日前,上海市民姜先生向媒体反映,“多家医院的互联网服务仅凭名字和身份证号就可绑定他人为就诊人,进而查看电子病历、检查报告等一系列隐私信息,存在信息泄露隐患”。记者对本市多家医院的互联网服务进行体验,发现不少医院在绑定他人为就诊人时几乎不设认证环节,或者认证环节较为简单。
随着“互联网+医疗”的深入推进,线上诊疗服务日益普及。患者通过绑定就诊卡,即可实现预约挂号、在线问诊、报告查询等功能,就医便利性得到显著提升。然而,这种便利的背后,却隐藏着巨大的信息安全隐患。在部分互联网医院平台,输入他人的姓名和身份证号就能轻松绑定,患者的过往病史、诊断情况、用药记录等私密信息一览无余。这意味着,一旦个人的基本身份信息泄露,最隐秘的健康隐私就将面临“裸奔”的风险。
健康信息作为个人敏感信息的重要组成部分,具有极高的私密性。一个人的健康状况、疾病史、检测结果等,不仅关乎个人尊严,还可能影响其就业、社交、保险等诸多权益。正因如此,个人信息保护法将医疗健康信息列为敏感个人信息,要求只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,方可处理。医院作为健康信息的收集者、保管者和使用者,理应承担起最高的保护义务。
对比金融、政务等领域,医疗行业的认证标准显然滞后。银行转账需多重验证,政务办事需人脸核验,而涉及生命健康的医疗信息,却仅凭基础证件即可调取。这种“高风险、低防护”的矛盾,暴露出行业规范与监管的滞后。尽管我国《个人信息保护法》《基本医疗卫生与健康促进法》等法规已对医疗数据保护作出规定,但具体执行中,医院往往以“技术成本高”“影响用户体验”为由,将安全让位于效率。
近年来,类似医疗信息安全问题在各地时有发生,却未能引起足够重视和系统性改善。解决当前问题,亟需监管部门、医疗机构和技术平台三方协同发力。卫生健康部门应尽快出台互联网医疗身份认证的统一标准,明确绑定就诊人必须通过多重认证;医院须对现有系统开展安全评估,补上认证短板,落实数据“全生命周期”管理责任;平台开发方也应强化安全设计,杜绝“弱验证”逻辑。
医院加强安全防护与提供便捷服务并非对立关系。通过技术创新,完全可以在保障安全的前提下实现便捷就医。例如,可以采取首次绑定严格验证、后续使用适当简化的策略;或者针对不同风险级别的操作设置不同的认证要求。关键在于树立“安全是底线”的理念,在系统设计和运营管理的每个环节都将患者隐私保护放在首位。
医疗隐私的保护,是数字化时代的必答题,而非选择题。只有筑起牢固的信息安全屏障,“互联网+医疗”的便利才能真正造福于民,而不是成为隐私泄露的漏斗。
作者:徐刚
