HIV反饋與報(bào)告保密制度第一章總則1.1立法與政策依據(jù)本制度以《中華人民共和國(guó)傳染病防治法》《艾滋病防治條例》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《保守國(guó)家秘密法》《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定（2022版）》以及國(guó)家衛(wèi)健委《艾滋病病毒抗體檢測(cè)管理工作規(guī)范（2021）》為直接上位法，并對(duì)接《GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范》《GB/T22239—2019網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》兩項(xiàng)國(guó)家標(biāo)準(zhǔn)。任何條款若與上位法沖突，以上位法為準(zhǔn)，并在5個(gè)工作日內(nèi)啟動(dòng)制度修訂。1.2保密目標(biāo)確保HIV檢測(cè)、確證、隨訪(fǎng)、治療、疫情報(bào)告、科研、教學(xué)、公眾溝通六大環(huán)節(jié)中產(chǎn)生的所有可識(shí)別個(gè)人身份信息（PII）與醫(yī)學(xué)信息（PHI）在采集、傳輸、存儲(chǔ)、使用、共享、銷(xiāo)毀全生命周期內(nèi)“零泄露、零篡改、零濫用”，泄密事件24小時(shí)發(fā)現(xiàn)率100%，72小時(shí)處置閉環(huán)率100%。1.3適用范圍適用于××市疾病預(yù)防控制中心（以下簡(jiǎn)稱(chēng)“市疾控”）、××區(qū)婦幼保健院、××區(qū)抗病毒治療點(diǎn)、××街道社區(qū)衛(wèi)生服務(wù)中心、××實(shí)驗(yàn)室、××第三方物流、××云服務(wù)商及其全體工作人員、外包人員、實(shí)習(xí)生、志愿者。1.4保密原則最小夠用、權(quán)責(zé)一致、分級(jí)分類(lèi)、全程留痕、雙人雙鎖、可追溯、可審計(jì)、可問(wèn)責(zé)。第二章組織與職責(zé)2.1保密委員會(huì)（簡(jiǎn)稱(chēng)“保密委”）主任：市疾控分管副主任；成員：信息科、艾防科、檢驗(yàn)科、質(zhì)管科、法規(guī)科、后勤科、紀(jì)檢監(jiān)察室、第三方安全公司各1名負(fù)責(zé)人。保密委每季度召開(kāi)一次例會(huì)，每半年進(jìn)行一次突擊演練。2.2數(shù)據(jù)保護(hù)官（DPO）由信息科副科長(zhǎng)兼任，直接向保密委匯報(bào)，負(fù)責(zé)制度解釋、風(fēng)險(xiǎn)評(píng)估、事件調(diào)查、培訓(xùn)考核、對(duì)外溝通。2.3科室級(jí)保密員每個(gè)業(yè)務(wù)科室設(shè)A、B角各1名，負(fù)責(zé)日常權(quán)限審批、介質(zhì)領(lǐng)用、日志初審、泄密事件第一響應(yīng)。2.4外包監(jiān)管組由法規(guī)科牽頭，與所有外包公司簽訂《HIV數(shù)據(jù)保密補(bǔ)充協(xié)議》，約定違約金為合同總額10倍，并凍結(jié)全部未付款項(xiàng)作為保證金。第三章分級(jí)與分類(lèi)3.1分級(jí)絕密級(jí)：可精確定位到個(gè)人的HIV陽(yáng)性結(jié)果、CD4＜200的詳細(xì)病歷、耐藥位點(diǎn)序列。機(jī)密級(jí)：去標(biāo)識(shí)但可重識(shí)別的檢測(cè)編號(hào)、隨訪(fǎng)臺(tái)賬、物流單號(hào)。秘密級(jí)：統(tǒng)計(jì)報(bào)表、群體分析圖表、內(nèi)部培訓(xùn)PPT。3.2分類(lèi)紙質(zhì)：檢測(cè)申請(qǐng)單、確證報(bào)告、告知書(shū)、處方簽。電子：LIS系統(tǒng)數(shù)據(jù)、隨訪(fǎng)APP后臺(tái)、郵件、微信工作群消息。語(yǔ)音：電話(huà)告知錄音、12345熱線(xiàn)工單。圖像：HIV試紙照片、患者面部照片、實(shí)驗(yàn)原始圖譜。第四章采集與告知4.1采集前工作人員須出示“HIV檢測(cè)信息采集授權(quán)告知書(shū)”（2023版），用≥14號(hào)字體打印，一式兩份。告知書(shū)包含采集目的、數(shù)據(jù)類(lèi)別、保存期限、共享范圍、投訴渠道。受檢者逐頁(yè)簽字按指紋，拒絕簽字即停止采集。4.2采集時(shí)使用“雙盲”模式：采樣護(hù)士?jī)H見(jiàn)條碼，檢驗(yàn)人員僅見(jiàn)條碼，條碼由系統(tǒng)自動(dòng)生成10位隨機(jī)碼+6位校驗(yàn)位，每日0點(diǎn)重新滾動(dòng)。4.3采集后采樣護(hù)士立即在“采樣端PDA”點(diǎn)擊“已采樣”，系統(tǒng)自動(dòng)生成AES256加密壓縮包，通過(guò)5GVPDN專(zhuān)網(wǎng)傳至市疾控機(jī)房，全程≤30秒，失敗自動(dòng)重傳3次，仍失敗則啟動(dòng)“斷網(wǎng)應(yīng)急盤(pán)”——由保密員A、B雙人攜帶加密U盤(pán)現(xiàn)場(chǎng)人工送數(shù)據(jù)，全程視頻監(jiān)控。第五章傳輸與存儲(chǔ)5.1傳輸通道統(tǒng)一使用市電子政務(wù)外網(wǎng)MPLSVPN，啟用國(guó)密SM4加密，隧道密鑰由市級(jí)密鑰管理中心每8小時(shí)自動(dòng)輪換。任何科室不得私建FTP、QQ、微信、個(gè)人郵箱傳輸HIV數(shù)據(jù)。5.2存儲(chǔ)架構(gòu)生產(chǎn)庫(kù)：Oracle19cRAC，采用TDE透明加密，表空間密鑰與錢(qián)包分離存放，錢(qián)包密碼由3人各掌握6位，組合18位。備份庫(kù)：異地機(jī)房≥150公里，實(shí)時(shí)同步，RPO≤15秒，RTO≤5分鐘。歸檔庫(kù)：藍(lán)光光盤(pán)，一次寫(xiě)入，50年壽命，由保密委每季度抽檢5%可讀性。5.3移動(dòng)介質(zhì)統(tǒng)一采購(gòu)“國(guó)密指紋加密U盤(pán)”，容量≤32GB，啟用自毀功能，連續(xù)輸錯(cuò)5次密碼或暴力拆解即自動(dòng)熔斷。領(lǐng)用需填寫(xiě)《涉密介質(zhì)流轉(zhuǎn)單》，雙人簽字，限當(dāng)日歸還。第六章權(quán)限與訪(fǎng)問(wèn)控制6.1最小權(quán)限矩陣系統(tǒng)內(nèi)置“角色—科室—項(xiàng)目”三維授權(quán)，顆粒度到字段級(jí)。例如：“艾防科—隨訪(fǎng)組—CD4”只能查看CD4≥200的個(gè)案，無(wú)法查看CD4＜200的明細(xì)?！皺z驗(yàn)科—確證組—WB圖譜”只能查看圖譜文件，無(wú)法查看姓名。6.2二次認(rèn)證所有賬號(hào)啟用“短信+指紋”雙因子，短信驗(yàn)證碼有效期≤60秒，指紋誤識(shí)率≤0.001%。6.3特權(quán)賬號(hào)僅設(shè)3個(gè)“DBA”賬號(hào)，由保密委主任、DPO、機(jī)房值班長(zhǎng)各掌1把硬件Key，任何單人均無(wú)法登錄；所有DDL操作自動(dòng)觸發(fā)屏幕錄像并同步至審計(jì)服務(wù)器。第七章去標(biāo)識(shí)與共享7.1去標(biāo)識(shí)流程Step1刪除18類(lèi)直接標(biāo)識(shí)符（姓名、身份證、電話(huà)、地址等）。Step2對(duì)剩余準(zhǔn)標(biāo)識(shí)符（性別、出生年、郵編、感染途徑）使用k匿名模型，k≥5。Step3使用差分隱私加入隨機(jī)噪聲，隱私預(yù)算ε≤0.1。Step4由DPO出具《去標(biāo)識(shí)合格報(bào)告》，方可離開(kāi)內(nèi)網(wǎng)沙箱。7.2共享審批外單位申請(qǐng)數(shù)據(jù)須提前10個(gè)工作日提交《HIV數(shù)據(jù)共享申請(qǐng)表》、倫理批件、保密方案、系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告。保密委在5個(gè)工作日內(nèi)完成技術(shù)測(cè)試、法律審查、現(xiàn)場(chǎng)核查，表決需≥2/3同意方可共享，并簽訂《數(shù)據(jù)共享協(xié)議》，約定“用途限制、時(shí)間限制、二次共享禁止、泄露賠償”。第八章疫情報(bào)告與對(duì)外發(fā)布8.1網(wǎng)絡(luò)直報(bào)檢驗(yàn)人員于確證后2小時(shí)內(nèi)登陸“中國(guó)疾病預(yù)防控制信息系統(tǒng)”，使用數(shù)字證書(shū)+短信驗(yàn)證碼雙因子，填報(bào)《HIV抗體確證陽(yáng)性報(bào)告卡》。系統(tǒng)對(duì)“身份證號(hào)+姓名”進(jìn)行全國(guó)重號(hào)校驗(yàn)，防止重復(fù)。8.2對(duì)外發(fā)布任何個(gè)人、科室、媒體未經(jīng)市疾控宣傳科書(shū)面授權(quán)，不得對(duì)外發(fā)布HIV陽(yáng)性者詳細(xì)信息。群體數(shù)據(jù)發(fā)布須滿(mǎn)足“≥50例、≥3個(gè)月、去標(biāo)識(shí)”三要素，且提前7個(gè)工作日通過(guò)保密委風(fēng)險(xiǎn)評(píng)估。第九章實(shí)驗(yàn)室原始記錄管理9.1記錄內(nèi)容包括樣本編號(hào)、試劑批號(hào)、質(zhì)控值、環(huán)境溫濕度、儀器校準(zhǔn)記錄、操作員簽字。9.2保存期限HIV篩查記錄保存2年；確證記錄、WB圖譜、核酸序列保存≥15年；光盤(pán)歸檔≥30年。9.3借閱流程內(nèi)部借閱：填寫(xiě)《原始記錄借閱審批表》，科主任簽字，借閱期≤7天，現(xiàn)場(chǎng)閱覽，不得拍照、復(fù)印、轉(zhuǎn)抄。外部借閱：須經(jīng)受檢者書(shū)面同意、保密委主任簽字、市衛(wèi)健委法監(jiān)處蓋章，全程2人陪同。第十章告知與咨詢(xún)10.1陽(yáng)性告知由具備“國(guó)家二級(jí)心理咨詢(xún)師”資質(zhì)且通過(guò)“HIV陽(yáng)性告知專(zhuān)項(xiàng)考核”的工作人員執(zhí)行，使用獨(dú)立告知室，隔音≥45dB。告知全程錄音，錄音文件以“采樣編號(hào)+日期”命名，存入加密服務(wù)器，保存≥5年。10.2告知內(nèi)容“確證結(jié)果、傳播途徑、治療政策、醫(yī)保報(bào)銷(xiāo)、配偶告知義務(wù)、法律責(zé)任、心理支持、投訴渠道”八項(xiàng)必講，每講≥3分鐘，共≥30分鐘。10.3配偶告知遵循“自愿+責(zé)任”原則，如感染者拒絕告知配偶，工作人員須在2小時(shí)內(nèi)報(bào)告“配偶告知風(fēng)險(xiǎn)評(píng)估小組”，由公安、司法、衛(wèi)健、律師、心理專(zhuān)家五方在48小時(shí)內(nèi)完成風(fēng)險(xiǎn)評(píng)估，確屬高傳播風(fēng)險(xiǎn)且拒絕告知的，依法啟動(dòng)“強(qiáng)制告知”程序。第十一章信息系統(tǒng)開(kāi)發(fā)與運(yùn)維11.1安全開(kāi)發(fā)生命周期（SDL）需求階段：加入“隱私影響評(píng)估（PIA）”報(bào)告。設(shè)計(jì)階段：采用“零信任”架構(gòu)，所有模塊默認(rèn)不信任。編碼階段：使用國(guó)密算法，禁用MD5、SHA1、DES。測(cè)試階段：委托“××網(wǎng)絡(luò)安全測(cè)評(píng)中心”進(jìn)行滲透測(cè)試，高危漏洞修復(fù)率100%方可上線(xiàn)。上線(xiàn)階段：通過(guò)等級(jí)保護(hù)三級(jí)測(cè)評(píng)，得分≥90分。11.2運(yùn)維階段每日0:00—4:00為“封網(wǎng)時(shí)段”，禁止任何變更；緊急變更須保密委主任、DPO、值班長(zhǎng)三人視頻會(huì)議一致同意，并全程錄屏。第十二章數(shù)據(jù)銷(xiāo)毀與介質(zhì)報(bào)廢12.1電子數(shù)據(jù)銷(xiāo)毀采用“覆蓋+消磁+物理粉碎”三級(jí)銷(xiāo)毀：覆蓋：使用隨機(jī)數(shù)覆蓋3次，遵循DoD5220.22M標(biāo)準(zhǔn)；消磁：使用消磁機(jī)（磁場(chǎng)強(qiáng)度≥10000高斯）消磁30秒；粉碎：硬盤(pán)粉碎顆?！?mm，由保密員A、B雙人現(xiàn)場(chǎng)監(jiān)督，視頻存檔≥3年。12.2紙質(zhì)文件銷(xiāo)毀使用“涉密文件銷(xiāo)毀機(jī)”，碎紙粒度≤1×2mm，每批次稱(chēng)重并記錄，銷(xiāo)毀后紙屑與生活垃圾“雙桶分離”，由保密委隨機(jī)抽檢5%紙屑復(fù)拼，復(fù)拼成功率≤0.1%。12.3光盤(pán)、U盤(pán)銷(xiāo)毀光盤(pán)：先物理破碎為≤4mm碎片，再送專(zhuān)業(yè)公司高溫熔煉，出具《熔煉證明》。U盤(pán)：執(zhí)行“電子粉碎+物理粉碎”雙流程，粉碎后芯片顆粒≤2mm。第十三章培訓(xùn)與考核13.1培訓(xùn)對(duì)象新入職、實(shí)習(xí)、外包、保潔、安保、維修等所有可能接觸HIV數(shù)據(jù)的人員。13.2培訓(xùn)內(nèi)容法律法規(guī)、制度條款、技術(shù)操作、場(chǎng)景演練、泄密案例。13.3培訓(xùn)形式線(xiàn)上：使用“××保密培訓(xùn)平臺(tái)”，學(xué)習(xí)時(shí)長(zhǎng)≥4學(xué)時(shí)，隨機(jī)彈題≥20道，正確率≥90%視為合格。線(xiàn)下：每季度組織“紅藍(lán)對(duì)抗”演練，藍(lán)隊(duì)模擬黑客，紅隊(duì)防守，演練報(bào)告48小時(shí)內(nèi)提交保密委。13.4考核與獎(jiǎng)懲考核滿(mǎn)分100分，≥90分方可授予“HIV數(shù)據(jù)保密上崗證”，有效期1年。＜90分補(bǔ)考1次，仍不合格調(diào)離崗位。主動(dòng)發(fā)現(xiàn)重大漏洞且及時(shí)報(bào)告者，獎(jiǎng)勵(lì)5000—20000元；泄密者，視情節(jié)給予警告、記過(guò)、降職、開(kāi)除、追償損失、移送司法，5年內(nèi)不得再?gòu)氖律姘ぷ鳌５谑恼卤O(jiān)督與審計(jì)14.1日常審計(jì)系統(tǒng)自動(dòng)審計(jì)：記錄所有賬號(hào)登錄、查詢(xún)、導(dǎo)出、修改、刪除操作，日志保存≥6年，防篡改。人工審計(jì)：保密委每月隨機(jī)抽取5%日志進(jìn)行人工復(fù)核，重點(diǎn)檢查“非工作時(shí)間查詢(xún)、批量導(dǎo)出、跨科室查詢(xún)”三類(lèi)高風(fēng)險(xiǎn)行為。14.2第三方審計(jì)每年聘請(qǐng)“××?xí)?jì)師事務(wù)所+××網(wǎng)絡(luò)安全公司”聯(lián)合進(jìn)行外部審計(jì)，出具《HIV數(shù)據(jù)保密審計(jì)報(bào)告》，對(duì)發(fā)現(xiàn)的問(wèn)題列出“整改清單+責(zé)任人+完成時(shí)限”，整改完成率納入年度績(jī)效考核，占比≥20%。第十五章應(yīng)急響應(yīng)與災(zāi)難恢復(fù)15.1事件分級(jí)Ⅰ級(jí)（特別重大）：≥1000條可識(shí)別數(shù)據(jù)泄露；Ⅱ級(jí)（重大）：100—999條；Ⅲ級(jí)（較大）：10—99條；Ⅳ級(jí)（一般）：＜10條。15.2響應(yīng)流程（1）發(fā)現(xiàn)人立即電話(huà)報(bào)告DPO，并在10分鐘內(nèi)提交《初報(bào)單》；（2）DPO30分鐘內(nèi)召集“應(yīng)急指揮組”，啟動(dòng)預(yù)案；（3）1小時(shí)內(nèi)完成“臨時(shí)封堵”：停用賬號(hào)、下線(xiàn)系統(tǒng)、凍結(jié)介質(zhì)；（4）6小時(shí)內(nèi)完成“影響評(píng)估”，形成《評(píng)估報(bào)告》報(bào)市衛(wèi)健委、市委網(wǎng)信辦、市公安局；（5）24小時(shí)內(nèi)通過(guò)市疾控官網(wǎng)、微博、短信等渠道向社會(huì)發(fā)布“簡(jiǎn)要通報(bào)”；（6）72小時(shí)內(nèi)完成“rootcause分析”，提交《整改方案》；（7）7日內(nèi)完成“補(bǔ)償與安撫”，對(duì)受影響個(gè)人提供免費(fèi)信用監(jiān)測(cè)、心理咨詢(xún)、法律維權(quán)；（8）30日內(nèi)完成“制度升級(jí)”，并組織全市范圍演練驗(yàn)證。15.3災(zāi)難恢復(fù)生產(chǎn)庫(kù)宕機(jī)：RTO≤5分鐘，由異地備份庫(kù)接管；機(jī)房火災(zāi)：?jiǎn)⒂谩霸茷?zāi)備”，在××云RegionB啟動(dòng)容災(zāi)實(shí)例，30分鐘內(nèi)恢復(fù)核心功能；密鑰丟失：?jiǎn)?dòng)“密鑰托管保險(xiǎn)箱”，由3名KeyMaster分別輸入6位片段，重新合成主密鑰。第十六章法律責(zé)任與追償16.1行政處罰對(duì)直接責(zé)任人：依據(jù)《艾滋病防治條例》第39條，處5000—50000元罰款；對(duì)機(jī)構(gòu)：依據(jù)《個(gè)人信息保護(hù)法》第66條，處500萬(wàn)元以下或上一年?duì)I業(yè)額5%以下罰款。16.2民事賠償受侵權(quán)人可提起民事訴訟，要求“停止侵害、消除危險(xiǎn)、賠禮道歉、賠償損失”，賠償范圍包括精神損害撫慰金、誤工費(fèi)、律師費(fèi)、公證費(fèi)，市疾控設(shè)立“先行賠付基金”500萬(wàn)元，確保受害者7日內(nèi)拿到首筆撫慰金。16.3刑事責(zé)任違反《刑法》第253條之一“侵犯公民個(gè)人信息罪”，情節(jié)特別嚴(yán)重的，處3—7年有期徒刑，并處罰金；違反《刑法》第282條“非法獲取國(guó)