There are currently 11 posts.
 |
泄露患者隐私和个人信息的侵权责任 文|武亦文 (全文刊载于《中国应用法学》2025年第6期) 内容摘要:保护患者隐私和个人信息的特殊性及《民法典》第1226条对原有条文的修改,引发了关于泄露患者隐私和个人信息之侵权责任的诸多疑问。结合《民法典》第1226条之立法意旨,医疗机构及其医务人员对在诊疗活动中掌握的患者未公开信息、身体私密部位、病房以及诊疗活动负有狭义上的保密义务及妥善保护义务。但若经患者同意或为维护特定情形下患者、第三人的生命安全与身体健康及公共利益,则可例外免除前述义务。医疗机构及其医务人员泄露患者以特定形式记录的未公开信息,造成患者损害时,应适用《个人信息保护法》规定的过错推定责任。医务人员履行保密义务实际上可被解释为“执行工作任务”时,医疗机构负有独立保密义务,系唯一责任主体。泄露患者隐私和个人信息,在未造成损害的情况下,仍能成立停止侵害这一侵权责任。 关键词:患者隐私和个人信息 医疗保密义务 抗辩事由 侵权责任 |
|
文 章 目 录 一、问题的提出 二、何为违反保密义务之行为 (一)保密义务的界定 (二)违反保密义务的典型行为 三、公开患者隐私和个人信息的正当事由 (一)经过患者同意 (二)为维护患者或第三人的生命、身体健康 (三)为维护公共利益 四、侵权责任的确立与承担 (一)过错责任抑或过错推定责任 (二)责任主体 (三)责任承担方式 结语 |
|
一、问题的提出 基于诊疗活动本身之特点,医疗机构及其医务人员在诊疗活动中能够掌握患者大量的隐私和个人信息,患者的隐私权等权益容易因医疗机构及其医务人员的泄露行为遭受侵害。为强调对患者隐私权等权益之保护,自《中华人民共和国侵权责任法》(已废止,以下简称《侵权责任法》)颁布以来,民事实体法便一直以专条对医疗机构及其医务人员的保密义务及违反该义务的侵权责任予以规定[《侵权责任法》第62条、《中华人民共和国民法典》(以下简称《民法典》)第1226条]。与生命权、身体权、健康权这些物质性人格权有着清晰的权利边界不同,保护隐私和个人信息与维护其他正当利益的边界存在模糊性。司法实践中,哪些行为属于违反保密义务的行为,其与正当公开患者隐私和个人信息之行为的边界何在,属于认定难点。除此之外,在泄露患者隐私和个人信息之侵权责任的确立与承担上,亦存在一些疑问:其一,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第69条第1款规定,“处理个人信息侵害个人信息权益造成损害”,应适用过错推定责任。这是否意味着医疗机构作为个人信息处理者,只要泄露患者个人信息即应推定存在过错?其二,与医疗损害责任一章其他条文在“承担责任”的表述前明确“医疗机构”为责任主体的做法不同,《民法典》第1226条在“应当承担侵权责任”的表述前未列明责任主体,这为该侵权责任应由医疗机构抑或医务人员承担打上了一个问号。其三,相较《侵权责任法》之原有规定,《民法典》第1226条删除了“应当承担侵权责任”前的“造成患者损害”,这是否意味着泄露患者隐私和个人信息,即便没有造成实际损害,亦应承担侵权责任?上述关于泄露患者隐私和个人信息之侵权责任的疑问,有必要进一步予以澄清。 |
|
二、何为违反保密义务之行为 (一)保密义务的界定 为界定医疗机构及其医务人员之保密义务,具体有两点需予以明确:一是保密义务的内容具体为何;二是保密义务的客体,即其涉及的患者隐私和个人信息包括哪些。 1.保密义务之内容 所谓 “保密”,从文义上讲仅指保守秘密,使之不对外泄露,其似乎仅要求医疗机构及其医务人员不主动泄露患者的隐私和个人信息。但从“实现对患者隐私和个人信息之保护及维系医患间信赖关系”的保密义务之本旨来看,“保密”亦要求医疗机构及其医务人员对患者隐私和个人信息尽到妥善保护义务,避免因其疏忽、懈怠而发生泄露。至于是否尽到该义务,则要考察其是否达到了通常情形下一个合格的医疗机构或医务人员在相同情形下应尽的谨慎。这需要在个案中结合具体情形予以判断(未尽妥善保护义务的典型情形详见下文)。此外,因医疗机构亦属于个人信息处理者,故除需尽到作为一个医疗机构应尽的保护义务外,其还需尽到作为个人信息处理者应尽的安全保障义务(详见《民法典》第1038条第2款、《个人信息保护法》第五章)。 2.保密义务涉及的患者隐私和个人信息 保密义务涉及的患者隐私和个人信息,仅指医疗机构及其医务人员在诊疗活动这一特定场景下掌握的隐私和个人信息,既包括合法掌握的、与诊疗活动紧密相关的隐私和个人信息,亦包括超出必要范围非法掌握的、与诊疗活动无关的隐私和个人信息。 从“保密”的文义来看,保密义务直接指向医疗机构及其医务人员在诊疗活动中获取的患者未公开信息(包括私密信息与未公开的非私密信息)。但除患者未公开信息外,诊疗活动中还存在着大量非以信息形式呈现的患者隐私。例如,开展诊疗活动时,患者很多时候都要向医务人员公开自己身体的私密部位。此外,诊疗活动本身亦属于一种私密活动。而在诊疗过程中,因患者需配合诊疗,这些非以信息形式呈现的患者隐私是否会向他人公开,完全取决于医疗机构及其医务人员之行为,患者无法自行予以保护,因而同样面临着被医疗机构及其医务人员公开的风险。故从保密义务的本旨来看,对其客体之理解不应局限于法条文义,由医疗机构及其医务人员控制是否公开、非以信息形式呈现的患者隐私同样应属于其客体。 此处存有疑问的是,患者住院时的病房是否亦属于保密义务之客体?虽然病房是否公开亦受医疗机构及其医务人员的实际控制,患者同样无法自行予以保护,但有争议的是,病房是否属于患者隐私(私密空间)?对此,本文持肯定态度,具体理由如下:第一,在患者住院期间,病房仅供特定患者使用。即使是多人病房,其在一段时间内所供使用的患者也是特定的,而非不特定的多数人。因此,病房在一定程度上构成患者的私人空间。第二,虽然医务人员可以进入病房,但这系患者默示同意之结果。除医务人员外,未经患者同意,他人仍不能随意进入。且未经患者同意,包括医务人员在内的任何人亦不得对病房实施拍摄、窥视等行为。因此,患者的病房处于相对不公开状态。第三,患者在病房内进行的是接受诊疗、日常生活等私人活动,而非公共活动。对与公共利益无涉的私人活动,患者享有合理的隐私期待。综上,病房亦属于患者隐私。且由于其是否公开受医疗机构及其医务人员控制,故其亦应属于保密义务之客体。 |
|
(二)违反保密义务的典型行为 《民法典》第1226条规定了两种违反保密义务的行为:一是泄露患者隐私和个人信息,二是未经患者同意公开其病历资料。这两种行为以“或者”相连接,似乎表明系相互独立关系,但根据立法释义书之解释,之所以禁止未经患者同意公开其病历资料,亦是因病历资料记载了患者大量的未公开信息,披露病历资料将会使这些信息公开,从而可能对患者的隐私权等权益造成侵害。由此可见,“未经患者同意公开其病历资料”完全可以被“泄露患者隐私和个人信息”吸收,前者实际上是后者的一种典型情形。而根据前述保密义务的两个面向,违反该义务之行为实际上可划分以下两类:第一,主动公开患者隐私和个人信息;第二,未尽妥善保护义务而导致患者隐私和个人信息泄露。 1.主动公开患者隐私和个人信息 医疗机构及其医务人员未经患者同意而主动向他人公开其未公开信息、身体私密部位、病房或诊疗活动的,构成对保密义务之违反。所谓公开,既包括向与诊疗活动无关的特定第三人公开,亦包括向不特定的第三人公开。 实践中,医疗机构及其医务人员未经患者同意而主动公开患者隐私和个人信息的典型行为有以下四种:第一,将患者未公开信息提供给诊疗无关人员。例如,未经患者同意而向诊疗无关人员(包括患者近亲属、不负有诊疗职责的医务人员)提供病历资料、说明病情、贩卖联系方式,以及将患者医疗健康数据传输给其他机构供其进行非以公共利益为目的的研究、分析与决策等。第二,在社交媒体上公开患者未公开信息。例如,医务人员将患者的病历资料、带有患者身体私密部位的照片或者患者接受诊疗的视频在社交媒体上公开。第三,将患者未公开信息提供给新闻媒体,而后新闻媒体向社会大众公开。例如,在救治部分社会关注度较高的患者时,医疗机构将患者的病情等告知新闻媒体,而后新闻媒体将其向社会大众公开。第四,为实现自身管理、宣传或研究等正当目的,公开患者未公开信息。例如,为方便管理,医疗机构在患者的床头卡、公开的值班表上记载患者患有性病。为达到警示、教育目的,医疗机构在未进行匿名化处理的情况下,违规将患者病历、处方等直接张贴在医院门诊大厅的公告栏上。又如,医疗机构在其宣传海报中将患者的姓名、肖像与病情一并公开。还如,医务人员在其公开发表的论文等科研成果中,未进行匿名化处理即在论文中引用患者的病情状况、发病原因等有关信息。 此外,未经患者同意而将其身体私密部位、诊疗活动向诊疗无关人员公开,在实践中也常有发生。例如,医务人员在未经患者同意的情况下,允许医学院学生、不负有职责的医生、欲拍摄科普片的新闻媒体等诊疗无关人员观看、拍摄诊疗过程或者对患者诊疗过程进行网络直播。关于患者是否有义务牺牲自身隐私以协助医疗机构进行教学,曾存有争议。目前通说认为,尽管医疗行政机关确定某些医院负有承担教学实习的义务,但该义务仅及于教学医院一方,对患者而言并不具有法律约束力。患者并不负有放弃自己隐私以满足教学医院进行教学之义务。教学医院与见习学生之间、教学医院与患者之间是两个不同的法律关系,受不同法律规范的约束。即使是出于教学目的,若要将患者的身体私密部位、诊疗活动向诊疗无关人员公开,也仍应事先经过患者同意。 |
|
2.未尽妥善保护义务而导致患者隐私和个人信息泄露 医疗机构及其医务人员未尽妥善保护义务,导致患者未公开信息被公开、身体私密部位或诊疗活动暴露于诊疗无关人员,亦构成对保密义务之违反。实践中,属于该类情形的典型行为主要有以下四种:第一,医务人员未在封闭环境下进行诊疗活动,导致患者未公开信息、身体私密部位或诊疗活动被公开。例如,医务人员在对患者进行诊疗时未让其他患者等诊疗无关人员回避,多个医务人员分别与不同患者在同一间没有隔断或遮拦的诊室里从事诊疗活动,或者未在封闭的空间内进行远程诊疗等,从而导致患者未公开信息、身体私密部位或诊疗活动被公开。又如,对患者进行诊疗时,医务人员随意进出诊室、掀起隔断或未采取有效措施防止他人进入诊室,导致患者身体私密部位被公开。还如,医务人员公开讨论患者病情等患者隐私,导致其病情被公开。第二,医疗机构未对机构内部进行妥善管理,导致患者未公开信息、身体私密部位或诊疗活动被公开。例如,医务人员擅自在诊室安装监控,医疗机构未能在日常管理中发现并制止,导致患者的身体私密部位、诊疗活动被公开。第三,医疗机构及其医务人员未妥善管理纸质病历资料或电子病历系统,导致患者未公开信息被公开。例如,将患者的检查报告单放置在科室窗口等公开的地方,让患者或其家属自行领取,导致患者的未公开信息被他人获取。又如,因对电子病历系统、纸质病历库房管理不善(如电子病历系统存在安全漏洞、未安排专门的库房管理人员等)或医务人员存在违规行为(如违规使用移动存储设备或者安装软件导致系统中毒、未妥善保管账户及密码等),导致患者未公开信息被窃取。第四,医疗机构及其医务人员在进行远程诊疗时未采取安全的远程通讯方式,或者未采取安全的方式传输患者的医疗健康数据,导致患者未公开信息被他人截取。 |
|
三、公开患者隐私和个人信息的正当事由 基于私法自治原则,在不违反法律强制性规定及公序良俗的情况下,患者可自由处分其权利,故经患者同意自然可公开其隐私和个人信息。此外,如本文开头所言,对隐私和个人信息之保护常与其他正当利益发生冲突。某些特定情形下,经利益衡量后,患者的隐私权等权益应为其他正当利益让步。在这些情形下,未经患者同意而公开其隐私和个人信息不构成对保密义务之违反。在具体的法律适用上,除法律有明确规定外,可将《民法典》第998条的“精神性人格权侵权的动态衡量”、第999条的“基于公共利益的合理使用”,作为利益衡量的抓手。下文将对公开患者隐私和个人信息的正当场景予以总结。 (一)经过患者同意 若医疗机构及其医务人员取得患者的明确同意,自然可以公开其隐私和个人信息。但在某些情形下,即便患者没有作出明示同意,亦应根据其行为推定存在同意。具体而言,主要包括以下三种情形: 第一种是将患者隐私和个人信息向参加会诊的医务人员公开。在患者的病情复杂、难以诊疗时,往往需要组织医疗会诊。因会诊这一行为本身需经过患者事先同意,而会诊过程中必然需要向参与会诊的医务人员公开患者的相关隐私和个人信息,故患者同意会诊,即应推定其同意将其隐私和个人信息向参与会诊的医疗人员公开。在向参与会诊的医疗人员公开患者隐私和个人信息时,亦无需进行匿名化处理。 第二种是在男女双方进行婚检时,将一方患有的可能对另一方生命、身体健康安全或生育造成严重影响的疾病告知另一方。根据《中华人民共和国母婴保健法》第9条和第10条的规定,若一方患有不宜生育的严重遗传性疾病,医务人员应向男女双方进行告知。但在一方患有传染性疾病或精神疾病时,则未明确医务人员可否向另一方告知。因婚检已不再强制进行,故男女双方协商一致后进行婚检,其目的就在于查明彼此(尤其是对方)是否患有可能严重影响另一方生命、身体健康安全及生育的疾病。因此,应推定男女双方同意共享彼此与前述疾病相关的健康信息,否则婚检将失去其意义。故在该种情形下,若查明一方患有严重遗传性疾病、传染性疾病或重型精神疾病,则应推定患病一方同意另一方知晓其患病信息,医疗机构及其医务人员可以向另一方进行告知。 第三种是他人陪同患者就诊时,将患者病情向陪同人员公开。一般认为,患者同意陪同人员一同前往就诊,即表明同意陪同人员知晓其病情。医务人员在向其讲述病情时,即使没有注意回避同行人员,亦不构成对保密义务的违反。但这一认识并不绝对,还应从社会一般理性人的角度,综合考虑陪同人员与患者的关系、患者所患疾病的私密程度等,来判断患者是否同意陪同人员知晓自身病情。若陪同人员与患者系父母子女、夫妻等近亲属关系,医务人员在告知患者病情时无需注意回避陪同人员。因其彼此间关系紧密,即使亲密关系者知晓某些可能会影响患者声誉的病情,通常也不会对患者的声誉造成影响,故患者允许其陪同即可推定患者同意其知晓自身病情。但在陪同人员与患者系朋友(包括情侣)、同事等非近亲属关系时,若患者所患疾病可能会影响其声誉(如性病、精神疾病)或对其身体健康影响重大(如癌症),则非经患者明确同意,医务人员在告知患者病情时应注意回避陪同人员。若患者所患并非前述疾病,仍应推定患者同意陪同人员知晓自身病情。为此,医务人员应尽到谨慎的注意义务,对陪同人员与患者的关系予以辨别。不过,在认定医务人员是否尽到前述义务时不应过于严苛,只要陪同人员与患者在外观上存在亲密关系,即使二者并不存在实际的亲密关系,亦应认定医务人员尽到了前述义务。 |
|
(二)为维护患者或第三人的生命、身体健康 在《民法典》确立的人格权价值体系中,生命权、身体权和健康权这些物质性人格权的价值位阶较隐私权等非物质性人格权更高。在某些情形下,若不公开患者的私密信息便会对患者或他人的生命、身体健康造成严重威胁,利益衡量的天平便应向维护患者或他人的生命、身体健康倾斜,允许医疗机构及其医务人员在未获取患者同意的情况下公开其私密信息。 为维护患者生命、身体健康而公开其私密信息的具体情形,主要有以下两种:第一,在患者的生命、身体健康安全面临现实危险时,公开其私密信息。例如,当患者的生命、身体健康面临紧迫危险,客观上需要对患者进行紧急救治和保护,并且披露患者私密信息就可以最大限度避免该紧迫危险时,医疗机构及其医务人员可以为了救治患者而公开其私密信息。该种情形实际上亦构成《民法典》第182条所称的紧急避险。又如,患者声称其企图自杀或有自杀想法的,为了保护患者的生命、身体健康,医疗机构及其医务人员可以告知患者近亲属注意保护患者。此外,若发现患者遭受人身伤害(如家庭暴力、性侵害、虐待等),为维护患者的生命、身体健康安全,医疗机构亦可向公安机关等有关部门、机构报告。第二,在不能或不宜向患者履行说明同意义务时,将其病情、诊疗方案等有关信息告知其近亲属。《民法典》第1219条第1款明确规定,在不能或不宜向患者说明时,应向其近亲属说明患者的病情、诊疗方案等内容。在向患者近亲属进行说明时,必然会涉及患者的私密信息。此时之所以适当牺牲对患者隐私权之保护,亦是为了维护其生命、身体健康。 而为维护他人生命、身体健康公开患者私密信息的情形,则主要有如下三种:其一,患者患有艾滋病等严重影响生命、身体健康的传染性疾病,可能会对与其存在密切接触者的生命、身体健康造成严重威胁。《艾滋病防治条例》第38条第1款第(二)项规定了艾滋病人对与其有性关系者的告知义务,第42条规定了医疗机构对患者的告知义务,并未明确授权医疗机构可在未经患者同意的情况下将其病情向与其有性关系者进行告知。虽然《卫生部关于印发对艾滋病病毒感染者和艾滋病病人管理意见的通知》(卫疾控发〔1999〕第164号)第3条第1款第三项规定,经确认的阳性结果原则上通知受检者本人及其配偶或亲属,但由于该通知的效力层级较低,且与上位法《艾滋病防治条例》有冲突之嫌,故不应仅据此认定我国已赋予了医疗卫生机构前述告知权利。相较患者的隐私权,与其存在密切接触者的生命、身体健康权显然处于更高的价值位阶,值得牺牲患者隐私权来对其进行保护。不过,问题在于,前述二者是否必然存在冲突?换言之,若不披露患者的病情,后者的生命、身体健康权是否一定会遭受侵害?之所以认为若不披露患者患病事实,其密切接触者的生命、身体健康权将会遭受严重威胁,实际上是假定患者会刻意隐瞒自身病情,存在侵害其密切接触者生命、身体及健康权之追求或放任,但现实情况往往并非如此。若患者无前述追求或放任心理,医疗机构径直披露患者病情,不仅可能会给患者带来精神创伤,还可能会对患者与其密切接触者间的关系造成不良影响。但现实中亦存在大量患者不履行告知义务,造成其密切接触者损害的情形。故为平衡患者与其密切接触者之利益,原则上应由患者进行告知。仅在医务人员尽最大努力劝说患者告知,但患者仍拒绝告知的情况下,方可例外允许医疗机构进行告知。此外,若患者在就诊前已知晓自身病情,但一直未告诉其密切接触者,医疗机构亦可直接向其密切接触者进行告知。在这两种情况下,患者实际上存在侵害其密切接触者的故意或放任,与患者存在密切接触者的生命、身体及健康权已面临紧迫危险,若不对其进行告知,其很可能遭受损害。 其二,患者患有存在暴力倾向的精神疾病,可能对共同生活者的人身安全构成严重威胁。此时,应区分患者是否已丧失辨认、控制自我行为的能力,分别进行讨论。在患者并未丧失其辨认、控制能力时,其人身危险性较小。且若向他人披露其患病事实,存在进一步加重其病情之可能。故在该种情况下,医疗机构及其医务人员不能向患者的共同生活者主动进行告知。但若患者已丧失辨认、控制自我行为的能力或有随时丧失辨认、控制自我行为之可能时(例如精神分裂症患者拒绝按照医嘱服药),因其人身危险性较大,共同生活者的生命、身体及健康权实际上已面临紧迫危险。为避免患者对与其共同生活者甚至是其他人造成损害,同时亦为保护患者本身,医疗机构及其医务人员可以向与患者共同生活者披露其病情。此外,若存在暴力倾向的精神疾病患者明确向医务人员告知其有意伤害特定第三人,此时,特定第三人的人身安全面临着紧迫危险,医务人员亦可警示可能的受害人或向公安机关报告。 其三,患者患有遗传性疾病或检测出携带有关基因,与其存在血缘关系的亲属亦可能患有相同遗传疾病或携带相同遗传病基因。虽然就遗传性疾病而言,即使携带相关基因也不一定最终患病,不披露患者患病情况难谓对与其存有血缘关系者的生命、身体健康造成紧迫危险。且现代医学可能尚无有效手段对该遗传病进行治疗,若使患者的血亲亲属知晓患者患有遗传性疾病或携带遗传病基因信息,反而可能使其承受没有必要的精神压力。但在某些情况下,若患者血亲亲属知晓患者的患病事实或基因信息,确实有助于提前预防、干预,从而最大限度地维护自身生命、身体健康。为平衡二者利益,可在满足如下条件时例外允许医疗机构及其医务人员向患者的血亲亲属告知相关事实:第一,遗传疾病对生命、身体健康的影响重大;第二,作为披露对象的患者血亲亲属患遗传疾病的可能性较大;第三,患者血亲亲属知晓该事实后能够采取有效措施进行干预、预防;第四,经医务人员尽最大努力劝说后,患者仍拒绝向其血亲亲属进行告知。 |
|
(三)为维护公共利益 对患者隐私和个人信息的保护有时亦可能会与公共利益产生冲突。为维护公共利益而披露患者隐私和个人信息的情形主要有三类:一是为避免对公共安全造成威胁;二是为协助公共部门履行职责;三是为促进社会健康事业发展。 1.为避免对公共安全造成威胁 若不披露患者某些私密信息,将可能对公共安全造成严重威胁的情形主要有两种:一是患者所患疾病或遭遇的其他异常健康事件,可能对公共健康安全构成威胁;二是在患者涉及故意伤害事件时,因患者或其他可能存在的施暴者的人身危险性不明,可能对公众的人身安全构成威胁。 首先,可能威胁公共安全的疾病或其他异常健康事件,主要是指对公共健康安全造成威胁的传染性疾病、群体性不明原因疾病、职业病、重大食物或职业中毒事件、药品或医疗器械不良反应(事件)、医疗事故及重大医疗过失事件等。前述疾病或异常健康事件对公共健康安全存在较大威胁,且有进一步发展、扩散之可能。为防止损害进一步扩大,需要有关部门、机构及时进行干涉。这也就需要医疗机构及其医务人员在发现前述情况后,及时报告患者病情等有关信息。我国许多医事法律法规中均明确规定了医疗机构及其医务人员在发生前述情形时的及时报告义务。医疗机构及其医务人员按照规定将患者病情等相关信息向有关部门报告,不构成对保密义务之违反。此外,患者所患疾病除可能对公共健康安全造成威胁外,亦可能以其他方式威胁公共安全。此时,也应适当豁免医疗机构及其医务人员的保密义务。例如,若患者系飞行员且患有重度抑郁症而不适合飞行工作,或者因患有精神疾病而不适合驾驶汽车但又拒绝停止使用汽车,则为了公共安全考量,医疗机构及其医务人员可以通知航空公司、交通管理部门及公安机关。 其次,所谓患者可能涉及故意伤害事件,是指医务人员发现患者所受外伤(如刀伤、枪伤或疑似遭受虐待痕迹)可能系他人故意伤害所致或者患者非正常死亡。这些情况下,患者可能遭受了他人暴力伤害,或者患者本身即为施暴者,在施暴过程中因受害人反击而受伤。此时,患者或其他可能存在的施暴者的人身危险性不明,可能对社会公众的人身安全构成威胁。因此,一方面出于上文所称保护患者的生命、身体健康,另一方面亦是基于维护公共安全之考量,医疗机构及其医务人员应向有关部门、机构进行报告。《医师法》第33条第五项亦明确规定医务人员负有此等报告义务。 2.为协助公共部门履行职责 公共部门履行某些职责时,有时亦可能需接触患者的未公开信息。该等情形下,医疗机构及其医务人员为协助公共部门履职而提供相关患者的必要未公开信息,亦属于维护公共利益之需要,并不违反保密义务。此类情形主要如下:第一,医疗卫生部门为维护公共健康、职业健康安全而开展监督检查活动,例如进行职业健康监督执法活动、对医疗机构进行监督检查等。第二,公安、司法、人力资源社会保障、保险以及负责医疗事故技术鉴定的部门,因办理案件、依法实施专业技术鉴定、医疗保险审核或仲裁等需要而获取相关患者信息(《医疗机构病历管理规定》第20条第1款)。第三,国家有关机关在开展维护国家安全的有关活动,例如执行军事任务、开展情报和国家安全活动时,在必要范围内获取患者信息。 3.为促进社会健康事业发展 为促进社会健康事业发展而公开患者某些未公开信息,则主要是指对患者的医疗健康信息进行二次利用(secondary use)的情形。患者个人信息中的医疗健康信息具有很高的社会公共价值,经整合、分析后可应用于新药研发、医学教学以及传染病预测预防等领域。这对于促进社会健康事业发展具有重要意义,故需患者的隐私权等权益作出一定让步。但为不过分弱化对患者隐私权等权益之保护,在提供患者未公开信息时,还应作匿名化处理。 我国部分法律规范对为促进社会健康事业发展而披露患者未公开信息的情形亦有所规定。例如,《医疗机构病历管理规定》第6条从反面规定,医疗机构及其医务人员可因医疗、教学、研究目的而公开患者的病历资料。《个人信息保护法》第13条第1款所列事项亦有适用于此之可能。根据前述规定并借鉴域外法之经验,本文认为,基于促进社会健康事业发展之目的而向他人提供患者的未公开信息之情形,主要包含:第一,医疗卫生部门为促进公共健康而开展相关活动,例如开展公共健康监测、编制与医疗健康相关的官方统计数据等;第二,以公共利益为目的而进行医疗健康领域的教学;第三,以公共利益为目的而开展医疗健康领域的科学研究;第四,以公共利益为目的而开发、创新医疗产品(亦包括应用于医疗活动的算法)或服务,及确保前述产品、服务质量与安全性的试验活动;第五,为医疗科普、健康宣传而进行的以公共利益为目的的新闻报道。除前述所列举的事项外,若为其他非促进公共利益之目的,如开展广告营销、开发可能危害个人或社会的产品或服务以及实施基于健康缺陷的歧视性行为(如保险核保、入学、婚姻、就业等情形下的健康歧视)等,医疗机构则不得提供患者的未公开信息。 |
|
四、侵权责任的确立与承担 (一)过错责任抑或过错推定责任 当医疗机构及其医务人员泄露患者非以信息形式呈现的隐私及非以特定形式记录的私密信息,从而造成患者损害时,因无特殊规定,故应适用侵权损害赔偿责任的一般条款,采过错责任。而若医疗机构及其医务人员泄露患者以特定形式记录的未公开信息,从而造成患者损害时,则应适用《个人信息保护法》第69条第1款规定的过错推定责任。虽在立法过程中,不同观点对应受规制的个人信息处理行为的范围存在争议,但《个人信息保护法》最终还是对信息处理能力不平等之主体间的个人信息处理行为予以全方位调整。无论是利用网络信息科技的自动化处理行为,还是手工或纸面的非自动化处理行为,亦无论处理目的如何,均被纳入了该法的规制范围。故作为个人信息处理者,医疗机构所有的个人信息处理行为均应受《个人信息保护法》规制。因此,若无其他正当事由,只要患者因以特定形式记录的未公开信息泄露而遭受损害,即应采过错推定责任。此外,虽然以特定形式记录的私密信息同时亦属于隐私之范畴,泄露以特定形式记录的私密信息同时亦属于对隐私权规范之违反,但此时并不构成适用过错责任与过错推定责任之竞合。原因在于,隐私权规范规制的是所有民事主体间的隐私保护关系,而《个人信息保护法》则仅对存在不平等的信息处理关系的民事主体间之关系予以调整。故在个人信息处理场景下,就保护(以特定形式记录的)私密信息而言,个人信息保护规范构成隐私权规范的特别法,应优先适用。 (二)责任主体 从《民法典》第1226条第一句的表述来看,医疗机构及其医务人员似乎均各自独立地向患者负有保密义务。但因保密义务涉及的“患者隐私和个人信息”,仅指医疗机构及其医务人员在诊疗活动中掌握的隐私和个人信息,因此,医务人员对在履行诊疗职责的过程中获取的患者隐私和个人信息保密,实际上亦可被解释为“执行工作任务”。从私法关系的角度来看,医务人员所负有的保密义务源于其所属的医疗机构,其并不独立向患者负担该义务。从合同法视角来看,医务人员系医疗机构的履行辅助人。而《民法典》第1226条第一句之所以将医务人员亦列为义务主体,实际上是受到了相关医事法律法规的影响。但医事法律法规并非私法规范,其在规定有关义务时往往仅是基于行政管理之需要,而不考虑相应民事权利义务关系。故此,医务人员的确负有行政管理意义上独立的保密义务,违反该义务,其可能需独立承担相应的行政责任或者刑事责任。但从前述分析可以看出,在民事权利义务关系层面,其并不独立向患者负担保密义务。因此,医务人员履行保密义务实际上可被解释为“执行工作任务”。违反该义务造成患者损害的,实际上亦属于“因执行工作任务造成他人损害”,相应侵权责任亦应由医疗机构承担。 (三)责任承担方式 从司法实践来看,违反保密义务可能构成的侵权责任主要包括停止侵害、损害赔偿及赔礼道歉。还有观点认为,消除影响、恢复名誉也属于违反保密义务的“侵权责任”。但医疗机构及其医务人员所披露的内容是真实而非捏造虚构的,即使对患者的名誉造成了不利影响,这种影响实际上亦无法通过澄清事实而消除。并且,采取消除影响、恢复名誉的方式,还可能使受害人的隐私和个人信息在更大范围内被披露,从而进一步对受害人造成损害。故此,“消除影响、恢复名誉”不应纳入违反保密义务的“侵权责任”范畴。 停止侵害并非传统意义上的侵权责任即侵权损害赔偿责任,其本质上应系绝对权请求权。但《民法典》第1167条明确将“停止侵害”规定为侵权责任的一种,体现了《民法典》将绝对权请求权亦纳入“侵权责任”的立场。《民法典》第1226条删除《侵权责任法》第62条中“造成患者损害”的表述,其立法目的在于加强对诊疗活动中自然人隐私和个人信息的保护,以达到正本清源以及减轻患者举证责任、加强患者权益保护的正向效果。在未造成损害的情况下,仍能成立停止侵害这一侵权责任。因此,《民法典》第1226条第二句删除“造成患者损害”的表述后,仅使得停止侵害亦纳入了本句所称之侵权责任范畴。但这并不表明,在泄露患者隐私和个人信息之侵权损害赔偿责任的构成上,亦不要求存在损害。 |
