APP下载

医疗领域侵犯公民个人信息的刑事防控

2023-01-06王春华

中国检察官·经典案例 2022年12期
关键词:行业

王春华

摘 要:大数据时代数据的价值不断提升,但数据安全问题也愈加凸显。医疗行业的公民个人信息泄露、医疗从业人员滥用医疗信息管理处置权限、非法买卖公民个人信息等安全问题层出不穷。检察机关在办理该类案件时,必须对医疗健康领域涉及的公民个人信息类别作出认定,引导公安机关收集、固定医疗从业人员非法侵犯公民个人信息的违法性证据。针对重点领域侵犯公民个人信息的情形,发挥检察机关社会治理检察建议在推进行业监管、促进国家治理体系和治理能力现代化进程中具有的独特优势,提升检察建议效能,同时在跟踪监督、整改问效等环节做实整改,保障诉源治理。

关键词:侵犯公民个人信息 行业“内鬼” 健康生理信息 诉源治理

一、基本案情及办理过程

吴某甲、吴某乙在广西壮族自治区南宁市江南区经营一家保健按摩中心,经营范围主要是向产妇提供催乳服务。为发展扩大客源,吴某甲向南宁市某医院产科主管护师韦某提出,由韦某向保健按摩中心提供产妇信息,并承诺每发展一名客户就给韦某50元或60元报酬,若客户后续办卡消费则另外向韦某支付10%的提成。2018年至2020年6月间,韦某以写论文需要数据为由,欺骗有权限的同事登录该医院“护士站”系统查询产妇信息后拍照发给自己,或者自行通过科室办公电脑查询该医院“桂妇儿”系统产妇信息后拍照,不定期将上述产妇信息照片通过微信发给吴某甲,而吴某甲、吴某乙则利用上述信息安排员工通过电话联系产妇发展客户。经查,韦某向吴某甲、吴某乙出售包括产妇姓名、家庭住址、电话号码、分娩日期、分娩方式等在内的产妇健康生理信息500余条。

2020年10月26日,南宁市江南区人民检察院对韦某、吴某甲、吴某乙以侵犯公民个人信息罪提起公诉。2020年11月12日,南宁市江南区人民法院依法公开审理。法庭审理期间,韦某主动退赔违法所得。韦某、吴某甲及辩护人提出,涉案公民个人信息隐私性不高,且未被用于其他违法犯罪;吴某乙及辩护人提出,吴某乙没有直接参与获取产妇信息,是从犯的辩护意见。公诉人答辩认为,涉案公民个人信息涉及产妇分娩生理信息,系具有高度隐私性质的公民个人健康生理信息;吴某乙虽未直接参与获取信息,但与吴某甲共同出资购买信息,用于经营催乳服务,在共同犯罪中起主要作用,应当按照其所参与的全部犯罪处罚。2020年12月16日,南宁市江南区人民法院采纳检察机关的指控事实和意见,认定韦某、吴某甲、吴某乙犯侵犯公民个人信息罪,判处韦某有期徒刑10个月,缓刑2年,并处罚金1万元;判处吴某甲、吴某乙有期徒刑6个月,并处罚金8000元。针对涉案医院对公民个人信息管理不善、对从业人员纪律约束不强、法治教育不足等问题,南宁市江南区人民检察院制发检察建议。

二、办案中的要点分析

(一)依法准确认定,明确侵犯公民个人信息的行为性质

医疗领域侵犯公民个人信息的犯罪案件,涉及公民个人信息的认定,非法获取行为的认定以及链条打击等问题。检察机关认真审查在案证据,明确涉案公民个人信息的性质,依法打击上下游侵害公民个人信息的犯罪事实。

1.对“公民个人信息”的审查认定。根据“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条规定,公民个人信息是指以电子或者其他方式记录的能夠单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。在《解释》第5条第1款第(四)项则将健康生理信息认定为属于其他可能影响人身、财产安全的公民个人信息。民法典第1034第2款同样将健康信息纳入到公民个人信息保护的范畴之内。无论是2021年颁布的《中华人民共和国个人信息保护法》,还是“两高一部”在2013年发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》,在认定公民个人信息时均将具有可识别性及隐私性作为定义公民个人信息考虑的重要因素。个人健康信息,系在疾病预防、体检、诊断、治疗、医学研究过程中所涉及的个人身体、精神的健康状况和家族病史等信息[1]。本案除涉及产妇姓名、家庭住址、电话号码等能够识别特定自然人身份的各种信息外,还涉及产妇分娩日期、分娩方式等生理健康信息,同时具有可识别性及高度隐私性,属于刑法所保护的个人信息[2]。

2.对“违反国家有关规定”的审查认定。大数据时代下,产妇的健康医疗数据几乎可以全程以电子化的形式进行采集和记录,海量个人健康生理信息被医疗机构收集和储存,医疗机构可以据此为产妇提供更加精准、个性化医疗健康服务。但是在数据价值逐利的驱动下,掌握个人信息的医疗机构从业人员,本该是保护公民个人信息的主体,却以其得天独厚的便利条件非法收集并出售公民个人信息,使得公民信息“保护墙”形同虚设。《中华人民共和国执业医师法》(2009年修正)第22条、第37条,以及《护士条例》第18条、第31条均规定医务人员依法应当保护患者的隐私,泄露患者隐私,造成严重后果的,将被处以行政处罚,可见相关行政法规对医疗领域公民个人信息保护给予了高度重视,对医疗机构及医务人员的相关责任作出规制。在本案中,行业“内鬼”恰恰是侵犯公民个人信息犯罪的重要主体,被告人韦某作为医院产科主管护师,获取公民个人信息主要有两种渠道,一是通过以写论文需要数据为由骗取医院其他同事提供产妇生理健康信息,二是通过查看医院信息管理平台获取。无论是通过上述何种途径,均是利用了职务或者工作上的便利,并且将收集的产妇健康生理信息用于出售牟利,符合违反国家有关规定,将在履职过程中获得的公民个人信息出售给他人的情形,根据刑法第253条之一第2款的规定,应当予以从重处罚。

3.对“非法获取”的审查认定。根据刑法第253条之一第3款规定,窃取或者以其他方法获取公民个人信息的,依照第1款的规定定罪处罚。在窃取或者以其他方法非法获取公民个人信息的行为中,需要着重把握“其他方法”的范围问题。根据最高检《检察机关办理侵犯公民个人信息案件指引》的规定,“其他方法”,是指“窃取”以外,与窃取行为具有同等危害性的方法,其中,购买是最常见的非法获取手段。本案中,被告人吴某甲、吴某乙是保健按摩中心的经营者,吴某甲通过向被告人韦某购买产妇生理健康信息的方式获取公民个人信息,再由吴某乙利用获取的产妇生理健康信息安排保健按摩中心员工通过拨打电话联系的方式发展客户,在共同犯罪中,二人虽存在不同分工,但仍属于共同非法获取公民个人信息的行为。

4.对“情节严重”的审查认定。根据《解释》第5条第1款的规定,对“情节严重”的认定涉及信息类型和数量、违法所得数额、信息用途、主体身份以及主观恶性五个方面内容,其中信息类型不同数量标准也随之发生改变,健康生理信息数量标准为500条以上,则属“情节严重”。非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算;对披露出售、提供公民个人信息的条数,根据查获的数量直接认定,且对多次获取同一条公民个人信息,一般认定为一条,不重复累计。本案中,被告人韦某从医院其他同事处获取或者利用职权从医院信息管理平台自行查看产妇健康生理信息,将产妇健康生理信息拍照后通过微信发送给按摩保健中心经营者吴某甲,作案时间长达两年,截至案发时各被告人微信聊天记录已不完整,且无法对二人资金往来中何笔交易属于产妇健康生理信息交易进行甄别,在此种情形下,检察机关引导公安机关通过恢复部分聊天记录以及调取手机电子数据的方式对证据进行固定,并对恢复的健康生理信息数据进行了去重,最终确定涉案产妇健康生理信息达500余条,达到刑法“情节严重”标准。

(二)积极引导侦查,夯实证据链打击上下游犯罪

该案件移送至南宁市江南区人民检察院后,为全面准确查清案件事实,检察机关指派业务骨干主办该案,先后多次与公安机关会商,研判案件性质,进一步夯实证据基础。

1.精准认定,引导侦查。检察机关迅速形成韦某、吴某甲与吴某乙三人构成侵害公民个人信息犯罪的初步意见,明确韦某作为医护人员在履职过程中将获取的公民个人信息用于出售以及吴某甲、吴某乙非法获取孕产妇生理健康信息的犯罪事实,有针对性地引导公安机关调查取证。深入优化“案-件比”,在事实认定、证据收集等方面充分发挥引导作用,推动法律监督从被动向主动转变,节约司法成本,提高司法办案效率。

2.做好电子数据的恢复及固定工作。以三名被告人手机电子数据恢复作为案件侦办的突破点,引导公安机关对三名被告人手机微信聊天记录、转账记录、手机内存保存的健康生理信息照片等电子数据进行恢复、提取、固定,结合保健按摩中心联系产妇推销服务的通话记录及消费记录等形成证据链条,保障全案上下游犯罪证据链完整性,强化对涉案证据所记载的信息、数据和文件本身真实性审查,强化对证据的来源、收集、提取环节的合法性审查,做到定案的犯罪事实充分,证据确凿,能够排除合理怀疑。

3.严厉打击上下游犯罪,粉碎非法产业链。在信息源头方面,医疗行业“内鬼”利用其职务便利非法收集公民个人信息后出售或者提供给他人,其非法获利普遍高于普通交易公民个人信息行为;而对于下游犯罪而言,产妇健康生理信息并非一般单位能够轻易获取,通过医疗行业“内鬼”购买公民个人信息,操作便捷,犯罪成本低。在本案中,被告人吴某甲、吴某乙经营保健按摩中心,主要提供面向产妇的催乳服务,被告人韦某作为产科主管护师,能获取产妇健康生理信息,这些信息正是保健按摩中心推广客源的重要来源,其本身具有的重要经济价值驱使行为人以身试法。检察机关坚持全链条惩治,在查办下游犯罪的同时,溯源上游个人信息泄露的渠道和人员,围绕信息获取、流通、使用等环节,同步加强全链条打击。

(三)制发检察建议,推进行业监管,强化溯源治理

1.积极开展调查核实工作。在办案过程中,承办检察官积极开展调研工作,通过数据调查、走访调研等方式了解医疗领域侵犯公民个人信息行为屡禁不止的原因。调研发现,犯罪成本的低投入与高收益回报,制度与监管的缺位,公民对个人信息保护意识淡薄等,都导致了侵犯公民个人信息行为的泛滥。因此,在对涉案医院开展调查工作时,主要围绕涉案单位有无建立信息保护体系、是否落实信息保护责任制度、是否完善信息泄露风险预警防范措施、对相关从业人员是否开展保密教育等,帮助医疗机构堵塞在公民个人信息领域管理方面存在的漏洞。

2.通过制发检察建议参与社会治理。医护人员侵犯公民个人信息犯罪案件暴露出涉案医院在患者个人信息保护上存在明显的监管漏洞,检察机关通过制发检察建议的方式,倒逼医院建立落实患者个人信息保护制度,进一步推动医疗信息管理和安全建设,预防和减少侵犯公民个人信息犯罪发生。

3.通过跟进监督,达到“办理一案,治理一片”的效果,在提升检察建议效能的同时,促进行业整改。一是在跟进监督上下功夫。对发出的检察建议,检察机关进行了动态流程监督,由办案检察官小组持续跟进整改进度和效果。被建议医院接到检察建议后迅速回复并采纳建议,同时建立台账和落实反馈机制,及时收集整改进度和取得的实际效果,并采取“回头看”的方式监督被建议的医院落实整改。二是在多方协同上作文章。检察机关联合卫健部门开展检察建议制发和跟进落实工作,听取被建议单位的意见,并将整改落实情况通报被建议单位主管部门,并及时向当地党委、政府报告。三是检察建议见成效。此次检察建议影响力大、社会关注度高,推动城区主管部门对辖区内医疗机构开展公民健康信息的保管、管理以及监管责任的督导检查,检察机关与行业主管部门共同努力,抓好抓实监督落实工作,推动建议各项措施逐步实施。

三、办理类案的实践启示

(一)依法打击“行业”内鬼出售公民个人信息犯罪

产妇分娩信息等是医院在开展医疗活动过程中掌握的公民健康生理信息。对于医护人员将其在履行职责或者提供服务中获得的产妇健康生理信息出售或者提供给他人的行为,构成犯罪的,应依法予以打击。对下游非法获取公民个人信息的犯罪也應依法打击,实现全链条惩处。

(二)通过检察建议促进诉源治理

行业“内鬼”泄露公民个人信息,反映出部分重点领域公民个人信息管理存在漏洞、内部监管机制不到位,相关从业人员法律意识淡薄。检察机关办案中应通过制发检察建议,督促医疗单位履行监管职责,完善对患者健康生理信息的安全管理制度,预防和杜绝泄露公民个人信息问题的发生。

*广西壮族自治区南宁市江南区人民检察院第一检察部主任、二级检察官[530031]

[1] 参见刘帅、谢笑、谢阳群、李晶:《个人健康信息管理研究初探》,《现代情报》2014年第9期。

[2] 参见周光权:《侵犯公民个人信息罪的行为对象》,《清华法学》2021年第3期。

猜你喜欢

行业
试论电气设备安装中的自动化控制技术
中国公募基金行业发展对策初探
行业特色高职院校与行业协同创新机制构建研究
大数据行业实现“法律+”的具体路径
专车行业改革必要性探究
互联网思维在未来酒店转型升级中的重要意义
试论我国旅游管理模式选择