2025年患者隱私試題及答案一、單項(xiàng)選擇題（每題2分，共20分）1.根據(jù)《個(gè)人信息保護(hù)法》及醫(yī)療行業(yè)特殊規(guī)定，以下哪項(xiàng)不屬于患者隱私保護(hù)的核心內(nèi)容？A.患者既往病史記錄B.患者手機(jī)號(hào)碼C.患者在醫(yī)院的就診路徑監(jiān)控影像D.患者公開在社交媒體發(fā)布的疾病治療經(jīng)歷答案：D解析：患者主動(dòng)公開在社交媒體的疾病治療經(jīng)歷屬于已自愿披露信息，不屬于需醫(yī)療機(jī)構(gòu)主動(dòng)保護(hù)的隱私范疇；A、B、C均為醫(yī)療機(jī)構(gòu)在診療過程中獲取的敏感個(gè)人信息。2.某三甲醫(yī)院擬與科研機(jī)構(gòu)合作開展罕見病研究，需調(diào)取患者診療數(shù)據(jù)。下列哪項(xiàng)操作符合“最小必要”原則？A.提供研究所需的500例患者完整電子病歷（含影像、檢驗(yàn)報(bào)告）B.僅提供患者年齡、性別、疾病診斷編碼及關(guān)鍵治療指標(biāo)C.經(jīng)患者書面同意后，提供所有參與研究患者的聯(lián)系方式以便隨訪D.對(duì)患者姓名、身份證號(hào)進(jìn)行去標(biāo)識(shí)化處理，但保留住院號(hào)作為唯一識(shí)別碼答案：B解析：“最小必要”原則要求僅提供實(shí)現(xiàn)研究目的必需的最少數(shù)據(jù)；A包含非必要的完整病歷，C涉及非研究必需的聯(lián)系方式，D保留住院號(hào)可能導(dǎo)致二次識(shí)別，均不符合要求。3.實(shí)習(xí)醫(yī)生張某在帶教老師指導(dǎo)下參與病房管理，其可合法訪問的患者信息范圍是？A.本科室所有住院患者的電子病歷B.經(jīng)帶教老師授權(quán)的管床患者病歷C.醫(yī)院信息系統(tǒng)中所有患者的檢查報(bào)告D.參與教學(xué)查房時(shí)涉及的患者簡(jiǎn)要病情摘要答案：B解析：《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》明確，實(shí)習(xí)醫(yī)務(wù)人員需在帶教老師指導(dǎo)下，僅訪問與其診療活動(dòng)相關(guān)的管床患者病歷；D雖涉及教學(xué)，但摘要信息仍需符合授權(quán)范圍，B更精準(zhǔn)。4.某社區(qū)衛(wèi)生服務(wù)中心因系統(tǒng)升級(jí)，需將患者健康檔案數(shù)據(jù)遷移至第三方云服務(wù)商。關(guān)鍵合規(guī)操作是？A.口頭告知患者數(shù)據(jù)遷移事項(xiàng)B.與云服務(wù)商簽訂隱私保護(hù)協(xié)議，明確數(shù)據(jù)用途及責(zé)任C.將患者姓名、身份證號(hào)加密后傳輸D.在遷移前刪除所有患者聯(lián)系方式答案：B解析：《個(gè)人信息保護(hù)法》第23條規(guī)定，向第三方提供個(gè)人信息需簽訂書面協(xié)議，明確處理目的、方式和責(zé)任；A未書面告知，C、D為技術(shù)措施，非關(guān)鍵合規(guī)要件。5.患者李某要求復(fù)制其門診病歷，醫(yī)療機(jī)構(gòu)應(yīng)在多長(zhǎng)時(shí)間內(nèi)提供？A.12小時(shí)B.24小時(shí)C.3個(gè)工作日D.5個(gè)工作日答案：C解析：《醫(yī)療糾紛預(yù)防和處理?xiàng)l例》第16條規(guī)定，患者要求復(fù)制病歷的，醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)在明確答復(fù)后3個(gè)工作日內(nèi)提供。6.下列哪種情形無需患者單獨(dú)簽署隱私授權(quán)書？A.將患者影像資料用于醫(yī)學(xué)教學(xué)演示（隱去姓名）B.向醫(yī)保部門提交患者費(fèi)用結(jié)算信息C.因患者病情危急，向急救中心傳送必要診療信息D.與藥品企業(yè)合作分析某類藥物療效（患者已簽署臨床試驗(yàn)知情同意書）答案：C解析：《民法典》第1036條規(guī)定，為維護(hù)公共利益或患者重大利益，合理實(shí)施的個(gè)人信息處理行為無需單獨(dú)授權(quán)；A需隱名但仍需告知，B屬法定報(bào)送，D需在臨床試驗(yàn)同意書中明確。7.某醫(yī)院信息科工程師王某因工作需要調(diào)取患者數(shù)據(jù)，其操作違規(guī)的是？A.僅查詢系統(tǒng)日志中與自身職責(zé)相關(guān)的訪問記錄B.將工作用賬號(hào)密碼告知臨時(shí)替班的同事張某C.對(duì)異常訪問行為（如同一賬號(hào)深夜訪問500份病歷）進(jìn)行預(yù)警D.定期更改登錄密碼并啟用雙因素認(rèn)證答案：B解析：《信息安全技術(shù)個(gè)人信息安全規(guī)范》要求，個(gè)人信息處理者應(yīng)嚴(yán)格管理賬號(hào)，禁止共享密碼；A、C、D均為合規(guī)的安全管理措施。8.患者趙某投訴其手術(shù)記錄被非相關(guān)人員查看，醫(yī)院調(diào)查發(fā)現(xiàn)系護(hù)士站電腦未鎖屏導(dǎo)致。責(zé)任主體應(yīng)為？A.醫(yī)院信息科（系統(tǒng)安全管理不到位）B.當(dāng)值護(hù)士（未履行設(shè)備管理義務(wù)）C.醫(yī)院（未盡到患者隱私保護(hù)主體責(zé)任）D.誤操作的醫(yī)務(wù)人員（直接侵權(quán)人）答案：C解析：《個(gè)人信息保護(hù)法》第51條規(guī)定，個(gè)人信息處理者對(duì)個(gè)人信息處理活動(dòng)負(fù)主體責(zé)任；具體操作人員的過失由機(jī)構(gòu)承擔(dān)管理責(zé)任后內(nèi)部追責(zé)。9.關(guān)于患者隱私的技術(shù)保護(hù)措施，下列哪項(xiàng)不符合要求？A.電子病歷系統(tǒng)采用動(dòng)態(tài)口令+指紋識(shí)別登錄B.對(duì)患者身份證號(hào)進(jìn)行MD5哈希處理（無鹽值）C.定期對(duì)存儲(chǔ)設(shè)備進(jìn)行容災(zāi)備份并加密D.限制單個(gè)賬號(hào)每日最大數(shù)據(jù)查詢量答案：B解析：MD5哈希無鹽值易被彩虹表破解，不符合《信息安全技術(shù)健康醫(yī)療信息安全指南》中“加密應(yīng)采用符合國(guó)家標(biāo)準(zhǔn)的密碼算法”要求；A、C、D均為有效防護(hù)措施。10.患者死亡后，其隱私信息的保護(hù)期限應(yīng)為？A.永久保存B.自死亡之日起5年C.自死亡之日起10年D.按照醫(yī)療機(jī)構(gòu)病歷保存年限執(zhí)行答案：D解析：《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》第20條規(guī)定，門（急）診病歷保存年限不少于15年，住院病歷不少于30年；患者死亡后，其病歷隱私保護(hù)期限與病歷保存期限一致。二、多項(xiàng)選擇題（每題3分，共15分，少選、錯(cuò)選均不得分）1.下列屬于患者隱私“告知-同意”原則例外的情形有？A.突發(fā)公共衛(wèi)生事件中向疾控部門報(bào)送患者信息B.為患者緊急救治需要向其他醫(yī)療機(jī)構(gòu)轉(zhuǎn)診C.患者昏迷且無近親屬，需聯(lián)系其工作單位獲取病史D.司法機(jī)關(guān)依法調(diào)取患者病歷（已出具協(xié)查函）答案：ABD解析：C需在無法取得患者或近親屬同意時(shí)，由醫(yī)療機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)后處理，不屬于法定例外；A屬公共利益，B屬緊急救治，D屬法定職權(quán)，均無需患者同意。2.醫(yī)療機(jī)構(gòu)在處理患者敏感個(gè)人信息（如精神疾病診斷、HIV檢測(cè)結(jié)果）時(shí)，應(yīng)額外履行的義務(wù)包括？A.取得患者單獨(dú)書面同意（而非合并在其他同意書中）B.說明處理敏感信息的必要性及對(duì)患者的影響C.采用更高強(qiáng)度的加密存儲(chǔ)（如AES-256）D.限制接觸人員范圍并記錄訪問日志答案：ABCD解析：《個(gè)人信息保護(hù)法》第29條規(guī)定，處理敏感個(gè)人信息需取得單獨(dú)同意并說明必要性；技術(shù)上需加強(qiáng)防護(hù)（C），管理上需嚴(yán)格訪問控制（D）。3.某醫(yī)院與互聯(lián)網(wǎng)醫(yī)療平臺(tái)合作開展遠(yuǎn)程問診，需重點(diǎn)防范的隱私風(fēng)險(xiǎn)有？A.平臺(tái)服務(wù)器被攻擊導(dǎo)致患者信息泄露B.醫(yī)生在未加密的個(gè)人設(shè)備上查看患者病歷C.平臺(tái)超范圍收集患者地理位置信息D.患者通過平臺(tái)與醫(yī)生溝通時(shí)被錄音答案：ABCD解析：遠(yuǎn)程問診涉及數(shù)據(jù)傳輸（A）、終端設(shè)備安全（B）、信息收集范圍（C）、溝通內(nèi)容留存（D），均為隱私風(fēng)險(xiǎn)點(diǎn)。4.患者隱私保護(hù)培訓(xùn)應(yīng)覆蓋的人員包括？A.臨床醫(yī)務(wù)人員B.信息系統(tǒng)運(yùn)維人員C.后勤保潔人員（可能接觸丟棄的病歷紙張）D.實(shí)習(xí)/規(guī)培人員答案：ABCD解析：所有可能接觸患者信息的人員均需培訓(xùn)，包括間接接觸者（如保潔可能撿拾丟棄的病歷）。5.醫(yī)療機(jī)構(gòu)發(fā)現(xiàn)患者信息泄露后，應(yīng)采取的措施包括？A.立即暫停相關(guān)系統(tǒng)功能B.評(píng)估泄露信息的類型、數(shù)量及影響范圍C.在48小時(shí)內(nèi)向省級(jí)衛(wèi)生健康主管部門報(bào)告D.通知受影響患者（如泄露可能導(dǎo)致?lián)p害）答案：ABD解析：《個(gè)人信息保護(hù)法》第57條規(guī)定，發(fā)生泄露需立即采取措施，評(píng)估影響，72小時(shí)內(nèi)通知個(gè)人（可能造成損害時(shí)），并向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)告；C中“48小時(shí)”不準(zhǔn)確，應(yīng)為“及時(shí)”。三、判斷題（每題1分，共10分，正確劃√，錯(cuò)誤劃×）1.患者在候診區(qū)談?wù)摬∏楸黄渌颊呗牭剑瑢儆卺t(yī)療機(jī)構(gòu)隱私保護(hù)失職。（×）解析：公共區(qū)域的自發(fā)交談不屬于醫(yī)療機(jī)構(gòu)可控的隱私泄露。2.經(jīng)患者同意，醫(yī)療機(jī)構(gòu)可將其病歷用于商業(yè)保險(xiǎn)理賠，無需限制使用范圍。（×）解析：需在同意書中明確理賠用途，保險(xiǎn)公司不得超范圍使用。3.電子病歷系統(tǒng)中“查看”與“下載”權(quán)限可合并設(shè)置，由操作人員自行控制。（×）解析：需分級(jí)設(shè)置權(quán)限，避免非必要下載。4.患者要求查閱其病歷，醫(yī)療機(jī)構(gòu)可收取合理的復(fù)制成本費(fèi)（如打印紙、存儲(chǔ)介質(zhì)費(fèi)用）。（√）解析：《醫(yī)療糾紛預(yù)防和處理?xiàng)l例》允許收取工本費(fèi)。5.實(shí)習(xí)醫(yī)生在教學(xué)會(huì)議上使用患者影像資料時(shí)，只需隱去姓名即可。（×）解析：需同時(shí)隱去能識(shí)別患者身份的其他信息（如住院號(hào)、特殊體征）。6.醫(yī)療機(jī)構(gòu)與第三方合作開發(fā)AI輔助診斷系統(tǒng)，可直接提供去標(biāo)識(shí)化數(shù)據(jù)，無需患者同意。（×）解析：去標(biāo)識(shí)化數(shù)據(jù)若仍可能結(jié)合其他信息識(shí)別個(gè)人，需取得同意。7.患者出院后，其電子病歷訪問權(quán)限應(yīng)立即關(guān)閉。（×）解析：需保留必要權(quán)限用于隨訪、復(fù)診等后續(xù)醫(yī)療活動(dòng)。8.護(hù)士將患者檢查結(jié)果通過科室微信群通知主管醫(yī)生，屬于合規(guī)操作。（×）解析：微信群非加密傳輸渠道，可能導(dǎo)致信息泄露，應(yīng)通過醫(yī)院內(nèi)部系統(tǒng)傳遞。9.醫(yī)療機(jī)構(gòu)無需對(duì)患者家屬的隱私信息（如陪同人員聯(lián)系方式）承擔(dān)保護(hù)責(zé)任。（×）解析：家屬信息因診療活動(dòng)被醫(yī)療機(jī)構(gòu)獲取，同樣受隱私保護(hù)法規(guī)約束。10.患者死亡后，其近親屬可要求查閱、復(fù)制患者病歷，無需額外證明。（×）解析：需提供近親屬關(guān)系證明（如戶口本、身份證）及患者死亡證明。四、案例分析題（共55分）案例一（20分）：2025年3月，某市人民醫(yī)院發(fā)現(xiàn)其HIS系統(tǒng)于夜間23:00-24:00期間，有IP地址為“192.168.1.105”的終端連續(xù)訪問200份腫瘤患者病歷，涉及診斷、治療方案及基因檢測(cè)結(jié)果。經(jīng)核查，該IP為醫(yī)院藥劑科張某某的工作電腦，張某某聲稱“因好奇查看，未下載或外傳”?；颊咄跄常ㄆ渲幸幻辉L問者）發(fā)現(xiàn)其基因檢測(cè)結(jié)果被非主管醫(yī)生查看，向醫(yī)院投訴。問題1：分析醫(yī)院在此次事件中的管理漏洞。（8分）問題2：醫(yī)院應(yīng)如何處理張某某及受影響患者？（7分）問題3：為防范類似事件，醫(yī)院需完善哪些隱私保護(hù)措施？（5分）答案：?jiǎn)栴}1：管理漏洞包括：①未對(duì)非診療相關(guān)科室（藥劑科）人員設(shè)置病歷訪問權(quán)限限制，張某某作為藥劑科人員無合理理由訪問腫瘤患者詳細(xì)病歷；②未啟用訪問行為審計(jì)（如異常時(shí)間段、超量訪問預(yù)警）；③終端設(shè)備管理松散（未限制非工作時(shí)間非必要系統(tǒng)訪問）；④員工隱私保護(hù)培訓(xùn)不到位（張某某缺乏合規(guī)訪問意識(shí)）。問題2：處理措施：①對(duì)張某某進(jìn)行內(nèi)部追責(zé)（警告、扣除績(jī)效、暫停系統(tǒng)訪問權(quán)限），若涉嫌違法（如《治安管理處罰法》第42條），移交公安機(jī)關(guān)；②向受影響患者書面致歉，說明信息未外傳的核查結(jié)果，提供隱私安全提示（如關(guān)注個(gè)人信息異常使用情況）；③將事件及處理結(jié)果向衛(wèi)生健康主管部門報(bào)告。問題3：改進(jìn)措施：①實(shí)施最小權(quán)限原則，根據(jù)崗位職責(zé)設(shè)置科室及個(gè)人的病歷訪問范圍（如藥劑科僅能查看患者用藥信息）；②部署行為分析系統(tǒng)，對(duì)異常訪問（如非工作時(shí)間、超量查詢）自動(dòng)阻斷并預(yù)警；③加強(qiáng)員工隱私培訓(xùn)，明確“無診療需要不查看”的紅線；④定期開展信息安全演練，測(cè)試系統(tǒng)防護(hù)能力。案例二（25分）：2025年5月，某互聯(lián)網(wǎng)醫(yī)院與健康管理APP“康康助手”合作推出“慢性病管理”服務(wù)，用戶通過APP綁定醫(yī)院賬號(hào)后，可查看自己的檢驗(yàn)報(bào)告、用藥提醒。合作協(xié)議約定：“康康助手”可收集用戶姓名、手機(jī)號(hào)、疾病診斷、檢驗(yàn)數(shù)值用于個(gè)性化健康建議。2025年7月，有用戶發(fā)現(xiàn)其在“康康助手”的頁面出現(xiàn)“某降壓藥優(yōu)惠購(gòu)”廣告，懷疑個(gè)人信息被用于商業(yè)推廣。經(jīng)調(diào)查，“康康助手”將用戶疾病診斷與合作藥企共享，用于精準(zhǔn)營(yíng)銷。問題1：分析“康康助手”的違規(guī)行為。（10分）問題2：互聯(lián)網(wǎng)醫(yī)院在合作中應(yīng)承擔(dān)的責(zé)任。（8分）問題3：患者可通過哪些途徑維權(quán)？（7分）答案：?jiǎn)栴}1：違規(guī)行為：①超范圍處理個(gè)人信息：合作協(xié)議約定用于“個(gè)性化健康建議”，實(shí)際用于商業(yè)推廣，超出約定處理目的；②未取得患者單獨(dú)同意：將疾病診斷等敏感信息提供給第三方藥企，需取得患者明確同意；③違反“最小必要”原則：藥企僅需知道患者是否為某類疾病患者（非具體診斷結(jié)果）即可開展?fàn)I銷，不應(yīng)獲取完整診斷信息；④未履行信息安全義務(wù)：未對(duì)共享數(shù)據(jù)采取充分脫敏措施（如僅保留疾病編碼而非具體診斷名稱）。問題2：互聯(lián)網(wǎng)醫(yī)院責(zé)任：①作為個(gè)人信息處理者，未履行對(duì)第三方的監(jiān)督義務(wù)（未核查“康康助手”是否按約定處理信息）；②違反《個(gè)人信息保護(hù)法》第23條，未與“康康助手”在協(xié)議中明確禁止超范圍使用；③未向患者充分告知信息共享的具體用途（僅籠統(tǒng)說明“用于健康建議”），導(dǎo)致患者無法作出有效同意；④需對(duì)患者損失承擔(dān)連帶責(zé)任（因合作方侵權(quán)行為由醫(yī)院授權(quán)數(shù)據(jù)引起）。問題3：患者維權(quán)途徑：①向互聯(lián)網(wǎng)醫(yī)院投訴，要求停止信息共享、刪除相關(guān)數(shù)據(jù)并賠償；②向網(wǎng)信部門（個(gè)人信息保護(hù)）或衛(wèi)生健康部門（醫(yī)療信息管理）舉報(bào)“康康助手”及互聯(lián)網(wǎng)醫(yī)院的違規(guī)行為；③通過12315平臺(tái)向市場(chǎng)監(jiān)管部門投訴商業(yè)推廣中的個(gè)人信息濫用；④向人民法院提起民事訴訟，依據(jù)《民法典》第1032條（隱私權(quán)）、第1165條（過錯(cuò)責(zé)任）主張損害賠償；⑤若涉及刑事犯罪（如《刑法》第253條之一侵犯公民個(gè)人信息罪），向公安機(jī)關(guān)報(bào)案。案例三（10分）：某社區(qū)醫(yī)院為提升服務(wù)效率，引入智能分診系統(tǒng)，患者通過自助機(jī)刷身份證取號(hào)時(shí)，系統(tǒng)自動(dòng)抓取身份證照片并與就診人面部比對(duì)。部分老年患者反映“刷身份證時(shí)被拍照不舒服”，質(zhì)疑醫(yī)院是否有權(quán)收集面部信息。問題：醫(yī)院收集患者面部信息的合法性依據(jù)及需履行的義務(wù)。答案：合法性依據(jù)：根據(jù)《個(gè)人信息保護(hù)法》第13條，為履行醫(yī)療服務(wù)合同（患者取號(hào)就診）所必需，可收集面部信息用于身份核驗(yàn)；同時(shí)需符合“最小必