大利亚的先进做法，进一步完善我国的电子健康档案隐私保护体系。

作者单位：中山大学资讯管理学院