《个人信息保护法》将于11月1日正式实施，该部法律与此前颁布实施的各项立法中规定的关于保护（患者）隐私及个人信息的内容一脉相承，个保法的发布与实施将保护患者个人信息推向立法的新高度。

一、隐私与个人信息的法律释义

《中华人民共和民法典》第一千零三十二条第二款规定 隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

《中华人民共和国民法典》第一千零三十四条第二款规定 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

《个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

二、患者个人信息保护相关法律规定

《个人信息保护法》发布实施前，关于患者个人信息保护的相关内容在相关法律中也有体现，具体如下：

《中华人民共和国民法典》

一千二百二十六条 医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。本条前身来自于《侵权责任法》第六十二条，增加了“个人信息”作为医疗机构和医务人员保密的对象，删除了原《侵权责任法》“造成患者损害的”表述，《民法典》明确即使不造成患者损害，也应当承担侵权责任。

《中华人民共和国基本医疗卫生与健康促进法》

第三十三条 公民接受医疗卫生服务，应当受到尊重。医疗卫生机构、医疗卫生人员应当关心爱护、平等对待患者，尊重患者人格尊严，保护患者隐私。

《中华人民共和国医师法》

第二十三条 医师在执业活动中履行下列义务：（三）尊重、关心、爱护患者，依法保护患者隐私和个人信息。

《护士条例》（2020年国务院令第726号）

第十八条 护士应当尊重、关心、爱护患者，保护患者的隐私。

《中华人民共和国传染病防治法》

第十二条 在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。卫生行政部门以及其他有关部门、疾病预防控制机构和医疗机构因违法实施行政管理或者预防、控制措施，侵犯单位和个人合法权益的，有关单位和个人可以依法申请行政复议或者提起诉讼。

《个人信息保护法》

处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意；对违法处理个人信息的应用程序，责令暂停或者终止提供服务。

《互联网诊疗管理办法（试行）》

第二十条 医疗机构应当严格执行信息安全和医疗数据保密的有关法律法规，妥善保管患者信息，不得非法买卖、泄露患者信息。发生患者信息和医疗数据泄露后，医疗机构应当及时向主管的卫生健康行政部门报告，并立即采取有效应对措施。

GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》

患者个人信息范围广泛，依据《健康医疗数据安全指南》健康医疗数据分为6个类别，并且在每个类别下给出了具体范围，如下表所示：

根据数据的重要程度、风险级别以及对数据主体可能造成的损害和影响的级别分为5个级别。相关级别的举例及使用范围如下所示：

三、医疗机构及医务人员可能泄露患者隐私及个人信息常见表现形式

1. 未经患者本人同意，将患者的个人信息及相关病历信息发表在医学期刊、个人论文、著作中，或用于讲座教学，；

2. 医务人员问诊后与其他不相关人员讨论患者的病情和治疗方案，导致患者隐私及个人信息泄露；

3. 患者登记在医疗机构中的个人信息故意或者过失被出卖或披露，如将产妇的信息披露给奶粉厂商或婴幼儿用品厂商；

4. 未获得患者本人同意，组织实习生或医学生对患者身体甚至是隐私部位进行观摩、手术教学、检查等。

5. 医疗机构数据安全保护措施不到位，对电子病历监管存在漏洞，导致医务人员或其他人员可以随意查询患者的诊疗信息。

四、医疗机构或医务人员可能面临的法律责任

1. 民事责任

医疗机构及其医务人员有对患者的个人信息保密的义务，泄露患者隐私和个人信息，或者擅自公开患者病历资料，是一种较为严重的侵权行为，有可能对患者的工作、学习和生活造成重大影响。《民法典》规定泄露患者隐私、个人信息或者病历资料的，无论该行为对患者是否造成损害，医疗机构及其医疗人员都应当承担侵权责任。患者遭受该种侵权行为侵害的，可以收集相关证据到法院提起民事诉讼。 2020年12月，最高人民法院发布《关于修改〈民事案件案由规定〉的决定》，修订后的民事案件案由，其中在人格权纠纷项下做出变更，将隐私权纠纷变更隐私权、个人信息保护纠纷，新增了个人信息保护纠纷。《个人信息保护法》在个人信息侵权责任方面规定了过错推定规则，即在侵犯个人信息权益诉讼中，被告需要证明自己没有过错，如果被告无法证明自己没有故意或者过失，就被推定为有过错，需要承担败诉后果和相应的法律责任。与“谁主张谁举证”的原则相比，过错推定原则加重了医疗机构及医务人员的举证责任。侵害患者隐私权和个人信息的民事责任承担方式主要有：停止侵害、赔礼道歉和赔偿损失。停止侵害的适用较为常见。赔礼道歉法律上并没有规定具体方式，主要取决于受害人的选择。至于赔偿损害，由于侵犯患者隐私权的结果主要是给受害人造成精神损害，因此，赔偿损失可以按照《精神损害赔偿司法解释》的有关规定进行赔偿。侵害个人信息的，也主要是精神损害赔偿的问题，可以适用侵害个人信息的一般规则。

2. 行政责任

《医师法》第五十六条规定泄露患者隐私或者个人信息的由县级以上人民政府的卫生健康主管部门责令改正，给予警告，没收违法所得，并处一万以上三万以下的罚款；情节严重的，责令暂停六个月以上一年以下执业活动直至吊销医师执业证书。《基本医疗卫生与健康促进法》明确医疗卫生人员有泄露公民个人健康信息行为的，将承担个人责任，被处以行政处罚。《个人信息保护法》第六十六条规定违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。对于情节严重的违法行为，可以在没收违法所得的基础上，并处五千万元以下或者上一年度营业额百分之五以下罚款，对直接主管人员可被处十万元以上一百万元以上的罚款。

3. 刑事责任

《刑法》第二百五十三条规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。公民的个人信息受法律保护，任何单位或个人均不得通过非法手段获取公民个人信息，更不能利用公民个人信息获取非法利益，否则要承担严重的刑事责任。2021年6月17日，最高人民法院、最高人民检察院和公安部联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（二）》规定“非法获取、出售、提供个人生物识别信息”的行为，将以侵犯公民个人信息罪追究刑事责任。从法律适用上将个人生物识别信息纳入侵犯公民个人信息罪追责范围。最高人民法院和最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、最高人民检察院发布《检察机关办理侵犯公民个人信息案件指引》均指出，如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的，涉案信息数量、违法所得数额只要达到一般主体的一半，即可认为属于情节严重的情形，上述法律规定明示依职权侵犯个人信息将加大违法处罚力度。

结

语

随着社会的发展和网络信息化的畅通，全民自我保护的法律意识不断提升，患者就诊不仅关注诊疗结果，更加注重医疗服务的就诊过程体验，医疗机构和医务人员加强患者隐私及个人信息保护合规管理势在必行。管理上，医疗机构应依据国家及行业法律法规拟定相关管理制度并监管落地，将依法执业贯彻到位；医务人员应提升患者隐私及个人信息保护的法律意识及职业自律性，对患者问诊、查体严格依照诊疗规范，对于与病情无关的涉及患者隐私的个人信息不予刺探。对于与病情无关的、不需要检查的患者隐私部位不予查看。征询患者意见时可以将知情同意扩大到患者隐私权的保护中来，对于需要以患者为案例，进行医学教学或者需要对诊疗过程进行拍摄时，须征询患者的意见，取得患者同意，在法律允许的范围内进行。同时，应加强数据安全建设，制定网络安全政策，从网站、APP入手，重点关注识别和阻止账号密码共享和移动设备使用，在根源上防止患者信息泄露。

供稿 | 审计法务部

编辑 | 公共关系部