來源：HIT專家網 作者：魏燦燦、朱晨

【編者按】

2021年6月10日，《中華人民共和國數(shù)據(jù)安全法》經十三屆全國人大常委會第二十九次會議表決通過，將于2021年9月1日起施行；《個人信息保護法》的最終出臺也已近在眼前。

醫(yī)療行業(yè)作為關系國計民生的重要領域，在相關法律法規(guī)的要求下，面臨的數(shù)據(jù)合規(guī)壓力日益緊迫。蘇州大學附屬兒童醫(yī)院質量管理辦公室主任朱晨、上海市錦天城（蘇州）律師事務所魏燦燦聯(lián)袂帶來“醫(yī)療機構數(shù)據(jù)合規(guī)系列”文章，為醫(yī)療機構加強數(shù)據(jù)合規(guī)體系建設提供建議與參考。

身處大數(shù)據(jù)時代，隨著人工智能、物聯(lián)網、5G等新技術的廣泛應用，公民個人數(shù)據(jù)收集變得更加便利、隱蔽，在不同主體間的轉移和流動也更加容易，出現(xiàn)了大量個人數(shù)據(jù)被非法獲取、濫用、泄露、買賣的現(xiàn)象，因此隱私保護和個人信息安全問題也日益突出。

數(shù)字化的浪潮同樣席卷到醫(yī)療體系，隨著新一代信息技術在醫(yī)療機構的應用不斷加深，患者的健康醫(yī)療數(shù)據(jù)幾乎可以全程以電子化的形式進行采集和記錄，醫(yī)療機構在提供診療服務過程中收集和存儲了海量的患者個人數(shù)據(jù)，其中包括患者個人生物特征、醫(yī)療健康等敏感個人信息、基因數(shù)據(jù)等。這些數(shù)據(jù)不僅事關患者隱私和個人信息安全，還關乎社會公共利益和國家安全。醫(yī)療機構作為健康醫(yī)療數(shù)據(jù)的控制者，在高度信息化的大數(shù)據(jù)環(huán)境中，如何做好患者隱私和個人信息保護是個值得深思的問題。

隱私與個人信息的區(qū)別

很多人對于隱私和個人信息的認識不全面，對二者之間的關系也認識不清，甚至將隱私和個人信息混為一談。事實上，隱私和個人信息在法律上是不同的概念。

雖然“隱私”這兩個字司空見慣，但是直到《民法典》才首次定義了“隱私”的概念：隱私是指自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。隱私所強調的“私密”和“不愿為他人知曉”，更側重以個人的主觀意志為判斷依據(jù)，并考慮人格尊嚴和人格自由保護的因素，基于在特定的、具體的場景進行界定，以個人明確同意為邊界。

《網絡安全法》草案一審稿中首次提出了“公民個人信息”的概念，2016年11月7日通過的最終稿規(guī)定：“個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。此后，《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》《信息安全技術 個人信息安全規(guī)范》《個人信息出境安全評估辦法（征求意見稿）》《民法典》以及《個人信息保護法（草案）》等法律法規(guī)及標準文件中，均出現(xiàn)了個人信息的定義，雖略有區(qū)別，但都強調在“可識別性”的基礎上，與特定自然人有關的信息均可構成個人信息。隨著新型技術及網絡科技的應用發(fā)展，個人信息的種類越來越多，范圍也更加廣泛。

《民法典》第一千零三十四條第三款規(guī)定：“個人信息中的私密信息，適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定?！庇纱丝芍?，隱私與個人信息之間是存在交集的，其交集的內容系私密信息，二者在交互范圍上比較，存在一定程度的重合，如圖1所示。

與個人相關的信息如果不屬于隱私權保護的范疇，但具有“可識別性”的特征，則可以作為個人信息保護，應當遵從個人信息保護的要求和規(guī)定；而對于構成隱私的個人信息，可以受到隱私權和個人信息的雙重保護。

患者隱私與患者個人信息

1.患者隱私

參照《民法典》關于隱私的概念，可以將患者隱私分為以下三個方面：

（1）患者私密信息

哪些個人信息屬于私密信息，更多的時候要看具體情況和場景來界定。同樣是個人信息，有的人會認為是私密信息，有的人則可能認為不是。

概括來說，患者私密信息可以界定為患者在醫(yī)療過程中出于治療疾病的目的，愿意向醫(yī)療機構及醫(yī)務人員透露或產生的、與自己疾病相關的、不愿為他人知曉及公開披露的任何信息，比如患者的疾病史、過敏史、家族史、生活史、婚姻史、生育史；心理或生理缺陷；涉及傳染性或難以啟齒的病癥名稱及病情等。

（2）患者私密活動

指患者在進入醫(yī)療機構后的行動及在醫(yī)療機構接受診療服務過程中的私人行為，比如在掛號、門診、藥房、檢驗、住院期間的行蹤軌跡；住院期間的飲食起居、活動方式、溝通渠道、與探訪人員的交流等。

（3）患者私密空間

包括患者在醫(yī)療機構接受醫(yī)療服務時的場所，比如檢查室、注射室、手術室、診療室、醫(yī)患溝通室等；患者的私人領域，比如患者身體的隱私部位、體內空間等。

2.患者個人信息

患者個人信息是指患者在診療過程中提供或產生的所有信息，范圍廣泛，參照《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》（GB/T 39725-2020）的相關規(guī)定[1]，可做如表1所示分類：

診療服務和管理流程中存在的部分問題

從患者隱私和個人信息保護的角度檢視醫(yī)療機構的診療服務與管理流程，可以發(fā)現(xiàn)存在以下問題需要引起重視。

1.診療服務過程

很多二甲級別以上的醫(yī)院都已在使用排隊叫號系統(tǒng)，具體可以適用于門診、藥房取藥、檢查、體檢等。醫(yī)院使用排隊叫號系統(tǒng)后，避免了插隊、混亂、嘈雜的現(xiàn)象，提高了診療效率。但排隊叫號的電子顯示屏以及呼叫時泄露患者真實姓名、診療科室、檢查項目的情況屢見不鮮。

如果診療室沒有做到有效分流、提示及管理，患者就診時其他患者或家屬在診療室內圍觀，容易導致患者病情泄露。在使用排隊叫號系統(tǒng)的醫(yī)院或新建醫(yī)院，上述情況有所改善，但問題仍普遍存在。

還有的醫(yī)療機構在私密的診療室內安裝監(jiān)控探頭。2019年深圳某醫(yī)院出現(xiàn)過一起糾紛，患者在掀起上衣做心電圖的過程中，發(fā)現(xiàn)有個亮著藍色燈的攝像頭正對著床頭進行拍攝，在患者投訴并報警的情況下，醫(yī)院進行了調查處理。為避免爭議，對于監(jiān)控行為，醫(yī)療機構有必要對患者進行提醒，否則可能涉及侵犯患者的知情權及隱私權。

醫(yī)院隨意組織實習生對患者身體甚至是隱私部位進行觀摩、教學，有時還允許實習生進行觸摸、檢查等。上述行為在未獲得患者同意的情況下，會涉及構成對患者隱私權的侵犯。

2.醫(yī)療文書的管理

醫(yī)療機構如果內部管理不到位，可能導致患者的檢驗單、病歷資料等醫(yī)療文書被隨意放置，而造成患者個人信息的泄露。

醫(yī)療機構員工安全意識的淡薄、管理制度的不完善，導致內部人員未經審批超權限查閱、復印甚至拍照傳播患者病案資料的情況發(fā)生。

3.信息系統(tǒng)數(shù)據(jù)管理

新技術的應用推動著醫(yī)療行業(yè)向信息化、智能化方向升級，大多數(shù)醫(yī)療機構都實現(xiàn)了患者數(shù)據(jù)的電子化。實踐中，部分醫(yī)療機構的數(shù)據(jù)安全保護措施不到位，在授權管理、身份鑒別及訪問控制方面未能實現(xiàn)有效的管理和控制，導致醫(yī)務人員或其他人員（比如醫(yī)療信息系統(tǒng)、AI人工智能應用、大數(shù)據(jù)分析、移動互聯(lián)網醫(yī)療供應商負責項目實施及維護的技術人員）可以通過信息系統(tǒng)隨意查詢患者的診療信息。

4.互聯(lián)網醫(yī)療服務

很多醫(yī)療機構都推出了移動醫(yī)療App或小程序，提升了患者就診以及查詢診療報告的方便性和及時性，但這些移動互聯(lián)網醫(yī)療應用安全風險也呈現(xiàn)著增加趨勢。

據(jù)《2019醫(yī)療健康行業(yè)移動App安全觀測報告》統(tǒng)計，88.83%的醫(yī)療健康行業(yè)App存在高危漏洞[2]。而有些App中還集成了第三方SDK，這些SDK也存在多種安全漏洞。

此外，移動醫(yī)療App、小程序以及第三方SDK還普遍存在違法違規(guī)收集患者個人信息的行為，如無用戶協(xié)議和個人信息保護政策，未通過彈窗等明顯方式提示用戶閱讀個人信息保護政策等收集使用規(guī)則，收集的個人信息類型或打開可收集的個人信息權限與現(xiàn)有功能無關等。

醫(yī)療機構及醫(yī)務人員面臨的法律風險

1.民事責任：案由新增個人信息保護糾紛，個人信息侵權糾紛加重被告的舉證責任

2010年7月1日起施行的《侵權責任法》第六十二條規(guī)定：“醫(yī)療機構及其醫(yī)務人員應當對患者的隱私保密。泄露患者隱私或者未經患者同意公開其病歷資料，造成患者損害的，應當承擔侵權責任?！?/p>

前述規(guī)定并未明確患者個人信息的保護，2021年1月1日正式生效的《民法典》侵權責任編在《侵權責任法》第六十二條的規(guī)定的基礎上進行了修改，增加了患者個人信息保護方面的規(guī)定，從立法層面強化了對于患者隱私和個人信息的保護；刪除了《侵權責任法》第六十二條中“造成患者損失的”的內容，也就是說醫(yī)療機構及其醫(yī)務人員泄露患者的隱私和個人信息，或者未經患者同意公開其病歷資料的，無論造成損害與否均應擔責。

2020年末，最高人民法院發(fā)布《關于修改〈民事案件案由規(guī)定〉的決定》，修訂后的民事案件案由，其中在人格權糾紛項下做出變更，將隱私權糾紛變更隱私權、個人信息保護糾紛，即新增了個人信息保護糾紛。

《個人信息保護法（草案二審）》在個人信息侵權責任方面規(guī)定了過錯推定規(guī)則，即在侵犯個人信息權益訴訟中，被告需要證明自己沒有過錯，如果被告無法證明自己沒有故意或者過失，就被推定為有過錯，需要承擔敗訴后果和相應的法律責任。與“誰主張誰舉證”的原則相比，過錯推定原則加重了醫(yī)療機構及醫(yī)務人員的舉證責任。

從侵權的行為方式看，侵犯患者隱私權主要表現(xiàn)在患者與診療服務相關的私密信息、私密活動或私密空間在未經其明確同意的情況下被他人了解、觀看、拍攝、公開和干涉的侵犯（如未經患者同意拍攝其身體的私密部位；未經患者同意在診療檢查或手術過程允許醫(yī)學院實習生觀摩等）；侵犯患者個人信息的行為主要表現(xiàn)在未經同意收集及處理患者個人信息（如未按約定的方式和范圍獲取、使用、公開或披露患者個人信息），以及醫(yī)療機構及醫(yī)務人員違反安全保護義務，導致患者個人信息被泄露、篡改、丟失的行為。

在責任承擔上，因為隱私權通常與人格尊嚴、人格自由關聯(lián)緊密，隱私權被侵害會導致患者遭受精神壓力和痛苦，如果被認定侵犯隱私權，法院通常還會判決精神損害賠償，而涉及個人信息的侵權，則不一定會涉及精神損害賠償。

2.行政處罰：處罰力度借鑒歐盟《通用數(shù)據(jù)保護條例》（GDPR），或將出現(xiàn)“天價罰單”

從行業(yè)屬性看，我國在醫(yī)療衛(wèi)生領域方面的法律、法規(guī)等對于患者這一特殊群體給予了高度重視，對醫(yī)療機構及醫(yī)務人員的相關責任作出很多規(guī)制。

《中華人民共和國執(zhí)業(yè)醫(yī)師法（2009修正）》第22條、第37條，以及《護士條例（2008）》第18條、第31條中規(guī)定了醫(yī)務人員依法應該保護患者的隱私，泄露患者隱私，造成嚴重后果的，將被予以警告、暫停執(zhí)業(yè)或者吊銷執(zhí)照等相應處罰。2010年原衛(wèi)生部發(fā)布的《醫(yī)療衛(wèi)生服務單位信息公開管理辦法（試行）》第14條、第26條規(guī)定，用于識別個人身份的或者公開后可能導致對個人隱私造成不當侵害的信息，醫(yī)療衛(wèi)生服務單位不得公開，否則可以對醫(yī)療衛(wèi)生服務單位直接負責的主管領導和其他直接責任人員依法給予處分。

2021年6月1日正式生效的《基本醫(yī)療衛(wèi)生與健康促進法》作為我國衛(wèi)生健康領域的第一部基礎性、綜合性的法律，其中規(guī)定：“醫(yī)療衛(wèi)生機構、醫(yī)療衛(wèi)生人員應當關心愛護、平等對待患者，尊重患者人格尊嚴，保護患者隱私”。此外，明確了個人健康信息安全保護制度，規(guī)定保護公民個人健康信息，醫(yī)療衛(wèi)生人員有泄露公民個人健康信息行為的，將承擔個人責任，被處以行政處罰。

在“威科先行”法律信息庫上分別輸入關鍵詞“患者隱私”和“患者個人信息”進行搜索，十余件行政處罰的案件集中在2018-2021年之間。其中涉及醫(yī)務人員的行政處罰，全部集中在浙江省，大多是衛(wèi)生行政管理機構基于《執(zhí)業(yè)醫(yī)師法》的相關規(guī)定，對于醫(yī)務人員進行警告或暫停執(zhí)業(yè)活動的處罰。對于醫(yī)療機構的行政處罰，全部集中在深圳，深圳市衛(wèi)生健康委基于《深圳經濟特區(qū)醫(yī)療條例》第四章第四十二條第一款：“醫(yī)療機構及其衛(wèi)生技術人員應當依法簽署醫(yī)學文書和醫(yī)學證明文件，按照有關規(guī)定書寫、保管病歷，并對患者的個人資料及隱私保密”，因泄露患者隱私分別對兩家醫(yī)院作出了罰款的處罰。

受檢索文庫內容以及公開范圍的限制，能夠查詢到的行政處罰案例并不多，事實上，醫(yī)療機構以及醫(yī)務人員行政處罰案件遠遠超出這些。隨著《數(shù)據(jù)安全法》的出臺、《個人信息保護法》的呼之欲出，對于公民個人信息保護方面提出了更高的要求，當醫(yī)療機構及醫(yī)務人員為患者提供醫(yī)療服務時，已經不僅僅是遵守職業(yè)道德的義務，而需要承擔更重的法律責任。

根據(jù)《個人信息保護法（草案二審）》的相關規(guī)定，如果醫(yī)療機構在個人信息保護方面存在合規(guī)瑕疵，對于情節(jié)嚴重的違法行為，可以在沒收違法所得的基礎上，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，對直接主管人員可被處十萬元以上一百萬元以上的罰款。可以預見，《個人信息保護法》正式出臺后，個人信息保護會進入一個新的時代，監(jiān)管和處罰的力度加大或將導致出現(xiàn)“天價罰單”。

3.刑事責任：加大違法犯罪的打擊力度，履職行為從重處罰

患者隱私和個人信息因為涉及敏感個人信息，一旦被泄露、公開或買賣，對患者的傷害很難通過消除影響、恢復名譽等方式予以保護。依據(jù)我國目前的法律規(guī)定，泄露患者隱私和個人信息不僅要受到相應的行政處罰，情節(jié)嚴重的還會被依法追究刑事責任。

2009年的《刑法修正案（七）》增設了出售、非法提供公民個人信息罪，2015年施行的《刑法修正案（九）》規(guī)定，對于履行職責或提供服務過程中獲得的公民個人信息，非法出售或提供的行為，可以從重處罰，并將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”整合為“侵犯公民個人信息罪”。

除刑法外，最高人民法院、最高人民檢察院和公安部也出臺了一系列關于個人信息犯罪相關的規(guī)定及司法解釋。2013年4月23日，最高人民法院、最高人民檢察院和公安部聯(lián)合發(fā)布《關于依法懲處侵害公民個人信息犯罪活動的通知》，要求堅決打擊侵害公民個人信息犯罪活動。

2017年6月1日，最高人民法院和最高人民檢察院聯(lián)合發(fā)布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》；2018年11月9日，最高人民檢察院發(fā)布《檢察機關辦理侵犯公民個人信息案件指引》，其中均提到，“如果行為人系將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人的，涉案信息數(shù)量、違法所得數(shù)額只要達到一般主體的一半，即可認為屬于情節(jié)嚴重的情形。

值得注意的是，2021年6月17日，最高人民法院、最高人民檢察院和公安部再次聯(lián)合發(fā)布《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見（二）》，其中規(guī)定“非法獲取、出售、提供個人生物識別信息”的行為，將以侵犯公民個人信息罪追究刑事責任。

大數(shù)據(jù)時代來臨，隱私權早已不能覆蓋個人信息保護的需求，在立法中個人信息保護也逐步從私權領域的隱私權中分離出來。我國正逐步加大個人信息保護方面的工作力度，全民的自我保護意識也在不斷提升，醫(yī)療機構加強個人信息保護合規(guī)迫在眉睫。如何更好地應對患者個人信息保護的問題，值得我們進一步探討。

【參考資料】

[1] 《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》（GB/T 39725-2020）表1 健康醫(yī)療數(shù)據(jù)類別和范圍

[2] 中國信通院安全研究所、衛(wèi)生信息安全與新技術應用專業(yè)委員會和中國醫(yī)院協(xié)會信息管理專業(yè)委員會《2019健康醫(yī)療行業(yè)移動App安全觀測報告》

（上篇回顧：《【醫(yī)療機構數(shù)據(jù)合規(guī)系列之一】強監(jiān)管背景下醫(yī)療機構的數(shù)據(jù)合規(guī)之路》；下期介紹：《【醫(yī)療機構數(shù)據(jù)合規(guī)系列之三】“互聯(lián)網+醫(yī)療服務”場景下的數(shù)據(jù)合規(guī)要點》）

【作者簡介】

朱晨，蘇州大學附屬兒童醫(yī)院質量管理辦公室主任，曾履職醫(yī)院醫(yī)務、科教、信息、裝備、門診等多個部門，其間從事醫(yī)療信息化建設和管理工作十余年。

魏燦燦，上海市錦天城（蘇州）律師事務所律師，畢業(yè)于吉林大學，碩士學位。具有信息技術和醫(yī)療健康行業(yè)的從業(yè)背景，對相關企業(yè)的產品、業(yè)務、運營管理有深度了解。常年為互聯(lián)網、大數(shù)據(jù)、人工智能、醫(yī)療健康、生物醫(yī)藥等領域的企業(yè)提供公司治理、股權架構及控制權設計、融資、并購、訴訟仲裁等法律服務；同時致力于研究并為相關機構或企業(yè)提供數(shù)據(jù)安全和個人信息保護方面的數(shù)據(jù)合規(guī)方案。

【責任編輯：秦勉】