患者醫(yī)療信息管理制度第一章總則1.1立法與政策依據(jù)本制度以《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》《醫(yī)療機構病歷管理規(guī)定（2022版）》《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法（試行）》為主干，結合《GB/T352732020信息安全技術個人信息安全規(guī)范》《GB/T222392019信息安全技術網(wǎng)絡安全等級保護基本要求》及行業(yè)最佳實踐制定。凡與上位法沖突的條款，以上位法為準。1.2適用范圍本制度覆蓋××醫(yī)院集團本部、分院、互聯(lián)網(wǎng)醫(yī)院、醫(yī)聯(lián)體成員單位、科研協(xié)作中心、第三方檢驗檢查及云服務商。適用對象包括門急診患者、住院患者、體檢人群、臨床試驗受試者、互聯(lián)網(wǎng)醫(yī)院注冊用戶以及已故未滿30年隱私保護期的患者。1.3術語定義a.患者醫(yī)療信息（PMI）：指能夠單獨或與其他信息結合識別特定自然人，且由醫(yī)療活動產(chǎn)生的任何電子或紙質記錄。b.敏感個人信息：包含艾滋病、性病、精神疾病、遺傳缺陷、生物識別、定位軌跡等一旦泄露可能導致歧視或嚴重危害人身財產(chǎn)安全的信息。c.最小必要原則：在特定業(yè)務場景下，僅收集、使用、傳輸、存儲實現(xiàn)目的所需的最少字段與最短時間。d.去標識化：通過哈希、加鹽、token、K匿名、差分隱私等技術，使數(shù)據(jù)在不借助額外信息情況下無法識別特定自然人。e.數(shù)據(jù)主體：即患者本人；無/限制民事行為能力人時，為其監(jiān)護人；患者死亡后，為其近親屬或遺囑執(zhí)行人。第二章組織架構與職責2.1三級責任體系a.決策層：醫(yī)院網(wǎng)絡安全與信息化領導小組（院長任組長）負責預算、重大策略、事件問責。b.管理層：數(shù)據(jù)治理委員會（分管副院長任主任）由醫(yī)務部、信息科、質控科、病案室、法務、倫理、醫(yī)保辦、績效辦組成，負責制度修訂、分級分類、風險評估、審計報告。c.執(zhí)行層：①數(shù)據(jù)保護官（DPO）：由信息科副科長兼任，直接向院長匯報，對接監(jiān)管。②科室數(shù)據(jù)責任人：臨床、醫(yī)技科室指定一名副高及以上職稱人員，負責本科室最小必要審核、權限梳理、日常自查。③第三方聯(lián)絡人：與云服務商、AI公司、保險公司、銀行、物流等簽署協(xié)議時，必須指定院內聯(lián)絡人，實行“雙人雙崗”對接。2.2崗位職責清單（RACI）信息科：負責技術防護、日志留存、加密密鑰管理、備份恢復、漏洞掃描（R）。醫(yī)務部：負責業(yè)務場景合理性、臨床科研倫理審批（A）。病案室：負責紙質病歷歸檔、封存、調閱、復印、銷毀（C）。法務：負責合同審查、事件索賠、訴訟應對（I）。監(jiān)察室：負責違規(guī)違紀調查、問責建議（A）。第三章數(shù)據(jù)分級分類與生命周期3.1分級標準L1公開級：已脫敏且經(jīng)倫理批準的科研數(shù)據(jù)集，可公開下載。L2內部級：員工績效、科室運營指標，院內可共享。L3受限級：患者基本信息、門診診斷，需認證授權。L4敏感級：HIV、精神心理、遺傳信息，實行“一事一議”審批。L5核心級：國家重大疫情防控、器官移植、院士保健信息，按國家秘密級防護。3.2分類維度按業(yè)務線：門急診、住院、體檢、互聯(lián)網(wǎng)醫(yī)院、科研、教學、管理、后勤。按數(shù)據(jù)形態(tài)：結構化（EMR）、非結構化（影像DICOM、PDF、語音）、流數(shù)據(jù)（IoT監(jiān)護波形）。3.3生命周期映射收集→傳輸→存儲→使用→共享→備份→歸檔→銷毀，每階段匹配技術控制、管理控制、合同控制、審計控制。第四章收集與告知4.1收集渠道窗口建檔、自助機、App、小程序、醫(yī)保電子憑證、電子健康卡、遠程會診、可穿戴設備、120急救、轉診平臺。4.2告知方式a.首次掛號時彈窗《患者信息收集與使用告知書》，需閱讀≥10秒且勾選同意；不同意則僅提供急診救命服務，其他診療受限。b.住院簽署《住院知情同意書》紙質三聯(lián)單，其中一聯(lián)為隱私條款。c.科研、市場、AI訓練等二次利用場景單獨告知，通過“打勾+短信驗證碼”雙重確認。4.3最小字段清單門急診：姓名、性別、出生日期、證件類型號碼、手機號、醫(yī)?？ㄌ枴⒅髟V、過敏史。住院：在門診字段基礎上增加住址、聯(lián)系人、職業(yè)、付費方式、既往史、遺傳病史。嚴禁收集宗教信仰、基因序列、定位軌跡、銀行卡密碼等與診療無關字段。第五章存儲與加密5.1存儲架構生產(chǎn)庫：雙活OracleRAC19c，TDE透明加密，國密SM4算法，主密鑰托管于HSM。影像庫：對象存儲MinIO集群，采用ServerSideEncryptionSSEC，每個Study隨機密鑰。大數(shù)據(jù)平臺：基于CDP私有云，數(shù)據(jù)湖分層（Bronze/Silver/Gold），Gold層需二次脫敏。5.2密鑰管理a.密鑰生命周期：生成→分發(fā)→使用→輪換→撤銷→銷毀，全流程寫入?yún)^(qū)塊鏈防篡改。b.輪換周期：L4/L5級數(shù)據(jù)每90天強制輪換；L3級180天；L1/L2級365天。c.密鑰分片：采用ShamirSecretSharing，3/5門限，院長、信息科長、法務、監(jiān)察室、備份中心各持一片。5.3備份策略本地快照：每4小時一次，保留48小時。異地容災：200公里外機房，異步復制，RPO≤15分鐘，RTO≤30分鐘。離線冷備：L4/L5級數(shù)據(jù)每月寫入一次性刻錄藍光光盤，MD5校驗后封存于銀行保險箱，保存15年。第六章訪問控制與權限管理6.1RBAC+ABAC混合模型Role：醫(yī)生、護士、藥師、技師、科研、管理、外包運維。Attribute：科室、職稱、患者主管關系、診療階段、IP地址、時間段、終端類型。6.2權限顆粒度電子病歷：字段級，如“HIV抗體檢測結果”僅感染科主任醫(yī)師+法定報告員可見。PACS：Study級，但“性病相關影像”額外加ABAC標簽，非授權科室即使擁有Role亦不可見。6.3申請流程①員工入職：科室數(shù)據(jù)責任人發(fā)起→醫(yī)務部審核→信息科技術賦權→DPO備案。②臨時提權：因搶救、會診、質控需要，可觸發(fā)“BreakGlass”，系統(tǒng)強制錄像、短信通知DPO，24小時內補紙質說明。③科研調閱：提交《科研數(shù)據(jù)使用申請表》→倫理委員會→數(shù)據(jù)治理委員會→分管副院長→DPO，全流程7個工作日。6.4審計要求所有操作寫入WORM日志，保留≥15年；每日自動比對異常模型（如深夜批量導出>1000條、跨科室調閱非主管患者、權限漂移）。第七章共享與對外提供7.1共享原則a.合法、正當、必要、最小必要。b.患者明示同意或法律法規(guī)授權。c.技術同等安全：接收方安全能力不低于本方。7.2共享場景矩陣醫(yī)保結算：字段最小集，通過醫(yī)保局VPN加密隧道，SM2證書雙向認證。商保直賠：患者簽署《直賠授權書》，數(shù)據(jù)經(jīng)區(qū)塊鏈哈希存證，保險公司僅可查看與理賠相關字段。區(qū)域檢驗互認：通過省級健康信息平臺，采用FL（FederatedLearning）方式，數(shù)據(jù)不出域，僅返回模型梯度。科研合作：采用隱私計算平臺（多方安全計算MPC），輸出為統(tǒng)計值，禁止原始數(shù)據(jù)離院。7.3合同必備條款數(shù)據(jù)安全責任、保密義務、使用范圍、留存期限、刪除方式、違約責任、爭議解決、審計權利、泄露通知時限（24小時）。第八章患者權利響應8.1權利清單查閱、復制、更正、刪除、撤回同意、注銷賬號、解釋說明、近親屬行使。8.2響應流程a.線上：App“隱私中心”提交→AI客服初篩→人工復核→DPO審批→3個工作日內推送加密PDF。b.線下：患者攜帶身份證至病案室→窗口核驗→打印加蓋電子水印→收取工本費0.5元/頁（省物價核定）。c.刪除：非診療必需且無法律強制留存時，15日內完成數(shù)據(jù)庫邏輯刪除、備份覆蓋、紙質碎紙，出具《刪除報告》。8.3爭議處理設立“患者信息申訴專席”電話及郵箱，48小時內初步回復，7個工作日給出解決方案；仍不滿可向市衛(wèi)健委或網(wǎng)信辦投訴。第九章科研與教學特殊場景9.1倫理前置所有涉及PMI的科研、教學、AI訓練、商業(yè)分析，必須通過倫理委員會前置審批，批件有效期1年。9.2脫敏標準a.直接標識符（姓名、身份證號、電話、地址、醫(yī)保號、住院號）必須完全刪除或單向哈希。b.準標識符（出生日期、性別、郵編、職業(yè)、種族）需K匿名≥5，L多樣性≥3，Tcloseness≤0.2。c.影像需去除DICOM標簽中的BurnedinAnnotation，并用算法檢測二次擦除。9.3數(shù)據(jù)沙箱科研數(shù)據(jù)僅在“虛擬桌面+堡壘機”沙箱內使用，禁止本地下載、截屏、拍照；輸出結果需經(jīng)“雙審雙簽”后方可離沙箱。第十章互聯(lián)網(wǎng)醫(yī)院與可穿戴設備10.1終端安全App集成國密SSL，證書固定（CertificatePinning），Root/Jailbreak檢測，調試端口關閉，代碼混淆，敏感字段不進日志。10.2數(shù)據(jù)上傳可穿戴設備采用MQTToverTLS，每條消息AES256加密，設備側生成臨時密鑰，上傳后立刻丟棄。10.3云端隔離互聯(lián)網(wǎng)醫(yī)院生產(chǎn)區(qū)與院內生產(chǎn)區(qū)物理隔離，中間通過網(wǎng)閘+API網(wǎng)關，調用頻率限流200次/分鐘，單患者返回字段≤20個。第十一章事件監(jiān)測與應急響應11.1監(jiān)測工具SOC平臺（IBMQRadar）、數(shù)據(jù)庫審計（Imperva）、流量探針（Netflow）、EDR（CrowdStrike）、暗網(wǎng)監(jiān)測（RecordedFuture）。11.2事件分級P1特別重大：≥10萬條敏感數(shù)據(jù)或核心數(shù)據(jù)泄露；P2重大：1–10萬條；P3較大：1000–1萬條；P4一般：<1000條。11.3響應流程①發(fā)現(xiàn)→5分鐘內電話通知DPO→30分鐘內初步研判→1小時內向院長、市衛(wèi)健委、網(wǎng)信辦同步。②遏制：斷網(wǎng)、下線系統(tǒng)、凍結賬號、關停API。③取證：內存dump、磁盤鏡像、日志打包，寫入只讀硬盤，由監(jiān)察室封存。④通報：P1級事件24小時內向社會發(fā)布通告，72小時內提交初步報告；P2級7日內。⑤恢復：驗證補丁、重裝系統(tǒng)、重置密鑰、逐步開放服務；P1級需第三方安全公司出具合格報告后方可上線。11.4追責與賠償按《××醫(yī)院數(shù)據(jù)安全問責細則》執(zhí)行：P1事件直接責任人記過直至開除，科室負責人扣發(fā)年度績效30%，全院通報；給患者造成損失的，按實際損失+精神撫慰金先行賠付，再向第三方追償。第十二章培訓與考核12.1培訓體系新員工入職2小時內完成“數(shù)據(jù)安全必修”線上課程并通過考試（≥90分合格）。在職員工每年2學時面授+4學時線上，內容涵蓋最新案例、社工演練、釣魚郵件模擬。第三方外包人員必須簽署保密協(xié)議并單獨培訓，未通過不得進入機房。12.2考核方式a.線上考試：隨機題庫100題，含單選、多選、判斷、場景簡答。b.實操演練：每半年組織“數(shù)據(jù)泄露沙盤”，模擬P1事件，考核響應時間、通報質量、證據(jù)保全。c.績效掛鉤：數(shù)據(jù)安全考核權重占科室績效5%，個人年度評優(yōu)一票否決。第十三章審計與持續(xù)改進13.1內審數(shù)據(jù)治理委員會每季度抽取≥5%業(yè)務系統(tǒng)，重點檢查權限漂移、日志完整性、備份可恢復性，出具《季度審計報告》。13.2外審每年聘請具備國家網(wǎng)絡安全等級保護測評資質機構進行三級等保測評及ISO/IEC27001監(jiān)督審核，不合格項30日內整改閉環(huán)。13.3成熟度模型采用DSMM（DataSecurityMaturityModel）自評，目標三年內從“管理級”提升至“優(yōu)化級”，每年設定量化指標：a.數(shù)據(jù)分類覆蓋率≥98%b.敏感數(shù)據(jù)API異常調用≤0.1次/萬條/月c.患者投訴處理滿意率≥95%d.事件平均響應時間≤30分鐘第十四章違規(guī)處罰與法律責任14.1行政處罰違反本制度導致數(shù)據(jù)泄露的，由衛(wèi)健部門依據(jù)《醫(yī)療機構管理條例》給予警告、罰款、限期整改、停業(yè)整頓；對直接負責的主管人員和其他責任人員依法給予處分。14.2民事賠償患者依據(jù)《個人信息保護法》第69條主張損失賠償，醫(yī)院承擔舉證責任倒置；若因第三方造成，醫(yī)院先行賠付后追償。