论文部分内容阅读
[摘要]信息泄露通知制度是电子健康档案信息保护的重要环节,已被世界各国广泛采用。论文从法律依据、触发条件、通知主体、通知对象、通知时限、通知内容、通知方式和法律责任等方面,详细比较分析了美国、欧盟、澳大利亚和中国的电子健康档案信息泄露通知制度。通过比较分析发现,我国电子健康档案信息泄露通知制度尚不完善,与国际先进水平尚有较大差距,可以从完善电子健康档案信息泄露通知的法律法规、建立电子健康档案信息泄露应急响应计划、加大违反电子健康信息泄露通知制度的惩罚力度等方面进一步改进和提升。
[关键词]健康信息个人信息数据泄露泄露通报制度
[分类号]G279
Learning and Shaping Better Data Breaches Scheme for Electronic Health Records from International Experiences——Based on Analysis of Practices in United States, European Union, Australia and China
Zhong Qiyan(School of Information Management of Sun Yat-sen University, Guangzhou, Guangdong, 511436)
Abstract: Data breaches notification scheme is an important instrument to protect the information in electronic health record, which has been widely adopted by countries all over the world through legislation. This paper intends to analyze the provisions, circumstances, entities and individuals involved, response time, content, methods and legal liabilities of data breaches notification for electronic health record in United States, European Union, Australia and China. By comparing and contrasting the practices in the aforementioned countries, this paper finds that the data breaches scheme in our country needs to be improved. There is a great disparity between the practice in China and those in the leading countries. This paper suggests that we could better our data breaches scheme for electronic health record by improving the laws and regulations for data breaches notification; by establishing data breaches emergency response plan and by reinforcing penalties for violations against any data breaches laws and regulations.
Keywords: Health Information; Personal Data; Data Breaches; Data Breaches Notification Scheme
電子健康档案是人们在健康相关活动中直接形成的具有保存备查价值的电子化历史记录,涵盖了一个人从出生到死亡健康状况发展变化的信息资料。电子健康档案利用价值高、敏感性极强,一旦泄露将可能导致严重的个人身心健康和经济损失,因此世界各国都给予重点关注和严格保护。个人信息泄露通知制度,是指当个人信息发生或者可能发生泄露事件,并可能对相关人员造成损害时,信息控制者以适当形式及时通知相关部门和个人,让各方尽快了解信息泄露情况并采取相应的保护措施的制度[1]。信息泄露通知制度是强化信息保护必不可少的重要环节,已被世界各国立法广泛采用。本文选取美国、欧盟、澳大利亚、中国为研究对象,比较分析4个国家电子健康档案信息泄露通知制度的异同,以期借鉴国际先进经验,进一步完善我国电子健康档案信息泄露通知制度。
1信息泄露通知制度的比较分析
1.1信息泄露通知的法律依据
美国没有制定全国统一的个人信息保护法,但针对医疗、电信、金融等行业制定了专门的个人信息保护法。美国于1996年颁布实施了《健康保险携带和责任法》(The Health Insurance Portability and Accountability Act of 1996,以下简称HIPAA)[2],2000年制定了《个人可识别健康信息的隐私标准》,保障医疗保健信息的合理流动,保护个人健康信息的安全和患者隐私。HIPAA和《隐私标准》建立了强制性的个人健康信息泄露通知制度,要求相关机构和个人必须遵守,并由美国卫生和公众福利部的公民权利办公室负责监督实施。此外,美国目前还有47个州制定了地方性的个人信息泄露通知法案。
欧盟议会于2016年4月14日通过了《通用数据保护条例》(General Data Protection Regulations,以下简称GDPR),并于2018年5月25日正式生效实施[3]。该条例统一了整个欧盟的数据保护法律,使各国能够进行互动,确保其公民的个人数据不会因不同的监管要求而受到损害。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及欧盟所有成员国内的个人信息的机构均受该条例的约束,其中个人信息泄露通知制度也是GDPR的重要内容。欧盟没有单独制定电子健康档案信息保护法律,个人健康信息属于敏感信息,同样适用于GDPR。 1.4信息泄露通知的对象
美国HIPAA规定,发生信息泄露后,信息控制者必须向受影响的个人、美国卫生与公众服务部公民权利办公室以及在某些情况下(超过500人信息泄露)向媒体进行通知。此外,如果是由业务伙伴发生违规,业务伙伴必须通知信息控制者,由信息控制者向相关人员或机构通知。欧盟GDPR规定,在个人数据被泄露的情况下,信息控制者将个人数据泄露情况通知主管的监督机构;若信息泄露可能对相关个人产生负面影响,还应当立即通知相关个人。澳大利亚《我的健康记录法》规定,“我的健康记录”信息泄露后,医疗服务提供商需要将数据泄露情况通知澳大利亚数字卫生局和澳大利亚信息专员办公室(其中州或地区的机构不强制向澳大利亚信息专员办公室报告),澳大利亚数字卫生局必须向澳大利亚信息专员办公室报告相关情况。《中华人民共和国网络安全法》规定,发生个人信息泄露后,网络运营者需及时告知用户并向有关主管部门报告;该法的第八条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。电子健康档案信息泄露后,除了向有关用户告知外,还需向网信部门和卫生行业主管部门报告[10]。从电子健康档案信息泄露通知对象来看,美国、欧盟、澳大利亚、中国都包括政府相关主管机构和受影响个人,但美国、欧盟、澳大利亚都成立了专门的个人信息监管机构,而中国则没有个人信息(或电子健康档案信息)专门监管机构,电子健康档案信息泄露需报告哪些主管机构还不够明确。
1.5信息泄露通知的时限
美国HIPAA规定,影响500人以上的电子健康档案信息泄露行为,发现后需立刻向所有受影响的个人和监督机构发出通知,最迟不得超过发现后的60天。影响不到500个人的电子健康档案信息泄露行为,发现后需立刻向所有受影响的个人发出通知,且必须在第二年开始后60天内向美国卫生和公众服务部公民权利办公室报告(每年集中报告一次)。欧盟GDPR规定,如达到个人信息泄露通知标准,信息控制者必须在意识到信息泄露后的72小时内通知监督机构,并在没有不当拖延的情况下通知受违规行为影响的个人,同时欧盟允许分阶段多次通知。澳大利亚规定,相关机构应在30日内完成个人信息泄露可能性评估,并将信息泄露事件通知相关各方。中国对于电子健康档案信息泄露通知时间没有作出明确规定,采用了按照规定及时告知的表述[11]。从电子健康档案信息泄露通知时限来看,欧盟要求最严格,澳大利亚次之,美国第三,而中国还缺乏相关规定。
1.6信息泄露通知的内容
美国电子健康档案信息泄露通知函,必须包括违规的详细信息、可能泄露的信息、针对违规行为采取的行动说明、为减轻损害所做努力以及个人可以采取哪些行动来降低风险、联系电话(90天内必须保持有效)。欧盟GDPR规定,在向主管机构报告个人信息泄露情况时,信息控制者应说明发生了什么事件,受影响的人数,涉及哪些个人信息,可能对受影响的人产生什么影响,正在采取或可以采取哪些措施来弥补,以及机构联系人和联系方式。在向个人告知时,应当用清楚、明了的语言描述个人信息泄露的性质、可能造成的损失,已采取或建议采取的措施、以及机构联系人和联系方式。澳大利亚信息专员办公室提供了强制性信息泄露通知表,内容包括信息泄露的说明、泄露时间、泄露原因、信息类型、受影响人数、已经采取或正在采取哪些行动来减轻信息泄露的影响、信息泄露是否源于系统性问题或孤立的触发因素、过去是否经历过类似的信息泄露事件、是否有信息泄露应急计划及是否激活、该机构数据保护官员的姓名和联系方式、任何其他相关信息。中国对电子健康档案信息的泄露内容没有作出明确具体的要求。综合来看,美国、欧盟、澳大利亚对于电子健康档案信息泄露的通知内容有规范明确的要求,并有详细的操作指引,而中国则缺少相关规定,不利于实践操作。
1.7信息泄露通知方式
根据美国HIPAA规定,发生电子健康档案信息泄露事件后,可通过快递或电子邮件方式将违规通知函发送给受影响的个人。如果因联系信息不完整而无法联系到10人以上的个人,相关机构可将违规详情发布在其官方网站上且至少保留90天,或在受影响的个人可能会留意的主要印刷物或广播媒体上发布公告。如果泄露的电子健康档案信息涉及超过500人,除了通知受影响的个人外,还必须在知名的媒体上发布公告,以便让社会公众及时了解。相关机构还必须通过浏览美国卫生和公众服务部公民权利办公室的网站,在线填写并以电子方式提交信息泄露报告。欧盟要求信息控制者采取有效方式通知主管机构和个人,并且优先采用直接的通讯方式(如短信、电子邮件等)。澳大利亞规定,相关机构可以使用任何方法通知个人(例如电话、短信、邮件、社交媒体帖子或面对面对话等形式,可以多种通知方式并存)。如果无法直接通知到受影响的个人,相关机构必须在其网站上对信息泄露相关情况进行公告。澳大利亚信息专员办公室在网站上提供信息泄露通知表格,相关机构须按要求填写表格内容,然后通过电子邮件方式报送。澳大利亚数字卫生局也在网上提供了联系电话和电子邮箱地址,相关机构可以通过电子邮件方式发送信息泄露报告。中国对于电子健康档案信息泄露通知方式没有作出明确规定。总体而言,美国、欧盟、澳大利亚对于个人的电子健康档案信息泄露通知一般灵活采取多种方式,确保及时通知到位;对于主管机构的通知方式,一般都是采取书面方式报送。相对来说,中国对于电子健康档案信息泄露通知方式还不够完善,缺乏明确的操作指引。
1.8未履行信息泄露通知制度的处罚
美国HIPAA规定,违反电子健康档案信息泄露通知规则,可给予相关单位最高每年每次150万美元的罚款。欧盟GDPR规定,不遵守个人信息泄露通知义务可能面临高达1000万欧元或相当于全球年营业总额2%的罚款(以其中较高者为准)[12]。澳大利亚《我的健康记录法》规定,对于不遵守电子健康档案信息泄露通知义务的个人,最高可给予36万美元罚款;对于违反规定机构,可最多给予180万美元罚款,并注销或暂停相关医疗服务机构在电子健康档案系统的使用资格。《中华人民共和国网络安全法》第五十九条规定,未将网络安全风险、网络安全事件向有关主管部门报告的,由有关主管部门责令改正;拒不改正或者情节严重的,处5万元以上50万元以下罚款;对直接负责的主管人员和其他直接责任人员,处1万元以上10万元以下罚款[13]。从法律责任来看,欧盟要求最严格,处罚金额高,具有很强的威慑力,但不支持集体诉讼。美国对于违反电子健康档案信息泄露规则的也给予严厉处罚,并且支持集体诉讼。澳大利亚的处罚金额也相对比较高,但不支持集体诉讼。中国对于电子健康档案信息泄露通知的法律责任相对较轻,且不支持集体诉讼。 2完善我国电子健康档案信息泄露通知制度的建议
从以上比较分析可以看出,我国电子健康档案信息泄露通知制度尚不完善,仍处于初级阶段,與国际先进水平尚有较大差距,需要进一步加以改进和提升。
2.1完善电子健康档案信息泄露通知的法律法规
我国目前尚未制定全面的个人信息保护法和电子健康档案信息的专门法,《中华人民共和国网络安全法》对于个人信息泄露的通知触发条件、通知时限、通知内容、通知方式规定不明确,缺乏具体的实施细则或操作指南,直接影响实践效果。我国可以借鉴学习美国、欧盟、澳大利亚的做法,结合国内实际情况,进一步完善电子健康档案信息泄露通知的相关法律法规,制定相关操作指南,明确信息泄露通知标准和实施细节,提高制度的可操作性。
2.2建立电子健康档案信息泄露应急响应计划
电子健康档案信息属于高度敏感信息,一旦泄露,容易对个人造成严重伤害,因此需要区别对待、严格监管。我国可以借鉴欧盟和澳大利亚的做法,要求电子健康档案信息的保管机构制定信息泄露应急响应计划,并报政府主管部门备案。通过制定应急响应计划,相关单位可以进一步完善信息处理的内部流程,降低信息泄露风险,同时一旦发生信息泄露事件,可以快速处置,尽可能减少对相关个人的影响。
2.3加大违反电子健康信息泄露通知制度的惩罚力度
电子健康档案信息泄露通知制度要取得实效,必须加大法律惩罚力度。从上述比较分析来看,我国电子健康档案信息泄露通知制度的违法成本相对较低,罚款金额偏少,威慑力较小,可以进一步加大违法处罚力度。此外,我国没有明确违反信息泄露通知制度的执法机构,目前的监管部门比较分散,不利于实践执法。建议参考美国、欧盟、澳大利亚的做法,设立统一的监管机构,加大执法监管力度,提高监管执法的威慑力和实效性。
参考文献
[1][7]何波.数据泄露通知法律制度研究[J].中国信息安全,2017(12):40-43.
[2]美国卫生与公众服务部网站.健康保险携带和责任法[EB/OL].[2018-11-02]. https://www.hhs.gov/hipaa/index.html.
[3][9][12]英国信息专员办公室网站.通用数据保护条例[EB/OL].[2018-11-03]. https://ico.org.uk/.
[4]澳大利亚信息专员办公室网站.隐私权修正(数据泄露通知)法案[EB/OL].[2018-11-03].https://www.oaic.gov.au/privacy-law/privacy-act/notifiable-data-breachesscheme.
[5]澳大利亚我的健康记录网站.我的健康记录法[EB/OL].[2018-11-02].https:// www.myhealthrecord.gov.au/.
[6][8][10][13]宜春市教育局信息公开网.中华人民共和国网络安全法[EB/OL].[2018-11-02].http://xxgk.yichun.gov.cn/ycsjyj/xxgk/fgwj/201802/t20180226_535815.html.
[11]赵淑钰,伦一.数据泄露通知制度的国际经验与启示[J].中国信息安全,2018(3):74-75.
[关键词]健康信息个人信息数据泄露泄露通报制度
[分类号]G279
Learning and Shaping Better Data Breaches Scheme for Electronic Health Records from International Experiences——Based on Analysis of Practices in United States, European Union, Australia and China
Zhong Qiyan(School of Information Management of Sun Yat-sen University, Guangzhou, Guangdong, 511436)
Abstract: Data breaches notification scheme is an important instrument to protect the information in electronic health record, which has been widely adopted by countries all over the world through legislation. This paper intends to analyze the provisions, circumstances, entities and individuals involved, response time, content, methods and legal liabilities of data breaches notification for electronic health record in United States, European Union, Australia and China. By comparing and contrasting the practices in the aforementioned countries, this paper finds that the data breaches scheme in our country needs to be improved. There is a great disparity between the practice in China and those in the leading countries. This paper suggests that we could better our data breaches scheme for electronic health record by improving the laws and regulations for data breaches notification; by establishing data breaches emergency response plan and by reinforcing penalties for violations against any data breaches laws and regulations.
Keywords: Health Information; Personal Data; Data Breaches; Data Breaches Notification Scheme
電子健康档案是人们在健康相关活动中直接形成的具有保存备查价值的电子化历史记录,涵盖了一个人从出生到死亡健康状况发展变化的信息资料。电子健康档案利用价值高、敏感性极强,一旦泄露将可能导致严重的个人身心健康和经济损失,因此世界各国都给予重点关注和严格保护。个人信息泄露通知制度,是指当个人信息发生或者可能发生泄露事件,并可能对相关人员造成损害时,信息控制者以适当形式及时通知相关部门和个人,让各方尽快了解信息泄露情况并采取相应的保护措施的制度[1]。信息泄露通知制度是强化信息保护必不可少的重要环节,已被世界各国立法广泛采用。本文选取美国、欧盟、澳大利亚、中国为研究对象,比较分析4个国家电子健康档案信息泄露通知制度的异同,以期借鉴国际先进经验,进一步完善我国电子健康档案信息泄露通知制度。
1信息泄露通知制度的比较分析
1.1信息泄露通知的法律依据
美国没有制定全国统一的个人信息保护法,但针对医疗、电信、金融等行业制定了专门的个人信息保护法。美国于1996年颁布实施了《健康保险携带和责任法》(The Health Insurance Portability and Accountability Act of 1996,以下简称HIPAA)[2],2000年制定了《个人可识别健康信息的隐私标准》,保障医疗保健信息的合理流动,保护个人健康信息的安全和患者隐私。HIPAA和《隐私标准》建立了强制性的个人健康信息泄露通知制度,要求相关机构和个人必须遵守,并由美国卫生和公众福利部的公民权利办公室负责监督实施。此外,美国目前还有47个州制定了地方性的个人信息泄露通知法案。
欧盟议会于2016年4月14日通过了《通用数据保护条例》(General Data Protection Regulations,以下简称GDPR),并于2018年5月25日正式生效实施[3]。该条例统一了整个欧盟的数据保护法律,使各国能够进行互动,确保其公民的个人数据不会因不同的监管要求而受到损害。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及欧盟所有成员国内的个人信息的机构均受该条例的约束,其中个人信息泄露通知制度也是GDPR的重要内容。欧盟没有单独制定电子健康档案信息保护法律,个人健康信息属于敏感信息,同样适用于GDPR。 1.4信息泄露通知的对象
美国HIPAA规定,发生信息泄露后,信息控制者必须向受影响的个人、美国卫生与公众服务部公民权利办公室以及在某些情况下(超过500人信息泄露)向媒体进行通知。此外,如果是由业务伙伴发生违规,业务伙伴必须通知信息控制者,由信息控制者向相关人员或机构通知。欧盟GDPR规定,在个人数据被泄露的情况下,信息控制者将个人数据泄露情况通知主管的监督机构;若信息泄露可能对相关个人产生负面影响,还应当立即通知相关个人。澳大利亚《我的健康记录法》规定,“我的健康记录”信息泄露后,医疗服务提供商需要将数据泄露情况通知澳大利亚数字卫生局和澳大利亚信息专员办公室(其中州或地区的机构不强制向澳大利亚信息专员办公室报告),澳大利亚数字卫生局必须向澳大利亚信息专员办公室报告相关情况。《中华人民共和国网络安全法》规定,发生个人信息泄露后,网络运营者需及时告知用户并向有关主管部门报告;该法的第八条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。电子健康档案信息泄露后,除了向有关用户告知外,还需向网信部门和卫生行业主管部门报告[10]。从电子健康档案信息泄露通知对象来看,美国、欧盟、澳大利亚、中国都包括政府相关主管机构和受影响个人,但美国、欧盟、澳大利亚都成立了专门的个人信息监管机构,而中国则没有个人信息(或电子健康档案信息)专门监管机构,电子健康档案信息泄露需报告哪些主管机构还不够明确。
1.5信息泄露通知的时限
美国HIPAA规定,影响500人以上的电子健康档案信息泄露行为,发现后需立刻向所有受影响的个人和监督机构发出通知,最迟不得超过发现后的60天。影响不到500个人的电子健康档案信息泄露行为,发现后需立刻向所有受影响的个人发出通知,且必须在第二年开始后60天内向美国卫生和公众服务部公民权利办公室报告(每年集中报告一次)。欧盟GDPR规定,如达到个人信息泄露通知标准,信息控制者必须在意识到信息泄露后的72小时内通知监督机构,并在没有不当拖延的情况下通知受违规行为影响的个人,同时欧盟允许分阶段多次通知。澳大利亚规定,相关机构应在30日内完成个人信息泄露可能性评估,并将信息泄露事件通知相关各方。中国对于电子健康档案信息泄露通知时间没有作出明确规定,采用了按照规定及时告知的表述[11]。从电子健康档案信息泄露通知时限来看,欧盟要求最严格,澳大利亚次之,美国第三,而中国还缺乏相关规定。
1.6信息泄露通知的内容
美国电子健康档案信息泄露通知函,必须包括违规的详细信息、可能泄露的信息、针对违规行为采取的行动说明、为减轻损害所做努力以及个人可以采取哪些行动来降低风险、联系电话(90天内必须保持有效)。欧盟GDPR规定,在向主管机构报告个人信息泄露情况时,信息控制者应说明发生了什么事件,受影响的人数,涉及哪些个人信息,可能对受影响的人产生什么影响,正在采取或可以采取哪些措施来弥补,以及机构联系人和联系方式。在向个人告知时,应当用清楚、明了的语言描述个人信息泄露的性质、可能造成的损失,已采取或建议采取的措施、以及机构联系人和联系方式。澳大利亚信息专员办公室提供了强制性信息泄露通知表,内容包括信息泄露的说明、泄露时间、泄露原因、信息类型、受影响人数、已经采取或正在采取哪些行动来减轻信息泄露的影响、信息泄露是否源于系统性问题或孤立的触发因素、过去是否经历过类似的信息泄露事件、是否有信息泄露应急计划及是否激活、该机构数据保护官员的姓名和联系方式、任何其他相关信息。中国对电子健康档案信息的泄露内容没有作出明确具体的要求。综合来看,美国、欧盟、澳大利亚对于电子健康档案信息泄露的通知内容有规范明确的要求,并有详细的操作指引,而中国则缺少相关规定,不利于实践操作。
1.7信息泄露通知方式
根据美国HIPAA规定,发生电子健康档案信息泄露事件后,可通过快递或电子邮件方式将违规通知函发送给受影响的个人。如果因联系信息不完整而无法联系到10人以上的个人,相关机构可将违规详情发布在其官方网站上且至少保留90天,或在受影响的个人可能会留意的主要印刷物或广播媒体上发布公告。如果泄露的电子健康档案信息涉及超过500人,除了通知受影响的个人外,还必须在知名的媒体上发布公告,以便让社会公众及时了解。相关机构还必须通过浏览美国卫生和公众服务部公民权利办公室的网站,在线填写并以电子方式提交信息泄露报告。欧盟要求信息控制者采取有效方式通知主管机构和个人,并且优先采用直接的通讯方式(如短信、电子邮件等)。澳大利亞规定,相关机构可以使用任何方法通知个人(例如电话、短信、邮件、社交媒体帖子或面对面对话等形式,可以多种通知方式并存)。如果无法直接通知到受影响的个人,相关机构必须在其网站上对信息泄露相关情况进行公告。澳大利亚信息专员办公室在网站上提供信息泄露通知表格,相关机构须按要求填写表格内容,然后通过电子邮件方式报送。澳大利亚数字卫生局也在网上提供了联系电话和电子邮箱地址,相关机构可以通过电子邮件方式发送信息泄露报告。中国对于电子健康档案信息泄露通知方式没有作出明确规定。总体而言,美国、欧盟、澳大利亚对于个人的电子健康档案信息泄露通知一般灵活采取多种方式,确保及时通知到位;对于主管机构的通知方式,一般都是采取书面方式报送。相对来说,中国对于电子健康档案信息泄露通知方式还不够完善,缺乏明确的操作指引。
1.8未履行信息泄露通知制度的处罚
美国HIPAA规定,违反电子健康档案信息泄露通知规则,可给予相关单位最高每年每次150万美元的罚款。欧盟GDPR规定,不遵守个人信息泄露通知义务可能面临高达1000万欧元或相当于全球年营业总额2%的罚款(以其中较高者为准)[12]。澳大利亚《我的健康记录法》规定,对于不遵守电子健康档案信息泄露通知义务的个人,最高可给予36万美元罚款;对于违反规定机构,可最多给予180万美元罚款,并注销或暂停相关医疗服务机构在电子健康档案系统的使用资格。《中华人民共和国网络安全法》第五十九条规定,未将网络安全风险、网络安全事件向有关主管部门报告的,由有关主管部门责令改正;拒不改正或者情节严重的,处5万元以上50万元以下罚款;对直接负责的主管人员和其他直接责任人员,处1万元以上10万元以下罚款[13]。从法律责任来看,欧盟要求最严格,处罚金额高,具有很强的威慑力,但不支持集体诉讼。美国对于违反电子健康档案信息泄露规则的也给予严厉处罚,并且支持集体诉讼。澳大利亚的处罚金额也相对比较高,但不支持集体诉讼。中国对于电子健康档案信息泄露通知的法律责任相对较轻,且不支持集体诉讼。 2完善我国电子健康档案信息泄露通知制度的建议
从以上比较分析可以看出,我国电子健康档案信息泄露通知制度尚不完善,仍处于初级阶段,與国际先进水平尚有较大差距,需要进一步加以改进和提升。
2.1完善电子健康档案信息泄露通知的法律法规
我国目前尚未制定全面的个人信息保护法和电子健康档案信息的专门法,《中华人民共和国网络安全法》对于个人信息泄露的通知触发条件、通知时限、通知内容、通知方式规定不明确,缺乏具体的实施细则或操作指南,直接影响实践效果。我国可以借鉴学习美国、欧盟、澳大利亚的做法,结合国内实际情况,进一步完善电子健康档案信息泄露通知的相关法律法规,制定相关操作指南,明确信息泄露通知标准和实施细节,提高制度的可操作性。
2.2建立电子健康档案信息泄露应急响应计划
电子健康档案信息属于高度敏感信息,一旦泄露,容易对个人造成严重伤害,因此需要区别对待、严格监管。我国可以借鉴欧盟和澳大利亚的做法,要求电子健康档案信息的保管机构制定信息泄露应急响应计划,并报政府主管部门备案。通过制定应急响应计划,相关单位可以进一步完善信息处理的内部流程,降低信息泄露风险,同时一旦发生信息泄露事件,可以快速处置,尽可能减少对相关个人的影响。
2.3加大违反电子健康信息泄露通知制度的惩罚力度
电子健康档案信息泄露通知制度要取得实效,必须加大法律惩罚力度。从上述比较分析来看,我国电子健康档案信息泄露通知制度的违法成本相对较低,罚款金额偏少,威慑力较小,可以进一步加大违法处罚力度。此外,我国没有明确违反信息泄露通知制度的执法机构,目前的监管部门比较分散,不利于实践执法。建议参考美国、欧盟、澳大利亚的做法,设立统一的监管机构,加大执法监管力度,提高监管执法的威慑力和实效性。
参考文献
[1][7]何波.数据泄露通知法律制度研究[J].中国信息安全,2017(12):40-43.
[2]美国卫生与公众服务部网站.健康保险携带和责任法[EB/OL].[2018-11-02]. https://www.hhs.gov/hipaa/index.html.
[3][9][12]英国信息专员办公室网站.通用数据保护条例[EB/OL].[2018-11-03]. https://ico.org.uk/.
[4]澳大利亚信息专员办公室网站.隐私权修正(数据泄露通知)法案[EB/OL].[2018-11-03].https://www.oaic.gov.au/privacy-law/privacy-act/notifiable-data-breachesscheme.
[5]澳大利亚我的健康记录网站.我的健康记录法[EB/OL].[2018-11-02].https:// www.myhealthrecord.gov.au/.
[6][8][10][13]宜春市教育局信息公开网.中华人民共和国网络安全法[EB/OL].[2018-11-02].http://xxgk.yichun.gov.cn/ycsjyj/xxgk/fgwj/201802/t20180226_535815.html.
[11]赵淑钰,伦一.数据泄露通知制度的国际经验与启示[J].中国信息安全,2018(3):74-75.