2023年12月11日,周海媚因病医治无效离世。然而,与此同时疑似周海媚在医院就诊的电子病历截图和信息被非法传播。这份病历记录了周海媚的个人资料等敏感信息,瞬间引发了社会对医疗隐私信息保护的强烈关注。
2023年12月14日,北京市公安局顺义分局对此案进行了通报。经查,一名医院工作人员出于炫耀目的,非法传播了患者的个人病历,造成了信息的广泛扩散和不良社会影响,该员工已依法被行政拘留。
这起事件警方仍在调查中,但不容置疑的是,无论是医院还是个人,泄露患者的医疗信息是一种严重的违规违法行为。 公民的健康生理状况、就医检查等信息不仅属于个人隐私,还属于个人信息中的敏感信息。未经授权泄露该信息的行为,不仅触犯《民法典》对于公民个人隐私权的保护,也触犯了《 个人信息保护法 》中个人信息权利的规定。
作为公民医疗信息数据的收集者和处理者,医疗机构几乎所有的业务都涉及患者的信息获取和处理。那么医疗机构在收集个人信息时应当履行何种法定义务?于是《个人信息保护法》和《数据安全法》的出台,就明确了数据处理活动的规范,对医疗机构提出了严格的数据合规要求,以及遵循“知情同意”和“最小必要”两大原则。即医疗机构应将知情同意作为患者个人信息收集、使用的必要前提条件,通过知情同意告知书或电子隐私政策等提前告知患者被收集个人信息的类型、目的、使用范围等。同时,秉持必要性原则,处理患者个人信息应当具有明确、合理的目的,应与提供诊疗服务直接相关,并采取对个人权益影响最小的方式。收集患者个人信息时,应当限于实现处理目的的最小范围,不得过度收集个人信息。
泄露患者医疗信息,不但侵犯了患者的隐私,又威胁了患者的信息安全,严重侵犯公民的隐私权和人格尊严。其他主体私自泄露信息,除了要承担停止侵害、消除影响、赔礼道歉、损害赔偿等民事法律责任之外,《医师法》还规定医师在执业过程中泄露患者隐私或个人信息的,将处罚款、暂停甚至吊销医师执业证书的处罚。非医师的其他人员可能会根据《中华人民共和国治安管理处罚法》处以罚款和行政拘留。此外,情节严重者将面临严厉的刑事制裁。《刑法》规定,非法向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
此次病历泄露事件表面反映的是隐私保护问题,其背后折射的是医疗机构数据安全、患者信息保护机制的不完善、不健全。作为患者信息处理的责任主体,医疗机构应当高度重视患者信息存储、院内流转和应用过程中的风险防范,从制度、技术、培训人员等角度加强全方位管理,建立院内数据合规体系,实现对患者个人信息的有效保护,更好地保障医疗数据安全。
近年来,随着医疗行业数字化的快速发展,我国对个人信息保护以及数据安全越来越重视。《网络安全法》《密码法》《数据安全法》《个人信息保护法》等法律的陆续出台,同样加速建立健全了我国医疗机构所面临的信息安全法律监管体系。2023年9月,国家卫生健康委发布《患者安全专项行动方案》,其中也再次强调了诊疗信息安全保障问题,要求对医疗机构内部的信息系统采取信息安全等级保护措施,防止数据泄露、毁损、丢失,严禁任何人擅自向他人或其他机构提供患者诊疗信息。
总而言之,医疗机构作为医疗信息的数据处理者,一定要提高风险防范意识,完善合规体系建设,其他社会主体也应当尊重患者隐私。各方努力,共同守护患者的信息安全,避免恶性事件的再次发生。