医院档案、信息管理制度

医院档案、信息管理制度第一章总则与立法依据1.1立法目的为统一医院档案与信息资源的采集、存储、共享、销毁全生命周期管理，确保医疗质量、科研诚信、患者隐私与国家数据安全，依据《中华人民共和国档案法》《基本医疗卫生与健康促进法》《网络安全法》《数据安全法》《个人信息保护法》《电子病历管理规范（2022版）》《医疗机构病历管理规定（2021修订）》及《GB/T188942016电子文件归档与电子档案管理规范》等上位法，制定本制度。1.2适用范围本制度覆盖本院所有产生或接收的纸质、电子、音视频、图像、标本、模型、基因测序原始数据（FASTQ）、AI训练数据集等一切具有保存价值的信息记录，适用于全体职工、进修生、规培生、研究生、外包运维公司、科研合作机构及患者个人。1.3管理原则（1）“单套制”原则：除法律强制要求双轨外，所有新生成记录优先采用电子单套制，纸质仅作异地备份。（2）“最小够用”原则：任何科室不得超范围收集患者基因、人脸、指纹等敏感个人信息。（3）“溯源问责”原则：每条数据须绑定“创建者—审核者—系统—时间戳”四要素，确保可追溯到人。（4）“分类分级”原则：按照《卫生健康行业数据分类分级指南（试行）》将数据划分为核心、重要、一般三级，匹配差异化防护策略。第二章组织与职责2.1医院网络安全与信息化领导小组（下称“网信小组”）由院长任组长，分管副院长、首席信息官（CIO）、法务部主任、档案科主任、医务部主任、护理部主任、财务部主任、纪检监察室主任为成员，对档案与信息安全负最终责任。每季度召开一次例会，审议重大数据泄露事件、年度销毁清单、预算投入。2.2档案与信息管理科（下称“档案科”）编制8人，设科长1名、副科长1名、系统管理员2名、纸质档案员2名、数据治理工程师2名。具体职责：（1）制定并动态修订本制度及配套细则；（2）运营医院综合档案管理系统（HDAMSv5.3）及长期保存库（HDLTPv2.0）；（3）组织年度档案质量飞行检查，覆盖率≥30%临床科室；（4）对接市档案馆、市卫健委信息中心，完成移交与备案。2.3科室兼职档案员每个临床、医技、行政科室设1名兼职档案员，由科主任提名、档案科考核。享受月度绩效补贴300元。职责：（1）每日完成病历质控与7日归档；（2）每月5日前提交《科室数据自查表》；（3）发现泄露隐患30分钟内向科主任与档案科双线报告。2.4第三方合作机构任何外协公司须签署《数据处理协议（DPA）》并缴纳不低于合同额5%的安全保证金。违约一次扣除全额保证金，并列入医院黑名单三年。第三章数据分类与密级3.1核心数据（1）患者生物识别模板（人脸、指纹、声纹、虹膜）；（2）人类遗传资源材料（外周血、组织、胚胎干细胞）；（3）医院HIS、LIS、PACS、EMR核心数据库全量备份；（4）重大疫情直报原始数据。密级标识：红色“C”，加密算法采用SM4GCM256，密钥托管在硬件加密机（HSM）中，双人双钥。3.2重要数据（1）患者主索引（MPI）、病案首页、医嘱、护理记录；（2）职工人事、薪酬、绩效考核数据；（3）科研课题原始数据、伦理批件；（4）财务成本核算、预算、招投标文件。密级标识：橙色“I”，加密算法采用AES256XTS，密钥每90天轮转一次。3.3一般数据（1）公开的健康科普文章；（2）医院新闻通稿；（3）已脱敏的统计报表。密级标识：绿色“G”，采用TLS1.3传输即可，可存于公有云对象存储。第四章采集与生成控制4.1采集源头（1）门诊、住院、体检、急诊、互联网医院五大业务系统须启用“数据血缘”插件，记录字段级来源；（2）科研队列采集须先通过伦理委员会审批，并在国家医学研究登记备案平台获取“MR号”；（3）可穿戴设备数据通过院级IoT网关接入，网关须通过国家安全认证（CCRCEAL3+）。4.2生成质量控制（1）病历书写时限：入院记录24h，首次病程8h，手术记录术后24h，抢救记录6h；（2）系统内置582条质控规则，如“肿瘤病理诊断与ICD10编码不一致”自动弹窗拦截；（3）AI辅助生成的影像报告须由主治以上医师在24h内二次审签，未审签报告禁止打印。第五章存储与备份5.1存储架构采用“热—温—冷—极冷”四级架构：（1）热数据：SSD全闪阵列，保存90天内数据，IOPS≥10万；（2）温数据：SAS盘+对象存储，保存1年内数据，自动分层；（3）冷数据：蓝光光盘库，保存10年，单盘容量300GB，寿命≥50年；（4）极冷数据：异地磁带上云（AWSGlacierDeepArchive），保存30年，11个9持久性。5.2备份策略（1）核心数据库：每日2次快照、每4小时增量、每30分钟日志备份，RPO≤15分钟；（2）PACS影像：采用“文件+对象”双副本，本地2副本、异地1副本；（3）电子病历：启用区块链防篡改（HyperledgerFabric），每日把哈希值写入市卫健委联盟链；（4）备份演练：每季度进行一次“盲演”，随机拔掉一根光纤，要求30分钟内业务切换，RTO≤30分钟。第六章共享与利用6.1共享审批（1）院内共享：科室间调阅需填写《电子病历调阅单》，系统根据“最小角色”自动授权，最大时限24小时；（2）院外共享：须走“数据对外共享审批系统（DASv1.2）”，流程：申请→科主任→档案科→法务→网信小组组长，5级审批，全程留痕；（3）科研共享：去标识化由“隐私计算平台”执行，采用联邦学习+差分隐私(ε≤1)，输出前须通过“重识别风险评估”模型，风险分值＞0.1的一律驳回。6.2利用追踪（1）建立“数据利用台账”，记录字段级使用次数、导出IP、账号、目的；（2）对超范围利用触发“熔断”机制，3分钟内自动断开VPN并冻结账号；（3）每年聘请第三方审计机构出具《数据利用合规审计报告》，向职工代表大会公开。第七章脱敏与匿名化7.1脱敏算法（1）姓名：采用对称加密+哈希映射，保留首字，如“张”；（2）身份证：保留前1位+后4位，中间14位用SM3哈希；（3）地址：采用“K匿名”泛化，城市→省份，街道→区县；（4）影像：使用“影像水印+病灶区域马赛克”，水印包含医院简称与导出时间，不可去除。7.2匿名化验证（1）采用“重识别攻击模拟器”，模拟黑产通过外部voterlist进行链接攻击，成功率＞1%即判定不合格；（2）匿名化数据集须通过伦理委员会二次审查，并在医院官网公示7日，无异议后方可出境。第八章权限与访问控制8.1账号生命周期（1）入职：人事系统发起→IT创建→短信初始密码→首次登录强制绑定国密SM2双因子；（2）转岗：权限随岗位角色自动漂移，原权限即刻回收；（3）离职：账号立即禁用，14天后删除，关键操作日志保存≥20年。8.2最小权限模型（1）角色颗粒度细化到“按钮级”，如“放射科—住院医师—CT报告—查看—未审签”权限独立；（2）临时授权：支持“扫码一次性授权”，有效期≤4小时，过期自动失效；（3）高敏操作：批量导出＞5000条记录须双人指纹+动态令牌，系统录屏保存90天。第九章安全事件应急9.1事件分级（1）特别重大（Ⅰ级）：核心数据泄露≥10万条或人类遗传资源出境未审批；（2）重大（Ⅱ级）：重要数据泄露1万–10万条；（3）较大（Ⅲ级）：一般数据泄露＜1万条；（4）一般（Ⅳ级）：未泄露但存在高危漏洞。9.2应急预案（1）60分钟内：发现人→科主任→档案科→网信小组，同时启动“黄金一小时”处置；（2）6小时内：完成数据泄露范围画像、受影响患者清单、攻击入口封禁；（3）24小时内：向市卫健委、市公安局网安支队书面报告；（4）72小时内：完成所有患者短信通知、信用监测开通、官网公告；（5）7日内：组织攻防演练复盘，输出《安全事件调查报告》，对责任人启动问责。9.3灾备演练每年组织一次“实战勒索病毒”演练：（1）攻防队伍使用加密外壳模拟WannaCry变种；（2）要求在不支付赎金前提下，利用本地备份在4小时内恢复核心系统；（3）演练结束出具《灾难恢复时间轴报告》，RTO＞4小时即判定演练失败，扣发IT部门季度绩效20%。第十章审计与问责10.1审计机制（1）内部：档案科每月随机抽查5%系统日志，重点检查“批量导出”“权限提升”“异常时间登录”；（2）外部：聘请会计师事务所+网络安全公司联合审计，出具SOC2TypeⅡ报告；（3）审计结果与科室绩效、职称晋升挂钩，发现一次“未授权导出”扣科室绩效2万元，个人取消当年评优。10.2问责阶梯（1）轻微违规：书面警告+重新培训；（2）一般违规：全院通报+绩效扣减10%；（3）严重违规：降级降薪+暂停执业1–6个月；（4）违法犯罪：移送司法机关，同步上报国家医师诚信档案系统。第十一章销毁与续存11.1销毁情形（1）超过法定保存期限：门诊病历15年，住院病历30年，财务凭证10年；（2）患者书面申请删除其非诊疗必需数据，且经法务审核不违反《医师法》第十八条；（3）科研数据完成论文发表且通过伦理结题5年后，如无续研需求。11.2销毁流程（1）科室发起→档案科审核→网信小组组长审批→市卫健委备案；（2）纸质：使用“碎浆+脱墨”一体化设备，出浆细度≤2mm，全程视频监控保存180天；（3）电子：采用“国密SM3随机覆写7次+物理粉碎”双保险，粉碎后颗粒对角线≤1mm；（4）出具《销毁证明》，编号上传区块链，任何人可公开验证哈希。11.3续存评估（1）每5年由档案科组织“续存价值评估委员会”，成员含临床、科研、病案、伦理、法律代表；（2）评估维度：科研再利用潜力、历史价值、法律风险、存储成本；（3）评估结果：续存、转存、销毁三选一，形成会议纪要并公开。第十二章培训与考核12.1培训体系（1）新员工岗前：3小时档案与信息安全必修课，考试90分及格，不合格不得授予HIS账号；（2）在职：每年2学时在线+1学时实操，内容包括最新勒索病毒案例、隐私计算演示；（3）专项：对科研PI、研究生增设“人类遗传资源审批”线下工作坊，每年不少于4学时。12.2考核方式（1）理论：随机题库100题，含单选、多选、案例分析；（2）实操：模拟“病历误发微信”应急，要求5分钟内完成上报、撤回、公告；（3）考核成绩纳入年度绩效，占比10%，不合格者暂停系统权限，补考通过后恢复。第十三章患者权利与申诉13.1权利清单（1）可查询、复制其全部病历，现场立等可取，电子病历≤5分钟，纸质病历≤30分钟；（2）可申请更正错误信息，医院须在7日内完成核实并书面答复；（3）可申请删除非诊疗必需数据，但法律法规另有规定的除外；（4）可要求说明数据对外共享情况，医院须在48小时内提供近3年共享日志。13.2申诉渠道（1）线下：病案复印窗口旁设“患者数据权益服务台”，工作日8:00–17:30；（2）线上：互联网医院App内置“数据权益”模块，提交后自动生成工单；