摘要：沪上众多医疗机构的网络平台存在巨大安全缺口，区区一个名字加上身份证号这对组合，就能将任何人加为就诊对象，随后畅通无阻地浏览到包含诊疗记录和体检数据等高度敏感资料。这一令人不安的状况被姜姓市民偶然发现后举报至传媒机构。在当下智慧医疗飞速推进的大环境中，这种靠"双

沪上众多医疗机构的网络平台存在巨大安全缺口，区区一个名字加上身份证号这对组合，就能将任何人加为就诊对象，随后畅通无阻地浏览到包含诊疗记录和体检数据等高度敏感资料。这一令人不安的状况被姜姓市民偶然发现后举报至传媒机构。在当下智慧医疗飞速推进的大环境中，这种靠"双重标识"就能轻易翻阅他人健康档案的现象，无异于在个人隐私防线上挖了个大坑。数据外露不但侵害了公民合法权益，还可能引发连锁社会问题，后果不堪设想。

图片源自网络

姜先生身边的李女士正是这一漏洞的苦主。婚姻破裂后，其前任丈夫抱着报复目的，利用掌握的个人基础信息，长达两年持续登录沪上各大医院在线系统，窃取并向亲朋传播李女士的就医信息。尤为恶劣的是，部分心理健康诊疗内容被恶意公开，令李女士蒙受难以言表的精神痛楚。这种个人医疗秘密被肆意曝光的遭遇，犹如赤条条站在人群中央，无所遁形。本该最为保密的健康档案，却因系统漏洞变成了任人宰割的透明文件。

新闻人员与姜先生联手对沪上医院网络系统进行摸底，结果令人毛骨悚然：同济医院的防护墙形同虚设。仅凭他人的户籍信息，外加自己手机收到的验证短信，便可轻松将完全陌生的人纳入就诊名单。系统立刻显示"验证成功"，并自行连接该人此前注册的就医卡片。更为荒谬的是，调查人员随即能够调阅该人2021年全部医疗检查和体检内容，甚至能将详细资料打包下载。复旦大学眼耳鼻喉专科医院情况也不令人满意。

图片源自网络

虽然仅保留近三个月的资料，但添加陌生就诊人的流程同样简单，缺乏有效核验。复旦大学中山医院则采取"开设账户"方式。调查者使用他人基本身份信息，配合自己电话和随机银行卡数据，轻松完成注册并查看该人2023年众多医疗检查。最为讽刺的是，虽设置有"绑定授权"管理功能，允许患者控制信息查询权限，但实际测试证明，即使撤销了授权，依然无法阻断未授权的信息获取。

此类医疗隐私泄密隐患的危险性，源于个人身份信息获取几乎不设门槛，而医疗档案却属于极其敏感的私密资料。日常环境中，民众出入各类场所时常被要求登记姓名与身份证号，这使觊觎他人基础信息变得轻而易举。网上爆出的相似情况数不胜数：有求职者遭雇主以"背景核查"为名窥探医疗历史，有准婚人士被未来伴侣暗中查询健康状况。在情感纠纷、职场角力等场合，此类漏洞极易被不法利用，给当事人带来二度伤害。最令人忧心的是，这已经滋生了专门提供医疗档案探查的非法服务链。

图片源自网络

医疗机构采取如此松懈的身份核验体系，主要为了确保服务便捷。徐汇区中心医院门诊部一名员工坦言："系统设计初衷是方便患者及亲人掌握病情进展，恶意查询只是小概率事件。"过分繁琐的验证程序，确实会给大部分就医人群增添麻烦。同济大学法学院陈吉栋教授点明，问题根源在于缺乏全国统一的电子身份认证架构。医院为简化家属代办流程、提升服务质量，只得采用最简便但也最不安全的验证手段：姓名与身份证的简单组合。然而，究竟是否真的无法平衡安全与便利这一矛盾？

在各方压力下，部分医疗机构已着手升级系统安全性。上海第六人民医院新增身份证照片提交环节，除基本个人信息外，还须上传证件人像面才能完成核验。徐汇区中心医院则导入面部识别系统，要求个人信息与面部特征同步匹配才可通过审核。上海其他医院采取的对策更加周全：某些机构规定绑定他人就诊信息必须使用该人在院方留存的联系电话接收短信验证，并在信息中详述操作内容；还有医院规定仅允许为未满18周岁青少年和60岁以上老年人查询检查结果。这些做法在不影响服务流畅度的同时，也为隐私安全筑起了有效屏障。

图片源自网络

针对医疗数据保密与便民服务的两难困境，专业人士提出了诸多可行方案。上海市科学学研究所李辉研究员倡导建立多层级访问控制，非本人登录仅能浏览预约挂号、缴费等"基础服务"信息，查阅医疗档案等核心内容必须通过患者本人二次确认，同时限制查询期限。陈吉栋教授则强调，除未成年患者外，医疗机构应为所有就医者制定清晰的知情授权规则。他认为，服务效率与个人隐私并非鱼与熊掌不可兼得，医疗机构应将"隐私保障"视为医疗安全不可或缺的部分，通过技术手段与制度建设双管齐下划定合理边界。在《个人信息保护法》和《基本医疗卫生与健康促进法》的法律框架下，各医疗机构有法定义务采取严密措施保护患者隐私。如何在智慧医疗大潮中寻求效率与安全的最佳平衡点，是摆在每家医院面前的严峻考验。

来源：睿智的八挂章鱼