近日，山東孕婦小劉突然收到一條某月子中心加“好友”的申請，對方對其電話、住址、懷孕周數等各種隱私信息了如指掌。因小劉剛在當地一家醫院和婦幼保健院做完產檢，并且此前從未在任何機構留下孕產信息，覺察出異樣的她立即撥打12345進行了投訴。醫院客服隨后回復小劉稱，可能是月子中心冒用醫院名義進行推銷。工作人員表示，這類事件“并非第一次發生”，醫院承諾徹查此事，并希望小劉配合取證追責。

然而，小劉的遭遇并非個例。近年來，醫療信息泄露事件時有發生：北京某醫院員工符某某將明星病歷發至微信群炫耀，導致隱私擴散；上海某醫院主任私下傳播患者**，被暫停執業。

《醫療信息“破防”》 漫畫：高岳

更令人憂慮的是，在互聯網上花錢就能查到他人的醫療記錄。在某社交平臺上，一個IP歸屬地為境外的社交賬號曾于今年4月中旬發布一條名稱為“歷史醫療記錄，醫保記錄，精準出；婚前健康檢查等個人隱私隨便查”的帖子，只需提供手機號、身份證號、城市，即可查詢詳細醫療記錄，售價為1200元。

還有一些“開盒者”會將大量醫療信息非法曝光，并進行惡意揣測。一些人的體檢報告、內臟、骨科的彩超圖片被非法公開，成為他人窺伺、意淫的對象；還有人的婦科、精神科醫療報告被非法公開，被他人肆意點評、嘲諷。

中國政法大學證據科學研究院教授、中國政法大學醫藥法律與倫理研究中心主任劉鑫認為，可能的泄露途徑主要有以下幾種：

最高人民檢察院曾通報這樣一起典型案例：保健按摩中心的經營者吳某甲、吳某乙為擴大客源，向某醫院產科主管護師韋某提出，由韋某提供產婦信息，并承諾每發展一名客戶就給韋某50元或60元報酬，若客戶后續辦卡消費則另外向韋某支付10%的提成。截至案發，韋某向吳某甲、吳某乙出售包括產婦姓名、家庭住址、電話號碼、分娩日期、分娩方式等在內的產婦健康生理信息500多條。

在浙江某婦產醫院32名產婦信息泄露事件中，罪魁禍首是一款第三方簽到軟件。該軟件違規上傳孕周、預產期等數據，最終流入黑產市場。四川省某精神衛生中心2.7萬份患者檔案被盜，則是因省級醫療信息共享平臺接口未做好加密工作，遭黑客輕易攻破。

據上海市網信辦近期通報，一批醫療服務類互聯網企業未依法履行網絡安全、數據安全保護義務，所屬系統存在網絡安全漏洞，被境外IP訪問并竊取，發生個人信息泄露情況，上海市網信辦已依法對這批企業作出行政處罰。

《法治日報》律師專家庫成員、北京市盈科律師事務所高級合伙人于揚舟律師指出，首先可能承擔民事侵權責任。民法典第一千零三十二條、第一千零三十四條對公民隱私和個人信息的保護作出明確規定，第一千二百二十六條規定了醫療機構及其醫務人員應當對患者的隱私和個人信息保密。泄露患者的隱私和個人信息，或者未經患者同意公開其病歷資料的，應當承擔侵權責任。

其次，可能會承擔行政責任。根據《中華人民共和國基本醫療衛生與健康促進法》《醫療糾紛預防和處理條例》等，醫生泄露患者隱私可被縣級以上衛生主管部門給予警告、罰款。醫師法第五十六條、護士條例第三十一條規定，醫師和護士在執業活動中泄露患者隱私或者個人信息的，會受到縣級以上衛生主管部門警告、暫停執業活動，直至吊銷執業證書的行政處罰。

最后，也可能涉及刑事責任。根據刑法第二百五十三條之一的規定，醫院或者醫務人員，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人，情節嚴重的，可能涉嫌侵犯公民個人信息罪，并且應當從重處罰。

劉鑫表示，醫療記錄被泄露屢禁不止，深層原因有很多。一是管理失職，職能部門對隱私界定模糊（如“就醫痕跡是否屬于隱私”），未細化員工行為規范；二是利益驅動，醫務人員販賣信息獲利空間大（如每條產婦信息售價50元），且查處困難，查處概率低；三是相關社會頑疾，比如公民個人信息買賣猖獗、騷擾電話精準投放等暴露治理手段失效。

破局之道應該從“追責個人”到“系統治理”，比如強化警示教育，制作泄露隱私典型案例的警示片，組織相關崗位人員學習；完善連帶問責機制，不僅處罰泄露者，還需追責機構管理者，倒逼醫療機構加強內部管控；嚴打黑產鏈條，加大對數據交易平臺、非法買家的打擊力度，提高違法成本；借鑒國際經驗，規定只有在必要時才能調閱病歷，降低數據泄露風險。