醫(yī)院患者信息保護管理辦法為規(guī)范患者個人信息（含電子病歷、診療記錄、身份及健康數(shù)據(jù)等）的全流程管理，維護患者隱私權(quán)益與醫(yī)療數(shù)據(jù)安全，依據(jù)《中華人民共和國個人信息保護法》《醫(yī)療機構(gòu)病歷管理規(guī)定》《醫(yī)療保障基金使用監(jiān)督管理條例》等法律法規(guī)，結(jié)合醫(yī)院醫(yī)療服務(wù)實際，制定本管理辦法。一、基本原則1.合法合規(guī)：患者信息管理嚴(yán)格遵循國家法律法規(guī)及行業(yè)規(guī)范，禁止超權(quán)限采集、使用或泄露信息。2.最小必要：采集、使用信息以“診療必需、業(yè)務(wù)必要”為限，避免過度收集或冗余存儲。3.安全可控：通過技術(shù)防護、權(quán)限管控、流程監(jiān)督等手段，確保信息存儲、傳輸、使用全過程安全。4.責(zé)任到人：明確各崗位信息管理職責(zé)，建立“誰經(jīng)手、誰負(fù)責(zé)”的追責(zé)機制。二、管理體系與職責(zé)（一）管理部門分工信息管理科：負(fù)責(zé)信息系統(tǒng)的技術(shù)安全防護（如加密存儲、訪問審計、漏洞修復(fù)），制定數(shù)據(jù)備份與恢復(fù)策略，牽頭處理信息安全事件。醫(yī)務(wù)科/護理部：規(guī)范臨床診療環(huán)節(jié)的信息采集、使用行為，審核科研/教學(xué)用信息的合規(guī)性，監(jiān)督病歷書寫與保管規(guī)范。紀(jì)檢監(jiān)察室：牽頭內(nèi)部監(jiān)督與違規(guī)問責(zé)，受理患者隱私投訴，聯(lián)合信息管理科開展安全審計。（二）崗位權(quán)限管理臨床醫(yī)護人員：僅限因診療需要查詢、修改本人管床患者的信息，禁止越權(quán)訪問其他患者數(shù)據(jù)，操作需留存電子日志。行政/后勤人員：因醫(yī)保結(jié)算、統(tǒng)計分析等工作需使用信息時，應(yīng)通過“申請-審批-脫敏”流程獲取，禁止接觸原始身份信息。技術(shù)維護人員：需在雙人監(jiān)督下進(jìn)行系統(tǒng)維護，禁止單獨導(dǎo)出、復(fù)制患者數(shù)據(jù)，操作全程留痕并備案。三、信息全流程管理規(guī)范（一）信息采集采集范圍：僅限診療必需的身份信息（姓名、性別、年齡）、健康信息（病史、檢驗/檢查結(jié)果）、醫(yī)保信息（按醫(yī)保規(guī)定采集），禁止采集與診療無關(guān)的個人隱私（如宗教信仰、財產(chǎn)狀況）。采集方式：以書面告知書或電子彈窗形式向患者（或監(jiān)護人）說明采集目的、使用范圍及存儲期限，取得明確同意；急診、搶救等特殊場景可先采集，24小時內(nèi)補充告知并完善授權(quán)。（二）信息存儲存儲介質(zhì)：電子信息需加密存儲于醫(yī)院私有服務(wù)器或合規(guī)云平臺，禁止存儲于個人電腦、移動硬盤等非授權(quán)設(shè)備。安全防護：部署防火墻、入侵檢測系統(tǒng)（IDS），定期進(jìn)行漏洞掃描；核心數(shù)據(jù)每日自動備份，備份文件異地存儲并加密。存儲期限：電子病歷、檢驗報告等按《醫(yī)療機構(gòu)病歷管理規(guī)定》保存，超期信息由信息管理科會同醫(yī)務(wù)科評估，確需銷毀的啟動合規(guī)流程。（三）信息使用院內(nèi)使用：醫(yī)護人員僅限因診療、病歷書寫、質(zhì)量控制等工作使用患者信息，禁止截圖、拍照或私下傳播；行政人員需使用時，應(yīng)通過“申請-審批-脫敏”流程，確保信息去標(biāo)識化（如隱去姓名、身份證號，保留年齡、性別等統(tǒng)計字段）。院外使用：因科研、教學(xué)需使用信息時，需經(jīng)倫理委員會審批、患者（或家屬）書面同意，并對數(shù)據(jù)進(jìn)行“去標(biāo)識化+匿名化”處理（如替換姓名為隨機編碼，刪除可識別地理位置信息），確保無法反向識別個人身份。（四）信息共享與傳輸向衛(wèi)生主管部門報送統(tǒng)計數(shù)據(jù)時，應(yīng)進(jìn)行聚合處理（如按病種、年齡段統(tǒng)計），避免包含可識別個人的信息。（五）信息銷毀超期或廢棄的紙質(zhì)病歷：由病案室專人清點、登記，經(jīng)分管院長審批后，通過碎紙機或焚燒方式銷毀，銷毀記錄留存3年。電子信息：通過專業(yè)工具徹底擦除存儲介質(zhì)數(shù)據(jù)（如硬盤低級格式化、SSD芯片級銷毀），或物理銷毀存儲設(shè)備，操作需雙人監(jiān)督并拍照留證。四、安全保障與應(yīng)急處置（一）技術(shù)防護措施部署數(shù)據(jù)加密系統(tǒng)（如數(shù)據(jù)庫透明加密、傳輸層SSL加密），對患者核心信息（如身份證號、診療記錄）進(jìn)行加密存儲與傳輸。建立“操作日志審計系統(tǒng)”，實時記錄用戶登錄、數(shù)據(jù)訪問、修改/刪除等行為，日志保存至少1年，定期分析異常操作。（二）應(yīng)急響應(yīng)機制發(fā)生信息泄露事件（如系統(tǒng)被入侵、內(nèi)部人員違規(guī)導(dǎo)出數(shù)據(jù)）時，信息管理科應(yīng)立即啟動應(yīng)急預(yù)案：斷開受影響系統(tǒng)、留存證據(jù)、評估泄露范圍，并在24小時內(nèi)向主管部門報告。對泄露的信息進(jìn)行“溯源-止損”：通知可能受影響的患者，協(xié)助其修改密碼、凍結(jié)醫(yī)保賬戶（如涉及醫(yī)保信息），并配合公安機關(guān)調(diào)查。五、監(jiān)督與問責(zé)（一）內(nèi)部監(jiān)督信息管理科每季度開展系統(tǒng)安全審計，重點核查權(quán)限分配、數(shù)據(jù)訪問日志、對外共享記錄，形成《信息安全審計報告》向院辦公會匯報。紀(jì)檢監(jiān)察室聯(lián)合醫(yī)務(wù)科每月抽查臨床科室病歷管理情況，檢查紙質(zhì)病歷保管、電子病歷訪問合規(guī)性，對違規(guī)行為當(dāng)場責(zé)令整改。（二）違規(guī)處理對違規(guī)查詢、泄露患者信息的人員，視情節(jié)給予：①警告、扣減績效；②停職培訓(xùn)、調(diào)離崗位；③涉及違法的，移交公安機關(guān)追究刑事責(zé)任。因管理疏漏導(dǎo)致信息泄露并造成患者損失的，醫(yī)院依法承擔(dān)賠償責(zé)任，并向社會公開道歉，同時追究直接責(zé)任人與分管領(lǐng)導(dǎo)責(zé)任。六、培訓(xùn)與教育新員工入職需接受“患者信息保護”專項培訓(xùn)，考核通過后方可上崗；在職人員每年參加不少于8學(xué)時的隱私保護培訓(xùn)，內(nèi)容涵蓋法規(guī)解讀、案例分析、系統(tǒng)操作規(guī)范。定期開展“隱私保護宣傳月”活動，通過宣傳欄、公眾號向患者普及信息安全知識，公布投訴渠道（如醫(yī)院官網(wǎng)投訴入口、紀(jì)檢監(jiān)察室電話）。七、附則本辦法由醫(yī)院信息管理科負(fù)責(zé)解釋，自發(fā)布之日起試行，每2年修訂一次。此前與本辦法沖突的規(guī)定自動失效，未盡