医疗机构患者信息保密管理办法

医疗机构患者信息保密管理办法第一章总则第一条目的与依据为规范医疗机构患者信息的获取、存储、使用、传输和销毁等行为，保护患者隐私权及个人信息安全，维护医疗秩序和患者合法权益，依据《中华人民共和国民法典》、《中华人民共和国基本医疗卫生与健康促进法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》及相关医疗卫生管理法规，结合本机构实际，制定本办法。第二条定义本办法所称患者信息，是指医疗机构在提供医疗服务过程中，收集、产生的以电子或者其他方式记录的与患者身份相关的各种信息，包括但不限于患者基本身份信息、病史、体格检查、实验室检查、影像学检查、诊断结论、治疗方案、用药记录、手术记录、护理记录、费用信息等。第三条适用范围本办法适用于本医疗机构内所有涉及患者信息收集、记录、存储、传输、使用、查阅、复制、披露、销毁等活动的科室、部门及其工作人员，包括但不限于医护人员、行政管理人员、实习进修人员、规培人员、研究人员、信息系统维护人员、保洁人员以及其他可能接触患者信息的相关人员。同时，也适用于为本机构提供服务的外部合作单位及其工作人员，在其执行相关服务期间对患者信息的处理行为。第四条基本原则（一）最小必要原则：收集、使用患者信息应限于实现医疗、教学、科研、管理等合法目的所必需的最小范围，不得过度收集。（二）目的限制原则：患者信息的使用不得超出收集时明确告知患者的范围，或用于其他未经患者同意的目的，法律法规另有规定的除外。（三）知情同意原则：在收集患者信息时，应向患者或其监护人、授权委托人明确告知信息收集的目的、范围、使用方式及可能的披露对象（法律法规规定无需告知的除外），并取得其明示同意。（四）安全保密原则：医疗机构应建立健全患者信息安全保障体系，采取必要的技术措施和管理措施，确保患者信息不被泄露、篡改、丢失或非法获取、使用。（五）责任落实原则：明确各部门、各岗位在患者信息保密管理中的职责，将保密责任落实到具体个人。（六）权利保障原则：保障患者依法查阅、复制、更正、补充、删除其个人信息的权利，以及对信息处理行为提出异议的权利。第二章组织与职责第五条管理机构医疗机构成立患者信息保密管理工作领导小组，由机构主要负责人任组长，分管信息、医务、质控、纪检等工作的负责人任副组长，成员包括信息科、医务科、质控科、护理部、病案科、保卫科、纪检监察室等相关科室负责人。领导小组下设办公室，设在信息科或医务科，负责日常保密管理工作的组织、协调、监督和检查。第六条主要职责（一）领导小组职责：审定患者信息保密管理相关制度和工作计划；组织开展患者信息保密宣传教育和培训；定期召开会议，研究解决患者信息保密管理工作中的重大问题；组织对重大患者信息泄露事件的调查与处理。（二）办公室职责：具体组织实施患者信息保密管理办法；组织开展保密检查和风险评估；受理患者信息保密相关的投诉和举报；负责与上级主管部门的沟通协调。（三）各科室/部门职责：各科室/部门负责人是本科室/部门患者信息保密管理的第一责任人，负责组织本科室/部门人员学习和执行本办法，落实各项保密措施，定期进行自查自纠，发现问题及时报告并采取补救措施。（四）工作人员职责：所有工作人员应严格遵守本办法及相关规定，自觉保守患者信息秘密，不随意泄露、传播患者信息；妥善保管涉及患者信息的载体；发现信息泄露或安全隐患时，立即采取可能的补救措施并向本科室负责人及保密管理办公室报告。第三章患者信息的保密范围与等级第七条保密范围患者信息均属于保密范畴，包括：（一）患者个人基本信息：姓名、性别、年龄、身份证号、联系方式、家庭住址、职业、婚姻状况等。（二）患者健康生理信息：既往史、现病史、体格检查结果、实验室检查结果、影像学检查结果、病理检查结果、基因信息等。（三）患者诊疗信息：诊断结论、治疗计划、用药清单、手术记录、麻醉记录、护理记录、康复计划等。（四）患者其他敏感信息：传染病史、精神疾病史、艾滋病感染状况、性病诊疗信息、生育信息、吸毒史等。（五）在医疗活动中形成的其他任何可识别特定患者身份的信息。第八条保密等级根据患者信息的敏感程度和一旦泄露可能造成的危害程度，可将患者信息划分为不同保密等级（如普通信息、敏感信息、高度敏感信息），并采取相应的保护措施。具体分级标准和管理细则由保密管理办公室另行制定。第四章患者信息的收集、记录与存储第九条信息收集（一）收集患者信息应遵循合法、正当、必要的原则，由医务人员在医疗活动中直接向患者或其监护人、授权委托人收集。（二）收集信息时，应向患者说明收集目的和用途，对非必需的信息，患者有权拒绝提供。（三）禁止以欺骗、误导、胁迫等不正当方式收集患者信息。（四）通过信息系统自动采集的数据，应确保数据来源的准确性和采集过程的合规性。第十条信息记录（一）记录患者信息应及时、准确、完整、规范，避免错记、漏记。（二）记录内容应客观真实，不得虚构、篡改。（三）纸质记录应使用不易褪色的书写工具，字迹清晰可辨；电子记录应符合电子病历基本规范，确保数据可追溯。第十一条信息存储（一）电子患者信息应存储在符合国家信息安全标准的医疗机构数据中心或安全的云存储服务中，采用加密存储、访问控制等安全技术措施。（二）信息系统应具备完善的日志功能，记录所有对患者信息的操作行为。（三）纸质病历及其他纸质载体的患者信息应存放于指定的、安全的场所（如病历档案室、保险柜等），并有严格的借阅和复印制度。（四）存储介质（如硬盘、U盘、移动硬盘、光盘等）应妥善保管，不得随意丢弃或带出工作场所。存储过患者信息的介质在销毁前必须进行数据清除或物理销毁处理。第五章患者信息的使用与查阅第十二条信息使用（一）患者信息的使用仅限于为患者提供医疗服务、进行医学教学、开展临床科研、实施医疗管理以及法律法规允许的其他用途。（二）因教学、科研需要使用患者信息时，应去除可识别患者身份的个人标识信息（即进行去标识化处理）；确需使用原始标识信息的，必须获得患者书面同意，并经医疗机构相关管理部门批准，严格控制使用范围和人数。（三）不得将患者信息用于商业目的，或向任何无关第三方出售、提供患者信息。（四）工作人员在使用患者信息时，应在授权范围内操作，不得越权访问或使用与本人工作职责无关的患者信息。第十三条信息查阅（一）查阅患者信息必须履行严格的审批手续，并进行登记。（二）医务人员因诊疗需要查阅患者信息，应凭本人工号和密码登录信息系统，或在指定地点查阅纸质病历。（三）进修实习人员、规培人员查阅患者信息，须在带教老师指导下进行，并对其查阅行为负责。（四）因医疗质量管理、医疗纠纷处理、司法调查等公务需要查阅患者信息的，需持有效证明文件和单位介绍信，经相关部门负责人批准后，在指定人员陪同下查阅。（五）患者本人或其监护人、授权委托人查阅、复制其本人病历资料，按照《医疗机构病历管理规定》等相关规定执行。第六章患者信息的传输与披露第十四条信息传输（一）传输患者信息应通过医疗机构内部安全的信息系统或加密通讯方式进行。（二）禁止通过非加密的电子邮件、即时通讯工具（如普通微信、QQ等）、移动存储介质等不安全方式传输患者敏感信息。（三）因会诊、转诊等医疗需要向外部医疗机构传输患者信息时，应确认接收方的合法性和安全性，并由相关科室负责人审核批准，做好记录。第十五条信息披露（一）未经患者本人或其监护人、授权委托人同意，不得向任何无关第三方披露患者信息，法律法规另有规定的除外（如法定传染病报告、司法机关依法调取等）。（二）向司法机关、行政执法机关等单位提供患者信息时，应要求其出具法定证明文件和有效身份证件，经医疗机构主管领导批准后，由指定部门统一提供，并做好登记备案。（三）在新闻报道、学术交流等活动中，如需涉及患者信息，必须事先征得患者同意，并对患者身份信息进行隐匿处理。第七章患者信息安全保障措施第十六条制度保障建立健全患者信息保密管理制度、信息系统安全管理制度、应急处置预案等，定期对制度的执行情况进行检查和评估。第十七条技术保障（一）信息系统应具备身份认证、权限控制、访问审计、数据加密、漏洞扫描、病毒防护、入侵检测等安全防护功能。（二）定期对信息系统进行安全检测和风险评估，及时修补安全漏洞，更新安全防护软件。（三）对重要的患者信息数据进行定期备份，并对备份数据进行加密和异地存储。（四）加强对医疗机构内计算机、服务器、网络设备、移动医疗设备的安全管理，禁止接入未经安全认证的外部设备和网络。第十八条物理安全（一）加强对机房、档案室、医生工作站等存放和处理患者信息场所的物理安全管理，设置门禁、监控等防护措施，限制无关人员进入。（二）工作人员离开工作岗位时，应及时锁定计算机屏幕或退出信息系统，妥善保管好病历资料、移动存储介质等。（三）废弃的含有患者信息的纸质资料、存储介质，应按照保密规定进行销毁处理，严禁随意丢弃。第八章人员管理与培训第十九条保密教育与培训（一）医疗机构应将患者信息保密教育纳入新员工入职培训、在岗人员定期培训和进修实习人员培训的必修内容。（二）培训内容包括相关法律法规、本机构保密管理制度、信息安全知识、保密纪律以及泄密案例警示教育等。（三）每年至少组织一次全员性的患者信息保密知识培训和考核，考核不合格者应进行补训补考。第二十条保密协议医疗机构应与所有可能接触患者信息的工作人员签订《患者信息保密承诺书》，明确其保密义务和责任。第二十一条离岗离职管理工作人员离岗或离职时，应办理患者信息相关资料、物品的交接手续，交回所有访问权限和身份标识，并签署离岗离职保密承诺书，承诺继续遵守保密义务。第九章监督检查与责任追究第二十二条监督检查保密管理办公室及相关职能部门应定期或不定期对各科室、各岗位患者信息保密制度执行情况进行监督检查，重点检查信息系统访问日志、病历借阅复制记录、信息传输情况等，对发现的问题及时督促整改。第二十三条举报与投诉医疗机构应设立并公布患者信息保密举报电话和邮箱，鼓励工作人员和患者对违反保密规定的行为进行举报和投诉。对举报人的身份信息予以保密，并对查证属实的举报给予适当奖励。第二十四条责任追究对违反本办法规定，造成患者信息泄露、丢失、篡改或被非法使用的，医疗机构将根据情节轻重、所造成后果的严重程度，对相关责任人给予批评教育、通报批评、经济处罚、岗位调整、行政处分等；构成犯罪的，依法移交司法机关追究刑事责任。给患者造成损害的，医疗机构将依据相关法律法规承担相应的赔偿责任。第二十五条事件处理发生或可能发生患