作者|阎晓婷 上海交通大学研究生
         张越 浙江大学本科生
         徐沁然 上海交通大学本科生
         曹哲远 华东政法大学本科生
编辑|卢晓洋 香港大学研究生
         王冰子 烟台大学本科生
责编|扎恩哈尔·阿黑哈提 新疆农业大学本科生
一、事件引入
(一)周海媚事件
2023年12月12日,周海媚工作室对外发布讣告“周海媚因病医治无效,于12月11日去世”。12日当晚,疑似周海媚生前被送北京顺义某医院抢救的电子病历截图在网上流传。经查,是医院一员工出于炫耀目的,利用其工作便利,将病例拍照并发至微信群,导致了信息的扩散。目前,该医院职工已经被暂停执业。
(二)其他事件
在此之前,已经出现过多次明星的病例泄露事件。2015年,谢霆锋的病例和X光片被曝光;2018年,林更新的病例在网上流传,不久,其就诊的中日友好医院发表声明,承认林更新的病例资料被泄露,医院正在进一步调查中;2019年,林俊杰就医的信息被泄露,他使用过的吊水针头和注水包疑被医护人员出售给粉丝。
除明星之外,普通患者信息遭泄露的事件也层出不穷,且都在社会上引起了不小的风波。
(三)社会影响
随意泄露他人的病历资料等个人隐私,不仅是有违道德规范、风序良俗的行为,更有可能触犯法律规范。倘若不对此类行为多加管理和提醒,将有可能助长不良的社会风气。
医疗机构的职员和医务工作者基于其职业特殊性和职业素养,更应当对自身有更高的要求去保护病患的隐私信息。相应地,法律也对其设定了更高的标准以落实病患隐私信息的保密。
二、法律问题分析
(一)病历的法律性质
对于病历的法律性质,主要有以下相关法律法规:
·《民法典》第一千零三十二条第二款:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”
·《民法典》第一千零三十四条:“…个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的…健康信息…个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
·《个人信息保护法》第四条:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
·《病历书写基本规范》(卫生部卫医政发[2010]11号)第一条:“病历是指医务人员在医疗活动过程中形成的文字、符号、图表、影像、切片等资料的总和,包括门(急)诊病历和住院病历。”
根据以上规定,病历作为医疗文书资料的总和,记载了个人的疾病情况、诊疗信息等内容,应属于自然人的个人信息。进一步地,基于其私密性,应当纳入隐私的范畴,未经法定程序,不得擅自获取或公开。医疗机构及其医务人员应当按照规定填写并妥善保管住院志、医嘱单、检验报告、手术及麻醉记录、病理资料、护理记录等病历资料。
(二)泄露病历的行为主体及其法律责任
病历产生于医疗诊断过程,是医务人员执行医疗行为的依据和记录,存档于医院信息系统。由此,泄露患者病历的行为主体存在多样性,医院、医师和护士都可能实施泄露行为,其所需承担的法律责任也有所不同。
1. 单位责任:医疗机构
医疗机构的泄露行为可以分为主动泄露和被动泄露两类。主动泄露指医疗机构直接、主动地向第三人提供患者病历信息,实施泄露病历的行为。《民法典》第一千二百二十六条规定:“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。”对于此类情况,医疗机构的责任承担类似于自然人,需承担相应的侵权责任。被动泄露指医疗机构因对患者病历信息的保管不善,导致病历被第三人不法获取而发生泄漏。《基本医疗卫生与健康促进法》第一百零一条规定:“医疗卫生机构等的医疗信息安全制度、保障措施不健全,导致医疗信息泄露……由县级以上人民政府卫生健康等主管部门责令改正,给予警告,并处一万元以上五万元以下的罚款;情节严重的,可以责令停止相应执业活动,对直接负责的主管人员和其他直接责任人员依法追究法律责任。”此时,医疗机构并非直接侵权人,因而主要承担用人单位层面的管理责任。
2. 个人责任:医师、护士和非医疗人员
若实施泄露病历的行为主体是个人,则医师、护士和非医疗人员的责任承担有所不同。根据《医师法》第五十六条规定:“医师泄露患者隐私或者个人信息,由县级以上人民政府卫生健康主管部门责令改正,给予警告,没收违法所得,并处一万元以上三万元以下的罚款;情节严重的,责令暂停六个月以上一年以下执业活动直至吊销医师执业证书。”《护士条例》第三十一条则规定:“护士泄露患者隐私的,给予警告;情节严重的,暂停其六个月以上一年以下执业活动,直至由原发证部门吊销其护士执业证书。”由此可以看出,医师的责任承担较护士更重,可能面临罚款处罚。
本案泄露周某病历信息的两位行为人中,有一位是医师的朋友,即非医疗人员。此类情形可以适用一般的“泄露个人隐私”行为之法律规定,即根据《民法典》第九百九十四条[1]、第一千零三十二条[2]来承担法律责任。
(三)法律问题反思:医疗领域的患者隐私权及其法律保护
1. 患者隐私权的内涵及特征
患者隐私权是指患者所享有的要求医疗机构及医务人员保护其所合法掌握的涉及患者个人的各种隐私及其不被非法侵犯的权利。患者隐私权主要具有义务主体的特殊性、保护内容及期限的特定性和保护的相对性这三大特征。
(1)义务主体的特殊性:通常,患者隐私权仅限于医生与患者之间,不过在健康医疗大数据时代下,患者隐私权涉及的义务主体还包括数据生产、运营等单位。
(2)保护内容的特定性:患者隐私权所保护的内容主要为患者在就医时所产生的医疗信息,医疗机构及其工作人员不得随意泄露。
(图片来源于网络)
(3)保护的相对性:患者隐私权的保护具有相对性,尤其遇到涉及公共利益的情形可能受到限制和克减,以维护社会的稳定。例如疫情期间,为保护国家、社会、他人的安全,会主动公开或者要求新冠肺炎患者主动上报个人行动轨迹、是否发烧、咳嗽等隐私内容,以协助落实国家疫情防控政策。
2. 患者隐私权的法律保护现状
近年来,为了加强医疗机构的信息安全和隐私保护,我国陆续出台了《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》《医疗卫生机构网络安全管理办法》《医疗机构病历管理规定》等一系列的法规和政策。就在今年9月,国家卫健委制定并发布了《患者安全专项行动方案(2023—2025年)》,明确提出防止数据泄露、毁损、丢失,严禁任何人擅自向他人或其他机构提供患者诊疗信息。
(图片来源于网络)
但目前国内对于个人医疗信息的保护在法律层面未有专门立法,且《个人信息保护法》实施时间不长,医疗领域尚未形成较为完善的隐私保护管理实践。这些法律法规对于如何界定医疗机构的责任、如何确定赔偿金额等问题仍存在争议,也加大了患者维权的难度。为此,患者隐私权的保护尚有一段长路要走。
三、本案的责任定性和救济途径
(一)责任定性分析
明星作为公众人物,其隐私权受到一定程度的限制,但不意味着他们完全没有隐私。公众人物的私密信息包含但不限于个人生活、婚姻家庭、医疗信息等方面,这些私密信息属于我国法律上隐私权保护的范畴,未经其同意,任何组织或个人不能非法收集、加工、使用私密信息,不能随意公开或泄露。任何侵犯他人隐私的行为,均可能承担我国法上的民事责任、刑事责任和行政责任。
医院在处理患者病历时,应当严格遵守我国法律法规和医院规章制度,尊重和保护患者的隐私权。根据《中华人民共和国民法典》第1226条规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。周海媚病例泄露案中,侵权人将公民病例诊疗记录发布到网上的行为,违反了该条规定。同时,隐私权属于人格权的一种,根据《中华人民共和国民法典》第995条,人格权受到侵害的,受害人有权要求侵权人承担责任,具体方式包括但不限于停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等,不适用诉讼时效的规定。
医院及其工作人员泄露个人信息的行为若构成犯罪的,根据《中华人民共和国刑法》第253条之一,违反国家规定,向他人出售或者提供公民个人信息,情节严重的,对医疗机构判处罚金,并对直接负责的主管人员和其他直接责任人员,处三年以下有期徒刑或拘役,并处或者单处罚金。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,第三条规定,向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。显然,周海媚病例泄露案的犯罪嫌疑人所做出的行为符合该要件。但成立侵犯公民个人信息罪,还要满足情节严重这个条件。从学理解释的角度来看,目前达成的基本共识有:一般包括出售、非法获取提供公民个人信息数量较多、获利数额较大以及给被侵权人造成经济上损失,或是严重影响到公民个人正常生活等情形。本案中的符某某的行为本身以及其所造成的后果,不宜将其定性为“情节严重”。
为维护患者健康权益,保障患者安全,国家卫生健康委发布的《患者安全专项行动方案(2023—2025年)》,强调保障医疗服务过程安全,其中包含了诊疗信息安全。《行动方案》强调提高对信息安全的重视程度,按要求对医疗机构内部的信息系统采取信息安全等级保护措施,加强账号信息和权限管理,防止数据泄露、毁损、丢失,严禁任何人擅自向他人或其他机构提供患者诊疗信息。
(二)救济途径
周海媚去世后,其隐私权受到侵害,根据法律规定,其配偶、子女、父母有权依法请求行为人承担民事责任。
根据《民法典》第九百九十五条规定:人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定。如果患者已经去世,其不能成为隐私权的权利主体,无法以逝者的名义主张权利,但其近亲属可以以自己的名义要求侵权人承担责任。
(图片来源于网络)
作为普通公民,当发现任何私密信息和个人信息被泄露时,本人及其家属首先可以选择向公安机关报警,要求对行为人处以行政拘留,情节严重的可刑事立案。其次,在病例泄露的场合,可以选择向卫健委等卫生行政主管部门投诉,要求对行为人及其所属医疗单位进行行政处罚。最后,被侵权人及其家属也可以通过民事诉讼的方式要求侵权人承担民事责任。
注释
[1] 第九百九十四条 死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其配偶、子女、父母有权依法请求行为人承担民事责任;死者没有配偶、子女且父母已经死亡的,其他近亲属有权依法请求行为人承担民事责任。
[2] 第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
参考资料
[1] 周海媚病历被泄露,如何为隐私贴好“封条”?| 法治深一度,法治时报,
https://mp.weixin.qq.com/s/jJSUun_dyVzA89tp3mRPAA
[2] 不管是谁泄露了周海媚病历,都十分不妥,澎湃新闻评论,
https://mp.weixin.qq.com/s/9mUgsfJEobzWaBQGnFz0TQ
[3] 周海媚抢救病历疑被泄露,律师:涉嫌侵犯隐私权和人格尊严!央广网,
https://mp.weixin.qq.com/s/SEI09vneDp1xeSaqTkAA9g
继续阅读
阅读原文
关键词
个人信息
隐私
隐私权
行为
法律