医院泄露患者信息侵权行为之规避对策

文/邓勇 生杰元

随着个人信息保护法律体系的逐步建立，医疗机构及其医务人员应提前做好应对准备，避免因信息泄露陷入纠纷，进而构建更为和谐的医患关系。

近年来，因病历资料等个人就诊信息被泄露而引发的医患矛盾不在少数，患者个人信息保护成为法学理论界重点研究的课题之一。目前，适逢民法典编纂，这一社会热点问题得到立法者关注。2018年12月23日，十三届全国人大常委会第七次会议对《民法典侵权责任编（草案）（二次审议稿）》进行了审议。该《草案》首次对患者个人信息保护问题予以回应，明确医疗机构及其医务人员泄露患者个人信息，应承担侵权责任。

患者个人信息保护之立法现状

在《民法总则》出台之前，民事立法鲜有对个人信息保护的规定。更多情况下，个人信息被视为个人隐私的一部分，通过隐私权的形式予以保护。在医疗卫生领域，我国的医疗卫生法律、行政法规、地方性法规、规章等对患者这一特殊群体的隐私给予了高度重视和格外关照。例如，《侵权责任法》医疗损害责任一章规定，“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。”《执业医师法》第二十二条规定，医师在执业活动中履行下列义务：关心、爱护、尊重患者，保护患者的隐私；《护士管理办法》第二十四条规定，护士在执业中得悉就医者的隐私，不得泄露。

虽然现行立法对患者隐私予以重视，但隐私毕竟不同于个人信息。从内容上看，个人隐私强调“私密性”，包括对个人私密信息、活动和场所的秘密保护，而个人信息则强调“识别性”，其不仅包括个人私密信息，还包括可以公开的个人识别信息，如姓名、性别、年龄等。从价值理念上看，隐私权体现在对个人尊严的保护，而个人信息则偏向于对个人生活安宁的尊重。通过以上解释，不难看出，隐私与个人信息存有交集。相较于隐私，个人信息涵盖范围更加广泛，以隐私权形式对其进行保护存在明显的保护不足。

随着公民个人信息保护意识的逐步增强，个人信息保护逐步有了法律依据。2015年，全国人大常委会颁布《中华人民共和国刑法修正案（九）》，将刑法第二百五十三条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”这一变动标志着，个人信息获得了刑法层面的保护。此后，2017年3月15日，《民法总则》经表决通过。针对日常生活中实际存在的个人信息泄露问题，《民法总则》予以积极回应。第一百一十一条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。这是我国民事立法首次对个人信息保护进行规定，被认为是一项突破性的立法创举，构成此次《民法总则》的亮点之一。

《侵权责任编》患者信息保护条款解读

《民法总则》有关个人信息保护的规定为后续立法提供了基础法律依据。2018年9月5日，民法典各分编草案在中国人大网公布，向社会公开征求

China Hospital CEO中国医院院长意见。其中，《侵权责任编（草案）》一审稿响应了《民法总则》

保护个人信息的立法理念，将个人信息保护引入医疗卫生领域，强调患者个人信息保护。一审稿第1001条规定：“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者隐私和个人信息或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。”与《侵权责任法》第六十二条相比，此次一审稿增加了医疗机构及其医务人员对患者个人信息的保密义务。一方面，这一改动有利于《侵权责任编（草案）》与《民法总则》规定的协调，逐步形成个人信息法律保护体系；另一方面，积极回应了社会关切，有利于患者权利的全面保护，进而有力遏制医疗机构的信息泄露行为。

2018年12月23日，十三届全国人大常委会第七次会议对《民法典侵权责任编（草案）》进行第二次审议，二审稿强化了对于患者隐私和个人信息的保护。二审稿第1001条规定，“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者隐私和个人信息或者未经患者同意公开其病历资料的，应当承担侵权责任。”相比一审稿，二审稿删除了“造成患者损害的”这一结果要件。这意味着，只要医疗机构及其医务人员实施了泄露患者隐私和个人信息的行为，即使没有造成患者损害，也应承担侵权责任。这一修改强化了对患者个人信息保护的力度，对医疗机构及其医务人员的保密义务提出了更为严格的要求，体现了立法者惩治个人医疗信息泄露的决心。

目前，《民法典侵权责任编》尚处于审议阶段，患者个人信息保护的条款究竟如何表述，尚不能确定。但两次审议传递出的信号却很明显，即患者个人信息应当得到保护和尊重。为此，下一步，医疗机构及其医务人员应提高警惕，及时发现医务工作中存在的泄露患者个人信息的行为，并尽早建立健全相应的保密工作制度，确保患者个人信息得到充分的保护，避免患者信息泄露行为的再度发生。

国外部分国家对病患隐私的保护

美国

1996年，时任美国总统克林顿签署了《健康保险隐私和责任法案》，该法案对医疗健康产业具有规范作用，包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、患者识别等。该法案适用于涉及医疗保健的机构，如医院、健康计划部门、保健服务商、相关票据交换所、医疗信息系统提供商、医科大学、小诊所等。对于违反该法案安全条例的行为，将处以最高25万美元的罚款和最长10年的监禁。

如今，对美国所有医务人员来说，《健康保险隐私和责任法案》是如雷贯耳的名字，且每个医院的从业人员都要在入职前接受培训、通过考试，以保护患者健康信息的不外泄。

英国

在英国，每个患者都有自己的就诊账号，通过账号可以查询历次就诊信息，包括检查记录、病人转诊信息等。这些信息不归病人和医院所有，而是属于英国国民健康保险系统（1948年建立）。英国医院不仅保护患者的隐私，还保护医务人员的隐私。一进英国医院的大门，前台接待人员会提示患者及其家属，不能随便拍照，比如包含病人信息的纸质材料，哪怕是一张化验单也不行;比如医院走廊上医生获奖的照片也不能拍，因为医护人员的隐私同样重要。

奥地利

在奥地利，每位公民都会有一张电子医疗卡，卡里有这个人所有的就医资料，包括血型、对哪些食物过敏、就医记录、体检记录、手术记录等。患者到任何一家医院就诊，医生都可以调出以前存档的记录。然而，为了防范患者的隐私泄露，医生在调取这些资料时，需要患者签字同意。

医务工作中常见的泄露患者信息行为类型

类型一：以盈利为目的，出售患者个人信息。对医药行业来说，患者的个人信息具有极大的市场价值，因此，某些医药企业总是千方百计从医疗机构手中获取就诊患者信息。部分医疗机构及医务人员由于未能抵制金钱的诱惑，遂与不法分子串通，大量出售患者信息。例如，2016年8月，珠海市香洲区香湾街道水拥社区卫生服务站公卫医生张某，利用职务之便，向孙某贩卖了约98009条珠海市患者的个人信息，犯罪情节较重，社会影响恶劣。最终，法院判处张某有期徒刑一年，并处罚金5000元。可见，出售患者个人信息，不仅是对患者的侵权行为，更触犯了刑事法律的规定。

类型二:出于窥私心理，曝光患者信息。这一侵权行为的受害者往往是社会知名人士。以明星为例，人们日常很难近距离接触明星，因此，对明星生活有强烈的窥探欲。部分医务人员在获取明星就诊信息后，便迫不及待地在网络上进行曝光，给当事人带来痛苦和烦扰。例如，林更新于2018年8月9日就诊于北京中日友好医院，后其病历信息遭微博曝光，对其生活和工作安宁造成严重影响。随即涉事医院在官方网站上发表声明，承认医院的医务人员在工作的过程中不严谨，泄露了患者的私密信息。可见，随意泄露患者信息，不仅会造成网络秩序的混乱，还会对患者权益和生活造成影响。

类型三：随意放置化验单、病历等就诊资料。患者的个人基本信息和健康信息集中体现在其化验单、B超单、体检单、病历等就诊资料上，理应受到严格的保护。但由于管理制度不健全，加之对患者个人信息保护的意识不强，医务人员随意将上述就诊材料放置于任何人都可以翻阅的场所，从而造成患者个人信息泄露的情况屡见不鲜。此外，目前各医院基本都实行电子显示屏叫号系统，其中部分医院采取“实名”滚动方式提醒患者就诊。这同样会造成患者个人信息泄露的风险，应尽快对系统加以改进。

类型四：在科研成果中公布患者个人信息。一些医务工作者在患者权益保护问题上存在误区，即认为患者的权利应让位于医学科学研究，因此对患者个人信息和隐私采取漠视态度，随意将患者信息在科研成果、课堂教学、学术交流大会等场合公开。这种观念显然是错误的。在现行《侵权责任法》框架下，这种行为可能会构成对患者隐私权的侵犯。从《侵权责任编草案》的视角来看，这一行为有触犯患者个人信息保护条款之嫌疑。

规避患者信息泄露之对策建议

首先，医务人员应增强法律意识，对患者个人信息给予充分尊重。在《民法总则》出台以后，患者个人信息受到严格保护，医疗机构及医务人员肩负的信息保护责任更加艰巨。为此，医务人员有必要及时学习《民法总则》《侵权责任法》等法律文件，逐步提高自身法律意识，对患者合法权益给予充分的尊重。为规避患者信息泄露，笔者建议，医疗机构应定期邀请法官、律师等法律工作者到医院开办讲座，由主讲人对最新法律文件中有关患者个人信息保护的条款进行深度解读，结合其工作经历向医务人员讲述常见的违法侵权行为类型，在此基础上给出可行的防范措施，以不断提高医务人员的权利保护意识，促进日常医务工作走向规范化、合法化。

其次，医疗机构健全患者个人信息保护管理制度。医疗机构存储有海量的患者个人信息，因此有必要建立完善的保护管理制度。首先，依据《医疗机构病历管理规定》，除特定人员外，其他任何机构和个人不得擅自查阅患者病历。据此，对于患者的就诊材料，医疗机构应要求医务人员加以妥善保管，不得随意放置在任何人皆可触及的区域。必要时，还可以将电子检查单等就诊材料直接发送至患者电子医疗档案，方便患者并保证其个人信息不外泄。其次，改进电子叫号系统，对电子显示屏上的患者信息做模糊化处理或者用编号加以取代，避免患者尴尬。最后，由于储存有大量患者信息，医疗机构信息存储系统很容易成为不法分子攻击的对象。因此，为避免系统被破坏进而造成信息泄露，建议医疗机构对信息系统进行更新升级，增强其防护力度，有效抵制“黑客”入侵，使患者个人信息在医疗机构得到妥善保管。

再次，使用患者个人信息，应提前征得患者同意。医务人员从事课堂教学或医学科研活动，或多或少会用到患者的部分信息。虽然民事法律对非法使用他人信息的行为持否定态度，但这并不妨碍医疗机构及医务人员在征得患者本人同意后合法公开、使用患者个人信息。事实上，作为信息的拥有者，患者本人对其个人信息享有支配权，有权同意他人使用。因此，遇有需要公开使用患者个人信息的情形，医务人员可提前与患者沟通，并在患者同意的范围内合法使用患者信息。遇有患者不同意的情况，医务人员也可对患者图片、身份信息等做模糊化处理，或者使用假名、加密技术等隐匿患者身份。这不仅有助于实现医学教学和科研目的，同时还体现了对患者权利的尊重，确保患者个人信息的安全、保密。

另外，可以预见，随着民法典编纂工作的日益深入，个人信息保护的法律体系将逐步建立。在此形势下，医疗机构及其医务人员应提前做好应对准备，及时转变工作思路，在日常诊疗和医务管理工作中践行患者信息保护的立法精神，避免因信息泄露陷入纠纷，进而构建更为和谐的医患关系。