郑朝菁

近年来，泄露患者个人信息（含医疗健康信息）的现象屡屡发生，引发公众的广泛关注。患者个人信息泄露影响范围广泛，后果严重。个人信息的泄露可能使患者遭受营销困扰，可能使特定患者遭受歧视，可能沦为电信诈骗等不法活动的工具，亟须引起重视。经分析相关案例，笔者发现主要存在以下三方面问题：

一是未获患者同意，侵权行为屡发。随着互联网医院的普及，患者通过微信小程序等线上方式进行用户注册、绑定电子健康卡、挂号、问诊、查看诊疗记录等一系列操作，患者的个人信息存储于信息管理系统中，医生、护士等相关工作人员可以接触并处理患者的个人信息。管理系统通常只在最初收集时征得个人同意，如后续多次利用，则超出了初始授权范围，且患者对多数后续信息处理行为毫不知情，容易带来信息隐私泄露风险，进而引发侵权纠纷。

二是内外监管空缺，信息滥用频发。部分医院内部监管机制缺位，对于阅览、修改患者个人信息的权限，主体界定不清、实施细则不完善，或缺乏处理患者个人信息的留痕措施，或缺乏对内部工作人员非法使用患者个人信息的规制措施，致使医生、护士、医院行政人员等多重主体均可获取并使用患者信息，为相关人员非法使用患者个人信息提供了可乘之机。患者个人信息处理行为还涉及政府、医药公司、保险公司、数据代理公司、互联网企业等多个环节，信息泄露隐蔽性强，外部监管难度较大。

三是巨大利益驱使，网络犯罪高发。个人的医疗健康信息经过挖掘、加工，可成为数据资产，从而具有显著的商业价值，在巨大利益的驱使下，犯罪分子利用黑客技术窃取患者的医疗健康信息，牟取非法利益。部分从事医疗数据统计、传输、维护等信息管理工作的人员，非法收受他人财物，违法提供手中所掌握的大量医疗健康信息，加剧了信息泄露风险。

对此，笔者建议：

一是完善内部、外部监管体系。医院应完善内部监管制度，强化权限区分、处理记录留痕等技术性监督措施，建立规范化信息处理流程，保障患者个人信息处理过程的合法性与正当性；提升内部信息管理系统的数据安全防护水平，使患者个人信息免遭非法入侵、损毁和丢失。外部应建立多部门协同监管的机制，采取行政监管叠加技术治理的治理模式，明确监管主体职责分工，统一监管规范和技术应用标准，推动患者个人信息流转规范化。

二是健全信息收集、利用机制。一是医院在诊疗活动中收集患者个人信息时，应遵循最小必要原则。二是对于个人信息保护法规定的五类同意豁免的情形，应注意“个人信息已公开”情形，因患者提交于特定医院的信息仅在特定医院内流通，不属于狭义的“已公开个人信息”，其后续处理行为，仍需获得患者的知情同意。患者个人信息处理需充分保障患者的个人信息自决权。医院在收集信息时，应充分告知患者收集其个人信息的范围、目的、主要使用场景，以及患者个人信息被滥用或遭受侵害时的救济渠道。三是若患者个人信息被用于新的目的，医疗机构需再次取得患者同意，获取同意可采用动态化、具体化的方法。

三是强化患者个人信息司法保护。对于医护人员将其在履行职责或者提供服务中获得的个人敏感信息出售或提供给他人的，构成犯罪的，应依法予以打击；同时也应严厉打击下游非法获取公民个人信息的犯罪，实现全链条惩处。对于泄露患者个人信息的侵权案件，应完善损害结果的形态和标准，损失赔偿范围，减责、免责事由等方面的裁判规则，统一类案裁判尺度，最大化实现同案同判。

| 来源：人民法院报 |