别光学习《医师法》，《个人信息保护法》也很重要

《医师法》通过后，现在医疗领域都在热议医师法的相关亮点，很少有人关注《医师法》中这句话的变化以及涉及的内容，即《医师法》第23条“医师在执业活动中履行下列义务： （三）尊重、关心、爱护患者，依法保护患者隐私和个人信息”。对比《执业医师法》的相关内容，发现《医师法》比《执业医师法》多了“依法保护…个人信息”，而《医师法》与《个人信息保护法》均于2021年8月20日通过，且后者将于2021年11月1日正式施行，在学习和适用时间上更为紧迫。同时，《医师法》是在原《执业医师法》的基础上修订而来的，医疗卫生机构管理者和医师对《医师法》中的很多条款内容应该都比较熟悉，但是《个人信息保护法》对医疗卫生机构管理者和医师来说，则是一部真正的新法，尤其是医疗卫生机构本身就涉及大量的患者个人信息，也属于强监管的领域和对象。加之，“依法保护患者的个人信息”也属于医师的法定义务范畴，可见，医疗机构如何加强对《个人信息保护法》的学习和适用是当前亟待解决的问题。

1、个人信息泄露事件引发的思考

当前，医疗卫生机构和医务人员泄露患者的个人信息时有发生，医疗机构对于发生患者信息泄露的事件，多以处理当事医务人员了事，而对于非当事医院的管理者来说，多被当成饭后谈资或是“别人家的事”，甚少思考个人信息泄露事件背后的成因和如何避免该类事件发生。

医师如何去履行《医师法》中“依法保护患者的个人信息”义务？医师在履行前述义务时，是否有必要熟悉下列事项：（1）哪些属于患者的个人信息？是否分类管理？(2)对患者个人信息的相关法律法规及规章是如何规定的？（3）如何去保护患者的个人信息？（4）患者个人信息泄露后的法律后果有哪些？（5）发生患者个人信息泄露后如何救济？（6）患者对其个人信息享有哪些权利？（7）哪些情形下应取得患者的同意？哪些情况下则无需取得患者的同意？……等等。

如果医师不熟悉上述内容，则难以依法履行保护患者的个人信息的义务，故作为医师所在的单位（即医疗卫生机构）则应建立个人信息保护的系列内部管理制度和操作规程、采取相应的安全技术措施，设定相应的操作权限，并教会医师们，以便于他们熟悉掌握，进而避免或降低医师的执业风险。

2、加强患者个人信息保护的重要性

随着智慧医院的建立、电子病历普及、病历缩微、远程医疗、互联网医院、区域或医联体内数据共享、数字疗法应用、APP的应用、分级诊疗、家庭医生签约、公共卫生数据直报、药物临床试验及人工智能技术在临床推广实施，患者个人信息在机构内不同科室、部门收集、存储、使用、加工、传输、提供等情形；医院在对外合作方面，如大型医疗设备的维保、信息中心软硬件的维保、药物试验、公共卫生、网络云存储等也存在个人信息的收集、存储、传输等行为。前述情形均存在患者个人信息泄露风险，所以医疗卫生机构也属于《个人信息保护法》中的个人信息处理者。

对于违反《个人信息保护法》的行为，规定的法律责任比较严重。《个人信息保护法》第66条规定“情节严重的，除没收违法所得，并处五千万以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关部门吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万以上一百万以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。

3、保护患者个人信息的具体举措

我们在学习《医师法》的同时，医疗卫生机构也应尽快组织医院管理层、业务辅助支持部门（信息网络中心、总务后勤、设备科、采购中心等）、全体医务人员学习《个人信息保护法》，并结合医疗卫生机构的工作实际，梳理医疗卫生机构在个人信息保护的存在的漏洞，建立风险清单。同时，结合《个人信息保护法》相关规定，完善以下举措：

（1）制定相应的个人信息内部管理制度和操作规程，对个人信息实行分类管理；

（2）采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的权限，并定期对从业人员进行安全教育和培训；

（3）制定并组织实施个人信息安全事件的应急预案，也可结合国家网信部门的相关规定，指定个人信息保护负责人；

（4）定期对其个人信息遵守法律行政法规的情况进行合规审计；

（5）对处理敏感个人信息、向境外提供个人信息等情形应在事前进行个人信息保护影响评估并留存相应的记录；

（6）完善个人信息泄露后的补救措施和通知义务制度。

说重点，建议：医疗卫生机构及时建立健全个人信息保护合规管理体系！！！