【丰国说法】无中生子?这锅可大了!加强医疗行业个人信息保护刻不容缓 2022-03-28
作者:谢慧兰
据1818黄金眼报道,湖北的张先生偶然打开“鄂汇办”看了一下,惊讶地发现自己在杭州多了一个女儿,“鄂汇办”上显示,他有一张“出生医学证明”,这张出生医学证明显示他在杭州与一位徐女士生有一女儿。可是他的老婆孩子都在湖北,在杭州根本没有结婚,也不可能有孩子,真是人在家中坐,儿从天上来。有医生分析,应当是徐女士当年生孩子时孩子父亲没有到场签字,医院又需要有孩子的生父信息,徐女生就拿了张先生的身份信息进行登记。
一、医疗卫生行业信息泄露成重灾区
据1818黄金眼报道,湖北的张先生偶然打开“鄂汇办”看了一下,惊讶地发现自己在杭州多了一个女儿,“鄂汇办”上显示,他有一张“出生医学证明”,这张出生医学证明显示他在杭州与一位徐女士生有一女儿。可是他的老婆孩子都在湖北,在杭州根本没有结婚,也不可能有孩子,真是人在家中坐,儿从天上来。有医生分析,应当是徐女士当年生孩子时孩子父亲没有到场签字,医院又需要有孩子的生父信息,徐女生就拿了张先生的身份信息进行登记。
一、医疗卫生行业信息泄露成重灾区
与快递业、外卖业等行业的个人信息有越来越多的保护措施不同,医疗行业的个人信息保护没有引起相关部门的关注和重视。互联网+医疗、智慧医疗等平台的建立,给老百姓带来方便的同时,也让个人信息泄露甚至被不当使用,在医疗行业成为重灾区。
据1818黄金眼报道,已有多起公民就诊卡被开精神类药物的案件发生,还有程序员发现,把医院提供的体检报告的链接尾数改一改,就能得到他人的体检报告信息。另据《2019年我国互联网网络安全态势》报告显示,医疗健康行业存在高危漏洞的联网系统数量最多,超50%的医院都没有建立网络安全防护设备,据《2020医疗行业网络安全白皮书》统计,仅2016年7月,全国30 多个省份发生至少 275 位艾滋病患者的个人信息遭到泄露而导致的诈骗报告;2017 年 10 月,杭州某科技公司在承接某疾病预防控制部门网站信息化建设时,从部门网站上非法下载接种疫苗儿童及其家长个人信息共计 370 余万条,影响极其恶劣。可见,拥有个人健康敏感信息的医疗机构对个人信息的保护相当漠视,从观念上到技术手段上,都没有对患者的个人信息安全防护引起重视。
医疗行业掌握的个人信息比其他行业更加敏感,他们不仅拥有患者的个人身份信息,还可能收集患者的家族病史、既往病史、特殊病史等隐秘的个人信息,这些信息泄露,将会对患者的生活、工作造成极为不良的影响,也会对患者的精神心理造成巨大的伤害。因此,加强医疗行业的个人信息保护刻不容缓。
二、个人信息遭到泄露,自身利益受侵犯怎么办?
相关权利人可以通过行政、民事、刑事手段保护自身合法权益。
1.向行政管理部门举报投诉。《个人信息保护法》、《基本医疗卫生与健康促进法》、《医师法》都规定了医疗机构应当保护患者的隐私,违反规定造成个人健康信息泄露的,有关单位或个人要承担相应的行政责任,视情节严重程度,可能会被处以警告、罚款、停业整顿甚至吊销营业执照。
因此,当公民发现自己医疗信息被泄露,可以立即向县级以上人民政府卫生健康部门进行投诉,由卫生健康部门对相关责任单位和责任人进行处罚。
2.向公安机关报案。刑法第253条之一对侵犯个人信息犯罪作出明确规定。个人信息被不法利用、遭遇诈骗的,应当收集相关证据,立即向公安机关报案,通过公权力救济来惩戒犯罪、维护权利。
3.向法院起诉,要求侵权人承担民事责任。因个人信息泄露造成损害的,公民还可以要求相关责任人承担侵权责任,赔偿相应损失。
《民法典》一千零三十四条规定,自然人的个人信息受法律保护。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。《个人信息保护法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。《个人信息保护法》将侵害个人信息的侵权责任归责原则确定为过错推定原则,由行为人举证证明自己在处理个人信息时无过错,不能证明的,即承担赔偿责任,加大了对个人信息的民事法律保护力度。
三、医疗机构应加强个人信息安全防护
首先,要强化医疗机构和医务人员保护患者个人信息的责任。医疗机构和医务人员掌握着患者信息的一手资源,保护患者隐私应是医生职业道德的必备要求,医疗机构应当加强职业道德的培训,将保护患者隐私的责任落到实处。《基本医疗卫生与健康促进法》虽然规定了医疗机构和医务人员泄露患者信息应当收到处罚,在实践中并没有引起相关部门的重视,卫生健康部门可以制定更加细化的规定,落实医疗机构和医务人员的责任。
其次,医疗机构应在技术上加强网络数据的安全防护。移动互联网技术在医疗领域的开发应用,不应只着重于给公民带来便利,信息的安全防护同样是技术开发的重中之重。在数据收集、数据传输、数据存储和使用等各个环节,都应当进行加密处理,构建安全可控的存储环境,加强客户端应用软件的抗攻击能力。也可以建立合理的数据销毁方式,来防止数据泄露。
最后,医疗机构应建立完善的个人信息保护合规管理体系。
医疗机构应当建立完善的内部管理制度,从流程上防止个人信息泄露。例如,就诊人与提供的身份信息必须一致,病历必须封存等等,详化操作流程,防范内控风险。
文中开头的“无中生子”事件让人啼笑皆非的同时,应该引起相关部门更加重视医疗卫生领域的个人信息保护,期待医疗卫生领域对个人信息建立一道更加牢固的防火墙,全方位、多角度地防止个人信息泄露,杜绝个人信息被不当使用,让“无中生子”事件不再发生!
请扫描关注丰国官微