【患者隐私及个人信息保护】
医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
本条来源
《侵权责任法》第六十二条规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”
立法演变
《民法典侵权责任编草案》(一审稿)第一千零一条规定:“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者隐私和个人信息或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”
《民法典侵权责任编草案》(三审稿)第一千零一条规定:“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。”此后无变化。
条文释义
本条是对于患者隐私和个人信息保护的规定。
一、概述
隐私是个人不愿为外界所知的私人生活信息。因此,隐私权是指自然人所享有的维持其私人生活安宁与私人生活信息不受他人刺探、知悉、使用和公开等侵犯的权利。隐私权在内涵上包括个人自然特征的隐私、个人资料的隐私、个人通讯内容的隐私以及私人生活的安宁等内容。
《世界人权宣言》第12条为隐私权作出了明确的定义:“任何人的私生活、家庭、住宅和通信不得任意干涉,他的荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉或攻击。”但在我国民事立法上,隐私权的保护经历了一个相对较为缓慢的发展过程。我国1986年的《民法通则》并未规定隐私权,《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》第140条规定,以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。这一司法解释提到了隐私的保护,但作为名誉权的内容进行保护。
其后,最高人民法院在《关于审理名誉权案件若干问题的解答》中再次指出,对未经他人同意,擅自公布他人的隐私材料或以书面、口头形式宣扬他人隐私,致他人名誉受到损害,按照侵犯他人名誉权处理。这一司法解释依然贯彻了通过名誉权来保护隐私权的做法。
我国《侵权责任法》第2条首次在民事法律上明确规定了对隐私权的保护:“侵害民事权益,应当依照本法承担侵权责任。本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”但该条规定仅是提及了隐私权的概念,并未对隐私权的具体内容作出规定。
因此,《侵权责任法》第62条就成为了当时民事立法上唯一对隐私权保护作出了更为具体规定的条文,该条规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”
随后,在2017年《民法总则》第110条中,再次提到了对隐私权进行保护。那么在本次民法典编纂过程中,立法机关决定将人格权作为单独一编进行规定,使得人格权的条文写进民法典的数量能够比较充足一些,对许多人格权的规定能够充分展开。
对于个人信息的民法保护,也是迟至2017年《民法总则》第111条才专门作出规定。在民法典中,则对于隐私权和个人信息合并在一起,以专章形式进行了详细规定。
根据《民法典》人格权编的定义,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。自然人对其隐私享有隐私权,任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。而个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。自然人的个人信息受法律保护,其中个人信息中的私密信息,同时适用隐私权保护的有关规定。
本次民法典编纂过程中,对于《侵权责任法》第62条的规定予以了保留,增加了患者个人信息作为与患者隐私并列保护的对象。
二、内容
(一)医疗机构及其医务人员应当保护患者隐私权和个人信息
在患者接受医疗机构及其医务人员的诊疗过程中,医疗机构及其医务人员出于诊疗的需要会掌握患者的诸多隐私和个人信息,例如记录患者的姓名、出生日期、身份证件号码、住址、电话号码、检查身体隐秘部位、检测血压血型等身体指标、查阅既往病史、了解当前病症的成因等。在诊疗过程中,医疗机构及其医务人员所制作的病历资料真实而详细地记载了患者的许多个人私密信息,这些病历资料又形成了患者新的隐私。医疗机构及其医务人员在诊疗活动中掌握患者与病情相关的隐私是合法的,这也是顺利完成诊疗活动所必须的。但是医疗机构及其医务人员对于其所掌握的患者的隐私必须加以保密而不能泄露出去,否则便构成对患者隐私权和个人信息的侵犯。
为什么患者的隐私权和个人信息需要特别保护?因为患者的就医行为是基于个人对身体的自主控制,进而向医务人员提供自身的医疗资料。保障患者的隐私和个人信息就是对个人行使自主权的尊重。医务人员对于患者所应尽的基本伦理义务之一,就是尊重病患之医疗信息的秘密性,对于由其诊疗活动中所取得的患者医疗信息,在未得到患者同意的情况下,负有保密和不得泄露的义务。
如果患者的隐私和个人信息被泄露,必然会给患者的人格权益造成极大损害,其既往病史、身体状况、患病原因等大量的个人隐私和个人信息都将会暴露在社会大众面前,不仅会遭受各种推销广告的不断骚扰,甚至还会影响其社会形象和社会评价,给其生活造成极大负面影响。
(二)对患者隐私权和个人信息保护的例外情形
在通常情形下,医疗机构及其医务人员必须对患者的隐私和个人信息保密,但在例外的情形下,医疗机构及其医务人员也可以使用和揭露患者的隐私和个人信息。这些情形主要包括:
1.取得患者的同意
《民法典》人格权编对于隐私权和个人信息,均规定权利人的明确同意就可以排除行为人的侵权责任。因此,在征得患者同意的情况下,医疗机构及其医务人员可以对他人告知患者的隐私和个人信息,或者经过患者同意而公开其病历资料。
例如经患者同意而对其近亲属告知其病情隐私等,或者对特定对象告知其病情。再比如,经患者同意而举行会诊,与其他医疗机构的同行讨论患者病情,或者经患者同意而将其病例公开,供医疗界讨论,以寻求更优方案、促进治疗效果等。
2.为维护患者自身合法权益而实施的合理行为
当患者面临生命、身体、自由等急迫危险,客观上需要对患者进行紧急救治和保护,并且揭露患者的医疗信息给第三人知悉就可以避免该急迫危险时,一般认为此时医务人员可以为了对患者进行紧急救治和保护而泄露其隐私。《民法典》人格权编也规定,为维护权利人合法权益而合理实施的行为,可以免于承担对个人信息的侵权责任。
3.为维护社会公共利益而实施的合理行为
当患者的隐私权和个人信息保护与公共利益的保护之间存在冲突时,医疗机构及其医务人员为了维护社会公共利益免受重大危害,而泄露了患者的隐私和个人信息,违背保密义务,则应当可以予以免责。例如医生在诊疗过程中,发现病人患有某种严重的传染病,很可能传染给某特定或不特定第三人,在此种情况下,医务人员为了保护该特定第三人或社会整体人群免于被传染的重大危害,就可以在一定程度内透露患者的医疗信息。当然,此种情况下也要对医务人员有所限制,需要权衡保护患者隐私权与保护他人权利之间的关系,如果不透露患者隐私则造成社会公共利益或他人利益重大危害的可能性高且危害程度重大,则医务人员违反对患者隐私的保密义务的容许性则提高;反之则违反患者隐私保密义务的容许性则偏低。
因此,在患者对于社会公共利益或他人利益造成危害的可能性很大,且造成伤害的严重程度很高的时候,医疗机构及其医务人员就可以违反保密义务,采取合理的措施,在必要范围内揭露相关的医疗信息。而精神疾病患者以及传染性疾病患者,往往因为其疾病的特殊性质,有很大的可能性造成他人严重伤害,尤其是对患者的家属或前来探望的亲朋好友。此时医疗机构及其医务人员就可以对其透露患者的医疗信息,以防止他人遭受损害。
此外,在突发公共卫生事件中,根据《突发事件应对法》《传染病防治法》的相关规定,政府有权基于公共利益的需要,为了防止传染疾病的扩散蔓延,而对传染性疾病的患者采取一些限制性措施,例如揭露传染疾病患者的个人信息、医疗信息等给可能被传染者或社会大众,以引起注意、避免传染。在去年底开始,今年年初逐渐蔓延全球的新型冠状病毒肺炎疫情中,由于此种新型病毒传染性极强,所以各地政府对于确诊患者的住址、近期行踪都会向全社会披露,以引起大众注意,进而确定与患者的密切接触者,进行隔离观察,避免疫情进一步蔓延。
(三)医疗机构及其医务人员侵犯患者隐私权和个人信息的表现形式与侵权责任
医疗机构及其医务人员在诊疗活动中掌握患者与病情相关的隐私和个人信息是合法的,这也是顺利完成诊疗活动所必须的。但是医疗机构及其医务人员对于其所掌握的患者的隐私必须加以保密而不能泄露出去,否则便构成对患者隐私权的侵犯。根据本条规定,医疗机构及其医务人员对于患者隐私权和个人信息的侵犯有两种表现形式。
第一,泄露患者隐私和个人信息。泄露即意味着向外透露的行为未得到患者本人的同意。医疗机构及其医务人员泄露患者隐私和个人信息,常见的情形是将其所掌握的患者私人信息向外人或外界透露、公布,例如对外透露患者的病因病史等,使患者的隐私和个人信息暴露于外,遭受他人非议或进一步搜集、传播。实践中还有未经患者同意而让其他人参与到诊疗过程中,观看患者身体的隐秘部位,例如在妇科检查时组织实习医生观摩的行为,从而让患者的身体隐私暴露给外人而给患者造成精神痛苦和打击。
第二,未经患者同意而公开其病历资料。如前所述,病历资料是在诊疗过程中新形成的患者的隐私,里面可能详细记载了患者的病情、病史、症状以及治疗的进展和结果等情况。这些情况都属于患者私人信息,只是出于诊疗的需要才由医疗机构及其医务人员合法持有和保管,如果未经患者同意而加以公开,无疑构成对当事人隐私权的侵犯,从而给其带来精神上的损害。例如,某女性因流产而住院,但其并不希望他人知道这一事实,如果医院不慎将病历资料泄露,则会给患者带来巨大的精神压力和伤害,甚至导致其社会评价的降低。当然,患者的病历资料不仅对于其自身具有重要的价值,有些疑难病症治疗的病历资料对于医学界而言也具有极大的参考价值,如果一律不允许公开则不利于医学科学的发展。对此,较为妥善的做法是,在将某病历资料作为医学范例研究讨论时,应当隐去患者个人特征的身份标识,进行匿名化处理,使外人通过阅读无法判断当事人的身份,然后再征求患者本人的意见。这样就能够在患者隐私权的保护和促进医学发展之间取得某种平衡。
医疗机构及其医务人员侵犯患者隐私权和个人信息的后果,往往是导致当事人承受精神上的痛苦以及社会评价的降低,或者对其私人生活安宁带来侵扰,这种损害后果主要体现为精神上的损害。
因此,医疗机构及其医务人员实施的侵犯患者隐私权和个人信息人身权益的行为,如果造成了患者受损的事实,例如使患者承受巨大精神痛苦等,而且该损害后果与医疗机构及其医务人员的侵权行为之间存在因果关系,那么医疗机构及其医务人员就应当对患者承担侵权损害赔偿责任。当医疗机构及其医务人员侵犯患者隐私权和个人信息的行为造成了患者严重精神损害的,患者还可以请求医疗机构对其进行精神损害赔偿。
法条关联
◆《民法典》人格权编
第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
案例评议
一、金某诉北京和睦家医院有限公司案[23]
◆裁判规则
在认定北京和睦家医院是否侵犯了金某的隐私权时,法院认为,公民的隐私权受法律保护,医疗机构及其医务人员应当对患者的隐私保密;泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。本案中,《出院志》作为载有原告病情诊断、治疗经过及相关医嘱的病历材料,属于原告隐私。但根据已经查明的事实,系金某向北京和睦家医院告知由第三人支付其医疗费用,并自愿签署了《财务政策》同意北京和睦家医院向第三人提供医疗记录,而“医疗记录”不应狭义理解为医疗费账单,《出院志》作为金某就医治疗的客观记载,显然属于医疗记录的范围,故北京和睦家医院将《出院志》提供给第三人系经过了金某的同意,不构成对原告隐私权的侵犯。
◆评议
患者到医院就诊并住院治疗时,签署了《财务政策》,表明如果雇主为患者付清账户费用,则同意雇主有权获取其医疗记录以便确认相关服务的应付费用。患者出院后,医院将其《出院志》以电子邮件形式发送给患者雇主。雇主通过《住院志》了解患者存在酗酒习性后,不愿继续雇佣,终止了劳动合同。
患者认为医院侵犯了其隐私权。法院认为,患者此前签署的文件表明其同意向雇主公开其医疗信息,故医院未侵犯其隐私权。
二、杨某诉弥勒佛城医院案[24]
◆裁判规则
在认定被告弥勒佛城医院是否侵犯原告杨某的名誉权时,法院认为,《侵权责任法》第62条规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”本案被告弥勒佛城医院对原告杨某疾病的检查、诊断、治疗和按规定将原告杨某的××病毒抗体初筛阳性结果上报弥勒市卫生防疫站复查,并向原告杨某本人送达《××病毒抗体初筛阳性结果告知书》是履行正常的医疗职责的行为,也是对患者和社会负责。被告弥勒佛城医院并未向其他人散布原告杨某的××病毒抗体初筛阳性结果,没有违反有关法律、法规和规章制度,不存在侵犯原告杨某的名誉权。
◆评议
患者隐私权同一般民事主体的隐私权一样都要受到法律或公共利益的限制。当患者的病毒抗体初筛阳性时,按照卫生法律规定,医院应当将结果上报市卫生防疫站复查,这一行为系基于法律规定而实施的合法行为,故不属于对患者隐私权、名誉权的侵犯。