目前我国尚未建立起完整的个人医疗信息立法保护体系，尚未把患者隐私权作为一项独立的人格权在法律上加以规定，只是将隐私权归于名誉权加以保护，而这远远不能为保护个人医疗信息提供理论基础。多数涉及个人医疗信息保护的法律条款常散见于法律、行政法规中，缺乏统一性和连贯性，一些相关法规过于空泛，针对性不强，在司法实践中面临难以操作的窘境。比如2009年2月出台的《刑法修正案（七）》在刑法第253条后增加1条，其中第一款规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。2009年12月出台的《侵权责任法》规定，医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。

国家卫生和计划生育委员会在2014年5月出台了《人口健康信息管理办法（试行）》，对人口健康信息的范围进行规定，指出各级各类医疗卫生计生服务机构是人口健康信息管理中的责任单位，并要求责任单位或个人不得超出授权范围利用和发布人口健康信息，不得将获得的人口健康信息擅自提供给他人利用。当相关单位和个人违反本办法规定造成数据丢失、破坏、隐私泄露等不良后果的，主管部门或责任单位应当对其予以通报；情节严重、违反国家法律法规的，需依法追究其法律责任。但这仅仅属于部门规章，难以发挥有效作用。我国卫生部（国家卫生和计划生育委员会前身）已经颁布了《电子病历基本规范（试行）》规章，制定了《电子病历系统功能规范（试行）》和《卫生系统电子认证服务管理办法（试行）》，但是在电子病历的立法方面并不完善，尤其对于电子病历的合法性认定并不明确。另外，虽然我国已出台涉及个人信息保护方面的法律有将近40部，法规有30部，但至今尚未出台一部专门的《个人信息保护法》，这与全球个人信息保护立法趋势有点格格不入。比如近年来亚洲邻国日本、韩国、新加坡、马来西亚、菲律宾等国家均出台或者修订了个人信息保护法。立法的滞后无法对包括个人医疗信息在内的个人敏感信息实现有效监管，这也在一定程度上增加了我国目前公民个人医疗信息安全侵害事件的发生频率，加剧了不良影响。(www.daowen.com)