远程诊疗App后台录音权限被滥用，患者隐私大量泄露

有一位资深医生，平时在医院坐诊，同时也在一款远程诊疗App上提供线上咨询服务。找他的患者很多，有看不孕不育的、有咨询慢性病管理的、还有一些心理问题的。线上问诊的好处是患者不用专门跑一趟医院，在手机上就能看病，大大节省了时间和交通成本。

医生每次线上接诊都会通过App的视频通话功能跟患者交流。这位医生很认真，每次问诊都会详细询问患者的症状、病史、用药情况。患者也很信任医生，把各种隐私信息都毫无保留地告诉了医生。这些对话涉及的内容非常敏感，包括患者的身体检查结果、生育史、心理创伤、家庭遗传病等等。

医生在问诊过程中有一个习惯，就是会打开手机的录音功能，把问诊过程录下来，方便之后整理病历。他觉得这样做是对患者负责，确保病历记录的准确性。但他忽略了一个问题：他用的那款录音软件是第三方的，而且在安装的时候授予了它大量的系统权限。

那款录音软件本身没什么问题，问题出在它的后台有一个数据上传功能。录音文件的默认保存路径被设置到了云端，软件会定期自动把录音文件上传到开发商的服务器。开发商的服务器上存储了成千上万条这样的问诊录音，而且服务器的访问权限控制并不严格。后来服务器被黑客攻击，大量录音文件泄露到了公网上。

这些录音包含了大量患者的个人身份信息、健康状况、家庭背景，甚至还有一些人的身份证号、社保卡号等极度敏感的信息。信息泄露之后，有些患者遭到了诈骗电话的骚扰，对方能准确说出他们的病情和用药情况，让他们差点信以为真。还有一些人因为某些隐私疾病的曝光，在社会上受到了歧视。

这个案例暴露的是远程医疗中的数据保护问题。远程诊疗带来了极大的便利，但也带来了新的隐私风险。核心问题可以归纳为三个方面。

第一，医生在行医过程中产生的患者数据，其所有权和保密责任是法定的。医生在没有获得患者明确同意的情况下，不应该自行录制问诊过程。即使是为了医疗记录的准确性，也应该使用医院认可的合规系统，而不是随便找个第三方录音软件。

第二，手机App的权限管理太宽松了。医生给录音软件授予了后台录音、自动上传、网络访问等权限，这些权限组合在一起就等于把患者的隐私数据完全暴露了出去。在安装任何软件的时候，都应该仔细审视它申请的权限是不是真的需要。一个录音软件需要自动上传功能吗？需要后台持续录音吗？这些问题在安装的时候就该想清楚。

第三，远程诊疗平台本身也有责任。平台应该提供合规的诊疗记录功能，让医生不需要自行寻找录音工具。同时平台也应该对医生的操作行为进行必要的指导和规范，减少数据泄露的风险。

对患者来说，线上问诊时要多留一个心眼。你可以主动问一句：医生，这次问诊过程有没有录音？录音会保存多久？谁可以访问这些数据？如果是用第三方平台问诊的，可以看看平台的隐私政策，了解自己的数据是怎么被处理的。患者的健康数据是最敏感的个人信息之一，保护它的责任在医生、平台和患者自己三方面。任何一环出了问题，都可能造成不可挽回的后果。