近日,著名演员周海媚的病逝引发了公众的广泛关注,此事件本应是对其生命和成就的尊重与回忆。然而,在这悲痛的背后,却暴露出了一个更加严峻的问题:周海媚的急救病历被非法泄露,这一事件凸显了医疗数据安全的重要性,将这个议题再次推到了公众视野的风口浪尖。
震惊之余,我们了解到,这起病历泄露事件的幕后主角竟是一位医院员工。顺义公安分局对此案进行了调查,并揭露了这起严重侵犯隐私权的行为。据报道,涉事员工利用其在医院的工作便利,出于炫耀心态,在微信群内分享了周海媚的个人病历照片,导致信息迅速扩散,产生了广泛而深远的社会影响。
这一事件不仅仅是一个隐私泄露的案例,它强调了医疗数据私密性和安全性问题的紧迫性。在当今数字化时代,医疗数据的应用和流转日益广泛,它不仅涉及医院的日常管理,还包括科研人员的研究工作,甚至商业公司的产品开发。然而,正如这起事件所展示的那样,医疗数据的安全和隐私保护往往容易被忽视。
01 健康医疗数据价值与安全关键
以下为我国法律及标准规范中定义的相关概念:
02
案例分析:医疗机构数据安全的风险面
医疗数据安全风险成为了当前信息保护领域的一个紧迫议题。隐私泄露不仅仅触及到患者的个人隐私权益,更在一定程度上影响了患者的社会生活和工作。尤其对于某些敏感性疾病,如肝炎、性疾病、艾滋病患者的信息泄露,可能导致他们遭受极大的社会歧视和不公正对待。诸多案例显示,由于信息系统安全漏洞或内部管理不善,造成了严重的数据泄露事件:
连锁药店2万信息泄露:2017年,一家连锁药店因安全漏洞导致超过2万顾客的健康信息泄露,这些信息包括个人处方记录及其他敏感健康数据。
新加坡1.4万艾滋病患者个人健康信息遭泄露:2019年1月新加坡卫生部报告,1.4万名HIV阳性患者的个人健康信息被泄露,包括医疗记录和联系方式。
新加坡80余万名献血者信息泄露:2019年新加坡近日又发生了一起重大数据泄露事件。这一次是因为一家第三方供应商未能妥善保护包含808201名献血者个人信息的服务器,导致献血者的血型、身份证、体重等数据遭到了泄露。
医患勾结联合骗保,涉案800万:2019年,犯罪团伙利用非法获取的医疗数据申请虚假保险理赔,涉案金额达数百万元。安徽省亳州市谯城区人民法院公开审判了一起作案时间长达两年的系列性重大疾病保险诈骗案件。根据安徽省保险行业协会通报,该案件涉及12家保险公司的47张人身险保单,仅重大疾病涉案保额近800万元。
公立医院遭受网络攻击:2020年,一家市级公立医院的信息系统被黑客攻击,导致数千患者的病历信息遭到非法访问并面临公开威胁。
数据处理错误:2021年,一家医疗数据处理公司在数据迁移过程中操作失误,致使超过10万患者的个人健康信息外泄。
在审视了众多医疗数据泄露的实际案例之后,我们可以更清晰地认识到这类事件背后隐藏的深层次风险和复杂性。这些风险不仅仅局限于个体隐私的侵犯,而是涵盖了从技术挑战到社会影响的多个层面,也严重损害了公众对医疗行业的信任。
03
医疗数据泄露的问题已经成为一个全球性的关注点,它不仅严重侵犯了患者的隐私权和信息安全,还可能违反了多项法律和伦理规定。因此,了解泄露医疗数据可能产生的法律后果显得尤为重要。法律制度对此类行为提供了全面的制裁和救济措施,这些措施旨在保护受害者权益,并对违法者进行必要的惩处。接下来,我们以患者个人信息泄露为例详细探讨在泄露健康医疗数据的情况下,可能面临的民事责任、行政责任以及刑事责任。 《民法典》中明确规定了对个人信息的保护要求。依据《民法典》,任何组织和个人必须合法、合规地收集和使用个人信息,并对所收集的个人信息负有保密义务。若医疗机构或其员工泄露患者信息,将依法承担民事责任,包括赔偿经济损失和精神损害赔偿。 《个人信息保护法》规定了处理个人信息应遵循的原则、个人信息处理者的义务和责任等。在个人信息被侵权的情况下,处理者需要承担相应的民事责任。此外,《个人信息保护法》在确定侵权责任时采用了过错推定原则,即在个人信息权益侵犯的诉讼案件中,被告需要主动提供无过错的证明。 《数据安全法》规定了数据处理活动中的安全要求和违规责任。如果医疗机构在处理患者数据过程中违反了数据安全法的规定,需承担相应的民事责任。 《网络安全法》强调了个人信息的保护和网络运营者的责任,要求采取技术措施和其他必要措施确保网络安全和个人信息安全,违反规定的,将承担相应的责任。 刑事责任: 侵犯公民个人信息罪: 拒不履行信息网络安全管理义务罪: 《刑法》第二百八十六条之一规定: 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金: (一)致使违法信息大量传播的; (二)致使用户信息泄露,造成严重后果的; (三)致使刑事案件证据灭失,情节严重的; (四)有其他严重情节的。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。 行政责任: 针对医疗数据泄露行为的行政处罚,我国法律体系中涉及以下主要法律文件: 《网络安全法》对网络运营者在处理个人信息的行为提出要求,并对违法行为设定罚款、责令改正、警告、吊销许可证等处罚。 《数据安全法》规定数据处理者责任,违反数据安全管理规定的行为可受罚款、责令整改、暂停或停业整顿、吊销许可证等处罚。 《个人信息保护法》专门针对个人信息保护,违反个人信息处理规定可受罚款、责令停止违法行为、没收违法所得等处罚。 《执业医师法》规定医师应保守患者隐私,违反规定泄露医疗信息的医师可受警告、暂停执业、吊销执业证书等处罚。 04
民事责任:
在数据和个人信息方面刑事责任规制的范围和力度也在逐步加强。《刑法》主要规定了如下刑事责任:
《信息安全技术 健康医疗数据安全指南GB/T 39725-2020》(简称《安全指南》)对医疗数据的种类做了详尽的划分,而且提出了各类数据的具体定义及其安全处理的等级标准。这一规范化的步骤对于指导医疗机构在数据的处理、存储、传输、和使用过程中遵循合规性,提升了其信息化管理水平和数据安全运营能力,具有深远的行业影响力和实践价值。
依据《安全指南》健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别。
《安全指南》根据数据重要程度和风险级别以及对个人健康医疗数据主体可能造成的损害以及影响的级别进行分级,例如数据划分为以下5级:
第1级:可完全公开使用的数据。包括可以通过公开途径获取的数据,例如医院名称、地址、电话等,可直接在互联网上面向公众公开。
第2级:可在较大范围内供访问使用的数据。例如不能标识个人身份的数据,各科室医生经过申请审批可以用于研究分析。
第3级:可在中等范围内供访问使用的数据,如果未经授权披露,可能对个人健康医疗数据主体造成中等程度的损害。例如经过部分去标识化处理,但仍可能重标识的数据,仅限于获得授权的项目组范围内使用。
第4级:在较小范围内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害。例如可以直接标识个人身份的数据,仅限于参与诊疗活动的医护人员访问使用。
第5级:仅在极小范围内且在严格限制条件下供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成严重程度的损害。例如特殊病种(例如艾滋病、性病)的详细资料,仅限于主治医护人员访问且需要进行严格管控。
虽然《安全指南》是一份推荐性的标准,但其中提出的数据分类和分级方法对于医疗机构和其他相关组织来说具有实际的应用价值。这种分类分级不仅有助于机构满足合规性要求,确保符合法规指导,同时也促进了它们在信息化和运营方面的能力提升。通过这一标准,机构可以更有效地管理和保护健康医疗数据,从而提高整体的数据安全水平。
(二)执行健康医疗数据全生命周期管理
在健康医疗数据安全的关键措施中,执行数据的全生命周期管理至关重要。这涉及医疗数据从收集、存储、处理,到使用、分享以及最终的销毁等全方位的管理。在这一过程中,各环节必须严格遵守法律法规,尤其在收集和使用阶段,应坚持患者的知情同意原则,确保数据安全和保护患者的隐私权益。
通过这种关键措施的执行,可以有效地确保医疗数据在其整个生命周期中得到恰当的管理和保护,从而降低数据泄露的风险,并维护患者及医疗机构的利益。
收集阶段:在医疗场景中,数据通常由医生、护士或者医疗设备在诊疗过程中收集。因此,需要确保收集过程的合法性、正当性和必要性,避免过度收集。
存储阶段:医疗数据通常存储在医院的内部系统或者云平台上。存储环节应确保数据的安全和完整性,医疗机构应采用加密技术对数据进行保护,并在物理设施方面有有效的安全防护措施防止非法入侵。
处理阶段:在医疗场景中,数据处理主要包括数据清洗、分析等过程。医疗机构需要尊重患者的数据权益,不得超出原收集目的范围进行处理,同时应有严格的权限管理和审计制度。在存储和处理阶段,应考虑对敏感数据进行去标识化或匿名化处理,以进一步降低患者隐私泄露的风险。
使用阶段:医疗数据的使用主要包括诊疗、科研、统计等。使用时应遵守相关法律法规,尤其是在涉及敏感信息时需要得到患者的明确同意。
分享阶段:医疗数据的分享主要涉及医疗联盟、科研机构等,分享时应提前获取患者的明确同意,且数据应遵循最小化原则,只分享实现目的所必需的数据。
销毁阶段:在医疗场景中,当数据不再需要时,医疗机构应及时、彻底地销毁数据,使其无法恢复,防止数据泄露。
(三)设置医疗数据安全“伦理审查体系”
作为健康医疗数据安全提升的核心措施之一,建立和执行一个全面的伦理审查体系对于确保数据安全至关重要。依据《个人信息保护法》和《个人信息去标识化指南》等法规标准,此体系旨在对处理的医疗数据进行脱敏和分级处理,确保在保护受试者隐私的同时,也为科研数据的合法使用和分享提供了必要的安全审查保障。
伦理审查体系的建立,有助于平衡医疗数据利用与个人隐私保护之间的关系,确保医疗数据在收集、使用和分享过程中的合法性和伦理性,同时促进医疗科研工作的健康发展。
(四)加强医疗数据合规体系建设
这些策略的实施对于建立一个安全、可靠且符合伦理标准的医疗数据环境至关重要。不仅可保障了患者的基本权益,也有利于促进医疗行业整体的健康发展。
