醫(yī)院檔案、信息管理制度第一章總則與立法依據(jù)1.1立法目的為統(tǒng)一醫(yī)院檔案與信息資源的采集、存儲(chǔ)、共享、銷毀全生命周期管理，確保醫(yī)療質(zhì)量、科研誠(chéng)信、患者隱私與國(guó)家數(shù)據(jù)安全，依據(jù)《中華人民共和國(guó)檔案法》《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《電子病歷管理規(guī)范（2022版）》《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定（2021修訂）》及《GB/T188942016電子文件歸檔與電子檔案管理規(guī)范》等上位法，制定本制度。1.2適用范圍本制度覆蓋本院所有產(chǎn)生或接收的紙質(zhì)、電子、音視頻、圖像、標(biāo)本、模型、基因測(cè)序原始數(shù)據(jù)（FASTQ）、AI訓(xùn)練數(shù)據(jù)集等一切具有保存價(jià)值的信息記錄，適用于全體職工、進(jìn)修生、規(guī)培生、研究生、外包運(yùn)維公司、科研合作機(jī)構(gòu)及患者個(gè)人。1.3管理原則（1）“單套制”原則：除法律強(qiáng)制要求雙軌外，所有新生成記錄優(yōu)先采用電子單套制，紙質(zhì)僅作異地備份。（2）“最小夠用”原則：任何科室不得超范圍收集患者基因、人臉、指紋等敏感個(gè)人信息。（3）“溯源問(wèn)責(zé)”原則：每條數(shù)據(jù)須綁定“創(chuàng)建者—審核者—系統(tǒng)—時(shí)間戳”四要素，確保可追溯到人。（4）“分類分級(jí)”原則：按照《衛(wèi)生健康行業(yè)數(shù)據(jù)分類分級(jí)指南（試行）》將數(shù)據(jù)劃分為核心、重要、一般三級(jí)，匹配差異化防護(hù)策略。第二章組織與職責(zé)2.1醫(yī)院網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組（下稱“網(wǎng)信小組”）由院長(zhǎng)任組長(zhǎng)，分管副院長(zhǎng)、首席信息官（CIO）、法務(wù)部主任、檔案科主任、醫(yī)務(wù)部主任、護(hù)理部主任、財(cái)務(wù)部主任、紀(jì)檢監(jiān)察室主任為成員，對(duì)檔案與信息安全負(fù)最終責(zé)任。每季度召開一次例會(huì)，審議重大數(shù)據(jù)泄露事件、年度銷毀清單、預(yù)算投入。2.2檔案與信息管理科（下稱“檔案科”）編制8人，設(shè)科長(zhǎng)1名、副科長(zhǎng)1名、系統(tǒng)管理員2名、紙質(zhì)檔案員2名、數(shù)據(jù)治理工程師2名。具體職責(zé)：（1）制定并動(dòng)態(tài)修訂本制度及配套細(xì)則；（2）運(yùn)營(yíng)醫(yī)院綜合檔案管理系統(tǒng)（HDAMSv5.3）及長(zhǎng)期保存庫(kù)（HDLTPv2.0）；（3）組織年度檔案質(zhì)量飛行檢查，覆蓋率≥30%臨床科室；（4）對(duì)接市檔案館、市衛(wèi)健委信息中心，完成移交與備案。2.3科室兼職檔案員每個(gè)臨床、醫(yī)技、行政科室設(shè)1名兼職檔案員，由科主任提名、檔案科考核。享受月度績(jī)效補(bǔ)貼300元。職責(zé)：（1）每日完成病歷質(zhì)控與7日歸檔；（2）每月5日前提交《科室數(shù)據(jù)自查表》；（3）發(fā)現(xiàn)泄露隱患30分鐘內(nèi)向科主任與檔案科雙線報(bào)告。2.4第三方合作機(jī)構(gòu)任何外協(xié)公司須簽署《數(shù)據(jù)處理協(xié)議（DPA）》并繳納不低于合同額5%的安全保證金。違約一次扣除全額保證金，并列入醫(yī)院黑名單三年。第三章數(shù)據(jù)分類與密級(jí)3.1核心數(shù)據(jù)（1）患者生物識(shí)別模板（人臉、指紋、聲紋、虹膜）；（2）人類遺傳資源材料（外周血、組織、胚胎干細(xì)胞）；（3）醫(yī)院HIS、LIS、PACS、EMR核心數(shù)據(jù)庫(kù)全量備份；（4）重大疫情直報(bào)原始數(shù)據(jù)。密級(jí)標(biāo)識(shí)：紅色“C”，加密算法采用SM4GCM256，密鑰托管在硬件加密機(jī)（HSM）中，雙人雙鑰。3.2重要數(shù)據(jù)（1）患者主索引（MPI）、病案首頁(yè)、醫(yī)囑、護(hù)理記錄；（2）職工人事、薪酬、績(jī)效考核數(shù)據(jù)；（3）科研課題原始數(shù)據(jù)、倫理批件；（4）財(cái)務(wù)成本核算、預(yù)算、招投標(biāo)文件。密級(jí)標(biāo)識(shí)：橙色“I”，加密算法采用AES256XTS，密鑰每90天輪轉(zhuǎn)一次。3.3一般數(shù)據(jù)（1）公開的健康科普文章；（2）醫(yī)院新聞通稿；（3）已脫敏的統(tǒng)計(jì)報(bào)表。密級(jí)標(biāo)識(shí)：綠色“G”，采用TLS1.3傳輸即可，可存于公有云對(duì)象存儲(chǔ)。第四章采集與生成控制4.1采集源頭（1）門診、住院、體檢、急診、互聯(lián)網(wǎng)醫(yī)院五大業(yè)務(wù)系統(tǒng)須啟用“數(shù)據(jù)血緣”插件，記錄字段級(jí)來(lái)源；（2）科研隊(duì)列采集須先通過(guò)倫理委員會(huì)審批，并在國(guó)家醫(yī)學(xué)研究登記備案平臺(tái)獲取“MR號(hào)”；（3）可穿戴設(shè)備數(shù)據(jù)通過(guò)院級(jí)IoT網(wǎng)關(guān)接入，網(wǎng)關(guān)須通過(guò)國(guó)家安全認(rèn)證（CCRCEAL3+）。4.2生成質(zhì)量控制（1）病歷書寫時(shí)限：入院記錄24h，首次病程8h，手術(shù)記錄術(shù)后24h，搶救記錄6h；（2）系統(tǒng)內(nèi)置582條質(zhì)控規(guī)則，如“腫瘤病理診斷與ICD10編碼不一致”自動(dòng)彈窗攔截；（3）AI輔助生成的影像報(bào)告須由主治以上醫(yī)師在24h內(nèi)二次審簽，未審簽報(bào)告禁止打印。第五章存儲(chǔ)與備份5.1存儲(chǔ)架構(gòu)采用“熱—溫—冷—極冷”四級(jí)架構(gòu)：（1）熱數(shù)據(jù)：SSD全閃陣列，保存90天內(nèi)數(shù)據(jù)，IOPS≥10萬(wàn)；（2）溫?cái)?shù)據(jù)：SAS盤+對(duì)象存儲(chǔ)，保存1年內(nèi)數(shù)據(jù)，自動(dòng)分層；（3）冷數(shù)據(jù)：藍(lán)光光盤庫(kù)，保存10年，單盤容量300GB，壽命≥50年；（4）極冷數(shù)據(jù)：異地磁帶上云（AWSGlacierDeepArchive），保存30年，11個(gè)9持久性。5.2備份策略（1）核心數(shù)據(jù)庫(kù)：每日2次快照、每4小時(shí)增量、每30分鐘日志備份，RPO≤15分鐘；（2）PACS影像：采用“文件+對(duì)象”雙副本，本地2副本、異地1副本；（3）電子病歷：?jiǎn)⒂脜^(qū)塊鏈防篡改（HyperledgerFabric），每日把哈希值寫入市衛(wèi)健委聯(lián)盟鏈；（4）備份演練：每季度進(jìn)行一次“盲演”，隨機(jī)拔掉一根光纖，要求30分鐘內(nèi)業(yè)務(wù)切換，RTO≤30分鐘。第六章共享與利用6.1共享審批（1）院內(nèi)共享：科室間調(diào)閱需填寫《電子病歷調(diào)閱單》，系統(tǒng)根據(jù)“最小角色”自動(dòng)授權(quán)，最大時(shí)限24小時(shí)；（2）院外共享：須走“數(shù)據(jù)對(duì)外共享審批系統(tǒng)（DASv1.2）”，流程：申請(qǐng)→科主任→檔案科→法務(wù)→網(wǎng)信小組組長(zhǎng)，5級(jí)審批，全程留痕；（3）科研共享：去標(biāo)識(shí)化由“隱私計(jì)算平臺(tái)”執(zhí)行，采用聯(lián)邦學(xué)習(xí)+差分隱私(ε≤1)，輸出前須通過(guò)“重識(shí)別風(fēng)險(xiǎn)評(píng)估”模型，風(fēng)險(xiǎn)分值＞0.1的一律駁回。6.2利用追蹤（1）建立“數(shù)據(jù)利用臺(tái)賬”，記錄字段級(jí)使用次數(shù)、導(dǎo)出IP、賬號(hào)、目的；（2）對(duì)超范圍利用觸發(fā)“熔斷”機(jī)制，3分鐘內(nèi)自動(dòng)斷開VPN并凍結(jié)賬號(hào)；（3）每年聘請(qǐng)第三方審計(jì)機(jī)構(gòu)出具《數(shù)據(jù)利用合規(guī)審計(jì)報(bào)告》，向職工代表大會(huì)公開。第七章脫敏與匿名化7.1脫敏算法（1）姓名：采用對(duì)稱加密+哈希映射，保留首字，如“張”；（2）身份證：保留前1位+后4位，中間14位用SM3哈希；（3）地址：采用“K匿名”泛化，城市→省份，街道→區(qū)縣；（4）影像：使用“影像水印+病灶區(qū)域馬賽克”，水印包含醫(yī)院簡(jiǎn)稱與導(dǎo)出時(shí)間，不可去除。7.2匿名化驗(yàn)證（1）采用“重識(shí)別攻擊模擬器”，模擬黑產(chǎn)通過(guò)外部voterlist進(jìn)行鏈接攻擊，成功率＞1%即判定不合格；（2）匿名化數(shù)據(jù)集須通過(guò)倫理委員會(huì)二次審查，并在醫(yī)院官網(wǎng)公示7日，無(wú)異議后方可出境。第八章權(quán)限與訪問(wèn)控制8.1賬號(hào)生命周期（1）入職：人事系統(tǒng)發(fā)起→IT創(chuàng)建→短信初始密碼→首次登錄強(qiáng)制綁定國(guó)密SM2雙因子；（2）轉(zhuǎn)崗：權(quán)限隨崗位角色自動(dòng)漂移，原權(quán)限即刻回收；（3）離職：賬號(hào)立即禁用，14天后刪除，關(guān)鍵操作日志保存≥20年。8.2最小權(quán)限模型（1）角色顆粒度細(xì)化到“按鈕級(jí)”，如“放射科—住院醫(yī)師—CT報(bào)告—查看—未審簽”權(quán)限獨(dú)立；（2）臨時(shí)授權(quán)：支持“掃碼一次性授權(quán)”，有效期≤4小時(shí)，過(guò)期自動(dòng)失效；（3）高敏操作：批量導(dǎo)出＞5000條記錄須雙人指紋+動(dòng)態(tài)令牌，系統(tǒng)錄屏保存90天。第九章安全事件應(yīng)急9.1事件分級(jí)（1）特別重大（Ⅰ級(jí)）：核心數(shù)據(jù)泄露≥10萬(wàn)條或人類遺傳資源出境未審批；（2）重大（Ⅱ級(jí)）：重要數(shù)據(jù)泄露1萬(wàn)–10萬(wàn)條；（3）較大（Ⅲ級(jí)）：一般數(shù)據(jù)泄露＜1萬(wàn)條；（4）一般（Ⅳ級(jí)）：未泄露但存在高危漏洞。9.2應(yīng)急預(yù)案（1）60分鐘內(nèi)：發(fā)現(xiàn)人→科主任→檔案科→網(wǎng)信小組，同時(shí)啟動(dòng)“黃金一小時(shí)”處置；（2）6小時(shí)內(nèi)：完成數(shù)據(jù)泄露范圍畫像、受影響患者清單、攻擊入口封禁；（3）24小時(shí)內(nèi)：向市衛(wèi)健委、市公安局網(wǎng)安支隊(duì)書面報(bào)告；（4）72小時(shí)內(nèi)：完成所有患者短信通知、信用監(jiān)測(cè)開通、官網(wǎng)公告；（5）7日內(nèi)：組織攻防演練復(fù)盤，輸出《安全事件調(diào)查報(bào)告》，對(duì)責(zé)任人啟動(dòng)問(wèn)責(zé)。9.3災(zāi)備演練每年組織一次“實(shí)戰(zhàn)勒索病毒”演練：（1）攻防隊(duì)伍使用加密外殼模擬WannaCry變種；（2）要求在不支付贖金前提下，利用本地備份在4小時(shí)內(nèi)恢復(fù)核心系統(tǒng)；（3）演練結(jié)束出具《災(zāi)難恢復(fù)時(shí)間軸報(bào)告》，RTO＞4小時(shí)即判定演練失敗，扣發(fā)IT部門季度績(jī)效20%。第十章審計(jì)與問(wèn)責(zé)10.1審計(jì)機(jī)制（1）內(nèi)部：檔案科每月隨機(jī)抽查5%系統(tǒng)日志，重點(diǎn)檢查“批量導(dǎo)出”“權(quán)限提升”“異常時(shí)間登錄”；（2）外部：聘請(qǐng)會(huì)計(jì)師事務(wù)所+網(wǎng)絡(luò)安全公司聯(lián)合審計(jì)，出具SOC2TypeⅡ報(bào)告；（3）審計(jì)結(jié)果與科室績(jī)效、職稱晉升掛鉤，發(fā)現(xiàn)一次“未授權(quán)導(dǎo)出”扣科室績(jī)效2萬(wàn)元，個(gè)人取消當(dāng)年評(píng)優(yōu)。10.2問(wèn)責(zé)階梯（1）輕微違規(guī)：書面警告+重新培訓(xùn)；（2）一般違規(guī)：全院通報(bào)+績(jī)效扣減10%；（3）嚴(yán)重違規(guī)：降級(jí)降薪+暫停執(zhí)業(yè)1–6個(gè)月；（4）違法犯罪：移送司法機(jī)關(guān)，同步上報(bào)國(guó)家醫(yī)師誠(chéng)信檔案系統(tǒng)。第十一章銷毀與續(xù)存11.1銷毀情形（1）超過(guò)法定保存期限：門診病歷15年，住院病歷30年，財(cái)務(wù)憑證10年；（2）患者書面申請(qǐng)刪除其非診療必需數(shù)據(jù)，且經(jīng)法務(wù)審核不違反《醫(yī)師法》第十八條；（3）科研數(shù)據(jù)完成論文發(fā)表且通過(guò)倫理結(jié)題5年后，如無(wú)續(xù)研需求。11.2銷毀流程（1）科室發(fā)起→檔案科審核→網(wǎng)信小組組長(zhǎng)審批→市衛(wèi)健委備案；（2）紙質(zhì)：使用“碎漿+脫墨”一體化設(shè)備，出漿細(xì)度≤2mm，全程視頻監(jiān)控保存180天；（3）電子：采用“國(guó)密SM3隨機(jī)覆寫7次+物理粉碎”雙保險(xiǎn)，粉碎后顆粒對(duì)角線≤1mm；（4）出具《銷毀證明》，編號(hào)上傳區(qū)塊鏈，任何人可公開驗(yàn)證哈希。11.3續(xù)存評(píng)估（1）每5年由檔案科組織“續(xù)存價(jià)值評(píng)估委員會(huì)”，成員含臨床、科研、病案、倫理、法律代表；（2）評(píng)估維度：科研再利用潛力、歷史價(jià)值、法律風(fēng)險(xiǎn)、存儲(chǔ)成本；（3）評(píng)估結(jié)果：續(xù)存、轉(zhuǎn)存、銷毀三選一，形成會(huì)議紀(jì)要并公開。第十二章培訓(xùn)與考核12.1培訓(xùn)體系（1）新員工崗前：3小時(shí)檔案與信息安全必修課，考試90分及格，不合格不得授予HIS賬號(hào)；（2）在職：每年2學(xué)時(shí)在線+1學(xué)時(shí)實(shí)操，內(nèi)容包括最新勒索病毒案例、隱私計(jì)算演示；（3）專項(xiàng)：對(duì)科研PI、研究生增設(shè)“人類遺傳資源審批”線下工作坊，每年不少于4學(xué)時(shí)。12.2考核方式（1）理論：隨機(jī)題庫(kù)100題，含單選、多選、案例分析；（2）實(shí)操：模擬“病歷誤發(fā)微信”應(yīng)急，要求5分鐘內(nèi)完成上報(bào)、撤回、公告；（3）考核成績(jī)納入年度績(jī)效，占比10%，不合格者暫停系統(tǒng)權(quán)限，補(bǔ)考通過(guò)后恢復(fù)。第十三章患者權(quán)利與申訴13.1權(quán)利清單（1）可查詢、復(fù)制其全部病歷，現(xiàn)場(chǎng)立等可取，電子病歷≤5分鐘，紙質(zhì)病歷≤30分鐘；（2）可申請(qǐng)更正錯(cuò)誤信息，醫(yī)院須在7日內(nèi)完成核實(shí)并書面答復(fù)；（3）可申請(qǐng)刪除非診療必需數(shù)據(jù)，但法律法規(guī)另有規(guī)定的除外；（4）可要求說(shuō)明數(shù)據(jù)對(duì)外共享情況，醫(yī)院須在48小時(shí)內(nèi)提供近3年共享日志。13.2申訴渠道（1）線下：病案復(fù)印窗口旁設(shè)“患者數(shù)據(jù)權(quán)益服務(wù)臺(tái)”，工作日8:00–17:30；（2）線上：互聯(lián)網(wǎng)醫(yī)院App內(nèi)置“數(shù)據(jù)權(quán)益”模塊，提交后自動(dòng)生成工單；