在事件引发舆论之后,公安机关做出调查,是叶某工作中将接到的随访人员名单信息转发至所在公司微信群,另外两人也是这样把名单发到了家人群里,引发的名单泄漏。当地警方已经依《治安管理处罚法》,对造成泄漏的3人给予行政拘留的处罚。
病患的诊疗信息,包含个人病史、财务能力(社会保险号码、银行账号信息)、家庭关系等敏感信息,一旦遭遇窃取盗用,小到寻医问药、大到医疗保险、信用记录都可能受影响,而与疾病相关联的污名化,则使得病患遭受超出疾病和治疗本身带来的痛苦。为此,《基本医疗卫生与健康促进法》第92条规定:任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。
美国波莱蒙研究所(Ponemon Institute)发布的《2015年数据泄漏的成本研究》称,全世界范围内泄漏每条诊疗信息所致的社会成本为363美元。因此,信息化水平发达国家非常重视信息泄漏后的处置策略。
2018年7月,新加坡通讯及新闻部和卫生部通报称,之前黑客以恶意软件入侵新加坡保健服务集团(Sing Health)的系统,盗取了150万名患者的个人信息,16万人的门诊开药记录遭窃。在医疗信息泄漏之后,新加坡卫生部联合通讯及新闻部向公众披漏了事件的经过,部长颜金勇公开道歉;新加坡保健服务集团还通过手机短信、信件联络这150万名受影响的公民。
美国《健康信息技术与经济及临床健康法》要求,责任机构发现泄漏行为已发生,或合理相信已发生时,应通知信息来源者其病历细节已被不当接触、获得或泄露,且不应有不合理的迟延。若通知的规模超过10人以上时,应通过自家网站或主要报纸或广播加以通知,并应提供免费电话供大众咨询。若超过500人时,则应在该州的主要媒体上发出通知。
个人信息被泄漏之后的及时通知、预警机制,应该成为个人信息保护体系的重要组成部分。直白地说,责任主体不能对个人信息泄 讳疾忌医。
在我国,《网络安全法》第42条规定,“网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。但是,这一制度执行情况却不尽如人意。近年来,海量的用户信息泄漏事件反复发生,但是鲜见责任主体主动披露,有些甚至在事件闹得沸反盈天之后,才应对姗姗来迟。
更得追问一句,6000人名单的泄漏,真的只有这3个人的法律责任?这么大体量的敏感名单,本身有没有做好信息保护工作?为什么一个“公司员工”就可以随随便便接触到,并可以随手转发?还有多少人有过这样的“犯错机会”?
防患未然胜过亡羊补牢。因此,防止信息泄漏还是要从源头做好防范工作。譬如加强警示教育,让每一位接触信息的人员知晓信息泄漏的危害以及可能要承担的法律责任,并要求其作出保密承诺。再譬如,尽量严格执行个人信息保护“最小范围原则”,从源头上减少相关人员和机构收集或近用个人信息的规模等。