赵铭杨 张旭

　　近日，某艺人在牙科就诊的照片被医生私自拍下并上传网络引发热议。伴随社交媒体的普及，医疗机构及医务人员泄露患者隐私的纠纷日益增多。那么，医生随手一拍发朋友圈，究竟是分享工作日常还是侵权？患者在诊疗过程中形成的病历、检查报告、就诊影像等资料，如何受法律保护？医疗机构及医务人员泄露患者医疗隐私，又将承担哪些法律责任？

　　提问1

　　私拍就诊视频发布是否构成侵权？

　　如今，短视频、社交平台日益普及，部分医务人员出于科普引流、个人宣传或者单纯猎奇等心态，在未征得患者同意的情况下，擅自拍摄其就诊过程、诊疗影像并发布至网络平台，患者往往在不知情中被当作公开传播素材，不仅饱受精神困扰，个人社会评价也可能受到负面影响。

　　曾有这样一起案例：未成年人小甲在父母的陪同下前往某医院儿科就诊，医院及接诊医师乙某未经小甲及其监护人同意，擅自拍摄了完整的就诊过程，并将剪辑后的视频发布在乙某个人实名注册的短视频账号里，用于执业宣传。视频完整露出了小甲的面部样貌，还披露了具体病情，搭配的文案带有倾向性评价，致使网络上出现大量负面评论。法院审理后认为，就诊过程属于私密活动，病情信息属于私密信息，医院与医师未经许可拍摄并公开诊疗内容，已侵犯患者的肖像权、隐私权与名誉权。最终法院判令双方共同向小甲公开赔礼道歉，并连带赔偿精神损害抚慰金及维权产生的合理支出。

　　我国法律已构建起多层次的医疗隐私保护体系。民法典第一千零三十二条明确规定，自然人享有隐私权，任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。我国医师法也进一步明确，泄露患者隐私的医务人员将面临警告、罚款乃至吊销执业证书的行政处罚。

　　从追责角度来看，此类侵权行为的处置路径十分明确。在民事层面，患者有权要求侵权方停止侵害、删除相关内容、公开赔礼道歉，并根据侵权情节、传播范围主张精神损害赔偿；在行政层面，当事人可向有关部门投诉，对涉事医务人员作出执业处罚；若情节严重构成犯罪的，将依法追究刑事责任。与此同时，网络平台接到投诉后未及时采取处置措施的，同样需对损害扩大部分承担连带责任。

　　提问2

　　医院违规向第三方提供病历如何担责？

　　部分医疗机构病历调阅审核流程不规范，第三方仅凭个人身份证件便能获取完整病历，极易造成患者隐私泄露。病历资料兼具隐私与敏感个人信息属性，违规对外披露将直接损害患者的合法权益。

　　在一起隐私权纠纷案件中，徐某的前儿媳王某在离婚诉讼期间仅持本人身份证，便到医院申请调取徐某的完整住院病历。医院未审核患者本人身份证明、授权委托书等材料，直接向王某提供了全部病历，而这份病历随后被用于民事诉讼举证。徐某知晓后，以隐私权、个人信息权益遭受侵害为由提起诉讼。法院审理后认为，病历中记载的病情诊断、诊疗细节等内容属于患者私密信息与敏感个人信息。医院未尽到法定审核义务、违规提供病历，王某在未获授权的情况下擅自调取他人病历，二者共同构成侵权。最终法院判决双方分别向徐某书面赔礼道歉，并连带赔偿精神损害抚慰金8000元。

　　我国多部法律法规为患者病历设置了严格的保密与调取规则。民法典第一千零三十四条规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。我国个人信息保护法第二十八条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息。只有在具有特定目的和充分必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。可见，医疗健康位列于敏感个人信息之内，处理需取得个人单独同意。《医疗机构病历管理规定》明确提出，仅患者本人、获授权的代理人、法定继承人等可依规申请调取病历，医疗机构必须对申请人资质进行严格审核。此外，《医疗纠纷预防和处理条例》也明确规定，患者有权查阅、复制其门诊病历、住院志等全部病历资料，医疗机构需对病历资料的公开使用承担严格审核义务。

　　严把病历调阅资质审核关，是医疗机构规避侵权风险的重中之重。面对此类违规提供病历行为，患者可要求侵权方承担停止侵害、赔礼道歉、赔偿精神损失等民事责任，医院与第三方构成共同侵权的，需依法承担连带责任。此外，患者还可向有关部门投诉，由监管部门对医疗机构及相关责任人作出行政处罚。

　　提问3

　　擅自将患者病例用于宣传担何责任？

　　不少医疗机构选用真实的诊疗案例展示治疗效果、招揽客源，由此引发的患者隐私侵权纠纷也不断增多。对于诊疗信息的使用边界、行为是否侵权以及责任划分方式等核心问题，涉事双方常存在较大分歧。

　　在一起肖像权纠纷案件中，某医美机构未取得当事人魏某的明确同意，擅自将其接受美容手术前后的对比照发布至朋友圈等用于商业宣传，被法院认定构成侵权。魏某提起诉讼后，该医美机构将侵权内容删除，最终法院判令该机构赔偿魏某相关损失。

　　除民营机构外，部分公立医院也存在类似问题，以科普宣传、院内刊物等名义变相使用患者病例的纠纷时有发生。另有一起案件显示，某公立医院在其内部发行的院刊中，使用了患者就诊时的现场照片与完整病情介绍，用于宣传科室诊疗能力，但未征得患者本人同意。法院经审理认定医院的使用行为超出诊疗必要范围，具有公开宣传属性，构成对患者隐私权的侵害，判决医院向患者当面赔礼道歉，并赔偿相应精神损失。

　　我国法律及相关司法解释为此类纠纷的处理提供了明确依据。民法典第一千零三十三条规定，除法律另有规定或者权利人明确同意外，任何组织或者个人不得拍摄、窥视、窃听、公开他人的私密活动，不得处理他人的私密信息。第一千零一十九条规定，除法律另有规定外，未经肖像权人同意，不得制作、使用、公开肖像权人的肖像；未经肖像权人同意，肖像作品权利人不得以发表、复制、发行、出租、展览等方式使用或者公开肖像权人的肖像。因此，即使只是为课堂教学或者科学研究合理使用自然人已公开肖像，也应局限于必要范围。

　　司法实践中，首先以“患者明确同意”为合法使用的核心标准。用于商业宣传的，必须获得患者单独、明示的授权，概括性授权、口头默认均不产生同意效力。同时，还要区分使用目的与场景，如用于教学、科研且控制在必要范围的，可依法有限使用；但凡以引流、推广为目的的使用行为，均认定为侵权。具体责任承担方式主要包括以下三种：一是停止侵害，立即删除全部已发布的侵权内容，消除持续影响；二是赔礼道歉，根据传播范围在对应渠道向患者公开致歉；三是损害赔偿，包括精神损害抚慰金与患者维权产生的合理开支，若医疗机构存在违法获利，法院还可结合实际收益酌情提高赔偿数额。

　　提问4

　　管理疏漏导致患者信息泄露怎样追责？

　　随着医疗信息化建设不断普及，患者诊疗数据、健康信息逐步实现数字化存储与流转，部分医疗机构因内部制度不完善、信息安全防护不到位引发的信息泄露纠纷日益增多。事发后，不少机构以信息泄露属于员工个人行为为由推脱责任，双方往往在过错判定、责任归属上产生较大争议。

　　某妇产医院工作人员李某等四人利用岗位便利，在两年间非法窃取9900余条患者完整信息，并对外出售牟利。法院以侵犯公民个人信息罪判处李某等四人拘役并处罚金，判其彻底删除各自存储的患者个人信息，连带承担公益赔偿金3.6万元，并在媒体上公开赔礼道歉。经查，涉事医院未建立患者信息分级授权访问制度，也未对敏感医疗信息采取加密保护措施，内部管理亦存在严重疏漏，当地卫生健康部门依法对其作出行政处罚。

　　除内部员工违规外泄信息外，医疗机构对实习、进修人员管理不到位导致信息泄露的情况也十分常见。《医疗机构病历管理规定》明确要求，医疗机构应当建立病历管理制度，设置专门部门或者配备专（兼）职人员，具体负责本机构病历和病案的保存与管理工作。针对医疗场景，民法典第一千二百二十六条也专门规定，医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。第一千一百九十一条规定，用人单位的工作人员因执行工作任务造成他人损害的，由用人单位承担侵权责任。用人单位承担侵权责任后，可以向有故意或者重大过失的工作人员追偿。

　　结合司法实践来看，针对管理疏漏引发的患者医疗信息泄露纠纷，举证规则划分清晰：患者只需证明信息泄露事实与医疗机构存在诊疗关联，而医疗机构需自行举证自身已尽到合理的管理与安全保障义务，同时明确管理义务的覆盖范围，既包括正式医务人员，也包括实习生、外包人员及第三方运维人员等所有可能接触患者信息的主体。

　　此类案件中，涉事医疗机构需承担多重责任：一是民事侵权责任，依法向受害患者承担停止侵害、赔礼道歉、赔偿精神损害抚慰金等；二是行政责任，由监管部门视情节作出警告、罚款、责令整改等处罚；三是内部追责，医疗机构对外承担责任后，可向存在故意或重大过失的工作人员追偿。

　　提问5

　　利用患者信息不当牟利面临哪些法律后果？

　　从内部人员倒卖患者诊疗信息，到外部服务商非法窃取数据变现，利用患者医疗信息不正当牟利的行为时有发生。这类行为触及民事、行政、刑事多重法律红线，一直是司法机关与监管部门重点打击的对象。

　　某软件公司为医院提供挂号系统的开发维护服务，其工作人员利用系统权限非法收集287.8万条患者信息，用于商业变现与数据交易。法院认定，某软件公司与涉案人员均构成侵犯公民个人信息罪，依法对该软件公司判处罚金30万元，对主犯判处有期徒刑五年六个月并处罚金10万元，其余涉案人员分别被判处相应有期徒刑及罚金。同时，涉案医院因对第三方服务商监管不力，存在管理过错，需对患者承担相应的民事侵权责任。

　　我国多部法律法规对此类违法行为作出明确约束。民法典第一千二百二十六条对此进行了专门规定。个人信息保护法也明确，处理敏感个人信息应当取得个人的单独同意，违法处理个人信息情节严重的可处罚款。此外，刑法也规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处3年以上7年以下有期徒刑，并处罚金。

　　因此，对于利用患者医疗信息不正当牟利的行为，在司法实践中实行分层追责，根据行为情节与危害程度适用不同层级的法律责任。具体追责路径为：一是民事侵权责任，受害患者可主张停止侵害、赔礼道歉、赔偿精神损害抚慰金，对信息泄露负有监管过错的医疗机构，需与直接侵权人承担连带民事赔偿责任；二是行政违法责任，由卫生健康、网信等部门对违法机构及人员作出罚款、责令停业整顿、吊销执业资质等行政处罚；三是刑事犯罪责任，倒卖、非法获取医疗信息达到入罪标准的，以侵犯公民个人信息罪依法追究刑事责任。

　　（作者单位：北京市朝阳区人民法院）

　　本版供图：视觉中国