12 月 8 日,成都通报 4 例新增新冠确诊和 1 例无症状,均与此前 2 例新增确诊相关,而其中 1 例新增确诊受到了舆论「超乎寻常」的关注。
图源:成都市卫健委
在该病例的活动轨迹被通报后,她的姓名、身份证号码、家庭住址、照片等个人信息陆续被泄露,在网络上疯狂流传。
评论也分成两派,一些人认为:「泄露确诊病例隐私应该受到谴责。」而另一些人认为:「公布流调不就是为了防控,当然越详细越好。」
疾控为什么要公布流调信息?
在疾控人员开展流行病学调查时,为了确定传播链,必须刨根问底地询问很多细节,除了行动轨迹等问题,也包括了患者的姓名、出生日期、身份证号等个人信息。
而在地方卫健委每日疫情通报中,也会对流调信息进行公开。
公布患者和密切接触者的行动轨迹有助于流行病学调查,但值得注意的是,我国《传染病防治法》第十二条也作出了规定:「疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。」
一位公共卫生学专家告诉丁香园,公开流调信息一定程度上满足了公众的需求:「人们需要知道确诊病例活动的大致轨迹,从而评估自己的风险。同时,公布流调信息也符合国家对疫情信息公开透明的要求。」
在官方公布的疫情信息中,患者姓名一般都会用「病例 x」或「x 某某」来表示。
「年龄是需要公开的信息,但不会具体到生日;活动轨迹和生活场所也需要公开,但不会具体到几栋几户或门牌号。」某公共卫生学专家说,「还有身份证号、手机号等等,所有可以精准定位到某个人的信息,都不会公开。」
但专家也表示,在流调和防控过程中,疾控需要与辖区、社区等多层部门合作,「进行精准防控,所以其他部门也需要知道患者的个人信息。」而在这些环节中,就可能存在个人隐私被泄露的风险。
在参与@丁香园 微博投票的人中,有 53.9% 从事疾控相关工作的人表示,没有接受过流调过程中如何进行隐私保护的培训。
大数据抗疫,怎么保护隐私?
早在 2 月 4 日,中央网络安全和信息化委员会办公室就专门发布通知:为疫情防控、疾病防治收集的个人信息,包括姓名、年龄、身份证号码、电话号码、家庭住址等,必须经过脱敏处理才可以公布。
但事实上,从疫情之初的「晋江毒王」、「广东毒王」,到刚刚平息的天津、上海疫情中,确诊病例隐私被泄露事件仍屡屡发生。
在大数据时代的疫情防控中,个人隐私保护急需受到重视。但是,我国目前仍然没有一部完整的法律,对个人健康信息安全做出系统而详细的规定。
如何用法律保护健康信息安全?一个可以借鉴的方案来源于美国。
1996 年,美国通过了《健康保险携带与责任法》(Health Insurance Portability and Accountability Act,HIPAA),并在 2009 年通过了医疗信息技术促进经济和临床健康法案(Health Information Technology for Economic and Clinical Health Act,HITECH Act),逐渐形成一整套法律体系,保护个人健康信息和隐私安全。
在 HIPAA 法案中,有一个概念叫做「受保护的健康信息」(Protected Health Information,PHI),它指的是任何可识别出个题的个人健康信息,包括姓名、生日、电话、地址、医疗记录号等信息,也包括文件、口信、电子邮件和对话等所有存储形式。
PHI包括的内容
图源:Wikipedia 截图
除了治疗、收费、手术,或者法律强制的情况外,透漏受保护的健康信息,必须得到患者的书面同意。
如违反 HIPAA 法案,则应按照其严重程度进行严格处罚(最低 100 美元,最高可罚 25 万美元 + 10 年有期徒刑)。
他山之石,可以攻玉。我们不仅需要进一步明确个人健康信息的定义,也需要更加专业和细致的法律法规作为支持。
最新:侵犯他人隐私,已被行政处罚
12 月 9 日,成都市公安通报,王某(男,,24 岁),因传播成都疫情确诊病例信息,严重侵犯他人隐私,已被予以行政处罚。
图源:微博截图
截至发稿,成都累计通报 6 例本土新增确诊病例,1 例无症状感染者,郫都区郫筒街道太平村、成华区崔家店华都云景台小区、郫都区唐昌镇永安村 8 组三地升为中风险地区。(策划:z_popeye、gyouza)
题图来源:CCTV 新闻截图
参考资料:
[1]https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act#Right_to_access_your_PHI
[2]https://en.wikipedia.org/wiki/Protected_health_information
[3]医疗大数据在中国和美国、欧盟、英国的法律保护现状对比分析及建议
[4]新型冠状病毒肺炎聚集性疫情流行病学调查指南