衡水市人民醫(yī)院數(shù)據(jù)安全法與患者信息隱私保護(hù)筆試試題一、單選題（每題2分，共20題）1.根據(jù)中國《網(wǎng)絡(luò)安全法》，醫(yī)療機(jī)構(gòu)處理患者健康信息時，必須遵循的核心原則是？A.收益最大化原則B.自由裁量原則C.最小必要原則D.公開透明原則2.衡水市人民醫(yī)院若需對外提供患者脫敏數(shù)據(jù)用于醫(yī)學(xué)研究，應(yīng)首先獲得誰的授權(quán)？A.患者本人或其近親屬B.院領(lǐng)導(dǎo)集體決策C.患者所在社區(qū)委員會D.省衛(wèi)生健康委員會3.醫(yī)療機(jī)構(gòu)電子病歷系統(tǒng)中，哪些信息屬于敏感個人信息？A.患者姓名、身份證號B.門診號、掛號時間C.體溫、血壓測量值D.以上全部4.《數(shù)據(jù)安全法》規(guī)定，醫(yī)療機(jī)構(gòu)對患者信息的存儲期限一般不少于多少年？A.3年B.5年C.10年D.15年5.衡水市人民醫(yī)院若發(fā)生患者信息泄露，應(yīng)立即啟動哪個應(yīng)急預(yù)案？A.財務(wù)審計預(yù)案B.醫(yī)療糾紛處理預(yù)案C.信息安全應(yīng)急響應(yīng)預(yù)案D.傳染病防控預(yù)案6.醫(yī)療機(jī)構(gòu)使用第三方云存儲服務(wù)時，必須簽訂的合同核心條款不包括？A.數(shù)據(jù)加密標(biāo)準(zhǔn)B.責(zé)任劃分協(xié)議C.廣告推廣條款D.數(shù)據(jù)銷毀機(jī)制7.患者有權(quán)要求醫(yī)療機(jī)構(gòu)刪除其個人信息，但以下哪種情況除外？A.法律法規(guī)要求留存B.傳染病防控需要C.醫(yī)療糾紛取證需要D.患者自愿匿名授權(quán)8.衡水市人民醫(yī)院內(nèi)部員工離職時，必須脫密多久？A.1個月B.3個月C.6個月D.1年9.醫(yī)療機(jī)構(gòu)對患者信息進(jìn)行匿名化處理后，仍需遵守《數(shù)據(jù)安全法》的哪些規(guī)定？A.禁止逆向識別條款B.嚴(yán)格訪問控制條款C.主動告知義務(wù)條款D.以上全部10.患者在醫(yī)院就診時，有權(quán)拒絕醫(yī)療機(jī)構(gòu)將其信息用于商業(yè)廣告，依據(jù)的是？A.《廣告法》B.《消費(fèi)者權(quán)益保護(hù)法》C.《數(shù)據(jù)安全法》D.《醫(yī)療糾紛處理?xiàng)l例》二、多選題（每題3分，共10題）1.醫(yī)療機(jī)構(gòu)對患者信息進(jìn)行分類分級管理時，通常分為哪幾類？A.一般信息B.敏感信息C.重要信息D.國家秘密2.衡水市人民醫(yī)院在患者授權(quán)情況下，可以將哪些信息用于健康管理服務(wù)？A.基本診療記錄B.體檢指標(biāo)數(shù)據(jù)C.既往病史總結(jié)D.醫(yī)保結(jié)算單據(jù)3.《網(wǎng)絡(luò)安全法》規(guī)定，醫(yī)療機(jī)構(gòu)需定期開展哪些安全培訓(xùn)？A.數(shù)據(jù)安全意識培訓(xùn)B.應(yīng)急響應(yīng)演練培訓(xùn)C.法律法規(guī)考核培訓(xùn)D.信息系統(tǒng)操作培訓(xùn)4.醫(yī)療機(jī)構(gòu)對患者信息進(jìn)行共享時，必須滿足哪些條件？A.獲得患者明確授權(quán)B.符合法律法規(guī)要求C.限制使用范圍D.未經(jīng)患者同意不得泄露5.衡水市人民醫(yī)院若使用人臉識別技術(shù)采集患者信息，必須遵守哪些規(guī)定？A.明確告知采集目的B.設(shè)置退出機(jī)制C.采取加密存儲措施D.僅用于掛號繳費(fèi)環(huán)節(jié)6.醫(yī)療機(jī)構(gòu)對患者信息泄露的處置流程包括？A.停止泄露行為B.通知患者并采取補(bǔ)救措施C.向監(jiān)管部門報告D.進(jìn)行內(nèi)部責(zé)任追究7.《數(shù)據(jù)安全法》對醫(yī)療機(jī)構(gòu)數(shù)據(jù)跨境傳輸?shù)囊蟀?？A.提交安全評估報告B.簽訂標(biāo)準(zhǔn)合同C.保障數(shù)據(jù)安全傳輸D.無需患者同意8.醫(yī)療機(jī)構(gòu)內(nèi)部信息系統(tǒng)權(quán)限管理應(yīng)遵循哪些原則？A.最小權(quán)限原則B.責(zé)任到人原則C.定期變更密碼原則D.交叉授權(quán)原則9.患者信息匿名化處理的有效方法包括？A.數(shù)據(jù)泛化B.混淆處理C.人工脫敏D.永久刪除個人信息10.衡水市人民醫(yī)院在處理患者投訴時，需注意哪些法律風(fēng)險？A.侵犯隱私權(quán)B.違反保密協(xié)議C.未履行告知義務(wù)D.未及時響應(yīng)投訴三、判斷題（每題2分，共15題）1.醫(yī)療機(jī)構(gòu)對患者信息的存儲期限可以由醫(yī)院自行決定，無需遵守國家規(guī)定。（×）2.患者在醫(yī)院就診時，其健康信息屬于醫(yī)院絕對保密范疇。（√）3.醫(yī)療機(jī)構(gòu)使用患者信息進(jìn)行商業(yè)分析，無需獲得患者同意。（×）4.衡水市人民醫(yī)院若使用區(qū)塊鏈技術(shù)存儲患者信息，可完全豁免數(shù)據(jù)安全責(zé)任。（×）5.醫(yī)療機(jī)構(gòu)員工離職后，其內(nèi)部賬號可長期保留，無需注銷。（×）6.患者有權(quán)要求醫(yī)療機(jī)構(gòu)公開其信息處理規(guī)則，醫(yī)療機(jī)構(gòu)必須配合。（√）7.醫(yī)療機(jī)構(gòu)對患者信息泄露的賠償責(zé)任僅限于直接經(jīng)濟(jì)損失。（×）8.醫(yī)療機(jī)構(gòu)在患者授權(quán)情況下，可將其信息用于第三方商業(yè)推廣。（√）9.醫(yī)療機(jī)構(gòu)對患者信息的加密存儲屬于被動防御措施。（×）10.衡水市人民醫(yī)院若發(fā)現(xiàn)患者信息泄露，可自行處理，無需上報。（×）11.醫(yī)療機(jī)構(gòu)對患者信息進(jìn)行匿名化處理后，可無限制使用。（×）12.醫(yī)療機(jī)構(gòu)對患者投訴的響應(yīng)時間不得超過3個工作日。（√）13.醫(yī)療機(jī)構(gòu)使用患者信息進(jìn)行人工智能訓(xùn)練，必須獲得倫理委員會批準(zhǔn)。（√）14.醫(yī)療機(jī)構(gòu)對患者信息泄露的處置流程應(yīng)書面記錄并存檔。（√）15.醫(yī)療機(jī)構(gòu)使用電子病歷系統(tǒng)時，無需對患者信息進(jìn)行定期備份。（×）四、簡答題（每題5分，共5題）1.簡述衡水市人民醫(yī)院在處理患者信息時應(yīng)遵循的基本原則。2.醫(yī)療機(jī)構(gòu)對患者信息進(jìn)行分類分級管理的意義是什么？3.衡水市人民醫(yī)院若發(fā)生患者信息泄露，應(yīng)如何處置？4.醫(yī)療機(jī)構(gòu)使用人工智能技術(shù)處理患者信息時，需注意哪些法律問題？5.患者有權(quán)拒絕醫(yī)療機(jī)構(gòu)將其信息用于哪些用途？五、論述題（每題10分，共2題）1.結(jié)合《數(shù)據(jù)安全法》和《個人信息保護(hù)法》，論述醫(yī)療機(jī)構(gòu)如何平衡數(shù)據(jù)利用與隱私保護(hù)的關(guān)系。2.衡水市人民醫(yī)院在患者信息安全管理方面，應(yīng)如何構(gòu)建完善的合規(guī)體系？答案與解析一、單選題答案與解析1.C解析：《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，即最小必要原則。醫(yī)療機(jī)構(gòu)需僅收集診療必需的信息，不得過度收集。2.A解析：《個人信息保護(hù)法》第二十一條規(guī)定，處理敏感個人信息需取得個人單獨(dú)同意。對外提供數(shù)據(jù)必須獲得患者本人或其近親屬授權(quán)。3.D解析：姓名、身份證號屬于直接識別個人身份的信息，體溫、血壓等雖與診療相關(guān)，但結(jié)合其他信息仍可能識別個人，故均屬敏感信息。4.C解析：《醫(yī)療管理?xiàng)l例》和《電子病歷應(yīng)用管理規(guī)范》要求，醫(yī)療機(jī)構(gòu)對患者信息的存儲期限一般不少于10年，特殊病歷（如傳染病）需長期保存。5.C解析：醫(yī)療機(jī)構(gòu)應(yīng)制定《信息安全應(yīng)急響應(yīng)預(yù)案》，明確數(shù)據(jù)泄露后的處置流程，包括隔離、通知、報告等步驟。6.C解析：第三方服務(wù)合同必須包含數(shù)據(jù)安全條款（如加密、責(zé)任劃分），但廣告推廣與數(shù)據(jù)安全無關(guān)。7.D解析：法律法規(guī)、公共利益（如傳染病防控）、法律訴訟等情況下，醫(yī)療機(jī)構(gòu)可留存或使用患者信息，即使其自愿匿名授權(quán)也可能例外。8.D解析：員工離職后，其賬號和權(quán)限需立即撤銷，涉密信息需脫密1年，確保其離職后無法訪問敏感數(shù)據(jù)。9.D解析：匿名化處理后的信息仍需遵守數(shù)據(jù)安全法，如禁止逆向識別、訪問控制、告知義務(wù)等，因仍可能關(guān)聯(lián)到個人。10.C解析：《數(shù)據(jù)安全法》和《個人信息保護(hù)法》賦予患者知情權(quán)和拒絕權(quán)，醫(yī)療機(jī)構(gòu)不得將患者信息用于商業(yè)目的，除非獲得單獨(dú)同意。二、多選題答案與解析1.A、B、C解析：醫(yī)療機(jī)構(gòu)對患者信息分類分級通常為一般信息、敏感信息、重要信息，國家秘密不屬于醫(yī)療機(jī)構(gòu)管理范疇。2.A、B、C解析：體檢指標(biāo)、診療記錄、病史總結(jié)屬于患者健康信息，醫(yī)保結(jié)算單據(jù)屬于財務(wù)信息，非健康信息。3.A、B、C、D解析：醫(yī)療機(jī)構(gòu)需定期開展數(shù)據(jù)安全意識、應(yīng)急響應(yīng)、法律法規(guī)、系統(tǒng)操作等培訓(xùn)，確保員工合規(guī)。4.A、B、C解析：信息共享需授權(quán)、合法合規(guī)、限制范圍，未經(jīng)同意泄露屬于違法行為。5.A、B、C解析：人臉識別需告知目的、提供退出機(jī)制、加密存儲，不得濫用。6.A、B、C、D解析：信息泄露處置需立即停止、通知患者、上報監(jiān)管、內(nèi)部追責(zé)，形成閉環(huán)管理。7.A、B、C解析：跨境傳輸需安全評估、標(biāo)準(zhǔn)合同、保障傳輸安全，患者同意并非強(qiáng)制要求，但建議獲得。8.A、B解析：權(quán)限管理遵循最小權(quán)限和責(zé)任到人原則，交叉授權(quán)會削弱安全控制。9.A、B、C解析：泛化、混淆、人工脫敏是常用匿名化方法，刪除個人信息則失去數(shù)據(jù)價值。10.A、B、C解析：患者投訴涉及隱私權(quán)、保密協(xié)議、告知義務(wù)，處理不當(dāng)可能違法。三、判斷題答案與解析1.×解析：《數(shù)據(jù)安全法》規(guī)定，存儲期限需遵守法律法規(guī)或合同約定，不得隨意決定。2.√解析：《個人信息保護(hù)法》賦予患者知情權(quán)和隱私權(quán)，醫(yī)療機(jī)構(gòu)需嚴(yán)格保密。3.×解析：商業(yè)分析需單獨(dú)授權(quán)，不得混用診療信息。4.×解析：區(qū)塊鏈雖增強(qiáng)安全性，但醫(yī)療機(jī)構(gòu)仍需承擔(dān)合規(guī)責(zé)任。5.×解析：離職員工賬號需及時注銷，防止數(shù)據(jù)泄露風(fēng)險。6.√解析：患者有權(quán)了解信息處理規(guī)則，醫(yī)療機(jī)構(gòu)需公開說明。7.×解析：賠償范圍包括直接損失、間接損失和懲罰性賠償。8.√解析：授權(quán)情況下，信息可用于健康管理服務(wù)，包括第三方合作推廣。9.×解析：加密存儲屬于主動防御措施，定期備份屬于被動措施。10.×解析：泄露事件需上報衛(wèi)生健康部門，隱瞞可能承擔(dān)更重責(zé)任。11.×解析：匿名化信息仍需限制使用，不得用于推斷個人身份。12.√解析：《醫(yī)療糾紛處理?xiàng)l例》要求3日內(nèi)響應(yīng)患者投訴。13.√解析：AI訓(xùn)練需倫理批準(zhǔn)，確保數(shù)據(jù)合規(guī)使用。14.√解析：處置流程需書面記錄，便于追溯和整改。15.×解析：電子病歷系統(tǒng)需定期備份，防止數(shù)據(jù)丟失。四、簡答題答案與解析1.衡水市人民醫(yī)院處理患者信息的基本原則-合法正當(dāng)原則：僅處理診療必需信息，不得過度收集。-最小必要原則：僅保留必要信息，不留存無關(guān)數(shù)據(jù)。-安全保障原則：采取加密、訪問控制等措施防止泄露。-責(zé)任明確原則：指定部門和個人負(fù)責(zé)數(shù)據(jù)安全。2.分類分級管理的意義-有助于精準(zhǔn)保護(hù)：敏感信息需嚴(yán)格管控，一般信息可適度開放。-降低合規(guī)風(fēng)險：明確不同信息的處理要求，避免違法行為。-提升效率：根據(jù)信息重要性調(diào)整管理措施，優(yōu)化資源配置。3.患者信息泄露處置流程-立即隔離：停止數(shù)據(jù)泄露源頭，防止擴(kuò)散。-通知患者：及時告知泄露情況及影響。-報告監(jiān)管：向衛(wèi)生健康部門備案，配合調(diào)查。-補(bǔ)救措施：修復(fù)系統(tǒng)漏洞，加強(qiáng)安全防護(hù)。4.AI技術(shù)應(yīng)用的法律問題-數(shù)據(jù)脫敏：確保訓(xùn)練數(shù)據(jù)匿名化，防止逆向識別。-知情同意：需明確告知AI使用目的并獲授權(quán)。-倫理審查：涉及健康數(shù)據(jù)需通過倫理委員會批準(zhǔn)。5.患者有權(quán)拒絕的信息用途-商業(yè)推廣：未經(jīng)同意不得用于廣告、營銷。-第三方共享：不得隨意提供給無關(guān)機(jī)構(gòu)。-無關(guān)分析：不得用于非診療目的的統(tǒng)計或研究。五、論述題答案與解析1.數(shù)據(jù)利用與隱私保護(hù)的平衡醫(yī)療機(jī)構(gòu)需在合規(guī)框架內(nèi)利用數(shù)據(jù)，平衡點(diǎn)在于：-法律合規(guī)：嚴(yán)格遵守《數(shù)據(jù)安全法》《個人信息保護(hù)法》等，確保合法授權(quán)。-安全優(yōu)先：采用技術(shù)手段（如加密、脫敏）保護(hù)數(shù)據(jù)，降低泄露風(fēng)險。-公開透