医院伦理委员会保密和隐私保护制度

医院伦理委员会保密和隐私保护制度第一章总则第一条本制度依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等国家相关法律法规，以及行业数据安全与隐私保护准则、集团母公司关于企业内部控制与风险管理的规定，结合医院伦理委员会工作实际，为规范伦理审查中涉及人体试验、基因数据、临床试验等敏感信息的保密与隐私保护，防控数据泄露、滥用风险，保障受试者权益，特制定本制度。第二条本制度适用于医院伦理委员会及其下辖各部门、各下属单位、全体工作人员，以及伦理审查业务所覆盖的临床研究、医学科技项目、涉及人类遗传资源的伦理审查等场景。第三条本制度下列术语含义如下：（一）伦理审查专项管理：指医院伦理委员会依据法律法规、伦理准则及本制度要求，对伦理审查全流程中涉及的保密信息、个人隐私进行制度化管控，包括信息收集、处理、存储、使用、传输等环节的规范操作与风险防控。（二）伦理审查专项风险：指因制度执行不到位、人员操作失误、系统漏洞或外部干扰等导致敏感信息泄露、受试者权益受损、机构声誉受损等潜在危害。（三）伦理审查合规：指伦理审查工作严格遵循国家法律法规、行业规范及本制度要求，确保信息保护措施有效、风险防控得当、受试者知情同意充分。第四条伦理审查专项管理应遵循以下原则：（一）全面覆盖：确保伦理审查全过程涉及的保密信息与隐私保护得到系统化管控，不留管理空白。（二）责任到人：明确各层级、各岗位的保密与隐私保护责任，建立责任追溯机制。（三）风险导向：重点防控信息泄露、非授权访问、非法使用等核心风险，优先化解重大风险隐患。（四）持续改进：根据法规变化、业务发展及风险监测结果，动态优化管理措施。第二章管理组织机构与职责第五条公司主要负责人为伦理审查专项管理的第一责任人，对管理体系的健全性、有效性负总责；分管领导为直接责任人，负责组织落实、监督考核及日常管理。第六条设立伦理审查专项管理领导小组（以下简称“领导小组”），由伦理委员会主席、医务部门负责人、信息管理部门负责人、法律顾问组成，负责统筹协调伦理审查专项管理工作，研究决策重大事项，监督评价管理成效。领导小组下设办公室于伦理委员会秘书处，承担具体事务。第七条领导小组主要职责包括：（一）统筹制定和修订伦理审查保密与隐私保护制度及相关操作规程。（二）协调跨部门伦理审查工作，解决管理争议，推动制度落实。（三）审议重大伦理审查项目中的保密风险评估报告，作出决策审批。（四）定期听取伦理委员会及各部门专项管理情况汇报，开展监督评价。第八条牵头部门（伦理委员会秘书处）职责：（一）负责专项管理制度建设，组织风险识别与评估，编制管理手册。（二）监督伦理审查全流程的合规执行，对专责部门及业务部门提供指导。（三）组织开展专项培训与宣贯，提升全员保密与隐私保护意识。（四）定期汇总管理数据，向领导小组报告工作成效。第九条专责部门（医务部门、信息管理部门、法律顾问）职责：（一）医务部门：审核伦理审查中涉及的临床操作规范、受试者知情同意流程。（二）信息管理部门：负责伦理审查数据系统的安全防护、加密存储、访问控制。（三）法律顾问：提供伦理审查相关法律法规咨询，审核合同条款及风险处置方案。第十条业务部门/下属单位职责：（一）落实本领域伦理审查专项管理要求，开展日常风险防控。（二）收集、整理、移交伦理审查相关材料时，确保信息脱敏处理。（三）配合专责部门开展专项检查，及时整改发现的问题。第十一条基层执行岗责任：（一）签署岗位合规承诺书，严格遵守操作规程。（二）发现保密风险或违规行为时，立即向专责部门报告。（三）不得擅自复制、传播或对外泄露伦理审查敏感信息。第三章专项管理重点内容与要求第十二条伦理审查信息收集与处理规范：（一）业务操作合规标准：伦理审查项目需通过标准化申请表收集受试者基本信息、疾病史、干预措施等，确保信息来源合法、目的明确。（二）禁止性行为：严禁通过非正规渠道收集受试者敏感信息，禁止诱导或强迫受试者提供无关信息。（三）专项风险防控：重点防范信息收集不完整导致伦理评估遗漏风险，要求专责部门对收集材料进行合规性审核。第十三条伦理审查文件存储与保管要求：（一）业务操作合规标准：纸质档案存放于符合保密等级的档案室，电子档案存储于加密数据库，设置双重访问权限。（二）禁止性行为：禁止在非加密设备存储伦理审查完整档案，禁止擅自销毁或外借。（三）专项风险防控：定期开展存储环境安全检查，要求信息部门每年验证数据备份有效性。第十四条伦理审查会议记录与信息传输规范：（一）业务操作合规标准：会议记录仅记载必要事项，涉及受试者身份的记录需进行脱敏处理，传输前进行加密。（二）禁止性行为：禁止通过公共网络传输敏感信息，禁止在非授权平台共享会议记录。（三）专项风险防控：专责部门审核传输渠道安全性，要求传输接收方确认身份后方可解密。第十五条受试者知情同意管理：（一）业务操作合规标准：知情同意书需包含伦理委员会批准文号、受试者权利义务、风险告知等要素，签署前进行口头解释。（二）禁止性行为：禁止未经伦理审查擅自使用知情同意书，禁止篡改已签署文书。（三）专项风险防控：要求医务部门对知情同意过程进行抽查，专责部门对文书合规性进行终审。第十六条伦理审查结果与反馈管理：（一）业务操作合规标准：审查通过的项目需向受试者反馈结果，审查不通过的项目需说明理由并提供替代方案。（二）禁止性行为：禁止泄露审查意见给未授权方，禁止因个人偏见作出不当反馈。（三）专项风险防控：要求领导小组对重大审查结果进行复核，专责部门记录反馈过程。第十七条伦理审查专项风险处置：（一）业务操作合规标准：发现信息泄露时，立即启动应急响应，包括隔离涉事数据、约谈责任方、上报领导小组。（二）禁止性行为：禁止隐瞒泄露事件，禁止拖延上报时间。（三）专项风险防控：要求专责部门制定风险处置预案，领导小组每半年演练处置流程。第十八条伦理审查第三方合作管理：（一）业务操作合规标准：与外部机构合作时，需签订保密协议，明确信息使用范围，第三方需符合同等保护标准。（二）禁止性行为：禁止将敏感信息用于合作目的之外，禁止授权给无资质第三方。（三）专项风险防控：要求法律顾问审核合作协议，专责部门定期检查合作方合规情况。第四章专项管理运行机制第十九条制度动态更新机制：（一）根据国家法律法规变化，领导小组每年组织制度修订。（二）业务部门提出优化建议后，由牵头部门评估并纳入更新计划。（三）重大业务调整（如基因测序项目落地）后，需同步修订管理要求。第二十条风险识别预警机制：（一）牵头部门每季度开展专项风险排查，形成评估报告。（二）专责部门对系统日志、操作记录进行实时监控，发布预警通知。（三）领导小组对高风险项作出整改要求，并跟踪落实。第二十一条合规审查机制：（一）将保密与隐私保护审查嵌入业务决策，例如伦理审查申请需经专责部门预审。（二）明确“未经审查不得实施”原则，违规操作视为重大合规风险。（三）建立审查结果台账，由领导小组定期抽查执行情况。第二十二条风险应对机制：（一）一般风险由专责部门分级处置，重大风险启动领导小组应急程序。（二）应急流程包括：涉事人员约谈、信息溯源、受试者安抚、整改通报。（三）要求处置结果向管理层汇报，重大事件上报监管机构。第二十三条责任追究机制：（一）违规情形包括：擅自泄露信息、未履行审查职责、违反保密协议等。（二）处罚标准：轻微违规通报批评，一般违规扣减绩效，重大违规纪律处分。（三）联动绩效考核，违规部门年度评优受影响。第二十四条评估改进机制：（一）领导小组每年开展专项管理有效性评估，形成改进清单。（二）评估指标包括：制度覆盖度、风险事件发生率、培训覆盖率。（三）评估结果用于优化流程、完善措施，形成闭环管理。第五章专项管理保障措施第二十五条组织保障：（一）各级领导签署专项管理责任书，明确年度目标。（二）设立专项管理经费，支持技术改造、培训活动等。（三）领导小组每月召开例会，协调解决跨部门问题。第二十六条考核激励机制：（一）将专项合规情况纳入部门年度考核，权重不低于X%。（二）设立“专项管理优秀部门/个人”奖项，与晋升评优挂钩。（三）对主动发现并处置风险的员工给予奖励。第二十七条培训宣传机制：（一）管理层：每年组织合规履职培训，要求签署培训确认书。（二）一线员工：每半年开展操作规范培训，重点讲解保密要求。（三）通过内部刊物、宣传栏普及隐私保护知识，营造合规文化。第二十八条信息化支撑：（一）开发伦理审查管理系统，实现数据加密、权限分级、操作留痕。（二）通过系统自动预警高风险操作，例如同时查询多位受试者信息。（三）定期进行系统安全检测，确保防病毒、防黑客攻击。第二十九条文化建设：（一）编制《伦理审查保密与隐私保护手册》，人手一册。（二）每年签署全员合规承诺书，明确违规后果。（三）设立匿名举报渠道，鼓励员工参与监督。第三十条报告制度：（一）风险事件上报：发生信息泄露等事件后24小时内上报专责