醫(yī)療行業(yè)隱私保護管理辦法第一章總則第一條目的與依據(jù)為規(guī)范醫(yī)療行業(yè)數(shù)據(jù)處理活動，保護患者個人隱私和信息安全，維護醫(yī)療行業(yè)正常秩序和公眾信任，促進醫(yī)療健康事業(yè)健康發(fā)展，依據(jù)國家相關(guān)法律法規(guī)及行業(yè)規(guī)范，結(jié)合醫(yī)療行業(yè)特點，特制定本辦法。第二條適用范圍本辦法適用于各級各類醫(yī)療機構(gòu)、醫(yī)療科研單位、醫(yī)療數(shù)據(jù)處理機構(gòu)以及其他涉及醫(yī)療健康信息收集、存儲、使用、加工、傳輸、提供、公開等數(shù)據(jù)處理活動的組織和個人（以下統(tǒng)稱“醫(yī)療相關(guān)主體”）。本辦法所指醫(yī)療隱私信息，主要包括患者的個人基本信息、健康狀況信息、診療記錄、檢查檢驗結(jié)果、用藥記錄、生物樣本信息以及其他與個人健康相關(guān)的敏感信息。第三條基本原則醫(yī)療相關(guān)主體在處理醫(yī)療隱私信息時，應(yīng)遵循以下原則：1.合法合規(guī)原則：嚴格遵守國家法律法規(guī)，確保數(shù)據(jù)處理活動有明確的法律依據(jù)或合同基礎(chǔ)。2.最小必要原則：僅收集與醫(yī)療服務(wù)、科研、管理等目的直接相關(guān)且為實現(xiàn)目的所必需的最小范圍信息。3.目的限制原則：數(shù)據(jù)處理的目的應(yīng)在收集時明確，并限定在該目的范圍內(nèi)，如需超出原范圍，應(yīng)重新獲得授權(quán)或同意。4.知情同意原則：在收集個人醫(yī)療隱私信息前，應(yīng)向信息主體明確告知收集、使用的目的、方式、范圍等事項，并獲得其明確、具體的同意。對于未成年人、無民事行為能力或限制民事行為能力人，應(yīng)獲得其監(jiān)護人的同意。5.安全保障原則：建立健全安全管理制度和技術(shù)防護體系，采取必要措施保障醫(yī)療隱私信息的保密性、完整性和可用性，防止信息泄露、篡改或丟失。6.主體權(quán)利保障原則：尊重和保障信息主體對其個人醫(yī)療隱私信息享有的查閱、復(fù)制、更正、補充、刪除以及撤回同意等權(quán)利。7.責(zé)任明確原則：明確各相關(guān)方在醫(yī)療隱私保護中的責(zé)任，確保責(zé)任落實到人。第二章醫(yī)療隱私信息的收集與告知第四條收集規(guī)范醫(yī)療相關(guān)主體收集醫(yī)療隱私信息，應(yīng)符合以下要求：1.具有合法、明確、具體的收集目的，且與醫(yī)療服務(wù)、科研、教學(xué)或管理等核心業(yè)務(wù)直接相關(guān)。2.直接向信息主體收集信息時，應(yīng)說明信息收集的主體、具體內(nèi)容、用途、存儲期限以及信息主體所享有的權(quán)利等。3.不得通過欺騙、誤導(dǎo)、脅迫等不正當(dāng)方式收集信息。4.除法律法規(guī)另有規(guī)定或緊急醫(yī)療救治等特殊情況外，收集個人敏感醫(yī)療信息需單獨獲得明確同意。第五條告知義務(wù)醫(yī)療相關(guān)主體在收集信息前，應(yīng)以清晰、易懂、顯著的方式向信息主體履行告知義務(wù)。告知內(nèi)容至少應(yīng)包括：1.信息處理者的名稱或姓名和聯(lián)系方式。2.醫(yī)療隱私信息的收集范圍、具體類別。3.信息處理的目的和方式。4.信息存儲的期限，如無法確定，應(yīng)說明確定存儲期限的標(biāo)準。5.信息主體依法享有的權(quán)利及行使方式。6.信息安全保障措施。7.法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項。若信息處理目的、方式或范圍發(fā)生重大變更，應(yīng)重新履行告知義務(wù)并獲得同意。第三章醫(yī)療隱私信息的存儲與使用第六條存儲安全醫(yī)療相關(guān)主體應(yīng)采取符合國家及行業(yè)標(biāo)準的安全技術(shù)措施和管理措施保護存儲的醫(yī)療隱私信息：1.對信息進行分類分級管理，對高敏感信息采取加密、脫敏等強化保護措施。2.建立安全的信息系統(tǒng)，定期進行安全檢測和風(fēng)險評估。3.明確數(shù)據(jù)存儲的責(zé)任人，建立數(shù)據(jù)訪問日志和審計機制。4.遵循最小存儲期限原則，在目的達成或存儲期限屆滿后，應(yīng)及時刪除或匿名化處理相關(guān)信息，法律法規(guī)另有規(guī)定的除外。第七條使用限制醫(yī)療隱私信息的使用應(yīng)嚴格限定在已告知并獲得同意的范圍內(nèi)：1.不得用于與醫(yī)療服務(wù)、科研、教學(xué)或管理無關(guān)的目的。3.因科研、統(tǒng)計等公共利益需要使用匿名化數(shù)據(jù)的，應(yīng)確保數(shù)據(jù)無法識別到特定個人，且不得通過技術(shù)手段或其他信息使其重新識別。第八條內(nèi)部管理醫(yī)療機構(gòu)應(yīng)加強對內(nèi)部人員的管理，包括：1.對接觸醫(yī)療隱私信息的人員進行背景審查和定期的隱私保護培訓(xùn)。2.簽訂保密協(xié)議，明確其保密義務(wù)和法律責(zé)任。3.嚴禁工作人員私自泄露、出售或非法向他人提供患者隱私信息。第四章醫(yī)療隱私信息的傳輸與共享第九條傳輸安全在進行醫(yī)療隱私信息傳輸時，應(yīng)確保傳輸過程的安全性：1.采用加密等安全傳輸方式，防止信息在傳輸過程中被竊取或篡改。2.對接收方的身份和資質(zhì)進行核實，確保信息發(fā)送給正確的接收方。第十條共享規(guī)范醫(yī)療隱私信息的共享應(yīng)遵循以下原則：1.共享必須具有合法目的，并獲得信息主體的明確同意，或符合法律法規(guī)規(guī)定的其他條件。2.共享前應(yīng)對接收方的隱私保護能力進行評估，并簽訂數(shù)據(jù)共享協(xié)議，明確雙方的權(quán)利、義務(wù)和責(zé)任。3.共享的信息范圍應(yīng)限于實現(xiàn)共享目的所必需的最小范圍。4.接收方應(yīng)按照共享協(xié)議的約定使用信息，不得超出范圍，并采取與提供方同等水平的安全保護措施。第十一條第三方合作醫(yī)療相關(guān)主體委托第三方處理醫(yī)療隱私信息，或與第三方合作涉及信息共享的，應(yīng)：1.對第三方的資質(zhì)、技術(shù)能力和隱私保護水平進行嚴格審查。2.簽訂書面委托協(xié)議或合作協(xié)議，明確信息處理的要求、雙方的權(quán)利義務(wù)以及違約責(zé)任。3.對第三方的信息處理活動進行監(jiān)督和管理，確保其符合本辦法及協(xié)議約定。第五章患者權(quán)利的保障與行使第十二條權(quán)利內(nèi)容患者作為信息主體，依法享有以下權(quán)利：1.查閱復(fù)制權(quán)：有權(quán)查閱、復(fù)制其個人醫(yī)療隱私信息。2.更正補充權(quán)：發(fā)現(xiàn)信息不準確或不完整的，有權(quán)請求更正或補充。3.刪除權(quán)：在特定情形下，如目的已實現(xiàn)、存儲期限屆滿或撤回同意等，有權(quán)請求刪除其個人信息。4.撤回同意權(quán)：有權(quán)撤回其對信息處理的同意，撤回同意不影響撤回前基于同意已進行的信息處理活動的效力。5.投訴舉報權(quán)：對醫(yī)療相關(guān)主體侵害其隱私的行為，有權(quán)進行投訴、舉報。第十三條權(quán)利行使醫(yī)療相關(guān)主體應(yīng)建立便捷的渠道，受理并及時響應(yīng)患者提出的權(quán)利行使請求：1.明確受理流程、處理時限和反饋方式。2.對合理的請求，應(yīng)積極配合，及時采取措施予以滿足；對不能滿足的請求，應(yīng)說明理由。3.處理請求時，應(yīng)采取必要措施核實申請人身份，防止信息被冒領(lǐng)或濫用。第六章安全事件的應(yīng)急與處置第十四條應(yīng)急預(yù)案醫(yī)療相關(guān)主體應(yīng)制定醫(yī)療隱私信息安全事件應(yīng)急預(yù)案，定期組織演練。預(yù)案應(yīng)包括應(yīng)急響應(yīng)流程、責(zé)任人、處置措施和恢復(fù)機制等。第十五條事件報告與處置發(fā)生或可能發(fā)生醫(yī)療隱私信息泄露、篡改、丟失等安全事件時，醫(yī)療相關(guān)主體應(yīng)：1.立即啟動應(yīng)急預(yù)案，采取補救措施，防止事態(tài)擴大。2.按照規(guī)定及時向行業(yè)主管部門和相關(guān)監(jiān)管部門報告。3.若事件可能對患者造成損害，應(yīng)及時通知受影響的患者，并告知其可能的風(fēng)險及應(yīng)對建議。第七章監(jiān)督與問責(zé)第十六條內(nèi)部監(jiān)督醫(yī)療相關(guān)主體應(yīng)建立內(nèi)部監(jiān)督機制，定期對本單位醫(yī)療隱私保護制度的落實情況進行檢查和評估，對發(fā)現(xiàn)的問題及時整改。第十七條外部監(jiān)督鼓勵社會各界對醫(yī)療行業(yè)隱私保護情況進行監(jiān)督?；颊呒捌渌麄€人或組織發(fā)現(xiàn)醫(yī)療相關(guān)主體存在違反本辦法行為的，可向其主管部門或相關(guān)監(jiān)管機構(gòu)投訴舉報。第十八條責(zé)任追究對于違反本辦法規(guī)定，造成醫(yī)療隱私信息泄露、濫用或其他侵害患者隱私權(quán)益行為的，醫(yī)療相關(guān)主體應(yīng)承擔(dān)相應(yīng)的管理責(zé)任。對直接負責(zé)的主管人員和其他直接責(zé)任人員，應(yīng)依據(jù)相關(guān)規(guī)定給予處分；構(gòu)成違法犯罪的，依法追究法律責(zé)任。第八章附則第十九條解釋權(quán)本辦法由[相關(guān)主管部門，例如：國家衛(wèi)生健康委員會]負責(zé)解釋。第二十條施行日期本辦法自發(fā)布之日起試行。試行期間，可根據(jù)實際情況及法律法規(guī)變化進行修訂和完