问题:以“工作便利”为名的非法获取、倒卖个人信息现象仍在个别领域发生。
此次典型案例显示,相关人员通过疾控信息系统查询端以及救护车工作显示屏等环节,获取逝者住址、死亡时间与原因、亲属姓名及联系方式等敏感信息,并向殡葬从业人员违法提供并获利。
信息被获取后迅速转化为精准营销行为,直接冲击逝者亲属的安宁权与隐私权,也破坏了医疗卫生行业公信力,损害社会公共利益。
原因:一是权限管理与技术防护存在薄弱点。
部分系统或终端对登录、查询、留痕、预警等关键环节的控制不足,个别人员使用密钥登录即可调取相关数据,给违规查询、批量获取留下空间。
二是内部治理仍有“制度上墙、执行走样”的风险。
对数据访问的分级授权、岗位隔离、定期审计、异常行为核查等机制未能形成闭环,导致违规成本与风险感知不足。
三是数据流转链条长、场景多,叠加外部利益诱导,容易形成“获取—转卖—营销”的灰色链条。
逝者及其亲属信息具有高度敏感性,一旦外泄,受害群体往往处于悲痛期,维权能力弱,更易成为不法营销的目标。
影响:从个体层面看,亲属在办理后事过程中可能遭遇“电话轰炸”“上门推销”等精准骚扰,心理压力加重,正常生活秩序被打乱;从行业层面看,医疗机构、急救机构作为信息高度集聚场所,一旦出现管理漏洞,社会信任将被侵蚀,影响公共服务形象;从社会治理层面看,个人信息在不同场景被滥用,容易催生黑灰产业链,扰乱市场秩序,并对个人信息保护法等制度的权威性构成挑战。
此次案例将“逝者及亲属信息泄露”纳入公益诉讼视野,也提示个人信息保护已从传统网络空间向公共服务、民生领域纵深推进。
对策:围绕“查处一案、警示一片、治理一域”的思路,相关部门依法履职、协同推进整改。
检察机关在发现线索后立案调查,查明非法获取、流转与管理缺陷等关键事实,并向主管部门制发检察建议,督促依法查处涉案单位及人员、强化日常监管。
卫生健康部门随即组织力量开展调查,对涉事医院作出责令改正、警告、罚款等行政处罚,对涉事医生作出警告、罚款、暂停执业活动等行政处罚,并对相关急救人员劳动关系作出处理。
同时,从源头堵漏洞:严格限制疾控信息系统登录权限,针对救护车工作显示屏非必要信息进行屏蔽,在关键岗位增设视频监控;完善医院端信息安全管理、死亡医学证明管理等制度,开展全员培训教育,落实回访抽查与台账记录,推动信息全链条可控、可溯、可问责。
整改评估引入社会力量参与,对措施落实情况进行核验,形成外部监督与专业评估合力。
前景:随着数字化治理深入推进,医疗卫生、应急救治等领域数据资源集中度更高,个人信息保护既是底线要求,也是提升治理能力的重要标尺。
下一步,关键在于把“技术防护、制度约束、人员教育、监督问责”一体化落到细处:通过最小必要授权、全程留痕审计、异常访问预警、定期安全评估等手段压缩可乘之机;通过对重点岗位、重点环节开展常态化检查,把监管从事后处置前移到事前预防;通过加大对黑灰链条的打击力度,形成对“倒卖—收购—营销”全链条震慑。
典型案例的发布亦有助于统一执法司法尺度,推动各地对民生领域敏感信息的保护标准进一步细化,促进形成更可持续的治理格局。
这起案件的处理过程具有重要的示范意义。
它表明,保护个人信息安全不仅是法律义务,更是社会文明进步的重要标志。
医疗卫生等掌握大量敏感信息的公共服务机构,必须树立强烈的信息安全意识,建立科学的权限管理体系,采取技术手段防护个人信息。
与此同时,检察机关通过公益诉讼制度的充分运用,对违法行为的查处和整改的监督,为个人信息保护筑起了法律防线。
当前,我国个人信息保护工作仍需在制度完善、技术进步、执法力度等方面不断加强,唯有如此,才能真正维护人民群众的信息安全和合法权益,推动建设更加安全、更加文明的社会环境。