12月12日，知名影星周海媚在北京辞世。

当晚，一份周海媚生前在北京顺义一家医院抢救的病历在互联网上流传，上面记载了患者的个人资料、既往病史、体格检查等信息。

尽管随后涉嫌传播病历的医院职工已经被依法行政拘留，不过，“病例泄露”一事依然引发了公众广泛的讨论。

事实上，因为医疗信息包含着患者隐私等私密信息，其安全形势一直备受各界关注。那么，这些患者交给医生的“秘密”，在法律层面又该如何被尊重和保护？

“患者的信息在飞”

《法治周末》记者梳理发现，很多明星遭遇过病历泄露的问题。

2018年8月9日，林更新去北京某医院进行鼻中隔手术。随后他的麻醉安排、住院病历被发到网上，其中涵盖了他的个人信息，包括年龄、住址、主诉既往史等。

2019年10月27日晚，林俊杰结束演唱会后因身体不适，前往医院就诊。当日下午，林俊杰的就医信息被泄露，其使用过的吊水针头和注水包疑被医护人员出售给粉丝。

除了公众人物，近年来发生在普通患者身上的信息泄露事件也不在少数。

媒体曾经报道，2016年，某社区医生因为出售了10万条患者信息而获罪；2017年，上海20万条新生婴儿信息被疾控中心的两名工作人员贩卖给婴幼儿保健品经营企业。

《法治周末》记者在采访中了解到，很多孕妇在医院建档后，随后就会被奶粉推销员、月子中心、家政服务的电话轮番骚扰。

在北京市海淀区一家互联网公司工作的陈玉（化名）在怀孕期间就曾经接到过这样的推销电话，让她更气愤的是，自己的父母在去医院检查身体后，回家后也接到了保健品推销的电话。

“感觉患者的信息就在天上飞，我们前脚进医院，后脚自己的信息就被医院给卖了。”陈玉说，“医院掌握的患者信息，是患者毫不保留提供的信息或者隐私，如果这些信息被泄露，那每个人都成透明的了。”

越来越多关于患者信息被侵权的现象，也引起了司法机关的注意。

今年3月，最高人民检察院就曾公布过一起个人信息保护检察公益诉讼典型案例。

该案例发生在江西省宜春市，有保险代理机构业务人员向住院患者推销“手术意外险”。在推销保险产品过程中，业务人员对患者的姓名、手术类型、联系电话等医疗健康信息了如指掌，患者不堪其扰。

经办案检察官走访调查发现，患者信息是部分保险代理机构业务人员与院方签订合作协议，违法获取。

那么，如果患者病历等信息遭到泄露，涉事人员以及医疗机构需要承担何种法律责任？

中国政法大学教授罗翔在其公众号撰文表示：

首先是民事责任。

民法典第九百九十四条明确规定：“死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的，其配偶、子女、父母有权依法请求行为人承担民事责任；死者没有配偶、子女且父母已经死亡的，其他近亲属有权依法请求行为人承担民事责任。”

其次是行政责任。

医师和护士在执业活动中泄露患者隐私或者个人信息的，会受到县级以上卫生主管部门警告、暂停执业活动直至吊销执业证书的行政处罚。

“其中所说的患者并不应该仅限于活着的患者。即便认为患者不包括死者，医师法第五十八条也规定了‘严重违反医师职业道德、医学伦理规范，造成恶劣社会影响的，由省级以上人民政府卫生健康主管部门吊销医师执业证书或者责令停止非法执业活动，五年直至终身禁止从事医疗卫生服务或者医学临床研究’。”罗翔表示。

最后是刑事责任。

罗翔表示，刑法第二百五十三条之一规定：侵犯公民个人信息罪，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，最高可以判处七年有期徒刑。

纠纷时有发生

近年来，科技的进步以及社会的发展不断扩充隐私的内涵，同时，新的隐私侵权行为方式和类型也在不断出现。

2022年1月18日，山东日照一位男妇科医生在网上直播妇科手术。随后，该名涉案医生被追究刑事责任。今年1月31日，江苏昆山一位男妇科医生在个人社交媒体公开发布患者就诊照片、涉及隐私部位。

北京大学医学人文学院医学伦理与法律学系副主任刘瑞爽告诉《法治周末》记者，随着互联网与大数据技术的发展，使得个人信息的收集、利用与共享变得容易。因此，对患者隐私保护不当而导致的医疗纠纷经常发生。

“随着民众权利意识的高涨，此类纠纷呈现出快速上升的势头，其中被媒体曝光的侵害患者隐私权最常见的情况有：医院大屏幕曝光患者隐私、床头卡曝光患者病情、隐私被他人旁听、医学观摩令隐私变教材、化验单对公众公开等，其中，健康体检过程中的受检者隐私保护现状更是不容乐观。”刘瑞爽说。

而民法典在第一千零三十五条第一款对个人信息保护提出了一个具有纲领性的“明确”同意原则。

“比如说，医院里在处理患者的个人健康信息时，医院作为信息处理者，如果没经患者本人同意，不能把原本用于诊疗的病历拿去做科学研究。”刘瑞爽说。

例如，如果患者同意做某类研究，比如，做糖尿病研究，医院就不能未经患者同意，将其用于做精神分裂症的研究。处理其个人信息前征得患者的明确同意，体现了对隐私权、个人信息保护的尊重。

多地从严管理

患者隐私权是指患者拥有保护自身隐私部位、病史、身体缺陷、特殊经历、遭遇等不受任何形式外来侵犯的权利。多名受访者表示，随着法律法规的不断健全，我国更细化、强化地保护患者隐私。

其中，《中华人民共和国民法典》《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国医师法》《中华人民共和国传染病防治法》等都有相关条款。

而从多地近年发布的行政处罚裁量基准来看，可以发现针对患者隐私保护的条款，都有从严、从重管理趋势。

今年5月，天津市卫健委印发天津市卫生健康（爱国卫生）行政处罚自由裁量基准（2023年版）（征求意见稿）》，其中，针对“泄露患者隐私，造成严重后果”，《征求意见稿》认定存在违法所得的行为，应“从重”裁量，不仅要警告、罚款，还要暂停6个月以上1年以下执业活动，直至吊销医师执业证书。

同期，重庆市卫健委公开征求《重庆市卫生健康行政处罚裁量基准实施办法及具体裁量基准》意见。根据相关内容，针对泄露患者隐私或个人信息，涉事医师或有3次机会。

“事不过三”的管理规定，还体现在《上海市执业医师行政处罚裁量基准》中。

其内容显示，针对首次泄露患者隐私的，予以警告；再犯者将暂停6个月以上1年以下执业活动；第三次及以上泄露患者隐私且造成严重后果的，吊销执业证书。根据上海卫健委公告，这份原发于2015年的文件已延长有效期至2026年2月28日。

在北京，“事不过三”是指涉事人次。

《北京市卫生健康行政处罚裁量细则（2023年1月修订）》称，泄露患者隐私或个人信息超过3人次、或情节严重的，最高可吊销医师执业证书。此外，北京针对此类违法行为设有至少24个月的公示期。

值得注意的是，今年9月，国家卫健委制定并发布了《患者安全专项行动方案（2023-2025年）》。该方案明确，要提高对信息安全的重视程度，防止数据泄露、毁损、丢失，严禁任何人擅自向他人或其他机构提供患者诊疗信息。

《行动方案》提出，利用3年时间，进一步健全患者安全管理体系，完善制度建设，畅通工作机制，及时消除医疗过程中以及医院环境中的各类风险，保障患者安全。

其中，为保障诊疗信息安全，《行动方案》明确要提高对信息安全的重视程度，按要求对医疗机构内部的信息系统采取信息安全等级保护措施，加强账号信息和权限管理，定期开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查，防止数据泄露、毁损、丢失，严禁任何人擅自向他人或其他机构提供患者诊疗信息。

同时，除了对医院的规范，对于患者信息的购买者该如何整治，也是保护患者隐私权中的重要一环。

应急管理部应急总医院医务处副处长、副主任医师郑山海曾经撰文指出，在患者信息泄露的整个环节中，这些买方才是真正的始作俑者。

“如果不能对买方作出有威慑力的惩戒，他们去挖掘患者信息的犯罪活动就不会停止。不加大对他们的惩治，无疑等于养虎为患。”郑海山说。

他建议，可以由政府部门统一制定医疗信息管理的网络安全标准，统一配置高规格的防病毒软件或防侵扰软件，保证患者的信息不会在诊疗机构信息平台上被不良商家读取。