文/鄧勇 生杰元

隨著個人信息保護(hù)法律體系的逐步建立，醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員應(yīng)提前做好應(yīng)對準(zhǔn)備，避免因信息泄露陷入糾紛，進(jìn)而構(gòu)建更為和諧的醫(yī)患關(guān)系。

近年來，因病歷資料等個人就診信息被泄露而引發(fā)的醫(yī)患矛盾不在少數(shù)，患者個人信息保護(hù)成為法學(xué)理論界重點(diǎn)研究的課題之一。目前，適逢民法典編纂，這一社會熱點(diǎn)問題得到立法者關(guān)注。2018年12月23日，十三屆全國人大常委會第七次會議對《民法典侵權(quán)責(zé)任編（草案）（二次審議稿）》進(jìn)行了審議。該《草案》首次對患者個人信息保護(hù)問題予以回應(yīng)，明確醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員泄露患者個人信息，應(yīng)承擔(dān)侵權(quán)責(zé)任。

患者個人信息保護(hù)之立法現(xiàn)狀

在《民法總則》出臺之前，民事立法鮮有對個人信息保護(hù)的規(guī)定。更多情況下，個人信息被視為個人隱私的一部分，通過隱私權(quán)的形式予以保護(hù)。在醫(yī)療衛(wèi)生領(lǐng)域，我國的醫(yī)療衛(wèi)生法律、行政法規(guī)、地方性法規(guī)、規(guī)章等對患者這一特殊群體的隱私給予了高度重視和格外關(guān)照。例如，《侵權(quán)責(zé)任法》醫(yī)療損害責(zé)任一章規(guī)定，“醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員應(yīng)當(dāng)對患者的隱私保密。泄露患者隱私或者未經(jīng)患者同意公開其病歷資料，造成患者損害的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任?！薄秷?zhí)業(yè)醫(yī)師法》第二十二條規(guī)定，醫(yī)師在執(zhí)業(yè)活動中履行下列義務(wù)：關(guān)心、愛護(hù)、尊重患者，保護(hù)患者的隱私；《護(hù)士管理辦法》第二十四條規(guī)定，護(hù)士在執(zhí)業(yè)中得悉就醫(yī)者的隱私，不得泄露。

雖然現(xiàn)行立法對患者隱私予以重視，但隱私畢竟不同于個人信息。從內(nèi)容上看，個人隱私強(qiáng)調(diào)“私密性”，包括對個人私密信息、活動和場所的秘密保護(hù)，而個人信息則強(qiáng)調(diào)“識別性”，其不僅包括個人私密信息，還包括可以公開的個人識別信息，如姓名、性別、年齡等。從價值理念上看，隱私權(quán)體現(xiàn)在對個人尊嚴(yán)的保護(hù)，而個人信息則偏向于對個人生活安寧的尊重。通過以上解釋，不難看出，隱私與個人信息存有交集。相較于隱私，個人信息涵蓋范圍更加廣泛，以隱私權(quán)形式對其進(jìn)行保護(hù)存在明顯的保護(hù)不足。

隨著公民個人信息保護(hù)意識的逐步增強(qiáng)，個人信息保護(hù)逐步有了法律依據(jù)。2015年，全國人大常委會頒布《中華人民共和國刑法修正案（九）》，將刑法第二百五十三條之一修改為：“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！边@一變動標(biāo)志著，個人信息獲得了刑法層面的保護(hù)。此后，2017年3月15日，《民法總則》經(jīng)表決通過。針對日常生活中實(shí)際存在的個人信息泄露問題，《民法總則》予以積極回應(yīng)。第一百一十一條規(guī)定，自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。這是我國民事立法首次對個人信息保護(hù)進(jìn)行規(guī)定，被認(rèn)為是一項(xiàng)突破性的立法創(chuàng)舉，構(gòu)成此次《民法總則》的亮點(diǎn)之一。

《侵權(quán)責(zé)任編》患者信息保護(hù)條款解讀

《民法總則》有關(guān)個人信息保護(hù)的規(guī)定為后續(xù)立法提供了基礎(chǔ)法律依據(jù)。2018年9月5日，民法典各分編草案在中國人大網(wǎng)公布，向社會公開征求

China Hospital CEO中國醫(yī)院院長意見。其中，《侵權(quán)責(zé)任編（草案）》一審稿響應(yīng)了《民法總則》

保護(hù)個人信息的立法理念，將個人信息保護(hù)引入醫(yī)療衛(wèi)生領(lǐng)域，強(qiáng)調(diào)患者個人信息保護(hù)。一審稿第1001條規(guī)定：“醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員應(yīng)當(dāng)對患者的隱私和個人信息保密。泄露患者隱私和個人信息或者未經(jīng)患者同意公開其病歷資料，造成患者損害的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任?！迸c《侵權(quán)責(zé)任法》第六十二條相比，此次一審稿增加了醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員對患者個人信息的保密義務(wù)。一方面，這一改動有利于《侵權(quán)責(zé)任編（草案）》與《民法總則》規(guī)定的協(xié)調(diào)，逐步形成個人信息法律保護(hù)體系；另一方面，積極回應(yīng)了社會關(guān)切，有利于患者權(quán)利的全面保護(hù)，進(jìn)而有力遏制醫(yī)療機(jī)構(gòu)的信息泄露行為。

2018年12月23日，十三屆全國人大常委會第七次會議對《民法典侵權(quán)責(zé)任編（草案）》進(jìn)行第二次審議，二審稿強(qiáng)化了對于患者隱私和個人信息的保護(hù)。二審稿第1001條規(guī)定，“醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員應(yīng)當(dāng)對患者的隱私和個人信息保密。泄露患者隱私和個人信息或者未經(jīng)患者同意公開其病歷資料的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任?！毕啾纫粚徃澹徃鍎h除了“造成患者損害的”這一結(jié)果要件。這意味著，只要醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員實(shí)施了泄露患者隱私和個人信息的行為，即使沒有造成患者損害，也應(yīng)承擔(dān)侵權(quán)責(zé)任。這一修改強(qiáng)化了對患者個人信息保護(hù)的力度，對醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員的保密義務(wù)提出了更為嚴(yán)格的要求，體現(xiàn)了立法者懲治個人醫(yī)療信息泄露的決心。

目前，《民法典侵權(quán)責(zé)任編》尚處于審議階段，患者個人信息保護(hù)的條款究竟如何表述，尚不能確定。但兩次審議傳遞出的信號卻很明顯，即患者個人信息應(yīng)當(dāng)?shù)玫奖Ｗo(hù)和尊重。為此，下一步，醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員應(yīng)提高警惕，及時發(fā)現(xiàn)醫(yī)務(wù)工作中存在的泄露患者個人信息的行為，并盡早建立健全相應(yīng)的保密工作制度，確?；颊邆€人信息得到充分的保護(hù)，避免患者信息泄露行為的再度發(fā)生。

國外部分國家對病患隱私的保護(hù)

美國

1996年，時任美國總統(tǒng)克林頓簽署了《健康保險隱私和責(zé)任法案》，該法案對醫(yī)療健康產(chǎn)業(yè)具有規(guī)范作用，包括交易規(guī)則、醫(yī)療服務(wù)機(jī)構(gòu)的識別、從業(yè)人員的識別、醫(yī)療信息安全、醫(yī)療隱私、健康計(jì)劃識別、第一傷病報(bào)告、患者識別等。該法案適用于涉及醫(yī)療保健的機(jī)構(gòu)，如醫(yī)院、健康計(jì)劃部門、保健服務(wù)商、相關(guān)票據(jù)交換所、醫(yī)療信息系統(tǒng)提供商、醫(yī)科大學(xué)、小診所等。對于違反該法案安全條例的行為，將處以最高25萬美元的罰款和最長10年的監(jiān)禁。

如今，對美國所有醫(yī)務(wù)人員來說，《健康保險隱私和責(zé)任法案》是如雷貫耳的名字，且每個醫(yī)院的從業(yè)人員都要在入職前接受培訓(xùn)、通過考試，以保護(hù)患者健康信息的不外泄。

英國

在英國，每個患者都有自己的就診賬號，通過賬號可以查詢歷次就診信息，包括檢查記錄、病人轉(zhuǎn)診信息等。這些信息不歸病人和醫(yī)院所有，而是屬于英國國民健康保險系統(tǒng)（1948年建立）。英國醫(yī)院不僅保護(hù)患者的隱私，還保護(hù)醫(yī)務(wù)人員的隱私。一進(jìn)英國醫(yī)院的大門，前臺接待人員會提示患者及其家屬，不能隨便拍照，比如包含病人信息的紙質(zhì)材料，哪怕是一張化驗(yàn)單也不行;比如醫(yī)院走廊上醫(yī)生獲獎的照片也不能拍，因?yàn)獒t(yī)護(hù)人員的隱私同樣重要。

奧地利

在奧地利，每位公民都會有一張電子醫(yī)療卡，卡里有這個人所有的就醫(yī)資料，包括血型、對哪些食物過敏、就醫(yī)記錄、體檢記錄、手術(shù)記錄等?；颊叩饺魏我患裔t(yī)院就診，醫(yī)生都可以調(diào)出以前存檔的記錄。然而，為了防范患者的隱私泄露，醫(yī)生在調(diào)取這些資料時，需要患者簽字同意。

醫(yī)務(wù)工作中常見的泄露患者信息行為類型

類型一：以盈利為目的，出售患者個人信息。對醫(yī)藥行業(yè)來說，患者的個人信息具有極大的市場價值，因此，某些醫(yī)藥企業(yè)總是千方百計(jì)從醫(yī)療機(jī)構(gòu)手中獲取就診患者信息。部分醫(yī)療機(jī)構(gòu)及醫(yī)務(wù)人員由于未能抵制金錢的誘惑，遂與不法分子串通，大量出售患者信息。例如，2016年8月，珠海市香洲區(qū)香灣街道水擁社區(qū)衛(wèi)生服務(wù)站公衛(wèi)醫(yī)生張某，利用職務(wù)之便，向?qū)O某販賣了約98009條珠海市患者的個人信息，犯罪情節(jié)較重，社會影響惡劣。最終，法院判處張某有期徒刑一年，并處罰金5000元。可見，出售患者個人信息，不僅是對患者的侵權(quán)行為，更觸犯了刑事法律的規(guī)定。

類型二:出于窺私心理，曝光患者信息。這一侵權(quán)行為的受害者往往是社會知名人士。以明星為例，人們?nèi)粘：茈y近距離接觸明星，因此，對明星生活有強(qiáng)烈的窺探欲。部分醫(yī)務(wù)人員在獲取明星就診信息后，便迫不及待地在網(wǎng)絡(luò)上進(jìn)行曝光，給當(dāng)事人帶來痛苦和煩擾。例如，林更新于2018年8月9日就診于北京中日友好醫(yī)院，后其病歷信息遭微博曝光，對其生活和工作安寧造成嚴(yán)重影響。隨即涉事醫(yī)院在官方網(wǎng)站上發(fā)表聲明，承認(rèn)醫(yī)院的醫(yī)務(wù)人員在工作的過程中不嚴(yán)謹(jǐn)，泄露了患者的私密信息?？梢?，隨意泄露患者信息，不僅會造成網(wǎng)絡(luò)秩序的混亂，還會對患者權(quán)益和生活造成影響。

類型三：隨意放置化驗(yàn)單、病歷等就診資料?；颊叩膫€人基本信息和健康信息集中體現(xiàn)在其化驗(yàn)單、B超單、體檢單、病歷等就診資料上，理應(yīng)受到嚴(yán)格的保護(hù)。但由于管理制度不健全，加之對患者個人信息保護(hù)的意識不強(qiáng)，醫(yī)務(wù)人員隨意將上述就診材料放置于任何人都可以翻閱的場所，從而造成患者個人信息泄露的情況屢見不鮮。此外，目前各醫(yī)院基本都實(shí)行電子顯示屏叫號系統(tǒng)，其中部分醫(yī)院采取“實(shí)名”滾動方式提醒患者就診。這同樣會造成患者個人信息泄露的風(fēng)險，應(yīng)盡快對系統(tǒng)加以改進(jìn)。

類型四：在科研成果中公布患者個人信息。一些醫(yī)務(wù)工作者在患者權(quán)益保護(hù)問題上存在誤區(qū)，即認(rèn)為患者的權(quán)利應(yīng)讓位于醫(yī)學(xué)科學(xué)研究，因此對患者個人信息和隱私采取漠視態(tài)度，隨意將患者信息在科研成果、課堂教學(xué)、學(xué)術(shù)交流大會等場合公開。這種觀念顯然是錯誤的。在現(xiàn)行《侵權(quán)責(zé)任法》框架下，這種行為可能會構(gòu)成對患者隱私權(quán)的侵犯。從《侵權(quán)責(zé)任編草案》的視角來看，這一行為有觸犯患者個人信息保護(hù)條款之嫌疑。

規(guī)避患者信息泄露之對策建議

首先，醫(yī)務(wù)人員應(yīng)增強(qiáng)法律意識，對患者個人信息給予充分尊重。在《民法總則》出臺以后，患者個人信息受到嚴(yán)格保護(hù)，醫(yī)療機(jī)構(gòu)及醫(yī)務(wù)人員肩負(fù)的信息保護(hù)責(zé)任更加艱巨。為此，醫(yī)務(wù)人員有必要及時學(xué)習(xí)《民法總則》《侵權(quán)責(zé)任法》等法律文件，逐步提高自身法律意識，對患者合法權(quán)益給予充分的尊重。為規(guī)避患者信息泄露，筆者建議，醫(yī)療機(jī)構(gòu)應(yīng)定期邀請法官、律師等法律工作者到醫(yī)院開辦講座，由主講人對最新法律文件中有關(guān)患者個人信息保護(hù)的條款進(jìn)行深度解讀，結(jié)合其工作經(jīng)歷向醫(yī)務(wù)人員講述常見的違法侵權(quán)行為類型，在此基礎(chǔ)上給出可行的防范措施，以不斷提高醫(yī)務(wù)人員的權(quán)利保護(hù)意識，促進(jìn)日常醫(yī)務(wù)工作走向規(guī)范化、合法化。

其次，醫(yī)療機(jī)構(gòu)健全患者個人信息保護(hù)管理制度。醫(yī)療機(jī)構(gòu)存儲有海量的患者個人信息，因此有必要建立完善的保護(hù)管理制度。首先，依據(jù)《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》，除特定人員外，其他任何機(jī)構(gòu)和個人不得擅自查閱患者病歷。據(jù)此，對于患者的就診材料，醫(yī)療機(jī)構(gòu)應(yīng)要求醫(yī)務(wù)人員加以妥善保管，不得隨意放置在任何人皆可觸及的區(qū)域。必要時，還可以將電子檢查單等就診材料直接發(fā)送至患者電子醫(yī)療檔案，方便患者并保證其個人信息不外泄。其次，改進(jìn)電子叫號系統(tǒng)，對電子顯示屏上的患者信息做模糊化處理或者用編號加以取代，避免患者尷尬。最后，由于儲存有大量患者信息，醫(yī)療機(jī)構(gòu)信息存儲系統(tǒng)很容易成為不法分子攻擊的對象。因此，為避免系統(tǒng)被破壞進(jìn)而造成信息泄露，建議醫(yī)療機(jī)構(gòu)對信息系統(tǒng)進(jìn)行更新升級，增強(qiáng)其防護(hù)力度，有效抵制“黑客”入侵，使患者個人信息在醫(yī)療機(jī)構(gòu)得到妥善保管。

再次，使用患者個人信息，應(yīng)提前征得患者同意。醫(yī)務(wù)人員從事課堂教學(xué)或醫(yī)學(xué)科研活動，或多或少會用到患者的部分信息。雖然民事法律對非法使用他人信息的行為持否定態(tài)度，但這并不妨礙醫(yī)療機(jī)構(gòu)及醫(yī)務(wù)人員在征得患者本人同意后合法公開、使用患者個人信息。事實(shí)上，作為信息的擁有者，患者本人對其個人信息享有支配權(quán)，有權(quán)同意他人使用。因此，遇有需要公開使用患者個人信息的情形，醫(yī)務(wù)人員可提前與患者溝通，并在患者同意的范圍內(nèi)合法使用患者信息。遇有患者不同意的情況，醫(yī)務(wù)人員也可對患者圖片、身份信息等做模糊化處理，或者使用假名、加密技術(shù)等隱匿患者身份。這不僅有助于實(shí)現(xiàn)醫(yī)學(xué)教學(xué)和科研目的，同時還體現(xiàn)了對患者權(quán)利的尊重，確保患者個人信息的安全、保密。

另外，可以預(yù)見，隨著民法典編纂工作的日益深入，個人信息保護(hù)的法律體系將逐步建立。在此形勢下，醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員應(yīng)提前做好應(yīng)對準(zhǔn)備，及時轉(zhuǎn)變工作思路，在日常診療和醫(yī)務(wù)管理工作中踐行患者信息保護(hù)的立法精神，避免因信息泄露陷入糾紛，進(jìn)而構(gòu)建更為和諧的醫(yī)患關(guān)系。