做好信息合规管理 可以“一举除三害”

 ——简析《个人信息保护法》对于医疗机构的现实影响

2021-12-16

关键词：医疗机构 个人信息 合规管理

2021年7月15日，修订后的《行政处罚法》正式实施。其中新增一项规定，即“当事人有证据足以证明没有主观过错的，不予行政处罚。”又称无错不罚。

7月26日，石家庄市卫生健康委员会官网公示了一份《行政处罚决定书》。某县人民医院因为疏于保护潜在捐献者个人信息，导致泄露，受到警告和罚款25000元的行政处罚。

9月1日，《数据安全法》开始实施。

11月1日，《个人信息保护法》正式实施。其中的第五章，为包括医疗机构在内的个人信息处理者详细规定了合规管理义务，第六十六条更是设定有高达“五千万元”的天价罚款。

综上所述，当今的医疗机构负责人，应当知道《个人信息保护法》对于医疗机构正在发生的三大现实影响：

一是形势很严峻。医疗机构对于患者个人信息的保护义务，从合法提升为合规。

二是法律有牙齿。疏于患者个人信息的保护，医疗机构必然面临“三害”，既包括毁损其社会形象的民事法律风险，天价罚款直至吊销医疗机构执业许可证的行政法律风险，还包括我国《刑法》第二百五十三条侵犯公民个人信息罪的刑事法律风险。一旦触及刑事责任，届时，作为患者诊疗信息安全管理第一责任人，医疗机构主要负责人将会以“直接负责的主管人员”的身份站立于“悬崖”的边缘。

三是合规可免责。只要按照《个人信息保护法》要求，切实采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失的，即可以“一举除三害”，从根本上彻底防范上述三个方面的法律风险。

一、形势很严峻

（一）规定重重

1.法律规定

对于患者个人信息的保护义务，《执业医师法》《护士条例》早有规定。去年实施的《基本医疗卫生与健康促进法》第九十二条对此也有明确规定，第一百零一条和第一百零二条还分别为医疗卫生机构和医疗卫生人员设定有行政处罚。

明年3月1日，《医师法》即将实施。《医师法》第二十三条为医师的执业活动设定了诸多法定的义务，其中之一即是“依法保护患者隐私和个人信息”。

2.管理规范

2018年4月21日，根据《医疗质量管理办法》，国家卫生健康委员会发布《关于印发医疗质量安全核心制度要点的通知》，信息安全管理制度位列第18项。

2018年7月12日，国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》。

最近发布的《医疗机构工作人员廉洁从业九项准则》第五条再次重申：恪守保密准则，不泄露患者隐私。确保患者院内信息安全。

3.技术规范

2018年4月13日，在《医院信息平台应用功能指引》和《医院信息化建设应用技术指引》基础上，国家卫生健康委制定并发布《全国医院信息化建设标准与规范（试行）》（国卫办规划发〔2018〕4号）。

2021年7月1日，国家标准《信息安全技术—健康医疗数据安全指南》（GB/T 39725-2020）正式实施。

（二）落实欠佳

1.内部人员频频泄露

2016年，来自全国30个省份的275位艾滋病感染者接到了诈骗电话，他们的个人信息遭到大面积泄露。

2019年10月，歌手林某在江苏镇江举办演唱会时，因身体不适前往镇江第一人民医院就诊。当日下午，林某就医信息即被泄露。

新冠疫情期间，全国各地新冠患者信息泄露事件频发。信息泄漏者不仅有医疗机构、疾控中心的工作人员，竟然还有卫生健康行政机关的领导。对此，《半月谈》评论称，泄露事件频发，对患者造成二次伤害，直接影响疫情防控工作大局。

2.外部黑客屡屡侵犯

《2019 健康医疗行业观测报告》通过对 15339 家医疗行业相关单位的观测，发现存在僵尸、木马或蠕虫等恶意程序的单位共计 1029 家，应用服务端口暴露在公共互联网中的单位有6446 家，4546 家单位网站存在被篡改安全隐患，其中 261 家单位已发生网站被篡改情况。

在全国三甲医院中,曾经就有247家医院检测出了勒索病毒,各地均有三甲医院“中招”。

二、法律有牙齿

（一）医疗机构的相关刑事责任

1.法律规定

我国《刑法》第二百五十三条“侵犯公民个人信息罪”，第三款规定有单位犯罪。

2017年6月1日，最高人民法院和最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号），其中第五条将在履行职责或者提供服务过程中获得的公民个人“健康生理信息”出售或者提供给他人250条或者获利达到2500元以上的，列为“情节严重”的刑事犯罪。

2.案例

全国首例侵犯公民个人健康生理信息的案件，由江苏昆山警方侦破。警方依法刑事拘留25人中，涉案医院人员过半。经查，嫌疑人孙某从网上大量购买医院的患者个人信息后，通过其自己设立的网站再贩卖给全国各地医院牟利。而北京、上海、广州、深圳、武汉、沈阳、长沙等地的100余家医院，都曾经从孙某处购买患者个人信息用于商业营销。

（二）医疗机构的相关行政责任

1.法律规定

较之《基本医疗卫生与健康促进法》第一百零一条对于医疗机构设定的1-5万元“毛毛雨”般的罚款，《个人信息保护法》设定的行政责任犹如雷霆万钧。

《个人信息保护法》第六十六条规定：违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

特别需要注意的是，根据《个人信息保护法》第六十条规定，有权作出上述行政处罚的政府部门，除了卫生健康行政机关之外，还新增了网信部门。另外，根据《立法法》第九十二条规定，作为新法，《个人信息保护法》将优先适用于《基本医疗卫生与健康促进法》；作为个人信息保护方面的特别法，《个人信息保护法》将优先适用于《医师法》。

2.案例

因疏于保护患者个人信息，而导致医疗机构受到行政处罚的案例屡见不鲜。篇首提到的石家庄市卫生健康委员会对于某县人民医院行政处罚一案，即是实例。

2019年1月，河南安阳市某医院因未履行网络安全保护义务，造成业务系统被攻击破坏，正常工作无法开展，当地公安机关依据《网络安全法》对医院处以罚款五万元、直接负责人罚款五千元的行政处罚。

（三）医疗机构的相关民事责任

1.法律规定

《民法典》在《侵权责任法》基础上专门增加了对于患者个人信息保护的特别规定，并删除了《侵权责任法》第六十二条中“造成患者损失的”这一侵权责任构成要件。

2020年末，最高人民法院发布《关于修改〈民事案件案由规定〉的决定》，将原来的隐私权纠纷变更为隐私权、个人信息保护纠纷，凸现了对于个人信息的保护。

《个人信息保护法》第六十九条规定：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

2.案例

广东东莞市虎门中医院曾经因为泄露乙肝病毒携带者个人信息，被人民法院判决赔偿精神抚慰金8000元，并以书面形式赔礼道歉。

2021年4月22日，最高人民检察院发布个人信息保护公益诉讼典型案例，其中包括浙江省温州市鹿城区人民检察院督促医疗机构保护患者个人信息公益诉讼案。提起公益诉讼的鹿城区人民检察院，还分别向两家泄露患者个人信息的医院发出检察建议。

三、合规可免责

（一）合规是什么？

对于医疗机构而言，合规是指医疗机构的日常管理和执业活动符合现行法律法规、政府部门监管规定和医疗卫生行业准则，以及医疗机构自身章程及规章制度的要求。

（二）合规的目的

1.预防。曲突徙薪，争取单位及员工都不犯错；

2.切割。目前，个别员工犯错，其个人行为通常被视为职务行为，单位屡屡因此而“背锅”。合规就像一把刀，可以在员工的个人行为与职务行为之间进行有效的分割；

3.保存证据。一旦有事，可以向行政机关、司法机关充分证明，对于个别员工实施的违法行为单位没有主观过错。

这个主观过错是指行为人对实施的违法行为所抱的心理态度，既包括故意，也包括过失。

（三）合规的好处，“一举除三害”。

1.丢卒保车，刑事出罪。

由于我国对于单位犯罪只包含有故意犯罪，因此，合规成为单位出罪的最好理由。一般说来，合规出罪可分为实体出罪和程序出罪两种。而主观过错免除，正是合规实体出罪的主要模式。

2016年，兰州中院判决的雀巢公司五名员工侵犯公民个人信息案，被称为中国合规无罪抗辩第一案。根据经过当庭质证的《雀巢宪章》、《雀巢指示》（取自雀巢公司员工培训教材）、《关于与保健系统关系的图文指引》等多份合规文件，以及测试卷、员工奖金表等证据，雀巢公司充分证明，“雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为，各上诉人违反公司管理规定，为提升个人业绩而实施的犯罪为个人行为。”据此，人民法院判决雀巢公司无罪。

2.主观无错，行政不罚。

医疗机构只要“证明自己没有过错的”，按照《行政处罚法》第三十三条第二款规定，即可以实现行政不罚。

3.证据充分，民事免责。

《个人信息保护法》第六十九条第一款确定的是过错推定原则。医疗机构如果充分“证明自己没有过错的”，即可与具体实施侵权行为的个别员工进行切割，实现单位免责。

（四）医疗机构信息合规管理的主要内容

1.《个人信息保护法》最新规定的合规管理义务

《个人信息保护法》第五十一至第五十八条规定的具体合规义务包括：

第一，采取措施，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。这些措施包括：制定内部管理制度和操作规程；对个人信息实行分类管理；采取相应的加密等安全技术措施；合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；制定并组织实施个人信息安全事件应急预案等。

第二，发生处理敏感个人信息等情形时，须事前进行个人信息保护影响评估。

第三，发生或者可能发生个人信息泄露、篡改、丢失的，须立即采取补救措施并履行通知义务。

第四，定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

2.前面第一部分“形势很严峻”中所提及的法律规定、管理规范和技术规范；

3.医疗机构以上述规定为纲，结合自身管理的具体实际情况制定并严格实施规章制度，切实做到纲举目张。

（五）做到合规，其实并不难。

习近平总书记指出：“我们党最讲认真，言必行、行必果，说到做到。”

其实，作为18项医疗质量安全核心制度之一，从之前的信息安全管理到今后的信息合规管理，医疗机构负责人们所面对的依旧是“认真”二字。

本文作者：