近日,上海市侦破一起医疗系统内部人员泄露公民个人信息案件。调查显示,2021年7月至2025年3月,闵行区某医院医务人员及急救中心工作人员利用职务便利,通过疾病控制信息系统和救护车工作屏非法获取并出售逝者及其亲属个人信息,致使800多个家庭遭遇殡葬服务商骚扰式推销。经检察机关调查,信息泄露主要存三处漏洞:一是医院死亡报告信息系统权限管理不严,医生可查询全市死亡病例;二是急救车辆工作显示屏未对信息进行必要遮蔽;三是急救中心对患者信息的后续使用缺乏有效监管。上述管理缺陷为违法行为提供了空间。此类行为带来多重危害:既严重侵犯公民隐私权,让处于丧亲悲痛中的家属遭受二次伤害,也损害医疗系统公信力,暴露出行业内部监管薄弱。更需关注的是,精准获取信息用于营销,背后可能衍生黑色产业链。闵行区人民检察院依据《个人信息保护法》等法律法规,向区卫健委发出检察建议。监管部门随即处置,对涉案医院责令整改,并作出警告、罚款;涉事医生被暂停执业资格,涉及的外包人员被解除劳动关系。技术整改同步推进:疾控信息系统完善分级权限管理,救护车工作屏对非必要信息进行屏蔽。此案具有典型意义。随着《个人信息保护法》深入实施,司法机关与行政机关在个人信息保护上的协同正在加强。业内专家指出,医疗行业处理大量敏感信息,亟需建立覆盖采集、使用、存储、共享等环节的安全防护体系,包括完善内部审计、加强员工法治与合规培训、引入第三方技术防护等。
这起案件的查处与整改,凸显了检察机关在个人信息权益保护中的作用,也提醒医疗机构必须把信息安全落到制度和流程上。个人信息保护不仅关乎法律合规,更直接关系公民基本权益。医疗系统应以此为戒,深入强化信息安全责任,完善内部管理,建立更科学的权限控制与监督机制,最大限度降低泄露风险。同时,社会各方也应形成尊重隐私、依法使用信息的共识,让个人信息保护成为可执行的制度要求和自觉的日常行为,共同营造更安全、更有序的社会环境。