问题: 逝者及其亲属个人信息本应受到严格保护,却在个别环节被异化为牟利工具。
案例显示,相关人员通过全市疾病控制信息管理系统查询死亡报告信息,或从救护车工作显示屏直接获取患者亲属姓名、电话、住址等内容,并将包含住址、死亡时间、死亡原因及亲属联系方式在内的信息出售给殡葬行业从业者。
信息一旦流入市场,营销人员往往以“抢时间”的方式上门或电话推销,给处于悲痛中的家属造成持续打扰,社会观感恶劣,损害行业公信力。
原因: 此类问题的发生,既有个体法纪意识淡薄、将岗位权限当作“资源”变现的主观因素,也暴露出信息系统治理与内部管理的客观短板。
一是权限配置与登录管理不够精细,部分系统凭密钥即可查询跨机构信息,容易出现“有权即能查、查了难追溯”的风险。
二是信息收集、存储、流转环节缺乏有效隔离与审计,终端设备展示内容未做最小化处理,非必要信息可被直接获取。
三是内部监督与回访机制流于形式,岗位职责与数据使用目的缺少刚性约束,导致泄露隐患长期存在。
四是殡葬服务市场竞争激烈、违规营销利益驱动明显,与信息泄露形成“供需链条”,进一步放大违法获利空间。
影响: 个人信息安全一旦在医疗与急救场景中失守,危害更具敏感性与扩散性。
对个体而言,逝者信息与亲属信息高度私密,泄露不仅侵扰安宁、加重心理负担,还可能引发诈骗、敲诈等次生风险。
对行业而言,医疗卫生和院前急救机构承担公共服务职能,信息泄露会削弱群众对医疗系统的信任,影响社会对公共服务体系的安全预期。
对治理而言,数据要素在公共管理中的价值不断提升,若缺乏制度化保护和技术化防护,类似漏洞可能在不同地区、不同系统间复制,形成“点上出事、面上隐患”的结构性风险。
对策: 针对发现的问题,检察机关通过行政公益诉讼履职,推动行政机关依法全面履行监管职责,是本案的重要治理路径。
上海市闵行区人民检察院在发现线索后立案调查,通过走访询问、现场核查等方式固定证据,厘清信息被非法获取的操作方式、数量与获利情况,并查明系统与终端在权限控制、信息展示和流程管理方面存在的薄弱环节。
在检察建议推动下,卫健部门对涉案医院作出责令改正、警告、罚款等行政处罚,对涉案医生作出警告、罚款并暂停执业活动等处理,对相关急救人员解除外包劳动关系。
同时,主管部门对疾控信息系统登录权限进行调整与严格限制,院前急救机构对救护车显示屏非必要个人信息进行屏蔽,并在驾驶员位置新增视频监控,强化可追溯、可核查的管理闭环。
从治理逻辑看,个人信息保护既要“管人”,也要“管权”“管系统”。
一方面,要压实机构主体责任,完善岗位分级授权、离岗权限回收、异常查询预警、日志审计与定期抽查等制度,形成可量化、可考核的内控体系。
另一方面,要推进技术层面的最小必要原则落地,围绕“谁能看、能看什么、看了做什么、看了是否留痕”建立全链条防护;对终端展示内容实行脱敏与屏蔽,对跨机构查询设置强验证与审批。
再者,要加强对殡葬市场违规营销的执法联动,切断信息黑灰链条,提升违法成本,形成“卖不出去、买不到、用不了”的综合震慑。
前景: 最高检在发布典型案例时明确,任何单位和个人不得违反国家有关规定泄露逝者及其亲属个人信息。
随着个人信息保护法律制度不断完善,检察公益诉讼在推动行政机关履职、促进系统性整改方面的作用将进一步凸显。
可以预期,医疗数据与急救数据治理将从“事后追责”向“事前预防”加速转变:一是权限管理将更精细,跨系统、跨机构访问会逐步纳入统一审计与风险控制;二是终端与业务流程将更多引入隐私保护设计,减少“顺手可得”的泄露空间;三是监管将更强调部门协同与行业自律并重,通过常态化检查、案例通报、培训教育和技术改造,推动形成可复制的合规范式。
当死亡成为牟利工具,不仅亵渎生命尊严,更暴露出数字化转型中的制度短板。
此案的成功查处证明,检察机关通过公益诉讼介入特定领域治理,能够有效弥补行政监管的滞后性。
在《个人信息保护法》实施三周年之际,该案敲响的警钟值得所有掌握公民敏感数据的行业深思:技术进步必须以伦理为边界,效率提升必须以法治为前提。
唯有构筑法律、技术、道德的三维防护网,才能真正守护每个人"从生到死"的数据安全。