一條產(chǎn)婦信息售價50元

記者調(diào)查醫(yī)療信息泄露問題

近日，山東孕婦劉麗(化名)突然收到一條加“好友”申請：“××月子中心，為您提供專業(yè)產(chǎn)后服務(wù)?！彼念^一緊——幾天前，她剛在當?shù)匾患裔t(yī)院和婦幼保健院做完產(chǎn)檢，并且此前從未在任何機構(gòu)留下孕產(chǎn)信息。

“電話、住址、懷孕周數(shù)，各種隱私信息對方了如指掌?！眲Ⅺ惲⒓磽艽?2345投訴。次日，醫(yī)院客服聯(lián)系她：“可能是××月子中心冒用醫(yī)院名義進行推銷?！惫ぷ魅藛T坦言，這類事件“并非第一次發(fā)生”，醫(yī)院承諾徹查此事，并希望劉麗配合取證追責。

劉麗的遭遇并非個例。近年來，從明星病歷外泄到普通患者就診記錄被販賣，醫(yī)療信息泄露儼然形成一條成熟的黑色產(chǎn)業(yè)鏈。

患者隱私如何被竊??？違法交易如何運作？又該怎樣斬斷這只“黑手”？《法治日報》記者對此展開調(diào)查。

花錢能查醫(yī)療記錄

記者近日在社交平臺以“就診信息”“病歷”等關(guān)鍵詞進行搜索，發(fā)現(xiàn)不少包含隱晦話術(shù)的帖子，比如可cx(即查詢)“地址出行”“定位追蹤軌跡”“開房”“流水”“檔案”“記錄(社保記錄、醫(yī)保記錄、醫(yī)療記錄等)”等。

其中一個帖子的信息，指向一個IP歸屬地為境外的社交賬號。記者私信該賬號咨詢“如何查詢某人醫(yī)療記錄”，對方發(fā)來一張“業(yè)務(wù)單”，上面寫著能夠查詢他人手機定位、身份證正反面信息、婚姻記錄、社保記錄、醫(yī)保記錄、醫(yī)療記錄、學籍學歷、全部資產(chǎn)等信息。其中，查詢醫(yī)療記錄需提供手機號、身份證號碼、城市，查詢結(jié)果包含所有醫(yī)療記錄、醫(yī)保記錄、住院記錄，出單時間為1至2天，售價為1200元。

“只有對方手機號，沒有身份證號碼，也不知道他在哪座城市，能查詢醫(yī)療記錄嗎？”面對記者的提問，對方很快回復(fù)道：“再加100元就可以”。

該賬號曾于今年4月中旬發(fā)布一條名稱為“歷史醫(yī)療記錄，醫(yī)保記錄，精準出；婚前健康檢查、墮胎記錄等個人隱私隨便查”的帖子，正文內(nèi)容包含兩張圖片，附有某人的就醫(yī)記錄、消費記錄、社保繳費三個選項。在就醫(yī)記錄一欄，可以看到定點醫(yī)療機構(gòu)名稱、經(jīng)辦時間、開始時間、結(jié)束時間、就診憑證類型、醫(yī)療類別、病種名稱、住院診斷名稱、手術(shù)操作名稱等信息。其中，在“病種名稱”一欄，有月經(jīng)不規(guī)則、病毒性皮疹、流行性感冒、月經(jīng)紊亂、人流術(shù)后、抑郁狀態(tài)、難免性流產(chǎn)等信息。

該類賬號大量存在于互聯(lián)網(wǎng)上。據(jù)“網(wǎng)信上海”公眾號消息，近期，上海市網(wǎng)信辦在專項執(zhí)法行動中發(fā)現(xiàn)，一批醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)(主要從事醫(yī)療軟件開發(fā)與維護、醫(yī)療服務(wù)培訓、數(shù)字健康服務(wù)等)未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護義務(wù)，所屬系統(tǒng)存在網(wǎng)絡(luò)安全漏洞，被境外IP訪問并竊取。發(fā)生個人信息泄露情況，反映出部分醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)存在個人信息制度不規(guī)范不健全、安全防護不嚴密、存儲不合規(guī)等問題。上海市網(wǎng)信辦根據(jù)相關(guān)法律法規(guī)對一批醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)予以行政處罰。

一位在“開盒群”臥底過的業(yè)內(nèi)人士直言，有“開盒者”會將大量醫(yī)療信息非法曝光，并進行惡意揣測。一些人的體檢報告、內(nèi)臟、骨科的彩超圖片被非法公開，成為他人窺伺、意淫的對象；還有人的婦科、精神科醫(yī)療報告被非法公開，被他人肆意點評、嘲諷。

多種途徑泄露信息

這些醫(yī)療信息是如何被泄露的？

中國政法大學證據(jù)科學研究院教授、中國政法大學醫(yī)藥法律與倫理研究中心主任劉鑫告訴記者，可能的泄露途徑主要有以下幾種：外包服務(wù)漏洞，第三方檢驗機構(gòu)、醫(yī)療設(shè)備維保商等合作方接觸患者數(shù)據(jù)；患者自身疏忽，隨意丟棄帶有個人信息的檢查單據(jù)、處方箋；公共場景泄露，醫(yī)院Wi-Fi被植入竊取程序、自助終端遭遇竊密。此外，一些患者的用藥記錄在醫(yī)保結(jié)算環(huán)節(jié)流轉(zhuǎn)時，也可能產(chǎn)生數(shù)據(jù)泄露風險。

“產(chǎn)科、新生兒科是重災(zāi)區(qū)?！眲Ⅵ沃赋觯贁?shù)醫(yī)務(wù)人員將患者信息視作“資源”，當成“商品”出售。

最高人民檢察院《關(guān)于印發(fā)檢察機關(guān)依法懲治侵犯公民個人信息犯罪典型案例的通知》曾通報這樣一起典型案例：吳某甲、吳某乙系一家保健按摩中心的經(jīng)營者，為擴大客源，吳某甲向某醫(yī)院產(chǎn)科主管護師韋某提出，由韋某提供產(chǎn)婦信息，并承諾每發(fā)展一名客戶就給韋某50元或60元報酬，若客戶后續(xù)辦卡消費則另外向韋某支付10%的提成。截至案發(fā)，韋某向吳某甲、吳某乙出售包括產(chǎn)婦姓名、家庭住址、電話號碼、分娩日期、分娩方式等在內(nèi)的產(chǎn)婦健康生理信息500多條。

記者梳理公開資料發(fā)現(xiàn)，類似案件時有發(fā)生：北京某醫(yī)院員工符某某將明星病歷發(fā)至微信群炫耀，導致隱私擴散；上海某醫(yī)院主任私下傳播患者裸照，被暫停執(zhí)業(yè)。

還有系統(tǒng)漏洞，讓第三方平臺成為“后門”。

在浙江某婦產(chǎn)醫(yī)院32名產(chǎn)婦信息泄露事件中，罪魁禍首是一款第三方簽到軟件。該軟件違規(guī)上傳孕周、預(yù)產(chǎn)期等數(shù)據(jù)，最終流入黑產(chǎn)市場。四川省某精神衛(wèi)生中心2.7萬份患者檔案被盜，則是因省級醫(yī)療信息共享平臺接口未做好加密工作，遭黑客輕易攻破。

重拳之下屢禁不止

記者梳理發(fā)現(xiàn)，目前我國已有多款守護患者隱私權(quán)的法律條文。

比如個人信息保護法第28條將醫(yī)療健康信息列入敏感個人信息范疇，第55條要求個人信息處理者應(yīng)當事前進行個人信息保護影響評估，并對處理情況進行記錄。民法典第1226條明確規(guī)定，醫(yī)療機構(gòu)及其醫(yī)務(wù)人員應(yīng)當對患者的隱私和個人信息保密。泄露患者的隱私和個人信息，或者未經(jīng)患者同意公開其病歷資料的，應(yīng)當承擔侵權(quán)責任。《醫(yī)療機構(gòu)病歷管理規(guī)定》規(guī)定，除為患者提供診療服務(wù)的醫(yī)務(wù)人員，以及經(jīng)衛(wèi)生計生行政部門、中醫(yī)藥管理部門或者醫(yī)療機構(gòu)授權(quán)的負責病案管理、醫(yī)療管理的部門或者人員外，其他任何機構(gòu)和個人不得擅自查閱患者病歷。

受訪專家指出，盡管相關(guān)法律法規(guī)明確保護醫(yī)療隱私，但現(xiàn)實中維權(quán)難、執(zhí)法軟、違法成本低等問題突出。

在劉鑫看來，雖然我國現(xiàn)有“三合一”法律保護，如民法典明確醫(yī)療機構(gòu)泄露隱私需承擔侵權(quán)責任；醫(yī)師法、護士條例規(guī)定泄露者可被警告、停業(yè)甚至吊銷執(zhí)照；刑法修正案規(guī)定，公職人員泄露信息需從重處罰，但實踐中多處罰直接責任人，很少追究管理者連帶責任，違法成本低導致威懾不足。

“醫(yī)療記錄被泄露屢禁不止，深層原因有很多。一是管理失職，職能部門對隱私界定模糊(如‘就醫(yī)痕跡是否屬于隱私’)，未細化員工行為規(guī)范；二是利益驅(qū)動，醫(yī)務(wù)人員販賣信息獲利空間大(如每條產(chǎn)婦信息售價50元)，且查處困難，查處概率低；三是相關(guān)社會頑疾，比如公民個人信息買賣猖獗、騷擾電話精準投放等暴露治理手段失效?！眲Ⅵ握f。

他指出，破局之道應(yīng)該從“追責個人”到“系統(tǒng)治理”，比如強化警示教育，借鑒反腐模式，制作泄露隱私典型案例的警示片，強制相關(guān)崗位人員學習；完善連帶問責機制，不僅處罰泄露者，還需追責機構(gòu)管理者，倒逼醫(yī)院加強內(nèi)部管控；嚴打黑產(chǎn)鏈條，加大對數(shù)據(jù)交易平臺、非法買家的打擊力度，提高違法綜合成本；借鑒國際經(jīng)驗，規(guī)定只有在必要時才能調(diào)閱病歷，降低數(shù)據(jù)泄露風險。

“醫(yī)務(wù)人員需樹立‘隱私即紅線’的職業(yè)倫理，將保密意識融入日常操作；患者也要培養(yǎng)‘隱私潔癖’，妥善處理廢棄醫(yī)療單據(jù)，對可疑營銷電話主動取證維權(quán)?！眲Ⅵ握f。

受訪的業(yè)內(nèi)人士和專家指出，守護醫(yī)療隱私不只是法律命題，更是文明社會的底線。從加密技術(shù)到嚴厲刑罰、從醫(yī)院自查到公眾警惕，唯有織密這張防護網(wǎng)，才能讓每個人安心走進診室，不必擔心隱私成為他人手中的“商品”。

稿件來源：法治經(jīng)緯

本報記者 文麗娟