Medical privacy and liability for its violation: The experience of the U.S. and Canada

Full Text

Введение

В большинстве современных развитых иностранных государств понятие медицинской тайны включает в себя право человека на конфиденциальность медицинской информации и на определение порядка ее использования. В таких государствах, как США и Канада, а также в некоторых других – Австралии, Бразилии и государствах Европейского Союза – медицинская тайна включает в себя право человека контролировать сбор, использование и, самое главное, – раскрытие данных, непосредственно связанных с постановкой диагноза пациенту, назначением лечения, историей болезни, наличием физического или психического заболевания, а также с получением услуг в области здравоохранения^[1].

В обязанности государства (на примере перечисленных стран) входит обеспечение сохранности медицинской тайны или тайны медицинской информации, что находит отражение как в правовом регулировании в области здравоохранения и охраны персональных данных, так и в действиях органов и организаций, ответственных за обработку, сбор и хранение информации о пациенте.

Правовое регулирование медицинской тайны опирается на ряд принципов и нормативных постулатов^[2], которые могут варьироваться в зависимости от государства, но при этом неизменно включают в себя следующие элементы:

–  выраженное и информированное согласие пациента на сбор, использование и раскрытие медицинской информации;

–  сохранение за пациентом права на доступ к его медицинской информации и на внесение корректив при необходимости;

–  минимизация подлежащих сбору данных, что предполагает сбор только тех данных, которые требуются для целей постановки диагноза, лечения и реабилитации пациента;

–  введение мер обеспечения сохранности информации;

–  наличие контроля за обращением с медицинской информацией со стороны уполномоченных органов;

–  наличие мер ответственности за нарушения в области обеспечения сохранности медицинской информации.

Последний элемент – юридическая ответственность – является одновременно превентивным и коррекционным механизмом обеспечения сохранности медицинской информации и связанной с ней защиты медицинской тайны в таких странах, как США и Канада. С одной стороны, юридическая ответственность призвана стимулировать соблюдение установленных норм в области сохранности медицинской информации (соблюдение под угрозой наказания). С другой стороны, она имеет компенсационные цели, например, обязанность нарушителя возместить причиненный ущерб в рамках деликтного производства (наказание в целях восстановления). Меры юридической ответственности медицинских работников и третьих лиц за нарушения в области защиты медицинской тайны в зарубежных странах, таким образом, варьируются и могут включать в себя меры уголовной, административной, дисциплинарной и гражданской ответственности.

Юридическая ответственность в рассматриваемом контексте является одним из трех столпов обеспечения сохранности медицинской информации и защиты медицинской тайны. Двумя другими являются технические меры (шифрование данных, управление доступом и т.д.) и организационные меры (обучение персонала безопасной работе с данными, назначение офицера по работе с данными и т.д.).

Ответственность по праву США

В Соединенных Штатах Америки основным нормативным актом в области охраны тайны медицинской информации является Закон о мобильности и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act – HIPAA^[3]) 1996 г., принятый, помимо прочего, в целях обеспечения сохранности данных медицинского страхования и их защиты от кражи и компрометации. Данным актом вводится особая категория охраняемой информации – защищенная медицинская информация (protected health information), под которой понимается любая информация персонального характера, позволяющая идентифицировать конкретного пациента, например: данные об имени пациента, его адресе проживания, номере телефона, номере социального страхования, наличии заболевания, назначенном лечении, показателях артериального давления, результатах анализа крови, рентгеновских снимках и т.д.

При этом важно отметить, что подобные данные считаются защищенной медицинской информацией только при условии их связи с конкретным пациентом. Иначе говоря, данные в обезличенной форме, например, «давление 120/80» – еще не образуют категории защищенной медицинской информации; однако любое упоминание конкретного пациента в отношении таких данных уже придает им характер защищенной информации, например: «давление у Джона Смита составляет 120/80 на момент поступления в клинику Кливленда 10 июня 2025 года». Следует также отметить, что защищенная медицинская информация включает в себя не только медицинскую информацию в узком смысле – результаты анализов, итоги медицинского осмотра, данные диагностики заболевания, – но также и любую информацию персонального характера, непосредственно не связанную со здоровьем человека, – такую как адрес проживания или номер водительского удостоверения (Elhauge, 2010).

Двумя основными целями Закона признаются ограничение использования защищенной медицинской информации до минимального необходимого уровня и применение мер ответственности в отношении лиц, нарушивших требования о конфиденциальности^[4].

Для целей обеспечения сохранности тайны медицинской информации Законом вводится несколько базовых правил:

–  правило тайны информации (Klosek, 2010). Согласно данному правилу определяется порядок использования и раскрытия защищенной медицинской информации, закрепляется право пациента на доступ к информации, а также прописывается принцип минимального необходимого использования информации;

–  правило безопасности информации. В соответствии с ним устанавливаются стандарты обращения с защищенной медицинской информацией в цифровой форме (Olla & Tan, 2022). Данные стандарты включают в себя разработку и внедрение административных и технических мер обеспечения безопасности информации, проведение анализа рисков в отношении вводимых информационных систем и обучение персонала работе с такими системами;

–  правило уведомления о нарушении сохранности информации, согласно которому пациент и уполномоченные органы должны быть как можно скорее уведомлены о вероятности утечки защищенной медицинской информации;

–  правило правоприменения и соблюдения закона, согласно которому устанавливаются меры ответственности за нарушения и связанные с ними процессуальные положения.

Законом США о мобильности и подотчетности медицинского страхования вводятся три основные категории субъектов, которые несут ответственность за сохранность защищенной медицинской информации и к которым могут быть применены санкции в случае совершения правонарушения в рассматриваемой области: урегулированные юридические лица, компании-посредники и подрядчики компаний-посредников.

Урегулированные юридические лица включают в себя компании, деятельность которых непосредственно опирается на положения Закона США о мобильности и подотчетности медицинского страхования, – отсюда и их название – урегулированные юридические лица, – или компании, деятельность которых охватывается Законом. К таким юридическим лицам относятся все медицинские учреждения: больницы на территории США, клиники (частные и государственные), аптеки, кабинеты зубного врача, кабинеты психолога, кабинеты массажа и мануальной терапии, а также страховые компании (включая компании системы Medicare и Medicaid).

Вторая категория – компании-посредники, непосредственно не связанные с оказанием медицинских услуг пациенту, однако постоянно взаимодействующие с защищенной медицинской информацией, и, таким образом, также обязующиеся обеспечивать ее сохранность. К таким организациям относятся сервисы облачного хранения информации (серверы), провайдеры программного обеспечения для больниц, организации по расшифровке результатов анализов, а также организации, занимающиеся выставлением счетов за оказанные медицинские услуги (Kabene, 2010). Компании-посредники стали нести ответственность за сохранность защищенной медицинской информации начиная с 2009 г., после принятия Закона США о применении медицинских информационных технологий в экономической деятельности и клинической практике (The Health Information Technology for Economic and Clinical Health (HITECH) Act)^[5].

Третья категория – подрядчики компаний-посредников – несут ответственность за сохранность защищенной медицинской информации только в случаях, если они на основании договора осуществляют отдельные функции в пользу компаний-посредников и при этом получают доступ к защищенной медицинской информации. Они не несут ответственности по умолчанию – в отличие от первых двух категорий субъектов, – однако после заключения договора на них распространяются соответствующие требования и могут быть применены меры ответственности. Примером такой организации-подрядчика можно назвать сервис для хранения вспомогательных копий данных, к которому на основании договора обращается компания-посредник, имеющая ограниченные возможности по хранению больших объемов цифровых данных.

Несмотря на подобное многообразие субъектов, способных нести ответственность за нарушения в области защиты медицинской тайны в США, сами меры ответственности не слишком многообразны и распространяются в равной мере на все три категории ответственных субъектов при условии, что они охватываются действием Закона США о мобильности и подотчетности медицинского страхования.

Так, ответственные субъекты могут подвергаться административному наказанию в виде штрафа^[6], размер которого варьируется в зависимости от тяжести совершенного правонарушения и степени вины нарушителя (от неосмотрительности до умысла). Составы подобных правонарушений также варьируются и включают в себя такие деяния, как, например: использование устаревшего ПО с несовременными протоколами шифрования информации, что приводит к утечке данных; отказ обновить систему для целей безопасности и сохранности информации; небрежное хранение съемного диска с данными и т.д. Весьма примечательно, что для наступления ответственности не требуется наличия фактической утечки данных – достаточно наличия такого риска, который выявляется при проведении инспекций и проверок. Само допущение риска уже считается нарушением.

Размеры подлежащего применению штрафа определяются судом с учетом всех обстоятельств нарушения, но они не могут быть менее 100 долларов США за одно нарушение и более 2 млн долларов США.

Конкретный гражданин (пациент, его представитель или даже третье лицо) вправе инициировать исковое производство против компании-нарушителя и требовать возмещения ущерба в рамках гражданского производства. Закон о мобильности и подотчетности медицинского страхования при этом не содержит особых требований или предписаний в части исковых процедур, т.к. этот вопрос преимущественно регулируется на уровне отдельных штатов.

Открытым остается лишь один вопрос – об ответственности врача или отдельно взятого человека (например, сотрудника клиники или страховой компании) за правонарушения в области сохранности медицинской информации. Уголовное право США в параграфе 1320d-6 титула 42 Свода Законов США^[7] дает однозначный ответ на этот вопрос.

Лицо, которое неправомерно получает доступ к защищенной медицинской информации (информации, позволяющей идентифицировать конкретного человека) или раскрывает такую информацию другому лицу в нарушение закона, несет уголовную ответственность при наличии умысла. Наказание за подобные деяния может варьироваться – от штрафа в размере 50 тыс. дол. США до лишения свободы на срок до 10 лет. Самое тяжкое наказание предполагает лишение свободы на 10 лет со штрафом в размере 250 тыс. дол. США и может быть применено к нарушителю, который завладел защищенной медицинской информацией или распространил ее незаконно в корыстных целях или с намерением причинить тяжкий вред конкретному человеку согласно доктрине «злонамеренного умышленного вреда» (malicious harm) – такие деяния обычно совершаются по мотивам мести, ревности или зависти. Отсутствие умысла в действиях правонарушителя освобождает его от мер уголовной ответственности (Michalowski, 2017).

В завершение следует отметить, что в некоторых определенных законом случаях допускается раскрытие защищенной медицинской информации без согласия пациента. Это, в частности, возможно, если пациент поступил в реанимацию с огнестрельным или ножевым ранением или если в клинику поступает ребенок со следами побоев. Закон четко прописывает подобные ситуации с указанием пределов раскрытия информации – например, при поступлении пациента с «признаками криминала» больница или клиника обязана поставить в известность органы охраны правопорядка и сообщить им необходимую информацию медицинского или криминологического характера (как давно было получено ранение, с какой стороны был произведен выстрел и т.д.). Если речь идет об обнаружении у пациента заразного или опасного заболевания – например, сибирской язвы, малярии или лихорадки эбола, – клиника обязуется направить защищенную медицинскую информацию в уполномоченные службы санитарно-эпидемиологической защиты. В 2020–2023 гг. это правило действовало в отношении пациентов, у которых был выявлен COVID-19.

Если же в клинику поступает ребенок со следами побоев, немедленному уведомлению подлежат органы по опеке и защите прав несовершеннолетних.

Разумеется, все перечисленные случаи продиктованы интересами безопасности государства, общественного благополучия и требованиями о защите детей. Если складывается так, что клиника обязуется раскрыть защищенную медицинскую информацию по требованию закона, такое раскрытие, тем не менее, должно опираться на принцип «минимальной необходимой информации». Говоря иначе, клиника должна передать в уполномоченный орган только медицинскую информацию, имеющую отношение к конкретному происшествию, и не вправе раскрывать всю историю болезни пациента, если этот пациент у них наблюдается.

Опыт Канады

В Канаде существует двухуровневая система правового регулирования обеспечения сохранности тайны медицинской информации о пациенте, которая опирается на принципы канадского федерализма, в частности, на принцип разграничения полномочий между федеральным центром и регионами Канады (провинциями и территориями) (Caulfiel & Von Tigerstrom, 2002). При этом провинциям отведена большая самостоятельность в вопросах соответствующего правового регулирования, нежели федеральному центру, т.к. согласно ч. 7 статьи 92 Конституционного Акта Канады сфера здравоохранения отнесена к исключительному ведению провинций^[8].

На федеральном уровне основным актом законодательного регулирования в рассматриваемой сфере является Закон «О защите персональной информации и об электронных документах»^[9] 2000 г., которым определены основные принципы обращения компаний частного сектора с персональными данными при осуществлении ими коммерческой деятельности. Указанные принципы включают в себя: поддержание точности и актуальности персональных данных, обеспечение доступа к данным их носителя, открытость процедур обращения с персональными данными, ограниченное использование персональных данных (продиктованное только определенными целями), информированное согласие носителя данных на работу с его данными, наличие ответственности за возможные правонарушения. Категорию персональных данных образует, согласно Закону, любая информация, которая позволяет идентифицировать конкретное лицо, включая личные данные (имя, фамилия, номер удостоверения личности), финансовые данные (номер банковского счета, номер страховки и т.д.) и медицинскую информацию.

При этом необходимо отметить, что положения Закона «О защите персональной информации и об электронных документах» применяются к организациям частного сектора за пределами регулирования провинций (т.к. сфера здравоохранения отнесена к сфере компетенции провинций, как было отмечено выше). Это возможно лишь в двух случаях:

1. в провинции по какой-то причине отсутствует регулирование обращения с медицинской информацией при оказании гражданину услуг в области здравоохранения;
2. речь идет об обращении с медицинской информацией вне сферы здравоохранения. В пример можно привести компании, которые занимаются проведением ДНК-тестирования с выездом на дом (в частности, Канадская компания Ancestry, проводящая ДНК тесты с целью определения происхождения конкретного человека). Так как такие компании не оказывают услуг в области здравоохранения, они не подпадают под действие провинциального регулирования. Однако при этом они осуществляют сбор персональной информации, а, следовательно, имеют обязанности и несут ответственность за обеспечение ее сохранности. Другой пример – фитнес-приложения для мобильных устройств. Некоторые из таких приложений позволяют осуществлять сбор медицинской информации, например, показатели давления, сердечного ритма и т.д. Собираемая информация не используется для оказания медицинских услуг, однако, так как она является чувствительной и позволяет идентифицировать владельца фитнес-устройства, на операторов таких приложений и устройств будут распространяться положения федерального закона «О защите персональной информации и об электронных документах», но не нормы провинциальных актов.

Таким образом, канадская модель регулирования медицинской тайны и ответственности медицинских работников и третьих лиц за нарушения в области защиты тайны медицинской информации отличается от американской в силу особенностей федеративного устройства. Если американское регулирование прежде всего опирается на федеральные нормы, а регулирование штатов является вспомогательным, то в Канаде наблюдается обратная ситуация: провинции имеют в силу конституционных норм «право первого хода», а федерация осуществляет регулирование по остаточному принципу или в сферах, не охваченных провинциальной компетенцией.

Говоря об уровне провинций в контексте регулирования сохранности медицинской информации и связанных мер ответственности за правонарушение, целесообразно провести краткий анализ Закона провинции Онтарио «О защите личной медицинской информации» (Ontario’s Personal Health Information Protection Act) 2004 г. с поправками от 2025 г.^[10]

Закон Онтарио считается самым развитым среди аналогичных актов других провинций, наиболее детализированным и служащим типовой моделью при внесении соответствующих поправок в законодательство о медицинской информации в других провинциях^[11].

В соответствии с ним ответственность за сохранность защищенной (охраняемой) медицинской информации несут так называемые «держатели» данных (protected health information custodians). К ним непосредственно относятся все медицинские работники (врачи, медсестры), больницы и клиники, аптеки, медицинские лаборатории, диагностические центры, службы экстренной помощи и пансионаты, – словом, все лица и все организации, в которых пациенту оказываются медицинские услуги и где происходит обращение с защищенной медицинской информацией. Помимо «держателей» ответственность за сохранность медицинской информации несут их посредники – компании, осуществляющие обработку информации по поручению главной ответственной организации; компании, выставляющие счет за оказание медицинских услуг и т.д. В отличие от опыта США, в Канаде они не выделяются в самостоятельную группу.

Как и в законодательстве США в Законе провинции Онтарио существует такая категория информации, как «защищенная медицинская информация». Она определена достаточно широко и включает в себя любые данные, которые позволяют идентифицировать человека, в частности: сведения о наличии физического или психического заболевания, историю болезни пациента, сведения о назначенном лечении или оказанных медицинских услугах, результаты анализов, данные медицинской страховки (включая название страховой компании), а также любую другую информацию, которая позволяет идентифицировать человека по медицинским данным.

Весьма интересным фактом является то, что охраняемая медицинская информация, согласно Закону Онтарио, включает в себя не только документы в письменной или электронной форме, но также и любые сведения в устной форме. В законодательстве США устная форма не упоминается.

Порядок обращения ответственного держателя с защищенной медицинской информацией опирается на ряд принципов, которые определены в Законе.

Ключевым принципом является информированное согласие пациента, в соответствии с которым не допускается сбор, обработка или передача информации в отсутствие согласия. Если пациент дает согласие на проведение обследования, то согласие на назначение лечения презюмируется и дополнительно не требуется.

Другим принципом является сведение защищенной медицинской информации к необходимому минимуму. Здесь опыт Канады в принципе аналогичен американскому и предполагает, что сбору, обработке и передаче подлежит самый необходимый минимум информации, который требуется для постановки диагноза пациенту или для назначения лечения.

Принцип доступа пациента к его защищенной медицинской информации требует от организации предоставления каждому пациенту возможности самостоятельно изучить информацию и требовать внесения корректив при необходимости.

Принцип безопасности информации требует от ответственной организации ввести в оборот все необходимые меры технической, физической и административной защиты информации.

Принцип ответственного хранения информации предполагает, что вся защищенная медицинская информация, находящаяся у ответственного лица, должна храниться ровно до того момента, пока в ней не отпадет необходимость. Неактуальная, устаревшая информация должна быть уничтожена надлежащим образом.

Последний принцип – прозрачность – предполагает, что пациенты должны быть осведомлены относительно использования их защищенной медицинской информации и о порядке доступа к ней третьих лиц.

Согласно Закону Онтарио «О защите личной медицинской информации» любой неправомерный сбор, использование или раскрытие защищенной медицинской информации образует состав правонарушения вне зависимости от степени вины и от наличия или отсутствия фактического ущерба. Таким образом, привлечение нарушителя к ответственности допускается даже при отсутствии реальной утечки информации и даже в случае, если правонарушение было допущено по причине банального человеческого любопытства. В связи с этим интересен состав такого нарушения, как снупинг (snooping – сование носа в чужие дела). Снупинг происходит в случае, когда работник медицинского учреждения получает доступ к защищенной медицинской информации не в профессиональных целях, а из любопытства (Orentlicher, 2003). Например, администратор клиники может «случайно» заглянуть в историю болезни какой-нибудь канадской знаменитости, хотя этого не требовалось для целей оказания медицинских услуг. Даже если администратор никому не расскажет об увиденном, само по себе «сование носа» уже будет расцениваться как наказуемое деяние со всеми вытекающими последствиями. Снупинг является одним из многочисленных видов нарушения тайны медицинской информации, но далеко не единственным. Другим примером можно привести ошибку, которую допустил сотрудник диагностической лаборатории, направив результаты анализа на неправильный адрес. Сам по себе этот эпизод будет считаться правонарушением, даже если письмо по электронной почте никто так и не открыл.

Разумеется, при наличии ответственности даже за такие несущественные деяния без прямого умысла ответственность наступает в полной мере за злонамеренные действия – такие как умышленное хищение защищенной медицинской информации или хакерская атака на информационную систему клиники.

Обо всех эпизодах нарушения тайны защищенной медицинской информации, вне зависимости от наличия умысла или реального ущерба, организация, в которой произошло нарушение, обязано сообщить: лицу, чьи данные были скомпрометированы; Комиссару Онтарио по делам тайны информации; а также в профессиональную коллегию Провинции Онтарио (коллегию врачей, коллегию медсестер, коллегию фармацевтов) – в случае, если нарушение было сопряжено с неподобающим поведением медицинского или фармацевтического работника.

Меры ответственности за нарушение требований об обеспечении сохранности защищенной медицинской информации предполагают наложение административного штрафа на нарушителя, размер которого варьируется в зависимости от тяжести совершенного деяния и от субъекта, допустившего нарушение.

Так, в частности, физическое лицо, совершившее нарушение, привлекается к административной ответственности в виде штрафа в размере до 100 тысяч канадских долларов. В данном случае нарушителем может выступать как сотрудник медицинского учреждения (например, администратор, из любопытства заглянувший в данные пациента, не имея на то законных оснований, или врач, который направил данные по ошибочному адресу), так и стороннее лицо (например, хакер, укравший охраняемые данные из электронной системы клиники). Статья 72 Закона Онтарио поясняет, что ответственности подлежит именно конкретное лицо (не обязательно сотрудник). Если же правонарушение было совершено организацией, то максимальный размер штрафа увеличивается до 500 тысяч канадских долларов.

Помимо административной ответственности, к нарушителю могут быть применены меры гражданской ответственности в порядке деликтного производства. В данном случае опыт Канады в целом аналогичен американскому и не имеет существенных особенностей.

Также, если правонарушение было сопряжено с неподобающим поведением персонала (например, врача или медсестры), то к конкретному нарушителю могут применяться меры дисциплинарного воздействия посредством разбирательства в соответствующей профессиональной коллегии. Дисциплинарная ответственность также варьируется и включает в себя такие меры, как предупреждение, порицание, а в наиболее серьезных случаях – приостановление лицензии.

Наконец, меры уголовной ответственности – наиболее редкие в рассматриваемом контексте и применяются в случаях, предусмотренных в статье 72 Закона Онтарио:

– при умышленном сборе, использовании и раскрытии защищенной медицинской информации в отсутствие законных оснований;

– при препятствовании деятельности Комиссара Онтарио по делам тайны информации;

– при невыполнении предписаний приказа, подписанного Комиссаром Онтарио по делам тайны информации.

Закон Онтарио предусматривает меры уголовной ответственности за совершенные деяния вплоть до лишения свободы, однако не устанавливает ни минимальных, ни максимальных пороговых величин для тюремных сроков.

Заключение

Таким образом, в обоих рассмотренных государствах (Соединенные Штаты Америки и Канада) медицинская информация признается категорией чувствительной персональной информации, а ее тайна гарантируется и подлежит охране. Несмотря на наличие сходств и параллелей в регуляторных подходах указанных государств к обеспечению тайны медицинской информации, в двух рассмотренных юрисдикциях имеются и достаточно существенные различия.

С одной стороны, законодательство как США, так и Канады опирается на тождественные принципы: информированное согласие пациента, использование необходимого минимума информации, наличие контроля и ответственности для нарушителей, безопасное обращение с информацией и сохранение за пациентом права доступа к данным медицинского характера. Общим для двух стран является постулат о том, что особой защите подлежит медицинская информация, позволяющая идентифицировать конкретного человека по его медицинским данным; по этой причине ответственные организации и отдельные их сотрудники обязуются принимать меры организационного и технического характера при работе с такими «необезличенными» данными, проявляя особую осмотрительность и осторожность. Защищенная медицинская информация является в двух странах своеобразным «источником повышенной опасности»; по этой причине ответственность за нарушение сохранности такой информации может наступить даже при отсутствии факта компрометации или хищения данных: достаточно выявления риска или малейшей уязвимости для наступления серьезных юридических последствий.

При наличии определенных схожих черт правовое регулирование тайны медицинской информации и ответственности за ее нарушение в США и Канаде все же достаточно сильно различается.

Американская модель регулирования является по своей сути централизованной: мы можем наблюдать наличие достаточно подробного и детализированного консолидированного акта, который составляет основу правового регулирования в рассматриваемой сфере. Законодательство Штатов является в данном случае вторичным по отношению к федеральному и охватывает те аспекты, которые не были урегулированы на федеральном уровне или имеют региональные особенности в силу исторических или культурных причин (по объективным причинам регулирование в Штате Аляска будет отличаться от регулирования в Штате Флорида). Канадское регулирование, напротив, является децентрализованным, что соответствует принципам канадского федерализма, отнесшим область здравоохранения к сфере исключительной компетенции провинций. По этой причине канадское регулирование опирается преимущественно на акты провинциального регулирования, а федеральное законодательство носит характер вспомогательного, действуя либо в отсутствии провинциального акта (на практике во всех провинциях имеется собственный закон в рассматриваемой сфере), либо за пределами оказания медицинских услуг гражданину.

Кроме того, канадское регулирование более строгое, чем американское. В Канаде существует такое понятие, как снупинг – заглядывание в медицинские записи из любопытства, без злого умысла и без корыстных побуждений. За снупинг к нарушителю в Канаде могут применяться меры уголовно-правового характера. В США уголовная ответственность может наступить в похожей ситуации, но только при наличии у нарушителя злого умысла – т.е. намерения поквитаться с носителем данных или, например, шантажировать его. На практике доказать злой умысел в подобной ситуации будет весьма сложно – именно поэтому канадский законодатель расширил критерии применения уголовной ответственности, сохранив умысел как квалифицирующий признак, но исключив из него элемент «злого намерения».

Кроме того, законодательство Канады включает в категорию защищенной медицинской информации любые сведения в устной форме, например рекомендации, озвученные врачом пациенту. В праве США устная форма непосредственно не упоминается в законе, что в теории может осложнить правоприменение и наложение мер ответственности.

В целом, канадский законодатель использовал сильные стороны американского регулирования и учел некоторые недочеты в попытке довести собственное регулирование до совершенства. Разумеется, законодательство Канады также не лишено отдельных недостатков, однако оно продолжает оставаться динамичным и активно развивающимся.

 

^{1 “Medical Secret: What is it?” 21 August 2024 – Directorate for Legal and Administrative Information (Prime Minister). URL: https://www.service-public.fr/particuliers/vosdroits/F34302?lang=en (дата обращения: 18.06.2025).}

^{2 “Rights and privacy principles”. Victorian Department of Health. 05 December 2024. URL: https://www.health.vic.gov.au/rights-and-advocacy/rights-and-privacy-principles (дата обращения: 18.06.2025).}

^{3 Официальный сайт Конгресса США. Режим доступа: https://www.congress.gov/bill/104th-congress/house-bill/3103/text (дата обращения: 19.06.2025).}

^{4 Более подробно о целях Закона см. на официальном сайте Национальной Медицинской Библиотеки США. Режим доступа: https://www.ncbi.nlm.nih.gov/books/NBK500019/ (дата обращения: 19.06.2025).}

^{5 Текст Закона. Режим доступа: https://www.healthit.gov/sites/default/files/hitech_act_excerpt_from_arra.pdf (дата обращения: 23.06.2025).}

^{6 Подробнее об ответственности. Режим доступа: https://www.ecfr.gov/current/title-45/subtitle-A/subchapter-C/part-160/subpart-D/section-160.404 (дата обращения: 23.06.2025).}

^{7 Параграф 1320d-6 части С раздела XI главы 7 титула 42 Свода Законов США. Режим доступа: https://www.law.cornell.edu/uscode/text/42/1320d-6 (дата обращения: 23.06.2025).}

^{8 Статья 92 Конституционного Акта Канады 1867 г. Режим доступа: https://laws-lois.justice.gc.ca/eng/const/page-3.html#docCont (дата обращения: 24.06.2025).}

^{9 Закон «О защите персональной информации и об электронных документах» 2000 г. Режим доступа: https://laws-lois.justice.gc.ca/eng/acts/p-8.6/FullText.html (дата обращения: 24.06.2025).}

^{10 Текст Закона. Режим доступа: https://www.ontario.ca/laws/statute/04p03 (дата обращения: 24.06.2025).}

^{11 Подробнее об этом. Режим доступа: https://www.ipc.on.ca/en/media-centre/blog/phipa-past-present-future (дата обращения: 24.06.2025).}

About the authors

Nina M. Kolosova

The Institute of Legislation and Comparative Law under the Government of the Russian Federation

Author for correspondence.
Email: kolosova-law@mail.ru
ORCID iD: 0000-0002-5401-0277
SPIN-code: 6167-2500

Doctor of Legal Sciences, Chief Researcher at the Department of Constitutional Law

117218, Russian Federation, Moscow, 34 B. Cheremushkinskaya street

Felix A. Leschenkov

The Institute of Legislation and Comparative Law under the Government of the Russian Federation

Email: morimoo@yandex.ru
ORCID iD: 0000-0003-2221-6710
SPIN-code: 5894-5923

Researcher at the Department of Constitutional Law

117218, Russian Federation, Moscow, 34 B. Cheremushkinskaya street

References

Supplementary files