加强个人信息保护，医院绝不能“含糊”！

裁判要旨

本案中作为医疗单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或非法提供给他人，违反国家规定，造成社会影响恶劣。针对此类违法现象，法院将加大对公民个人信息安全的保护力度，依法严惩侵犯公民个人信息行为。

案情简介

2011年至2013年9月，被告人郑某、杨某分别担任雀巢（中国）有限公司西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理期间，为了抢占市场份额，推销雀巢奶粉，授意该公司员工被告人杨某某、李某某、杜某某、孙某通过拉关系、支付好处费等手段，多次从兰州某甲医院、兰州某乙医院、兰州某丙医院医院等多家医院医务人员手中非法获取公民个人信息。其中，被告人郑某非法获取公民个人信息40507条;被告人杨某非法获取公民个人信息45659条;被告人杨某某非法获取公民个人信息20085条，被告人李某某非法获取公民个人信息14163条，被告人杜某某非法获取公民个人信息10448条，被告人孙某非法获取公民个人信息963条。期间，被告人王某某利用其担任兰州某甲医院妇产科护师的便利，将其在工作中收集的公民个人信息2074条非法提供给被告人杨某某、孙某，收取好处费13610元。被告人丁某某利用其担任兰州某乙医院妇产科护师的便利，将其在工作中收集的公民个人信息996条非法提供给被告人李某某，收取好处费4250元。被告人杨某甲利用其担任兰州某丙医院医院妇产科护师的便利将其在工作中收集的公民个人信息724条非法提供给被告人杜某某，收取好处费6995元。

法院观点

一审法院认为：被告人郑某犯侵犯公民个人信息罪，判处有期徒刑一年六个月，缓刑二年，罚金4000元；被告人杨某犯侵犯公民个人信息罪，判处有期徒刑一年六个月，缓刑二年，罚金4000元；被告人杨某某犯侵犯公民个人信息罪，判处有期徒刑一年，缓刑一年，罚金3000元；被告人李某某犯侵犯公民个人信息罪，判处有期徒刑十个月，缓刑一年，罚金2000元；被告人杜某某犯侵犯公民个人信息罪，判处有期徒刑八个月，缓刑一年，罚金2000元；被告人孙某犯侵犯公民个人信息罪，免予刑事处罚；被告人王某某犯侵犯公民个人信息罪，判处拘役六个月，缓刑十个月，罚金1000元；被告人丁某某犯侵犯公民个人信息罪，判处拘役五个月，缓刑六个月，罚金1000元；被告人杨某甲犯侵犯公民个人信息罪，判处拘役四个月，缓刑六个月，罚金1000元。

二审法院审理认为：

（1）上诉人郑某、杨某、杨某某、李某某、杜某某、原审被告人孙某违反国家有关规定，非法获取公民个人信息，情节严重的犯罪事实及上诉人王某某、丁某某、杨某甲作为医疗单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或非法提供给他人的犯罪事实，不仅有案件来源及视频资料，且有证人证言，书证账户明细、合同等证实，各上诉人对其犯罪事实亦供认不讳，上述证据间能够形成完整的证据链，足以认定。

（2）单位犯罪是为本单位谋取非法利益之目的，在客观上实施了由本单位集体决定或者由负责人决定的行为。雀巢公司政策、员工行为规范等证据证实，雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为，各上诉人违反公司管理规定，为提升个人业绩而实施犯罪为个人行为。

（3）关于非法获取的产妇信息数量的认定，依据公安人员依法查获的电脑硬盘中存储的信息汇总后认定各上诉人非法获取公民个人信息的数量。原审法院充分认定各上诉人犯罪情节的基础上，在法律规定范围内予以从轻处罚，量刑适当。故各上诉人所提上诉理由均不能成立。关于辩护人所提各上诉人无罪的辩护意见与查明事实不符，不予支持。

分析要点

一、患者的个人信息受法律保护。

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简 称“《 解释》”）第一条规定“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯 联系方式、住址、账号密码、财产状况、行踪轨迹等。《个人信息保护法》第四条规定，自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

本案中，被告王某、丁某等作为作为医疗单位的工作人员，利用职务便利收集获取产妇个人信息，出售或非法提供给他人，违反国家规定，造成社会影响恶劣。

二、医务人员侵犯公民个人信息将从重处罚。

根据现行《刑法》，“侵犯公民个人信息罪”是指违反国家有关规定，向他人出售、提供公民个人 信息，或者通过窃取等方法非法获取公民个人信息，情节严重的行为。对于信息提供方而言，违反国家有关规定向他人出售或提供公民个人信息属于犯罪行为。由于《刑 法修正案（九）》将“侵犯公民个人信息罪”的犯罪主体从“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”扩大到一般主体，所以同时增加了该罪的“从重处罚”情节，适用于将“在履行职责或者提供服务过程中”获取的公民个人信息非法出售或提供给他人的“特殊主体”。

对于特殊主体而言，如果将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，涉案信息数量、违法所得数额只要达到一般主体的一半，即可认为“情节严重”。《解释》第五条第（四）项规定，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全 的公民个人信息五百条以上的；非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”。

防范要点

1.医疗机构应设立相关规章制度，健全监督管理机制，在保护患者隐私及个人信息方面，应重点加强风险管控措施：

（1）对医院内的计算机系统进行基础安全保护措施，例如部署SSL证书，对数据进行了加密处理，可以很好的防止用户隐私信息，如用户名、密码、交易记录、居住信息等被窃取和纂改，防止黑客入侵。

（2）树立医护人员个人账号个人负责制度，对利用医护人员在医院信息系统盗取患者个人信息的行为要进行严格的追责，培育医护人员对于网络安全的防护意识，并坚决打击工作人员非法获取个人信息的行为。

（3）要建立健全严格的信息安全监督管理制度，严格管理涉及患者个人信息，并加强对医护人员职业规范和法律意识的培训，提高医护人员信息保护的意识。

2.医务人员应该依法执业，规范诊疗行为，恪守职业道德准则、品质、情操，尊重患者，将保护患者隐私和个人信息安全变为自觉行为，避免类似事件再次发生。

出品人/ 湖南锐和律师事务所 医事法苑 整理

编辑/ 湖南省医院协会品牌建设与健康传播专委会

图片来源于网络