防范病历泄露事件，强化医疗系统信息安全管理

2024年1月13日    来源： Dr Yu口袋图书馆

泄露病人信息有何法律后果？

诸多病患信息泄露事件的发生，往往并非由于涉案人员拥有高超的技术手段可以侵入医院信息系统，而是由于涉案医务人员以及其他医院工作人员为患者守密意识淡薄，涉案医疗机构系统信息安全管理疏漏。

01、利用职务之便贩卖公民信息

某市三家医院妇产科护士王某、丁某、杨某利用职务之便，收集了公民个人信息，非法提供给他人。其中王某非法提供信息2074条，收取好处费13610元；丁某非法提供信息996条，收取好处费4250元；杨某非法提供信息724条，收取好处费6995元，三人均构成侵犯公民个人信息罪被判刑。王某被判处拘役六个月，缓刑十个月，罚金1000元；丁某被判处拘役五个月，缓刑六个月，罚金1000元；杨某被判处拘役四个月，缓刑六个月，罚金1000元。

02、故意泄露患者隐私

某市第一人民医院某科室执业医师张某，私自将某新冠确诊患者的电子病历拍照发送至微信群，照片造成广泛传播，导致患者及其家人的正常工作、生活和身心健康受到严重影响。该医师受到暂停执业活动6个月的行政处罚。

患者个人信息被贩卖，个人隐私被传播等泄密事件不在少数，上述案例便是其中典型的代表，医务人员应当引以为戒；医疗系统更应该加强对患者隐私的保护措施，

为了保护患者隐私、加强医疗卫生系统网络安全管理，国家层面发布系列法律法规以及诸多规范性文件，对医疗机构、医务人员提出具体的要求。

根据《基本医疗卫生与健康促进法》第九十二条，国家保护公民个人健康信息，确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息，不得非法买卖、提供或者公开公民个人健康信息。

2023年9月，国家卫生健康委发布的《患者安全专项行动方案（2023-2025 年）》也强调，要提高对信息安全的重视程度，按要求对医疗机构内部的信息系统采取信息安全等级保护措施，防止数据泄露、毁损、丢失，严禁任何人擅自向他人或其他机构提供患者诊疗信息。

根据《民法典》，医疗机构及其医务人员应当对患者的隐私和个人信息保密。如果泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料，应当承担侵权责任。

《医师法》第五十六条第一款：医师在执业活动中，泄露患者隐私或者个人信息的，将面临县级以上人民政府卫生行政部门给予警告或责令暂停六个月以上一年以下执业活动，情节严重的，吊销其执业证书，构成犯罪的，依法追究刑事责任。

根据《刑法》第二百五十三条，泄露医疗信息情节严重的，可能构成侵犯公民个人信息罪，情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

当患者将自己的健康和生命交付给医护人员时，他们所期望的不仅仅是专业的治疗，更是得到尊重和保护隐私、个人信息的权利。并且，医疗信息是一个人高度敏感个人信息，纵然患者已经去世，其医疗信息仍然受到法律保护。2023年12月，顺义区某医院的医院职工利用在医院工作的便利将某已故明星的生前病历截图发布在网上，引发社会舆情，涉事者被暂停工作，警察介入调查。

强化医疗机构的信息安全管理

《基本医疗卫生与健康促进法》

  这部法律第一百零一条规定，违反本法规定，医疗卫生机构等的医疗信息安全制度、保障措施不健全，导致医疗信息泄露的，由县级以上人民政府卫生健康等主管部门责令改正，给予警告，并处一万元以上五万元以下的罚款；情节严重的，可以责令停止相应执业活动，对直接负责的主管人员和其他直接负责人员依法追究法律责任。

《医疗卫生机构网络安全管理办法》

2022年8月29日，国家卫生健康委员会、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》，旨在加强医疗卫生机构网络安全管理，防范网络安全事件发生。上述管理办法适用的上位法依据包括《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度有关法律法规标准。

医疗质量管理相关规范性文件中的医疗信息安全管理要求

1．《医疗质量管理办法》第三十二条要求，医疗机构应当强化基于电子病历的医院信息平台建设，提高医院信息化工作的规范化水平，使信息化工作满足医疗质量管理与控制需要，充分利用信息化手段开展医疗质量管理与控制。建立完善医疗机构信息管理制度，保障信息安全。

2．《医疗质量安全核心制度要点》针对十八项医疗质量安全核心制度提出具体的要求，其中包括第十五项“病历管理制度”的基本要求和第十八项“信息安全管理制度”的基本要求。