身处大数据时代,随着人工智能、物联网、5G等新技术的广泛应用,公民个人数据收集变得更加便利、隐蔽,在不同主体间的转移和流动也更加容易,出现了大量个人数据被非法获取、滥用、泄露、买卖的现象,因此隐私保护和个人信息安全问题也日益突出。
数字化的浪潮同样席卷到医疗体系,随着新一代信息技术在医疗机构的应用不断加深,患者的健康医疗数据几乎可以全程以电子化的形式进行采集和记录,医疗机构在提供诊疗服务过程中收集和存储了海量的患者个人数据,其中包括患者个人生物特征、医疗健康等敏感个人信息、基因数据等。这些数据不仅事关患者隐私和个人信息安全,还关乎社会公共利益和国家安全。医疗机构作为健康医疗数据的控制者,在高度信息化的大数据环境中,如何做好患者隐私和个人信息保护是个值得深思的问题。
隐私与个人信息的区别
很多人对于隐私和个人信息的认识不全面,对二者之间的关系也认识不清,甚至将隐私和个人信息混为一谈。事实上,隐私和个人信息在法律上是不同的概念。
虽然“隐私”这两个字司空见惯,但是直到《民法典》才首次定义了“隐私”的概念:隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私所强调的“私密”和“不愿为他人知晓”,更侧重以个人的主观意志为判断依据,并考虑人格尊严和人格自由保护的因素,基于在特定的、具体的场景进行界定,以个人明确同意为边界。
《民法典》第一千零三十四条第三款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”由此可知,隐私与个人信息之间是存在交集的,其交集的内容系私密信息,二者在交互范围上比较,存在一定程度的重合,如图1所示。
患者隐私与患者个人信息
1.患者隐私
参照《民法典》关于隐私的概念,可以将患者隐私分为以下三个方面:
(1)患者私密信息
哪些个人信息属于私密信息,更多的时候要看具体情况和场景来界定。同样是个人信息,有的人会认为是私密信息,有的人则可能认为不是。
(2)患者私密活动
指患者在进入医疗机构后的行动及在医疗机构接受诊疗服务过程中的私人行为,比如在挂号、门诊、药房、检验、住院期间的行踪轨迹;住院期间的饮食起居、活动方式、沟通渠道、与探访人员的交流等。
(3)患者私密空间
包括患者在医疗机构接受医疗服务时的场所,比如检查室、注射室、手术室、诊疗室、医患沟通室等;患者的私人领域,比如患者身体的隐私部位、体内空间等。
2.患者个人信息
诊疗服务和管理流程中存在的部分问题
从患者隐私和个人信息保护的角度检视医疗机构的诊疗服务与管理流程,可以发现存在以下问题需要引起重视。
1.诊疗服务过程
很多二甲级别以上的医院都已在使用排队叫号系统,具体可以适用于门诊、药房取药、检查、体检等。医院使用排队叫号系统后,避免了插队、混乱、嘈杂的现象,提高了诊疗效率。但排队叫号的电子显示屏以及呼叫时泄露患者真实姓名、诊疗科室、检查项目的情况屡见不鲜。
如果诊疗室没有做到有效分流、提示及管理,患者就诊时其他患者或家属在诊疗室内围观,容易导致患者病情泄露。在使用排队叫号系统的医院或新建医院,上述情况有所改善,但问题仍普遍存在。
还有的医疗机构在私密的诊疗室内安装监控探头。2019年深圳某医院出现过一起纠纷,患者在掀起上衣做心电图的过程中,发现有个亮着蓝色灯的摄像头正对着床头进行拍摄,在患者投诉并报警的情况下,医院进行了调查处理。为避免争议,对于监控行为,医疗机构有必要对患者进行提醒,否则可能涉及侵犯患者的知情权及隐私权。
医院随意组织实习生对患者身体甚至是隐私部位进行观摩、教学,有时还允许实习生进行触摸、检查等。上述行为在未获得患者同意的情况下,会涉及构成对患者隐私权的侵犯。
2.医疗文书的管理
医疗机构如果内部管理不到位,可能导致患者的检验单、病历资料等医疗文书被随意放置,而造成患者个人信息的泄露。
医疗机构员工安全意识的淡薄、管理制度的不完善,导致内部人员未经审批超权限查阅、复印甚至拍照传播患者病案资料的情况发生。
3.信息系统数据管理
4.互联网医疗服务
很多医疗机构都推出了移动医疗App或小程序,提升了患者就诊以及查询诊疗报告的方便性和及时性,但这些移动互联网医疗应用安全风险也呈现着增加趋势。
据《2019医疗健康行业移动App安全观测报告》统计,88.83%的医疗健康行业App存在高危漏洞[2]。而有些App中还集成了第三方SDK,这些SDK也存在多种安全漏洞。
此外,移动医疗App、小程序以及第三方SDK还普遍存在违法违规收集患者个人信息的行为,如无用户协议和个人信息保护政策,未通过弹窗等明显方式提示用户阅读个人信息保护政策等收集使用规则,收集的个人信息类型或打开可收集的个人信息权限与现有功能无关等。
医疗机构及医务人员面临的法律风险
1.民事责任:案由新增个人信息保护纠纷,个人信息侵权纠纷加重被告的举证责任
2010年7月1日起施行的《侵权责任法》第六十二条规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”
前述规定并未明确患者个人信息的保护,2021年1月1日正式生效的《民法典》侵权责任编在《侵权责任法》第六十二条的规定的基础上进行了修改,增加了患者个人信息保护方面的规定,从立法层面强化了对于患者隐私和个人信息的保护;删除了《侵权责任法》第六十二条中“造成患者损失的”的内容,也就是说医疗机构及其医务人员泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,无论造成损害与否均应担责。
2020年末,最高人民法院发布《关于修改〈民事案件案由规定〉的决定》,修订后的民事案件案由,其中在人格权纠纷项下做出变更,将隐私权纠纷变更隐私权、个人信息保护纠纷,即新增了个人信息保护纠纷。
《个人信息保护法(草案二审)》在个人信息侵权责任方面规定了过错推定规则,即在侵犯个人信息权益诉讼中,被告需要证明自己没有过错,如果被告无法证明自己没有故意或者过失,就被推定为有过错,需要承担败诉后果和相应的法律责任。与“谁主张谁举证”的原则相比,过错推定原则加重了医疗机构及医务人员的举证责任。
在责任承担上,因为隐私权通常与人格尊严、人格自由关联紧密,隐私权被侵害会导致患者遭受精神压力和痛苦,如果被认定侵犯隐私权,法院通常还会判决精神损害赔偿,而涉及个人信息的侵权,则不一定会涉及精神损害赔偿。
2.行政处罚:处罚力度借鉴欧盟《通用数据保护条例》(GDPR),或将出现“天价罚单”
《中华人民共和国执业医师法(2009修正)》第22条、第37条,以及《护士条例(2008)》第18条、第31条中规定了医务人员依法应该保护患者的隐私,泄露患者隐私,造成严重后果的,将被予以警告、暂停执业或者吊销执照等相应处罚。2010年原卫生部发布的《医疗卫生服务单位信息公开管理办法(试行)》第14条、第26条规定,用于识别个人身份的或者公开后可能导致对个人隐私造成不当侵害的信息,医疗卫生服务单位不得公开,否则可以对医疗卫生服务单位直接负责的主管领导和其他直接责任人员依法给予处分。
2021年6月1日正式生效的《基本医疗卫生与健康促进法》作为我国卫生健康领域的第一部基础性、综合性的法律,其中规定:“医疗卫生机构、医疗卫生人员应当关心爱护、平等对待患者,尊重患者人格尊严,保护患者隐私”。此外,明确了个人健康信息安全保护制度,规定保护公民个人健康信息,医疗卫生人员有泄露公民个人健康信息行为的,将承担个人责任,被处以行政处罚。
受检索文库内容以及公开范围的限制,能够查询到的行政处罚案例并不多,事实上,医疗机构以及医务人员行政处罚案件远远超出这些。随着《数据安全法》的出台、《个人信息保护法》的呼之欲出,对于公民个人信息保护方面提出了更高的要求,当医疗机构及医务人员为患者提供医疗服务时,已经不仅仅是遵守职业道德的义务,而需要承担更重的法律责任。
3.刑事责任:加大违法犯罪的打击力度,履职行为从重处罚
患者隐私和个人信息因为涉及敏感个人信息,一旦被泄露、公开或买卖,对患者的伤害很难通过消除影响、恢复名誉等方式予以保护。依据我国目前的法律规定,泄露患者隐私和个人信息不仅要受到相应的行政处罚,情节严重的还会被依法追究刑事责任。
2009年的《刑法修正案(七)》增设了出售、非法提供公民个人信息罪,2015年施行的《刑法修正案(九)》规定,对于履行职责或提供服务过程中获得的公民个人信息,非法出售或提供的行为,可以从重处罚,并将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”。
2017年6月1日,最高人民法院和最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》;2018年11月9日,最高人民检察院发布《检察机关办理侵犯公民个人信息案件指引》,其中均提到,“如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,涉案信息数量、违法所得数额只要达到一般主体的一半,即可认为属于情节严重的情形。
值得注意的是,2021年6月17日,最高人民法院、最高人民检察院和公安部再次联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》,其中规定“非法获取、出售、提供个人生物识别信息”的行为,将以侵犯公民个人信息罪追究刑事责任。
大数据时代来临,隐私权早已不能覆盖个人信息保护的需求,在立法中个人信息保护也逐步从私权领域的隐私权中分离出来。我国正逐步加大个人信息保护方面的工作力度,全民的自我保护意识也在不断提升,医疗机构加强个人信息保护合规迫在眉睫。如何更好地应对患者个人信息保护的问题,值得我们进一步探讨。
【参考资料】
[1]《信息安全技术健康医疗数据安全指南》(GB/T39725-2020)表1健康医疗数据类别和范围
[2]中国信通院安全研究所、卫生信息安全与新技术应用专业委员会和中国医院协会信息管理专业委员会《2019健康医疗行业移动App安全观测报告》
【作者简介】
朱晨,苏州大学附属儿童医院质量管理办公室主任,曾履职医院医务、科教、信息、装备、门诊等多个部门,其间从事医疗信息化建设和管理工作十余年。