作者共发了11篇帖子。
 |
泄露患者私隱和個人信息的侵權責任 文|武亦文 (全文刊載於《中國應用法學》2025年第6期) 內容摘要:保護患者私隱和個人信息的特殊性及《民法典》第1226條對原有條文的修改,引發了關於泄露患者私隱和個人信息之侵權責任的諸多疑問。結合《民法典》第1226條之立法意旨,醫療機構及其醫務人員對在診療活動中掌握的患者未公開信息、身體私密部位、病房以及診療活動負有狹義上的保密義務及妥善保護義務。但若經患者同意或為維護特定情形下患者、第三人的生命安全與身體健康及公共利益,則可例外免除前述義務。醫療機構及其醫務人員泄露患者以特定形式記錄的未公開信息,造成患者損害時,應適用《個人信息保護法》規定的過錯推定責任。醫務人員履行保密義務實際上可被解釋為「執行工作任務」時,醫療機構負有獨立保密義務,系唯一責任主體。泄露患者私隱和個人信息,在未造成損害的情況下,仍能成立停止侵害這一侵權責任。 關鍵詞:患者私隱和個人信息 醫療保密義務 抗辯事由 侵權責任 |
|
文 章 目 錄 一、問題的提出 二、何為違反保密義務之行為 (一)保密義務的界定 (二)違反保密義務的典型行為 三、公開患者私隱和個人信息的正當事由 (一)經過患者同意 (二)為維護患者或第三人的生命、身體健康 (三)為維護公共利益 四、侵權責任的確立與承擔 (一)過錯責任抑或過錯推定責任 (二)責任主體 (三)責任承擔方式 結語 |
|
一、問題的提出 基於診療活動本身之特點,醫療機構及其醫務人員在診療活動中能夠掌握患者大量的私隱和個人信息,患者的私隱權等權益容易因醫療機構及其醫務人員的泄露行為遭受侵害。為強調對患者私隱權等權益之保護,自《中華人民共和國侵權責任法》(已廢止,以下簡稱《侵權責任法》)頒佈以來,民事實體法便一直以專條對醫療機構及其醫務人員的保密義務及違反該義務的侵權責任予以規定[《侵權責任法》第62條、《中華人民共和國民法典》(以下簡稱《民法典》)第1226條]。與生命權、身體權、健康權這些物質性人格權有着清晰的權利邊界不同,保護私隱和個人信息與維護其他正當利益的邊界存在模糊性。司法實踐中,哪些行為屬於違反保密義務的行為,其與正當公開患者私隱和個人信息之行為的邊界何在,屬於認定難點。除此之外,在泄露患者私隱和個人信息之侵權責任的確立與承擔上,亦存在一些疑問:其一,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第69條第1款規定,「處理個人信息侵害個人信息權益造成損害」,應適用過錯推定責任。這是否意味着醫療機構作為個人信息處理者,只要泄露患者個人信息即應推定存在過錯?其二,與醫療損害責任一章其他條文在「承擔責任」的表述前明確「醫療機構」為責任主體的做法不同,《民法典》第1226條在「應當承擔侵權責任」的表述前未列明責任主體,這為該侵權責任應由醫療機構抑或醫務人員承擔打上了一個問號。其三,相較《侵權責任法》之原有規定,《民法典》第1226條刪除了「應當承擔侵權責任」前的「造成患者損害」,這是否意味着泄露患者私隱和個人信息,即便沒有造成實際損害,亦應承擔侵權責任?上述關於泄露患者私隱和個人信息之侵權責任的疑問,有必要進一步予以澄清。 |
|
二、何為違反保密義務之行為 (一)保密義務的界定 為界定醫療機構及其醫務人員之保密義務,具體有兩點需予以明確:一是保密義務的內容具體為何;二是保密義務的客體,即其涉及的患者私隱和個人信息包括哪些。 1.保密義務之內容 所謂 「保密」,從文義上講僅指保守秘密,使之不對外泄露,其似乎僅要求醫療機構及其醫務人員不主動泄露患者的私隱和個人信息。但從「實現對患者私隱和個人信息之保護及維繫醫患間信賴關係」的保密義務之本旨來看,「保密」亦要求醫療機構及其醫務人員對患者私隱和個人信息盡到妥善保護義務,避免因其疏忽、懈怠而發生泄露。至於是否盡到該義務,則要考察其是否達到了通常情形下一個合格的醫療機構或醫務人員在相同情形下應盡的謹慎。這需要在個案中結合具體情形予以判斷(未盡妥善保護義務的典型情形詳見下文)。此外,因醫療機構亦屬於個人信息處理者,故除需盡到作為一個醫療機構應盡的保護義務外,其還需盡到作為個人信息處理者應盡的安全保障義務(詳見《民法典》第1038條第2款、《個人信息保護法》第五章)。 2.保密義務涉及的患者私隱和個人信息 保密義務涉及的患者私隱和個人信息,僅指醫療機構及其醫務人員在診療活動這一特定場景下掌握的私隱和個人信息,既包括合法掌握的、與診療活動緊密相關的私隱和個人信息,亦包括超出必要範圍非法掌握的、與診療活動無關的私隱和個人信息。 從「保密」的文義來看,保密義務直接指向醫療機構及其醫務人員在診療活動中獲取的患者未公開信息(包括私密信息與未公開的非私密信息)。但除患者未公開信息外,診療活動中還存在着大量非以信息形式呈現的患者私隱。例如,開展診療活動時,患者很多時候都要向醫務人員公開自己身體的私密部位。此外,診療活動本身亦屬於一種私密活動。而在診療過程中,因患者需配合診療,這些非以信息形式呈現的患者私隱是否會向他人公開,完全取決於醫療機構及其醫務人員之行為,患者無法自行予以保護,因而同樣面臨着被醫療機構及其醫務人員公開的風險。故從保密義務的本旨來看,對其客體之理解不應局限於法條文義,由醫療機構及其醫務人員控制是否公開、非以信息形式呈現的患者私隱同樣應屬於其客體。 此處存有疑問的是,患者住院時的病房是否亦屬於保密義務之客體?雖然病房是否公開亦受醫療機構及其醫務人員的實際控制,患者同樣無法自行予以保護,但有爭議的是,病房是否屬於患者私隱(私密空間)?對此,本文持肯定態度,具體理由如下:第一,在患者住院期間,病房僅供特定患者使用。即使是多人病房,其在一段時間內所供使用的患者也是特定的,而非不特定的多數人。因此,病房在一定程度上構成患者的私人空間。第二,雖然醫務人員可以進入病房,但這系患者默示同意之結果。除醫務人員外,未經患者同意,他人仍不能隨意進入。且未經患者同意,包括醫務人員在內的任何人亦不得對病房實施拍攝、窺視等行為。因此,患者的病房處於相對不公開狀態。第三,患者在病房內進行的是接受診療、日常生活等私人活動,而非公共活動。對與公共利益無涉的私人活動,患者享有合理的私隱期待。綜上,病房亦屬於患者私隱。且由於其是否公開受醫療機構及其醫務人員控制,故其亦應屬於保密義務之客體。 |
|
(二)違反保密義務的典型行為 《民法典》第1226條規定了兩種違反保密義務的行為:一是泄露患者私隱和個人信息,二是未經患者同意公開其病歷資料。這兩種行為以「或者」相連接,似乎表明系相互獨立關係,但根據立法釋義書之解釋,之所以禁止未經患者同意公開其病歷資料,亦是因病歷資料記載了患者大量的未公開信息,披露病歷資料將會使這些信息公開,從而可能對患者的私隱權等權益造成侵害。由此可見,「未經患者同意公開其病歷資料」完全可以被「泄露患者私隱和個人信息」吸收,前者實際上是後者的一種典型情形。而根據前述保密義務的兩個面向,違反該義務之行為實際上可劃分以下兩類:第一,主動公開患者私隱和個人信息;第二,未盡妥善保護義務而導致患者私隱和個人信息泄露。 1.主動公開患者私隱和個人信息 醫療機構及其醫務人員未經患者同意而主動向他人公開其未公開信息、身體私密部位、病房或診療活動的,構成對保密義務之違反。所謂公開,既包括向與診療活動無關的特定第三人公開,亦包括向不特定的第三人公開。 實踐中,醫療機構及其醫務人員未經患者同意而主動公開患者私隱和個人信息的典型行為有以下四種:第一,將患者未公開信息提供給診療無關人員。例如,未經患者同意而向診療無關人員(包括患者近親屬、不負有診療職責的醫務人員)提供病歷資料、說明病情、販賣聯繫方式,以及將患者醫療健康數據傳輸給其他機構供其進行非以公共利益為目的的研究、分析與決策等。第二,在社交媒體上公開患者未公開信息。例如,醫務人員將患者的病歷資料、帶有患者身體私密部位的照片或者患者接受診療的視頻在社交媒體上公開。第三,將患者未公開信息提供給新聞媒體,而後新聞媒體向社會大眾公開。例如,在救治部分社會關注度較高的患者時,醫療機構將患者的病情等告知新聞媒體,而後新聞媒體將其向社會大眾公開。第四,為實現自身管理、宣傳或研究等正當目的,公開患者未公開信息。例如,為方便管理,醫療機構在患者的床頭卡、公開的值班表上記載患者患有性病。為達到警示、教育目的,醫療機構在未進行匿名化處理的情況下,違規將患者病歷、處方等直接張貼在醫院門診大廳的公告欄上。又如,醫療機構在其宣傳海報中將患者的姓名、肖像與病情一併公開。還如,醫務人員在其公開發表的論文等科研成果中,未進行匿名化處理即在論文中引用患者的病情狀況、發病原因等有關信息。 此外,未經患者同意而將其身體私密部位、診療活動向診療無關人員公開,在實踐中也常有發生。例如,醫務人員在未經患者同意的情況下,允許醫學院學生、不負有職責的醫生、欲拍攝科普片的新聞媒體等診療無關人員觀看、拍攝診療過程或者對患者診療過程進行網絡直播。關於患者是否有義務犧牲自身私隱以協助醫療機構進行教學,曾存有爭議。目前通說認為,儘管醫療行政機關確定某些醫院負有承擔教學實習的義務,但該義務僅及於教學醫院一方,對患者而言並不具有法律約束力。患者並不負有放棄自己私隱以滿足教學醫院進行教學之義務。教學醫院與見習學生之間、教學醫院與患者之間是兩個不同的法律關係,受不同法律規範的約束。即使是出於教學目的,若要將患者的身體私密部位、診療活動向診療無關人員公開,也仍應事先經過患者同意。 |
|
2.未盡妥善保護義務而導致患者私隱和個人信息泄露 醫療機構及其醫務人員未盡妥善保護義務,導致患者未公開信息被公開、身體私密部位或診療活動暴露於診療無關人員,亦構成對保密義務之違反。實踐中,屬於該類情形的典型行為主要有以下四種:第一,醫務人員未在封閉環境下進行診療活動,導致患者未公開信息、身體私密部位或診療活動被公開。例如,醫務人員在對患者進行診療時未讓其他患者等診療無關人員迴避,多個醫務人員分別與不同患者在同一間沒有隔斷或遮攔的診室里從事診療活動,或者未在封閉的空間內進行遠程診療等,從而導致患者未公開信息、身體私密部位或診療活動被公開。又如,對患者進行診療時,醫務人員隨意進出診室、掀起隔斷或未採取有效措施防止他人進入診室,導致患者身體私密部位被公開。還如,醫務人員公開討論患者病情等患者私隱,導致其病情被公開。第二,醫療機構未對機構內部進行妥善管理,導致患者未公開信息、身體私密部位或診療活動被公開。例如,醫務人員擅自在診室安裝監控,醫療機構未能在日常管理中發現並制止,導致患者的身體私密部位、診療活動被公開。第三,醫療機構及其醫務人員未妥善管理紙質病歷資料或電子病歷系統,導致患者未公開信息被公開。例如,將患者的檢查報告單放置在科室窗口等公開的地方,讓患者或其家屬自行領取,導致患者的未公開信息被他人獲取。又如,因對電子病歷系統、紙質病歷庫房管理不善(如電子病歷系統存在安全漏洞、未安排專門的庫房管理人員等)或醫務人員存在違規行為(如違規使用移動存儲設備或者安裝軟件導致系統中毒、未妥善保管賬戶及密碼等),導致患者未公開信息被竊取。第四,醫療機構及其醫務人員在進行遠程診療時未採取安全的遠程通訊方式,或者未採取安全的方式傳輸患者的醫療健康數據,導致患者未公開信息被他人截取。 |
|
三、公開患者私隱和個人信息的正當事由 基於私法自治原則,在不違反法律強制性規定及公序良俗的情況下,患者可自由處分其權利,故經患者同意自然可公開其私隱和個人信息。此外,如本文開頭所言,對私隱和個人信息之保護常與其他正當利益發生衝突。某些特定情形下,經利益衡量後,患者的私隱權等權益應為其他正當利益讓步。在這些情形下,未經患者同意而公開其私隱和個人信息不構成對保密義務之違反。在具體的法律適用上,除法律有明確規定外,可將《民法典》第998條的「精神性人格權侵權的動態衡量」、第999條的「基於公共利益的合理使用」,作為利益衡量的抓手。下文將對公開患者私隱和個人信息的正當場景予以總結。 (一)經過患者同意 若醫療機構及其醫務人員取得患者的明確同意,自然可以公開其私隱和個人信息。但在某些情形下,即便患者沒有作出明示同意,亦應根據其行為推定存在同意。具體而言,主要包括以下三種情形: 第一種是將患者私隱和個人信息向參加會診的醫務人員公開。在患者的病情複雜、難以診療時,往往需要組織醫療會診。因會診這一行為本身需經過患者事先同意,而會診過程中必然需要向參與會診的醫務人員公開患者的相關私隱和個人信息,故患者同意會診,即應推定其同意將其私隱和個人信息向參與會診的醫療人員公開。在向參與會診的醫療人員公開患者私隱和個人信息時,亦無需進行匿名化處理。 第二種是在男女雙方進行婚檢時,將一方患有的可能對另一方生命、身體健康安全或生育造成嚴重影響的疾病告知另一方。根據《中華人民共和國母嬰保健法》第9條和第10條的規定,若一方患有不宜生育的嚴重遺傳性疾病,醫務人員應向男女雙方進行告知。但在一方患有傳染性疾病或精神疾病時,則未明確醫務人員可否向另一方告知。因婚檢已不再強制進行,故男女雙方協商一致後進行婚檢,其目的就在於查明彼此(尤其是對方)是否患有可能嚴重影響另一方生命、身體健康安全及生育的疾病。因此,應推定男女雙方同意共享彼此與前述疾病相關的健康信息,否則婚檢將失去其意義。故在該種情形下,若查明一方患有嚴重遺傳性疾病、傳染性疾病或重型精神疾病,則應推定患病一方同意另一方知曉其患病信息,醫療機構及其醫務人員可以向另一方進行告知。 第三種是他人陪同患者就診時,將患者病情向陪同人員公開。一般認為,患者同意陪同人員一同前往就診,即表明同意陪同人員知曉其病情。醫務人員在向其講述病情時,即使沒有注意迴避同行人員,亦不構成對保密義務的違反。但這一認識並不絕對,還應從社會一般理性人的角度,綜合考慮陪同人員與患者的關係、患者所患疾病的私密程度等,來判斷患者是否同意陪同人員知曉自身病情。若陪同人員與患者系父母子女、夫妻等近親屬關係,醫務人員在告知患者病情時無需注意迴避陪同人員。因其彼此間關繫緊密,即使親密關係者知曉某些可能會影響患者聲譽的病情,通常也不會對患者的聲譽造成影響,故患者允許其陪同即可推定患者同意其知曉自身病情。但在陪同人員與患者系朋友(包括情侶)、同事等非近親屬關係時,若患者所患疾病可能會影響其聲譽(如性病、精神疾病)或對其身體健康影響重大(如癌症),則非經患者明確同意,醫務人員在告知患者病情時應注意迴避陪同人員。若患者所患並非前述疾病,仍應推定患者同意陪同人員知曉自身病情。為此,醫務人員應盡到謹慎的注意義務,對陪同人員與患者的關係予以辨別。不過,在認定醫務人員是否盡到前述義務時不應過於嚴苛,只要陪同人員與患者在外觀上存在親密關係,即使二者並不存在實際的親密關係,亦應認定醫務人員盡到了前述義務。 |
|
(二)為維護患者或第三人的生命、身體健康 在《民法典》確立的人格權價值體系中,生命權、身體權和健康權這些物質性人格權的價值位階較私隱權等非物質性人格權更高。在某些情形下,若不公開患者的私密信息便會對患者或他人的生命、身體健康造成嚴重威脅,利益衡量的天平便應向維護患者或他人的生命、身體健康傾斜,允許醫療機構及其醫務人員在未獲取患者同意的情況下公開其私密信息。 為維護患者生命、身體健康而公開其私密信息的具體情形,主要有以下兩種:第一,在患者的生命、身體健康安全面臨現實危險時,公開其私密信息。例如,當患者的生命、身體健康面臨緊迫危險,客觀上需要對患者進行緊急救治和保護,並且披露患者私密信息就可以最大限度避免該緊迫危險時,醫療機構及其醫務人員可以為了救治患者而公開其私密信息。該種情形實際上亦構成《民法典》第182條所稱的緊急避險。又如,患者聲稱其企圖自殺或有自殺想法的,為了保護患者的生命、身體健康,醫療機構及其醫務人員可以告知患者近親屬注意保護患者。此外,若發現患者遭受人身傷害(如家庭暴力、性侵害、虐待等),為維護患者的生命、身體健康安全,醫療機構亦可向公安機關等有關部門、機構報告。第二,在不能或不宜向患者履行說明同意義務時,將其病情、診療方案等有關信息告知其近親屬。《民法典》第1219條第1款明確規定,在不能或不宜向患者說明時,應向其近親屬說明患者的病情、診療方案等內容。在向患者近親屬進行說明時,必然會涉及患者的私密信息。此時之所以適當犧牲對患者私隱權之保護,亦是為了維護其生命、身體健康。 而為維護他人生命、身體健康公開患者私密信息的情形,則主要有如下三種:其一,患者患有愛滋病等嚴重影響生命、身體健康的傳染性疾病,可能會對與其存在密切接觸者的生命、身體健康造成嚴重威脅。《愛滋病防治條例》第38條第1款第(二)項規定了愛滋病人對與其有性關係者的告知義務,第42條規定了醫療機構對患者的告知義務,並未明確授權醫療機構可在未經患者同意的情況下將其病情向與其有性關係者進行告知。雖然《衛生部關於印發對愛滋病病毒感染者和愛滋病病人管理意見的通知》(衛疾控發〔1999〕第164號)第3條第1款第三項規定,經確認的陽性結果原則上通知受檢者本人及其配偶或親屬,但由於該通知的效力層級較低,且與上位法《愛滋病防治條例》有衝突之嫌,故不應僅據此認定我國已賦予了醫療衛生機構前述告知權利。相較患者的私隱權,與其存在密切接觸者的生命、身體健康權顯然處於更高的價值位階,值得犧牲患者私隱權來對其進行保護。不過,問題在於,前述二者是否必然存在衝突?換言之,若不披露患者的病情,後者的生命、身體健康權是否一定會遭受侵害?之所以認為若不披露患者患病事實,其密切接觸者的生命、身體健康權將會遭受嚴重威脅,實際上是假定患者會刻意隱瞞自身病情,存在侵害其密切接觸者生命、身體及健康權之追求或放任,但現實情況往往並非如此。若患者無前述追求或放任心理,醫療機構徑直披露患者病情,不僅可能會給患者帶來精神創傷,還可能會對患者與其密切接觸者間的關係造成不良影響。但現實中亦存在大量患者不履行告知義務,造成其密切接觸者損害的情形。故為平衡患者與其密切接觸者之利益,原則上應由患者進行告知。僅在醫務人員盡最大努力勸說患者告知,但患者仍拒絕告知的情況下,方可例外允許醫療機構進行告知。此外,若患者在就診前已知曉自身病情,但一直未告訴其密切接觸者,醫療機構亦可直接向其密切接觸者進行告知。在這兩種情況下,患者實際上存在侵害其密切接觸者的故意或放任,與患者存在密切接觸者的生命、身體及健康權已面臨緊迫危險,若不對其進行告知,其很可能遭受損害。 其二,患者患有存在暴力傾向的精神疾病,可能對共同生活者的人身安全構成嚴重威脅。此時,應區分患者是否已喪失辨認、控制自我行為的能力,分別進行討論。在患者並未喪失其辨認、控制能力時,其人身危險性較小。且若向他人披露其患病事實,存在進一步加重其病情之可能。故在該種情況下,醫療機構及其醫務人員不能向患者的共同生活者主動進行告知。但若患者已喪失辨認、控制自我行為的能力或有隨時喪失辨認、控制自我行為之可能時(例如精神分裂症患者拒絕按照醫囑服藥),因其人身危險性較大,共同生活者的生命、身體及健康權實際上已面臨緊迫危險。為避免患者對與其共同生活者甚至是其他人造成損害,同時亦為保護患者本身,醫療機構及其醫務人員可以向與患者共同生活者披露其病情。此外,若存在暴力傾向的精神疾病患者明確向醫務人員告知其有意傷害特定第三人,此時,特定第三人的人身安全面臨着緊迫危險,醫務人員亦可警示可能的受害人或向公安機關報告。 其三,患者患有遺傳性疾病或檢測出攜帶有關基因,與其存在血緣關係的親屬亦可能患有相同遺傳疾病或攜帶相同遺傳病基因。雖然就遺傳性疾病而言,即使攜帶相關基因也不一定最終患病,不披露患者患病情況難謂對與其存有血緣關係者的生命、身體健康造成緊迫危險。且現代醫學可能尚無有效手段對該遺傳病進行治療,若使患者的血親親屬知曉患者患有遺傳性疾病或攜帶遺傳病基因信息,反而可能使其承受沒有必要的精神壓力。但在某些情況下,若患者血親親屬知曉患者的患病事實或基因信息,確實有助於提前預防、干預,從而最大限度地維護自身生命、身體健康。為平衡二者利益,可在滿足如下條件時例外允許醫療機構及其醫務人員向患者的血親親屬告知相關事實:第一,遺傳疾病對生命、身體健康的影響重大;第二,作為披露對象的患者血親親屬患遺傳疾病的可能性較大;第三,患者血親親屬知曉該事實後能夠採取有效措施進行干預、預防;第四,經醫務人員盡最大努力勸說後,患者仍拒絕向其血親親屬進行告知。 |
|
(三)為維護公共利益 對患者私隱和個人信息的保護有時亦可能會與公共利益產生衝突。為維護公共利益而披露患者私隱和個人信息的情形主要有三類:一是為避免對公共安全造成威脅;二是為協助公共部門履行職責;三是為促進社會健康事業發展。 1.為避免對公共安全造成威脅 若不披露患者某些私密信息,將可能對公共安全造成嚴重威脅的情形主要有兩種:一是患者所患疾病或遭遇的其他異常健康事件,可能對公共健康安全構成威脅;二是在患者涉及故意傷害事件時,因患者或其他可能存在的施暴者的人身危險性不明,可能對公眾的人身安全構成威脅。 首先,可能威脅公共安全的疾病或其他異常健康事件,主要是指對公共健康安全造成威脅的傳染性疾病、群體性不明原因疾病、職業病、重大食物或職業中毒事件、藥品或醫療器械不良反應(事件)、醫療事故及重大醫療過失事件等。前述疾病或異常健康事件對公共健康安全存在較大威脅,且有進一步發展、擴散之可能。為防止損害進一步擴大,需要有關部門、機構及時進行干涉。這也就需要醫療機構及其醫務人員在發現前述情況後,及時報告患者病情等有關信息。我國許多醫事法律法規中均明確規定了醫療機構及其醫務人員在發生前述情形時的及時報告義務。醫療機構及其醫務人員按照規定將患者病情等相關信息向有關部門報告,不構成對保密義務之違反。此外,患者所患疾病除可能對公共健康安全造成威脅外,亦可能以其他方式威脅公共安全。此時,也應適當豁免醫療機構及其醫務人員的保密義務。例如,若患者系飛行員且患有重度抑鬱症而不適合飛行工作,或者因患有精神疾病而不適合駕駛汽車但又拒絕停止使用汽車,則為了公共安全考量,醫療機構及其醫務人員可以通知航空公司、交通管理部門及公安機關。 其次,所謂患者可能涉及故意傷害事件,是指醫務人員發現患者所受外傷(如刀傷、槍傷或疑似遭受虐待痕跡)可能系他人故意傷害所致或者患者非正常死亡。這些情況下,患者可能遭受了他人暴力傷害,或者患者本身即為施暴者,在施暴過程中因受害人反擊而受傷。此時,患者或其他可能存在的施暴者的人身危險性不明,可能對社會公眾的人身安全構成威脅。因此,一方面出於上文所稱保護患者的生命、身體健康,另一方面亦是基於維護公共安全之考量,醫療機構及其醫務人員應向有關部門、機構進行報告。《醫師法》第33條第五項亦明確規定醫務人員負有此等報告義務。 2.為協助公共部門履行職責 公共部門履行某些職責時,有時亦可能需接觸患者的未公開信息。該等情形下,醫療機構及其醫務人員為協助公共部門履職而提供相關患者的必要未公開信息,亦屬於維護公共利益之需要,並不違反保密義務。此類情形主要如下:第一,醫療衛生部門為維護公共健康、職業健康安全而開展監督檢查活動,例如進行職業健康監督執法活動、對醫療機構進行監督檢查等。第二,公安、司法、人力資源社會保障、保險以及負責醫療事故技術鑑定的部門,因辦理案件、依法實施專業技術鑑定、醫療保險審核或仲裁等需要而獲取相關患者信息(《醫療機構病歷管理規定》第20條第1款)。第三,國家有關機關在開展維護國家安全的有關活動,例如執行軍事任務、開展情報和國家安全活動時,在必要範圍內獲取患者信息。 3.為促進社會健康事業發展 為促進社會健康事業發展而公開患者某些未公開信息,則主要是指對患者的醫療健康信息進行二次利用(secondary use)的情形。患者個人信息中的醫療健康信息具有很高的社會公共價值,經整合、分析後可應用於新藥研發、醫學教學以及傳染病預測預防等領域。這對於促進社會健康事業發展具有重要意義,故需患者的私隱權等權益作出一定讓步。但為不過分弱化對患者私隱權等權益之保護,在提供患者未公開信息時,還應作匿名化處理。 我國部分法律規範對為促進社會健康事業發展而披露患者未公開信息的情形亦有所規定。例如,《醫療機構病歷管理規定》第6條從反面規定,醫療機構及其醫務人員可因醫療、教學、研究目的而公開患者的病歷資料。《個人信息保護法》第13條第1款所列事項亦有適用於此之可能。根據前述規定並借鑑域外法之經驗,本文認為,基於促進社會健康事業發展之目的而向他人提供患者的未公開信息之情形,主要包含:第一,醫療衛生部門為促進公共健康而開展相關活動,例如開展公共健康監測、編制與醫療健康相關的官方統計數據等;第二,以公共利益為目的而進行醫療健康領域的教學;第三,以公共利益為目的而開展醫療健康領域的科學研究;第四,以公共利益為目的而開發、創新醫療產品(亦包括應用於醫療活動的算法)或服務,及確保前述產品、服務質量與安全性的試驗活動;第五,為醫療科普、健康宣傳而進行的以公共利益為目的的新聞報道。除前述所列舉的事項外,若為其他非促進公共利益之目的,如開展廣告營銷、開發可能危害個人或社會的產品或服務以及實施基於健康缺陷的歧視性行為(如保險核保、入學、婚姻、就業等情形下的健康歧視)等,醫療機構則不得提供患者的未公開信息。 |
|
四、侵權責任的確立與承擔 (一)過錯責任抑或過錯推定責任 當醫療機構及其醫務人員泄露患者非以信息形式呈現的私隱及非以特定形式記錄的私密信息,從而造成患者損害時,因無特殊規定,故應適用侵權損害賠償責任的一般條款,採過錯責任。而若醫療機構及其醫務人員泄露患者以特定形式記錄的未公開信息,從而造成患者損害時,則應適用《個人信息保護法》第69條第1款規定的過錯推定責任。雖在立法過程中,不同觀點對應受規制的個人信息處理行為的範圍存在爭議,但《個人信息保護法》最終還是對信息處理能力不平等之主體間的個人信息處理行為予以全方位調整。無論是利用網絡信息科技的自動化處理行為,還是手工或紙面的非自動化處理行為,亦無論處理目的如何,均被納入了該法的規制範圍。故作為個人信息處理者,醫療機構所有的個人信息處理行為均應受《個人信息保護法》規制。因此,若無其他正當事由,只要患者因以特定形式記錄的未公開信息泄露而遭受損害,即應採過錯推定責任。此外,雖然以特定形式記錄的私密信息同時亦屬於私隱之範疇,泄露以特定形式記錄的私密信息同時亦屬於對私隱權規範之違反,但此時並不構成適用過錯責任與過錯推定責任之競合。原因在於,私隱權規範規制的是所有民事主體間的私隱保護關係,而《個人信息保護法》則僅對存在不平等的信息處理關係的民事主體間之關係予以調整。故在個人信息處理場景下,就保護(以特定形式記錄的)私密信息而言,個人信息保護規範構成私隱權規範的特別法,應優先適用。 (二)責任主體 從《民法典》第1226條第一句的表述來看,醫療機構及其醫務人員似乎均各自獨立地向患者負有保密義務。但因保密義務涉及的「患者私隱和個人信息」,僅指醫療機構及其醫務人員在診療活動中掌握的私隱和個人信息,因此,醫務人員對在履行診療職責的過程中獲取的患者私隱和個人信息保密,實際上亦可被解釋為「執行工作任務」。從私法關係的角度來看,醫務人員所負有的保密義務源於其所屬的醫療機構,其並不獨立向患者負擔該義務。從合同法視角來看,醫務人員系醫療機構的履行輔助人。而《民法典》第1226條第一句之所以將醫務人員亦列為義務主體,實際上是受到了相關醫事法律法規的影響。但醫事法律法規並非私法規範,其在規定有關義務時往往僅是基於行政管理之需要,而不考慮相應民事權利義務關係。故此,醫務人員的確負有行政管理意義上獨立的保密義務,違反該義務,其可能需獨立承擔相應的行政責任或者刑事責任。但從前述分析可以看出,在民事權利義務關係層面,其並不獨立向患者負擔保密義務。因此,醫務人員履行保密義務實際上可被解釋為「執行工作任務」。違反該義務造成患者損害的,實際上亦屬於「因執行工作任務造成他人損害」,相應侵權責任亦應由醫療機構承擔。 (三)責任承擔方式 從司法實踐來看,違反保密義務可能構成的侵權責任主要包括停止侵害、損害賠償及賠禮道歉。還有觀點認為,消除影響、恢復名譽也屬於違反保密義務的「侵權責任」。但醫療機構及其醫務人員所披露的內容是真實而非捏造虛構的,即使對患者的名譽造成了不利影響,這種影響實際上亦無法通過澄清事實而消除。並且,採取消除影響、恢復名譽的方式,還可能使受害人的私隱和個人信息在更大範圍內被披露,從而進一步對受害人造成損害。故此,「消除影響、恢復名譽」不應納入違反保密義務的「侵權責任」範疇。 停止侵害並非傳統意義上的侵權責任即侵權損害賠償責任,其本質上應系絕對權請求權。但《民法典》第1167條明確將「停止侵害」規定為侵權責任的一種,體現了《民法典》將絕對權請求權亦納入「侵權責任」的立場。《民法典》第1226條刪除《侵權責任法》第62條中「造成患者損害」的表述,其立法目的在於加強對診療活動中自然人私隱和個人信息的保護,以達到正本清源以及減輕患者舉證責任、加強患者權益保護的正向效果。在未造成損害的情況下,仍能成立停止侵害這一侵權責任。因此,《民法典》第1226條第二句刪除「造成患者損害」的表述後,僅使得停止侵害亦納入了本句所稱之侵權責任範疇。但這並不表明,在泄露患者私隱和個人信息之侵權損害賠償責任的構成上,亦不要求存在損害。 |
