電子病歷泄露的法律責(zé)任
問
如果個人電子病歷泄露了���,可能會產(chǎn)生什么樣的后果,醫(yī)院或醫(yī)生應(yīng)該承擔(dān)什么樣的法律責(zé)任��?
答
從患者的個人隱私方面來看�����,電子病歷包括兩方面的內(nèi)容�,一是患者的個人信息,包括姓名���、性別�����、年齡等基本身份信息�����,父母�、配偶、子女等家庭生活與社會關(guān)系的信息���,教育程度��、職業(yè)��、政治面貌等社會政治信息�����,家族史���、病史、過敏史等基本健康信息�,新農(nóng)合、商業(yè)保險�、公費等參保信息。���;二是醫(yī)護人員記錄的診療信息����,包括入院記錄、病程記錄�����、手術(shù)記錄��、出院記錄���、醫(yī)囑記錄����、耗材記錄���、生命征象記錄、會診記錄�����、相關(guān)的檢查資料與報告���、醫(yī)生對患者的診斷結(jié)果以及治療的方案�����、知情告知書等方面的資料�����?����;颊唠娮硬v信息安全指的是患者有權(quán)要求數(shù)據(jù)處理者和使用者避免個人病歷信息的丟失��、不當(dāng)訪問����、破壞、利用�、修改、泄露等風(fēng)險�,并應(yīng)采取合理的安全保障措施?!吨腥A人民共和國民法典》正式實施以后,對隱私權(quán)做了法律上的界定�,患者的隱私權(quán),是指患者醫(yī)療機構(gòu)接受醫(yī)療服務(wù)時表現(xiàn)出的�,涉及患者自身因診療服務(wù)需要而被醫(yī)療機構(gòu)及醫(yī)務(wù)人員合法獲悉�����,不愿他人知悉的個人情況��。數(shù)字經(jīng)濟時代的三駕馬車《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》�����,也明確界定了個人敏感信息的處理原則����,醫(yī)生和醫(yī)院作為信息的處理者����,一旦泄露患者的個人敏感信息,涉及侵犯患者隱私權(quán)�,要承擔(dān)相應(yīng)的民事責(zé)任���。
從醫(yī)院管理方面來看�,醫(yī)院要承擔(dān)承擔(dān)數(shù)據(jù)安全和數(shù)據(jù)合規(guī)義務(wù)�����,對于患者個人電子病歷中涉及的敏感信息,醫(yī)院應(yīng)當(dāng)妥善地保管���,盡到管理的職責(zé)���。以一家大型三甲醫(yī)院為例,平均門診量高達(dá)7000—10000人次/天�����,一年的門診量高達(dá)240萬—250萬人次/年��,電子病歷系統(tǒng)里存放大量的病歷數(shù)據(jù)���,當(dāng)患者就診時��,醫(yī)生通過電子病歷系統(tǒng)從200多萬份數(shù)據(jù)中快速�、準(zhǔn)確地找到該患者的數(shù)據(jù)�����。在使用這些數(shù)據(jù)時����,醫(yī)院應(yīng)當(dāng)做到合理使用�����、妥善保管����,避免泄露患者的個人信息���。如果醫(yī)院未履行此義務(wù)�����,就要承擔(dān)相關(guān)主管部門的行政處罰���,甚至涉及刑事犯罪,單位和相關(guān)負(fù)責(zé)人要承擔(dān)刑事責(zé)任��。
電子病歷系統(tǒng)建設(shè)主要存在的問題
問
從您的專業(yè)的角度�,請您談?wù)勀壳皣鴥?nèi)電子病歷系統(tǒng)建設(shè)主要存在哪些問題?
答
我認(rèn)為目前國內(nèi)電子病歷系統(tǒng)的建設(shè)存在的問題是:
一是醫(yī)療數(shù)據(jù)共享問題���,在醫(yī)療大數(shù)據(jù)共享系統(tǒng)下,患者每次就診便自動將個人所有疾病信息共享給主治醫(yī)生��,甚至是特殊敏感的疾病信息,如性病���、艾滋病等��。那么是否有必要如此共享�?患者是否有權(quán)決定共享的范圍�����?某些醫(yī)院在給第三方機構(gòu)調(diào)取患者數(shù)據(jù)時��,并沒有對患者個人的敏感信息進行脫敏處理�,這就違反了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等相關(guān)法律�。
二是有關(guān)數(shù)據(jù)處理問題,醫(yī)院是患者個人信息處理的主要機構(gòu)��。當(dāng)前�����,醫(yī)院尚未形成體系性的個人信息保護的管理制度���,個人隱私保護措施主要體現(xiàn)在各個具體的信息系統(tǒng)管理制度當(dāng)中�。患者電子病歷數(shù)據(jù)的保存��、利用�����、共享�、刪除,保密機制是否有完善���,這是一個全生命周期數(shù)據(jù)合規(guī)體系的搭建問題����,是否對數(shù)據(jù)安全����、數(shù)據(jù)出境進行評估,以及患者的個人信息安全影響評估機制���,醫(yī)院是否對防火墻機制進行了評估�,從這些角度來看�,目前還是有所缺乏的。國內(nèi)亟需依法對患者隱私信息進行嚴(yán)格管控保護,設(shè)立脫敏����、去標(biāo)識化的具體標(biāo)準(zhǔn)和規(guī)定����,這樣才能在促進健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展過程中保護個人隱私和維護信息安全。
電子病歷的合規(guī)管理體系
問
隨著互聯(lián)網(wǎng)醫(yī)療的普及���,在互聯(lián)網(wǎng)診療過程中也會形成電子病歷��,與傳統(tǒng)線下診療中的電子病歷在合規(guī)管理方面有哪些相同點以及不同點����?
答
互聯(lián)網(wǎng)診療中形成的電子病歷和線下診療中的電子病歷的相同點是它們都是電子數(shù)據(jù)�����,都全方位��、全流程展示了患者的信息����。
它們的不同點在于,線下的電子病歷是醫(yī)院和患者進行線下溝通,經(jīng)過醫(yī)生的診斷����,再經(jīng)由醫(yī)生系統(tǒng)上傳數(shù)據(jù);而互聯(lián)網(wǎng)診療過程中形成的電子病歷完全符合全生命周期的概念����,所有的數(shù)據(jù)從提取、存儲�、共享都是在互聯(lián)網(wǎng)診療機構(gòu)里面進行的,是可追溯的�,這一特點符合數(shù)字化時代的特征,互聯(lián)網(wǎng)醫(yī)療領(lǐng)域是醫(yī)療數(shù)據(jù)過度采集和不當(dāng)使用的重災(zāi)區(qū)�。互聯(lián)網(wǎng)醫(yī)療機構(gòu)通過計算機網(wǎng)絡(luò)為個人信息主體提供相應(yīng)的服務(wù)時�,可能作為個人信息控制者收集用戶的個人信息并加以利用,而在該過程中更加存在數(shù)據(jù)合規(guī)風(fēng)險��。在這樣的背景下�,合規(guī)管理體系就顯得尤為重要。
健康醫(yī)療大數(shù)據(jù)的重點發(fā)展方向]
問
圍繞健康醫(yī)療大數(shù)據(jù)的保護和流通�,您認(rèn)為未來會有哪些重點的發(fā)展方向,能否為院方提出一些建議���。
答
未來���,健康醫(yī)療大數(shù)據(jù)的會朝著互通����、互享��、共治�����、共享的方向發(fā)展�,數(shù)據(jù)的流通會更加順暢��,防止數(shù)據(jù)的泄露也是很重要的議題���。因此��,院方要尤其注意對醫(yī)療健康數(shù)據(jù)的處理��,建立全生命周期的數(shù)據(jù)合規(guī)管理體系�,并進行認(rèn)證�����,才能更好地規(guī)避信息安全的問題。
目前看來�����,建設(shè)全國統(tǒng)一醫(yī)院電子病歷系統(tǒng)的關(guān)鍵不在于技術(shù)手段����,而在于制度細(xì)節(jié)——如何在數(shù)據(jù)共享的同時保護好患者隱私,如何在互聯(lián)互通的同時保障醫(yī)院的知識產(chǎn)權(quán)�����,這些都有待于相關(guān)制度的進一步建立和完善����。
如楊旭律師所說,加快建設(shè)醫(yī)療健康數(shù)據(jù)合規(guī)管理體系�����,才能在保障患者信息安全的同時�,亦能幫助醫(yī)院合法有效地進行數(shù)據(jù)共享
