林亚男，孙绍荣

（上海理工大学 管理学院，上海 200093）

信息泄露问题由来已久，并且一直困扰着普通民众。随着科技的发展、泄露渠道的增多和涉及经济利益的加大，医院信息泄露问题更是引发了社会和政府的关注。近年来殡仪馆间的激烈竞争使得一些商家看到了从医院获得病人信息的好处，医院在信息管理制度上的不足和医院内部参差不齐的人员素质给了商家利用金钱诱惑获取信息的可能。病者家属在逝者消息确定不久，甚至病人仍在抢救时就接到殡仪馆的电话，这是对逝者家属的另一重心理伤害。本文运用制度学对医院现有的管理制度和内部工作人员行为进行分析，运用效用理论比较分析行为人行为选择，并从制度、教育、法律等方面提出了治理不良行为人行为的意见，提出了用心理成本来判断该制度是否可行的观点，为研究医院逝者信息泄漏问题提供了新的思路。

1 文献综述

医院的信息管理研究主要从人、设备和制度3个方面进行。其中，对人的管理主要在于促进工作人员的个体素质提升，如王文菁[1]提出加强监督管理和医务工作人员的职业技能、职业道德的培养与教育工作等建议。对设备的研究主要体现在如何准确进行信息资料的传输，以减轻人力负担，避免失误，如Qiu 等[2]通过实验数据证明建立与应用医院信息系统能够减少医疗失误，降低医疗成本，从而提高医院服务和管理效果。但信息的大量传输也带来了信息泄漏的危险，一部分学者从限制设备访问权限角度进行信息管理。如Jeong 等[3]建议使用动态身份验证方法来访问信息系统以避免不相关人员接触信息资料的可能，然而这种方式对拥有权限的内部人员并不能起到很好的约束作用。因此，一部分学者尝试从制度规范角度进行信息管理，如康敬梅[4]针对医院档案信息化建设过程中出现的问题，提出完善管理制度的建议。国内关于制度的研究还只停留在初步设想阶段，并未对制度设计的具体方面进行分析，鉴于此，本文从制度设计的条件这一角度对医院内部不良行为人信息泄漏这一不良现象进行深入研究。

设计制度时要考虑诸多因素，首先需要考虑其有效性。Stiglitz[5]提出由于真假信息混杂，所以制度设计时应遵循一定的原则。制度的设计需要进行合理性检验，崔驰等[6]通过对公共品进行自愿捐赠机制试验，得出外生制度检验制度的有效性，内生制度通过约束行为来检验制度稳定性的结论。制度的设计需要考虑个体行为的复杂性，如孙绍荣[7]提出的行为发生三要素：项目、资源、回报[8]，为行为控制研究提供了理论依据。公共选择理论常用来研究群体行为，其理论核心是“理性人”假设[9]。“理性人”假设指人们能够准确地判断不同方案的实际效用，并能够根据判断结果准确地选择效用最大的行为。选择效用最大的行为意味着个体的行为选择具有优先度。不同于以往研究只考虑经济因素，孙绍荣[10]的制度工程学考虑到文化、社会的奖惩因素，从制度本身出发，综合考虑设备对人的行为的影响，为研究医院内部不良行为人信息泄漏行为提供了新的思路。在实际运作中，制度确定后，个体遵从制度的程度受到制度执行的难易度、不执行制度的惩罚程度以及个体对不同惩罚程度的心理成本所影响。考虑到个体差异，本文运用心理成本这一理念。李继先[11]提出心理成本为进行个人行为需要投入的情感和人格，其值的大小受到心理需求、价值观等影响。Smith[12]考虑到环境、心理等因素，对如何管理学龄前儿童课堂的不良行为提出了建议。综合以上在行为管理方面的研究成果，针对医院逝者信息泄露加剧的情况，考虑心理成本对个体行为的影响，对现有制度提出改进意见，对医院逝者信息泄露的发生条件及制度的有效性进行研究，不仅为医院的信息化管理建设提供了思路，也为完善医院管理制度提供理论框架。

2 医院管理现状分析

HIS系统（hospital information system）是为医院管理特定开发的信息管理系统[13]，因其存储库存大、模块清晰、实时反馈等优势被医院广泛应用。HIS系统虽然提高了医院的管理效率，但也隐藏着信息泄漏的风险。信息泄露的途径主要分为两类：网络黑客攻击HIS系统获取资料进行售卖和医院内部人员将信息卖给商家。对于第一种泄露途径更多的是需要技术和政府的支持，例如医院可以运用防火墙软件来降低电脑被入侵和中病毒的风险，以及提高信息人员的技术水平，对于可能出现的漏洞进行及时补救和预防。政府在加强法律对黑客违法行为处罚力度的同时也要重视对技术型人才的培养。本文仅对第二种泄露途径中医院内部人员泄露逝者信息的行为进行分析并对现有制度进行改进。

2.1 行为人介绍

针对医院出现病人刚被宣布死亡，或者仍在手术抢救中就有殡仪馆工作人员打扰逝者家属的情况，现对病人从入院到住院到手术无效死亡的过程中可能导致信息泄漏的人员及其行为进行分析。根据行为人工作的性质分为两类：一是有正规权限可以登录到HIS系统的行为人如医生、护士，医生和护士可以分别登入医生工作站和护士工作站查询到病人家属的联系方式；二是无法接触HIS系统的行为人如护工，护工的选择方式有两种，一种是病人家属从护工公司或者社会中寻找的陪护人员，另一种是医院自行安排的人员。这两种护工的行为都受到一定的约束，即当护工服务不合格时，家属有更换人员的权利。根据病人病情以及家属意愿，护工可以采取一对一或者一对多的服务模式[13]。

2.2 泄漏行为发生条件

根据行为人工作的性质，对其发生信息泄漏的原因进行归纳：

a. 行为人信息泄漏的心理成本较低。因心理成本具有无形性特点，本文采用孙绍荣教授提出的心理成本概念[10]，即信息泄露引起的惩罚。不同行为人所处环境、职位、性格的不同，愿意进行信息泄漏的心理成本也不同。不同行为人心理成本取值区间设为0～10，分值越高则表示抵抗外界诱惑能力越强。对于本身心理成本低于商家报价的行为人来说，他们进行信息泄漏的概率要高于本身心理成本高于商家报价的行为人。

b. 行为人自由度高，监控力度低。医院人员流动大，医院的管理制度通常是对行为结果的惩处，对行为的监控以及控制不良行为发生概率的管理条例甚少。医生和护士不仅能够登入HIS系统接触大量患者信息且拥有独立办公环境，通常办公室人员少且无摄像监控[14]，运用外延设备如USB对患者信息进行拷贝或者手机、相机等设备进行通讯或摄像进行泄漏被查处的概率极低。护工和病人接触机会多，能实时了解病人的身体状况，除照顾病人外无固定场所，流动性强，可以用电话通知殡仪馆工作人员。

c. 医院管理制度不够完善。2017年6月，最高人民法院和最高人民检察院就个人信息被侵犯等10种违法行为的处罚规定进行了联合声明，法律的条例根据信息泄漏的数量程度进行不同金额的等级处罚，情节严重的采取刑事处罚，但很多企业仍未对信息泄漏进行明确规定，作为掌控众多国民信息的医院对信息泄漏的处罚也没有明确而具体的规定。

3 行为人信息泄漏孙氏图模型分析

3.1 模型介绍

医院制定的行为管理制度结构中，制度部件是最基本的结构单元，制度部件可以是执行人、机器设备甚至是更加细分的制度。为清晰、方便地研究行为管理制度，孙绍荣教授开发了一种专门描述制度结构的符号图即孙氏图，运用抽象符号代表制度部件并通过一定的逻辑绘制。孙氏图研究行为管理制度的可实施性在于行为发生的3个必要条件，即行为资源 r 、行为机会 P、行为效用 U 。其中，行为资源指进行行为所需要的消耗品，行为机会决定了行为发生的可能性，通常用概率来表示。行为机会受观测器等环境因素影响较大，因此在改进制度中可以通过降低行为机会来达到约束行为的目的。从理性人角度出发，当行为效用为正时，行为人才有选择行为的可能，行为效用可以通过一定的运算规则来计算。医院治理不良行为人泄漏逝者信息的行为管理主要采取惩罚制度，其孙氏图如图1所示。

图1 二元行为管理制度的孙氏图[10]Fig.1 Sun's chart of the binary behavior management system

图1 中，行为人可以采取的行为用 bi表示，且这些行为之间相互独立不重合。假设行为风险为中性， b1为正常行为即个人不进行信息泄漏等不良行为，针对医生与护士拥有单独的办公室场所导致的可能采用外延设备拷贝信息的问题，可以采用外延设备接口管理软件禁止设备插入。 b2为个体进行不良行为即医生、护士运用手机、相机等设备进行通讯或摄像进行泄漏，护士电联商家销售信息等行为。 Mi表示行为人选择行为的心理成本，正常行为人不进行信息泄漏即心理成本M1=5 。 Ci表示行为人进行行为活动时的行为成本，例如购买USB等泄漏设备， C1=0 。 ri表示由于观测器效力导致的个体行为产生的收入， r1为正常行为的收入即工资， r2是个体进行不良行为未被观测到而得到的工资与贩卖信息的销售收入i之和，即 r2=r1+i。 P21为行为人进行不良行为被查处或者检举的概率。 S2表示管理者对不良行为者的惩罚。 P22为行为人进行不良行为却未被查处的概率。行为人行为选择参数如表1所示。

表1 行为人行为选择参数表Tab.1 Behavior selection parameter list of behavioral person

3.2 制度有效性分析

3.2.1 行为选择分析

为促使行为人选择遵守规则的良好行为，则正常行为产生的效用应大于不良行为的效用，即

当管理者制定的制度确定后，行为人对于信息泄漏的心理成本也将确定，即式（1）中 r1， C1，M1， C2， M2， S2也 将确定，则效用值 U2的大小与r2， P21有 关 ， 则 U2=-(S2+r2)P21-C2-M2+r2，将 U2看 成关于 P21的 一元函数，则 U2与 U1的效用对比图如图2所示。

图2 行为效用对比曲线图Fig.2 Behavioral utility comparison graph

从图2可以看出当收益 r2不变的情况下，观测概率的增加会降低不良行为的效用，当效用值U1高 出效用值 U2越大时，则行为人越会遵守规则。为使行为人更倾向于遵守规则的良好行为，则观测力度 P21有最小值要求如式（2）所示。

观测力度可以通过增加监控设备或者举报制度来提高，图2中可以看出纵坐标截距与 r1， r2的大小有关，对式（1）进行变形可得到式（3）和式（4）。

式（3）表明收入 r1有最小值，在没有严格惩罚机制的条件下，太低的收入会加大行为人不良行为的产生，如护工，所以在提高观测力度 P21的同时应加大惩罚力度来约束个体行为。式（4）表明管理者在设计制度时要使不良行为人的收益小于，由式（4）可知当 P 达21到上限时可以通过改变 S2的值来达到制度有效运行，对不良行为的惩罚需满足式（5）。

为使制度有效管理行为人的行为，则惩罚力度存在最小值，为使行为人选择良好行为，则惩罚值应大于

3.2.2 制度可行性分析

效用 U1＞U2更多的是在制度生成后判断制度的有效性，正如汽车等产品在正式放行之前都有试运行，制度的制定者在制定规则后，可以通过心理效应的变化来确定制度的有效性，从而决定是继续修改制度或者实行制度。考虑到个人思考方式与行为的独特性，观测器观测到不良行为的概率在实际运营后才能准确得出，在设计制度时概率要通过以往的实践数据以及增加新的观测器获取，并通过运算规则计算出来。

为使制度有效的前提是行为人进行信息泄漏的心理成本 M2＞，对医生、护士和护工分别进行信息外泄的心理成本进行不记名打分，对于坚决不会进行信息泄漏的人员假设其心理成本为10，对选择可能进行信息泄漏的人员则写出分值，对打分结果制作复合饼图，如图3所示。

图3 心理成本复合饼图Fig.3 Psychological cost compound pie chart

图3 中将医生的数据进行再绘制，图中M2＜所占的比例为该制度对医生的失效比例。当不考虑通货膨胀的因素，从图2可以看出当制度改进后，＜则表明进行信息外泄的失效比例降低，说明该制度有效，可以实施，制度对人群有效率的控制比例由管理者决定。

3.3 治理不良行为的改善方法

3.3.1 增设监控设备，鼓励举报制度

由于近年来医闹事件增多，医院的监控设备装入数量不断增加，但大多装在人员流动强的走廊和安全性要求高的手术室等地区，对于普通的医护办公场所，监控设备的装入并不普遍，这给予医护人员极大行为自由的同时也给不良行为人提供了进行不良行为的条件。由于医护办公桌是相对的非并排设计，安装监控设备时，最好前后增设2台监控设备，扩大监控的视角，监控内容包括在HIS系统上的操作行为。增加监控设备不仅可以对医护行为进行约束，也为医疗纠纷解决提供依据。

由于信息泄漏通常经由手机等通讯设备外泄，通讯设备具有隐秘性强且隐私性高的特点，没有很充足证据时被发现的概率很低。因此，对不良行为的监视，除了设备，离不开内部员工和病患家属的共同协助，对于内部员工应在合理排班的基础上鼓励举报。对于举报的人员可以根据查处结果的严重性进行物质奖励，不仅鼓励医护人员进行举报，也鼓励病患家属对有异常行为的医护人员进行举报。家属也可向院方进行反映，督促其对信息泄漏事件进行排查，从而加大信息泄漏人员被发现的概率。

3.3.2 重视法律法规，加大惩处力度

由式（5）分析可知，加大惩罚力度 S2可促进制度有效进行。对信息泄漏的处罚条例虽已颁布，但在各地区和企业内部的实施情况并不乐观。医院作为信息泄漏的主要发生地之一，应该积极采取措施响应法律法规，遏制不良行为人行为。医院制定惩罚制度时可以采取金额与行政处罚并进的方法，为加大处罚力度，对于不良行为人采取统一的较高的惩罚金额，并对不良行为人进行计分处分，作为其以后升职等考评依据之一。对于信息泄漏情节较严重的，直接交于司法机关进行刑事处理，对于信息泄露超过2次的护工将予以辞退，不再录用。

3.3.3 加强思想教育，提高道德素养

行为人进行信息泄漏的心理成本与社会价值和个人修养息息相关。社会价值观的培养离不开法律的普及与贯彻，因此，普及信息安全的相关法律，增强个人对信息的保护和维权意识十分必要。法律的惩治和社会道德的约束会对行为动机和选择产生影响，从而达到提高国民道德素养的效果。一个优秀的医护人员不仅需要具备精湛的医术，更需要具备良好的职业素养，不仅为病患病情负责，更要将维护患者利益和推动社会良好风气发展作为己任。

3.4 治理医生不良行为案例

以上海市某一二级医院的医生为例，现管理者考虑加大惩处力度，增加监控设备和举报制度，但制度还未实施，对改进前后的制度参数进行对比。表中数据为假设数据，每一个数据为1～10分按严重程度打分，最高10分，如表2所示。

表2 制度改进前后制度参数对比表Tab.2 Comparison table of system parameters before and after the system reform

举报制度的设想是在合理排班的基础上鼓励同值班的人员互相监督，发现可疑行为可匿名举报，一旦获得证实，举报人可获得一定的奖励。举报的真实程度和个人在领导心中的信誉有关，这也一定程度上防止因私仇而恶意举报的行为。在增加监控设备和举报制度后行为人信息泄漏被查出的概率为

4 结 论

出售逝者信息的行为无论从道德还是法律来讲都是不容许的，在日益发展的殡仪馆事业下，对信息泄漏行为进行管理控制，保障逝者及其家属的隐私，给予逝者尊重，这是医院的道义与责任。本文采用制度工程学的理论对医院部门监管逝者信息的泄漏情况进行研究，对医院内部可能进行逝者信息泄漏的人员进行原因和行为分析，运用孙氏图模型对制度有效性进行分析，提出制度改进意见，以医生为例对制度参数进行赋值检验，研究说明了心理成本可以作为判断制度是否可实行的依据，提高观测力度、加大惩罚力度可以有效约束行为人的行为。