寧波市中醫(yī)院數(shù)據(jù)隱私與患者信息保密法規(guī)考試一、單選題（每題2分，共20題）1.根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，醫(yī)療機(jī)構(gòu)在處理患者個(gè)人信息時(shí)，應(yīng)當(dāng)遵循的主要原則是？A.自由選擇原則B.公開透明原則C.最小必要原則D.有償使用原則2.寧波市中醫(yī)院若需將患者病歷信息用于醫(yī)學(xué)研究，應(yīng)當(dāng)首先獲得哪種授權(quán)？A.患者口頭同意B.患者書面同意C.院領(lǐng)導(dǎo)批準(zhǔn)D.科研機(jī)構(gòu)許可3.以下哪項(xiàng)不屬于《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》中明確禁止的行為？A.病歷涂改B.病歷復(fù)印C.病歷封存D.病歷借閱4.患者有權(quán)要求醫(yī)療機(jī)構(gòu)刪除其個(gè)人信息，但以下哪種情況除外？A.法律法規(guī)要求保存B.公共衛(wèi)生需要C.醫(yī)療糾紛處理D.患者主動(dòng)撤回5.寧波市中醫(yī)院若使用電子病歷系統(tǒng)，對患者信息的加密存儲要求最低應(yīng)達(dá)到什么標(biāo)準(zhǔn)？A.DES加密B.AES-128加密C.RSA加密D.不作要求6.醫(yī)療機(jī)構(gòu)在對外提供患者醫(yī)療數(shù)據(jù)時(shí)，必須確保接收方具備什么資質(zhì)？A.良好信譽(yù)B.專業(yè)認(rèn)證C.資金實(shí)力D.政府背景7.患者在就醫(yī)過程中，其生物識別信息（如指紋、人臉）的采集必須符合什么規(guī)定？A.院方自行決定B.患者自愿原則C.法律強(qiáng)制要求D.行業(yè)標(biāo)準(zhǔn)8.根據(jù)《個(gè)人信息保護(hù)法》，醫(yī)療機(jī)構(gòu)對患者敏感信息的處理，若出現(xiàn)泄露，應(yīng)多久內(nèi)報(bào)告監(jiān)管部門？A.24小時(shí)內(nèi)B.48小時(shí)內(nèi)C.72小時(shí)內(nèi)D.7日內(nèi)9.寧波市中醫(yī)院若對患者信息進(jìn)行匿名化處理，以下哪項(xiàng)是錯(cuò)誤的做法？A.刪除姓名等直接識別信息B.合并多個(gè)患者數(shù)據(jù)C.使用隨機(jī)編號替代身份信息D.保留原始數(shù)據(jù)備份10.醫(yī)療機(jī)構(gòu)員工離職時(shí)，其接觸過的患者信息需要采取什么措施？A.無需處理B.磁盤銷毀C.口頭告知D.院方自行決定二、多選題（每題3分，共10題）1.醫(yī)療機(jī)構(gòu)在處理患者個(gè)人信息時(shí)，必須遵循哪些原則？（多選）A.合法正當(dāng)原則B.公開透明原則C.最小必要原則D.公益共享原則2.以下哪些屬于《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》中病歷管理的要求？（多選）A.病歷由專人保管B.病歷可隨意復(fù)印C.病歷封存需登記D.病歷涂改需注明3.醫(yī)療機(jī)構(gòu)對患者敏感信息的處理，哪些情形下可以豁免告知義務(wù)？（多選）A.公共衛(wèi)生應(yīng)急B.法院強(qiáng)制要求C.患者主動(dòng)同意D.內(nèi)部管理需要4.電子病歷系統(tǒng)對患者信息的安全保護(hù)，應(yīng)包括哪些措施？（多選）A.訪問權(quán)限控制B.數(shù)據(jù)加密存儲C.操作日志記錄D.定期安全審計(jì)5.醫(yī)療機(jī)構(gòu)在對外提供患者醫(yī)療數(shù)據(jù)時(shí)，必須確保接收方具備哪些條件？（多選）A.具備數(shù)據(jù)安全能力B.有明確的合同約束C.獲得患者書面同意D.從事同類醫(yī)療服務(wù)6.患者在就醫(yī)過程中，其生物識別信息的采集必須符合哪些要求？（多選）A.明確告知采集目的B.獲得患者單獨(dú)同意C.限制采集范圍D.存儲期限合理7.根據(jù)《個(gè)人信息保護(hù)法》，醫(yī)療機(jī)構(gòu)對患者敏感信息的處理，若出現(xiàn)泄露，哪些情形需報(bào)告監(jiān)管部門？（多選）A.泄露影響患者權(quán)益B.泄露涉及大量數(shù)據(jù)C.泄露由外部原因?qū)е翫.泄露未造成實(shí)際損害8.醫(yī)療機(jī)構(gòu)若對患者信息進(jìn)行匿名化處理，以下哪些做法是正確的？（多選）A.刪除姓名等直接識別信息B.合并多個(gè)患者數(shù)據(jù)C.使用隨機(jī)編號替代身份信息D.保留原始數(shù)據(jù)備份9.醫(yī)療機(jī)構(gòu)員工離職時(shí)，其接觸過的患者信息需要采取哪些措施？（多選）A.磁盤銷毀B.口頭告知C.限制訪問權(quán)限D(zhuǎn).院方自行決定10.寧波市中醫(yī)院若需將患者病歷信息用于醫(yī)學(xué)研究，應(yīng)當(dāng)遵循哪些程序？（多選）A.獲得患者書面同意B.倫理委員會審批C.數(shù)據(jù)脫敏處理D.院領(lǐng)導(dǎo)批準(zhǔn)三、判斷題（每題2分，共10題）1.醫(yī)療機(jī)構(gòu)在處理患者個(gè)人信息時(shí)，可以不經(jīng)患者同意，直接將信息用于商業(yè)推廣。（×）2.患者有權(quán)要求醫(yī)療機(jī)構(gòu)刪除其個(gè)人信息，但需支付一定費(fèi)用。（×）3.醫(yī)療機(jī)構(gòu)在對外提供患者醫(yī)療數(shù)據(jù)時(shí)，可以口頭約定數(shù)據(jù)使用范圍。（×）4.醫(yī)療機(jī)構(gòu)員工離職時(shí)，其接觸過的患者信息無需銷毀，可自行保留。（×）5.電子病歷系統(tǒng)對患者信息的安全保護(hù)，只需滿足國家最低標(biāo)準(zhǔn)即可。（×）6.醫(yī)療機(jī)構(gòu)對患者敏感信息的處理，若出現(xiàn)泄露，可以隱瞞不報(bào)，自行處理。（×）7.醫(yī)療機(jī)構(gòu)若對患者信息進(jìn)行匿名化處理，可以保留原始數(shù)據(jù)用于后續(xù)研究。（√）8.患者在就醫(yī)過程中，其生物識別信息的采集必須獲得患者單獨(dú)同意。（√）9.醫(yī)療機(jī)構(gòu)在處理患者個(gè)人信息時(shí)，可以隨意擴(kuò)大處理范圍，只要不泄露即可。（×）10.寧波市中醫(yī)院若需將患者病歷信息用于醫(yī)學(xué)研究，無需經(jīng)過倫理委員會審批。（×）四、簡答題（每題5分，共4題）1.簡述醫(yī)療機(jī)構(gòu)在處理患者個(gè)人信息時(shí)，應(yīng)當(dāng)遵循的主要原則。2.簡述寧波市中醫(yī)院在對外提供患者醫(yī)療數(shù)據(jù)時(shí)，必須確保接收方具備哪些條件。3.簡述醫(yī)療機(jī)構(gòu)對患者敏感信息的處理，若出現(xiàn)泄露，應(yīng)當(dāng)如何報(bào)告監(jiān)管部門。4.簡述寧波市中醫(yī)院若需將患者病歷信息用于醫(yī)學(xué)研究，應(yīng)當(dāng)遵循哪些程序。五、論述題（每題10分，共2題）1.結(jié)合《個(gè)人信息保護(hù)法》和《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》，論述醫(yī)療機(jī)構(gòu)在保護(hù)患者信息時(shí)應(yīng)采取哪些關(guān)鍵措施。2.結(jié)合寧波市實(shí)際情況，論述醫(yī)療機(jī)構(gòu)在處理患者個(gè)人信息時(shí)，如何平衡數(shù)據(jù)利用與隱私保護(hù)的關(guān)系。答案與解析一、單選題1.C解析：《中華人民共和國網(wǎng)絡(luò)安全法》第四十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，并確保信息安全。醫(yī)療機(jī)構(gòu)作為網(wǎng)絡(luò)運(yùn)營者，在處理患者個(gè)人信息時(shí)，必須遵循最小必要原則，不得過度收集或?yàn)E用信息。2.B解析：《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》第十條規(guī)定，醫(yī)療機(jī)構(gòu)在將患者病歷信息用于醫(yī)學(xué)研究時(shí)，必須獲得患者書面同意?？陬^同意或院領(lǐng)導(dǎo)批準(zhǔn)均不符合法律要求。3.C解析：《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》第二十條規(guī)定，病歷封存需登記并妥善保管，但病歷復(fù)印需患者本人或授權(quán)委托人申請，且需提供相關(guān)證明。病歷涂改需注明日期和原因。4.A解析：《個(gè)人信息保護(hù)法》第二十一條規(guī)定，個(gè)人有權(quán)要求處理者刪除其個(gè)人信息，但處理者有合理理由除外，如法律法規(guī)要求保存、公共衛(wèi)生需要等。5.B解析：《網(wǎng)絡(luò)安全法》第三十九條規(guī)定，網(wǎng)絡(luò)運(yùn)營者對用戶信息進(jìn)行加密存儲，應(yīng)采用行業(yè)推薦或強(qiáng)制要求的加密標(biāo)準(zhǔn)，最低應(yīng)達(dá)到AES-128加密。6.B解析：《個(gè)人信息保護(hù)法》第三十八條規(guī)定，個(gè)人信息處理者對外提供個(gè)人信息時(shí)，接收方必須具備專業(yè)認(rèn)證，如ISO27001等數(shù)據(jù)安全管理體系認(rèn)證。7.B解析：《個(gè)人信息保護(hù)法》第二十四條規(guī)定，生物識別信息屬于敏感個(gè)人信息，采集必須獲得患者自愿原則的同意，且需明確告知采集目的和用途。8.C解析：《個(gè)人信息保護(hù)法》第四十一條規(guī)定，個(gè)人信息處理者發(fā)生或可能發(fā)生信息泄露、篡改、丟失的，應(yīng)在72小時(shí)內(nèi)通知監(jiān)管部門和受影響個(gè)人。9.D解析：《個(gè)人信息保護(hù)法》第二十一條規(guī)定，匿名化處理后的信息不得重新識別到特定個(gè)人，且需刪除原始數(shù)據(jù)備份。保留原始數(shù)據(jù)備份不符合匿名化要求。10.B解析：《個(gè)人信息保護(hù)法》第三十七條規(guī)定，個(gè)人信息處理者終止處理關(guān)系時(shí)，應(yīng)刪除或銷毀個(gè)人信息，并確保信息無法恢復(fù)。二、多選題1.A、B、C解析：《個(gè)人信息保護(hù)法》第五條規(guī)定，個(gè)人信息處理應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，公開透明是合法原則的體現(xiàn)，但不是獨(dú)立原則。2.A、C、D解析：《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》第二十條規(guī)定，病歷由專人保管，封存需登記，涂改需注明。復(fù)印需患者申請并提供證明。3.A、B解析：《個(gè)人信息保護(hù)法》第三十九條規(guī)定，以下情形可以豁免告知義務(wù)：公共安全、公共衛(wèi)生、司法執(zhí)法等法定要求。4.A、B、C、D解析：《網(wǎng)絡(luò)安全法》第三十九條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)采取技術(shù)措施（如加密存儲、訪問控制）和管理措施（如日志記錄、安全審計(jì)）保護(hù)個(gè)人信息安全。5.A、B解析：《個(gè)人信息保護(hù)法》第三十八條規(guī)定，接收方必須具備數(shù)據(jù)安全能力（如專業(yè)認(rèn)證）且有明確合同約束（如保密協(xié)議）。6.A、B、C解析：《個(gè)人信息保護(hù)法》第二十四條規(guī)定，生物識別信息采集必須明確告知目的、獲得單獨(dú)同意、限制采集范圍。7.A、B、D解析：《個(gè)人信息保護(hù)法》第四十一條規(guī)定，以下情形需報(bào)告監(jiān)管部門：泄露影響患者權(quán)益、涉及大量數(shù)據(jù)、未造成實(shí)際損害但需采取措施補(bǔ)救。8.A、B、C解析：《個(gè)人信息保護(hù)法》第二十一條規(guī)定，匿名化處理需刪除直接識別信息、合并數(shù)據(jù)、使用隨機(jī)編號，且刪除原始數(shù)據(jù)備份。9.A、C解析：《個(gè)人信息保護(hù)法》第三十七條規(guī)定，個(gè)人信息處理者終止處理關(guān)系時(shí)，應(yīng)刪除或銷毀個(gè)人信息，并限制訪問權(quán)限。10.A、B、C解析：《個(gè)人信息保護(hù)法》第二十一條規(guī)定，將患者病歷信息用于醫(yī)學(xué)研究需獲得患者書面同意、倫理委員會審批、數(shù)據(jù)脫敏處理。三、判斷題1.×解析：《個(gè)人信息保護(hù)法》第五十七條規(guī)定，不得未經(jīng)同意將個(gè)人信息用于商業(yè)推廣。2.×解析：《個(gè)人信息保護(hù)法》第二十一條規(guī)定，個(gè)人有權(quán)要求刪除個(gè)人信息，處理者不得收取費(fèi)用。3.×解析：《個(gè)人信息保護(hù)法》第三十八條規(guī)定，對外提供個(gè)人信息需書面約定。4.×解析：《個(gè)人信息保護(hù)法》第三十七條規(guī)定，個(gè)人信息處理者終止處理關(guān)系時(shí)，應(yīng)刪除或銷毀個(gè)人信息。5.×解析：《網(wǎng)絡(luò)安全法》第三十九條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)采用行業(yè)推薦或強(qiáng)制要求的加密標(biāo)準(zhǔn)。6.×解析：《個(gè)人信息保護(hù)法》第四十一條規(guī)定，發(fā)生信息泄露需及時(shí)報(bào)告監(jiān)管部門。7.√解析：《個(gè)人信息保護(hù)法》第二十一條規(guī)定，匿名化處理后可刪除原始數(shù)據(jù)備份。8.√解析：《個(gè)人信息保護(hù)法》第二十四條規(guī)定，生物識別信息采集需獲得單獨(dú)同意。9.×解析：《個(gè)人信息保護(hù)法》第五條規(guī)定，個(gè)人信息處理應(yīng)當(dāng)遵循最小必要原則。10.×解析：《倫理委員會工作規(guī)范》規(guī)定，將患者病歷信息用于醫(yī)學(xué)研究需經(jīng)過倫理委員會審批。四、簡答題1.簡述醫(yī)療機(jī)構(gòu)在處理患者個(gè)人信息時(shí)，應(yīng)當(dāng)遵循的主要原則。醫(yī)療機(jī)構(gòu)在處理患者個(gè)人信息時(shí)，應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則。合法指符合法律法規(guī)要求；正當(dāng)指處理方式合理；必要指僅處理實(shí)現(xiàn)目的所需信息；誠信指公開透明，不誤導(dǎo)患者。2.簡述寧波市中醫(yī)院在對外提供患者醫(yī)療數(shù)據(jù)時(shí)，必須確保接收方具備哪些條件。接收方必須具備數(shù)據(jù)安全能力（如ISO27001認(rèn)證）且有明確合同約束（如保密協(xié)議），確保數(shù)據(jù)僅用于約定目的，且不得泄露或?yàn)E用。3.簡述醫(yī)療機(jī)構(gòu)對患者敏感信息的處理，若出現(xiàn)泄露，應(yīng)當(dāng)如何報(bào)告監(jiān)管部門。出現(xiàn)泄露時(shí)，應(yīng)在72小時(shí)內(nèi)向監(jiān)管部門報(bào)告，并通知受影響個(gè)人，同時(shí)采取補(bǔ)救措施（如修改密碼、限制訪問）。4.簡述寧波市中醫(yī)院若需將患者病歷信息用于醫(yī)學(xué)研究，應(yīng)當(dāng)遵循哪些程序。需獲得患者書面同意、倫理委員會審批、數(shù)據(jù)脫敏處理，并確保研究目的明確、數(shù)據(jù)使用范圍受限。五、論述題1.結(jié)合《個(gè)人信息保護(hù)法》和《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》，論述醫(yī)療機(jī)構(gòu)在保護(hù)患者信息時(shí)應(yīng)采取哪些關(guān)鍵措施。醫(yī)療機(jī)構(gòu)應(yīng)采取以下措施：-制度層面：制定信息保護(hù)政策，明確處理流程和權(quán)限；-技術(shù)層面：采用加密存儲、訪問控制、安全審計(jì)等技術(shù)手段；-管理層面：加強(qiáng)員工培訓(xùn)，定期進(jìn)行安全檢查；-法律層面：遵守《個(gè)人信息保護(hù)法》和《醫(yī)療機(jī)構(gòu)病歷管理規(guī)