这是 达医晓护 的第 2557 篇文章
随着大数据技术的不断发展,个人信息中最隐私敏感的健康医疗信息逐渐成为大家最为关心的问题。大数据时代下个人健康医疗信息的整合分析,无疑能够对社会健康医疗体系产生巨大的推动作用,从医疗大数据分析到商业医疗保险定制,再到智能化医疗诊断、新药研发、疫情控制等方面都具有非常广阔的应用前景。显然个人健康信息存在着巨大的潜在价值。
与此同时,虽然我国目前尚无对个人健康信息的专门立法保护,但对个人健康信息的保护已经越来越重视。2020年6月1日起正式施行的《中华人民共和国基本医疗卫生与健康促进法》(下称《卫健法》)第九十二条明确规定了,国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。
在即将实施的《中华人民共和国民法典》人格权编中,不仅明确规定自然人的个人信息受法律保护,而且对个人信息有了具体的定义。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。其中,同样明确了个人健康信息受法律保护。
2020年10月1日起即将实施的《个人信息安全规范(2020)》中明确,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。其中,个人健康生理信息属于个人敏感信息。
因此,个人健康信息具有高度敏感性,在健康医疗大数据应用背景下,该信息的保护与利用之间有时会产生矛盾,备受各方关注,真是让人欢喜让人忧。
那么,侵犯公民个人健康信息会承担哪些法律责任呢?
就先来看几个案例。新冠肺炎疫情发生以来,多起查处的信息泄露事件引起各界关注。湖南益阳赫山区卫健局副局长舒某某等人擅自将属于内部工作文件且涉及多人隐私的调查报告转发给无关人员进而传播至微信群,侵害了他人隐私。云南文山州人民医院3名医务人员、2名财务人员私自用手机拍摄医院电脑记录的新冠肺炎患者的姓名、家庭详细住址、工作单位、行程轨迹等并公开散布,造成相关小区住户高度恐慌,被依法作出行政处罚。浙江舟山本地微信群流传着一份关于涉湖北籍人员的资料,警方查清是定海某社区一工作人员将内部资料通过微信发给其丈夫张某,张某随后将该资料发至其单位微信群,继而引发网络传播。内蒙古鄂尔多斯东胜区天骄社区卫生服务中心主任王某某、建设街道居民党员王某,将疫情排查相关人员信息发送至微信群,造成涉密信息在东胜区范围内大面积转发,致使公民个人信息泄露。
一、行政责任
1、《中华人民共和国治安管理处罚法》规定了偷窥、偷拍、窃听、散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款。前述的疫情期间,泄露涉疫情人员个人隐私的案例中,都依据该项规定,对涉事当事人进行了相应的行政处罚。
2、《中华人民共和国传染病防治法》规定了疾病预防控制机构、医疗机构不得泄露涉个人隐私的有关信息、资料。卫生行政主管机关应当追究疾控中心和医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的行政责任,由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告;对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任。
3、新实施的《卫健法》规定了,医疗卫生机构等的医疗信息安全制度、保障措施不健全,导致医疗信息泄露,或者医疗质量管理和医疗技术管理制度、安全措施不健全的,由县级以上人民政府卫生健康等主管部门责令改正,给予警告,并处一万元以上五万元以下的罚款;情节严重的,可以责令停止相应执业活动,对直接负责的主管人员和其他直接责任人员依法追究法律责任。医疗卫生人员泄露公民个人健康信息的,由县级以上人民政府卫生健康主管部门依照有关执业医师、护士管理和医疗纠纷预防处理等法律、行政法规的规定给予行政处罚。非法收集、使用、加工、传输公民个人健康信息,非法买卖、提供或者公开公民个人健康信息的将会根据其情节给予治安管理处罚。构出犯罪的,依法追究刑事责任。
4、《中华人民共和国网络安全法》规定了有权机关追究泄露公民个人信息行为的行政责任。主要情形包括两个部分,一是网络运营者、网络产品或者服务的提供者违反本法,侵犯个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、予以罚款,并对直接负责的主管人员和其他直接责任人员进行罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。二是任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,对尚未构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处以罚款。
二、刑事责任
《中华人民共和国刑法》规定了“侵犯公民个人信息罪”违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
三、民事责任
在权利行使上,受害人可以根据《中华人民共和国侵权责任法》、最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》、最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,确定自己的诉讼请求,包括停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损失及其数额计算等。
了解了侵犯个人健康信息的法律责任,我们又该如何来保护个人健康信息呢?
一、公民个人
从个人角度来说,增强保护个人健康信息意识,保管好个人就医病历、医疗费用凭证、不随意丢弃。在医疗机构医务人员、医疗商业保险公司等获取个人健康信息知情同意时,仔细阅读相关条款,谨慎签字。
二、医疗机构及其医务人员
我国《卫健法》《侵权责任法》《执业医师法》《护士条例》《医疗机构从业人员行为规范》等都要求医务人员遵守医学伦理道德,恪守医德,尊重患者的知情同意权和隐私权,为患者保守医疗秘密和健康隐私。因此,医疗机构及其医务人员在处理患者个人健康信息时,应当遵循合法、正当、必要原则。严格按照相关法律法规规定来对患者个人的健康诊疗信息开展收集、存储、使用、加工、传输、提供、公开等。
三、商业机构
就拿健康商业保险公司来举例。公司在获取公民个人健康信息后,应当合理使用并保存。如果需要提供给他人,可提供除去隐私信息以至于无法识别个人的版本,能够识别客户个人身份的关键信息应该匿名化处理,其他客户隐私信息加密存储。还应该建立一整套数据安全管理机制。不能经过特殊处理需要直接提供的,应当经过信息主体的授权或者同意,并做好相关授权留痕。
四、电商平台
在“互联网+医疗”潮流下的平台、APP健康咨询、诊疗日益增多。从平台角度来说,平台对于信息收集规则的公布义务,应在经营或者服务场所、网站公布对信息收集的规则和使用规则。涉及到收集个人信息的手机App,应在App中加入隐私政策内容或者链接,或在用户注册时提示相关隐私政策或者使用条款。
平台收集个人敏感信息,需要得到信息主体的明示同意。关于个人信息收集和使用的范围,遵守“必要”原则。根据相关法律法规的规定,第三方平台不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的。
平台从其他公司收购大数据时,应确保接收的数据有来源合法或者已经进行了必要的脱敏处理。
作者:上海邦信阳中建中汇律师事务所
郑峻 律师