醫(yī)院治理逝者信息泄漏制度有效性研究

林亞男，孫紹榮

（上海理工大學(xué) 管理學(xué)院，上海 200093）

信息泄露問題由來已久，并且一直困擾著普通民眾。隨著科技的發(fā)展、泄露渠道的增多和涉及經(jīng)濟利益的加大，醫(yī)院信息泄露問題更是引發(fā)了社會和政府的關(guān)注。近年來殯儀館間的激烈競爭使得一些商家看到了從醫(yī)院獲得病人信息的好處，醫(yī)院在信息管理制度上的不足和醫(yī)院內(nèi)部參差不齊的人員素質(zhì)給了商家利用金錢誘惑獲取信息的可能。病者家屬在逝者消息確定不久，甚至病人仍在搶救時就接到殯儀館的電話，這是對逝者家屬的另一重心理傷害。本文運用制度學(xué)對醫(yī)院現(xiàn)有的管理制度和內(nèi)部工作人員行為進行分析，運用效用理論比較分析行為人行為選擇，并從制度、教育、法律等方面提出了治理不良行為人行為的意見，提出了用心理成本來判斷該制度是否可行的觀點，為研究醫(yī)院逝者信息泄漏問題提供了新的思路。

1 文獻綜述

醫(yī)院的信息管理研究主要從人、設(shè)備和制度3個方面進行。其中，對人的管理主要在于促進工作人員的個體素質(zhì)提升，如王文菁[1]提出加強監(jiān)督管理和醫(yī)務(wù)工作人員的職業(yè)技能、職業(yè)道德的培養(yǎng)與教育工作等建議。對設(shè)備的研究主要體現(xiàn)在如何準確進行信息資料的傳輸，以減輕人力負擔(dān)，避免失誤，如Qiu 等[2]通過實驗數(shù)據(jù)證明建立與應(yīng)用醫(yī)院信息系統(tǒng)能夠減少醫(yī)療失誤，降低醫(yī)療成本，從而提高醫(yī)院服務(wù)和管理效果。但信息的大量傳輸也帶來了信息泄漏的危險，一部分學(xué)者從限制設(shè)備訪問權(quán)限角度進行信息管理。如Jeong 等[3]建議使用動態(tài)身份驗證方法來訪問信息系統(tǒng)以避免不相關(guān)人員接觸信息資料的可能，然而這種方式對擁有權(quán)限的內(nèi)部人員并不能起到很好的約束作用。因此，一部分學(xué)者嘗試從制度規(guī)范角度進行信息管理，如康敬梅[4]針對醫(yī)院檔案信息化建設(shè)過程中出現(xiàn)的問題，提出完善管理制度的建議。國內(nèi)關(guān)于制度的研究還只停留在初步設(shè)想階段，并未對制度設(shè)計的具體方面進行分析，鑒于此，本文從制度設(shè)計的條件這一角度對醫(yī)院內(nèi)部不良行為人信息泄漏這一不良現(xiàn)象進行深入研究。

設(shè)計制度時要考慮諸多因素，首先需要考慮其有效性。Stiglitz[5]提出由于真假信息混雜，所以制度設(shè)計時應(yīng)遵循一定的原則。制度的設(shè)計需要進行合理性檢驗，崔馳等[6]通過對公共品進行自愿捐贈機制試驗，得出外生制度檢驗制度的有效性，內(nèi)生制度通過約束行為來檢驗制度穩(wěn)定性的結(jié)論。制度的設(shè)計需要考慮個體行為的復(fù)雜性，如孫紹榮[7]提出的行為發(fā)生三要素：項目、資源、回報[8]，為行為控制研究提供了理論依據(jù)。公共選擇理論常用來研究群體行為，其理論核心是“理性人”假設(shè)[9]。“理性人”假設(shè)指人們能夠準確地判斷不同方案的實際效用，并能夠根據(jù)判斷結(jié)果準確地選擇效用最大的行為。選擇效用最大的行為意味著個體的行為選擇具有優(yōu)先度。不同于以往研究只考慮經(jīng)濟因素，孫紹榮[10]的制度工程學(xué)考慮到文化、社會的獎懲因素，從制度本身出發(fā)，綜合考慮設(shè)備對人的行為的影響，為研究醫(yī)院內(nèi)部不良行為人信息泄漏行為提供了新的思路。在實際運作中，制度確定后，個體遵從制度的程度受到制度執(zhí)行的難易度、不執(zhí)行制度的懲罰程度以及個體對不同懲罰程度的心理成本所影響。考慮到個體差異，本文運用心理成本這一理念。李繼先[11]提出心理成本為進行個人行為需要投入的情感和人格，其值的大小受到心理需求、價值觀等影響。Smith[12]考慮到環(huán)境、心理等因素，對如何管理學(xué)齡前兒童課堂的不良行為提出了建議。綜合以上在行為管理方面的研究成果，針對醫(yī)院逝者信息泄露加劇的情況，考慮心理成本對個體行為的影響，對現(xiàn)有制度提出改進意見，對醫(yī)院逝者信息泄露的發(fā)生條件及制度的有效性進行研究，不僅為醫(yī)院的信息化管理建設(shè)提供了思路，也為完善醫(yī)院管理制度提供理論框架。

2 醫(yī)院管理現(xiàn)狀分析

HIS系統(tǒng)（hospital information system）是為醫(yī)院管理特定開發(fā)的信息管理系統(tǒng)[13]，因其存儲庫存大、模塊清晰、實時反饋等優(yōu)勢被醫(yī)院廣泛應(yīng)用。HIS系統(tǒng)雖然提高了醫(yī)院的管理效率，但也隱藏著信息泄漏的風(fēng)險。信息泄露的途徑主要分為兩類：網(wǎng)絡(luò)黑客攻擊HIS系統(tǒng)獲取資料進行售賣和醫(yī)院內(nèi)部人員將信息賣給商家。對于第一種泄露途徑更多的是需要技術(shù)和政府的支持，例如醫(yī)院可以運用防火墻軟件來降低電腦被入侵和中病毒的風(fēng)險，以及提高信息人員的技術(shù)水平，對于可能出現(xiàn)的漏洞進行及時補救和預(yù)防。政府在加強法律對黑客違法行為處罰力度的同時也要重視對技術(shù)型人才的培養(yǎng)。本文僅對第二種泄露途徑中醫(yī)院內(nèi)部人員泄露逝者信息的行為進行分析并對現(xiàn)有制度進行改進。

2.1 行為人介紹

針對醫(yī)院出現(xiàn)病人剛被宣布死亡，或者仍在手術(shù)搶救中就有殯儀館工作人員打擾逝者家屬的情況，現(xiàn)對病人從入院到住院到手術(shù)無效死亡的過程中可能導(dǎo)致信息泄漏的人員及其行為進行分析。根據(jù)行為人工作的性質(zhì)分為兩類：一是有正規(guī)權(quán)限可以登錄到HIS系統(tǒng)的行為人如醫(yī)生、護士，醫(yī)生和護士可以分別登入醫(yī)生工作站和護士工作站查詢到病人家屬的聯(lián)系方式；二是無法接觸HIS系統(tǒng)的行為人如護工，護工的選擇方式有兩種，一種是病人家屬從護工公司或者社會中尋找的陪護人員，另一種是醫(yī)院自行安排的人員。這兩種護工的行為都受到一定的約束，即當(dāng)護工服務(wù)不合格時，家屬有更換人員的權(quán)利。根據(jù)病人病情以及家屬意愿，護工可以采取一對一或者一對多的服務(wù)模式[13]。

2.2 泄漏行為發(fā)生條件

根據(jù)行為人工作的性質(zhì)，對其發(fā)生信息泄漏的原因進行歸納：

a. 行為人信息泄漏的心理成本較低。因心理成本具有無形性特點，本文采用孫紹榮教授提出的心理成本概念[10]，即信息泄露引起的懲罰。不同行為人所處環(huán)境、職位、性格的不同，愿意進行信息泄漏的心理成本也不同。不同行為人心理成本取值區(qū)間設(shè)為0～10，分值越高則表示抵抗外界誘惑能力越強。對于本身心理成本低于商家報價的行為人來說，他們進行信息泄漏的概率要高于本身心理成本高于商家報價的行為人。

b. 行為人自由度高，監(jiān)控力度低。醫(yī)院人員流動大，醫(yī)院的管理制度通常是對行為結(jié)果的懲處，對行為的監(jiān)控以及控制不良行為發(fā)生概率的管理條例甚少。醫(yī)生和護士不僅能夠登入HIS系統(tǒng)接觸大量患者信息且擁有獨立辦公環(huán)境，通常辦公室人員少且無攝像監(jiān)控[14]，運用外延設(shè)備如USB對患者信息進行拷貝或者手機、相機等設(shè)備進行通訊或攝像進行泄漏被查處的概率極低。護工和病人接觸機會多，能實時了解病人的身體狀況，除照顧病人外無固定場所，流動性強，可以用電話通知殯儀館工作人員。

c. 醫(yī)院管理制度不夠完善。2017年6月，最高人民法院和最高人民檢察院就個人信息被侵犯等10種違法行為的處罰規(guī)定進行了聯(lián)合聲明，法律的條例根據(jù)信息泄漏的數(shù)量程度進行不同金額的等級處罰，情節(jié)嚴重的采取刑事處罰，但很多企業(yè)仍未對信息泄漏進行明確規(guī)定，作為掌控眾多國民信息的醫(yī)院對信息泄漏的處罰也沒有明確而具體的規(guī)定。

3 行為人信息泄漏孫氏圖模型分析

3.1 模型介紹

醫(yī)院制定的行為管理制度結(jié)構(gòu)中，制度部件是最基本的結(jié)構(gòu)單元，制度部件可以是執(zhí)行人、機器設(shè)備甚至是更加細分的制度。為清晰、方便地研究行為管理制度，孫紹榮教授開發(fā)了一種專門描述制度結(jié)構(gòu)的符號圖即孫氏圖，運用抽象符號代表制度部件并通過一定的邏輯繪制。孫氏圖研究行為管理制度的可實施性在于行為發(fā)生的3個必要條件，即行為資源 r 、行為機會 P、行為效用 U 。其中，行為資源指進行行為所需要的消耗品，行為機會決定了行為發(fā)生的可能性，通常用概率來表示。行為機會受觀測器等環(huán)境因素影響較大，因此在改進制度中可以通過降低行為機會來達到約束行為的目的。從理性人角度出發(fā)，當(dāng)行為效用為正時，行為人才有選擇行為的可能，行為效用可以通過一定的運算規(guī)則來計算。醫(yī)院治理不良行為人泄漏逝者信息的行為管理主要采取懲罰制度，其孫氏圖如圖1所示。

圖1 二元行為管理制度的孫氏圖[10]Fig.1 Sun's chart of the binary behavior management system

圖1 中，行為人可以采取的行為用 bi表示，且這些行為之間相互獨立不重合。假設(shè)行為風(fēng)險為中性， b1為正常行為即個人不進行信息泄漏等不良行為，針對醫(yī)生與護士擁有單獨的辦公室場所導(dǎo)致的可能采用外延設(shè)備拷貝信息的問題，可以采用外延設(shè)備接口管理軟件禁止設(shè)備插入。 b2為個體進行不良行為即醫(yī)生、護士運用手機、相機等設(shè)備進行通訊或攝像進行泄漏，護士電聯(lián)商家銷售信息等行為。 Mi表示行為人選擇行為的心理成本，正常行為人不進行信息泄漏即心理成本M1=5 。 Ci表示行為人進行行為活動時的行為成本，例如購買USB等泄漏設(shè)備， C1=0 。 ri表示由于觀測器效力導(dǎo)致的個體行為產(chǎn)生的收入， r1為正常行為的收入即工資， r2是個體進行不良行為未被觀測到而得到的工資與販賣信息的銷售收入i之和，即 r2=r1+i。 P21為行為人進行不良行為被查處或者檢舉的概率。 S2表示管理者對不良行為者的懲罰。 P22為行為人進行不良行為卻未被查處的概率。行為人行為選擇參數(shù)如表1所示。

表1 行為人行為選擇參數(shù)表Tab.1 Behavior selection parameter list of behavioral person

3.2 制度有效性分析

3.2.1 行為選擇分析

為促使行為人選擇遵守規(guī)則的良好行為，則正常行為產(chǎn)生的效用應(yīng)大于不良行為的效用，即

當(dāng)管理者制定的制度確定后，行為人對于信息泄漏的心理成本也將確定，即式（1）中 r1， C1，M1， C2， M2， S2也 將確定，則效用值 U2的大小與r2， P21有 關(guān) ， 則 U2=-(S2+r2)P21-C2-M2+r2，將 U2看 成關(guān)于 P21的 一元函數(shù)，則 U2與 U1的效用對比圖如圖2所示。

圖2 行為效用對比曲線圖Fig.2 Behavioral utility comparison graph

從圖2可以看出當(dāng)收益 r2不變的情況下，觀測概率的增加會降低不良行為的效用，當(dāng)效用值U1高 出效用值 U2越大時，則行為人越會遵守規(guī)則。為使行為人更傾向于遵守規(guī)則的良好行為，則觀測力度 P21有最小值要求如式（2）所示。

觀測力度可以通過增加監(jiān)控設(shè)備或者舉報制度來提高，圖2中可以看出縱坐標截距與 r1， r2的大小有關(guān)，對式（1）進行變形可得到式（3）和式（4）。

式（3）表明收入 r1有最小值，在沒有嚴格懲罰機制的條件下，太低的收入會加大行為人不良行為的產(chǎn)生，如護工，所以在提高觀測力度 P21的同時應(yīng)加大懲罰力度來約束個體行為。式（4）表明管理者在設(shè)計制度時要使不良行為人的收益小于，由式（4）可知當(dāng) P 達21到上限時可以通過改變 S2的值來達到制度有效運行，對不良行為的懲罰需滿足式（5）。

為使制度有效管理行為人的行為，則懲罰力度存在最小值，為使行為人選擇良好行為，則懲罰值應(yīng)大于

3.2.2 制度可行性分析

效用 U1＞U2更多的是在制度生成后判斷制度的有效性，正如汽車等產(chǎn)品在正式放行之前都有試運行，制度的制定者在制定規(guī)則后，可以通過心理效應(yīng)的變化來確定制度的有效性，從而決定是繼續(xù)修改制度或者實行制度。考慮到個人思考方式與行為的獨特性，觀測器觀測到不良行為的概率在實際運營后才能準確得出，在設(shè)計制度時概率要通過以往的實踐數(shù)據(jù)以及增加新的觀測器獲取，并通過運算規(guī)則計算出來。

為使制度有效的前提是行為人進行信息泄漏的心理成本 M2＞，對醫(yī)生、護士和護工分別進行信息外泄的心理成本進行不記名打分，對于堅決不會進行信息泄漏的人員假設(shè)其心理成本為10，對選擇可能進行信息泄漏的人員則寫出分值，對打分結(jié)果制作復(fù)合餅圖，如圖3所示。

圖3 心理成本復(fù)合餅圖Fig.3 Psychological cost compound pie chart

圖3 中將醫(yī)生的數(shù)據(jù)進行再繪制，圖中M2＜所占的比例為該制度對醫(yī)生的失效比例。當(dāng)不考慮通貨膨脹的因素，從圖2可以看出當(dāng)制度改進后，＜則表明進行信息外泄的失效比例降低，說明該制度有效，可以實施，制度對人群有效率的控制比例由管理者決定。

3.3 治理不良行為的改善方法

3.3.1 增設(shè)監(jiān)控設(shè)備，鼓勵舉報制度

由于近年來醫(yī)鬧事件增多，醫(yī)院的監(jiān)控設(shè)備裝入數(shù)量不斷增加，但大多裝在人員流動強的走廊和安全性要求高的手術(shù)室等地區(qū)，對于普通的醫(yī)護辦公場所，監(jiān)控設(shè)備的裝入并不普遍，這給予醫(yī)護人員極大行為自由的同時也給不良行為人提供了進行不良行為的條件。由于醫(yī)護辦公桌是相對的非并排設(shè)計，安裝監(jiān)控設(shè)備時，最好前后增設(shè)2臺監(jiān)控設(shè)備，擴大監(jiān)控的視角，監(jiān)控內(nèi)容包括在HIS系統(tǒng)上的操作行為。增加監(jiān)控設(shè)備不僅可以對醫(yī)護行為進行約束，也為醫(yī)療糾紛解決提供依據(jù)。

由于信息泄漏通常經(jīng)由手機等通訊設(shè)備外泄，通訊設(shè)備具有隱秘性強且隱私性高的特點，沒有很充足證據(jù)時被發(fā)現(xiàn)的概率很低。因此，對不良行為的監(jiān)視，除了設(shè)備，離不開內(nèi)部員工和病患家屬的共同協(xié)助，對于內(nèi)部員工應(yīng)在合理排班的基礎(chǔ)上鼓勵舉報。對于舉報的人員可以根據(jù)查處結(jié)果的嚴重性進行物質(zhì)獎勵，不僅鼓勵醫(yī)護人員進行舉報，也鼓勵病患家屬對有異常行為的醫(yī)護人員進行舉報。家屬也可向院方進行反映，督促其對信息泄漏事件進行排查，從而加大信息泄漏人員被發(fā)現(xiàn)的概率。

3.3.2 重視法律法規(guī)，加大懲處力度

由式（5）分析可知，加大懲罰力度 S2可促進制度有效進行。對信息泄漏的處罰條例雖已頒布，但在各地區(qū)和企業(yè)內(nèi)部的實施情況并不樂觀。醫(yī)院作為信息泄漏的主要發(fā)生地之一，應(yīng)該積極采取措施響應(yīng)法律法規(guī)，遏制不良行為人行為。醫(yī)院制定懲罰制度時可以采取金額與行政處罰并進的方法，為加大處罰力度，對于不良行為人采取統(tǒng)一的較高的懲罰金額，并對不良行為人進行計分處分，作為其以后升職等考評依據(jù)之一。對于信息泄漏情節(jié)較嚴重的，直接交于司法機關(guān)進行刑事處理，對于信息泄露超過2次的護工將予以辭退，不再錄用。

3.3.3 加強思想教育，提高道德素養(yǎng)

行為人進行信息泄漏的心理成本與社會價值和個人修養(yǎng)息息相關(guān)。社會價值觀的培養(yǎng)離不開法律的普及與貫徹，因此，普及信息安全的相關(guān)法律，增強個人對信息的保護和維權(quán)意識十分必要。法律的懲治和社會道德的約束會對行為動機和選擇產(chǎn)生影響，從而達到提高國民道德素養(yǎng)的效果。一個優(yōu)秀的醫(yī)護人員不僅需要具備精湛的醫(yī)術(shù)，更需要具備良好的職業(yè)素養(yǎng)，不僅為病患病情負責(zé)，更要將維護患者利益和推動社會良好風(fēng)氣發(fā)展作為己任。

3.4 治理醫(yī)生不良行為案例

以上海市某一二級醫(yī)院的醫(yī)生為例，現(xiàn)管理者考慮加大懲處力度，增加監(jiān)控設(shè)備和舉報制度，但制度還未實施，對改進前后的制度參數(shù)進行對比。表中數(shù)據(jù)為假設(shè)數(shù)據(jù)，每一個數(shù)據(jù)為1～10分按嚴重程度打分，最高10分，如表2所示。

表2 制度改進前后制度參數(shù)對比表Tab.2 Comparison table of system parameters before and after the system reform

舉報制度的設(shè)想是在合理排班的基礎(chǔ)上鼓勵同值班的人員互相監(jiān)督，發(fā)現(xiàn)可疑行為可匿名舉報，一旦獲得證實，舉報人可獲得一定的獎勵。舉報的真實程度和個人在領(lǐng)導(dǎo)心中的信譽有關(guān)，這也一定程度上防止因私仇而惡意舉報的行為。在增加監(jiān)控設(shè)備和舉報制度后行為人信息泄漏被查出的概率為

4 結(jié) 論

出售逝者信息的行為無論從道德還是法律來講都是不容許的，在日益發(fā)展的殯儀館事業(yè)下，對信息泄漏行為進行管理控制，保障逝者及其家屬的隱私，給予逝者尊重，這是醫(yī)院的道義與責(zé)任。本文采用制度工程學(xué)的理論對醫(yī)院部門監(jiān)管逝者信息的泄漏情況進行研究，對醫(yī)院內(nèi)部可能進行逝者信息泄漏的人員進行原因和行為分析，運用孫氏圖模型對制度有效性進行分析，提出制度改進意見，以醫(yī)生為例對制度參數(shù)進行賦值檢驗，研究說明了心理成本可以作為判斷制度是否可實行的依據(jù)，提高觀測力度、加大懲罰力度可以有效約束行為人的行為。