患者医疗信息管理制度

患者医疗信息管理制度第一章总则1.1立法与政策依据本制度以《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《医疗机构病历管理规定（2022版）》《国家健康医疗大数据标准、安全和服务管理办法（试行）》为主干，结合《GB/T352732020信息安全技术个人信息安全规范》《GB/T222392019信息安全技术网络安全等级保护基本要求》及行业最佳实践制定。凡与上位法冲突的条款，以上位法为准。1.2适用范围本制度覆盖××医院集团本部、分院、互联网医院、医联体成员单位、科研协作中心、第三方检验检查及云服务商。适用对象包括门急诊患者、住院患者、体检人群、临床试验受试者、互联网医院注册用户以及已故未满30年隐私保护期的患者。1.3术语定义a.患者医疗信息（PMI）：指能够单独或与其他信息结合识别特定自然人，且由医疗活动产生的任何电子或纸质记录。b.敏感个人信息：包含艾滋病、性病、精神疾病、遗传缺陷、生物识别、定位轨迹等一旦泄露可能导致歧视或严重危害人身财产安全的信息。c.最小必要原则：在特定业务场景下，仅收集、使用、传输、存储实现目的所需的最少字段与最短时间。d.去标识化：通过哈希、加盐、token、K匿名、差分隐私等技术，使数据在不借助额外信息情况下无法识别特定自然人。e.数据主体：即患者本人；无/限制民事行为能力人时，为其监护人；患者死亡后，为其近亲属或遗嘱执行人。第二章组织架构与职责2.1三级责任体系a.决策层：医院网络安全与信息化领导小组（院长任组长）负责预算、重大策略、事件问责。b.管理层：数据治理委员会（分管副院长任主任）由医务部、信息科、质控科、病案室、法务、伦理、医保办、绩效办组成，负责制度修订、分级分类、风险评估、审计报告。c.执行层：①数据保护官（DPO）：由信息科副科长兼任，直接向院长汇报，对接监管。②科室数据责任人：临床、医技科室指定一名副高及以上职称人员，负责本科室最小必要审核、权限梳理、日常自查。③第三方联络人：与云服务商、AI公司、保险公司、银行、物流等签署协议时，必须指定院内联络人，实行“双人双岗”对接。2.2岗位职责清单（RACI）信息科：负责技术防护、日志留存、加密密钥管理、备份恢复、漏洞扫描（R）。医务部：负责业务场景合理性、临床科研伦理审批（A）。病案室：负责纸质病历归档、封存、调阅、复印、销毁（C）。法务：负责合同审查、事件索赔、诉讼应对（I）。监察室：负责违规违纪调查、问责建议（A）。第三章数据分级分类与生命周期3.1分级标准L1公开级：已脱敏且经伦理批准的科研数据集，可公开下载。L2内部级：员工绩效、科室运营指标，院内可共享。L3受限级：患者基本信息、门诊诊断，需认证授权。L4敏感级：HIV、精神心理、遗传信息，实行“一事一议”审批。L5核心级：国家重大疫情防控、器官移植、院士保健信息，按国家秘密级防护。3.2分类维度按业务线：门急诊、住院、体检、互联网医院、科研、教学、管理、后勤。按数据形态：结构化（EMR）、非结构化（影像DICOM、PDF、语音）、流数据（IoT监护波形）。3.3生命周期映射收集→传输→存储→使用→共享→备份→归档→销毁，每阶段匹配技术控制、管理控制、合同控制、审计控制。第四章收集与告知4.1收集渠道窗口建档、自助机、App、小程序、医保电子凭证、电子健康卡、远程会诊、可穿戴设备、120急救、转诊平台。4.2告知方式a.首次挂号时弹窗《患者信息收集与使用告知书》，需阅读≥10秒且勾选同意；不同意则仅提供急诊救命服务，其他诊疗受限。b.住院签署《住院知情同意书》纸质三联单，其中一联为隐私条款。c.科研、市场、AI训练等二次利用场景单独告知，通过“打勾+短信验证码”双重确认。4.3最小字段清单门急诊：姓名、性别、出生日期、证件类型号码、手机号、医保卡号、主诉、过敏史。住院：在门诊字段基础上增加住址、联系人、职业、付费方式、既往史、遗传病史。严禁收集宗教信仰、基因序列、定位轨迹、银行卡密码等与诊疗无关字段。第五章存储与加密5.1存储架构生产库：双活OracleRAC19c，TDE透明加密，国密SM4算法，主密钥托管于HSM。影像库：对象存储MinIO集群，采用ServerSideEncryptionSSEC，每个Study随机密钥。大数据平台：基于CDP私有云，数据湖分层（Bronze/Silver/Gold），Gold层需二次脱敏。5.2密钥管理a.密钥生命周期：生成→分发→使用→轮换→撤销→销毁，全流程写入区块链防篡改。b.轮换周期：L4/L5级数据每90天强制轮换；L3级180天；L1/L2级365天。c.密钥分片：采用ShamirSecretSharing，3/5门限，院长、信息科长、法务、监察室、备份中心各持一片。5.3备份策略本地快照：每4小时一次，保留48小时。异地容灾：200公里外机房，异步复制，RPO≤15分钟，RTO≤30分钟。离线冷备：L4/L5级数据每月写入一次性刻录蓝光光盘，MD5校验后封存于银行保险箱，保存15年。第六章访问控制与权限管理6.1RBAC+ABAC混合模型Role：医生、护士、药师、技师、科研、管理、外包运维。Attribute：科室、职称、患者主管关系、诊疗阶段、IP地址、时间段、终端类型。6.2权限颗粒度电子病历：字段级，如“HIV抗体检测结果”仅感染科主任医师+法定报告员可见。PACS：Study级，但“性病相关影像”额外加ABAC标签，非授权科室即使拥有Role亦不可见。6.3申请流程①员工入职：科室数据责任人发起→医务部审核→信息科技术赋权→DPO备案。②临时提权：因抢救、会诊、质控需要，可触发“BreakGlass”，系统强制录像、短信通知DPO，24小时内补纸质说明。③科研调阅：提交《科研数据使用申请表》→伦理委员会→数据治理委员会→分管副院长→DPO，全流程7个工作日。6.4审计要求所有操作写入WORM日志，保留≥15年；每日自动比对异常模型（如深夜批量导出>1000条、跨科室调阅非主管患者、权限漂移）。第七章共享与对外提供7.1共享原则a.合法、正当、必要、最小必要。b.患者明示同意或法律法规授权。c.技术同等安全：接收方安全能力不低于本方。7.2共享场景矩阵医保结算：字段最小集，通过医保局VPN加密隧道，SM2证书双向认证。商保直赔：患者签署《直赔授权书》，数据经区块链哈希存证，保险公司仅可查看与理赔相关字段。区域检验互认：通过省级健康信息平台，采用FL（FederatedLearning）方式，数据不出域，仅返回模型梯度。科研合作：采用隐私计算平台（多方安全计算MPC），输出为统计值，禁止原始数据离院。7.3合同必备条款数据安全责任、保密义务、使用范围、留存期限、删除方式、违约责任、争议解决、审计权利、泄露通知时限（24小时）。第八章患者权利响应8.1权利清单查阅、复制、更正、删除、撤回同意、注销账号、解释说明、近亲属行使。8.2响应流程a.线上：App“隐私中心”提交→AI客服初筛→人工复核→DPO审批→3个工作日内推送加密PDF。b.线下：患者携带身份证至病案室→窗口核验→打印加盖电子水印→收取工本费0.5元/页（省物价核定）。c.删除：非诊疗必需且无法律强制留存时，15日内完成数据库逻辑删除、备份覆盖、纸质碎纸，出具《删除报告》。8.3争议处理设立“患者信息申诉专席”电话及邮箱，48小时内初步回复，7个工作日给出解决方案；仍不满可向市卫健委或网信办投诉。第九章科研与教学特殊场景9.1伦理前置所有涉及PMI的科研、教学、AI训练、商业分析，必须通过伦理委员会前置审批，批件有效期1年。9.2脱敏标准a.直接标识符（姓名、身份证号、电话、地址、医保号、住院号）必须完全删除或单向哈希。b.准标识符（出生日期、性别、邮编、职业、种族）需K匿名≥5，L多样性≥3，Tcloseness≤0.2。c.影像需去除DICOM标签中的BurnedinAnnotation，并用算法检测二次擦除。9.3数据沙箱科研数据仅在“虚拟桌面+堡垒机”沙箱内使用，禁止本地下载、截屏、拍照；输出结果需经“双审双签”后方可离沙箱。第十章互联网医院与可穿戴设备10.1终端安全App集成国密SSL，证书固定（CertificatePinning），Root/Jailbreak检测，调试端口关闭，代码混淆，敏感字段不进日志。10.2数据上传可穿戴设备采用MQTToverTLS，每条消息AES256加密，设备侧生成临时密钥，上传后立刻丢弃。10.3云端隔离互联网医院生产区与院内生产区物理隔离，中间通过网闸+API网关，调用频率限流200次/分钟，单患者返回字段≤20个。第十一章事件监测与应急响应11.1监测工具SOC平台（IBMQRadar）、数据库审计（Imperva）、流量探针（Netflow）、EDR（CrowdStrike）、暗网监测（RecordedFuture）。11.2事件分级P1特别重大：≥10万条敏感数据或核心数据泄露；P2重大：1–10万条；P3较大：1000–1万条；P4一般：<1000条。11.3响应流程①发现→5分钟内电话通知DPO→30分钟内初步研判→1小时内向院长、市卫健委、网信办同步。②遏制：断网、下线系统、冻结账号、关停API。③取证：内存dump、磁盘镜像、日志打包，写入只读硬盘，由监察室封存。④通报：P1级事件24小时内向社会发布通告，72小时内提交初步报告；P2级7日内。⑤恢复：验证补丁、重装系统、重置密钥、逐步开放服务；P1级需第三方安全公司出具合格报告后方可上线。11.4追责与赔偿按《××医院数据安全问责细则》执行：P1事件直接责任人记过直至开除，科室负责人扣发年度绩效30%，全院通报；给患者造成损失的，按实际损失+精神抚慰金先行赔付，再向第三方追偿。第十二章培训与考核12.1培训体系新员工入职2小时内完成“数据安全必修”线上课程并通过考试（≥90分合格）。在职员工每年2学时面授+4学时线上，内容涵盖最新案例、社工演练、钓鱼邮件模拟。第三方外包人员必须签署保密协议并单独培训，未通过不得进入机房。12.2考核方式a.线上考试：随机题库100题，含单选、多选、判断、场景简答。b.实操演练：每半年组织“数据泄露沙盘”，模拟P1事件，考核响应时间、通报质量、证据保全。c.绩效挂钩：数据安全考核权重占科室绩效5%，个人年度评优一票否决。第十三章审计与持续改进13.1内审数据治理委员会每季度抽取≥5%业务系统，重点检查权限漂移、日志完整性、备份可恢复性，出具《季度审计报告》。13.2外审每年聘请具备国家网络安全等级保护测评资质机构进行三级等保测评及ISO/IEC27001监督审核，不合格项30日内整改闭环。13.3成熟度模型采用DSMM（DataSecurityMaturityModel）自评，目标三年内从“管理级”提升至“优化级”，每年设定量化指标：a.数据分类覆盖率≥98%b.敏感数据API异常调用≤0.1次/万条/月c.患者投诉处理满意率≥95%d.事件平均响应时间≤30分钟第十四章违规处罚与法律责任14.1行政处罚违反本制度导致数据泄露的，由卫健部门依据《医疗机构管理条例》给予警告、罚款、限期整改、停业整顿；对直接负责的主管人员和其他责任人员依法给予处分。14.2民事赔偿患者依据《个人信息保护法》第69条主张损失赔偿，医院承担举证责任倒置；若因第三方造成，医院先行赔付后追偿。