北京一家醫院醫療信息泄露被重罰！

看醫界

醫療信息泄露，北京一家醫院被罰款并責令停業

據“信網”消息，近日，北京和平中西醫結合醫院因醫療信息安全制度和保障措施不健全，以及醫療質量管理和安全措施缺失，被北京市朝陽區衛生健康委員會處以警告、罰款4.5萬元，并責令停止執業活動。

據“京朝衛醫罰〔2026〕0035號”行政處罰決定書顯示，北京和平中西醫結合醫院存在“醫療信息安全制度、保障措施不健全，導致醫療信息泄露，或者醫療質量管理和醫療技術管理制度、安全措施不健全”的問題。

依據《中華人民共和國基本醫療衛生與健康促進法》第一百零一條的規定，北京市朝陽區衛生健康委員會對該醫院作出警告、罰款45000元、責令停止執業活動、責令改正的行政處罰。

根據法律規定，醫療衛生機構的醫療信息安全制度、保障措施不健全，導致醫療信息泄露的，由縣級以上人民政府衛生健康等主管部門責令改正，給予警告，并處一萬元以上五萬元以下的罰款；情節嚴重的，可以責令停止相應執業活動，對直接負責的主管人員和其他直接責任人員依法追究法律責任。而此次處罰力度已接近法定罰款幅度的上限，且附加了責令停業的嚴厲措施。

企查查平臺信息顯示，北京和平中西醫結合醫院是一家二級中西醫結合醫院，始建于2006年，曾用名北京瑪麗婦兒醫院（2019年7月至2021年2月）。企業注冊資本500萬人民幣，實繳資本350萬人民幣，該醫院2024年工商年報顯示參保人數為230人。

值得注意的是，這家醫院并非首次受到行政處罰。2026年1月29日，北京市朝陽區衛生健康委員會公布行政處罰信息：

京朝衛醫罰〔2026〕0008號決定書顯示，因違反《醫療器械（881144）臨床使用管理辦法》，北京和平中西醫結合醫院被處以警告；

京朝衛醫罰〔2026〕0009號決定書顯示，因未按規定填寫、保管病歷資料，或者未按規定補記搶救病歷，違反《醫療糾紛預防和處理條例》，北京和平中西醫結合醫院被處以警告并罰款1.5萬元。

另據企業預警通統計數據，2020年以來該醫院多次被罰，涉及違規發布廣告或進行虛假、誤導宣傳，未依法履行職責，違反法律法規等多項問題。

名人就醫隱私外泄引發社會警醒

近年來，醫療領域信息泄露事件頻發，這當中還有一些涉及名人病歷泄露的事件，引發社會強烈關注。

3月24日晚，江蘇蘇州峰學蔚來教育科技有限公司發布訃告，知名考研老師張雪峰（本名張子彪）因突發疾病，經搶救無效去世。而在消息尚未確認，全網都在為張雪峰老師擔憂之時，一份姓名為“張子彪”的蘇州大學附屬第四醫院（蘇州市獨墅湖醫院）《特殊治療知情同意書》就已經在網上流傳。

網傳圖片顯示，這份文書內容涉及ECMO（體外膜肺氧合）等重癥治療措施，相關醫療文件疑似泄露，由此引發廣泛關注。有臨床醫生分析認為，該文件流傳到網上，較大可能與院內相關環節的信息泄露有關，反映出醫院在患者信息保護和內部文書流轉管理上還需進一步加強。事發后，蘇州市衛生健康委員會工作人員回應稱，領導已關注此事并正在處理。

2023年12月11日，知名演員周海媚病逝，令人惋惜。然而，此消息一經確認，一份疑似周海媚生前搶救的電子病歷截圖隨即在網絡上瘋傳，個人資料、就診時間、既往病史等信息一覽無余。

經警方調查，符某某（男，36歲）利用其在順義區某醫院工作的便利，出于炫耀目的，將病患的個人病歷拍照發至微信群，導致信息擴散，造成惡劣社會影響。符某某隨后被依法行政拘留，涉事職工也被暫停執業。

2019年10月，歌手林俊杰在江蘇鎮江開完演唱會后，因身體不適前往鎮江某醫院就診。出院后，網上竟出現售賣林俊杰輸液針頭的消息，其住院樓層、房號等信息也被泄露，令人匪夷所思。

此外，王楚欽、易建聯等諸多名人的就醫記錄都曾被泄露，無一暴露出醫療信息安全以及患者隱私保護方面的缺陷。

香港5.6萬病人資料遭泄露，醫管局致歉

當然，不僅僅是名人，普通民眾的就醫信息擁有同樣的隱私權。

就在前幾天，香港醫院管理局（醫管局）通報了一起嚴重的患者個人資料泄露事件。九龍東醫院聯網超過5.6萬名病人的醫療紀錄，以及逾千名醫管局員工的個人資料檔案，被上傳至“暗網”供免費下載，這是香港醫療系統近年來較為嚴重的隱私泄露事件之一。

醫管局調查通報，外泄資料涉及九龍東醫院聯網的56,000多名病人，外泄內容包括病人姓名、性別、香港身份證號碼、出生日期、醫院編號、預約日期及部分手術程序信息，同時涉及逾千名醫管局員工的個人檔案。

據悉，警方網絡及科技罪案調查科在接報后迅速展開調查，最終鎖定外泄源頭來自一間外判系統維護承辦商。經調查發現，該承辦商一名30歲的系統開發員未獲聯合醫院授權，通過遠程存取方式非法下載了部分病人及醫護人員資料。警方于4月7日在天水圍將其拘捕，涉嫌“有犯罪或不誠實意圖而取用計算機”罪名。

醫療信息安全不達標，大批醫院被罰

近年來，因為信息安全而被處罰的醫院也比比皆是。

2025年3月，衡山縣互聯網信息辦公室巡查發現，當地某醫院體檢系統MySQL數據庫服務存在弱口令漏洞，且該服務被映射到公網地址，導致醫療信息可被輕易獲取。調查認定，該醫院作為數據處理者，未建立健全全流程數據安全管理制度，未采取必要的技術措施保障數據安全，構成未履行數據安全保護義務的違法行為。同年7月，衡山縣互聯網信息辦公室對其作出責令改正、警告并處罰款五萬元的行政處罰。

2026年3月，淮南東方醫院集團總醫院因未落實信息安全管理制度，被淮南市衛生健康委員會依據《醫療糾紛預防和處理條例》處以警告、罰款10000元的行政處罰。

2025年6月，福建省石獅市醫院因“醫療信息安全制度、保障措施不健全”，被衛生健康部門依據《中華人民共和國基本醫療衛生與健康促進法》第一百零一條的規定予以行政處罰。

2021年7月至2025年3月，上海市閔行區某醫院醫生及區急救中心急救人員利用工作便利，通過疾病控制信息管理系統或救護車顯示屏獲取包含逝者住址、死亡時間、逝者親屬聯系方式等在內的個人信息800余份，違法提供給殯葬行業從業人員并獲取非法利益。涉案醫院被責令立即改正違法行為，并受到警告和罰款；涉案醫生被處以警告、罰款并暫停執業活動，相關急救人員的外包勞動關系被解除。

醫療信息關乎患者最核心的個人隱私，其泄露不僅損害患者權益，也動搖公眾對醫療體系的信任。北京和平中西醫結合醫院被責令停業的處罰，以及近年來一系列密集的行政處罰，向所有醫療衛生機構發出了強烈警示：醫療信息安全不是“軟指標”，而是必須守住的法律底線。

為此， 醫療機構應依據《數據安全法》《個人信息保護法》《基本醫療衛生與健康促進法》等法律法規，建立健全覆蓋數據采集、存儲、使用、傳輸、銷毀全流程的安全管理制度，明確各環節的責任主體和操作規范。制度的生命力在于執行，必須將制度要求落實到日常管理的每一個環節。