【普法·微熱點】一條50元，患者醫(yī)療信息是如何被泄露的？

在昆山論壇APP中打開

【普法·微熱點】一條50元，患者醫(yī)療信息是如何被泄露的？

05-15

立法直通車

普法小隊長

一條產(chǎn)婦信息售價50元

查詢所有醫(yī)療記錄1200元

近年來，從明星病歷外泄

到普通患者就診記錄被販賣

醫(yī)療信息泄露問題屢屢引發(fā)熱議

近日，山東孕婦小劉突然收到一條某月子中心加“好友”的申請，對方對其電話、住址、懷孕周數(shù)等各種隱私信息了如指掌。因小劉剛在當?shù)匾患裔t(yī)院和婦幼保健院做完產(chǎn)檢，并且此前從未在任何機構(gòu)留下孕產(chǎn)信息，覺察出異樣的她立即撥打12345進行了投訴。醫(yī)院客服隨后回復小劉稱，可能是月子中心冒用醫(yī)院名義進行推銷。工作人員表示，這類事件“并非第一次發(fā)生”，醫(yī)院承諾徹查此事，并希望小劉配合取證追責。

然而，小劉的遭遇并非個例。近年來，醫(yī)療信息泄露事件時有發(fā)生：北京某醫(yī)院員工符某某將明星病歷發(fā)至微信群炫耀，導致隱私擴散；上海某醫(yī)院主任私下傳播患者**，被暫停執(zhí)業(yè)。

《醫(yī)療信息“破防”》漫畫：高岳

更令人憂慮的是，在互聯(lián)網(wǎng)上花錢就能查到他人的醫(yī)療記錄。在某社交平臺上，一個IP歸屬地為境外的社交賬號曾于今年4月中旬發(fā)布一條名稱為“歷史醫(yī)療記錄，醫(yī)保記錄，精準出；婚前健康檢查等個人隱私隨便查”的帖子，只需提供手機號、身份證號、城市，即可查詢詳細醫(yī)療記錄，售價為1200元。

還有一些“開盒者”會將大量醫(yī)療信息非法曝光，并進行惡意揣測。一些人的體檢報告、內(nèi)臟、骨科的彩超圖片被非法公開，成為他人窺伺、意淫的對象；還有人的婦科、精神科醫(yī)療報告被非法公開，被他人肆意點評、嘲諷。

那么，患者的醫(yī)療信息

是如何被竊取和泄露的？

泄露患者隱私該擔何責？

該怎樣斬斷這條“黑色產(chǎn)業(yè)鏈”？

01

這些醫(yī)療信息是如何被泄露的？

中國政法大學證據(jù)科學研究院教授、中國政法大學醫(yī)藥法律與倫理研究中心主任劉鑫認為，可能的泄露途徑主要有以下幾種：

外包服務(wù)漏洞，第三方檢驗機構(gòu)、醫(yī)療設(shè)備維保商等合作方接觸患者數(shù)據(jù)；
患者自身疏忽，隨意丟棄帶有個人信息的檢查單據(jù)、處方箋；
公共場景泄露，醫(yī)院Wi-Fi被植入竊取程序、自助終端遭遇竊密；
此外，一些患者的用藥記錄在醫(yī)保結(jié)算環(huán)節(jié)流轉(zhuǎn)時，也可能產(chǎn)生數(shù)據(jù)泄露風險。

專家指出，還有少數(shù)醫(yī)務(wù)人員

將患者信息當成“商品”出售

產(chǎn)科、新生兒科是重災(zāi)區(qū)

最高人民檢察院曾通報這樣一起典型案例：保健按摩中心的經(jīng)營者吳某甲、吳某乙為擴大客源，向某醫(yī)院產(chǎn)科主管護師韋某提出，由韋某提供產(chǎn)婦信息，并承諾每發(fā)展一名客戶就給韋某50元或60元報酬，若客戶后續(xù)辦卡消費則另外向韋某支付10%的提成。截至案發(fā)，韋某向吳某甲、吳某乙出售包括產(chǎn)婦姓名、家庭住址、電話號碼、分娩日期、分娩方式等在內(nèi)的產(chǎn)婦健康生理信息500多條。

梳理公開資料發(fā)現(xiàn)

系統(tǒng)漏洞讓第三方平臺成為“后門”

有企業(yè)因此被行政處罰

在浙江某婦產(chǎn)醫(yī)院32名產(chǎn)婦信息泄露事件中，罪魁禍首是一款第三方簽到軟件。該軟件違規(guī)上傳孕周、預(yù)產(chǎn)期等數(shù)據(jù)，最終流入黑產(chǎn)市場。四川省某精神衛(wèi)生中心2.7萬份患者檔案被盜，則是因省級醫(yī)療信息共享平臺接口未做好加密工作，遭黑客輕易攻破。

據(jù)上海市網(wǎng)信辦近期通報，一批醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護義務(wù)，所屬系統(tǒng)存在網(wǎng)絡(luò)安全漏洞，被境外IP訪問并竊取，發(fā)生個人信息泄露情況，上海市網(wǎng)信辦已依法對這批企業(yè)作出行政處罰。

02

醫(yī)療機構(gòu)或醫(yī)務(wù)人員泄露患者隱私
可能面臨哪些法律責任？

《法治日報》律師專家?guī)斐蓡T、北京市盈科律師事務(wù)所高級合伙人于揚舟律師指出，首先可能承擔民事侵權(quán)責任。民法典第一千零三十二條、第一千零三十四條對公民隱私和個人信息的保護作出明確規(guī)定，第一千二百二十六條規(guī)定了醫(yī)療機構(gòu)及其醫(yī)務(wù)人員應(yīng)當對患者的隱私和個人信息保密。泄露患者的隱私和個人信息，或者未經(jīng)患者同意公開其病歷資料的，應(yīng)當承擔侵權(quán)責任。

其次，可能會承擔行政責任。根據(jù)《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》《醫(yī)療糾紛預(yù)防和處理條例》等，醫(yī)生泄露患者隱私可被縣級以上衛(wèi)生主管部門給予警告、罰款。醫(yī)師法第五十六條、護士條例第三十一條規(guī)定，醫(yī)師和護士在執(zhí)業(yè)活動中泄露患者隱私或者個人信息的，會受到縣級以上衛(wèi)生主管部門警告、暫停執(zhí)業(yè)活動，直至吊銷執(zhí)業(yè)證書的行政處罰。

最后，也可能涉及刑事責任。根據(jù)刑法第二百五十三條之一的規(guī)定，醫(yī)院或者醫(yī)務(wù)人員，將在履行職責或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人，情節(jié)嚴重的，可能涉嫌侵犯公民個人信息罪，并且應(yīng)當從重處罰。

03

醫(yī)療信息泄露為何屢禁不止？
如何斬斷這條“黑色產(chǎn)業(yè)鏈”？

劉鑫表示，醫(yī)療記錄被泄露屢禁不止，深層原因有很多。一是管理失職，職能部門對隱私界定模糊（如“就醫(yī)痕跡是否屬于隱私”），未細化員工行為規(guī)范；二是利益驅(qū)動，醫(yī)務(wù)人員販賣信息獲利空間大（如每條產(chǎn)婦信息售價50元），且查處困難，查處概率低；三是相關(guān)社會頑疾，比如公民個人信息買賣猖獗、騷擾電話精準投放等暴露治理手段失效。

破局之道應(yīng)該從“追責個人”到“系統(tǒng)治理”，比如強化警示教育，制作泄露隱私典型案例的警示片，組織相關(guān)崗位人員學習；完善連帶問責機制，不僅處罰泄露者，還需追責機構(gòu)管理者，倒逼醫(yī)療機構(gòu)加強內(nèi)部管控；嚴打黑產(chǎn)鏈條，加大對數(shù)據(jù)交易平臺、非法買家的打擊力度，提高違法成本；借鑒國際經(jīng)驗，規(guī)定只有在必要時才能調(diào)閱病歷，降低數(shù)據(jù)泄露風險。