第一千二百二十六条 【患者隐私和个人信息保护】医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
原《侵权责任法》第62条对保护患者隐私权作了规定,《民法典》第1226条在延续原《侵权责任法》规定的基础上,也发生了一些变化。首先,将保护的对象从患者的隐私扩大到患者的隐私和个人信息,从而与《民法典》人格权编“隐私权和个人信息保护”一章保持一致;其次,删除“造成患者损害的”这一措辞,规定泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
在《民法典》编纂过程中,立法者考虑到医疗机构及其医务人员泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料是一种较为严重的侵权行为,该行为客观上必然会给患者造成一定的损害后果,基于加强对诊疗活动中自然人隐私和个人信息的保护,法律应当予以明确规定。
任何自然人的隐私和个人信息都受到法律保护,对此,《民法典》第110条、第111条、第1032条、第1033条以及第1035条第2款作出了明确规定。由于在诊疗活动中,医疗机构和医务人员更容易获得患者的个人信息,基于对隐私和个人信息的保护,规定医疗机构侵害患者隐私和个人信息等应当承担侵权责任。
(一)患者隐私权概述
和其他行业相比,医疗行业更容易涉及患者的一些隐私。无论是中医还是西医,都少不了对患者肢体以及器官的接触和检查,都不可避免地涉及患者一些不想为他人所知的信息,比如病情起因、既往病史、家族病史、病理生理上的缺陷等。
在医护人员的医疗和护理活动中,存在着多种了解患者隐私的情形:如通过询问病史,可了解患者疾病的起因、既往病史等,往往涉及患者某些隐私;对患者进行体检时,可接触和发现身体的敏感部位及生理、病理状态和某些身体缺陷;对患者的血液、组织和器官进行检验,可能发现某些个人隐私。
因此,患者的隐私在医患关系中占据重要的地位。
所谓患者的隐私权,是指在医疗活动中患者拥有保护自身的隐私部位、病史、身体缺陷、特殊经历、遭遇等隐私,不受任何形式的外来侵犯的权利。
这种隐私权的内容除患者的病情之外还包括患者在就诊过程中只向医师公开的,不愿意让他人知道的个人信息、私人生活以及其他缺陷或者隐情。
一般来说,患者的个人情况在通常情况下都属于必须加以保密的私人信息,未经当事人允许不得向无关者公开。
(二)患者个人信息概述
患者个人信息,是指在疾病预防、诊断、治疗等过程中获取的与个人身心健康状况相关的信息,是与特定个人相关联、反映个体特征、具有可识别性的符号。其可分为四大类:医疗服务信息、健康状况信息、个人肌理信息和遗传基因信息。
(1)医疗服务信息是指个人因医疗而产生的数据信息,如求诊原因、症状、手术记录、就诊花费等。
(2)健康状况信息是有关个人身心状况的信息,如残疾情况、心理和精神疾病状况等。
(3)个人肌理信息是指蕴含个人肌体特征的信息,如身高体重、肺活量等。
(4)遗传基因信息是指反映主体遗传本质的信息,其不仅与个体有关,还可推算出个体家庭、族群等群体的健康状况,包括基因信息、家族病史、遗传病史等。
遗传基因信息在测量和预测健康状况方面具有巨大价值,是认知和掌握疾病的发生、发展和分布规律的基础资料。
继《民法典》于2020年5月28日正式通过后,《基本医疗卫生与健康促进法》也于2020年6月1日正式施行。
《基本医疗卫生与健康促进法》规定:“国家推进全民健康信息化,推动健康医疗大数据、人工智能等的应用发展,加快医疗卫生信息基础设施建设,制定健康医疗数据采集、存储、分析和应用的技术标准,运用信息技术促进优质医疗卫生资源的普及与共享。”“国家保护公民个人健康信息,确保公民个人健康信息安全。
任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。”
此外,医疗卫生人员违反该法,泄露公民个人健康信息的,将由县级以上人民政府卫生健康主管部门依照有关执业医师、护士管理和医疗纠纷预防处理等法律、行政法规的规定给予行政处罚,属于公立医院的,依法给予处分。
上述规定反映了我国在大力发展新基建和健康医疗大数据的背景下,依旧强调对公民个人信息的保护,其内容与《民法典》等相关法律一脉相承,体现了我国个人信息保护的立法原则。
(三)未经患者同意公开病历资料
病历资料,是指关于患者在接受诊疗期间所有过程情节的相关记录与文件,主要包括:患者姓名、年龄、性别、职业、住址、患者的主诉、医生的诊察、诊断、治疗(包括处方、用药、麻醉与手术)以及病程的整体记录文件(包括住院、初诊、复诊、急诊及会诊的记录;
护理记录、检验记录、身体检查记录);
其他有关文件(如住院许可证、麻醉同意书、诊断证明书、病危通知书、死亡证明书、出生证明书等文件)。
未经患者同意公开其病历资料,是指未经患者同意公开病历资料中关于患者隐私和个人信息的相关内容。包括但不限于:记载在病历资料上的疾病情况、遗传病史、疾病史等隐私信息。
对于“未经患者同意公开其病历资料”,主要有以下除外情形:依据《医疗机构病历管理规定》第6条、《传染病防治法》第12条之规定,以医疗、教学、研究或传染病防治为目的,医疗机构在履行必要手续后,可以未经患者同意公开其病历资料,但此处的病历资料公开仍要以合理使用为限。
(四)泄露患者隐私和个人信息等情形
实践中,此类侵害患者隐私和个人信息等的具体情形主要包括:
(1)未经患者本人同意,将患者的个人信息及相关病历信息发表在医学期刊、个人论文、著作中,或用于讲座教学;
(2)医务人员问诊后与其他不相关人员讨论患者的病情和治疗方案,导致患者隐私及个人信息泄露;
(3)患者登记在医疗机构中的个人信息故意或者过失被出卖或披露,如将产妇的信息披露给奶粉厂商或婴幼儿用品厂商;
(4)未经患者本人同意,组织实习生或医学生对患者身体甚至是隐私部位进行观摩、手术教学、检查等;
(5)医疗机构数据安全保护措施不到位,对电子病历监管存在漏洞,导致医务人员或其他人员可以随意查询患者的诊疗信息;
(6)超出知情范围刺探患者的隐私和个人信息;
(7)未经患者本人同意,通过互联网平台直播患者的治疗过程等。
患者的患病信息往往属于私密信息,对此进行泄露等,会给患者造成极大伤害。除本条规定外,在其他法律中,也有很多关于患者隐私保护的规定,如《医师法》第23条第3项规定,医师在执业活动中应当关心、爱护、尊重患者,依法保护患者隐私和个人信息。
第37条规定了侵犯患者隐私的法律责任。《护士管理办法》第24条规定:“护士在执业中得悉就医者的隐私,不得泄露。”
(五)侵害患者隐私和个人信息的侵权责任
从本条规定表述内容来看,没有对损害后果作出明文规定,但实际上此类侵权责任依旧适用过错责任原则,即医疗机构或者医务人员对于事实加害行为存在过错,应当从两个方面理解:
(1)作为一般侵权行为责任,其侵权构成要件需要符合《民法典》第1165条的要求。
(2)对隐私、名誉等造成的损害,特别是精神损害部分,可以由法官在具体案件中依据常理确认,而无须由侵权人进行实际举证。
其一,作为一般侵权行为责任,此处的损害赔偿责任之构成要件包括:
(1)医疗机构或者医务人员有泄露患者隐私和个人信息,或者未经患者同意公开其病历资料的行为(加害行为);
(2)患者客观上遭受损害,包括精神损害和相关财产损失;
(3)加害行为与患者受到的损害之间存在因果关系。
对于患者客观上遭受损害,应该从如下方面进行理解:《民法典》第1032条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”
第1034条第2款、第3款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”根据上述法律规定可以看出,隐私权是一种绝对性权利,绝对不受侵犯。
在司法实践中,被侵权人只要能证明隐私被他人泄露、非法公开等,即可被认定为隐私权受有损害。
而患者的个人信息作为一种高度敏感信息,蕴含大量有关生理、病理的私密信息,被泄露后带给主体损害较一般信息更严重。
患者的个人信息收集多采用实名制,被非法公开后可直接对应到具体个人,大幅增加了下游犯罪发生的可能性。例如,传染病史、流产史、性功能等隐秘内容被公开后,很可能会引发人身歧视等问题,给主体带来强烈的压迫感和羞耻感。
个体的遗传病史、家族病史等遗传信息若被泄露会殃及整个族群,使族群污名化的风险激增。
因此,患者的个人信息泄露所带来的风险性损害也确有救济的必要。
其作为个人信息中的私密信息,依据法律规定,应参照适用隐私权保护的相关规定,即泄露患者个人信息亦构成侵权。
因此,虽然《民法典》删除了“造成患者损害的”这一措辞,规定“泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任”,但其本质上和原《侵权责任法》适用的责任构成要件并无明显区别,即不管法律是否予以明确,泄露患者隐私和个人信息等所带来的损害后果都是客观存在的。
其二,侵害患者隐私权和个人信息的民事责任承担方式主要有:停止侵害、赔礼道歉和赔偿损失。停止侵害的适用较为常见。
赔礼道歉也是侵犯隐私权和个人信息的民事责任的一种有效方式。赔礼道歉可以采用公开方式进行,也可以采用非公开方式进行。法律上并没有规定赔礼道歉的具体方式,主要取决于受害人的选择。
就侵犯患者隐私权的赔礼道歉来说,不公开赔礼道歉的效果更好,避免对患者造成二次伤害。
至于赔偿损害,由于侵犯患者隐私权的结果主要是给受害人造成精神损害,因此,赔偿损失可以按照《精神损害赔偿解释》的有关规定进行赔偿。侵害个人信息的,也主要是财产损害赔偿与精神损害赔偿的问题。
至于赔偿的具体问题,可以适用侵害个人信息的一般规则。
需要指出的是,本条规定“未经患者同意”的泄露或者公开才构成患者隐私权等的侵害,应当承担侵权责任。
反之,如果泄露或者公开是经过患者同意的,则不构成侵权。
此外,依法向有关管理部门报告病情以及向司法部门依正当程序提供患者私密信息或者病历资料,也不构成侵权,不承担侵权责任。
适用指引
关于本条的适用,要注意的是本条旨在强调对患者隐私权和个人信息的保护,其导向价值正面积极。
在具体法律适用上,本条第1句确立了医疗机构及其医务人员对患者隐私和个人信息的保密义务。
义务的违反意味着责任的承担,此规定也就为有关民事责任的承担提供了法律规定基础。
本条第2句规定的“泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任”,实际上是一个完备的法律责任规范,其侵权行为样态是“泄露患者的隐私和个人信息”或者“未经患者同意公开其病历资料”,从违法行为反映主观过错的角度讲,意味着医疗机构及其医务人员往往具有“泄露”或者“未经患者同意而公开”的故意,但实际情况中也可能是“过失”导致这一情形的发生。
因此,涉及医疗机构及其医务人员侵害患者隐私权和个人信息的情形的,要适用本条规定。
但从侵权责任构成上讲,本条规定的侵权行为类型属于过错侵权的范畴,应当遵循过错责任的主观过错、违法行为、损害后果、因果关系的构成要件。
从实质上讲,这一侵权行为与其他领域的侵害个人信息和隐私权的情形并无区别。尤其是,这里并不直接涉及医疗机构实施诊疗活动的问题,不涉及医学本身专业性的问题,因此在法律适用上就应该适用过错责任的一般规则,有关举证责任的分配,也应适用“谁主张、谁举证”的一般规则。
