近日，山東孕婦劉麗(化名)突然收到一條加“好友”申請：“××月子中心，為您提供專業産後服務。”她心頭一緊——幾天前，她剛在當地一家醫院和婦幼保健院做完産檢，並且此前從未在任何機構留下孕産信息。

  “電話、住址、懷孕周數，各種隱私信息對方瞭如指掌。”劉麗立即撥打12345投訴。次日，醫院客服&&她：“可能是××月子中心冒用醫院名義進行推銷。”工作人員坦言，這類事件“並非第一次發生”，醫院承諾徹查此事，並希望劉麗配合取證追責。

  劉麗的遭遇並非個例。近年來，從明星病歷外泄到普通患者就診記錄被販賣，醫療信息洩露儼然形成一條成熟的黑色産業鏈。

  患者隱私如何被竊取？違法交易如何運作？又該怎樣斬斷這只“黑手”？《法治日報》記者對此展開調查。

  花錢能查醫療記錄

  記者近日在社交&&以“就診信息”“病歷”等關鍵詞進行搜索，發現不少包含隱晦話術的帖子，比如可cx（即查詢）“地址出行”“定位追蹤軌跡”“開房”“流水”“檔案”“記錄(社保記錄、醫保記錄、醫療記錄等)”等。

  其中一個帖子的信息，指向一個IP歸屬地為境外的社交賬號。記者私信該賬號諮詢“如何查詢某人醫療記錄”，對方發來一張“業務單”，上面寫着能夠查詢他人手機定位、身份證正反面信息、婚姻記錄、社保記錄、醫保記錄、醫療記錄、學籍學歷、全部資産等信息。其中，查詢醫療記錄需提供手機號、身份證號碼、城市，查詢結果包含所有醫療記錄、醫保記錄、住院記錄，出單時間為1至2天，售價為1200元。

  “只有對方手機號，沒有身份證號碼，也不知道他在哪座城市，能查詢醫療記錄嗎？”面對記者的提問，對方很快回復道：“再加100元就可以”。

  該賬號曾於今年4月中旬發布一條名稱為“歷史醫療記錄，醫保記錄，精準出；婚前健康檢查、墮胎記錄等個人隱私隨便查”的帖子，正文內容包含兩張圖片，附有某人的就醫記錄、消費記錄、社保繳費三個選項。在就醫記錄一欄，可以看到定點醫療機構名稱、經辦時間、開始時間、結束時間、就診憑證類型、醫療類別、病種名稱、住院診斷名稱、手術操作名稱等信息。其中，在“病種名稱”一欄，有月經不規則、病毒性皮疹、流行性感冒、月經紊亂、人流術後、抑鬱狀態、難免性流産等信息。

  該類賬號大量存在於互聯網上。據“網信上海”公眾號消息，近期，上海市網信辦在專項執法行動中發現，一批醫療服務類互聯網企業(主要從事醫療軟體開發與維護、醫療服務培訓、數字健康服務等)未依法履行網絡安全、數據安全保護義務，所屬系統存在網絡安全漏洞，被境外IP訪問並竊取。發生個人信息洩露情況，反映出部分醫療服務類互聯網企業存在個人信息制度不規範不健全、安全防護不嚴密、存儲不合規等問題。上海市網信辦根據相關法律法規對一批醫療服務類互聯網企業予以行政處罰。

  一位在“開盒群”臥底過的業內人士直言，有“開盒者”會將大量醫療信息非法曝光，並進行惡意揣測。一些人的體檢報告、內臟、骨科的彩超圖片被非法公開，成為他人窺伺、意淫的對象；還有人的婦科、精神科醫療報告被非法公開，被他人肆意點評、嘲諷。

  多種途徑洩露信息

  這些醫療信息是如何被洩露的？

  中國政法大學證據科學研究院教授、中國政法大學醫藥法律與倫理研究中心主任劉鑫告訴記者，可能的洩露途徑主要有以下幾種：外包服務漏洞，第三方檢驗機構、醫療設備維保商等合作方接觸患者數據；患者自身疏忽，隨意丟棄帶有個人信息的檢查單據、處方箋；公共場景洩露，醫院Wi-Fi被植入竊取程序、自助終端遭遇竊密。此外，一些患者的用藥記錄在醫保結算環節流轉時，也可能産生數據洩露風險。

  “産科、新生兒科是重災區。”劉鑫指出，少數醫務人員將患者信息視作“資源”，當成“商品”出售。

  最高人民檢察院《關於印發檢察機關依法懲治侵犯公民個人信息犯罪典型案例的通知》曾通報這樣一起典型案例：吳某甲、吳某乙係一家保健按摩中心的經營者，為擴大客源，吳某甲向某醫院産科主管護師韋某提出，由韋某提供産婦信息，並承諾每發展一名客戶就給韋某50元或60元報酬，若客戶後續辦卡消費則另外向韋某支付10%的提成。截至案發，韋某向吳某甲、吳某乙出售包括産婦姓名、家庭住址、電話號碼、分娩日期、分娩方式等在內的産婦健康生理信息500多條。

  記者梳理公開資料發現，類似案件時有發生：北京某醫院員工符某某將明星病歷發至微信群炫耀，導致隱私擴散；上海某醫院主任私下傳播患者裸照，被暫停執業。

  還有系統漏洞，讓第三方&&成為“後門”。

  在浙江某婦産醫院32名産婦信息洩露事件中，罪魁禍首是一款第三方簽到軟體。該軟體違規上傳孕周、預産期等數據，最終流入黑産市場。四川省某精神衞生中心2.7萬份患者檔案被盜，則是因省級醫療信息共享&&接口未做好加密工作，遭黑客輕易攻破。

  重拳之下屢禁不止

  記者梳理發現，目前我國已有多款守護患者隱私權的法律條文。

  比如個人信息保護法第28條將醫療健康信息列入敏感個人信息範疇，第55條要求個人信息處理者應當事前進行個人信息保護影響評估，並對處理情況進行記錄。民法典第1226條明確規定，醫療機構及其醫務人員應當對患者的隱私和個人信息保密。洩露患者的隱私和個人信息，或者未經患者同意公開其病歷資料的，應當承擔侵權責任。《醫療機構病歷管理規定》規定，除為患者提供診療服務的醫務人員，以及經衞生計生行政部門、中醫藥管理部門或者醫療機構授權的負責病案管理、醫療管理的部門或者人員外，其他任何機構和個人不得擅自查閱患者病歷。

  受訪專家指出，儘管相關法律法規明確保護醫療隱私，但現實中維權難、執法軟、違法成本低等問題突出。

  在劉鑫看來，雖然我國現有“三合一”法律保護，如民法典明確醫療機構洩露隱私需承擔侵權責任；醫師法、護士條例規定洩露者可被警告、停業甚至吊銷執照；刑法修正案規定，公職人員洩露信息需從重處罰，但實踐中多處罰直接責任人，很少追究管理者連帶責任，違法成本低導致威懾不足。

  “醫療記錄被洩露屢禁不止，深層原因有很多。一是管理失職，職能部門對隱私界定模糊(如‘就醫痕跡是否屬於隱私’)，未細化員工行為規範；二是利益驅動，醫務人員販賣信息獲利空間大(如每條産婦信息售價50元)，且查處困難，查處概率低；三是相關社會頑疾，比如公民個人信息買賣猖獗、騷擾電話精準投放等暴露治理手段失效。”劉鑫説。

  他指出，破局之道應該從“追責個人”到“系統治理”，比如強化警示教育，借鑒反腐模式，製作洩露隱私典型案例的警示片，強制相關崗位人員學習；完善連帶問責機制，不僅處罰洩露者，還需追責機構管理者，倒逼醫院加強內部管控；嚴打黑産鏈條，加大對數據交易&&、非法買家的打擊力度，提高違法綜合成本；借鑒國際經驗，規定只有在必要時才能調閱病歷，降低數據洩露風險。

  “醫務人員需樹立‘隱私即紅線’的職業倫理，將保密意識融入日常操作；患者也要培養‘隱私潔癖’，妥善處理廢棄醫療單據，對可疑營銷電話主動取證維權。”劉鑫説。

  受訪的業內人士和專家指出，守護醫療隱私不只是法律命題，更是文明社會的底線。從加密技術到嚴厲刑罰、從醫院自查到公眾警惕，唯有織密這張防護網，才能讓每個人安心走進診室，不必擔心隱私成為他人手中的“商品”。（記者 文麗娟）