企业邮箱

中文 EN

原创
原创 年报 出版物

【医疗机构案例篇】案例化解析医疗机构场景下的数据合规和个人信息保护要点(中)

作者:i医法律服务团队 | 2022.08.08


随着医疗行业的快速发展、临床科研等需求的不断增加,内外网数据交互日益频繁,互联互通不断深入,网络安全、数据安全、个人信息安全持续受到关注,随着系统性风险持续增大,医疗机构网络及信息安全建设面临着重大的挑战。构建完善的信息安全保障体系,对于提升整体信息安全保障能力、推动医疗机构高质量发展,具有重要的研究价值和现实意义。


本文承续i医法律服务团队《【法律法规篇】案例化解析医疗机构场景下的数据合规和个人信息保护要点(上)》,结合比较有代表性的民事、刑事和行政案例,具体探讨医疗行业相关单位在各类场景下可能面临的数据风险及个人信息管理漏洞,并结合法律、法规、规章、其他规范性文件予以解析,以期促进数据合规和个人信息保护的完善。

一、民事案例

张某某、张某甲等与遂平县人民医院、魏某某隐私权纠纷

【案号:(2015)遂民初字第00644号】
案情简介

张某某的妻子姚某某因患病在遂平县人民医院医治,后姚某某去世。张某某及其父亲张某甲以医疗损害赔偿责任纠纷向法院提起诉讼,该案自2013年4月历经两级法院四次审理于2014年11月17日由驻马店市中级人民法院作出(2014)驻民终字第00434号民事判决书而终审。


要点解析

为合法目的,私自调取、复印患者病历是否侵犯患者隐私?


在本案中,医务工作人员魏某某称其向遂平县疾病预防控制中心提取医疗纠纷案件所需材料是其工作职责,该行为是职务行为,且将姚某某的病历材料只交给了法院,不存在泄露患者的隐私,更不存在侵犯患者隐私权的情形。


律师赵某亦称其行为未违反法律规定,法律服务所及其指派的法律服务工作者依法享有调查权和调查资格。《民事诉讼法》第64条规定,代理诉讼的律师和其他诉讼代理人有权调查收集证据,可以查阅本案有关材料。查阅本案有关材料的范围和办法由最高人民法院规定。此外,根据案件审理时适用的《基层法律服务工作者管理办法》(2000年3月31日司法部令第60号)第32条:基层法律服务工作者持基层法律服务所出具的介绍信、当事人的委托书和《法律服务工作者执业证》,经有关单位或者个人同意,可以向他们调查、收集与承办法律事务有关的证据材料;可以向人民法院申请查阅有关的案卷或者庭审材料。


此外,赵某称其调取用药处方的目的,是查明姚某某当时的属地和时间,不构成非法泄露披露,非法引用患者隐私行为。患者姚某某病情是二原告早在2013年3月27日在其诉状中首先向法庭披露,自己和魏某某作为该案诉讼代理人同本案主审法官、书记员和其他诉讼参与人作为特殊对象在诉讼中必然已获知这一情况。这一知情范围是有限的,是法律允许的特定群体。而且自己所调取的这一组证据,只不过是对二原告早已披露已泄露姚某某病情的治疗情况的补充和完善,是依法向法庭举证的合法行为,而并非非法披露、泄露。


一审法院认为,本案是涉及公民病历隐私权的案件,公民的病历隐私权是患者享有的人格权,患者的病情和健康状况,在未经患者本人和其家属同意的情况下,非因特殊情况下是不能对外公开其病历的。本案中,被告遂平县人民医院在其与原告张某某和张某甲的医疗损害责任纠纷一案中,为其诉讼利益的需要,让其诉讼代理人向遂平县疾病预防控制中心下属的关爱科和遂平县卫生局下属的某防治工作委员会办公室调取二原告的亲属姚某某的确诊证明和处方等相关材料,并在案件审理中予以出示。由于姚某某病历档案属个人隐私,在未经姚某某亲属同意的情况下,为其诉讼需要出示姚某某病历,侵害了公民的隐私权,在姚某某去世后,原告张某某和张某甲作为姚某某的近亲属以侵害隐私权为由要求赔礼道歉,赔偿精神损失的请求符合法律规定,本院予以支持。


判决结果

被告遂平县人民医院、被告遂平县卫生局、被告遂平县某预防控制中心、被告驻马店市“148”法律服务所、被告魏某某、被告赵某自本判决生效之日起五日内书面向原告张某某和张某甲赔礼道歉,并赔偿原告张某某和张某甲精神抚慰金50000元。六被告对上述履行事项负连带责任。


案例小结

该案是一起较为复杂的民事案件,医疗损害赔偿责任纠纷经四次审理最终结案,案件审理过程中又出现侵犯个人隐私的情况,后患者亲属以侵犯隐私权另行起诉相关主体。本案例在医疗机构处理医疗纠纷过程中的个人信息保护方面有较好的警示作用。


病历既是医务人员判断诊疗效果的重要依据,又是医疗质量评价和卫生行政监管的重要凭证。在医疗纠纷诉讼中,医疗文书被称为“证据之王”,是医疗损害责任鉴定和医疗诉讼裁判的重要依据。我国对于病历资料的复印等相关事项的规定经历了三个时期的演变:从2002年以前“不予复印病历”,到2002-2018年“部分复印病历”,再到2018年10月1日实施的《医疗纠纷预防和处理条例》规定了对全部病历的复制权,同时对复制病历的主体、复制的范围和程序有严格的规定,医疗机构和个人均不能违法违规地随意操作侵犯患者隐私。


除了上述医疗纠纷相关的规定外,在医疗机构病历管理方面的规定中也对病历的复印提出了具体的要求。其中,《医疗机构病历管理规定(2013年版)》第十七条规定,医疗机构应当受理下列人员和机构复制或者查阅病历资料的申请,并依规定提供病历复制或者查阅服务:(一)患者本人或者其委托代理人;(二)死亡患者法定继承人或者其代理人。此外,除了患者及其继承人或代理人外,其他法定主体也有复制病历的权利,具体规定在《医疗机构病历管理规定(2013年版)》第二十条,本条明确指出,公安、司法、人力资源社会保障、保险以及负责医疗事故技术鉴定的部门,因办理案件、依法实施专业技术鉴定、医疗保险审核或仲裁、商业保险审核等需要,提出审核、查阅或者复制病历资料要求的,经办人员提供以下证明材料后,医疗机构可以根据需要提供患者部分或全部病历:(一)该行政机关、司法机关、保险或者负责医疗事故技术鉴定部门出具的调取病历的法定证明;(二)经办人本人有效身份证明;(三)经办人本人有效工作证明(需与该行政机关、司法机关、保险或者负责医疗事故技术鉴定部门一致)。

另外,第二十条也规定了,保险机构因商业保险审核等需要,提出审核、查阅或者复制病历资料要求的,还应当提供保险合同复印件、患者本人或者其代理人同意的法定证明材料;患者死亡的,应当提供保险合同复印件、死亡患者法定继承人或者其代理人同意的法定证明材料。合同或者法律另有规定的除外。


由此可见,病历涉及个人隐私,即使调取、复印病历的目的合法,也应该按照法律法规规定的流程去调取、复印,避免发生侵犯患者个人隐私的情况。

二、刑事案例

案例1 王某某、潘某某受贿罪

【案号:(2019)浙0122刑初400号】

案情简介

王某某系桐庐县第一人民医院药剂科药剂士,在职期间利用其掌握桐庐县第一人民医院用药信息、负责新药进院初核以及日常采购等职务便利,伙同潘某某,在新药引进、药品采购等方面,为药商梅某1、胡某1、陈某1等人谋取利益,非法收受药商送予的药品“回扣”共计人民币1019万余元。此外,王某某单独收受胡某1所送的“回扣”人民币18.381万元。2010年至2019年,王某某伙同桐庐县中医院信息科维修组组长雷某,利用雷某负责管理桐庐县中医院电脑信息系统的职务便利,帮助药品销售人员刘某1、赵某1等人获取药品处方用药数据,非法收受好处费共计人民币136.12余万元,其中王某某分得人民币67.06万元。王某某又与桐庐县卫生健康局信息科工作人员李某儿(另案处理)结伙,由李某儿统计县属各乡镇卫生院医生处方用药量,提供给陆某、邵某等药商,非法收受药商好处费人民币9.495万元后平分。


王某某还与本单位信息科蒲某(另案处理)结伙,为药商刘某1、潘某等人提供医院“统方”,收受好处费共计人民币42.7175万元,王某某分得人民币18.7175万元。2012年至2019年4月,王某某为黄某1等人完成药品销售任务提供帮助,收受药品“回扣”、好处费共计人民币6.475万元。2011年至2019年3月,王某某指使金某2违反国家规定,通过王某某的办公室电脑进入桐庐县第一人民医院使用的联众信息系统服务器,以下载、拷贝联众信息系统源代码、数据库(表)的方式,非法获取桐庐县第一人民医院用药信息数据,并由王某某提供给药品销售人员,共计非法获利人民币40余万元。


浙江省桐庐县人民检察院以杭桐检公诉刑诉(2019)374号起诉书指控王某某犯受贿罪、非法获取计算机信息系统数据罪;被告人潘某某犯受贿罪,于2019年10月25日向法院提起公诉。


判决结果

一、被告人王某某犯受贿罪,判处有期徒刑十二年六个月,并处罚金人民币二百万元;犯非法获取计算机信息系统数据罪,判处有期徒刑三年六个月,并处罚金人民币四万元,决定执行有期徒刑十四年,罚金人民币二百零四万元。

二、被告人潘某某犯受贿罪,判处有期徒刑六年六个月,并处罚金人民币一百万元。


王某某不服一审判决,提起上诉,本案经二审【案号:(2020)浙01刑终166号】,二审裁定维持原判。


要点解析

(1)聘用制医务人员利用职务之便,收受医药产品销售方财物是否构成受贿罪?

在本案中,王某某的辩护人称,王某某不是国家工作人员,不符合受贿罪的主体要件,其系医院的劳务工作人员,审判中认定其为事业单位中从事公务人员,属于认定事实不清、适用法律不当。


依据最高法院、最高检察院联合发布《关于办理商业贿赂刑事案件适用法律若干问题的意见》中规定,医疗机构中的国家工作人员,在药品、医疗器械、医用卫生材料等医药产品采购活动中,利用职务上的便利,索取销售方财物,或者非法收受销售方财物,为销售方谋取利益,构成犯罪的,依照刑法第三百八十五条的规定,以受贿罪定罪处罚。医疗机构中的非国家工作人员,有前款行为,数额较大的,依照刑法第一百六十三条的规定,以非国家工作人员受贿罪定罪处罚。医疗机构中的医务人员,利用开处方的职务便利,以各种名义非法收受药品、医疗器械、医用卫生材料等医药产品销售方财物,为医药产品销售方谋取利益,数额较大的,依照刑法第一百六十三条的规定,以非国家工作人员受贿罪定罪处罚。


法院经审理认为,本案中王某某是国有事业单位桐庐县第一人民医院聘用人员,在该院药库工作期间,其工作职责包括药品日常管理、药品采购(含对新进院药品的初步核查)等,系代表国有事业单位履行监督、管理之职责,属于国有事业单位中从事公务的人员,以国家工作人员论。而王某某身为国有事业单位中从事公务的国家工作人员,单独或者伙同他人,利用自身监督、管理的职权,为药商销售药品提供帮助,非法收受钱款,符合受贿罪钱权交易的特征。故王某某的行为构成受贿罪。


(2)王某某在非法获取计算机信息系统数据共同犯罪中承担什么样的责任?

王某某的辩护人称,在非法获取计算机信息系统数据共同犯罪中,金某2系主要实施者,作用远远大于王某某,王某某应认定为从犯,应依法对其减轻处罚。


法院经审理认为,王某某利用自身医院工作便利,指使金某2非法侵入医院计算机信息系统获取医院用药数据,相关数据再由王某某提供给药品销售人员从中非法牟利。在上述共同犯罪中,王某某系犯意提起者、指挥者以及非法获利的控制、分配者,罪责明显要高于金某2。


案例小结

医疗机构的数据库存储着大量的用药和医疗设备采购信息,“统方”是医院对医生用药信息量,用药单据的统计。为商业目的“统方”,是指医药灰色产业链中,医院中个人或部门为医药营销人员提供医生或部门一定时期内临床用药量信息,供其发放药品回扣的行为等不良违法行为的重要参考依据。


自2007年卫生部办公厅印发关于《加强医院信息系统药品、高值耗材统计功能管理的通知》以来,反统方行动不断升级。2013年原国家卫生计生委、国家中医药管理局就出台了《加强医疗卫生行风建设“九不准”》,明确禁止“为商业目的统方行为”。2020年6月,国家卫健委、工信部、公安部、财政部、商务部、国家税务总局、国家市场监督管理总局、国家医保局、国家中医药管理局等九部委联合印发了《2020年纠正医药购销领域和医疗服务中不正之风工作要点的通知》,将升级完善“九不准”原则、严肃查处医疗行业收取回扣行为作为工作要点之一。


对于医药行业以及医药人来讲,合规就是生命线。本案涉及医疗机构大量药品信息,违法利用相关信息开展商业目的的“统方”,情节严重者可能触及刑事责任。本案为医疗行业相关从业人员敲响警钟,要强化数据信息合规意识,以防触碰法律红线


案例2 冯某某、刘某某侵犯公民个人信息罪

【案号:(2020)冀0406刑初184号】

案情简介

北京某创和众科技发展服务有限公司(简称某创公司)主要从事为北京德胜门医院做宣传,在宣传的过程中该公司的客服部门负责组织话务员接听患者的咨询电话,从而保留患者的姓名、性别、电话、大概住址、患者情况等信息。2012年5月27日、2013年6月1日、2015年7月4日,被告人刘某某、冯某某及许某先后成为该公司的员工,在工作中掌握了患者信息。


冯某某、刘某某、许某成立北京某林金方生物科技有限公司(简称某林公司)后,主要从事保健品推销业务。因没有推销渠道,2016年3月至2016年7月期间,许某将其在某创公司掌握的患者信息共计100677条通过其QQ邮箱以电子邮件的方式发送至刘某某的QQ邮箱内,刘某某、冯某某将所获取的公民个人信息交予某林公司员工,由员工以打电话的方式推销某林公司的保健品。


2016年8月至2018年5月期间,刘某某、冯某某在磁县鸿祥家园小区租赁房屋设立电话推销保健品的办公地点,由刘某某负责财务,冯某某负责招聘、培训员工进行电话推销保健品业务。为获取更多的客户源、开拓电话推销的渠道,冯某某多次从其他渠道购买公民个人信息共计158746条。上述公民个人信息全部被二人用于某林公司推销保健品。


邯郸市峰峰矿区人民检察院以峰检公诉刑诉(2018)250号起诉书指控被告人冯某某、刘某某犯侵犯公民个人信息罪。


判决结果

一、被告人冯某某犯侵犯公民个人信息罪,判处有期徒刑三年三个月,并处罚金人民币一万元。

二、被告人刘某某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币一万元。


案例小结

刘某某、冯某某作为第三方公司员工,在为医疗机构提供服务的过程中私自留取大量患者个人信息用于其后的销售推广。该案件提醒医疗机构不仅要加强对己方员工进行管理,对合作的第三方人员的行为亦要严格约束,避免其利用为医疗机构服务的机会非法获取相关数据信息,给医院和患者造成损失。

三、行政案例

泸州某医院不履行网络安全保护义务案被处罚

“四个牢记”

2021年6月,泸州某医院遭受网络攻击,造成全院系统瘫痪。泸州公安机关迅速调集技术力量赶赴现场,指导相关单位开展事件调查和应急处置工作。经调查发现,该医院未制定内部安全管理制度和操作流程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,导致被黑客攻击造成系统瘫痪。泸州公安机关根据《中华人民共和国网络安全法》第二十一条和五十九条之规定,对该院处以责令改正并警告的行政处罚。

(信息来源:泸州网警https://baijiahao.baidu.com/sid=1713614242192718855&wfr=spider&for=pc)


案例小结

医疗机构在整个网络安全、数据安全和个人信息保护工作中扮演着极其重要的角色,但是部分医疗机构在信息化建设和应用中,存在“重应用,轻防护”的思想,对网络安全和数据安全工作不重视、安全防护意识淡薄,未严格按照法律法规要求履行网络安全主体责任,存在安全隐患和漏洞被黑客利用进行攻击,导致部分信息系统或数据遭到破坏。


从2019年开始,全国范围内的公安机关在处理网络违法案件的时候实行了“一案双查”的制度。“一案双查”制度就是在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。对拒不履行法定网络安全义务、为网络违法犯罪活动提供帮助的网络服务提供者,公安机关将依法对其进行严厉查处。


近年来,公安机关通过开展“一案双查”,对于相关单位未履行安全管理义务情况开展调查并给予行政处罚,倒逼单位主动整改,切实履行网络安全保护义务。医疗机构在开展信息化建设工作时,应严格履行主体责任,健全网络安全、数据安全和患者个人信息保护管理制度,避免行政处罚。

联系我们

北京总部More

地 址: 北京市朝阳区建外大街丁12号英皇集团中心8层,100022

电 话:(010) 5086 7666

传 真:(010) 5691 6450

邮 箱: kangda@kangdalawyers.com

西安More

地 址: 西安市雁塔区太白南路139号荣禾云图中心7层、15层,710061

电 话:(029)8836 0129

传 真:

邮 箱: kangda@kangdalawyers.com

深圳More

地 址: 深圳市福田区中心四路一号嘉里建设广场1期19楼,518046

电 话:(0755)8860 0388

传 真:

邮 箱: kangda@kangdalawyers.com

海口More

地 址: 海口市海甸四东路6号颐和花园B座二层,570208

电 话:(0898)6625 4181

传 真:

邮 箱: kangda@kangdalawyers.com

上海More

地 址: 上海市黄浦区中山南一路768号博荟广场C座905室,200023

电 话:(021)6390 1100

传 真:

邮 箱: kangda@kangdalawyers.com

广州More

地 址: 广州市天河区珠江东路32号利通广场29层2901室,510510

电 话:(020)3739 2666

传 真:

邮 箱: kangda@kangdalawyers.com

杭州More

地 址: 杭州市上城区西子国际中心2号楼1501-1503室,310002

电 话:(0571)8577 9929

传 真:

邮 箱: kangda@kangdalawyers.com

沈阳More

地 址: 沈阳市沈河区友好街10号新地中心40层,110013

电 话:(024)2250 3388

传 真:

邮 箱: kangda@kangdalawyers.com

南京More

地 址: 南京市建邺区应天大街888号金鹰世界A座26层,210008

电 话:(025)8411 1616

传 真:

邮 箱: kangda@kangdalawyers.com

天津More

地 址: 天津市河北区海河东路78号茂业大厦2601室,300141

电 话:(022)2445 9827

传 真:

邮 箱: kangda@kangdalawyers.com

菏泽More

地 址: 菏泽市开发区人民路菏建·数码大厦B座西单元19层,274005

电 话:(0530)5566 148

传 真:

邮 箱: kangda@kangdalawyers.com

成都More

地 址: 成都市锦江区东御街18号百扬大厦1栋11层1101室,610020

电 话:(028)8774 7485

传 真:

邮 箱: kangda@kangdalawyers.com

苏州More

地 址: 苏州市工业园区思安街99号鑫能商务广场1幢1001-1002室,215028

电 话:(0512)6758 6952

传 真:(0512)6758 6972

邮 箱: kangda@kangdalawyers.com

呼和浩特More

地 址: 呼和浩特市如意开发区如意河大街西蒙奈伦广场3号楼B座8层,010050

电 话:(0471)5166 277

传 真:

邮 箱: kangda@kangdalawyers.com

香港More

地 址: 香港上环干诺道中200号信德中心(西翼)20层2002号

电 话:(00852)2333 9989

传 真:(00852)2333 9186

邮 箱: kangda@kangdalawyers.com

武汉More

地 址: 武汉市硚口区中山大道1号越秀.财富中心写字楼11层1101-1102,430030

电 话:(027)8361 5198

传 真:

邮 箱: kangda@kangdalawyers.com

郑州More

地 址: 郑州市金水区郑东新区农业南路51号楷林中心10座12层,450046

电 话:(0371)8895 9887

传 真:

邮 箱: kangda@kangdalawyers.com

长沙More

地 址: 长沙市雨花区芙蓉中路三段567号第六都兴业IEC32层,410021

电 话:(0731)8218 3551

传 真:(0731)8218 3551

邮 箱: kangda@kangdalawyers.com

厦门More

地 址: 厦门市湖里区高林中路469号新景地大厦23层,361016

电 话:(0592)5211 009

传 真:

邮 箱: kangda@kangdalawyers.com

重庆More

地 址: 重庆市江北区桂花街支路10号成大锦嘉国际大厦10层,400020

电 话:(023)6775 9966

传 真:

邮 箱: kangda@kangdalawyers.com

合肥More

地 址: 合肥市蜀山区政务区华润大厦西塔B座30层,230071

电 话:(0551)62930997

传 真:

邮 箱: kangda@kangdalawyers.com

隐私政策

康达律师事务所(以下简称“本所”)是一家设立于中国的综合性律师事务所。本所网站上的信息仅供您参考,不应视为本所为本网站访问者就特定事项提供的法律意见或建议,本网站访问者不应将其作为作为或不作为的依据。

本所对本网站及网站所包含的文字及图片等各类信息拥有知识产权,未经授权,请勿转载或使用。

本网站超链接的第三方网站不受本所控制,仅为您方便之需,本所不对该等网站的访问者承担任何明示、默示的担保或责任。

欢迎访问本网站,如有任何问题,请与本所联系。