4月11日,青島市發布公告稱,因爲青島市膠州中心醫院已發現新冠肺炎確診病例,要求相關密切接觸人員,立即到居住社區做好登記。但是,很快,一份包含多達6000多“密接人員”的名單在網絡傳播,其中涉及這6000多人的姓名、住址、聯系方式、身份證號碼等個人身份信息。
在事件引發輿論之後,公安機關做出調查,是葉某工作中將接到的隨訪人員名單信息轉發至所在公司微信群,另外兩人也是這樣把名單發到了家人群裏,引發的名單泄漏。當地警方已經依《治安管理處罰法》,對造成泄漏的3人給予行政拘留的處罰。
病患的診療信息,包含個人病史、財務能力(社會保險號碼、銀行賬號信息)、家庭關系等敏感信息,一旦遭遇竊取盜用,小到尋醫問藥、大到醫療保險、信用記錄都可能受影響,而與疾病相關聯的汙名化,則使得病患遭受超出疾病和治療本身帶來的痛苦。爲此,《基本醫療衛生與健康促進法》第92條規定:任何組織或者個人不得非法收集、使用、加工、傳輸公民個人健康信息,不得非法買賣、提供或者公開公民個人健康信息。
美國波萊蒙研究所(Ponemon Institute)發布的《2015年數據泄漏的成本研究》稱,全世界範圍內泄漏每條診療信息所致的社會成本爲363美元。因此,信息化水平發達國家非常重視信息泄漏後的處置策略。
2018年7月,新加坡通訊及新聞部和衛生部通報稱,之前黑客以惡意軟件入侵新加坡保健服務集團(Sing Health)的系統,盜取了150萬名患者的個人信息,16萬人的門診開藥記錄遭竊。在醫療信息泄露之後,新家坡衛生部聯合通訊及新聞部向公衆披露了事件的經過,部長顔金勇公開道歉;新加坡保健服務集團還通過手機短信、信件聯絡這150萬名受影響的公民。
美國《健康信息技術與經濟及臨床健康法》要求,責任機構發現泄露行爲已發生,或合理相信已發生時,應通知信息來源者其病曆細節已被不當接觸、獲得或泄露,且不應有不合理的遲延。若通知的規模超過10人以上時,應通過自家網站或主要報紙或廣播加以通知,並應提供免費電話供大衆咨詢。若超過500人時,則應在該州的主要媒體上發出通知。
個人信息被泄露之後的及時通知、預警機制,應該成爲個人信息保護體系的重要組成部分。直白地說,責任主體不能對個人信息泄露諱疾忌醫。
在我國,《網絡安全法》第42條規定,“網絡運營者在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶並向有關主管部門報告”。但是,這一制度執行情況卻不盡如人意。近年來,海量的用戶信息泄漏事件反複發生,但是鮮見責任主體主動披露,有些甚至在事件鬧得沸反盈天之後,才應對姗姗來遲。
更得追問一句,6000人名單的泄漏,真的只有這3個人的法律責任?這麽大體量的敏感名單,本身有沒有做好信息保護工作?爲什麽一個“公司員工”就可以隨隨便便接觸到,並可以隨手轉發?還有多少人有過這樣的“犯錯機會”?
防患未然勝過亡羊補牢。因此,防止信息泄漏還是要從源頭做好防範工作。譬如加強警示教育,讓每一位接觸信息的人員知曉信息泄漏的危害以及可能要承擔的法律責任,並要求其作出保密承諾。再譬如,盡量嚴格執行個人信息保護“最小範圍原則”,從源頭上減少相關人員和機構收集或近用個人信息的規模等。