病历中记录了医疗活动的全过程,也记载了患者个人的健康信息。未经他人同意或授权,是否可以向医疗机构调取或复印他人病历?医疗机构在患者本人未同意或出具授权材料的情况下,可否向他人提供患者的病历?近日,北京市第三中级人民法院针对由此引发的一起隐私权、个人信息保护纠纷案作出终审判决。
案情简介
王某、徐小某曾系夫妻关系,老徐系徐小某之父。2022年,王某前往某医院调取了老徐在该医院治疗心脏病的住院病历资料,后将调取的病历资料在另案其与徐小某离婚诉讼中作为证据提交。老徐主张王某未经过其本人同意或授权,某医院即向王某提供了老徐的病历资料,王某、某医院均侵犯了其个人信息权益及隐私权,故诉至法院要求王某、某医院向其公开赔礼道歉,赔偿其精神损失及律师费。
经查,王某、某医院均认可王某调取老徐病历资料时仅提供了王某本人的身份证,未提供老徐的有效身份证明及授权委托书。王某表示,其调取老徐病历资料,系为向专家咨询治疗方案,但未提供证据予以证明。
法院判决
北京三中院经审理认为,王某未征得老徐同意或授权,前往某医院调取老徐的病历材料;某医院未尽到法定的审查义务,违规向王某提供老徐的病历材料,二者均侵害了老徐的个人信息权益及隐私权。法院判决:王某、某医院就侵害老徐个人信息权益及隐私权向老徐进行书面赔礼道歉;王某、某医院共同赔偿老徐精神损害抚慰金八千元,王某、某医院相互承担连带责任。
法官释法
1.王某的调取病历行为是否侵害了老徐的个人信息权益及隐私权?
本案中,老徐的病历资料涉及老徐本人的生理健康,既属于老徐的敏感个人信息,受个人信息保护法的保护;也属于老徐的私密信息,受民法典关于隐私权规定的保护。处理老徐的敏感个人信息应当取得其单独同意;而隐私权作为绝对权,只要老徐没有言明放弃自己的禁止权,任何人均无权刺探、侵扰、泄露、公开其隐私。根据查明的事实,王某调取老徐的病历资料,未告知老徐或征得其同意或授权。在此情况下,王某在某医院处径行调取老徐的病历资料,可以认定侵害了老徐的个人信息权益及隐私权。
2.某医院是否侵害老徐的个人信息权益及隐私权?
老徐在某医院的病历资料,属于老徐的敏感个人信息和隐私,某医院负有严格管理、保存、保密义务,不得随意泄露给他人。根据现有证据及当事人陈述,王某在向某医院申请调取老徐病历资料时,仅提供了王某本人的身份证,并未提供老徐的有效身份证明、二人之间关系的证明材料及授权委托书,故王某并不符合某医院应当受理并提供病历复印件的法定条件。而某医院在此情况下,且未经老徐本人同意,直接向王某提供老徐的病历资料,不仅未尽到法定的审查义务,亦违反了其作为医疗机构的保密义务,某医院的行为存在过错,违反了民法典第一千二百二十六的规定,构成对老徐个人信息权益及隐私权的侵害。
3.王某和某医院应如何向老徐承担侵权责任?
一方面,王某去某医院调取老徐病历资料的行为与某医院将老徐病历资料提供给王某的行为存在时空统一性,如缺失任一行为,则无法造成老徐病历资料在其不知情的情况下被泄露的后果。另一方面,现有证据虽然无法直接证明王某与某医院存在主观的意思联络,但是在一、二审期间,某医院均未向法院提交明确的证据证明王某调取病历资料的时间、提供的材料等。某医院作为专业的医疗机构,对于调取患者病历资料应提供的身份证明及相关授权手续应是明知的,而其仅凭王某本人的身份证,就将老徐的病历资料直接提供给王某,其行为不符合相关规定,明显存在过失。王某作为心智成熟的自然人,应知晓老徐的病历资料属于老徐本人的医疗健康信息,与老徐本人密切相关,如其确系需要将其作为证据提交,应以合法的方式收集和提供证据,而其在未向老徐告知且未经老徐允许的情况下,径行在某医院调取老徐的病历资料,其行为亦存在过错。因此,王某在某医院调取老徐病历资料的行为与某医院将老徐病历资料提供给王某的行为,直接结合造成了老徐病历资料被泄露的损害后果,属于共同侵权,二者应向老徐承担连带赔偿责任。
法官提示
在数字化时代,医疗信息的存储、传输和使用变得更加方便,但也容易造成医疗信息被泄露的风险。病历属于医疗健康信息,具体是指医务人员在医疗活动过程中形成的文字、符号、图表、影像、切片等资料的总和,包括门(急)诊病历和住院病历,以及病历归档以后形成病案。病历与患者密切相关且具有可识别性,属于患者的敏感个人信息和私密信息,依法受法律保护。
对于自然人而言,应当尊重其他权利人的个人信息权益和隐私权,在法律无明确规定或未经权利人明确同意的情况下,不得非法收集、使用、传输、提供、公开其他权利人的个人信息及隐私。
对于医疗机构及医务人员而言,负有对患者隐私和个人信息保护的义务,应当建立健全病历管理制度,加强对医务人员的培训和监督,尊重和保护患者的隐私和个人信息安全,避免发生不必要的纠纷。
法条链接
一、《中华人民共和国民法典》
第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第一千零三十二条 自然人享有隐私权。任何组织和个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
第一千零三十三条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;(三)拍摄、窥视、窃听、公开他人的私密活动;(四)拍摄、窥视他人身体的私密部位;(五)处理他人的私密信息;(六)以其他方式侵害他人的隐私权。
第一千零三十四条 第二款个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千二百二十六条 医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
第一千一百六十八条 二人以上共同实施侵权行为,造成他人损害的,应当承担连带责任。
二、《中华人民共和国个人信息保护法》
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
三、《中华人民共和国基本医疗卫生与健康促进法》
第三十三条 第一款公民接受医疗卫生服务,应当受到尊重。医疗卫生机构、医疗卫生人员应当关心爱护、平等对待患者,尊重患者人格尊严,保护患者隐私。
第九十二条 国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织和个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。
四、《医疗机构病历管理规定》
第十七条 医疗机构应当受理下列人员和机构复制或者查阅病历资料的申请,并依规定提供病历复制或者查阅服务:(一)患者本人或者其委托代理人;(二)死亡患者法定继承人或者其代理人。
第十八条 医疗机构应当指定部门或者专(兼)职人员负责受理复制病历资料的申请。受理申请时,应当要求申请人提供有关证明材料,并对申请材料的形式进行审核。(一)申请人为患者本人的,应当提供其有效身份证明;(二)申请人为患者代理人的,应当提供患者及其代理人的有效身份证明,以及代理人与患者代理关系的法定证明材料和授权委托书;(三)申请人为死亡患者法定继承人的,应当提供患者死亡证明、死亡患者法定继承人的有效身份证明,死亡患者与法定继承人关系的法定证明材料;(四)申请人为死亡患者法定继承人代理人的,应当提供患者死亡证明、死亡患者法定继承人及其代理人的有效身份证明,死亡患者与法定继承人关系的法定证明材料,代理人与法定继承人代理关系的法定证明材料及授权委托书。