文/鄧勇 生杰元

隨著個人信息保護法律體系的逐步建立，醫(yī)療機構(gòu)及其醫(yī)務人員應提前做好應對準備，避免因信息泄露陷入糾紛，進而構(gòu)建更為和諧的醫(yī)患關(guān)系。

近年來，因病歷資料等個人就診信息被泄露而引發(fā)的醫(yī)患矛盾不在少數(shù)，患者個人信息保護成為法學理論界重點研究的課題之一。目前，適逢民法典編纂，這一社會熱點問題得到立法者關(guān)注。2018年12月23日，十三屆全國人大常委會第七次會議對《民法典侵權(quán)責任編（草案）（二次審議稿）》進行了審議。該《草案》首次對患者個人信息保護問題予以回應，明確醫(yī)療機構(gòu)及其醫(yī)務人員泄露患者個人信息，應承擔侵權(quán)責任。

患者個人信息保護之立法現(xiàn)狀

在《民法總則》出臺之前，民事立法鮮有對個人信息保護的規(guī)定。更多情況下，個人信息被視為個人隱私的一部分，通過隱私權(quán)的形式予以保護。在醫(yī)療衛(wèi)生領(lǐng)域，我國的醫(yī)療衛(wèi)生法律、行政法規(guī)、地方性法規(guī)、規(guī)章等對患者這一特殊群體的隱私給予了高度重視和格外關(guān)照。例如，《侵權(quán)責任法》醫(yī)療損害責任一章規(guī)定，“醫(yī)療機構(gòu)及其醫(yī)務人員應當對患者的隱私保密。泄露患者隱私或者未經(jīng)患者同意公開其病歷資料，造成患者損害的，應當承擔侵權(quán)責任?！薄秷?zhí)業(yè)醫(yī)師法》第二十二條規(guī)定，醫(yī)師在執(zhí)業(yè)活動中履行下列義務：關(guān)心、愛護、尊重患者，保護患者的隱私；《護士管理辦法》第二十四條規(guī)定，護士在執(zhí)業(yè)中得悉就醫(yī)者的隱私，不得泄露。

雖然現(xiàn)行立法對患者隱私予以重視，但隱私畢竟不同于個人信息。從內(nèi)容上看，個人隱私強調(diào)“私密性”，包括對個人私密信息、活動和場所的秘密保護，而個人信息則強調(diào)“識別性”，其不僅包括個人私密信息，還包括可以公開的個人識別信息，如姓名、性別、年齡等。從價值理念上看，隱私權(quán)體現(xiàn)在對個人尊嚴的保護，而個人信息則偏向于對個人生活安寧的尊重。通過以上解釋，不難看出，隱私與個人信息存有交集。相較于隱私，個人信息涵蓋范圍更加廣泛，以隱私權(quán)形式對其進行保護存在明顯的保護不足。

隨著公民個人信息保護意識的逐步增強，個人信息保護逐步有了法律依據(jù)。2015年，全國人大常委會頒布《中華人民共和國刑法修正案（九）》，將刑法第二百五十三條之一修改為：“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金?！边@一變動標志著，個人信息獲得了刑法層面的保護。此后，2017年3月15日，《民法總則》經(jīng)表決通過。針對日常生活中實際存在的個人信息泄露問題，《民法總則》予以積極回應。第一百一十一條規(guī)定，自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。這是我國民事立法首次對個人信息保護進行規(guī)定，被認為是一項突破性的立法創(chuàng)舉，構(gòu)成此次《民法總則》的亮點之一。

《侵權(quán)責任編》患者信息保護條款解讀

《民法總則》有關(guān)個人信息保護的規(guī)定為后續(xù)立法提供了基礎(chǔ)法律依據(jù)。2018年9月5日，民法典各分編草案在中國人大網(wǎng)公布，向社會公開征求

China Hospital CEO中國醫(yī)院院長意見。其中，《侵權(quán)責任編（草案）》一審稿響應了《民法總則》

保護個人信息的立法理念，將個人信息保護引入醫(yī)療衛(wèi)生領(lǐng)域，強調(diào)患者個人信息保護。一審稿第1001條規(guī)定：“醫(yī)療機構(gòu)及其醫(yī)務人員應當對患者的隱私和個人信息保密。泄露患者隱私和個人信息或者未經(jīng)患者同意公開其病歷資料，造成患者損害的，應當承擔侵權(quán)責任。”與《侵權(quán)責任法》第六十二條相比，此次一審稿增加了醫(yī)療機構(gòu)及其醫(yī)務人員對患者個人信息的保密義務。一方面，這一改動有利于《侵權(quán)責任編（草案）》與《民法總則》規(guī)定的協(xié)調(diào)，逐步形成個人信息法律保護體系；另一方面，積極回應了社會關(guān)切，有利于患者權(quán)利的全面保護，進而有力遏制醫(yī)療機構(gòu)的信息泄露行為。

2018年12月23日，十三屆全國人大常委會第七次會議對《民法典侵權(quán)責任編（草案）》進行第二次審議，二審稿強化了對于患者隱私和個人信息的保護。二審稿第1001條規(guī)定，“醫(yī)療機構(gòu)及其醫(yī)務人員應當對患者的隱私和個人信息保密。泄露患者隱私和個人信息或者未經(jīng)患者同意公開其病歷資料的，應當承擔侵權(quán)責任?！毕啾纫粚徃?，二審稿刪除了“造成患者損害的”這一結(jié)果要件。這意味著，只要醫(yī)療機構(gòu)及其醫(yī)務人員實施了泄露患者隱私和個人信息的行為，即使沒有造成患者損害，也應承擔侵權(quán)責任。這一修改強化了對患者個人信息保護的力度，對醫(yī)療機構(gòu)及其醫(yī)務人員的保密義務提出了更為嚴格的要求，體現(xiàn)了立法者懲治個人醫(yī)療信息泄露的決心。

目前，《民法典侵權(quán)責任編》尚處于審議階段，患者個人信息保護的條款究竟如何表述，尚不能確定。但兩次審議傳遞出的信號卻很明顯，即患者個人信息應當?shù)玫奖Ｗo和尊重。為此，下一步，醫(yī)療機構(gòu)及其醫(yī)務人員應提高警惕，及時發(fā)現(xiàn)醫(yī)務工作中存在的泄露患者個人信息的行為，并盡早建立健全相應的保密工作制度，確?；颊邆€人信息得到充分的保護，避免患者信息泄露行為的再度發(fā)生。

國外部分國家對病患隱私的保護

美國

1996年，時任美國總統(tǒng)克林頓簽署了《健康保險隱私和責任法案》，該法案對醫(yī)療健康產(chǎn)業(yè)具有規(guī)范作用，包括交易規(guī)則、醫(yī)療服務機構(gòu)的識別、從業(yè)人員的識別、醫(yī)療信息安全、醫(yī)療隱私、健康計劃識別、第一傷病報告、患者識別等。該法案適用于涉及醫(yī)療保健的機構(gòu)，如醫(yī)院、健康計劃部門、保健服務商、相關(guān)票據(jù)交換所、醫(yī)療信息系統(tǒng)提供商、醫(yī)科大學、小診所等。對于違反該法案安全條例的行為，將處以最高25萬美元的罰款和最長10年的監(jiān)禁。

如今，對美國所有醫(yī)務人員來說，《健康保險隱私和責任法案》是如雷貫耳的名字，且每個醫(yī)院的從業(yè)人員都要在入職前接受培訓、通過考試，以保護患者健康信息的不外泄。

英國

在英國，每個患者都有自己的就診賬號，通過賬號可以查詢歷次就診信息，包括檢查記錄、病人轉(zhuǎn)診信息等。這些信息不歸病人和醫(yī)院所有，而是屬于英國國民健康保險系統(tǒng)（1948年建立）。英國醫(yī)院不僅保護患者的隱私，還保護醫(yī)務人員的隱私。一進英國醫(yī)院的大門，前臺接待人員會提示患者及其家屬，不能隨便拍照，比如包含病人信息的紙質(zhì)材料，哪怕是一張化驗單也不行;比如醫(yī)院走廊上醫(yī)生獲獎的照片也不能拍，因為醫(yī)護人員的隱私同樣重要。

奧地利

在奧地利，每位公民都會有一張電子醫(yī)療卡，卡里有這個人所有的就醫(yī)資料，包括血型、對哪些食物過敏、就醫(yī)記錄、體檢記錄、手術(shù)記錄等。患者到任何一家醫(yī)院就診，醫(yī)生都可以調(diào)出以前存檔的記錄。然而，為了防范患者的隱私泄露，醫(yī)生在調(diào)取這些資料時，需要患者簽字同意。

醫(yī)務工作中常見的泄露患者信息行為類型

類型一：以盈利為目的，出售患者個人信息。對醫(yī)藥行業(yè)來說，患者的個人信息具有極大的市場價值，因此，某些醫(yī)藥企業(yè)總是千方百計從醫(yī)療機構(gòu)手中獲取就診患者信息。部分醫(yī)療機構(gòu)及醫(yī)務人員由于未能抵制金錢的誘惑，遂與不法分子串通，大量出售患者信息。例如，2016年8月，珠海市香洲區(qū)香灣街道水擁社區(qū)衛(wèi)生服務站公衛(wèi)醫(yī)生張某，利用職務之便，向?qū)O某販賣了約98009條珠海市患者的個人信息，犯罪情節(jié)較重，社會影響惡劣。最終，法院判處張某有期徒刑一年，并處罰金5000元?？梢?，出售患者個人信息，不僅是對患者的侵權(quán)行為，更觸犯了刑事法律的規(guī)定。

類型二:出于窺私心理，曝光患者信息。這一侵權(quán)行為的受害者往往是社會知名人士。以明星為例，人們?nèi)粘：茈y近距離接觸明星，因此，對明星生活有強烈的窺探欲。部分醫(yī)務人員在獲取明星就診信息后，便迫不及待地在網(wǎng)絡上進行曝光，給當事人帶來痛苦和煩擾。例如，林更新于2018年8月9日就診于北京中日友好醫(yī)院，后其病歷信息遭微博曝光，對其生活和工作安寧造成嚴重影響。隨即涉事醫(yī)院在官方網(wǎng)站上發(fā)表聲明，承認醫(yī)院的醫(yī)務人員在工作的過程中不嚴謹，泄露了患者的私密信息?？梢姡S意泄露患者信息，不僅會造成網(wǎng)絡秩序的混亂，還會對患者權(quán)益和生活造成影響。

類型三：隨意放置化驗單、病歷等就診資料?；颊叩膫€人基本信息和健康信息集中體現(xiàn)在其化驗單、B超單、體檢單、病歷等就診資料上，理應受到嚴格的保護。但由于管理制度不健全，加之對患者個人信息保護的意識不強，醫(yī)務人員隨意將上述就診材料放置于任何人都可以翻閱的場所，從而造成患者個人信息泄露的情況屢見不鮮。此外，目前各醫(yī)院基本都實行電子顯示屏叫號系統(tǒng)，其中部分醫(yī)院采取“實名”滾動方式提醒患者就診。這同樣會造成患者個人信息泄露的風險，應盡快對系統(tǒng)加以改進。

類型四：在科研成果中公布患者個人信息。一些醫(yī)務工作者在患者權(quán)益保護問題上存在誤區(qū)，即認為患者的權(quán)利應讓位于醫(yī)學科學研究，因此對患者個人信息和隱私采取漠視態(tài)度，隨意將患者信息在科研成果、課堂教學、學術(shù)交流大會等場合公開。這種觀念顯然是錯誤的。在現(xiàn)行《侵權(quán)責任法》框架下，這種行為可能會構(gòu)成對患者隱私權(quán)的侵犯。從《侵權(quán)責任編草案》的視角來看，這一行為有觸犯患者個人信息保護條款之嫌疑。

規(guī)避患者信息泄露之對策建議

首先，醫(yī)務人員應增強法律意識，對患者個人信息給予充分尊重。在《民法總則》出臺以后，患者個人信息受到嚴格保護，醫(yī)療機構(gòu)及醫(yī)務人員肩負的信息保護責任更加艱巨。為此，醫(yī)務人員有必要及時學習《民法總則》《侵權(quán)責任法》等法律文件，逐步提高自身法律意識，對患者合法權(quán)益給予充分的尊重。為規(guī)避患者信息泄露，筆者建議，醫(yī)療機構(gòu)應定期邀請法官、律師等法律工作者到醫(yī)院開辦講座，由主講人對最新法律文件中有關(guān)患者個人信息保護的條款進行深度解讀，結(jié)合其工作經(jīng)歷向醫(yī)務人員講述常見的違法侵權(quán)行為類型，在此基礎(chǔ)上給出可行的防范措施，以不斷提高醫(yī)務人員的權(quán)利保護意識，促進日常醫(yī)務工作走向規(guī)范化、合法化。

其次，醫(yī)療機構(gòu)健全患者個人信息保護管理制度。醫(yī)療機構(gòu)存儲有海量的患者個人信息，因此有必要建立完善的保護管理制度。首先，依據(jù)《醫(yī)療機構(gòu)病歷管理規(guī)定》，除特定人員外，其他任何機構(gòu)和個人不得擅自查閱患者病歷。據(jù)此，對于患者的就診材料，醫(yī)療機構(gòu)應要求醫(yī)務人員加以妥善保管，不得隨意放置在任何人皆可觸及的區(qū)域。必要時，還可以將電子檢查單等就診材料直接發(fā)送至患者電子醫(yī)療檔案，方便患者并保證其個人信息不外泄。其次，改進電子叫號系統(tǒng)，對電子顯示屏上的患者信息做模糊化處理或者用編號加以取代，避免患者尷尬。最后，由于儲存有大量患者信息，醫(yī)療機構(gòu)信息存儲系統(tǒng)很容易成為不法分子攻擊的對象。因此，為避免系統(tǒng)被破壞進而造成信息泄露，建議醫(yī)療機構(gòu)對信息系統(tǒng)進行更新升級，增強其防護力度，有效抵制“黑客”入侵，使患者個人信息在醫(yī)療機構(gòu)得到妥善保管。

再次，使用患者個人信息，應提前征得患者同意。醫(yī)務人員從事課堂教學或醫(yī)學科研活動，或多或少會用到患者的部分信息。雖然民事法律對非法使用他人信息的行為持否定態(tài)度，但這并不妨礙醫(yī)療機構(gòu)及醫(yī)務人員在征得患者本人同意后合法公開、使用患者個人信息。事實上，作為信息的擁有者，患者本人對其個人信息享有支配權(quán)，有權(quán)同意他人使用。因此，遇有需要公開使用患者個人信息的情形，醫(yī)務人員可提前與患者溝通，并在患者同意的范圍內(nèi)合法使用患者信息。遇有患者不同意的情況，醫(yī)務人員也可對患者圖片、身份信息等做模糊化處理，或者使用假名、加密技術(shù)等隱匿患者身份。這不僅有助于實現(xiàn)醫(yī)學教學和科研目的，同時還體現(xiàn)了對患者權(quán)利的尊重，確?；颊邆€人信息的安全、保密。

另外，可以預見，隨著民法典編纂工作的日益深入，個人信息保護的法律體系將逐步建立。在此形勢下，醫(yī)療機構(gòu)及其醫(yī)務人員應提前做好應對準備，及時轉(zhuǎn)變工作思路，在日常診療和醫(yī)務管理工作中踐行患者信息保護的立法精神，避免因信息泄露陷入糾紛，進而構(gòu)建更為和諧的醫(yī)患關(guān)系。