从病历泄露事件看医疗机构如何强化患者信息保护

来源：HIT专家网 作者：黄迪、王祖瑶

2023年12月12日，周海媚工作室对外宣布了悲痛的消息：周海媚因病医治无效，于2023年12月11日离世。然而，据报道，疑似周海媚在医院最后时刻的电子病历截图被非法传播。这份病历记录了周海媚的个人资料和就诊时间等敏感信息，引发了社会对医疗隐私保护的强烈关注。

12月14日，北京市公安局顺义分局对此案进行了通报。经查，一名医院工作人员为炫耀，非法传播了患者的个人病历至微信群，造成了信息的广泛扩散和不良社会影响，该员工已依法被行政拘留。

这起事件仍在警方调查中。但不容置疑的是，无论是医院还是个人，泄露患者的医疗信息是一种严重的违规违法行为。患者家属有权向公安机关提出控告或举报。本文将围绕此事件，分析不同泄露主体可能承担的法律责任，并进一步探讨医疗机构应该如何更有效地保护患者隐私。

如何理解公民病历信息的性质？

公民的健康生理状况、就医检查等信息不仅属于个人隐私，还属于个人信息中的敏感信息。未经授权泄露该信息的行为，不仅触犯《民法典》对于公民个人隐私权的保护，也触犯了《个人信息保护法》中个人信息权利的规定。根据《信息安全技术 个人信息安全规范》（GB/T 35273-2020）所列举的个人信息范围可见，病历信息属于个人因生病医治等产生的相关记录，都属于法律上的个人信息范畴。

【关联法条】

1.《民法典》第一千零三十二条  自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

2.《个人信息保护法》第二十八条 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

医疗机构在收集个人信息时应当履行何种法定义务？

作为公民医疗信息的数据处理者，医疗机构几乎所有的业务都涉及患者的信息获取和信息处理。《个人信息保护法》《数据安全法》的出台，明确了数据处理活动的规范，对医疗机构提出了严格的数据合规要求。

1.医疗机构收集个人信息应当遵循“知情同意”和“最小必要”两大原则

除非法律另有规定，医疗机构应将知情同意作为患者个人信息收集、使用的必要前提条件，通过知情同意告知书或电子隐私政策等提前告知患者被收集个人信息的类型、目的、使用范围等。同时，秉持必要性原则，处理患者个人信息应当具有明确、合理的目的，应与提供诊疗服务直接相关，并采取对个人权益影响最小的方式。收集患者个人信息时，应当限于实现处理目的的最小范围，不得过度收集个人信息。

【关联法条】

1.《民法典》第一千零三十五条  处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

2.《个人信息保护法》第二十九条 处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第三十条 个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

2.医疗机构应当构建数据安全合规体系，保障患者信息安全

此次病历泄露事件表面反映的是隐私保护问题，其背后折射的是医疗机构数据安全、患者信息保护机制的不完善、不健全。作为患者信息处理的责任主体，医疗机构应当高度重视患者信息存储、院内流转和应用过程中的风险防范，从制度、技术、培训等角度加强全方位管理，建立院内数据合规体系，实现对患者个人信息的有效保护，更好地保障医疗数据安全。

（1）建立责任可追溯的个人信息安全管理机制。提高对院内信息安全的重视程度和监管强度。首先，做好信息系统容灾备份，建立信息系统局部或全局瘫痪状况下的应急处置预案；其次，运用电子签名、数字水印、生物信息识别等身份校验技术进行身份鉴别，结合安全日志记录每一次对患者信息访问操作的时间和人员，形成可留痕、可追溯的个人信息安全监督机制，在出现非法复制、篡改、传播患者信息的可疑情况时，有效地预警阻断并追溯到责任人员。

（2）完善权限访问控制策略和技术。对医疗机构内部的信息系统采取信息安全等级保护措施，加强账号信息和访问权限分级管理。定期开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查，防止数据泄露、毁损、丢失，严禁任何人未经授权擅自访问或向他人/其他机构提供患者诊疗信息。

（3）加强职工数据安全责任培训。院方需在内部定期对各岗位员工的伦理和法律培训，尤其要强化医务人员对患者隐私的保密意识，提升院内数据安全合规文化和职工责任意识，包括如何处理敏感信息、安全存储数据、违法法规其个人所需承担的法律责任等，以确保员工了解合规处理的最佳实践，避免像本次事件中员工缺乏责任意识、出于炫耀等原因随意传播患者个人信息。同时，督促员工妥善录入、管理病患信息，防范出现员工不当外泄患者隐私的情况，为医院招致舆论争议，损害医院信誉。

（4）设立信息安全评估流程机制。定期进行信息安全审计，对在医疗服务流程中可能产生的信息泄露、丢失、毁损的环节和不安全因素采取预警和有效措施，提高风险自评估和信息保护能力。

（5）提高医院信息数字化处理水平。笔者团队曾在《医院数据资源生产要素化路径研究》课题中对全国十多个省、直辖市的大型公立医院数字化实践做过调研。调研结果显示，在收集、存储、处理医院数据的方式上，96.1%的受访医院通过电子病历系统、 HIS 系统等信息化系统对数据进行管理，仅3.9%的医院仍主要使用纸质病历和档案。虽然三级医院的信息化建设和应用较为成熟，但在数据处理方式上，存在少量医院仍然依赖纸质病历和档案，或者电子病历和纸质病历同时混用的情况，信息化建设和应用尚不全面。

在患者就诊、检查、住院、手术等各个环节中，纸质病历会暴露在不同医务人员甚至后勤人员面前，仅用物理方式较难实现查看权限的控制，难以实质性保障患者信息安全和追溯信息泄露责任人；而电子病历则可以通过加密、身份验证、访问权限控制与追踪等技术，更有效地履行数据安全保护义务。因此，医疗机构应积极推进数字化建设，提高数据治理和信息保护水平。

【关联法条】

1.《民法典》第一千零三十八条  信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

2.《个人信息保护法》第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

3.《数据安全法》第二十七条　开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

医疗机构泄露患者信息，可能会承担什么法律责任？

患者医疗信息泄露事件层出不穷。2018年林更新病历泄露，2019年林俊杰就医信息泄露……不仅公众人物，普通患者身上也发生过信息泄露事件。早在2016年，《新京报》曾报道全国30省份275名艾滋病感染者的信息遭泄露，多名患者遭遇电话诈骗。就医数据一旦泄露和传播，将对患者个人生活、精神状态甚至财产权益造成严重影响。

我国法律根据泄露的行为和情节，予以多层次的法律责任规制。《民法典》规定医疗机构及其医务人员未经患者同意公开其病历资料的，应当承担侵权责任。《个人信息保护法》则实施过错推定责任制，即个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。《数据安全法》规定开展数据处理活动的组织、个人不履行数据安全保护义务的，将对组织处以警告、罚款，对主管人员和直接责任人处以不同程度的罚款。

【关联法条】

民事责任：

1.《民法典》第一千二百二十六条  医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。

2.《个人信息保护法》第六十九条 处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

行政责任：

1.《个人信息保护法》第六十六条 违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

2.《数据安全法》第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

非医疗机构的其他主体私自泄露患者医疗信息，将承担怎样的法律责任？

泄露患者医疗信息，侵犯了患者的隐私，威胁了患者的信息安全，严重侵犯公民的隐私权和人格尊严。其他主体私自泄露信息，除了要承担停止侵害、消除影响、赔礼道歉、损害赔偿等民事法律责任之外，《医师法》还规定医师在执业过程中泄露患者隐私或个人信息的，将处罚款、暂停甚至吊销医师执业证书的处罚。非医师的其他人员可能会根据《中华人民共和国治安管理处罚法》处以罚款和行政拘留。此外，情节严重者将面临严厉的刑事制裁。《刑法》规定，非法向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

【关联法条】

1.《民法典》第九百九十五条  人格权受到侵害的，受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权，不适用诉讼时效的规定。

2.《中华人民共和国医师法》第五十六条 违反本法规定，医师在执业活动中有下列行为之一的，由县级以上人民政府卫生健康主管部门责令改正，给予警告，没收违法所得，并处一万元以上三万元以下的罚款；情节严重的，责令暂停六个月以上一年以下执业活动直至吊销医师执业证书：（一）泄露患者隐私或者个人信息；

3.《中华人民共和国治安管理处罚法》第四十二条 有下列行为之一的，处五日以下拘留或者五百元以下罚款；情节较重的，处五日以上十日以下拘留，可以并处五百元以下罚款：……（六）偷窥、偷拍、窃听、散布他人隐私的。

4.《中华人民共和国刑法》第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

死者的个人信息是否仍然受法律保护？

在广州市荔湾区人民法院曾公布的一起侵犯公民个人信息罪案件中，两名医院护工利用工作便利，将在跟随医院救护车急救过程中获取的病人和家属住址、联系方式等个人信息，出售给殡葬服务公司，获利10万余元，最终被依法判刑。

实践中，公民个人信息的认定，并不以自然人的生存状态为判断依据，逝者的个人信息仍然受到法律保护，同样不得以非法获取、出售、提供等手段实施侵犯。

结语

近年来，随着医疗行业数字化的快速发展，我国对个人信息保护以及数据安全越来越重视。《网络安全法》《密码法》《数据安全法》《个人信息保护法》等法律的陆续出台，同样加速建立健全了我国医疗机构所面临的信息安全法律监管体系。2023年9月，国家卫生健康委发布《患者安全专项行动方案（2023-2025 年）》，其中也再次强调了诊疗信息安全保障问题，要求对医疗机构内部的信息系统采取信息安全等级保护措施，防止数据泄露、毁损、丢失，严禁任何人擅自向他人或其他机构提供患者诊疗信息。

总之，医疗机构作为医疗信息的数据处理者，一定要提高风险防范意识，完善合规体系建设，其他社会主体也应当尊重患者隐私。各方努力，共同守护患者的信息安全，避免恶性事件的再次发生。

【作者介绍】

本文主笔：黄迪，垦丁（广州）律师事务所资深律师，香港中文大学法律博士，数据安全师，全国资产管理标准化技术委员会数据资产专家组成员，广州市穗港澳合作交流促进会理事。担任知名三甲医院、互联网医院、人工智能、生物科技、跨境电商、直播电商、身份识别技术企业的常年法律顾问。参与“广东省医学数据资源生产要素化路径标准化试点”项目工作；参与中国医药会计学会2023年度重点课题；参与起草多份数据资产方面的国家标准和团体标准。

联系方式：huangdi@kindinglaw.com

【责任编辑：陈曦】