对于侵害患者隐私权的损害责任，《侵权责任法》仅在第62条规定了对患者隐私的保密义务，并具体提到了未经患者同意公开其病历资料属于侵权行为，虽然对于患者隐私权保护存有疏漏，但是也从一定程度上说明对病历资料中患者的隐私权保护的重要性。因此，作者特意将这一问题单独进行论述。

（一）美国法的规定

1996年，美国健康与人员服务部推出了《医疗保险信息交换与保密法案》（Health Insurance Portability and Accountability Act，HIPAA），用以保障联邦成员的医疗隐私。该法案针对医疗信息化中的交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、患者识别等问题，制定了详细的法律规定，以保护医疗数据的安全和患者的隐私权。^[26]2000年12月美国卫生和福利部（HLIS）依据该法授权制定了《个人可识别健康信息的隐私标准》，最后修正案于2003年8月14日生效。^[27]

尤其是在关于患者隐私权范围的界定上，HIPAA把对患者医疗信息的使用和披露实质上划分为3种类型：①未需经本人同意或授权的使用和披露。允许对患者本人和以治疗、支付、相关运作以及以公共利益为目的的个人卫生信息的使用和披露。②患者可表示拒绝的使用和披露。这种使用和披露通常列明在隐私通知惯例（Privacy Practice Notice，PPN）中，患者不明确表示拒绝，即视为同意使用和披露，或者在患者丧失能力及紧急情况下，如果医疗机构根据自己的职业判断，这种使用和披露符合患者的最大利益，如果患者没有明确反对使用或披露则也可以使用和披露信息。③不得从事信息的使用和披露。在未经患者或其代表同意的情况下，禁止用作其他目的的个人健康信息的使用和披露。^[28]

另外，美国《统一医疗信息法》确立了以“病案请求权”等内容为核心的权利体系，还通过规定侵犯患者信息权利惩罚措施的方式来确保上述权利的顺利实现。当前，上述制度已在美国大多数州施行，即便在那些认为“病案应为保管病案的医疗服务提供者所有”的州，医疗机构也仅是病案的持有者，不能对病案行使完全的支配权，更没有泄露、出售、销毁、改变的权利。各医疗机构都根据《联邦隐私法》制定了向患者出示病案的规定；尽管法律规定病案作为个人信息，其使用必须得到患者同意.但若有提供病案的法律义务等特殊情况时则可突破此限。^[29]

（二）欧盟法的规定(www.daowen.com)

欧盟作为一个整体对于病案管理的规定主要集中在《个人数据保护规定》之中。该法案规定，医疗信息属个人所有，患者有权向有关机构要求复印其掌握的该信息；其他组织或个人只有在本人同意并取得授权的情况下，才有权对该信息进行收集和处理。欧盟的成员国也对病案的管理做了相应的规定，丹麦的《患者权利法案》将病历界定为隐私，对其使用做出了严格规定，但当医疗机构为了法定责任、特定利益或屏蔽身份的研究与教学时，使用病案可不必征得患者同意；这种使用同样需要遵循严格的程序，如必须就使用机构、使用目的、资料披露的范围、性质等相关内容进行严格登记并支付合理费用。^[30]

（三）日本法的规定

日本对病历进行法制化管理主要集中于《情报公开法案》，根据该法案的相关规定，包括诊疗记录、护理记录、处方、医嘱、转诊介绍信等全部内容在内的医疗信息，仅限于在患者或其代理人提出请求时向患者或其代理人透露。提供病案即成为医疗机构的一项义务——特别是在发生医疗事故的情况下；患者或其代理人提出申请时，同样应当遵循必要的程序。^[31]

尽管上述国家和地区对病历所有权的规定各有不同，但都强调对患者隐私权的保护以及医患双方行使权利时的适当程序。尤其是美国医疗信息隐私权保护的立法显得过于严苛，不少医疗机构和医护人员因此变得小心翼翼，也曾产生过一些负面影响，^[32]但是对我国重视以社会利益为本位、缺少保护个人权利的传统而言，需要通过细化隐私权信息的范围和内容，建立起切实有效的患者隐私权保护机制。