HIV反馈与报告保密制度

HIV反馈与报告保密制度第一章总则1.1立法与政策依据本制度以《中华人民共和国传染病防治法》《艾滋病防治条例》《个人信息保护法》《网络安全法》《保守国家秘密法》《医疗机构病历管理规定（2022版）》以及国家卫健委《艾滋病病毒抗体检测管理工作规范（2021）》为直接上位法，并对接《GB/T35273—2020信息安全技术个人信息安全规范》《GB/T22239—2019网络安全等级保护基本要求》两项国家标准。任何条款若与上位法冲突，以上位法为准，并在5个工作日内启动制度修订。1.2保密目标确保HIV检测、确证、随访、治疗、疫情报告、科研、教学、公众沟通六大环节中产生的所有可识别个人身份信息（PII）与医学信息（PHI）在采集、传输、存储、使用、共享、销毁全生命周期内“零泄露、零篡改、零滥用”，泄密事件24小时发现率100%，72小时处置闭环率100%。1.3适用范围适用于××市疾病预防控制中心（以下简称“市疾控”）、××区妇幼保健院、××区抗病毒治疗点、××街道社区卫生服务中心、××实验室、××第三方物流、××云服务商及其全体工作人员、外包人员、实习生、志愿者。1.4保密原则最小够用、权责一致、分级分类、全程留痕、双人双锁、可追溯、可审计、可问责。第二章组织与职责2.1保密委员会（简称“保密委”）主任：市疾控分管副主任；成员：信息科、艾防科、检验科、质管科、法规科、后勤科、纪检监察室、第三方安全公司各1名负责人。保密委每季度召开一次例会，每半年进行一次突击演练。2.2数据保护官（DPO）由信息科副科长兼任，直接向保密委汇报，负责制度解释、风险评估、事件调查、培训考核、对外沟通。2.3科室级保密员每个业务科室设A、B角各1名，负责日常权限审批、介质领用、日志初审、泄密事件第一响应。2.4外包监管组由法规科牵头，与所有外包公司签订《HIV数据保密补充协议》，约定违约金为合同总额10倍，并冻结全部未付款项作为保证金。第三章分级与分类3.1分级绝密级：可精确定位到个人的HIV阳性结果、CD4＜200的详细病历、耐药位点序列。机密级：去标识但可重识别的检测编号、随访台账、物流单号。秘密级：统计报表、群体分析图表、内部培训PPT。3.2分类纸质：检测申请单、确证报告、告知书、处方签。电子：LIS系统数据、随访APP后台、邮件、微信工作群消息。语音：电话告知录音、12345热线工单。图像：HIV试纸照片、患者面部照片、实验原始图谱。第四章采集与告知4.1采集前工作人员须出示“HIV检测信息采集授权告知书”（2023版），用≥14号字体打印，一式两份。告知书包含采集目的、数据类别、保存期限、共享范围、投诉渠道。受检者逐页签字按指纹，拒绝签字即停止采集。4.2采集时使用“双盲”模式：采样护士仅见条码，检验人员仅见条码，条码由系统自动生成10位随机码+6位校验位，每日0点重新滚动。4.3采集后采样护士立即在“采样端PDA”点击“已采样”，系统自动生成AES256加密压缩包，通过5GVPDN专网传至市疾控机房，全程≤30秒，失败自动重传3次，仍失败则启动“断网应急盘”——由保密员A、B双人携带加密U盘现场人工送数据，全程视频监控。第五章传输与存储5.1传输通道统一使用市电子政务外网MPLSVPN，启用国密SM4加密，隧道密钥由市级密钥管理中心每8小时自动轮换。任何科室不得私建FTP、QQ、微信、个人邮箱传输HIV数据。5.2存储架构生产库：Oracle19cRAC，采用TDE透明加密，表空间密钥与钱包分离存放，钱包密码由3人各掌握6位，组合18位。备份库：异地机房≥150公里，实时同步，RPO≤15秒，RTO≤5分钟。归档库：蓝光光盘，一次写入，50年寿命，由保密委每季度抽检5%可读性。5.3移动介质统一采购“国密指纹加密U盘”，容量≤32GB，启用自毁功能，连续输错5次密码或暴力拆解即自动熔断。领用需填写《涉密介质流转单》，双人签字，限当日归还。第六章权限与访问控制6.1最小权限矩阵系统内置“角色—科室—项目”三维授权，颗粒度到字段级。例如：“艾防科—随访组—CD4”只能查看CD4≥200的个案，无法查看CD4＜200的明细。“检验科—确证组—WB图谱”只能查看图谱文件，无法查看姓名。6.2二次认证所有账号启用“短信+指纹”双因子，短信验证码有效期≤60秒，指纹误识率≤0.001%。6.3特权账号仅设3个“DBA”账号，由保密委主任、DPO、机房值班长各掌1把硬件Key，任何单人均无法登录；所有DDL操作自动触发屏幕录像并同步至审计服务器。第七章去标识与共享7.1去标识流程Step1删除18类直接标识符（姓名、身份证、电话、地址等）。Step2对剩余准标识符（性别、出生年、邮编、感染途径）使用k匿名模型，k≥5。Step3使用差分隐私加入随机噪声，隐私预算ε≤0.1。Step4由DPO出具《去标识合格报告》，方可离开内网沙箱。7.2共享审批外单位申请数据须提前10个工作日提交《HIV数据共享申请表》、伦理批件、保密方案、系统安全等级测评报告。保密委在5个工作日内完成技术测试、法律审查、现场核查，表决需≥2/3同意方可共享，并签订《数据共享协议》，约定“用途限制、时间限制、二次共享禁止、泄露赔偿”。第八章疫情报告与对外发布8.1网络直报检验人员于确证后2小时内登陆“中国疾病预防控制信息系统”，使用数字证书+短信验证码双因子，填报《HIV抗体确证阳性报告卡》。系统对“身份证号+姓名”进行全国重号校验，防止重复。8.2对外发布任何个人、科室、媒体未经市疾控宣传科书面授权，不得对外发布HIV阳性者详细信息。群体数据发布须满足“≥50例、≥3个月、去标识”三要素，且提前7个工作日通过保密委风险评估。第九章实验室原始记录管理9.1记录内容包括样本编号、试剂批号、质控值、环境温湿度、仪器校准记录、操作员签字。9.2保存期限HIV筛查记录保存2年；确证记录、WB图谱、核酸序列保存≥15年；光盘归档≥30年。9.3借阅流程内部借阅：填写《原始记录借阅审批表》，科主任签字，借阅期≤7天，现场阅览，不得拍照、复印、转抄。外部借阅：须经受检者书面同意、保密委主任签字、市卫健委法监处盖章，全程2人陪同。第十章告知与咨询10.1阳性告知由具备“国家二级心理咨询师”资质且通过“HIV阳性告知专项考核”的工作人员执行，使用独立告知室，隔音≥45dB。告知全程录音，录音文件以“采样编号+日期”命名，存入加密服务器，保存≥5年。10.2告知内容“确证结果、传播途径、治疗政策、医保报销、配偶告知义务、法律责任、心理支持、投诉渠道”八项必讲，每讲≥3分钟，共≥30分钟。10.3配偶告知遵循“自愿+责任”原则，如感染者拒绝告知配偶，工作人员须在2小时内报告“配偶告知风险评估小组”，由公安、司法、卫健、律师、心理专家五方在48小时内完成风险评估，确属高传播风险且拒绝告知的，依法启动“强制告知”程序。第十一章信息系统开发与运维11.1安全开发生命周期（SDL）需求阶段：加入“隐私影响评估（PIA）”报告。设计阶段：采用“零信任”架构，所有模块默认不信任。编码阶段：使用国密算法，禁用MD5、SHA1、DES。测试阶段：委托“××网络安全测评中心”进行渗透测试，高危漏洞修复率100%方可上线。上线阶段：通过等级保护三级测评，得分≥90分。11.2运维阶段每日0:00—4:00为“封网时段”，禁止任何变更；紧急变更须保密委主任、DPO、值班长三人视频会议一致同意，并全程录屏。第十二章数据销毁与介质报废12.1电子数据销毁采用“覆盖+消磁+物理粉碎”三级销毁：覆盖：使用随机数覆盖3次，遵循DoD5220.22M标准；消磁：使用消磁机（磁场强度≥10000高斯）消磁30秒；粉碎：硬盘粉碎颗粒≤3mm，由保密员A、B双人现场监督，视频存档≥3年。12.2纸质文件销毁使用“涉密文件销毁机”，碎纸粒度≤1×2mm，每批次称重并记录，销毁后纸屑与生活垃圾“双桶分离”，由保密委随机抽检5%纸屑复拼，复拼成功率≤0.1%。12.3光盘、U盘销毁光盘：先物理破碎为≤4mm碎片，再送专业公司高温熔炼，出具《熔炼证明》。U盘：执行“电子粉碎+物理粉碎”双流程，粉碎后芯片颗粒≤2mm。第十三章培训与考核13.1培训对象新入职、实习、外包、保洁、安保、维修等所有可能接触HIV数据的人员。13.2培训内容法律法规、制度条款、技术操作、场景演练、泄密案例。13.3培训形式线上：使用“××保密培训平台”，学习时长≥4学时，随机弹题≥20道，正确率≥90%视为合格。线下：每季度组织“红蓝对抗”演练，蓝队模拟黑客，红队防守，演练报告48小时内提交保密委。13.4考核与奖惩考核满分100分，≥90分方可授予“HIV数据保密上岗证”，有效期1年。＜90分补考1次，仍不合格调离岗位。主动发现重大漏洞且及时报告者，奖励5000—20000元；泄密者，视情节给予警告、记过、降职、开除、追偿损失、移送司法，5年内不得再从事涉艾工作。第十四章监督与审计14.1日常审计系统自动审计：记录所有账号登录、查询、导出、修改、删除操作，日志保存≥6年，防篡改。人工审计：保密委每月随机抽取5%日志进行人工复核，重点检查“非工作时间查询、批量导出、跨科室查询”三类高风险行为。14.2第三方审计每年聘请“××会计师事务所+××网络安全公司”联合进行外部审计，出具《HIV数据保密审计报告》，对发现的问题列出“整改清单+责任人+完成时限”，整改完成率纳入年度绩效考核，占比≥20%。第十五章应急响应与灾难恢复15.1事件分级Ⅰ级（特别重大）：≥1000条可识别数据泄露；Ⅱ级（重大）：100—999条；Ⅲ级（较大）：10—99条；Ⅳ级（一般）：＜10条。15.2响应流程（1）发现人立即电话报告DPO，并在10分钟内提交《初报单》；（2）DPO30分钟内召集“应急指挥组”，启动预案；（3）1小时内完成“临时封堵”：停用账号、下线系统、冻结介质；（4）6小时内完成“影响评估”，形成《评估报告》报市卫健委、市委网信办、市公安局；（5）24小时内通过市疾控官网、微博、短信等渠道向社会发布“简要通报”；（6）72小时内完成“rootcause分析”，提交《整改方案》；（7）7日内完成“补偿与安抚”，对受影响个人提供免费信用监测、心理咨询、法律维权；（8）30日内完成“制度升级”，并组织全市范围演练验证。15.3灾难恢复生产库宕机：RTO≤5分钟，由异地备份库接管；机房火灾：启用“云灾备”，在××云RegionB启动容灾实例，30分钟内恢复核心功能；密钥丢失：启动“密钥托管保险箱”，由3名KeyMaster分别输入6位片段，重新合成主密钥。第十六章法律责任与追偿16.1行政处罚对直接责任人：依据《艾滋病防治条例》第39条，处5000—50000元罚款；对机构：依据《个人信息保护法》第66条，处500万元以下或上一年营业额5%以下罚款。16.2民事赔偿受侵权人可提起民事诉讼，要求“停止侵害、消除危险、赔礼道歉、赔偿损失”，赔偿范围包括精神损害抚慰金、误工费、律师费、公证费，市疾控设立“先行赔付基金”500万元，确保受害者7日内拿到首笔抚慰金。16.3刑事责任违反《刑法》第253条之一“侵犯公民个人信息罪”，情节特别严重的，处3—7年有期徒刑，并处罚金；违反《刑法》第282条“非法获取国