医事法律学习笔记第76篇:
患者隐私权的内涵和外延
本文作者:吴国民律师
主文字数:3668字,阅读时间约7分钟。
在进行身体检查时,被人围观;得了一些难言之隐的病,很快被周围人所熟知,….这些情况谁都不愿意摊上。
己所不欲,勿施于人。医方的医生、护士、行政人员都是一个个鲜活的自然人,自然也不愿上述情况出现在自己身上,但在工作中很可能有意或无意中就把患者的隐私泄露。
但患者的隐私是什么?相关的法律依据是什么?对于医患双方都有熟知的必要。
一、什么是患者的隐私?
根据《民法典》第一千零三十二条第二款规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
由引所引申出的隐私权是指公民享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。隐私权包括隐私的隐瞒权、利用权、支配权、维护权等四项基本权利。
二、患者隐私保护的法律依据
《民法典》第一千二百二十六条规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
对比《民法典》实行前的《侵权责任法》第六十二条,增加了“个人信息”作为医疗机构和医务人员保密的对象,删除了原《侵权责任法》“造成患者损害的”表述,《民法典》明确即使不造成患者损害,也应当承担侵权责任。
其实,在《民法典》实施前,患者的隐私权保护已散见于多部医事领域的法律法规之中。
1989年9月1日起施行、2013年6月29日第十二届全国人大常委会第三次会议修正的《传染病防治法》第十二条规定,疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。
1999年5月1日起施行的《执业医师法》第二十二条第(三)项,以及将于2022年3月1日起施行的《医师法》第二十三条第(三)项均规定了医师在执业活动中履行的义务包括了依法保护患者隐私。
2008年5月12日起施行的《护士条例》第十八条规定,护士应当尊重、关心、爱护患者,保护患者的隐私。
2020年6月1日实施的《基本医疗卫生与健康促进法》第三十三条第一款规定,医疗卫生机构、医疗卫生人员应当关心爱护、平等对待患者,尊重患者人格尊严,保护患者隐私。
三、有意或无意泄露患者隐私所需承担的法律责任
无论是有意或无意泄露了患者隐私,其所产生的后果也是严重的,像一把双刃剑一样,不仅让患者的隐私为一定的公众所熟悉继而带来相应的困扰,同时泄露患者隐私的医护人员也要为自己的侵权行为所承担相应的法律责任。而这些法律责任包括了民事、行政的,甚至是刑事责任。
1、民事法律责任
如前所述,在《民法典》规定了泄露患者隐私、个人信息或者病历资料的,无论该行为对患者是否造成损害,医疗机构及其医疗人员都应当承担侵权责任。
同时,隐私作为一种个人信息,《个人信息保护法》在个人信息侵权责任方面规定了过错推定规则,即在侵犯个人信息权益诉讼中,被告需要证明自己没有过错,如果被告无法证明自己没有故意或者过失,就被推定为有过错,需要承担败诉后果和相应的法律责任。
而这些民事领域的法律责任的承担方式主要有:停止侵害、赔礼道歉和赔偿损失。会有哪些具体方式,取决于被侵权患者的选择,以及案件的具体情况。
2、行政法律责任
《基本医疗卫生与健康促进法》作为卫生健康领域的基本法,对此作为纲举目张的原则规定。在该法的第一百零二条第(二)项规定,违反本法规定,医疗卫生人员泄露公民个人健康信息的,由县级以上人民政府卫生健康主管部门依照有关执业医师、护士管理和医疗纠纷预防处理等法律、行政法规的规定给予行政处罚。
那么,有关执业医师、护士管理、医疗纠纷预防处理等法律、行政法规是如何规定泄露患者隐私的行政处罚?
a) 在医师领域,《执业医师法》第三十七条第(九)项规定,医师在执业活动中,违反本法规定,泄露患者隐私且造成严重后果的,由县级以上人民政府卫生行政部门给予警告或者责令暂停六个月以上一年以下执业活动;情节严重的,吊销其执业证书;构成犯罪的,依法追究刑事责任。
细心的读者或许发现上述针对医师的行政处罚还有要求“造成严重后果”,但在2022年3月1日起这种情况不再存在,转向更为严格的并不要求造成后果,即只要存在泄露患者隐私即需要给予相关行政处罚。《医师法》第五十六条第(一)项规定,违反本法规定,医师在执业活动中泄露患者隐私或者个人信息,由县级以上人民政府卫生健康主管部门责令改正,给予警告,没收违法所得,并处一万元以上三万元以下的罚款;情节严重的,责令暂停六个月以上一年以下执业活动直至吊销医师执业证书。
b) 在护士领域,《护士条例》第三十一条第(三)项规定,护士在执业活动中有泄露患者隐私的情形,由县级以上地方人民政府卫生主管部门依据职责分工责令改正,给予警告;情节严重的,暂停其6个月以上1年以下执业活动,直至由原发证部门吊销其护士执业证书:
c) 在医疗纠纷预防处理领域,《医疗纠纷预防和处理条例》第五十条第(四)项规定,医疗纠纷人民调解员泄露医患双方个人隐私等事项的,由医疗纠纷人民调解委员会给予批评教育、责令改正;情节严重的,依法予以解聘。
3、刑事法律责任
《刑法》第二百五十三条规定了侵犯公民个人信息罪,即违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
那么,医疗机构工作人员离这个罪很远吗?其实并不是。
只是受托将医院新生儿听力筛查登记本上的新生儿父母信息用手机拍下来发出,就能收到微信转账支付的报酬。孰不知其行为已触犯刑律,2019年11月25日山东省青岛市市北区人民法院作出的(2019)鲁0203刑初1097号刑事判决书,为所有医护人员提醒了保护患者隐私权的重要性。
被告人刘某、宗某均系青岛大学附属医院护士。在该案中,2016年7月至2017年2月期间,刘某伙同宗某利用工作便利,先后多次将获取的婴儿家长信息等公民个人信息出售给奶粉商张某,刘素华、宗丽莎共获利5150元等。就是这样拍照、发出这样的简单行为,为他们带来了几千元的收入,但也带来牢狱之为。鉴于她们系初犯,系自首,全部退赃,确有悔罪表现,犯罪情节轻微,均免予刑事处罚,但都判决认定了这俩护士犯有侵犯公民个人信息罪。
四、患者隐私包括哪些方面?
患者为治疗和预防检查的需要,让渡于自身的部分隐私给医护人员所知悉,那些这些基于医疗需要所知悉并在此基础上加工形成的信息,有哪些属于患者的隐私呢?
患者的隐私,一般来说包括患者自身的隐私部位、病史、身体缺陷、特殊经历、遭遇等。但在就诊过程中在医疗机构中所形成的各类信息数据,如新生儿父母姓名、电话号码等个人健康医疗数据,以及由个人健康医疗数据加工处理之后得到的健康医疗数据等,亦应该纳入患者隐私权的保护范围。
以个人健康医疗数据范围为例,根据国家市场监督管理总局、国家标准化管理委员会发布,并于2021年7月1日实施的GB/T39725—2020《健康医疗数据安全指南》为例,个人健康医疗数据包括但不限于:
a) 提供健康医疗服务时登记的个人信息。
b) 出于健康医疗目的,例如治疗、支付或保健护理等,分配给个人的唯一标识号码或符号等。
c) 在向个人提供健康医疗服务过程中采集的有关个人的任何数据,例如既往病史、社会史、家族
史、症状和生活方式等各类病历记载的数据。
d) 来自身体部位或身体物质,例如组织、体液、血、尿、便、气体,以及 DNA、RNA、蛋白质等生物大分子、代谢小分子、肠道微生物等检查或检验的结果数据。
e) 可穿戴设备采集的与个人健康相关的数据,并且该种数据:1) 本身或者明显为健康医疗相关数据;2) 或是由传感器采集的,并且可以单独或者与其他数据结合用来对可穿戴设备的用户的健康状况或者疾病风险进行判断的数据;3) 或是可穿戴设备采集的数据并且为对用户的健康状况或者疾病风险进行判断后的结论;4) 或是通过可穿戴设备相连的 APP或者系统进行提供的,并非可穿戴设备使用者另行提供的。
f) 接受的健康医疗服务相关数据,例如检验检查医嘱、诊断、操作、药物、医疗效果等。
g) 为个人提供健康医疗服务的服务者身份数据。
h) 关于个人的支付或医保相关数据。
i) 医学科研相关数据,例如临床研究病例数据、生物样本库、全基因组等多种生物组学测序结果、医学相关队列研究结果等。
j) 公共卫生与预防医学数据,例如疾控中心、公共卫生管理部门收集的疾病卫生监测个人数据。
k) 妇幼保健数据,例如妇幼保健院、医疗卫生机构等收集的妇幼保健服务与健康管理数据。
那么,在现实中,基于病例研究等需要,医疗机构及医护人员如何能够合法地处理、利用这些数据呢?笔者认为将上述涉及患者隐私的信息数据采取置空、去标识化、时间偏移、泛化、删除、转换,以及取得患者或近亲属的授权等都是较为可行的。
患者就诊不仅关注诊疗结果,就诊过程中的患者所让渡于医护人员所知悉的隐私以及个人信息,同样提醒着医疗机构和医务人员应该有意识地加强患者隐私权保护。
2021年12月17日
