电子健康档案信息泄露通知制度的国际经验及借鉴

钟其炎

[摘要]信息泄露通知制度是电子健康档案信息保护的重要环节，已被世界各国广泛采用。论文从法律依据、触发条件、通知主体、通知对象、通知时限、通知内容、通知方式和法律责任等方面，详细比较分析了美国、欧盟、澳大利亚和中国的电子健康档案信息泄露通知制度。通过比较分析发现，我国电子健康档案信息泄露通知制度尚不完善，与国际先进水平尚有较大差距，可以从完善电子健康档案信息泄露通知的法律法规、建立电子健康档案信息泄露应急响应计划、加大违反电子健康信息泄露通知制度的惩罚力度等方面进一步改进和提升。

[关键词]健康信息个人信息数据泄露泄露通报制度

[分类号]G279

Learning and Shaping Better Data Breaches Scheme for Electronic Health Records from International Experiences——Based on Analysis of Practices in United States， European Union， Australia and China

Zhong Qiyan（School of Information Management of Sun Yat-sen University， Guangzhou， Guangdong， 511436）

Abstract： Data breaches notification scheme is an important instrument to protect the information in electronic health record， which has been widely adopted by countries all over the world through legislation. This paper intends to analyze the provisions， circumstances， entities and individuals involved， response time， content， methods and legal liabilities of data breaches notification for electronic health record in United States， European Union， Australia and China. By comparing and contrasting the practices in the aforementioned countries， this paper finds that the data breaches scheme in our country needs to be improved. There is a great disparity between the practice in China and those in the leading countries. This paper suggests that we could better our data breaches scheme for electronic health record by improving the laws and regulations for data breaches notification； by establishing data breaches emergency response plan and by reinforcing penalties for violations against any data breaches laws and regulations.

Keywords： Health Information； Personal Data； Data Breaches； Data Breaches Notification Scheme

電子健康档案是人们在健康相关活动中直接形成的具有保存备查价值的电子化历史记录，涵盖了一个人从出生到死亡健康状况发展变化的信息资料。电子健康档案利用价值高、敏感性极强，一旦泄露将可能导致严重的个人身心健康和经济损失，因此世界各国都给予重点关注和严格保护。个人信息泄露通知制度，是指当个人信息发生或者可能发生泄露事件，并可能对相关人员造成损害时，信息控制者以适当形式及时通知相关部门和个人，让各方尽快了解信息泄露情况并采取相应的保护措施的制度[1]。信息泄露通知制度是强化信息保护必不可少的重要环节，已被世界各国立法广泛采用。本文选取美国、欧盟、澳大利亚、中国为研究对象，比较分析4个国家电子健康档案信息泄露通知制度的异同，以期借鉴国际先进经验，进一步完善我国电子健康档案信息泄露通知制度。

1信息泄露通知制度的比较分析

1.1信息泄露通知的法律依据

美国没有制定全国统一的个人信息保护法，但针对医疗、电信、金融等行业制定了专门的个人信息保护法。美国于1996年颁布实施了《健康保险携带和责任法》（The Health Insurance Portability and Accountability Act of 1996，以下简称HIPAA）[2]，2000年制定了《个人可识别健康信息的隐私标准》，保障医疗保健信息的合理流动，保护个人健康信息的安全和患者隐私。HIPAA和《隐私标准》建立了强制性的个人健康信息泄露通知制度，要求相关机构和个人必须遵守，并由美国卫生和公众福利部的公民权利办公室负责监督实施。此外，美国目前还有47个州制定了地方性的个人信息泄露通知法案。

欧盟议会于2016年4月14日通过了《通用数据保护条例》（General Data Protection Regulations，以下简称GDPR），并于2018年5月25日正式生效实施[3]。该条例统一了整个欧盟的数据保护法律，使各国能够进行互动，确保其公民的个人数据不会因不同的监管要求而受到损害。该条例的适用范围极为广泛，任何收集、传输、保留或处理涉及欧盟所有成员国内的个人信息的机构均受该条例的约束，其中个人信息泄露通知制度也是GDPR的重要内容。欧盟没有单独制定电子健康档案信息保护法律，个人健康信息属于敏感信息，同样适用于GDPR。

澳大利亚于1988年颁布《隐私权法》，将个人健康和医疗信息列为“敏感信息”，要求严格监管，并明确了合法收集、使用及披露健康信息的相关规定。2017年通过了《隐私权修正（数据泄露通知）法案》，建立了严格的个人信息泄露通知制度[4]。为了在全国范围顺利推行“个人控制的电子健康记录”系统（2015年更名为“我的健康记录”系统），澳大利亚于2012年6月颁布了《个人控制的电子健康记录法》，2015年正式更名为《我的健康记录法》[5]。该法案对“我的健康记录”系统上的健康信息进行严格管理，其中包括强制性信息泄露通知义务。

中国尚未出台个人信息保护法和电子健康档案信息保护的专门法律法规，《中华人民共和国网络安全法》于2017年6月1日正式实施，首次在全国法律层面提出建立个人信息泄露通知制度。《中华人民共和国网络安全法》第四十二条明确提出，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告[6]。电子健康档案信息属于《中华人民共和国网络安全法》规定的个人信息范畴，适用个人信息泄露通知制度。

上述4个国家（地区）的个人健康档案信息泄露通知法案存在差异，各有特色。美国和澳大利亚制定了电子健康档案信息保护专门法律，对于电子健康档案信息泄露通知制度提出了明确和具体的要求；但澳大利亚《隐私权法》不适用各州和地区的政府机构，各州目前尚未制定个人信息泄露通知法案，《我的健康记录法》也只是针对全国“我的健康记录”系统中的健康信息，系统外的个人健康信息不适用，因此澳大利亚个人健康信息泄露通知制度在适用范围方面还存在一定的局限性。欧盟没有单独制定电子健康档案信息保护法律，而是将电子健康档案信息纳入全面的个人信息保护中，对信息泄露通知制度作出了明确规定和具体要求，并适用于欧盟所有成员国，统一个人信息保护标准，有利于推广实施。中国没有制定全面的个人信息保护法和电子健康档案信息专门法，只针对网络个人信息的泄露通报进行了规定，内容相对比较笼统，但适用于全国范围。

1.2信息泄露通知的触发条件

美国HIPAA规定，信息泄露是指违反隐私规则的未授权的使用或披露，导致信息的机密性、完整性、可用性受到破坏。不是所有电子健康档案信息泄露都要履行强制通知义务，HIPAA规定超过500人以上的健康信息泄露必须通知，但500人以下的健康信息泄露，需要进行一个风险评估，包括：（1）所涉受保护健康信息的性质和程度，包括识别资料的类型和重新识别的可能性；（2）使用受保护的健康信息或向其披露信息的未经授权的人；（3）受保护的健康信息是否实际获得或查看；（4）受保护的健康信息面临的风险是否得到了缓解。如果经过评估分析后，认为所保护的健康信息被泄露的可能性很低或影响很小，可以不需要向相关机构和个人通知。

欧盟GDPR规定，个人信息泄露的定义为“违反安全规定导致所传输、存储或以其他方式处理的个人数据遭受意外或非法毁坏、丢失、篡改、未经授权披露或访问”[7]；并非所有信息泄露行为都需要履行通知义务，只有对个人的权利和自由造成风险时才需要。因此，信息控制者应先评估信息泄露事件对个人造成的风险，评估时需要考虑违规的类型、信息敏感性和所涉及的个人信息的数量、从该信息中识别个人的难易程度、潜在后果等。由于电子健康档案信息属于GDPR规定需严格监管的敏感信息，一旦发生泄露事件，相关部门会在评估风险时予以特别重视，因此需要履行通知义务的概率也比较高。信息专员办公室设立了电话热线，可为信息控制者评估风险时提供咨询服务。

澳大利亚《隐私法》规定，在未经授权的情况下收集、访问或披露实体所持有的个人信息（或者个人信息丢失），并很可能对与信息有关的任何个人造成严重伤害，以及该实体未能通过补救行动防止可能存在的严重损害风险时，需要强制履行信息泄露通知义务。如果一个实体迅速采取行动补救行为，信息泄露不可能对个人造成严重损害，则不需要通知相关个人。澳大利亚《隐私权法》和《我的健康记录法》没有对“严重伤害”作出具体定义，各机构应全面评估严重损害的风险，包括信息泄露所涉及的个人信息类型、信息泄露情况（包括其原因和程度）、对受影响个人的损害性质。

《中华人民共和国网络安全法》规定，在发生或者可能发生个人信息泄露、毁损、丢失的情况时，网络运营者应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告[8]。但该法案没有进一步解释信息泄露触发条件，没有明确究竟何种程度的信息泄露事件需要及时通知。

美国、欧盟、澳大利亚和中国对“信息泄露”定义的实质基本相同，都包括信息的泄露、损毁和丢失，但对信息泄露严重程度的判断标准及触发通知的条件有所差异。美国、欧盟和澳大利亚都要求对信息泄露事件进行风险评估，并发布了评估指南或要点，中国则缺少风险评估相关指引。

1.3信息泄露通知的主体

电子健康档案信息一旦发生泄露事件，由谁来负责通知相关机构或人员，各个国家对此规定有所差异。美国HIPPA规定，隐私保护机构包括健康保健计划、健康信息交换中心以及那些以电子方式进行某些金融和行政交易的医疗保健服务提供者。因此，个人健康信息发生泄露，信息的控制者要承担信息泄露通知义务。欧盟GDPR规定，只要是处理欧盟公民个人信息的机构（不论该机构办公地点或注册地点是否在欧盟境内、不论该信息處理行为是否实际发生在欧盟境内）均适用GDPR，信息的控制者要承担信息泄露通知的义务，信息处理者发现信息泄露情况后应当及时告知信息控制者[9]。澳大利亚《我的健康记录法》规定，“我的健康记录”系统中的信息发生泄露，系统的参与者（包括系统操作员即澳大利亚数字卫生局、注册的医疗保健服务机构、注册存储库运营商、注册门户运营商或注册的签约服务提供商）必须报告相关数据泄露情况。《中华人民共和国网络安全法》规定，信息泄露通知主体为网络运营者，包括网络的所有者、管理者和网络服务提供者。从信息泄露通知的主体来看，美国和欧盟的规定比较类似，主要由信息的控制者负责履行通知义务，但欧盟对信息控制者的定义比较宽泛；澳大利亚则是规定电子健康档案系统的所有参与者都是信息泄露报告主体，但通知受影响的个人是由澳大利亚数字卫生局所执行。中国规定个人信息泄露通知主体是网络运营者，范围也比较广泛。

1.4信息泄露通知的对象

美国HIPAA规定，发生信息泄露后，信息控制者必须向受影响的个人、美国卫生与公众服务部公民权利办公室以及在某些情况下（超过500人信息泄露）向媒体进行通知。此外，如果是由业务伙伴发生违规，业务伙伴必须通知信息控制者，由信息控制者向相关人员或机构通知。欧盟GDPR规定，在个人数据被泄露的情况下，信息控制者将个人数据泄露情况通知主管的监督机构；若信息泄露可能对相关个人产生负面影响，还应当立即通知相关个人。澳大利亚《我的健康记录法》规定，“我的健康记录”信息泄露后，医疗服务提供商需要将数据泄露情况通知澳大利亚数字卫生局和澳大利亚信息专员办公室（其中州或地区的机构不强制向澳大利亚信息专员办公室报告），澳大利亚数字卫生局必须向澳大利亚信息专员办公室报告相关情况。《中华人民共和国网络安全法》规定，发生个人信息泄露后，网络运营者需及时告知用户并向有关主管部门报告；该法的第八条规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。电子健康档案信息泄露后，除了向有关用户告知外，还需向网信部门和卫生行业主管部门报告[10]。从电子健康档案信息泄露通知对象来看，美国、欧盟、澳大利亚、中国都包括政府相关主管机构和受影响个人，但美国、欧盟、澳大利亚都成立了专门的个人信息监管机构，而中国则没有个人信息（或电子健康档案信息）专门监管机构，电子健康档案信息泄露需报告哪些主管机构还不够明确。

1.5信息泄露通知的时限

美国HIPAA规定，影响500人以上的电子健康档案信息泄露行为，发现后需立刻向所有受影响的个人和监督机构发出通知，最迟不得超过发现后的60天。影响不到500个人的电子健康档案信息泄露行为，发现后需立刻向所有受影响的个人发出通知，且必须在第二年开始后60天内向美国卫生和公众服务部公民权利办公室报告（每年集中报告一次）。欧盟GDPR规定，如达到个人信息泄露通知标准，信息控制者必须在意识到信息泄露后的72小时内通知监督机构，并在没有不当拖延的情况下通知受违规行为影响的个人，同时欧盟允许分阶段多次通知。澳大利亚规定，相关机构应在30日内完成个人信息泄露可能性评估，并将信息泄露事件通知相关各方。中国对于电子健康档案信息泄露通知时间没有作出明确规定，采用了按照规定及时告知的表述[11]。从电子健康档案信息泄露通知时限来看，欧盟要求最严格，澳大利亚次之，美国第三，而中国还缺乏相关规定。

1.6信息泄露通知的内容

美国电子健康档案信息泄露通知函，必须包括违规的详细信息、可能泄露的信息、针对违规行为采取的行动说明、为减轻损害所做努力以及个人可以采取哪些行动来降低风险、联系电话（90天内必须保持有效）。欧盟GDPR规定，在向主管机构报告个人信息泄露情况时，信息控制者应说明发生了什么事件，受影响的人数，涉及哪些个人信息，可能对受影响的人产生什么影响，正在采取或可以采取哪些措施来弥补，以及机构联系人和联系方式。在向个人告知时，应当用清楚、明了的语言描述个人信息泄露的性质、可能造成的损失，已采取或建议采取的措施、以及机构联系人和联系方式。澳大利亚信息专员办公室提供了强制性信息泄露通知表，内容包括信息泄露的说明、泄露时间、泄露原因、信息类型、受影响人数、已经采取或正在采取哪些行动来减轻信息泄露的影响、信息泄露是否源于系统性问题或孤立的触发因素、过去是否经历过类似的信息泄露事件、是否有信息泄露应急计划及是否激活、该机构数据保护官员的姓名和联系方式、任何其他相关信息。中国对电子健康档案信息的泄露内容没有作出明确具体的要求。综合来看，美国、欧盟、澳大利亚对于电子健康档案信息泄露的通知内容有规范明确的要求，并有详细的操作指引，而中国则缺少相关规定，不利于实践操作。

1.7信息泄露通知方式

根据美国HIPAA规定，发生电子健康档案信息泄露事件后，可通过快递或电子邮件方式将违规通知函发送给受影响的个人。如果因联系信息不完整而无法联系到10人以上的个人，相关机构可将违规详情发布在其官方网站上且至少保留90天，或在受影响的个人可能会留意的主要印刷物或广播媒体上发布公告。如果泄露的电子健康档案信息涉及超过500人，除了通知受影响的个人外，还必须在知名的媒体上发布公告，以便让社会公众及时了解。相关机构还必须通过浏览美国卫生和公众服务部公民权利办公室的网站，在线填写并以电子方式提交信息泄露报告。欧盟要求信息控制者采取有效方式通知主管机构和个人，并且优先采用直接的通讯方式（如短信、电子邮件等）。澳大利亞规定，相关机构可以使用任何方法通知个人（例如电话、短信、邮件、社交媒体帖子或面对面对话等形式，可以多种通知方式并存）。如果无法直接通知到受影响的个人，相关机构必须在其网站上对信息泄露相关情况进行公告。澳大利亚信息专员办公室在网站上提供信息泄露通知表格，相关机构须按要求填写表格内容，然后通过电子邮件方式报送。澳大利亚数字卫生局也在网上提供了联系电话和电子邮箱地址，相关机构可以通过电子邮件方式发送信息泄露报告。中国对于电子健康档案信息泄露通知方式没有作出明确规定。总体而言，美国、欧盟、澳大利亚对于个人的电子健康档案信息泄露通知一般灵活采取多种方式，确保及时通知到位；对于主管机构的通知方式，一般都是采取书面方式报送。相对来说，中国对于电子健康档案信息泄露通知方式还不够完善，缺乏明确的操作指引。

1.8未履行信息泄露通知制度的处罚

美国HIPAA规定，违反电子健康档案信息泄露通知规则，可给予相关单位最高每年每次150万美元的罚款。欧盟GDPR规定，不遵守个人信息泄露通知义务可能面临高达1000万欧元或相当于全球年营业总额2%的罚款（以其中较高者为准）[12]。澳大利亚《我的健康记录法》规定，对于不遵守电子健康档案信息泄露通知义务的个人，最高可给予36万美元罚款；对于违反规定机构，可最多给予180万美元罚款，并注销或暂停相关医疗服务机构在电子健康档案系统的使用资格。《中华人民共和国网络安全法》第五十九条规定，未将网络安全风险、网络安全事件向有关主管部门报告的，由有关主管部门责令改正；拒不改正或者情节严重的，处5万元以上50万元以下罚款；对直接负责的主管人员和其他直接责任人员，处1万元以上10万元以下罚款[13]。从法律责任来看，欧盟要求最严格，处罚金额高，具有很强的威慑力，但不支持集体诉讼。美国对于违反电子健康档案信息泄露规则的也给予严厉处罚，并且支持集体诉讼。澳大利亚的处罚金额也相对比较高，但不支持集体诉讼。中国对于电子健康档案信息泄露通知的法律责任相对较轻，且不支持集体诉讼。

2完善我国电子健康档案信息泄露通知制度的建议

从以上比较分析可以看出，我国电子健康档案信息泄露通知制度尚不完善，仍处于初级阶段，與国际先进水平尚有较大差距，需要进一步加以改进和提升。

2.1完善电子健康档案信息泄露通知的法律法规

我国目前尚未制定全面的个人信息保护法和电子健康档案信息的专门法，《中华人民共和国网络安全法》对于个人信息泄露的通知触发条件、通知时限、通知内容、通知方式规定不明确，缺乏具体的实施细则或操作指南，直接影响实践效果。我国可以借鉴学习美国、欧盟、澳大利亚的做法，结合国内实际情况，进一步完善电子健康档案信息泄露通知的相关法律法规，制定相关操作指南，明确信息泄露通知标准和实施细节，提高制度的可操作性。

2.2建立电子健康档案信息泄露应急响应计划

电子健康档案信息属于高度敏感信息，一旦泄露，容易对个人造成严重伤害，因此需要区别对待、严格监管。我国可以借鉴欧盟和澳大利亚的做法，要求电子健康档案信息的保管机构制定信息泄露应急响应计划，并报政府主管部门备案。通过制定应急响应计划，相关单位可以进一步完善信息处理的内部流程，降低信息泄露风险，同时一旦发生信息泄露事件，可以快速处置，尽可能减少对相关个人的影响。

2.3加大违反电子健康信息泄露通知制度的惩罚力度

电子健康档案信息泄露通知制度要取得实效，必须加大法律惩罚力度。从上述比较分析来看，我国电子健康档案信息泄露通知制度的违法成本相对较低，罚款金额偏少，威慑力较小，可以进一步加大违法处罚力度。此外，我国没有明确违反信息泄露通知制度的执法机构，目前的监管部门比较分散，不利于实践执法。建议参考美国、欧盟、澳大利亚的做法，设立统一的监管机构，加大执法监管力度，提高监管执法的威慑力和实效性。

参考文献

[1][7]何波.数据泄露通知法律制度研究[J].中国信息安全，2017（12）：40-43.

[2]美国卫生与公众服务部网站.健康保险携带和责任法[EB/OL].[2018-11-02]. https：//www.hhs.gov/hipaa/index.html.

[3][9][12]英国信息专员办公室网站.通用数据保护条例[EB/OL].[2018-11-03]. https：//ico.org.uk/.

[4]澳大利亚信息专员办公室网站.隐私权修正（数据泄露通知）法案[EB/OL].[2018-11-03].https：//www.oaic.gov.au/privacy-law/privacy-act/notifiable-data-breachesscheme.

[5]澳大利亚我的健康记录网站.我的健康记录法[EB/OL].[2018-11-02].https：// www.myhealthrecord.gov.au/.

[6][8][10][13]宜春市教育局信息公开网.中华人民共和国网络安全法[EB/OL].[2018-11-02].http：//xxgk.yichun.gov.cn/ycsjyj/xxgk/fgwj/201802/t20180226_535815.html.

[11]赵淑钰，伦一.数据泄露通知制度的国际经验与启示[J].中国信息安全，2018（3）：74-75.