养老机构老年人信息保护制度文本

一、总则1.制定目的：为规范养老机构对老年人个人信息的处理活动，保障老年人个人信息权益，促进养老服务行业合法合规运营，依据《中华人民共和国个人信息保护法》《中华人民共和国老年人权益保障法》等法律法规，结合本机构服务实际，制定本制度。2.适用范围：本制度适用于本养老机构（以下简称“机构”）在提供养老服务、运营管理等活动中，对老年人个人信息的收集、存储、使用、加工、传输、提供、公开等处理行为。机构工作人员、外包服务人员及合作方处理老年人信息的活动，亦需遵守本制度。3.定义说明：老年人个人信息：以电子或其他方式记录的与已识别或可识别的老年人有关的各种信息，包括但不限于姓名、联系方式、健康状况、家庭关系、服务需求、消费记录等。敏感个人信息：一旦泄露或非法使用可能危害老年人权益的个人信息，如生物识别信息、健康信息、金融账户信息、行踪轨迹信息等。二、信息收集与使用规范1.收集原则：机构处理老年人个人信息应遵循合法、正当、必要、最小化原则，收集的信息应当与机构提供的养老服务、管理需求直接相关，且以实现服务目的为限，不得过度收集。2.收集方式与同意：信息收集需以明示、清晰、易懂的方式告知老年人（或其监护人/代理人，下同）收集的目的、范围、方式及存储期限，征得其单独同意（针对敏感信息需单独获取同意，不得与其他事项捆绑）。首次入住时，通过《老年人信息采集告知书》《个人信息处理授权书》等书面形式获取同意；服务期间如需新增收集范围或变更处理目的，应重新征得同意。3.收集范围限制：常规收集信息包括：基本身份信息（姓名、性别、年龄、联系方式）、健康信息（既往病史、体检报告、用药情况）、服务需求信息（护理等级、饮食偏好、活动需求）；确因服务需要收集敏感信息的（如金融账户用于缴费、生物识别用于门禁），需单独说明必要性并经书面同意。三、信息存储与管理要求1.存储期限：老年人个人信息的存储期限为服务存续期间+服务终止后合理期限（用于纠纷处理、合规审计等），期限届满后应立即删除或匿名化处理，法律另有规定的从其规定。2.存储安全措施：电子信息存储：采用加密技术对敏感信息进行加密处理；部署防火墙、入侵检测系统，定期进行漏洞扫描；服务器存放于符合安全标准的机房，禁止非授权远程访问。3.介质管理：存储信息的硬盘、U盘等介质需标注“老年人信息专用”，报废时应通过物理销毁（如碎盘）或专业数据擦除工具处理，防止信息泄露。四、信息共享与披露规则1.内部共享限制：机构内部仅向直接提供服务或管理的岗位（如护理部、财务部、后勤保障部）共享必要信息，实行权限分级管理（如护理人员仅可查看健康与服务信息，财务人员仅可查看缴费相关信息），禁止跨部门无理由共享。2.外部共享条件：向合作方（如医疗机构、保险公司）共享信息时，需签订《个人信息共享安全协议》，明确共享范围、目的、期限及安全责任；合作方需具备同等安全保障能力，且仅可用于约定用途。共享敏感信息前，应再次征得老年人同意，并对信息进行去标识化处理（如隐去姓名、核心身份字段），无法去标识化的需单独审批。3.信息披露限制：除法律、行政法规规定或司法、行政机关依法要求外，禁止公开披露老年人个人信息；确因宣传需要使用案例信息的，需对所有可识别信息进行匿名化处理，并征得当事人书面同意。五、安全保障机制1.技术防护措施：定期更新信息系统安全补丁，采用多因素认证（如密码+短信验证码）限制系统登录；安装终端安全管理软件，禁止员工私自将工作设备连接公共网络或安装非授权软件。2.人员管理措施：对接触老年人信息的员工开展信息安全培训（每年不少于2次），考核合格后方可上岗；签订《信息安全保密责任书》，明确违规责任。实行“最小权限”原则，员工仅可访问其岗位必需的信息，操作记录全程留痕（如系统操作日志保存至少5年）。3.应急处置流程：发生信息泄露、篡改、丢失等安全事件时，应立即启动应急预案：技术部门4小时内开展溯源分析，采取补救措施（如关停漏洞端口、恢复备份数据）；法务与客服部门72小时内向老年人告知事件基本情况、可能影响及补救措施，必要时向主管部门报告。六、老年人权益保障1.知情权与查阅权：老年人可随时向机构申请查阅其个人信息处理记录（包括收集、使用、共享情况），机构应在15个工作日内以书面或电子形式提供查询结果，特殊情况经审批可延长至30个工作日。2.更正与删除权：若信息存在错误（如健康记录有误），老年人可提交证明材料申请更正，机构应在10个工作日内完成核查与更正。服务终止后，老年人可申请删除其个人信息（法律规定需留存的除外），机构应在30个工作日内完成删除并反馈结果。3.异议与投诉渠道：老年人对信息处理活动有异议的，可通过机构客服热线、意见箱或书面邮件提出，机构应在5个工作日内响应并反馈处理进展。七、监督与责任追究1.内部监督：机构成立信息安全管理小组（由法务、技术、服务部门人员组成），每季度开展信息安全审计，检查制度执行情况、系统安全漏洞及员工操作合规性，形成审计报告并公示整改情况。2.外部监督：主动接受民政、网信等主管部门的监督检查，配合提供信息处理相关材料；对老年人或社会公众的投诉举报，应在30个工作日内调查处理并回复。3.责任追究：员工违规处理信息的，视情节给予警告、调岗、辞退等处分，涉嫌违法的移交司法机