图片由AI生成

　　□ 谢欣怡

　　日前，上海市民姜先生向媒体披露，多家医院的互联网服务存在隐私泄露隐患：仅凭姓名和身份证号即可绑定他人为就诊人，直接查看电子病历、检查报告等一系列隐私信息。

　　这源于其朋友李女士的真实遭遇——离婚后，她的前夫在两年间持续利用该漏洞登录上海多家医院的系统，非法获取并恶意传播李女士的个人病历和检查报告以此泄愤，对她造成了精神困扰与人格伤害。

　　诊疗记录属于高度敏感的个人隐私，其安全应受到严格保护。然而现实中，本应被保护的信息却频频暴露于风险之中，给患者带来了诸多困扰。

　　个人医疗信息遭泄露

　　在社交媒体平台调查发现，不少人与李女士有相似遭遇。求职者小雨（化名）表示，自己在某段时间因身体不适就医，公司通过非正规途径获取了她的开药记录和检查报告。“HR不仅以此质疑我的身体状况能否胜任岗位，还在协商离职时暗示，如果我不接受较低的补偿方案，就将这些医疗记录提供给下家单位。”最终，她只好接受不公平的离职条件。

　　一位网络女主播的遭遇则更为极端。“黑粉”非法获取她的个人信息，扒出她曾在妇科的诊疗记录，不仅在网络上传播，还对她进行持续的侮辱谩骂和恶意造谣。“看到自己的病历被到处传播，我感觉全身发冷。”该主播表示，这件事让她陷入严重的焦虑，不得不暂停工作接受心理疏导。

　　针对以上现象，北京德恒（郑州）律师事务所律师邢家衡表示，在法律界定上，医疗健康信息属于民法典保护的“个人信息”范畴，医疗机构负有法定义务，对就诊者的隐私进行保密。仅凭姓名和身份证号绑定他人病历信息，直接侵害了就诊者的隐私权、个人信息权及人格尊严权。“医疗信息包含疾病史、诊疗记录等高度敏感内容，一旦被泄露，就诊者可能会面临社会歧视、心理创伤或家庭关系破裂等现实困境。”邢家衡补充道，“尽管违法者需承担民事侵权责任，但就诊者受到的伤害是不可逆的。”

　　此外，特别是在离婚纠纷、职场竞争等特殊场景中，该医疗漏洞极易被恶意利用，使就诊者遭受二次伤害。更严重的是，这些泄露的医疗信息可能被用于敲诈勒索等违法犯罪活动，不仅损害就诊者利益，更将动摇公众的就医安全感。“此类案件暴露了部分医疗互联网服务‘重便利轻安全’的弊端，易引发公众对医疗系统的信任危机。”邢家衡说。

　　隐私保护水平参差不齐

　　目前，部分医院已建立了严格的验证体系。例如，中国人民解放军总医院（301医院）、北京市和平里医院、大兴区人民医院均要求，在完成姓名与身份证号的基础校验后，必须进行人脸识别验证，以确保是本人操作。大兴区人民医院在其App中明确说明，为响应国家卫生健康委的实名就医管理要求，所有患者必须经过实名认证后方可进行预约及诊疗活动。

　　另一些医院则通过“关键信息核验”强化安全屏障。河北大学附属医院要求绑定时填写的手机号必须与患者在医院档案中预留的号码完全一致，这从源头上控制了非本人绑定的风险；华中科技大学同济医学院附属同济医院采用证件照审核机制，要求就诊人上传身份证正反面照片进行系统识别，大大降低了冒用的风险。

　　然而，医疗机构在患者隐私安全保护方面存在显著差异，部分医院的系统验证机制较为薄弱。在某医院微信小程序输入就诊人姓名、身份证号和任意数字作为手机号后，下方会直接显示该就诊人的院内就诊卡信息（含卡号、门诊号），点击即可成功绑定。在该小程序内可以直接调阅就诊者2022年、2023年曾做过的检查及超声报告单，而整个过程中，就诊者本人不会收到任何形式的操作通知或安全提醒。

　　便利性与隐私保护须平衡

　　“低门槛验证”的背后，折射出医疗机构在便民服务与隐私保护之间的取舍困境。多家医院工作人员解释，互联网服务在设计时优先考虑考量了家属“代办”的现实需求。“比如子女帮助年迈父母查询检查结果，或是家人在患者手术时代为办理业务，这些场景在实际诊疗中十分普遍。”某三甲医院的一名知情人士表示。然而，这种以“便民”为首要目的的设计理念，在面对恶意查询时却显得不堪一击。

　　法律层面早已对此有明确规定。《中华人民共和国民法典》第一千二百二十六条要求医疗机构及其医务人员应当对患者的隐私和个人信息保密。邢家衡指出：“这为个人信息保护提供了法律保障，但部分医院互联网服务存在‘便利优先’的漏洞，可能会导致法律保护形同虚设。”

　　若患者遭遇医疗隐私泄露，该如何有效维权？对此，邢家衡建议：“一旦发现病历信息可能被非法查阅或泄露，患者应第一时间通过截图、录屏等方式，完整保存他人账号绑定记录及信息传播路径，并公证相关电子证据。”他指出，患者有权要求涉事医院立即注销非法的账号绑定，同时可向公安机关报案，必要时申请禁止令以制止侵害行为的持续发生。此外，他还建议患者同步向当地卫生健康委举报医院存在的系统安全漏洞，并向网信部门投诉个人信息泄露情况。

　　目前，在舆论监督与法律规范的双重推动下，一些医院已进行整改。据了解，上海市第六人民医院和徐汇区中心医院近期均对互联网服务系统进行了调整，分别增加了身份证照片上传和人脸识别环节。今年7月，武汉市民童女士曾在新媒体平台公开反映，她在武汉大学中南医院仅凭身份证号和姓名即可查阅全部诊断报告。该医院小程序近期已升级并新增了人脸识别验证环节。

　　从最初关注便利性，到如今引入多重验证机制，医疗系统在数字化进程中正在逐步完善隐私保护体系。未来，如何在保障患者隐私安全的前提下持续优化便民服务，仍需整个行业的共同努力。