Chủ thể có nghĩa vụ bảo đảm bí mật thông tin người bệnh trong hoạt động khám bệnh, chữa bệnh

Bài viết này bàn luận về chủ thể có nghĩa vụ bảo đảm bí mật thông tin người bệnh trong hoạt động khám bệnh, chữa bệnh theo quy định của pháp luật Việt Nam hiện hành, từ đó, đưa ra kiến nghị để hoàn thiện những quy định pháp luật có liên quan.

1. Các chủ thể có nghĩa vụ bảo đảm bí mật thông tin người bệnh trong hoạt động khám bệnh, chữa bệnh

1.1. Người hành nghề khám bệnh, chữa bệnh và các cơ sở khám bệnh, chữa bệnh - Chủ thể trực tiếp nắm giữ thông tin người bệnh

Chủ thể trực tiếp nắm giữ thông tin người bệnh trong hoạt động khám bệnh, chữa bệnh chính là người hành nghề khám bệnh, chữa bệnh và các cơ sở khám bệnh, chữa bệnh vì những chủ thể này tiếp cận trực tiếp với người bệnh; thu thập, quản lý và sử dụng thông tin người bệnh. Các chủ thể này thu thập thông tin người bệnh bằng nhiều phương thức khác nhau như: Hỏi trực tiếp người bệnh, quan sát triệu chứng của người bệnh, theo dõi tình trạng bệnh, vô tình nhìn được hoặc nghe được những hình ảnh, thông tin của người bệnh trong suốt quá trình khám bệnh, chữa bệnh. Chính vì vậy, theo quy định pháp luật, những chủ thể này phải có nghĩa vụ bảo đảm bí mật thông tin của người bệnh.

Khoản 2 Điều 3 Luật Khám bệnh, chữa bệnh năm 2009 quy định về nguyên tắc trong hành nghề khám bệnh, chữa bệnh quy định: “Tôn trọng quyền của người bệnh; giữ bí mật thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, trừ trường hợp quy định tại khoản 2 Điều 8, khoản 1 Điều 11 và khoản 4 Điều 59 của Luật này”.

Điều 8 Luật Khám bệnh, chữa bệnh năm 2009 cũng quy định người bệnh được giữ bí mật thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án (khoản 1); thông tin này chỉ được phép công bố khi người bệnh đồng ý hoặc để chia sẻ thông tin, kinh nghiệm nhằm nâng cao chất lượng chẩn đoán, chăm sóc, điều trị người bệnh giữa những người hành nghề trong nhóm trực tiếp điều trị cho người bệnh hoặc trong trường hợp khác được pháp luật quy định (khoản 2).

Năm 2023, Quốc hội đã ban hành Luật Khám bệnh, chữa bệnh có hiệu lực thi hành kể từ ngày 01/01/2024. Theo các quy định của Luật này thì việc giữ bí mật thông tin của người bệnh được quy định tại khoản 2 Điều 10 - Quyền được tôn trọng danh dự, bảo vệ sức khỏe và tôn trọng bí mật riêng tư trong khám bệnh, chữa bệnh như sau: “Được giữ bí mật thông tin trong hồ sơ bệnh án và thông tin khác về đời tư mà người bệnh đã cung cấp cho người hành nghề trong quá trình khám bệnh, chữa bệnh, trừ trường hợp người bệnh đồng ý chia sẻ thông tin theo quy định của pháp luật hoặc trường hợp quy định tại khoản 3 và khoản 4 Điều 69 của Luật này”.

Ngoài ra, khi quy định về nghĩa vụ đối với nghề nghiệp của người hành nghề khám bệnh, chữa bệnh, kế thừa những quy định của Luật Khám bệnh, chữa bệnh năm 2009, Luật Khám bệnh, chữa bệnh năm 2023 tiếp tục quy định nghĩa vụ này tại khoản 5 Điều 45 như sau: “Giữ bí mật tình trạng bệnh của người bệnh, những thông tin mà người bệnh đã cung cấp và hồ sơ bệnh án, trừ trường hợp người bệnh đồng ý chia sẻ thông tin và trường hợp quy định tại khoản 3 và khoản 4 Điều 69 của Luật này”.

Bên cạnh đó, Quyết định số 4054/QĐ-BYT ngày 22/9/2020 của Bộ Y tế ban hành tạm thời hướng dẫn và quy định tổ chức hội chẩn, tư vấn khám, chữa bệnh từ xa (Quyết định số 4054/QĐ-BYT) có quy định tại khoản 2 Điều 1 về Hướng dẫn về bảo mật thông tin trong hoạt động tư vấn khám bệnh, chữa bệnh từ xa. Tại Hướng dẫn này, nghĩa vụ của cơ sở khám bệnh, chữa bệnh phải bảo đảm bí mật thông tin của người bệnh được quy định rõ dưới dạng các biện pháp để hạn chế chia sẻ các thông tin cá nhân của người bệnh trong quá trình khám bệnh, chữa bệnh từ xa cũng như trách nhiệm của các tổ chức, cá nhân tham gia hội chẩn, khám bệnh, chữa bệnh từ xa (mục 4 và 5 của Hướng dẫn về bảo mật thông tin trong hoạt động tư vấn khám bệnh, chữa bệnh từ xa) cụ thể:

Thứ nhất, các biện pháp để hạn chế chia sẻ các thông tin cá nhân của người bệnh trong quá trình khám bệnh, chữa bệnh từ xa:

“- Không chia sẻ thông tin cá nhân của người bệnh như: Họ và tên đầy đủ, địa chỉ, hình ảnh mặt, cơ thể bệnh nhân hoặc các thông tin có thể định danh người bệnh bằng bất cứ hình thức nào (thông qua hình ảnh, văn bản, ghi âm…).

- Trường hợp buổi hội chẩn cần sự hiện diện của bệnh nhân: Phải sử dụng các biện pháp kỹ thuật để che, hoặc làm mờ hình ảnh mặt bệnh nhân.

- Không thực hiện tường thuật trực tiếp - “Live stream” các buổi hội chẩn, tư vấn khám chữa bệnh từ xa qua các mạng xã hội hoặc các hình thức khác mà có thể làm lộ thông tin cá nhân, hình ảnh mặt người bệnh và tình hình sức khỏe của người bệnh và những người tham gia buổi hội chẩn, hoặc tư vấn khám, chữa bệnh từ xa”.

Thứ hai, về trách nhiệm của các tổ chức, cá nhân tham gia hội chẩn, khám bệnh, chữa bệnh từ xa, Hướng dẫn yêu cầu cán bộ y tế tham gia hội chẩn, tư vấn khám bệnh, chữa bệnh từ xa “có trách nhiệm giữ bí mật và không chia sẻ thông tin người bệnh, người tham gia hội chẩn trong quá trình thực hiện hoạt động hội chẩn, tư vấn khám, chữa bệnh từ xa”.

Một số văn bản pháp luật và văn bản hành chính khác như: Luật Bảo vệ sức khỏe nhân dân năm 1989 (khoản 1 Điều 25); Luật Phòng, chống bệnh truyền nhiễm năm 2007 (Điều 33); Luật Phòng, chống nhiễm vi-rút gây ra hội chứng suy giảm miễn dịch mắc phải ở người (HIV/AIDS) năm 2006 (sửa đổi năm 2020) (Điều 30); Công văn số 5877/BYT-BH ngày 22/7/2021 của Bộ Y tế về kiểm tra, rà soát về an toàn, bảo mật thông tin dữ liệu của người bệnh trong khám, chữa bệnh có sử dụng bảo hiểm y tế trên toàn quốc là những cơ sở quan trọng nhằm khẳng định nghĩa vụ bảo đảm bí mật thông tin người bệnh của người hành nghề khám, chữa bệnh và cơ sở khám, chữa bệnh trong hoạt động khám, chữa bệnh tại Việt Nam.

1.2. Người bệnh - Chủ sở hữu đối với thông tin người bệnh

Trước tiên phải khẳng định rằng: Người bệnh là chủ sở hữu thông tin của chính mình, vì vậy, họ có toàn quyền chiếm hữu, sử dụng và định đoạt những thông tin của mình. Tuy nhiên, quyền của người bệnh đối với thông tin cũng gắn liền với nghĩa vụ bảo đảm bí mật thông tin của chính người bệnh đó trong một số trường hợp cụ thể. Điều này có nghĩa là, nếu người bệnh không tự mình bảo đảm bí mật thông tin của chính mình trong một số trường hợp thì những chủ thể khác sẽ có nhiều cơ hội tiếp cận những thông tin này một cách dễ dàng, dẫn đến tình trạng mua bán, tiết lộ thông tin người bệnh sẽ ngày càng phức tạp. Giả sử, ông A bị nhiễm HIV đang trong quá trình thử nghiệm một loại thuốc điều trị mới (chưa được công bố) và bản thân ông nắm được một số thông tin trong hồ sơ bệnh án của mình. Tuy nhiên, ông này lại chia sẻ, công bố thông tin về tình trạng bệnh cũng như loại thuốc mình đang điều trị với “người quen” hoặc các chủ thể khác mà ông ấy cho rằng đáng tin tưởng. Trong trường hợp này, thông tin về tình trạng bệnh của ông A và loại thuốc điều trị mới (chưa được công bố) có nguy cơ bị phát tán, chia sẻ và rò rỉ một cách dễ dàng vì ông này đã chủ động chia sẻ thông tin của bản thân đến các chủ thể khác. Ngược lại, nếu ông này ý thức về nghĩa vụ bảo đảm bí mật thông tin về tình trạng bệnh của mình, cũng như các thông tin liên quan đến hồ sơ bệnh án, loại thuốc điều trị thì thông tin này sẽ không có cơ hội bị tiết lộ và rò rỉ. Vì thế, nghĩa vụ bảo đảm bí mật thông tin người bệnh của chính người bệnh trong một số trường hợp cũng có ý nghĩa đặc biệt quan trọng trên thực tế, nhất là trong thời đại công nghệ số phát triển nhanh, mạnh như hiện nay.

Chúng ta cũng phải thừa nhận rằng nghĩa vụ bảo đảm bí mật thông tin người bệnh của chính người bệnh không phải là nghĩa vụ tuyệt đối và xuyên suốt trong mọi hoàn cảnh, mọi thời điểm và mọi trường hợp. Trái lại, người bệnh hoàn toàn có quyền cung cấp, tiết lộ thông tin của chính mình khi họ nhận thức được rằng việc chia sẻ thông tin trong những trường hợp đó là cần thiết và không nguy hại cho bản thân mình, cũng như không làm “rò rỉ” những thông tin liên quan đến chủ thể khác. Có thể khẳng định rằng, đây là điểm khác biệt đáng chú ý về nghĩa vụ bảo đảm bí mật thông tin người bệnh của người bệnh so với nghĩa vụ bảo đảm bí mật thông tin người bệnh của các chủ thể khác.

Hiện nay, trong các văn bản pháp luật hiện hành thì nghĩa vụ bảo đảm bí mật thông tin người bệnh của chính người bệnh chỉ được quy định tại Quyết định số 4054/QĐ-BYT (điểm c mục 5 của Hướng dẫn về bảo mật thông tin trong hoạt động tư vấn khám bệnh, chữa bệnh từ xa), cụ thể như sau: “Người bệnh hoặc người đại diện hợp pháp cho người bệnh đồng ý tham gia hội chẩn, tư vấn khám chữa bệnh từ xa, không tiết lộ danh tính và các thông tin cá nhân khác trong quá trình hội chẩn, tư vấn khám, chữa bệnh từ xa”.

1.3. Chủ thể thứ ba - Các chủ thể có liên quan

Chủ thể thứ ba là những chủ thể có được thông tin người bệnh thông qua sự ủy quyền của người bệnh, hoạt động nghề nghiệp, hoạt động học tập, nghiên cứu khoa học hoặc nhiệm vụ công vụ. Những chủ thể này không phải là chủ sở hữu những thông tin người bệnh và cũng không phải là chủ thể trực tiếp nắm giữ thông tin người bệnh. Vì vậy, để có thể thu thập, sử dụng thông tin của người bệnh, những chủ thể này sẽ phải thực hiện hành vi “đề nghị” cơ sở khám, chữa bệnh hoặc người bệnh cung cấp thông tin người bệnh cho mình. Việc tiết lộ và làm rò rỉ thông tin người bệnh sẽ không nguy hại đến bản thân những chủ thể này, do đó, họ sẽ có xu hướng tiết lộ và “mua bán thông tin người bệnh” để trục lợi hoặc thỏa mãn các nhu cầu cá nhân khác. Vì vậy, việc pháp luật cần có quy định rõ về nghĩa vụ của các chủ thể này trong việc bảo đảm bí mật thông tin người bệnh là đặc biệt cần thiết và quan trọng. Đây chính là cơ sở pháp lý để ngăn chặn những hành vi tiết lộ thông tin người bệnh và gây thiệt hại cho người bệnh.

Các chủ thể thứ ba ở đây bao gồm: (i) Học sinh, sinh viên, học viên, nghiên cứu viên của các cơ sở nghiên cứu, cơ sở đào tạo; (ii) Người hành nghề khám, chữa bệnh của cơ sở khám, chữa bệnh khác; (iii) Đại diện cơ quan quản lý nhà nước về y tế, cơ quan điều tra, Viện kiểm sát, Tòa án, thanh tra chuyên ngành y tế, tổ chức giám định pháp y, pháp y tâm thần, luật sư của người bệnh; (iv) Người hành nghề trong cơ sở khám bệnh, chữa bệnh nhưng không trực tiếp tham gia khám, chữa bệnh cho người bệnh; (v) Đại diện cơ quan bảo hiểm xã hội, cơ quan giải quyết bồi thường nhà nước; (vi) Người đại diện của người bệnh…

Điều 69 Luật Khám bệnh, chữa bệnh năm 2023 quy định những chủ thể nêu trên muốn khai thác hồ sơ bệnh án của người bệnh (tiếp cận, đọc, nghiên cứu, đề nghị cấp bản sao…) có nghĩa vụ giữ bí mật khi sử dụng thông tin trong hồ sơ bệnh án và chỉ được sử dụng đúng mục đích như đã đề nghị với cơ sở khám bệnh, chữa bệnh.

Ngoài ra, trong hoạt động khám bệnh, chữa bệnh từ xa, Quyết định số 4054/QĐ-BYT (điểm d mục 5 của Hướng dẫn về bảo mật thông tin trong hoạt động tư vấn khám bệnh, chữa bệnh từ xa) quy định một loại chủ thể thứ ba là: Tổ chức, cá nhân, doanh nghiệp có tham gia quản lý, cung cấp, vận hành, khai thác, ứng dụng Công nghệ thông tin trong hoạt động khám bệnh, chữa bệnh từ xa. Chủ thể này có nghĩa vụ:

“- Phối hợp chặt chẽ với các cơ sở y tế thực hiện tư vấn khám, chữa bệnh từ xa trong việc bảo mật thông tin cá nhân và thông tin sức khỏe của người bệnh tham gia tư vấn khám, chữa bệnh từ xa theo yêu cầu của Hướng dẫn này.

- Chịu trách nhiệm trước Pháp luật trong trường hợp tự ý tiết lộ thông tin cá nhân và thông tin sức khỏe của người bệnh tham gia tư vấn khám, chữa bệnh từ xa.

- Không được sử dụng hình ảnh, dữ liệu lưu trữ quá trình tư vấn khám, chữa bệnh từ xa với mục đích thương mại hoặc các mục đích khác dưới bất kỳ hình thức nào”.

2. Một số đề xuất, kiến nghị hoàn thiện quy định pháp luật

Thứ nhất, về nghĩa vụ bảo đảm bí mật thông tin người bệnh của người hành nghề khám, chữa bệnh và của cơ sở khám, chữa bệnh:

Nghĩa vụ bảo đảm bí mật thông tin người bệnh của chủ thể này được ghi nhận rất rõ tại khoản 2 Điều 3 Luật Khám bệnh, chữa bệnh năm 2009 dưới dạng là một trong những nguyên tắc trong hành nghề khám bệnh, chữa bệnh. Tuy nhiên, Điều 3 Luật Khám bệnh, chữa bệnh năm 2023 đã bỏ đi nguyên tắc này. Theo tác giả, đây là một “bước lùi” của Luật bởi chúng ta không thể phủ định tầm quan trọng của nguyên tắc này trong quá trình hành nghề khám, chữa bệnh, đặc biệt là trong bối cảnh hiện nay khi Nhà nước ta đang đề cao vấn đề bảo đảm an toàn thông tin cá nhân.

Vì vậy, tác giả kiến nghị cần bổ sung lại nguyên tắc “Tôn trọng quyền của người bệnh; giữ bí mật thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án” vào Điều 3 Luật Khám bệnh, chữa bệnh năm 2023.

Thứ hai, về nghĩa vụ bảo đảm bí mật thông tin người bệnh của chính người bệnh trong một số trường hợp cụ thể:

Có thể nhận thấy, người bệnh là chủ sở hữu đối với thông tin của họ nên họ hoàn toàn có quyền đối với thông tin của bản thân mình, tuy nhiên, không phải trong mọi trường hợp người bệnh đều có quyền “tiết lộ” thông tin của mình cho người khác mà họ cũng cần phải có nghĩa vụ bảo đảm bí mật thông tin của chính mình.

Hiện nay, pháp luật Việt Nam chưa quy định rõ những trường hợp nào người bệnh cần phải có nghĩa vụ bảo đảm bí mật thông tin của chính bản thân mình ngoài trường hợp quy định tại điểm c mục 5 của Hướng dẫn về bảo mật thông tin trong hoạt động tư vấn khám bệnh, chữa bệnh từ xa (tại Quyết định số 4054/QĐ-BYT).

Thực trạng pháp luật như vậy sẽ làm phát sinh một số bất cập trên thực tế, đó là: (i) Vậy người bệnh có nghĩa vụ bảo đảm bí mật thông tin trước các chủ thể nào và trong trường hợp nào?; (ii) Có phải người bệnh chỉ có nghĩa vụ bảo đảm bí mật thông tin của mình trong quá trình hội chẩn, tư vấn khám bệnh, chữa bệnh từ xa?; (iii) Trong các hoạt động khám bệnh, chữa bệnh trực tiếp thì người bệnh có cần bảo đảm bí mật thông tin của mình hay không (vì rõ ràng rằng thông tin người bệnh không chỉ hình thành trong hoạt động khám bệnh, chữa bệnh từ xa mà còn phát sinh trong các hoạt động khám bệnh, chữa bệnh trực tiếp, truyền thống)?

Do đó, tác giả đề xuất trong Luật Khám bệnh, chữa bệnh năm 2023 và các văn bản hướng dẫn thi hành cần có các quy định nêu rõ: Những trường hợp nào người bệnh có nghĩa vụ bảo đảm bí mật thông tin của mình trong quá trình khám bệnh, chữa bệnh; người bệnh cần bảo đảm bí mật thông tin của mình trước những chủ thể nào?

Thứ ba, nghĩa vụ bảo đảm bí mật thông tin người bệnh của chủ thể thứ ba.

Hiện nay, chủ thể thứ ba có nghĩa vụ bảo đảm bí mật thông tin người bệnh được quy định tại khoản 3 và 4 Điều 69 Luật Khám bệnh, chữa bệnh năm 2023 và điểm d mục 5 - trách nhiệm của các tổ chức, cá nhân tham gia hội chuẩn, khám bệnh, chữa bệnh từ xa tại Quyết định số 4054/QĐ-BYT. Đây là cơ sở pháp lý quan trọng để chủ thể thứ ba thực hiện nghĩa vụ bảo đảm bí mật thông tin người bệnh. Tuy nhiên, còn rất nhiều chủ thể thứ ba có nghĩa vụ bảo đảm bí mật thông tin người bệnh vẫn chưa được quy định tại khoản 3 và 4 Điều 69 Luật Khám bệnh, chữa bệnh năm 2023. Ví dụ như: Cơ quan thuế, cơ quan kinh doanh bảo hiểm nhân thọ… Vì vậy, để tránh bỏ sót các chủ thể, tác giả đề xuất bổ sung vào điểm a các khoản 4 Điều 69 như sau: “a) Đại diện cơ quan quản lý nhà nước về y tế, cơ quan điều tra, viện kiểm sát, tòa án, thanh tra chuyên ngành y tế, tổ chức giám định pháp y, pháp y tâm thần, luật sư của người bệnh và các chủ thể khác theo luật định được tiếp cận, cung cấp hồ sơ bệnh án để thực hiện nhiệm vụ theo quy định của pháp luật có liên quan”.

Nguyễn Vương Quốc

Trường Đại học Kinh tế - Luật, Đại học Quốc gia TP. Hồ Chí Minh

(Nguồn: Tạp chí Dân chủ và Pháp luật Kỳ 1 (Số 388), tháng 9/2023)