病例泄露事件凸显隐私保护之殇 医疗机构应如何加强信息保密和管理？

12月12日，年仅57岁的著名女演员周海媚日前因病去世，令人惋惜。讣告发布当晚，一份疑似周海媚的电子病历截图在社交媒体上流传，该网传图片中，周海媚于北京市顺义区某医院的急诊科抢救，其年龄、病状、病史等个人信息清晰可见，“周海媚病历疑被泄露”随后登上微博热搜。

 

14日，北京市公安局顺义分局发布通报：经查，12月11日，符某某（男，36岁）利用其在顺义区某医院工作的便利，出于炫耀目的，将一名病患的个人病历拍照发至微信群，导致信息扩散，造成恶劣社会影响。目前，顺义公安分局已将符某某依法行政拘留。

 

 

 

这起事件引发了公众对于医疗行业信息保密的关注和警醒。作为一名医院职工，如何轻易地拿到病历并拍照传播？对于涉事医院来说，如何更严格维护患者隐私？如何建立有效的监管机制防止医院工作人员泄露患者病历？进而言之，如何真正举一反三、堵住漏洞？医疗机构又应该如何提升自身的数据安全防护水平？

 

围绕这一系列话题，安全419采访到了数据安全厂商数安行的技术技术负责人苑海彬，针对该事件进行了专业解读。

 

 

数安行CTO苑海彬告诉我们，因为这起事件中泄露的是个人敏感信息，所以是一起非常典型的个人隐私数据泄露的违法事件。

 

2021年11月1日起正式施行的《中华人民共和国个人信息保护法》中，将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满14周岁的未成年人的所有个人信息都归属为敏感个人信息。

 

本次事件中涉及的病例信息就属于医疗健康相关的个人敏感信息，《个人信息保护法》里面专门对敏感的个人信息的处理规则，做了明确的说明首先采集这类数据的话，必须有特定的目的和充分必要性。

 

医院因为治病的需要，采集患者的信息本身是充分必要的。但既然要做数据的采集，就必须保证自己采取了一些严格的保护措施，才能处理这些敏感信息，同时医院并向个人告知处理的必要性以及对个人权益的影响。可见，医院在这方面是没有承担起责任来，导致发生了这样的一个数据泄露事件。

 

根据《中华人民共和国民法典》和《中华人民共和国基本医疗卫生与健康促进法》，医疗机构及其医务人员应当对患者的隐私和个人信息保密。如果泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料，应当承担相应的法律责任。

 

事实上不只是作为公众人物的明星艺人，近些年类似医疗信息泄露的问题屡见不鲜。一部分医院对患者隐私信息的管理较为松散、混乱，部分医务人员甚至还打起了病人隐私信息的主意，将之作为牟利的手段。这次周海媚的病历被泄露，也再次为医疗行业敲醒了数据安全的警钟。

 

 

 

苑海彬谈到，作为一家采集了个人信息或个人敏感信息的单位来说，首先还是要对员工做好法律意识的教育，虽然《个人信息保护法》已经正式施行了2年的时间，其实很多人对个人信息保护方面的法律意识还有待加强。

 

从这次事件的媒体报道中可以看到，泄露病例的这名医院职工实际上是出于炫耀的目的，并非其他以谋取非法利益为目的的主观恶意的行为，所以实际上作为一名医院的职工，他更多层面上还是缺乏相关的法律意识。

 

作为医疗机构也要对所有能够接触这类数据的员工做好网络安全意识和法律意识教育，明确告知泄露医疗数据属于违法行为，而不仅仅是说违背某些规章制度那么简单。

 

再有，《个人信息保护法》里面对于信息处理者应当怎么做，实际上是已经给出了比较明确的要求。要处理敏感个人信息，你首先要明确自己的处理目的、处理方式，这类信息可能会给个人权益造成的一些影响，以及我们采集这些信息可能存在一些安全风险。此外更重要的是要采取适当的保护措施，防止未授权的访问或者是可能造成个人信息泄露、篡改、丢失等情况的发生。

 

苑海彬表示，从事件本身来说，除了管理制度方面的缺失外，也缺少事件应急预案。“因为作为数据的处理者，可能确实没法保证一定不发生数据泄露，不管是内部员工的不规范操作还是外部的一些恶意窃取都可能会导致数据泄露事件，所以我们一定要及时的启动这个应急预案。”

 

他举例，拿本次事件来看，医院在知道发生数据泄露的第一时间，就应该快速的去定位数据泄露源头。数据泄露以后，应该迅速发布紧急声明去禁止相关图片在网络二次传播。在类似的数据泄露事件中，往往发生二次转播后会引起更大范围的关注和影响。因此日常的管理制度里面也需要做好应急预案，对事态的发展进行控制和挽救。

 

 

 

 

站在一个医疗行业信息化建设负责人的角度，从技术和管理的层面应该采取哪些措施来堵住数据安全漏洞呢？采访最后，我们也邀请苑海彬给出了几点建议。

 

首先他建议，医疗机构内部应该基于自身的实际情况，制定符合自己的内部的管理制度，在一些情况下，即使最后没发生数据泄露，但内部发现了一些违规的数据处理行为，类似的情景也需要制定相应的惩处措施；此外还需要避免内部员工无意识的数据泄露行为。

 

因此机构的安全负责人应当规定一些操作的流程，比如必须在哪些电脑上才能查询这些数据、查询这个数据过程中禁止拍照或者其他方面的违规操作等等，进而防止这类数据发生泄露的风险。

 

其次，机构安全负责人还要对个人信息做分类分级的管理。因为在个人信息采集的过程中，既有一些普通的个人信息，也会涉及到大量的敏感个人信息，因此就必须对这些不同敏感等级的个人信息进行分类管理，对这些不同的数据进行区分保护，尤其是敏感个人信息，必须确保是在已采取了一定保护措施的情况下才能够处理和使用。

 

第三，从技术手段的角度出发，机构也可以采取一些比如加密、脱敏等去标识的处理手段，保证正常的工作开展的过程中，当一些数据没必要完全展示的情况下，可以做一些去标识的处理，比如说病人的病历ID号可以展示出来，能够知道是谁来看病，能够对应查询到患者信息就足够了，但是患者的姓名应当做一些脱敏处理。

 

在《个人信息保护法》出台后，许多行业都发布了相应的合规性要求。规定了不同场景下的个人信息处理技术规范。包括数安行在内的数据安全厂商，也提供了对应的产品和技术能力，帮助包括医疗机构在内的各类客户，建设数据安全合规能力。

 

事实上除此以外，医疗机构后台还存储了大量的敏感数据，按照相关法律和监管要求，这部分数据也需要采取细粒度的加密等保护措施，以防数据被脱库或者其他形式的数据丢失。

 

苑海彬建议，对于一些上规模的医疗机构而言，应当在满足数据合规基础上，再增加一些保护措施，例如水印以及沙箱隔离等技术手段，沙箱隔离可以保证数据在安全的环境中处理使用不会导致离线扩散泄露。而通过阅读水印等保护方式对操作人员也是一个提醒和震慑作用，在打开带有隐私信息的页面都会展示出一个标识性水印，无论是拍照还是其他方式去泄露，都可以根据水印信息来快速溯源。

 

“对于员工来说，如果屏幕上有这个水印的话就会提醒他当前展示的数据是敏感信息，除了自己不能拍照、截图外，还要有意识的阻止其他人的拍照行为，进而对敏感数据形成主动的保护意识”苑海彬表示。