一、问题曝光 2025年7月,上海市闵行区人民检察院在履职中发现异常现象:部分市民在亲属离世后立即接到殡葬服务推销电话。
经立案调查确认,2021年7月至2025年3月期间,辖区某医院医生通过全市疾控信息系统违规调取死亡报告,急救人员利用救护车显示屏获取患者亲属信息,累计泄露包含住址、联系方式等敏感数据800余份,非法获利链条涉及多家殡葬机构。
二、漏洞溯源 调查显示,涉事医院未对疾病控制信息管理系统实施分级权限管控,任何持有密钥的医生均可查阅全市死亡病例;急救中心则存在车载显示屏信息裸露、未建立亲属回访核实机制等缺陷。
根据《个人信息保护法》第六十六条规定,此类违法行为最高可处100万元罚款,但涉事单位此前未落实数据安全主体责任。
三、社会危害 此类精准营销行为不仅侵犯公民隐私权,更对处于悲痛中的丧属造成二次伤害。
法律专家指出,医疗数据具有特殊敏感性,根据《民法典》第一千二百二十六条,医疗机构泄露患者隐私应承担侵权责任。
此次事件暴露出医疗信息化建设中"重共享轻保护"的倾向,可能影响公众对医疗体系的信任度。
四、系统整改 闵行区卫健委接检察建议后成立专项工作组: 1. 行政处罚:对涉案医院处以警告并罚款,涉事医生被暂停执业,外包急救人员解除劳动关系; 2. 技术升级:市级疾控系统实施权限分级管理,救护车显示屏隐去非必要信息,驾驶室加装监控设备; 3. 制度完善:建立医疗数据全流程审计机制,将个人信息保护纳入医务人员年度考核。
五、长效监管 此次案件推动上海卫健系统开展数据安全百日攻坚,重点检查全市287家医疗机构的信息管理制度。
检察机关表示,将持续关注教育、金融等重点领域的公民信息保护,探索"刑事+行政+公益诉讼"三位一体的监督模式。
个人信息保护已成为法治建设和社会治理的重要课题。
这起上海医疗系统信息泄露案的曝光和查处,既反映了当前存在的现实问题,也体现了我国通过检察公益诉讼机制强化个人信息保护的有效探索。
从泄露到查处、从问题到整改的完整链条,充分说明了多部门联动、依法行政的重要性。
展望未来,只有医疗机构、监管部门和社会各界形成合力,切实树立个人信息保护的红线意识,才能真正保护好群众的隐私权益,维护社会信任基础。
这起典型案例的公开,也将进一步警示医疗系统和其他涉密部门,个人信息不是可以随意交易的商品,违法泄露必将付出沉重代价。