Депутаты фракции «Новые люди» в Госдуме предлагают запретить доступ без письменного или электронного согласия гражданина к сведениям, составляющим медицинскую тайну, всем, кроме его лечащего врача,— в том числе полиции, военкомам, работодателям и даже искусственному интеллекту. Во вторник соответствующий законопроект вносят в Госдуму. По мнению авторов документа, такая мера исключит злоупотребления, которые ведут к утечке чувствительных данных в даркнет, а также защитит права граждан на неприкосновенность частной жизни, личную и семейную тайну. Опрошенные “Ъ” эксперты указывают, что баз с медицинскими данными в сети единицы и все они находятся в открытом доступе «в силу полной невостребованности», а предложенные поправки могут усложнить и без того запутанные взаимоотношения между пациентом, клиникой, страхователем и контролирующими органами.
Лидер партии «Новые люди» Алексей Нечаев (справа) и вице-спикер Госдумы Владислав Даванков
Фото: Дмитрий Духанин, Коммерсантъ
Лидер партии «Новые люди» Алексей Нечаев и его первый заместитель вице-спикер парламента Владислав Даванков во вторник вносят в Госдуму законопроект, который предлагает наделить граждан правом не раскрывать любым лицам, кроме их лечащих врачей, информацию о состоянии здоровья.
Депутаты хотят, чтобы медработник, которому по долгу службы может потребоваться скрытая пациентом информация, запрашивал право на ее использование, получая письменное или электронное согласие.
В пояснительной записке уточняется, что это позволит исключить правовые основания для возможного злоупотребления правом медорганизаций получать сведения, содержащие врачебную тайну пациента, а также будет способствовать «увеличению защищенности прав граждан на неприкосновенность частной жизни, личную и семейную тайну».
В законе «Об основах охраны здоровья граждан» указаны 11 ситуаций, когда допускается предоставление информации медицинского характера без согласия гражданина или его законного представителя. Например, когда речь идет о лечении человека, состояние которого не позволяет выразить волю; угрозе распространения инфекционных заболеваний, массовых отравлений и поражений; запросах органов дознания и следствия, суда, прокуратуры и ФСИН; обмене информацией медицинскими организациями, в том числе размещенной в информационных системах; учете и контроле в системе обязательного социального страхования. Именно два последних пункта привлекли внимание депутатов, так как «неограниченный круг лиц, работающих в медорганизациях, связанных с оказанием медицинских услуг в рамках ОМС, вправе получать весь объем информации о пациенте без его согласия и уведомления». Это, по мнению авторов, «создает предпосылки для увеличения случаев неправомерного использования сведений, составляющих врачебную тайну граждан». По их словам, на незаконных торговых площадках в даркнете «широко представлены услуги продавцов по продаже сведений, содержащих врачебную тайну». Злоумышленники, работающие в медицинских организациях, пользуются возможностью запрашивать такие данные в медицинской информационной системе без уведомления гражданина и используют их в незаконных целях, предупреждают депутаты. Кроме того, отмечают они, в ряде городов, например в Москве, практикуется предоставление информации о пациентах искусственному интеллекту для диагностики и прогнозирования заболеваний.
К концу прошлого года, согласно данным InfoWatch, объем похищенных данных из компаний в сфере здравоохранения вырос в 775 раз относительно 2021 года и составил 31 млн записей.
В числе компаний, которые допустили утечку в прошлом году,— лаборатория «Гемотест», в этом — интернет-аптека «Вита» (см. “Ъ” от 28 ноября 2022 года). Впрочем, как утверждает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян, даже несмотря на то что иногда случаются достаточно масштабные «сливы» из медицинских организаций (такие как утечка 14 млн пользователей «Гемотеста»), баз с медицинскими данными в даркнете единицы, и все они находятся в открытом доступе «в силу полной невостребованности». По словам эксперта, были случаи, когда на продажу выставляли списки клиентов коммерческих клиник, но и на них не было большого спроса, так как для мошеннических схем использование медицинских данных слишком сложно. «Кроме того, 152-ФЗ отдельно охраняет медицинские данные, а практически все утечки из медицинских организаций происходят в результате взлома, но не действий инсайдеров. Можно с уверенностью назвать всего несколько случаев за последние годы, когда именно инсайдеры похитили и разгласили списки инфицированных, и все они касались эпидемии COVID-19»,— добавляет господин Оганесян.
Поправки, предложенные «Новыми людьми», отметим, идут вразрез с недавними инициативами правительства. Так, в конце 2022 года кабмин внес в Госдуму законопроект, который позволяет МВД оперативно получать от Минздрава в электронном виде данные о результатах медицинских осмотров водителей. В середине апреля президент Владимир Путин подписал поправки к ряду законодательных актов, регламентирующие создание системы цифрового учета военнообязанных граждан. В базе данных реестра воинского учета будет 25 полей, содержащих информацию о гражданине, включая данные о состоянии здоровья. Правительство в связи с этим предложило военкоматам использовать данные напрямую из Единой государственной информационной системы в сфере здравоохранения.
«По нашему законопроекту без согласия гражданина данные не должны быть доступны никому, кроме лечащего врача. Если человек не захочет автоматически предоставлять свои данные для реестра военнообязанных, он должен иметь возможность эту информацию скрыть»,— уточнили в пресс-службе «Новых людей».
Медицинский адвокат Ирина Гриценко полагает, что необходимости вносить предложенные депутатами поправки сейчас нет. Она отмечает, что ст. 13 закона «Об основах охраны здоровья граждан» подробно описывает обязанности медицинской организации на сей счет: «Внесение еще одной поправки в предложенном варианте только усложнит и без того запутанные взаимоотношения между пациентом, клиникой, страхователем и контролирующими органами».
У юриста Comply (консультируют по вопросам права в сфере технологий, работы с данными) Артема Сафьянникова предлагаемые изменения вызывают ряд вопросов: «Например, не совсем понятно, что понимается под электронным согласием — согласие на обработку персональных данных в форме электронного документа, подписанное электронной подписью, в соответствии с ч. 4 ст. 9 закона о персональных данных или иная сущность». В целом же, по словам господина Сафьянникова, идею создания систем управления согласиями и разрешениями на доступ и иную обработку данных третьими лицами «как минимум следует поддержать, поскольку скорейшая апробация такой системы на основе государственных систем, возможно, даст импульс к развитию и закреплению в нормативном поле коммерческих систем управления разрешениями доверенными посредниками».