医务人员泄露患者信息被判刑,信息安全管理制度需重视!
2022-04-14 09:58:37监察审计室
【案情简介】
被告人郑某、杨某分别担任某公司婴儿营养部经理、区域经理期间,为了推销奶粉,授意该公司员工通过拉关系、支付好处费等手段,多次从甲医院、乙医院、丙医院等多家医院医务人员手中非法获取公民个人信息。据被告人王某某(甲医院妇产科工作人员)供述,我因工作需要在儿童出生登记本上登记信息,包括家长姓名、联系电话、婴儿出生年月日、性别等内容。经我许可让被告人杨某某对出生登记表的名单拍照。医院开办孕妇班时,杨某某会发放奶粉宣传资料和礼品,同时登记孕妇信息。我给杨某某提供过一张银行卡号,公司往我的卡上打钱。被告人丁某某(乙医院妇产科工作人员)供述,奶粉公司的李某某到我们医院推销奶粉,科里安排她穿上护士服,有孕妇来检查时李某某就将孕妇叫到宣教室给孕妇发放奶粉的试用装、登记孕产妇个人信息(姓名、联系电话、预产期)。李某某没有表明其身份,所以孕妇不知道李某某是奶粉公司的业务员。李某某将奶粉的试用装提供给我,让我帮忙发放试用装登记信息(我大概提供了四五百条信息)登记一条给我5块钱。我给奶粉公司提供这些信息,奶粉公司给我支付好处费。被告人杨某甲(丙医院妇产科护士长)供述,奶粉公司营养师杜某某让我们科室同事帮忙发放免费奶粉并登记产妇信息,登记一条,给科室5元钱,我统一填在奶粉公司给我的一张登记表上交。杜某某向我要过出生证明的存根,抄走了上面的信息。
【法律评析】
一、关于公民个人信息的保护
公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
在民事法律领域,《民法总则》明确规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。《侵权责任法》规定,医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。
在刑事法律领域,《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。修正案将最高刑提至7年,加大了处罚力度,对维护信息安全,保护公民个人信息不受非法侵犯起到积极的作用。
二、关于信息安全管理制度
信息安全管理制度是是十八项医疗质量安全核心制度之一,指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。其基本要求为:医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。应当建立患者诊疗信息安全风险评估和应急工作机制,制定应急预案。应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。应当建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人承担。应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作,建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定向有关部门报告。
三、关于患者个人信息保护的规定
医疗机构及医务人员对患者的个人信息负有保密义务,《执业医师法》《护士条例》均规定,医师、护士在执业活动中,应当尊重、关心、爱护患者,保护患者的隐私。《医疗机构病历管理规定(2013年版)》规定,医疗机构及其医务人员应当严格保护患者隐私,禁止以非医疗、教学、研究目的泄露患者的病历资料。
病历是指医务人员在医疗活动过程中形成的文字、符号、图表、影像、切片等资料的总和,包括门(急)诊病历和住院病历。根据《病历书写基本规范》的规定,门(急)诊病历首页内容应当包括患者姓名、性别、出生年月日、民族、婚姻状况、职业、工作单位、住址、药物过敏史等项目。门诊手册封面内容应当包括患者姓名、性别、年龄、工作单位或住址、药物过敏史等项目。入院记录患者一般情况包括姓名、性别、年龄、民族、婚姻状况、出生地、职业、入院时间、记录时间、病史陈述者等等, 由此可见,患者在就诊过程中需要向医务人员提供大量的个人信息,且这些信息都必须记载在病历中。如果医疗机构对病历管理不善,就会造成患者个人信息被泄露。
【法院判决】
本案法院经审理查明,被告人王某某(甲医院妇产科工作人员)利用其担任甲医院妇产科护师的便利,将其在工作中收集的公民个人信息2千余条非法提供给被告人杨某某,收取好处费1万余元。被告人丁某某(乙医院妇产科工作人员)利用其担任乙医院妇产科护师的便利,将其在工作中收集的公民个人信息9百余条非法提供给被告人李某某,收取好处费4千余元。被告人杨某甲(丙医院妇产科护士长)利用其担任丙医院妇产科护士长的便利将其在工作中收集的公民个人信息7百余条非法提供给被告人杜某某,收取好处费6千余元。法院认为,被告人王某某、丁某某、杨某甲违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重,其行为均已构成侵犯公民个人信息罪。王某某(甲医院妇产科工作人员)判处拘役六个月,缓刑十个月,罚金1000元,丁某某(乙医院妇产科工作人员)判处拘役五个月,缓刑六个月,罚金1000元,杨某甲(丙医院妇产科护士长)判处拘役四个月,缓刑六个月,罚金1000元判处拘役四个月,缓刑六个月,罚金1000元。
(医法汇)