2025年患者隐私试题及答案

2025年患者隐私试题及答案一、单项选择题（每题2分，共20分）1.根据《个人信息保护法》及医疗行业特殊规定，以下哪项不属于患者隐私保护的核心内容？A.患者既往病史记录B.患者手机号码C.患者在医院的就诊路径监控影像D.患者公开在社交媒体发布的疾病治疗经历答案：D解析：患者主动公开在社交媒体的疾病治疗经历属于已自愿披露信息，不属于需医疗机构主动保护的隐私范畴；A、B、C均为医疗机构在诊疗过程中获取的敏感个人信息。2.某三甲医院拟与科研机构合作开展罕见病研究，需调取患者诊疗数据。下列哪项操作符合“最小必要”原则？A.提供研究所需的500例患者完整电子病历（含影像、检验报告）B.仅提供患者年龄、性别、疾病诊断编码及关键治疗指标C.经患者书面同意后，提供所有参与研究患者的联系方式以便随访D.对患者姓名、身份证号进行去标识化处理，但保留住院号作为唯一识别码答案：B解析：“最小必要”原则要求仅提供实现研究目的必需的最少数据；A包含非必要的完整病历，C涉及非研究必需的联系方式，D保留住院号可能导致二次识别，均不符合要求。3.实习医生张某在带教老师指导下参与病房管理，其可合法访问的患者信息范围是？A.本科室所有住院患者的电子病历B.经带教老师授权的管床患者病历C.医院信息系统中所有患者的检查报告D.参与教学查房时涉及的患者简要病情摘要答案：B解析：《医疗机构病历管理规定》明确，实习医务人员需在带教老师指导下，仅访问与其诊疗活动相关的管床患者病历；D虽涉及教学，但摘要信息仍需符合授权范围，B更精准。4.某社区卫生服务中心因系统升级，需将患者健康档案数据迁移至第三方云服务商。关键合规操作是？A.口头告知患者数据迁移事项B.与云服务商签订隐私保护协议，明确数据用途及责任C.将患者姓名、身份证号加密后传输D.在迁移前删除所有患者联系方式答案：B解析：《个人信息保护法》第23条规定，向第三方提供个人信息需签订书面协议，明确处理目的、方式和责任；A未书面告知，C、D为技术措施，非关键合规要件。5.患者李某要求复制其门诊病历，医疗机构应在多长时间内提供？A.12小时B.24小时C.3个工作日D.5个工作日答案：C解析：《医疗纠纷预防和处理条例》第16条规定，患者要求复制病历的，医疗机构应当在明确答复后3个工作日内提供。6.下列哪种情形无需患者单独签署隐私授权书？A.将患者影像资料用于医学教学演示（隐去姓名）B.向医保部门提交患者费用结算信息C.因患者病情危急，向急救中心传送必要诊疗信息D.与药品企业合作分析某类药物疗效（患者已签署临床试验知情同意书）答案：C解析：《民法典》第1036条规定，为维护公共利益或患者重大利益，合理实施的个人信息处理行为无需单独授权；A需隐名但仍需告知，B属法定报送，D需在临床试验同意书中明确。7.某医院信息科工程师王某因工作需要调取患者数据，其操作违规的是？A.仅查询系统日志中与自身职责相关的访问记录B.将工作用账号密码告知临时替班的同事张某C.对异常访问行为（如同一账号深夜访问500份病历）进行预警D.定期更改登录密码并启用双因素认证答案：B解析：《信息安全技术个人信息安全规范》要求，个人信息处理者应严格管理账号，禁止共享密码；A、C、D均为合规的安全管理措施。8.患者赵某投诉其手术记录被非相关人员查看，医院调查发现系护士站电脑未锁屏导致。责任主体应为？A.医院信息科（系统安全管理不到位）B.当值护士（未履行设备管理义务）C.医院（未尽到患者隐私保护主体责任）D.误操作的医务人员（直接侵权人）答案：C解析：《个人信息保护法》第51条规定，个人信息处理者对个人信息处理活动负主体责任；具体操作人员的过失由机构承担管理责任后内部追责。9.关于患者隐私的技术保护措施，下列哪项不符合要求？A.电子病历系统采用动态口令+指纹识别登录B.对患者身份证号进行MD5哈希处理（无盐值）C.定期对存储设备进行容灾备份并加密D.限制单个账号每日最大数据查询量答案：B解析：MD5哈希无盐值易被彩虹表破解，不符合《信息安全技术健康医疗信息安全指南》中“加密应采用符合国家标准的密码算法”要求；A、C、D均为有效防护措施。10.患者死亡后，其隐私信息的保护期限应为？A.永久保存B.自死亡之日起5年C.自死亡之日起10年D.按照医疗机构病历保存年限执行答案：D解析：《医疗机构病历管理规定》第20条规定，门（急）诊病历保存年限不少于15年，住院病历不少于30年；患者死亡后，其病历隐私保护期限与病历保存期限一致。二、多项选择题（每题3分，共15分，少选、错选均不得分）1.下列属于患者隐私“告知-同意”原则例外的情形有？A.突发公共卫生事件中向疾控部门报送患者信息B.为患者紧急救治需要向其他医疗机构转诊C.患者昏迷且无近亲属，需联系其工作单位获取病史D.司法机关依法调取患者病历（已出具协查函）答案：ABD解析：C需在无法取得患者或近亲属同意时，由医疗机构负责人批准后处理，不属于法定例外；A属公共利益，B属紧急救治，D属法定职权，均无需患者同意。2.医疗机构在处理患者敏感个人信息（如精神疾病诊断、HIV检测结果）时，应额外履行的义务包括？A.取得患者单独书面同意（而非合并在其他同意书中）B.说明处理敏感信息的必要性及对患者的影响C.采用更高强度的加密存储（如AES-256）D.限制接触人员范围并记录访问日志答案：ABCD解析：《个人信息保护法》第29条规定，处理敏感个人信息需取得单独同意并说明必要性；技术上需加强防护（C），管理上需严格访问控制（D）。3.某医院与互联网医疗平台合作开展远程问诊，需重点防范的隐私风险有？A.平台服务器被攻击导致患者信息泄露B.医生在未加密的个人设备上查看患者病历C.平台超范围收集患者地理位置信息D.患者通过平台与医生沟通时被录音答案：ABCD解析：远程问诊涉及数据传输（A）、终端设备安全（B）、信息收集范围（C）、沟通内容留存（D），均为隐私风险点。4.患者隐私保护培训应覆盖的人员包括？A.临床医务人员B.信息系统运维人员C.后勤保洁人员（可能接触丢弃的病历纸张）D.实习/规培人员答案：ABCD解析：所有可能接触患者信息的人员均需培训，包括间接接触者（如保洁可能捡拾丢弃的病历）。5.医疗机构发现患者信息泄露后，应采取的措施包括？A.立即暂停相关系统功能B.评估泄露信息的类型、数量及影响范围C.在48小时内向省级卫生健康主管部门报告D.通知受影响患者（如泄露可能导致损害）答案：ABD解析：《个人信息保护法》第57条规定，发生泄露需立即采取措施，评估影响，72小时内通知个人（可能造成损害时），并向履行个人信息保护职责的部门报告；C中“48小时”不准确，应为“及时”。三、判断题（每题1分，共10分，正确划√，错误划×）1.患者在候诊区谈论病情被其他患者听到，属于医疗机构隐私保护失职。（×）解析：公共区域的自发交谈不属于医疗机构可控的隐私泄露。2.经患者同意，医疗机构可将其病历用于商业保险理赔，无需限制使用范围。（×）解析：需在同意书中明确理赔用途，保险公司不得超范围使用。3.电子病历系统中“查看”与“下载”权限可合并设置，由操作人员自行控制。（×）解析：需分级设置权限，避免非必要下载。4.患者要求查阅其病历，医疗机构可收取合理的复制成本费（如打印纸、存储介质费用）。（√）解析：《医疗纠纷预防和处理条例》允许收取工本费。5.实习医生在教学会议上使用患者影像资料时，只需隐去姓名即可。（×）解析：需同时隐去能识别患者身份的其他信息（如住院号、特殊体征）。6.医疗机构与第三方合作开发AI辅助诊断系统，可直接提供去标识化数据，无需患者同意。（×）解析：去标识化数据若仍可能结合其他信息识别个人，需取得同意。7.患者出院后，其电子病历访问权限应立即关闭。（×）解析：需保留必要权限用于随访、复诊等后续医疗活动。8.护士将患者检查结果通过科室微信群通知主管医生，属于合规操作。（×）解析：微信群非加密传输渠道，可能导致信息泄露，应通过医院内部系统传递。9.医疗机构无需对患者家属的隐私信息（如陪同人员联系方式）承担保护责任。（×）解析：家属信息因诊疗活动被医疗机构获取，同样受隐私保护法规约束。10.患者死亡后，其近亲属可要求查阅、复制患者病历，无需额外证明。（×）解析：需提供近亲属关系证明（如户口本、身份证）及患者死亡证明。四、案例分析题（共55分）案例一（20分）：2025年3月，某市人民医院发现其HIS系统于夜间23:00-24:00期间，有IP地址为“192.168.1.105”的终端连续访问200份肿瘤患者病历，涉及诊断、治疗方案及基因检测结果。经核查，该IP为医院药剂科张某某的工作电脑，张某某声称“因好奇查看，未下载或外传”。患者王某（其中一名被访问者）发现其基因检测结果被非主管医生查看，向医院投诉。问题1：分析医院在此次事件中的管理漏洞。（8分）问题2：医院应如何处理张某某及受影响患者？（7分）问题3：为防范类似事件，医院需完善哪些隐私保护措施？（5分）答案：问题1：管理漏洞包括：①未对非诊疗相关科室（药剂科）人员设置病历访问权限限制，张某某作为药剂科人员无合理理由访问肿瘤患者详细病历；②未启用访问行为审计（如异常时间段、超量访问预警）；③终端设备管理松散（未限制非工作时间非必要系统访问）；④员工隐私保护培训不到位（张某某缺乏合规访问意识）。问题2：处理措施：①对张某某进行内部追责（警告、扣除绩效、暂停系统访问权限），若涉嫌违法（如《治安管理处罚法》第42条），移交公安机关；②向受影响患者书面致歉，说明信息未外传的核查结果，提供隐私安全提示（如关注个人信息异常使用情况）；③将事件及处理结果向卫生健康主管部门报告。问题3：改进措施：①实施最小权限原则，根据岗位职责设置科室及个人的病历访问范围（如药剂科仅能查看患者用药信息）；②部署行为分析系统，对异常访问（如非工作时间、超量查询）自动阻断并预警；③加强员工隐私培训，明确“无诊疗需要不查看”的红线；④定期开展信息安全演练，测试系统防护能力。案例二（25分）：2025年5月，某互联网医院与健康管理APP“康康助手”合作推出“慢性病管理”服务，用户通过APP绑定医院账号后，可查看自己的检验报告、用药提醒。合作协议约定：“康康助手”可收集用户姓名、手机号、疾病诊断、检验数值用于个性化健康建议。2025年7月，有用户发现其在“康康助手”的页面出现“某降压药优惠购”广告，怀疑个人信息被用于商业推广。经调查，“康康助手”将用户疾病诊断与合作药企共享，用于精准营销。问题1：分析“康康助手”的违规行为。（10分）问题2：互联网医院在合作中应承担的责任。（8分）问题3：患者可通过哪些途径维权？（7分）答案：问题1：违规行为：①超范围处理个人信息：合作协议约定用于“个性化健康建议”，实际用于商业推广，超出约定处理目的；②未取得患者单独同意：将疾病诊断等敏感信息提供给第三方药企，需取得患者明确同意；③违反“最小必要”原则：药企仅需知道患者是否为某类疾病患者（非具体诊断结果）即可开展营销，不应获取完整诊断信息；④未履行信息安全义务：未对共享数据采取充分脱敏措施（如仅保留疾病编码而非具体诊断名称）。问题2：互联网医院责任：①作为个人信息处理者，未履行对第三方的监督义务（未核查“康康助手”是否按约定处理信息）；②违反《个人信息保护法》第23条，未与“康康助手”在协议中明确禁止超范围使用；③未向患者充分告知信息共享的具体用途（仅笼统说明“用于健康建议”），导致患者无法作出有效同意；④需对患者损失承担连带责任（因合作方侵权行为由医院授权数据引起）。问题3：患者维权途径：①向互联网医院投诉，要求停止信息共享、删除相关数据并赔偿；②向网信部门（个人信息保护）或卫生健康部门（医疗信息管理）举报“康康助手”及互联网医院的违规行为；③通过12315平台向市场监管部门投诉商业推广中的个人信息滥用；④向人民法院提起民事诉讼，依据《民法典》第1032条（隐私权）、第1165条（过错责任）主张损害赔偿；⑤若涉及刑事犯罪（如《刑法》第253条之一侵犯公民个人信息罪），向公安机关报案。案例三（10分）：某社区医院为提升服务效率，引入智能分诊系统，患者通过自助机刷身份证取号时，系统自动抓取身份证照片并与就诊人面部比对。部分老年患者反映“刷身份证时被拍照不舒服”，质疑医院是否有权收集面部信息。问题：医院收集患者面部信息的合法性依据及需履行的义务。答案：合法性依据：根据《个人信息保护法》第13条，为履行医疗服务合同（患者取号就诊）所必需，可收集面部信息用于身份核验；同时需符合“最小必