柳姗姗
快速发展的互联网医疗,为患者看病吃药带来很多便利,但防不胜防的信息泄露问题却让人难掩隐忧。有律师表示,互联网医疗的患者隐私权保护维权案例还属凤毛麟角,主要原因在于患者可能并不知道个人信息已被泄露或泄露后应参照什么样的标准进行维权。
“生活在小城市,想到大城市去好医院看次病,交通、挂号、排队都要耗费不少精力,网上问诊确实方便,但就怕隐私信息被泄露。”近日,身患疾病的吉林四平市民王丽(化名)在当地医院久治无明显效果后一直想到更好的医院看看,但因工作太忙、专家号难挂,便开始考虑网上远程问诊。
“我虽然没用过网上医院,但不管是自己还是家人身体出现问题,都会到网上查询相关病例以做参考,每年的常规体检报告也是在App上查询下载的,所以特别担心有一天自己的健康信息会被曝光,或者可能已经被曝光,不知道它们最终会流向哪里、用到何处。”因为对个人隐私泄露的担忧,王丽一直犹豫要不要远程问诊。
信息泄露防不胜防,网络医疗顾虑重重
疫情暴发后迎来快速发展的互联网医疗,为患者看病吃药带来很多便利,但防不胜防的信息泄露问题却让人难掩隐忧。如何更好保护患者隐私权成为互联网医疗未来发展的瓶颈。
2020年4月,国家计算机病毒应急处理中心监测发现20余款App存在涉嫌隐私不合规行为。发布信息显示,这些App的违法违规行为主要包括未向用户明示申请的全部隐私权限、未说明收集使用个人信息规则、未提供有效的更正删除个人信息及注销用户账号功能。
此前,曾有媒体披露几家大型医学网站在内的医疗App获取隐私信息的惊人范围,包括允许程序输入电话号码、允许程序获得用户当前精确的位置信息用来定位、允许程序访问摄像头拍照或录像等8项个人隐私权限。一家移动安全服务商曾对10款热门医疗类App进行专业的安全检测,其结果显示这些App的安全性都很低,甚至有App没有采取任何防护措施。
一份国家卫生健康委发布的《短信拦截医院数据售卖事件分析报告》显示,2019年7月9日,在暗网论坛以3元/条价格售卖的医院实时挂号数据,是由第三方预约挂号网站的短信平台导致的泄露。该事件中,卖家称数据隔天提供,每日10万条,挂号信息包含用户的姓名、手机号、对应科室等,是医疗诈骗和精准营销类黑产需要的核心数据。
数据价值逐利,盗取贩卖层出不穷
2017年,浙江省松阳县人民法院一审判决一起特大侵犯公民个人信息案。据媒体报道,该案中有超过7亿条公民信息遭泄露,8000余萬条公民信息被贩卖,其中包括某单位医疗服务信息系统被入侵后导出的大量孕检信息。王某辉、陈某亮等7人被法院判决构成侵犯公民个人信息罪,获刑三至五年不等,并被处以罚金。
随着互联网医疗的飞速发展,相关平台和医疗机构积累了大量患者基本信息、化验结果、电子处方等数据。由于这些数据比其他常规性数据使用价值更高,系统安全保障措施又相对落后,使得互联网医疗领域成为不法黑客的重点攻击对象之一。
不少患者认为,医疗数据把姓名和身份证信息去掉后就安全了,可公开使用,但事实是利用大数据分析技术,一些看似零碎分散的信息,很可能碰撞出完整的个人信息。在这种情况下,患者可能根本不知道自己的隐私信息已被泄露。
除了隐私信息易泄露,诸如“在线医生”“在线专家”身份难辨真假、医托陷阱密布等问题也层出不穷。一个互联网诊疗App的前员工表示,在互联网医疗中,人们更愿意去询问男科、妇科、生殖等平时难以启齿的问题,同时这些问题由于其隐秘性和难以界定的症状,也是医骗的重灾区。
维权案例凤毛麟角,保护隐私须合力
“患者隐私权是指患者拥有保护自身的隐私部位、病史、身体缺陷、特殊经历、遭遇等隐私,不受任何形式的外来侵犯的权利。”广东广和(长春)律师事务所律师王雨琦说,《执业医师法》第37条第9项规定,医师在执业活动中,违反本法规定,泄露患者隐私,造成严重后果的,由县级以上人民政府卫生行政部门给予警告或者责令暂停六个月以上一年以下执业活动;情节严重的,吊销其执业证书;构成犯罪的,依法追究刑事责任。
王雨琦表示,尽管我国现行的《民法典》《执业医师法》《刑法》等法律法规中对患者的隐私权都有所涉及,但并无专门系统性的法律法规,且内容也不够具体,可操作性不强,不过国家相关部门和相关机构已经意识到该问题的重要性。
2018年4月25日,国务院办公厅印发了《关于促进“互联网+医疗健康”发展的意见》,提出要研究制定健康医疗大数据确权、开放、流通、交易和产权保护的法规,严格执行信息安全和健康医疗数据保密规定,建立完善个人隐私信息保护制度。
据统计,2020年,互联网医疗领域共出台56条政策,国务院办公厅两次发文提到互联网诊疗,并将其界定为消费新业态,要求进一步放宽互联网诊疗范围,大力推进新业态,完善对新业态的包容审慎监管。2021年全国两会期间,有代表建议,应加强访问者的权限控制和访问后的行为追溯,对访问行为实行实时监控,并研究制定医疗数据安全相关条例。
目前,作为一种消费新业态,互联网医疗的患者隐私权保护维权案例还属凤毛麟角,主要原因在于患者可能并不知道个人信息已被泄露或泄露后应参照什么样的标准进行维权。
2021年1月,陕西白水县医院工作人员楚某某,将同办公室工作人员发给自己的病历资料照片通过微信发于家庭群,致使该病例照片在微信等社交平台中被大量转发传播后,被公安局处以行政拘留9日并处500元罚款处罚。该案例或可作为互联网医疗数据泄露的一例。
王雨琦建议,国家相关部门应尽快制定专门的、内容全面的、可操作性强的法律法规,将患者隐私权保护落到实处。同时,在互联网医院建设方面,也应提高平台软硬件技术水平,提高医务人员法律意识和服务意识,提高患者自我保护和维权意识,形成保护隐私数据的合力。
摘编自《工人日报》2021年4月5日