亲人刚刚离世,殡葬服务商就打来"精准"推销电话。
这种令人不适的现象背后,隐藏着医疗系统内部的严重信息泄露问题。
最高人民检察院日前公布的一批个人信息保护检察公益诉讼典型案例,揭示了上海市闵行区医疗系统内部人员违法贩卖逝者信息的全过程。
问题的严重性不容小觑。
根据案件查证,从2021年7月至2025年3月,上海市闵行区某医院的医生以及区急救中心的急救人员,利用工作便利和系统权限,通过全市疾病控制信息管理系统或救护车显示屏,非法获取了800余份包含逝者住址、死亡时间、死亡原因、逝者亲属姓名和联系方式等敏感信息。
这些信息随后被违法提供给殡葬行业从业人员,相关人员从中获取非法利益。
殡葬行业从业人员获得信息后,立即开展商业营销活动,对逝者亲属造成了严重的精神困扰,侵害了其安宁权和隐私权,损害了社会公共利益。
信息泄露的根源在于医疗卫生机构的管理漏洞。
闵行检察院通过深入调查发现,医疗机构对信息系统的权限管理存在严重缺陷。
医生仅需使用密钥登录疾病控制信息管理系统,就可以查询全市医院开具的死亡报告信息,这种权限设置过于宽泛,缺乏必要的制约机制。
同时,信息的收集、储存和流转环节也未得到有效防护。
在急救系统方面,救护车内的工作显示屏直接显示患者亲属的姓名、电话、住址等个人信息,区急救中心未能实质开展逝者亲属回访工作,导致信息流转过程中存在明显的泄露隐患。
这些管理漏洞为不法人员提供了可乘之机。
案件的处理充分体现了检察机关的公益诉讼职能。
闵行检察院在履职中发现线索后,于2025年7月11日立案调查。
通过询问医疗卫生机构工作人员、现场调查涉案医院、走访区急救中心等多种方式,全面查明了非法提供信息的具体操作方式、数量和获利情况。
检察机关认为,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法律规定,信息处理者应当严格规范相关信息处理权限,不得违法处理逝者及其亲属个人信息。
闵行区卫生健康委员会作为行政主管部门,对医疗信息安全制度和保障措施不健全导致的信息泄露负有监管责任。
2025年7月31日,闵行检察院向区卫健委制发检察建议,督促其依法对涉案单位及相关人员进行查处,加强日常检查和监管,督促涉案单位完善管理制度。
区卫健委高度重视,迅速组成工作专班开展查处和整改工作。
经调查,区卫健委对涉案医院作出了责令立即改正违法行为、警告、罚款的行政处罚决定,对涉案医生作出了警告、罚款、暂停执业活动的行政处罚决定,并解除了相关急救人员的外包劳动关系。
整改措施的落实体现了系统性和针对性。
区卫健委经报上级主管部门调整,严格限制了登录疾控信息系统的权限,防止权限滥用。
区医疗急救中心对救护车工作显示屏中的非必要个人信息进行了屏蔽处理,并在驾驶员位置新增了视频监控,形成了有效的制约机制。
同时,区卫健委指导涉案单位加强常态管理,完善了医院端信息安全管理、死亡医学证明管理等制度,开展了全员培训教育,落实了回访抽查机制并建立了台账记录。
这些措施从制度、技术和监督等多个维度堵住了信息泄露的漏洞。
2025年10月27日,闵行检察院邀请志愿者前往涉案医疗卫生机构评估整改情况,确认区卫健委已依法履职,整改措施得到有效落实,公共利益得到有效维护。
逝者信息与亲属隐私,关乎尊严与底线。
治理此类问题,既需要对“内鬼”零容忍、对违法交易依法严惩,也需要用制度和技术把权力关进笼子,让每一次查询都经得起追问、每一次使用都符合目的。
把个人信息保护做细做实,才能让群众在生命的关键节点少一分打扰、多一分安宁,也为数字化公共治理夯实可信、安全的根基。