摘要：本文针对目前医疗机构在进行患者个人信息保护方面的现状进行简要阐述，进而提出医疗机构需如何在大数据新时代进行患者个人信息保护。

关键词：医疗机构；患者个人信息；患者隐私；保护

随着2021年11月1日《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的实施，人们对于个人信息的保护意识逐渐加强，医疗是人们民事活动的重要的领域，医疗机构是医患关系的主体，患者的个人医疗信息经整合与分析可应用于疾病诊断、新药研发、传染病预测预防等领域，具有很高的经济价值和社会价值【1】。本文对目前医疗机构在进行患者个人信息保护方面的研究现状进行阐述，进而在大数据新时代医疗机构需如何进行患者个人信息保护，即在患者个人信息保护方面医疗机构需要加以注意。

一、什么是个人信息？个人信息与隐私的关系

根据《中华人民共和国民法典》（以下简称“《民法典》”）第1034条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法》第4条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。对于医疗机构而言，患者的隐私是指患者在医疗机构接受医疗服务时表现出的，涉及患者自身因诊疗服务需要而被医疗机构及医务人员合法获悉，不愿他人知悉的个人情况，包括出生日期、家庭住址、联系方式、经济状况等基本信息，以及健康状况、所患疾病、既往病史、家族病史等有关信息。【2】

隐私与个人信息的区别：从内容上看，个人隐私强调“私密性”，包括对个人私密信息、活动和场所的秘密保护，而个人信息则强调“识别性”，其不仅包括个人私密信息，还包括可以公开的个人识别信息，如姓名、性别、年龄等。从价值理念上看，隐私权体现在对个人尊严的保护，而个人信息则偏向于对个人生活安宁的尊重。通过以上解释，不难看出，隐私与个人信息存有交集。相较于隐私，个人信息涵盖范围更加广泛。【3】

国外对于个人信息保护的模式：

当前各国对个人信息的法律保护主要存在着两种模式：以美国为主导的隐私权保护模式和欧盟个人信息权保护模式。

1、美国以隐私权作为个人信息保护的权利基础，在公领域实行分散立法模式，在私领域则采取行业自律模式，通过行业组织的内部规范保护信息隐私。美国最高院根据所涉利益将隐私权区分为信息隐私权和自主决定权等类型。信息隐私权作为隐私权的核心概念，赋予数据主体对个人信息的决定、支配和控制权利。信息隐私权保护的个人信息主要是指以记录形式表现的个人信息，包括个人医疗信息。【4】

2、欧盟采取统一立法形式，以个人信息权模式来保护个人信息，典型代表为德国。德国最初受美国影响以隐私权理论保护个人数据。德国宪法法院将个人信息权益称为“信息自决权（Informationelle Selbtbestimmungsrecht）”【5】，赋予了其宪法基础。1990 年制定的《德国联邦个人资料保护法》正式放弃隐私权理论，确认一般人格权为个人信息权的民法基础，对全部个人信息予以同等保护，成为大陆法系其他国家的立法范本。德国将个人信息定义为“可以直接或间接识别自然人（数据主体）的任何信息”，个人医疗信息中的生物识别数据、健康数据、基因数据、自然人性生活或性取向等被列为特殊类别的个人信息受到更为严格的法律保护。此外，德国法律还赋予数据主体以个人数据告知权、个人数据更正权、个人数据封锁权和个人数据删除权四项权利。

二、医疗机构如何保护患者个人信息

第一是病历。病历包括门诊病历（含急诊病历）和住院病历。它客观记录了患者疾病的发生、发展和转归，记载着患者的敏感个人生活信息和健康信息。随着经济与社会的发展以及公民维权意识的不断增加，病历不再仅仅是医教研的资料，法律作用愈加凸显，病历的社会价值在拓展【6】。

医疗机构为患者建立了门诊大病历的，病历资料由医疗机构保管；未建门诊大病历的，病历手册由患者保管。患者住院期间，住院病历由所在病区统一保管。因医疗活动或者工作需要，须将住院病历带离病区时，应当由病区指定的专门人员负责携带和保管。住院病历由病案管理部门或者专（兼）职人员统一保存、管理。医疗机构应严格病历管理。医疗机构不得违规销毁，禁止任何人抢夺、窃取病历。病历的借阅、复制必须办理相关手续，依法进行。医疗机构应当依法妥善保管病案，并保障患者的病历知情权和患者个人信息和隐私。门诊病历由医疗机构保管的，保存时间自患者最后一次就诊之日起不少于15年；住院病历保存时间自患者最后一次住院出院之日起不少于30年。【7】

第二是诊疗全程中的个人信息保护，尤其是隐私保护。目前在网络信息时代，患者在就诊前会通过网络平台进行挂号，在此过程中因信息传输及存储过程未做有效加密而导致隐私泄露。在门诊就诊阶段，医疗机构实行一人一诊室制度，很多诊室、治疗室、病房都配有隔帘或屏风【8】。住院诊疗过程中如手术手术室特殊场所，不允许录音录像。如遇医院教学查房，需事先征得患者同意。

患者的个人基本信息和健康信息集中体现在其化验单、B超单、体检单、病历等就诊资料上，应受到严格的保护。由于管理制度不健全，加之对患者个人信息保护的意识不强，医务人员随意将上述就诊材料放置于任何人都可以翻阅的场所，从而造成患者个人信息泄露。此外，还有医院无论是患者就诊、检查、取药基本都实行电子显示屏叫号系统，其中部分医院采取“实名”滚动方式提醒患者。这也会造成患者个人信息泄露的风险。【9】个人医疗信息的泄露或公开，有可能导致数据主体“社会评价降低”，甚至引起人格方面的歧视。

第三大数据时代的到来，对医药行业来说，患者的个人信息具有极大的市场价值，因此，某些医药企业总是千方百计从医疗机构手中获取就诊患者信息。部分医疗机构及医务人员由于未能抵制金钱的诱惑，遂与不法分子串通，大量出售患者信息。

北京姬雨童、李筱认为在医疗机构中电子病历互通时要充分了解医患双方对于个人信息共享的认知和意愿。在调查中患者认为医院应加强内部管理，避免信息从医院内部泄露，同时要不断提高医务工作者的素养，并加强司法监督。电子病历互通在方便患者的同时，也使患者个人信息面临的风险加大。医院应加强内部管理，完善授权程序，希望能实现电子病历互联互通和患者信息保护二者共赢。【10】

第四在科研成果中公布患者个人信息。一些医务工作者对患者个人信息和隐私采取漠视态度，随意将患者信息在科研成果、课堂教学、学术交流大会等场合公开。这种观念显然是错误的。

第五电子病历系统漏洞导致患者信息泄露。电子系统漏洞指的是由于软件缺陷、硬件缺陷、软件不兼容等原因导致没有授权的人员可以通过该漏洞访问或破坏电子病历系统。因此，医疗机构最好能够加大投入购买较为成熟的电子病历系统，并及时进行更新升级，使得系统功能齐全、减少漏洞，防止意外事件发生。

三、侵犯患者的个人信息，法律如何制裁

第一民事责任，《民法典》第1126条对患者个人信息和隐私保护有直接规定；另外总则编第111条，人格权编第6章“隐私权和个人信息保护”第1032条到第1039条，侵权责任编第1222条、第1225条、第1226条。侵害患者隐私权和个人信息的民事责任承担方式主要有：停止侵害、赔礼道歉和赔偿损失。

第二行政责任。2021年8月20日通过的《医师法》、《护士条例》及《基本医疗卫生与健康促进法》第33条中规定“要保护患者隐私”并在第101条、102条和105条中规定，医疗卫生机构等的医疗信息安全制度、保障措施不健全，导致医疗信息泄露，或者医疗质量管理和医疗技术管理制度、安全措施不健全的，由县级以上人民政府卫生健康等主管部门责令改正，给予警告，并处一万元以上五万元以下的罚款；情节严重的，可以责令停止相应执业活动，对直接负责的主管人员和其他直接责任人员依法追究法律责任。第102条对医疗卫生人员泄露公民个人健康信息做出了处罚规定。

第三刑事责任。当患者个人信息被营利性组织、不法分子以经济利益或侵害为目的进行利用，应当受到刑事处罚。《刑法修正案（七）》规定“出售、非法提供公民个人信息罪”：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”首次确立了在刑事领域保护公民个人信息，将非法提供、获取、贩卖个人信息入罪。在《刑法修正案（九）》规定“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚”，因此，“医疗单位”的工作人员犯本罪将面临从重处罚。2017年5月最高法和最高检颁布了《关于办理公民个人信息刑事案件适用法律若干问题的解释》，该解释定义了公民个人信息的范围及非法提供公民个人信息的标准，明确了情节严重的标准【11】。

四、医疗机构如何做好个人信息保护工作

1、不断强化医务人员对患者个人信息的保护法律意识，定期组织员工进行信息安全培训，增强保护医疗隐私数据安全的医师【12】。

加大宣传教育病历档案个人医疗信息保护工作的重要性，加强学习，积极引导医务人员学习相关法律法规，切实了解病历档案个人医疗信息泄密的危害性和严重性，树立防范和责任意识，积极主动地做好保密工作，真正做到无隐患、无漏洞、无疏忽，确保在收集、整理、归档、保管病历档案过程中确保信息安全。

2、健全病案保管制度，保证病历的完整性。按照相关规定，住院病案由医疗机构统一负责保管，医疗机构应履行妥善保管病历资料的义务。

3、医疗大数据中的患者个人信息保护

个人医疗信息利用应仅限于非营利性的医疗与科学研究目的。个人医疗信息除了病历中的病情记录以外，还包括患者的姓名、地址、联系人、联系电话等个人身份信息；患者的过敏史、检验检查结果、家族病史等生理信息；患者的费用发生状况、支票结算等其它所有与医疗有关的信息。因此医疗机构应提高加密安全等级；个人医疗信息的匿名化处理不仅要求去掉信息中的名称、别名、病历编号等标志性字段，还应对非关键字段作模糊化处理，避免使用者通过多个字段组合间接识别数据主体的身份；同时严控数据收集的使用目的、使用范围以及使用规则，严禁超出使用目的滥用医疗数据的行为发生。

4、科研合作中患者个人信息保护

在网络时代，加强网络安全建设，增强网络安全防护大数据时代，医疗数据对于医疗科研领域的发展有不可替代的作用。因此，处理好医疗数据中个人信息的保护和医疗数据的有序使用十分重要。科研合作中通常需要患者病历资料，做好患者个人信息“去身份化”、“去识别化”并严控以科研为由的医疗数据滥用行为。

参考文献：

[1]徐慧丽 大数据环境中国个人医疗信息的法律保护[J]图书馆，2019年第11期

[2]郭进京、张雪 国内患者隐私泄露情形与隐私保护现状分析[J].医学信息学杂志，2020年第4卷第2期.

[3]张融 论个人信息权的私权属性——以隐私权与个人信息权的关系为视角[J].法制纵横.

[4]齐爱民. 大数据时代个人信息保护法国际比较研究[M]. 北京：法律出版社， 2015.

[5]王利明. 论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J]. 现代法学， 2013（7）：62-72.

[6]单鸿升健保电子病历数据库个人医疗信息作为研究目的使用之限制——兼论德国最新修法趋势[J].月旦医事法报告，2021年第1号.

[7]刘鑫  陈伟  张宝珠 民法典时代医疗活动实物指南 [M].国家行政管理出版社，2021年5月

[8]田胜男 薛涛 王子宇 茹丽娜 浅析患者隐私权和个人信息保护[J].中国卫生人才，2021年9月

[9]邓勇 生杰元  医院泄露患者信息侵权行为之规避对策[J]

[10]姬雨童、李筱永 北京电子病历互联互通中的患者信息保护研究[J].卫生软科学，2020年9月第34卷第9期

[11]苏今 令钊 个人信息保护从“去身份化入手”[J].中国卫生，2018年3期

[12]郭强 王乐子 母健康 等医疗数据信息安全政策研究[J].医学信息杂志，2020年第41卷第1期