来源:HIT专家网 作者:魏灿灿、朱晨
【编者按】
2021年6月10日,《中华人民共和国数据安全法》经十三届全国人大常委会第二十九次会议表决通过,将于2021年9月1日起施行;《个人信息保护法》的最终出台也已近在眼前。
医疗行业作为关系国计民生的重要领域,在相关法律法规的要求下,面临的数据合规压力日益紧迫。苏州大学附属儿童医院质量管理办公室主任朱晨、上海市锦天城(苏州)律师事务所魏灿灿联袂带来“医疗机构数据合规系列”文章,为医疗机构加强数据合规体系建设提供建议与参考。
身处大数据时代,随着人工智能、物联网、5G等新技术的广泛应用,公民个人数据收集变得更加便利、隐蔽,在不同主体间的转移和流动也更加容易,出现了大量个人数据被非法获取、滥用、泄露、买卖的现象,因此隐私保护和个人信息安全问题也日益突出。
数字化的浪潮同样席卷到医疗体系,随着新一代信息技术在医疗机构的应用不断加深,患者的健康医疗数据几乎可以全程以电子化的形式进行采集和记录,医疗机构在提供诊疗服务过程中收集和存储了海量的患者个人数据,其中包括患者个人生物特征、医疗健康等敏感个人信息、基因数据等。这些数据不仅事关患者隐私和个人信息安全,还关乎社会公共利益和国家安全。医疗机构作为健康医疗数据的控制者,在高度信息化的大数据环境中,如何做好患者隐私和个人信息保护是个值得深思的问题。
隐私与个人信息的区别
很多人对于隐私和个人信息的认识不全面,对二者之间的关系也认识不清,甚至将隐私和个人信息混为一谈。事实上,隐私和个人信息在法律上是不同的概念。
虽然“隐私”这两个字司空见惯,但是直到《民法典》才首次定义了“隐私”的概念:隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私所强调的“私密”和“不愿为他人知晓”,更侧重以个人的主观意志为判断依据,并考虑人格尊严和人格自由保护的因素,基于在特定的、具体的场景进行界定,以个人明确同意为边界。
《网络安全法》草案一审稿中首次提出了“公民个人信息”的概念,2016年11月7日通过的最终稿规定:“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。此后,《个人信息和重要数据出境安全评估办法(征求意见稿)》《信息安全技术 个人信息安全规范》《个人信息出境安全评估办法(征求意见稿)》《民法典》以及《个人信息保护法(草案)》等法律法规及标准文件中,均出现了个人信息的定义,虽略有区别,但都强调在“可识别性”的基础上,与特定自然人有关的信息均可构成个人信息。随着新型技术及网络科技的应用发展,个人信息的种类越来越多,范围也更加广泛。
《民法典》第一千零三十四条第三款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”由此可知,隐私与个人信息之间是存在交集的,其交集的内容系私密信息,二者在交互范围上比较,存在一定程度的重合,如图1所示。
与个人相关的信息如果不属于隐私权保护的范畴,但具有“可识别性”的特征,则可以作为个人信息保护,应当遵从个人信息保护的要求和规定;而对于构成隐私的个人信息,可以受到隐私权和个人信息的双重保护。
患者隐私与患者个人信息
1.患者隐私
参照《民法典》关于隐私的概念,可以将患者隐私分为以下三个方面:
(1)患者私密信息
哪些个人信息属于私密信息,更多的时候要看具体情况和场景来界定。同样是个人信息,有的人会认为是私密信息,有的人则可能认为不是。
概括来说,患者私密信息可以界定为患者在医疗过程中出于治疗疾病的目的,愿意向医疗机构及医务人员透露或产生的、与自己疾病相关的、不愿为他人知晓及公开披露的任何信息,比如患者的疾病史、过敏史、家族史、生活史、婚姻史、生育史;心理或生理缺陷;涉及传染性或难以启齿的病症名称及病情等。
(2)患者私密活动
指患者在进入医疗机构后的行动及在医疗机构接受诊疗服务过程中的私人行为,比如在挂号、门诊、药房、检验、住院期间的行踪轨迹;住院期间的饮食起居、活动方式、沟通渠道、与探访人员的交流等。
(3)患者私密空间
包括患者在医疗机构接受医疗服务时的场所,比如检查室、注射室、手术室、诊疗室、医患沟通室等;患者的私人领域,比如患者身体的隐私部位、体内空间等。
2.患者个人信息
患者个人信息是指患者在诊疗过程中提供或产生的所有信息,范围广泛,参照《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)的相关规定[1],可做如表1所示分类:
诊疗服务和管理流程中存在的部分问题
从患者隐私和个人信息保护的角度检视医疗机构的诊疗服务与管理流程,可以发现存在以下问题需要引起重视。
1.诊疗服务过程
很多二甲级别以上的医院都已在使用排队叫号系统,具体可以适用于门诊、药房取药、检查、体检等。医院使用排队叫号系统后,避免了插队、混乱、嘈杂的现象,提高了诊疗效率。但排队叫号的电子显示屏以及呼叫时泄露患者真实姓名、诊疗科室、检查项目的情况屡见不鲜。
如果诊疗室没有做到有效分流、提示及管理,患者就诊时其他患者或家属在诊疗室内围观,容易导致患者病情泄露。在使用排队叫号系统的医院或新建医院,上述情况有所改善,但问题仍普遍存在。
还有的医疗机构在私密的诊疗室内安装监控探头。2019年深圳某医院出现过一起纠纷,患者在掀起上衣做心电图的过程中,发现有个亮着蓝色灯的摄像头正对着床头进行拍摄,在患者投诉并报警的情况下,医院进行了调查处理。为避免争议,对于监控行为,医疗机构有必要对患者进行提醒,否则可能涉及侵犯患者的知情权及隐私权。
医院随意组织实习生对患者身体甚至是隐私部位进行观摩、教学,有时还允许实习生进行触摸、检查等。上述行为在未获得患者同意的情况下,会涉及构成对患者隐私权的侵犯。
2.医疗文书的管理
医疗机构如果内部管理不到位,可能导致患者的检验单、病历资料等医疗文书被随意放置,而造成患者个人信息的泄露。
医疗机构员工安全意识的淡薄、管理制度的不完善,导致内部人员未经审批超权限查阅、复印甚至拍照传播患者病案资料的情况发生。
3.信息系统数据管理
新技术的应用推动着医疗行业向信息化、智能化方向升级,大多数医疗机构都实现了患者数据的电子化。实践中,部分医疗机构的数据安全保护措施不到位,在授权管理、身份鉴别及访问控制方面未能实现有效的管理和控制,导致医务人员或其他人员(比如医疗信息系统、AI人工智能应用、大数据分析、移动互联网医疗供应商负责项目实施及维护的技术人员)可以通过信息系统随意查询患者的诊疗信息。
4.互联网医疗服务
很多医疗机构都推出了移动医疗App或小程序,提升了患者就诊以及查询诊疗报告的方便性和及时性,但这些移动互联网医疗应用安全风险也呈现着增加趋势。
据《2019医疗健康行业移动App安全观测报告》统计,88.83%的医疗健康行业App存在高危漏洞[2]。而有些App中还集成了第三方SDK,这些SDK也存在多种安全漏洞。
此外,移动医疗App、小程序以及第三方SDK还普遍存在违法违规收集患者个人信息的行为,如无用户协议和个人信息保护政策,未通过弹窗等明显方式提示用户阅读个人信息保护政策等收集使用规则,收集的个人信息类型或打开可收集的个人信息权限与现有功能无关等。
医疗机构及医务人员面临的法律风险
1.民事责任:案由新增个人信息保护纠纷,个人信息侵权纠纷加重被告的举证责任
2010年7月1日起施行的《侵权责任法》第六十二条规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”
前述规定并未明确患者个人信息的保护,2021年1月1日正式生效的《民法典》侵权责任编在《侵权责任法》第六十二条的规定的基础上进行了修改,增加了患者个人信息保护方面的规定,从立法层面强化了对于患者隐私和个人信息的保护;删除了《侵权责任法》第六十二条中“造成患者损失的”的内容,也就是说医疗机构及其医务人员泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,无论造成损害与否均应担责。
2020年末,最高人民法院发布《关于修改〈民事案件案由规定〉的决定》,修订后的民事案件案由,其中在人格权纠纷项下做出变更,将隐私权纠纷变更隐私权、个人信息保护纠纷,即新增了个人信息保护纠纷。
《个人信息保护法(草案二审)》在个人信息侵权责任方面规定了过错推定规则,即在侵犯个人信息权益诉讼中,被告需要证明自己没有过错,如果被告无法证明自己没有故意或者过失,就被推定为有过错,需要承担败诉后果和相应的法律责任。与“谁主张谁举证”的原则相比,过错推定原则加重了医疗机构及医务人员的举证责任。
从侵权的行为方式看,侵犯患者隐私权主要表现在患者与诊疗服务相关的私密信息、私密活动或私密空间在未经其明确同意的情况下被他人了解、观看、拍摄、公开和干涉的侵犯(如未经患者同意拍摄其身体的私密部位;未经患者同意在诊疗检查或手术过程允许医学院实习生观摩等);侵犯患者个人信息的行为主要表现在未经同意收集及处理患者个人信息(如未按约定的方式和范围获取、使用、公开或披露患者个人信息),以及医疗机构及医务人员违反安全保护义务,导致患者个人信息被泄露、篡改、丢失的行为。
在责任承担上,因为隐私权通常与人格尊严、人格自由关联紧密,隐私权被侵害会导致患者遭受精神压力和痛苦,如果被认定侵犯隐私权,法院通常还会判决精神损害赔偿,而涉及个人信息的侵权,则不一定会涉及精神损害赔偿。
2.行政处罚:处罚力度借鉴欧盟《通用数据保护条例》(GDPR),或将出现“天价罚单”
从行业属性看,我国在医疗卫生领域方面的法律、法规等对于患者这一特殊群体给予了高度重视,对医疗机构及医务人员的相关责任作出很多规制。
《中华人民共和国执业医师法(2009修正)》第22条、第37条,以及《护士条例(2008)》第18条、第31条中规定了医务人员依法应该保护患者的隐私,泄露患者隐私,造成严重后果的,将被予以警告、暂停执业或者吊销执照等相应处罚。2010年原卫生部发布的《医疗卫生服务单位信息公开管理办法(试行)》第14条、第26条规定,用于识别个人身份的或者公开后可能导致对个人隐私造成不当侵害的信息,医疗卫生服务单位不得公开,否则可以对医疗卫生服务单位直接负责的主管领导和其他直接责任人员依法给予处分。
2021年6月1日正式生效的《基本医疗卫生与健康促进法》作为我国卫生健康领域的第一部基础性、综合性的法律,其中规定:“医疗卫生机构、医疗卫生人员应当关心爱护、平等对待患者,尊重患者人格尊严,保护患者隐私”。此外,明确了个人健康信息安全保护制度,规定保护公民个人健康信息,医疗卫生人员有泄露公民个人健康信息行为的,将承担个人责任,被处以行政处罚。
在“威科先行”法律信息库上分别输入关键词“患者隐私”和“患者个人信息”进行搜索,十余件行政处罚的案件集中在2018-2021年之间。其中涉及医务人员的行政处罚,全部集中在浙江省,大多是卫生行政管理机构基于《执业医师法》的相关规定,对于医务人员进行警告或暂停执业活动的处罚。对于医疗机构的行政处罚,全部集中在深圳,深圳市卫生健康委基于《深圳经济特区医疗条例》第四章第四十二条第一款:“医疗机构及其卫生技术人员应当依法签署医学文书和医学证明文件,按照有关规定书写、保管病历,并对患者的个人资料及隐私保密”,因泄露患者隐私分别对两家医院作出了罚款的处罚。
受检索文库内容以及公开范围的限制,能够查询到的行政处罚案例并不多,事实上,医疗机构以及医务人员行政处罚案件远远超出这些。随着《数据安全法》的出台、《个人信息保护法》的呼之欲出,对于公民个人信息保护方面提出了更高的要求,当医疗机构及医务人员为患者提供医疗服务时,已经不仅仅是遵守职业道德的义务,而需要承担更重的法律责任。
根据《个人信息保护法(草案二审)》的相关规定,如果医疗机构在个人信息保护方面存在合规瑕疵,对于情节严重的违法行为,可以在没收违法所得的基础上,并处五千万元以下或者上一年度营业额百分之五以下罚款,对直接主管人员可被处十万元以上一百万元以上的罚款。可以预见,《个人信息保护法》正式出台后,个人信息保护会进入一个新的时代,监管和处罚的力度加大或将导致出现“天价罚单”。
3.刑事责任:加大违法犯罪的打击力度,履职行为从重处罚
患者隐私和个人信息因为涉及敏感个人信息,一旦被泄露、公开或买卖,对患者的伤害很难通过消除影响、恢复名誉等方式予以保护。依据我国目前的法律规定,泄露患者隐私和个人信息不仅要受到相应的行政处罚,情节严重的还会被依法追究刑事责任。
2009年的《刑法修正案(七)》增设了出售、非法提供公民个人信息罪,2015年施行的《刑法修正案(九)》规定,对于履行职责或提供服务过程中获得的公民个人信息,非法出售或提供的行为,可以从重处罚,并将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”。
除刑法外,最高人民法院、最高人民检察院和公安部也出台了一系列关于个人信息犯罪相关的规定及司法解释。2013年4月23日,最高人民法院、最高人民检察院和公安部联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》,要求坚决打击侵害公民个人信息犯罪活动。
2017年6月1日,最高人民法院和最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》;2018年11月9日,最高人民检察院发布《检察机关办理侵犯公民个人信息案件指引》,其中均提到,“如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,涉案信息数量、违法所得数额只要达到一般主体的一半,即可认为属于情节严重的情形。
值得注意的是,2021年6月17日,最高人民法院、最高人民检察院和公安部再次联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》,其中规定“非法获取、出售、提供个人生物识别信息”的行为,将以侵犯公民个人信息罪追究刑事责任。
大数据时代来临,隐私权早已不能覆盖个人信息保护的需求,在立法中个人信息保护也逐步从私权领域的隐私权中分离出来。我国正逐步加大个人信息保护方面的工作力度,全民的自我保护意识也在不断提升,医疗机构加强个人信息保护合规迫在眉睫。如何更好地应对患者个人信息保护的问题,值得我们进一步探讨。
【参考资料】
[1] 《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)表1 健康医疗数据类别和范围
[2] 中国信通院安全研究所、卫生信息安全与新技术应用专业委员会和中国医院协会信息管理专业委员会《2019健康医疗行业移动App安全观测报告》
(上篇回顾:《【医疗机构数据合规系列之一】强监管背景下医疗机构的数据合规之路》;下期介绍:《【医疗机构数据合规系列之三】“互联网+医疗服务”场景下的数据合规要点》)
【作者简介】
朱晨,苏州大学附属儿童医院质量管理办公室主任,曾履职医院医务、科教、信息、装备、门诊等多个部门,其间从事医疗信息化建设和管理工作十余年。
魏灿灿,上海市锦天城(苏州)律师事务所律师,毕业于吉林大学,硕士学位。具有信息技术和医疗健康行业的从业背景,对相关企业的产品、业务、运营管理有深度了解。常年为互联网、大数据、人工智能、医疗健康、生物医药等领域的企业提供公司治理、股权架构及控制权设计、融资、并购、诉讼仲裁等法律服务;同时致力于研究并为相关机构或企业提供数据安全和个人信息保护方面的数据合规方案。
【责任编辑:秦勉】
评论前必须登录!
注册