医院这样处理患者个人信息，小心被罚款！

近年，

医疗数据泄露时有发生，

除了防止外部网络攻击，

医院内部也要合规管理。

01

泄露患者医疗健康信息

与一般个人信息不同，患者的医疗健康信息一旦泄露，将很容易导致患者的人格尊严受到侵害或者人身、财产安全受到危害。医疗健康信息主要包括个人不想被第三人知道的信息，包括：患病情况、心理健康、生理缺陷、诊疗记录、治疗方法、检查结果和治愈情况等。

泄露患者的医疗健康信息，可能会使患者面临被他人歧视、区别对待的风险。有一些疾病的诊疗信息被泄露，还会增加患者对疾病的恐惧感、抗拒治疗，直接影响治疗效果。严重的将会影响患者的正常工作和生活，给原本就遭受疾病困扰的患者带来更大的心理压力、精神困扰，甚至又诱发精神疾病。

医院作为患者的个人信息处理者，应当根据自己处理患者个人信息的目的、方式、个人信息种类、个人权益影响程度、潜在风险等，防止患者的个人信息被未经授权访问或被泄露、篡改、丢失。

医院未履行《个人信息保护法》规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告。拒不改正的，并处一百万元以下罚款，情节严重的，并处五千万元以下或者上一年度营业额百分之五以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

02

就诊软件无隐私政策

就诊软件在处理用户个人信息之前，应当以显著的方式、清晰的语言，向用户告知信息处理者的基本信息，处理个人信息的目的、方式、种类、保存期限，用户享有哪些个人信息权利、如何行使自己的权利以及其他法律法规规定的内容。这一系列告知内容，都以《隐私政策》《用户协议》的形式向用户呈现。

《App违法违规收集使用个人信息行为认定方法》规定，App没有隐私政策，将被认定为“未公开收集使用规则”的行为。

就诊软件应当向用户公开个人信息处理规则，明示处理个人信息的目的、方式和范围，并经用户同意，否则，就诊软件将存在被主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照的风险。医院也将因未履行《个人信息保护法》规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，拒不改正的，并处罚款。

03

缺少个人信息处理制度

根据《个人信息保护法》的规定，医院作为患者的个人信息处理者，应当根据自己处理患者个人信息的目的、方式、个人信息种类、个人权益影响程度、潜在风险等，制定内部管理制度和操作流程、操作权限，对个人信息进行分级分类管理，并采取相应的加密、去标识化等安全技术措施。

医院作为处理大量敏感个人信息的信息处理者，必须构建并完善医院的个人信息保护合规管理体系，从内部管理制度和操作流程、操作权限等方面着手，提供一个完整的系统，规范化处理患者的个人信息。

对患者的个人信息进行分级分类，区分敏感个人信息，对敏感个人信息适用更高的标准进行保护。根据个人信息对患者的影响程度由低到高可以分为两个等级，一般个人信息和敏感个人信息。敏感个人信息与一般个人信息相比，往往具有更高的法益，这也是敏感个人信息需要更严格的法律法规保护的原因。将患者的个人信息根据其具有的特点可以分为：直接个人信息、间接个人信息、假名化个人信息和匿名化个人信息，做好个人信息的分类，能够对不同类型的个人信息，采取不同的保护、查验等措施，以提高个人信息的保护效率。

04

未及时进行审计评估

根据《个人信息保护法》的规定，医院应当定期对其处理患者个人信息遵守法律法规、行政法规的情况进行合规审计。由于医院处理的患者个人信息中，包含大量的敏感个人信息，医院应当在事前进行个人信息保护影响评估，并对评估情况进行记录。

医院应当定期开展个人信息保护合规审计。医院的内部审计部门应当定期对患者个人信息处理是否遵守隐私政策及操作流程进行内部审计，根据审计结果，相关责任人员将更新调整隐私政策、设计或修正程序、进行培训。必要时，还将聘请外部第三方进行患者个人信息处理的合规审计，以验证医院是否符合内部隐私政策和适用法律的要求。

在特定情形下，医院需要做个人信息保护影响评估。在开展对个人权益有重大影响的个人信息处理活动时，个人信息处理者需要在事前开展个人信息保护影响评估，例如：处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、个人信息跨境等。在开展评估工作的过程中，应当记录个人信息处理的目的、方式是否合法、正当、必要，记录对个人权益的影响及安全风险，记录拟采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

05

律师建议

为保护个人信息权益，我国制定了《中华人民共和国个人信息保护法》，以规范个人信息的处理活动，明确了个人信息处理的基本规则、个人在个人信息处理活动中的权利、个人信息处理者的义务以及法律责任。

若医院违反法律法规中的个人信息保护义务，将会被相关部门责令改正、给予警告等；拒不改正的，还将并处罚款；情节严重的，甚至责令暂停相关业务，直接负责的主管人员和其他直接责任人员将被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

医院作为处理大量敏感个人信息的个人信息处理者，应当积极履行法律法规中规定的个人信息保护义务，合法依规的处理患者个人信息，积极履行告知义务，构建并完善个人信息保护合规管理体系，对个人信息保护情况及时进行审计评估。