你在网上挂个号，名字、电话、身份证号——这些信息可能已经被人偷偷搬进了另一个数据库。

5月8日，最高人民法院发布5起侵犯公民个人信息犯罪典型案例，排在首位的是一起让医疗圈震动的案子：一家医院请来开发挂号系统的软件公司，反手就变成了窃密者，287万多条患者信息被悄悄拖走。主犯获刑五年六个月，创下同类医疗数据泄露案件的量刑纪录。

六年监守自盗，从后台默默偷到建了自动管道

事情得从十年前说起。2015年，博某软件有限公司拿到了某医院网上挂号系统的开发和维护合同。法定代表人何某某表面上是帮医院做系统，背地里从一开始就动了歪心思——他利用后台权限，暗中收集挂号用户的个人信息，再安排员工熊某、罗某某把数据一条条导入公司自建的数据库。

如果说前几年还是手工搬运，到2021年初就彻底升级了。熊某安排技术人员在给医院开发的软件里装了自动接口，挂号信息从此源源不断地自动流入公司的“私库”。

案发后，侦查人员从公司服务器、自建数据库以及何某某家中设备里提取了大量数据，去重后一算：2878070条。整整六年时间，近300万患者的个人隐私在这家公司手里“裸奔”。

单位罚30万，个人最高判五年半

江苏省无锡市锡山区人民法院审理认定，博某软件有限公司在提供服务过程中非法获取公民个人信息，情节特别严重，构成侵犯公民个人信息罪。

判决结果：公司罚金30万元；何某某等人被判处有期徒刑五年六个月至一年六个月不等，并处罚金十万元至一万元不等。

五年六个月——这个刑期在医疗数据泄露案件中是最重的一档。法院的态度很明确：互联网企业利用为医疗机构提供服务的便利非法获取患者信息，属于“在提供服务过程中收集公民个人信息”，情节严重就依法严惩，单位和个人一个都跑不了。

“内鬼”是最大漏洞

最高法这次一共发了五个典型案例，除了无锡这个医疗数据案，还有铁路客运员倒卖高铁出行信息、不法分子入侵学信网倒卖学历信息、搭建“社工库”搞网络“开盒”网暴、购买木马程序窃取疫苗预约信息搞精准诈骗。

五个案子有一个共同点：漏洞往往出在内部。最高人民法院刑三庭法官魏海欢在发布案例时点了一句很关键的话：“互联网企业在为医疗卫生领域提供服务过程中，应在服务和授权范围内合理合法地处理公民个人信息。”

换句话说，医院把数据交给你是为了做系统维护，不是让你建自己的数据库。越了这条线，就不是商业违约的问题了，是刑事犯罪。

政策也在堵漏

这起案件的时间跨度刚好赶上国家对医疗数据安全密集出台监管措施的几年。2026年2月14日，国家卫生健康委会同公安部、国家网信办等部门联合印发了《医疗卫生机构数据安全和个人信息保护管理办法（试行）》，七章四十条，从数据分类分级到全生命周期安全管理，再到个人信息保护，全方位划了红线。

管理办法里有一条直指此类案件的根源：医疗机构委托外部处理个人信息，必须事前评估、签保密协议。如果当时那家医院做了这一步——哪怕只是合同里多写几句——或许287万条数据就不会无声无息地被搬走。

对医疗机构来说，这起案子就是一本活教材。请外包公司做系统，不等于把数据安全的责任也外包出去。技术公司的权限边界、数据访问日志、定期安全审计，这些事不能再走过场。

对盯着医疗数据打主意的人，五年半的实刑判例就在那儿放着。患者隐私不是可以随便搬运的数字资产，偷信息的代价，比以前重得多。