一、醫(yī)療電子數(shù)據(jù)的概述

（一）“醫(yī)療電子數(shù)據(jù)”概念

醫(yī)療電子數(shù)據(jù)是基于互聯(lián)網(wǎng)為媒介的信息技術(shù)在醫(yī)療領(lǐng)域中不斷運(yùn)用而產(chǎn)生的新事物。目前法學(xué)界對于“醫(yī)療電子數(shù)據(jù)”沒有明確的定義，但對于“電子數(shù)據(jù)”的概念比較清晰。

1.“電子數(shù)據(jù)”概念。

“電子數(shù)據(jù)”是指基于計(jì)算機(jī)應(yīng)用、通信和現(xiàn)代管理技術(shù)等電子化技術(shù)手段而形成的，包括文字、圖形符號、數(shù)字、字母等在內(nèi)的客觀資料。

2.“醫(yī)療電子數(shù)據(jù)”概念。

醫(yī)療電子數(shù)據(jù)，本質(zhì)上來說與電子數(shù)據(jù)沒有不同，只是基于醫(yī)療領(lǐng)域，具有某種特殊性。本文引用“特征等效法”，對比了電子數(shù)據(jù)和醫(yī)療電子數(shù)據(jù)的等效特征，把“醫(yī)療電子數(shù)據(jù)”概念界定為：是指 在醫(yī)療領(lǐng)域基于計(jì)算機(jī)的應(yīng)用、通信和現(xiàn)代技術(shù)等電子化技術(shù)手段而形成的，包括文字、圖形符號、數(shù)字、字母等在內(nèi)的有關(guān)于醫(yī)療診斷與服務(wù)的客觀資料。

（二）醫(yī)療電子數(shù)據(jù)的特點(diǎn)

1.便捷性。

基于互聯(lián)網(wǎng)平臺，三維和四維醫(yī)學(xué)影像及遠(yuǎn)程會診信息等全部能夠以數(shù)據(jù)的形式，通過醫(yī)院的數(shù)據(jù)庫來記錄、存儲、處理、傳輸和呈現(xiàn)?；诨ヂ?lián)網(wǎng)平臺的醫(yī)療電子數(shù)據(jù)，可以精簡患者到醫(yī)院就診的流程、優(yōu)化醫(yī)院信息管理以及提升臨床服務(wù)水平，極大地節(jié)約使用者的時(shí)間成本與經(jīng)濟(jì)成本。

2.穩(wěn)定性。

在傳統(tǒng)醫(yī)療活動中，病歷、處方都書寫在紙張上，極易受到損壞，且由于其依附載體的限制而不能長久保存。而在信息技術(shù)的今天，醫(yī)療電子數(shù)據(jù)被保存在計(jì)算機(jī)硬盤或者云計(jì)算儲存中心中，除非人為原因，永遠(yuǎn)不會消失。這不僅有利于各種醫(yī)療信息的保存，也能夠保證醫(yī)療電子證據(jù)存儲的穩(wěn)定性。

3.敏感性、保密性。

醫(yī)療電子數(shù)據(jù)涵蓋了公民所有非常敏感性、保密要求度高的基本信息，如身體、疾病信息，個(gè)人生活軌跡，家庭住址、醫(yī)療保險(xiǎn)、個(gè)人賬戶和財(cái)產(chǎn)等信息。

4.脆弱性。

在醫(yī)療電子數(shù)據(jù)的生成、收集、儲存乃至共享過程中，由于操作人員的失誤、供電系統(tǒng)和通信系統(tǒng)的故障，都可能導(dǎo)致數(shù)據(jù)的丟失和損毀。另外，醫(yī)療電子數(shù)據(jù)容易被復(fù)制、刪除、篡改，而且不易留痕，技術(shù)越發(fā)達(dá)，偽造的可能性越大。

（三）醫(yī)療電子數(shù)據(jù)主要類型

1.電子病歷數(shù)據(jù)。

電子病歷數(shù)據(jù)是醫(yī)療機(jī)構(gòu)對門診、住院患者（或保健對象）臨床診療和指導(dǎo)干預(yù)的、數(shù)字化的醫(yī)療服務(wù)工作記錄。

2.電子處方數(shù)據(jù)。

電子處方數(shù)據(jù)是醫(yī)療機(jī)構(gòu)為患者開具的可以實(shí)現(xiàn)存儲、傳輸?shù)碾娮訑?shù)據(jù)通過網(wǎng)絡(luò)、移動通信、數(shù)據(jù)儲存?zhèn)鬏數(shù)剿幏?，由藥師進(jìn)行審核、調(diào)配、核對，并最后作為患者用藥憑證的數(shù)字化醫(yī)療文書數(shù)據(jù)。

3.醫(yī)學(xué)檢驗(yàn)數(shù)據(jù)。

醫(yī)學(xué)檢驗(yàn)數(shù)據(jù)是通過各種醫(yī)學(xué)檢驗(yàn)設(shè)備的檢查所形成的數(shù)據(jù)，諸如心電圖、肝功能檢查、血常規(guī)等，也包括醫(yī)生或者護(hù)士對患者進(jìn)行檢查診斷的所生成的電子記錄。

4.醫(yī)學(xué)影像數(shù)據(jù)。

醫(yī)學(xué)影像數(shù)據(jù)是在以計(jì)算機(jī)為主的專門診斷治療的信息輔助設(shè)計(jì)而形成的影像數(shù)據(jù)。通過影像數(shù)據(jù)，醫(yī)生可以更直觀清楚地了解患者的各種診斷治療信息，從而使復(fù)雜的診斷治療信息變得生動清晰。其主要有CT、X 射線、MR 核磁共振、B 超影像、血管攝影等。

二、醫(yī)療電子數(shù)據(jù)安全中存在的隱患

（一）醫(yī)療電子數(shù)據(jù)遭泄漏

患者個(gè)人信息及隱私遭泄漏。

隨著信息時(shí)代的到來，黑客們侵入醫(yī)療機(jī)構(gòu)和相關(guān)行政管理機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)，竊取有價(jià)值個(gè)人信息以圖謀不軌。由于醫(yī)療電子數(shù)據(jù)除了包含用戶健康信息、診療記錄和病歷資料等醫(yī)療信息外，還有個(gè)人財(cái)務(wù)信息等重要信息；這些信息拼湊起來，就可以組成一幅完整的個(gè)人信息圖譜，一旦這些醫(yī)療數(shù)據(jù)被非法獲取，就會被不法分子拿來進(jìn)行違法犯罪活動，例如通過信用卡信息、支付寶賬戶信息等進(jìn)行金融詐騙、竊取賬戶財(cái)產(chǎn)，假冒患者、利用其身份信息領(lǐng)取管制藥物等。

2017 年10 月為浙江杭州警方所破獲的一起侵犯公民個(gè)人信息案，就是一家主要業(yè)務(wù)范圍為0~6 歲兒童的健康管理和移動醫(yī)療信息服務(wù)的科技公司因利益驅(qū)使，在承接了某疾病預(yù)防控制部門網(wǎng)站信息化建設(shè)項(xiàng)目時(shí)，從杭州某疾病預(yù)防控制部門網(wǎng)站非法下載接種疫苗兒童及其家長個(gè)人信息后販賣獲利。杭州警方成功偵破該案，抓獲嫌疑人 39 名，查獲其所非法獲取的公民個(gè)人信息370 萬余條。

尤其值得警惕的是，這種安全隱患，不僅僅限于數(shù)據(jù)泄露本身，還在于在此數(shù)據(jù)的基礎(chǔ)上可以對用戶的下一步行為的預(yù)測與判斷。例如，獲取患者的某個(gè)檢驗(yàn)指標(biāo)，便可以對其的健康狀況進(jìn)行判斷，并對其下一步醫(yī)療行為進(jìn)行預(yù)判。

2.醫(yī)務(wù)人員個(gè)人信息及隱私遭泄漏。

網(wǎng)絡(luò)環(huán)境下，醫(yī)療電子數(shù)據(jù)中涉及醫(yī)務(wù)人員的個(gè)人信息及隱私也存在著泄露風(fēng)險(xiǎn)。如2017 年5 月17 日發(fā)生的“廣州市儀器侵犯個(gè)人信息案件”，有近35 萬名醫(yī)生的個(gè)人信息和其他隱私信息被竊取。

尤其值得警惕的是，這種安全隱患，不僅僅限于數(shù)據(jù)泄露本身，還在于在此數(shù)據(jù)的基礎(chǔ)上可以對用戶的下一步行為的預(yù)測與判斷。

（二）醫(yī)療網(wǎng)絡(luò)系統(tǒng)被入侵

醫(yī)療網(wǎng)絡(luò)系統(tǒng)是保證醫(yī)療工作順利進(jìn)行的關(guān)鍵，一旦受到攻擊和入侵，后果不堪設(shè)想，損失難以計(jì)量。2016 年2 月，美國好萊塢長老教會紀(jì)念醫(yī)學(xué)中心因?yàn)樵獾胶诳凸舳?a target="_blank">電腦系統(tǒng)無法使用，從此陷入停擺之中：期間，醫(yī)院的電腦無法正常工作， 醫(yī)療工作者不得不進(jìn)行手寫；系統(tǒng)內(nèi)病人的病歷等資料根本無法訪問，醫(yī)院的工作受到了極大的干擾。2018 年1 月-3 月，我國就發(fā)生了三起醫(yī)療網(wǎng)絡(luò)系統(tǒng)入侵事件，分別是江西省婦幼保健院遭遇勒索病毒、上海某公立醫(yī)院信息系統(tǒng)被黑客勒索價(jià)值2 億元以太幣，以及湖南省兒童醫(yī)院服務(wù)器疑似中了某種勒索病毒——所有數(shù)據(jù)文件被強(qiáng)行加密，導(dǎo)致系統(tǒng)癱瘓，患者一度無法正常就醫(yī)。

（三）醫(yī)療電子數(shù)據(jù)遭篡改及濫用

醫(yī)療電子數(shù)據(jù)不同于記載在紙張上的傳統(tǒng)醫(yī)療數(shù)據(jù)，是借助計(jì)算機(jī)技術(shù)和信息技術(shù)，通過二進(jìn)制代碼來保存各種醫(yī)療信息。無論是醫(yī)療電子數(shù)據(jù)的生成還是儲存，其所設(shè)置的密碼安全系數(shù)都比較低，很容易被攻破而被任意篡改；而一旦被篡改，就使得醫(yī)療信息的時(shí)間及內(nèi)容真實(shí)可靠性大大降低，無法客觀真實(shí)反映醫(yī)療過程，而且也會嚴(yán)重影響醫(yī)療糾紛中其作為證據(jù)的資格，使負(fù)有舉證證明責(zé)任的一方有可能因?yàn)榕e證不能而承擔(dān)敗訴的風(fēng)險(xiǎn)。

不僅如此，還存在“內(nèi)部濫用”的現(xiàn)象，其中有的還與有組織的犯罪團(tuán)體相關(guān)。比如在美國，有的醫(yī)療機(jī)構(gòu)工作人員被犯罪團(tuán)體招募，也有犯罪團(tuán)體成員專門被送到醫(yī)療機(jī)構(gòu)工作，這些“內(nèi)部的人”最終幫助獲得易被貨幣化的敏感信息。由于利益的驅(qū)使，互聯(lián)網(wǎng)平臺內(nèi)部人員非法傳輸、篡改電子數(shù)據(jù)的風(fēng)險(xiǎn)，早已是事實(shí)存在。

由于利益的驅(qū)使，互聯(lián)網(wǎng)平臺內(nèi)部人員非法傳輸、篡改電子數(shù)據(jù)的風(fēng)險(xiǎn)，早已是事實(shí)存在。

三、我國醫(yī)療電子數(shù)據(jù)安全保障中存在的問題

（一）相關(guān)法律法規(guī)不健全

1.刑事立法與實(shí)踐中所存在的問題。

（1）侵犯公民信息罪量刑較輕。

2015 年《刑法修正案（九）》加強(qiáng)公民個(gè)人信息保護(hù)，明確了特殊主體從重處罰原則，擴(kuò)大了侵犯個(gè)人信息行為的范圍。

2017 年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息事案件適用法律若干問題的解釋》進(jìn)一步從嚴(yán)設(shè)置定罪量刑標(biāo)準(zhǔn)，明確了《刑法》第二百五十三條中情節(jié)嚴(yán)重及特別嚴(yán)重的情形，便于對此類犯罪定罪量刑；對于罰金數(shù)額，也規(guī)定了“一般在違法所得的一倍以上五倍以下”限度。

依據(jù)《刑法》第二百五十三條規(guī)定，

“......情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒 刑，并處罰金”。

而美國的《健康保險(xiǎn)可攜帶性和責(zé)任法案》規(guī)定，提供醫(yī)療保險(xiǎn)一方、醫(yī)療保險(xiǎn)的運(yùn)營方及其雇員如果是有意泄露患者健康隱私信息，造成嚴(yán)重后果的，對于其所屬機(jī)構(gòu)的罰款每年可達(dá)到150 萬美元；如果出賣或者是轉(zhuǎn)售患者健康隱私信息，個(gè)人最高罰款可達(dá)25 萬美元，還將面臨十年監(jiān)禁。

與美國相比，我國刑法在對侵犯公民信息的犯罪，雖然也是自由刑和財(cái)產(chǎn)刑并用，但量刑偏輕；而這種較低的犯罪成本與數(shù)據(jù)買賣灰色產(chǎn)業(yè)鏈所帶來的利益誘惑，都會使行為人罔顧法律，重復(fù)作案。

（2）司法判例顯示既判案件的量刑在法定刑內(nèi)屬于偏低范疇。筆者從在裁判文書網(wǎng)檢索到的86 份裁判文書中發(fā)現(xiàn)，所有案件的量刑都在“三年以下有期徒刑或者拘役”的法定刑檔次內(nèi)，最重的是“有期徒刑二年，緩刑二年”；有的被告所非法獲取的公民個(gè)人信息達(dá)幾十萬甚至及幾百萬條，但卻都沒有出現(xiàn)“三年以上有期徒刑，七年以下有期徒刑”的判決?？梢娫谛谭ㄒ?guī)定量刑偏輕的情形下，司法機(jī)關(guān)在判決中認(rèn)定的法定刑檔次也較低。

從刑事立法的主旨和目前的社會情形看，對于侵犯公民個(gè)人信息的犯罪行為是持從重處罰的態(tài)度，目的是保護(hù)公民個(gè)人信息安全，有效保障公民人身、財(cái)產(chǎn)安全。為什么對該類案件的處罰偏輕？因?yàn)槿嗣穹ㄔ簩Π讣聦?shí)認(rèn)定存在一定的難度，進(jìn)而影響危害后果的認(rèn)定。2015 年上海市浦東新區(qū)法院審理過一起侵犯公民個(gè)人信息案件，被告通過互聯(lián)網(wǎng)非法購買公民個(gè)人信息3 萬余條，經(jīng)查證信息真實(shí)有效的只有100 多條，法院依法判處被告人拘役五個(gè)月，緩刑五個(gè)月，罰金人民幣一千元。

可見， 由于對此類案件中不法行為的社會危害性難以準(zhǔn)確評估，涉案公民個(gè)人信息數(shù)量認(rèn)定難，因此量刑中需考慮的“情節(jié)嚴(yán)重”和“情節(jié)特別嚴(yán)重”情形也就難以客觀準(zhǔn)確認(rèn)定，進(jìn)而在量刑問題上便趨于偏輕。

這種較低的犯罪成本與數(shù)據(jù)買賣灰色產(chǎn)業(yè)鏈所帶來的利益誘惑，都會使行為人罔顧法律，重復(fù)作案。

2.個(gè)人信息及隱私權(quán)立法保護(hù)不足。

（1）法律未明確承認(rèn)個(gè)人信息權(quán)。

雖然《民法總 則》在民事權(quán)利部分規(guī)定了“自然人的個(gè)人信息受法律保護(hù)”，但是并未以“個(gè)人信息權(quán)”來表述，可見并未明確個(gè)人信息權(quán)是一項(xiàng)具體的民事權(quán)利。

民法上的請求權(quán)基于“權(quán)利-義務(wù)-責(zé)任”體系，如果個(gè)人信息權(quán)不是一項(xiàng)具體的民事權(quán)利，無法確定其具體內(nèi)容，就不利于明確義務(wù)主體所負(fù)擔(dān)義務(wù)的內(nèi)容以及對侵害個(gè)人信息權(quán)應(yīng)當(dāng)承擔(dān)何種民事責(zé)任，如何承擔(dān)民事責(zé)任、全面充分的保護(hù)個(gè)人信息也就難以實(shí)現(xiàn)。

（2）未明確界定隱私與個(gè)人信息的界限。

“隱私” 與“個(gè)人信息”是兩個(gè)不同的概念，存在一定的區(qū)別。明晰個(gè)人信息權(quán)和隱私權(quán)界分，對于創(chuàng)設(shè)個(gè)人信息保護(hù)的具體規(guī)則，規(guī)范個(gè)人信息的收集、利用、存儲、加工、共享等行為，建立國家、社會層面?zhèn)€人信息保護(hù)和利用的良好秩序，發(fā)揮個(gè)人信息的價(jià)值，都具有重大意義。

《網(wǎng)絡(luò)信息保護(hù)決定》第一條中個(gè)人信息和個(gè)人隱私都有所提及，可以說已經(jīng)初步形成個(gè)人信息權(quán)和隱私權(quán)并存的法律基本框架。但是，該法沒有提出界分兩者的具體標(biāo)準(zhǔn)，使得對隱私權(quán)與個(gè)人信息權(quán)關(guān)系界定變得困難。

雖然先后有《侵權(quán)責(zé)任法》和《民法總則》將隱私權(quán)作為一項(xiàng)具體人格權(quán)類型予以確定，對個(gè)人信息也明確提出保護(hù)，但是這兩部高位階的規(guī)范性文件流于形式或者僅為宣示性規(guī)定，缺乏可操作的具體規(guī)則，權(quán)利內(nèi)容仍不清晰。

“隱私” 與“個(gè)人信息”是兩個(gè)不同的概念。

3.關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)安全保護(hù)機(jī)制不健全。

根據(jù)我國《網(wǎng)絡(luò)安全法》第三十一條所劃定的——包括公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施范圍——涉及公共醫(yī)療服務(wù)的醫(yī)療領(lǐng)域當(dāng)屬其中。該法雖明確了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全具體保護(hù)要求，從國家、行業(yè)、運(yùn)營者三個(gè)角度劃定了各方的職責(zé)與義務(wù)，但是對關(guān)鍵基礎(chǔ)設(shè)施具體范圍并未有進(jìn)一步細(xì)化，也并未設(shè)計(jì)一整套體系完整的相關(guān)配套制度。如旨在制定風(fēng)險(xiǎn)的事先預(yù)防的安全測評制度、旨在防止數(shù)據(jù)安全事件擴(kuò)散的安全監(jiān)測預(yù)警和信息通報(bào)制度，以及行業(yè)、領(lǐng)域各自應(yīng)急、補(bǔ)救措施以及事后總結(jié)報(bào)告制度等。

（二）相關(guān)主體數(shù)據(jù)安全意識和保護(hù)措施薄弱

醫(yī)療電子數(shù)據(jù)與其他多數(shù)行業(yè)相比更為復(fù)雜和多元，大量醫(yī)療信息數(shù)據(jù)存儲、處理、接入等工作也為數(shù)據(jù)安全帶來新的挑戰(zhàn)。相關(guān)行業(yè)數(shù)據(jù)安全意識和保護(hù)措施薄弱，也是導(dǎo)致醫(yī)療電子數(shù)據(jù)安全隱患的重要原因。

1.醫(yī)療行業(yè)的問題表現(xiàn)。

2014 年美國排名第一的運(yùn)營商威瑞森（Verizon）曾發(fā)布 2014數(shù)據(jù)泄密報(bào)告，其顯示醫(yī)療行業(yè)在安全方面“落后于形勢”。

醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)一般分為內(nèi)網(wǎng)和外網(wǎng)，外網(wǎng)是給系統(tǒng)外的機(jī)構(gòu)和個(gè)人提供的查詢和咨詢平臺，而內(nèi)網(wǎng)則是由內(nèi)部相關(guān)人員使用的信息化網(wǎng)絡(luò)體系?；颊咄ㄟ^互聯(lián)網(wǎng)接入醫(yī)院信息系統(tǒng)進(jìn)行預(yù)約掛號、查詢報(bào)告、繳費(fèi)等操作，海量個(gè)人信息和隱私信息就在醫(yī)院內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間交互。安全意識薄弱加上傳統(tǒng)的醫(yī)院網(wǎng)絡(luò)系統(tǒng)缺少相應(yīng)的應(yīng)對能力，一旦系統(tǒng)處于被攻擊和非法侵入狀態(tài)，將會導(dǎo)致接入網(wǎng)絡(luò)的醫(yī)療設(shè)備全部處于危險(xiǎn)之中，大量醫(yī)療電子數(shù)據(jù)也面臨泄露、篡改、濫用的巨大風(fēng)險(xiǎn)。

醫(yī)療機(jī)構(gòu)內(nèi)網(wǎng)鏈接多個(gè)客戶端的 MAC地址，由于未經(jīng)嚴(yán)密審查，在很多未授權(quán)的情況下計(jì)算機(jī)并入了醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)，從而極大地增加了被入侵的風(fēng)險(xiǎn)。有的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)仍在采用“用戶名+口令”等加密層級極低的訪問控制方式，對于數(shù)據(jù)缺乏有效的保護(hù)措施，使數(shù)據(jù)處于“裸奔”狀態(tài)，安全堪憂。

另外，一些醫(yī)療機(jī)構(gòu)計(jì)算機(jī)設(shè)備陳舊，軟件也長期沒有更新，未裝訂相關(guān)的殺毒軟件和防火墻，其區(qū)域網(wǎng)漏洞得不到及時(shí)填補(bǔ)。

“有的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)...對于數(shù)據(jù)缺乏有效的保護(hù)措施，使數(shù)據(jù)處于“裸奔”狀態(tài)，安全堪憂。”

2.醫(yī)藥領(lǐng)域互聯(lián)網(wǎng)企業(yè)的問題表現(xiàn)。隨著互聯(lián)網(wǎng)的深入發(fā)展，遠(yuǎn)程醫(yī)療、線上問診已融入到人們的日常生活之中。尤其是近年來移動醫(yī)療APP、微信公眾號預(yù)約掛號、互聯(lián)網(wǎng)醫(yī)院等迅猛發(fā)展，出現(xiàn)了許多新型醫(yī)療模式。但是，一些醫(yī)療領(lǐng)域的互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全意識缺失，信息安全建設(shè)資金投入困難，只有在安全事件產(chǎn)生嚴(yán)重后果后，才會意識到安全的重要性。這就造成數(shù)據(jù)信息安全建設(shè)缺乏總體規(guī)劃，“頭痛醫(yī)頭，腳痛醫(yī)腳”的狀況在現(xiàn)實(shí)中大量存在。

另外，企業(yè)人員整體安全意識不平衡，安全制度或安全流程流于形式，導(dǎo)致用戶個(gè)人信息和隱私泄露；有的企業(yè)內(nèi)部甚至還存在竊取數(shù)據(jù)，販賣個(gè)人信息的違法行為。

“頭痛醫(yī)頭，腳痛醫(yī)腳”的狀況在現(xiàn)實(shí)中大量存在。

四、應(yīng)對我國醫(yī)療電子數(shù)據(jù)安全問題的建議

（一）完善相關(guān)法律法規(guī)1.完善罰金刑，增加資格刑。目前我國刑法是以是否以牟利為目的來區(qū)分罰金的數(shù)額，而且也規(guī)定了“一般在違法所得的一倍以上五倍以下”數(shù)額限度。但是，如果侵犯公民個(gè)人信息的犯罪目的并不是牟利，那么罰金數(shù)額就應(yīng)依據(jù)受害人精神損害程度予以確定。正如前文所述，對于侵犯公民個(gè)人信息罪，刑法規(guī)定了自由刑和財(cái)產(chǎn)刑，而且量刑較輕，也未規(guī)定資格刑。但是，犯罪的低成本以及犯罪行為容易成癮才導(dǎo)致現(xiàn)在該類犯罪案件頻發(fā)，有的造成了嚴(yán)重的損害后果。因此，建議將資格刑引入到刑事立法當(dāng)中，在一定時(shí)間內(nèi)限制或者禁止犯罪行為人從事與公民個(gè)人信息有關(guān)的行業(yè)。

2.加快制定《個(gè)人信息保護(hù)法》。1976 年，德國《聯(lián)邦數(shù)據(jù)保護(hù)法》從數(shù)據(jù)收集、儲存等這個(gè)層面保護(hù)個(gè)人信息。1974 年，美國《隱私法》對政府機(jī)構(gòu)收集、儲存、公開個(gè)人信息以及信息主體的權(quán)利等有詳細(xì)規(guī)定。個(gè)人信息權(quán)內(nèi)容豐富，大量技術(shù)性規(guī)定無法被納入到人格權(quán)法之中，可以通過制定特別法予以補(bǔ)充。單獨(dú)制定《個(gè)人信息保護(hù)法》的另一個(gè)理由在于，侵犯個(gè)人信息權(quán)可能涉及到多種責(zé)任，不是民事責(zé)任所能涵蓋的，如果將其規(guī)定在人格權(quán)法中，對導(dǎo)致法律體系的不協(xié)調(diào)。綜上，進(jìn)行綜合立法有利于個(gè)人信息權(quán)的全方位保護(hù)。

3.細(xì)化隱私權(quán)的具體內(nèi)容。目前，我國民法典的編纂工作已進(jìn)入第二階段-各分編的制定，對于人格權(quán)是否獨(dú)立成編在學(xué)界的討論也非常的熱烈。無論是否獨(dú)立成編，在民法典的分編中應(yīng)進(jìn)一步細(xì)化隱私權(quán)的內(nèi)容和相關(guān)法律保護(hù)，形成隱私權(quán)與個(gè)人信息權(quán)之間的相互協(xié)調(diào)。

4.成立專門數(shù)據(jù)保護(hù)機(jī)構(gòu)。目前世界上很多國家均設(shè)置有專門數(shù)據(jù)保護(hù)機(jī)構(gòu)對數(shù)據(jù)資源開發(fā)與利用過程中的信息隱私進(jìn)行保護(hù)。該機(jī)構(gòu)除了有對數(shù)據(jù)隱私保護(hù)的指導(dǎo)、建議權(quán)，還能夠?qū)π畔⑹袌龅倪M(jìn)行執(zhí)法監(jiān)管。在必要時(shí)，該機(jī)構(gòu)可以作為獨(dú)立訴訟主體，代表公民利益，提起公益訴訟。

5.關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)規(guī)則應(yīng)細(xì)化。建議出臺《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》，針對監(jiān)測預(yù)警、數(shù)據(jù)安全、應(yīng)急處置、監(jiān)管措施等方面應(yīng)作出具體、細(xì)化的規(guī)定。另外，地方各級人民政府也應(yīng)結(jié)合本地情況制定行政區(qū)域內(nèi)實(shí)施細(xì)則，有關(guān)關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)安全保護(hù)的科學(xué)研究和經(jīng)費(fèi)撥款等相關(guān)配套制度也應(yīng)同期完成。

（二）革新技術(shù)手段1.采用數(shù)字簽名和時(shí)間戳?！皵?shù)字簽名”（又稱公匙數(shù)字簽名或電子簽章），就是只有信息發(fā)布者才能產(chǎn)生的他人無法偽造或篡改的一段數(shù)字串，是一種用于鑒別數(shù)字信息的方法；同時(shí)也是對信息真實(shí)性的有效證明之一。相關(guān)法律已經(jīng)明確，數(shù)字簽名與手寫簽名和蓋章一樣，具有同等的法律效力。而且數(shù)字簽名簽署之后，若再次對其和醫(yī)療電子病歷之內(nèi)的電子數(shù)據(jù)進(jìn)行修改，會留下改動痕跡?！翱尚艜r(shí)間戳”，是權(quán)威服務(wù)中心簽發(fā)，可記錄和證明電子數(shù)據(jù)產(chǎn)生的準(zhǔn)確時(shí)間。把數(shù)字簽名和時(shí)間戳統(tǒng)一結(jié)合的運(yùn)用在醫(yī)療電子數(shù)據(jù)中，可以保障醫(yī)療電子數(shù)據(jù)生成時(shí)間的唯一性、完整性以及可驗(yàn)證性。

2.采用PKI加密技術(shù)。PKI加密技術(shù)是一種遵循標(biāo)準(zhǔn)的利用公匙加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。電子病歷等文件正是基于這種加密技術(shù)來保障信息的安全的，且多采用指紋和密碼的雙重設(shè)置來認(rèn)證，可以大大減少醫(yī)療系統(tǒng)內(nèi)部的醫(yī)生隨意查看和調(diào)動患者病歷等個(gè)人信息的可能性，從而降低內(nèi)部泄密的風(fēng)險(xiǎn)。

3.加強(qiáng)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)安全技術(shù)保障。一是醫(yī)療機(jī)構(gòu)應(yīng)該采用區(qū)域網(wǎng)絡(luò)，綁定客戶端MAC地址，防止未授權(quán)的計(jì)算機(jī)并入醫(yī)院的網(wǎng)絡(luò)醫(yī)院。

二是對醫(yī)院區(qū)域網(wǎng)絡(luò)進(jìn)行安全分級，確立安全分級系數(shù)，安全系數(shù)低的PC端應(yīng)該提高安全系數(shù)。三是不同地域、不同級別的醫(yī)療機(jī)構(gòu)之間，應(yīng)該和醫(yī)保中心聯(lián)網(wǎng)，進(jìn)行醫(yī)療電子數(shù)據(jù)的共享。四是規(guī)定電腦應(yīng)該安裝殺毒軟件和防火墻，定期進(jìn)行安檢和殺毒。五是對于數(shù)據(jù)的安全防護(hù)及備份要及時(shí)，保證重要的醫(yī)療數(shù)據(jù)在交互共享時(shí)不被破壞，同時(shí)還應(yīng)不斷完善數(shù)據(jù)備份的相關(guān)管理流程。六是準(zhǔn)備應(yīng)急備案，若遇到斷電斷網(wǎng)等特殊情況，應(yīng)該保證醫(yī)療電子數(shù)據(jù)正常錄入儲存，不受毀壞，保證醫(yī)療電子數(shù)據(jù)的完整性。

（三）增強(qiáng)醫(yī)療相關(guān)行業(yè)的安全意識1.增強(qiáng)醫(yī)療行業(yè)的安全意識。醫(yī)療行業(yè)要加強(qiáng)對從業(yè)人員法律意識的培養(yǎng)，嚴(yán)格控制數(shù)據(jù)的使用權(quán)限和遵循最小范圍使用原則。醫(yī)療機(jī)構(gòu)、疾控部門等要重視數(shù)據(jù)安全風(fēng)險(xiǎn)評估的工作，事前有效預(yù)防安全風(fēng)險(xiǎn)。另外，信息安全培訓(xùn)計(jì)劃應(yīng)嚴(yán)格執(zhí)行并落實(shí)到位。2.增強(qiáng)醫(yī)藥領(lǐng)域互聯(lián)網(wǎng)企業(yè)的安全意識。醫(yī)藥領(lǐng)域的互聯(lián)網(wǎng)企業(yè)要切實(shí)提高數(shù)據(jù)安全意識，進(jìn)行有效的數(shù)據(jù)安全管理，積極維護(hù)系統(tǒng)和更新升級，防止黑客惡意攻擊。要有嚴(yán)格的數(shù)據(jù)分級機(jī)制，從信息產(chǎn)生、存儲、傳輸、訪問、銷毀等諸多環(huán)節(jié)要有完備的安全運(yùn)營體系，充分保證數(shù)據(jù)完整性和可靠性。還應(yīng)依照相關(guān)法律法規(guī)，制定行業(yè)保密協(xié)議，防止內(nèi)部人員泄漏和販賣醫(yī)療電子數(shù)據(jù)。