艾梅乙隐私保护培训试题及答案

艾梅乙隐私保护培训试题及答案一、单项选择题（每题2分，共20题，40分）1.根据《个人信息保护法》及《艾滋病防治条例》规定，医疗机构在采集艾梅乙患者个人信息时，应首先取得患者的：A.口头同意B.书面同意（含电子签名）C.家属同意D.科室负责人批准2.以下哪类信息不属于艾梅乙患者隐私保护范围？A.检测结果报告编号B.就诊时的主诉内容C.联系方式D.疾病诊断结论3.医疗机构存储艾梅乙患者电子档案时，加密技术应至少达到：A.对称加密（如AES-128）B.非对称加密（如RSA-2048）C.哈希算法（如SHA-256）D.无需加密，仅设置访问权限4.当公安部门因办案需要调取患者信息时，医疗机构应要求其提供：A.患者本人授权书B.县级以上公安部门出具的协查函及工作证件C.医院分管领导审批单D.市级卫生健康行政部门批准文件5.护士在执行艾梅乙患者护理操作时，发现实习医生在未授权情况下查看患者电子病历，正确的处理方式是：A.提醒实习医生关闭页面，无需上报B.立即制止并记录，同时向科室主任报告C.告知患者该情况，由患者自行处理D.事后在科室会议上口头提醒6.根据《传染病防治法》，艾梅乙患者信息的保存期限自最后一次诊疗结束之日起不得少于：A.3年B.5年C.10年D.20年7.以下哪项不属于隐私保护"最小必要"原则的具体体现？A.仅采集与诊疗直接相关的联系方式B.限制信息访问权限为"仅主治医生及必要护理人员"C.向科研机构提供脱敏后的汇总数据D.在患者病历封面标注"艾梅乙阳性"标识8.患者张某因乙肝就诊，其配偶要求查阅检验报告，医疗机构正确的做法是：A.直接提供报告复印件B.要求配偶出具张某的书面授权C.以保护患者隐私为由拒绝D.口头告知检测结果9.信息系统管理员发现某医生账号连续3次输入错误密码，应立即采取的措施是：A.重置该账号密码并通知医生B.锁定账号并启动安全审计C.记录日志但不做处理D.联系该医生确认是否为本人操作10.关于纸质病历的管理，错误的做法是：A.诊疗结束后立即存入带锁的档案柜B.借阅时登记借阅人、时间及用途C.废弃病历直接投入普通垃圾桶D.归档前由专人核对病历完整性11.某孕妇产检时确诊梅毒，医生在填写传染病报告卡时，应隐去的信息是：A.姓名B.身份证号后6位C.现住址D.联系电话12.患者因艾滋病并发症住院，其单位人事专员来电询问病情，护士正确的回应是：A."患者因感染性疾病住院，具体情况需本人授权"B."患者患有艾滋病，目前病情稳定"C."您不是患者家属，无权了解"D."请提供患者授权书，我们会邮件告知"13.电子病历系统中，艾梅乙患者信息的访问日志应至少保存：A.1年B.3年C.5年D.永久保存14.以下哪项符合"去标识化"处理要求？A.将姓名替换为"患者123"，保留身份证号前6位B.删除姓名、身份证号、联系方式，保留年龄、性别、诊断C.对全部字段进行加密，密钥由专人保管D.仅保留检验结果数值，删除所有身份关联信息15.实习护士在整理病历资料时，误将患者HIV阳性结果拍照发送至科室群，正确的补救措施是：A.立即撤回照片并在群内声明"信息误发"B.撤回后私下向护士长报告C.撤回后联系所有群成员确认已删除D.立即报告科室主任，启动隐私泄露应急预案16.根据《护士条例》，护理人员泄露患者隐私造成严重后果的，可能面临的最严重处罚是：A.警告B.暂停执业活动6个月C.吊销执业证书D.5000元以下罚款17.医疗机构开展艾梅乙筛查前，应向受检者告知的内容不包括：A.检测方法及准确性B.信息使用范围及期限C.拒绝检测的法律后果D.信息泄露的救济途径18.信息系统升级时，迁移患者数据的正确流程是：A.直接复制原数据库至新系统B.加密传输并校验数据完整性，原数据备份后删除C.由系统管理员单独操作，无需记录D.迁移后由临床科室核对10%数据即可19.患者王某因乙肝就诊，其15岁女儿要求了解母亲病情，医疗机构应：A.直接告知，因女儿是近亲属B.要求女儿提供王某授权C.以未成年人无完全民事行为能力为由拒绝D.告知"您母亲患有传染性疾病，具体需她本人说明"20.某医院因信息系统漏洞导致50名HIV患者信息泄露，应在多长时间内向卫生健康行政部门报告？A.2小时B.12小时C.24小时D.48小时二、多项选择题（每题3分，共10题，30分。每题至少2个正确选项，多选、少选、错选均不得分）1.医疗机构在艾梅乙隐私保护中应履行的义务包括：A.制定专项隐私保护制度B.对员工进行定期培训C.确保信息存储环境安全D.向社会公开患者统计数据（脱敏后）2.以下哪些行为违反隐私保护规定？A.医生在诊室向实习医生示教时遮挡患者面部B.护士在电梯内讨论患者HIV检测结果C.药剂师将患者乙肝用药信息提供给医药代表D.检验师将阳性结果直接发送至患者个人手机3.患者信息访问权限设置应遵循的原则有：A.最小权限原则（仅必要人员访问）B.分级授权原则（按职务层级设置）C.动态调整原则（随职责变化更新）D.双人验证原则（访问敏感信息需两人确认）4.纸质病历保密管理的关键措施包括：A.非工作时间存放在带锁的档案柜B.借阅后5个工作日内归还C.废弃病历采用碎纸机销毁或焚烧D.允许实习医生单独带离病历至示教室5.电子信息系统应具备的隐私保护功能包括：A.操作日志记录（时间、账号、操作内容）B.敏感信息自动脱敏显示（如身份证号隐藏中间位）C.异常访问提醒（如非工作时间登录）D.数据备份与恢复功能6.患者有权要求医疗机构提供的隐私保护服务包括：A.查询本人信息存储状态B.更正错误的检测结果记录C.要求删除已治愈患者的全部信息D.了解信息共享的具体接收方7.以下属于"过度收集信息"的情形有：A.采集乙肝患者的宗教信仰信息B.要求艾滋病患者提供三代以内亲属联系方式C.记录梅毒患者的职业信息（与诊疗相关）D.收集孕妇的教育程度信息（非产检必需）8.发生信息泄露事件后，应采取的应急措施包括：A.立即暂停相关系统功能B.评估泄露信息的范围及可能影响C.通知可能受影响的患者并提供补救建议D.对责任人员进行内部调查9.符合"告知-同意"原则的操作有：A.门诊护士在抽血前口头告知"检测结果仅用于诊疗"B.住院患者入院时签署包含隐私条款的《知情同意书》C.电话随访时询问"是否同意我们使用您的信息进行健康指导"D.科研合作前向患者书面说明"数据将去标识化后使用"10.医疗机构隐私保护责任主体包括：A.院长（法定代表人）B.信息系统管理员C.临床科室主任D.所有接触患者信息的工作人员三、判断题（每题1分，共10题，10分。正确填"√"，错误填"×"）1.艾梅乙患者信息属于敏感个人信息，处理时需取得患者单独同意。（）2.为提高诊疗效率，可将患者信息共享给同一医院的所有科室。（）3.患者死亡后，其艾梅乙相关信息可立即销毁。（）4.因紧急救治无法取得患者同意时，可先处理信息但需事后补正。（）5.实习医生经带教老师口头同意后，可访问患者隐私信息。（）6.信息系统升级时，原数据库应在迁移完成后立即删除。（）7.患者拒绝提供联系方式时，医疗机构可拒绝为其提供诊疗服务。（）8.向疾控中心报送传染病报告卡时，需隐去患者身份证号。（）9.医护人员在学术会议上分享病例时，需隐去患者姓名、照片等可识别信息。（）10.患者要求查阅本人病历，医疗机构可收取合理的复印工本费。（）四、简答题（每题5分，共4题，20分）1.简述艾梅乙患者隐私保护的"三原则"及其具体要求。2.列举医疗机构在信息存储环节需采取的5项保密措施。3.当患者质疑其信息被泄露时，医疗机构应如何处理？4.说明"去标识化"与"匿名化"的区别，并举例说明。五、案例分析题（共20分）案例：某二级医院皮肤科医生李某，在下班途中遇到大学同学王某（非医疗行业）。王某询问："听说你们科最近收了个艾滋病患者？是不是住在3床？"李某回答："是有这么个患者，不过病情挺稳定的。"次日，患者家属发现同病房病友对患者态度异常，经调查确认是李某泄露了患者信息。问题：（1）李某的行为违反了哪些法律法规及具体条款？（8分）（2）医疗机构应如何处理该事件？（6分）（3）如何预防此类事件再次发生？（6分）答案及解析一、单项选择题1.B解析：《个人信息保护法》第14条规定，处理敏感个人信息需取得书面同意（含电子形式）。2.A解析：报告编号属于管理标识，不直接关联患者身份，不属于隐私范围。3.B解析：《个人信息保护法》要求敏感信息存储应采用非对称加密，RSA-2048符合强度要求。4.B解析：《传染病防治法》第12条规定，外部调取需县级以上部门协查函及有效证件。5.B解析：《医疗质量安全核心制度》要求发现未授权访问应立即制止并上报。6.C解析：《医疗机构病历管理规定》第29条规定，传染病病历保存不少于10年。7.D解析：标注阳性标识会增加患者被识别风险，违反最小必要原则。8.B解析：配偶非法定代理人，需患者本人授权方可查阅（《民法典》第1032条）。9.B解析：连续密码错误可能为攻击行为，应锁定账号并审计（《网络安全法》第21条）。10.C解析：废弃病历需按医疗废物处理，普通丢弃可能导致泄露（《医疗废物管理条例》）。11.B解析：传染病报告卡需隐去身份证号后6位（《传染病信息报告管理规范》）。12.A解析：需在保护隐私的同时避免误导，A选项既未泄露病情又说明权限要求。13.C解析：《个人信息保护法》第51条规定，日志保存期限不少于5年。14.B解析：去标识化需删除直接标识符，保留间接信息（如年龄、诊断）；匿名化需完全无法关联（D选项为匿名化）。15.D解析：误发信息可能已扩散，需启动应急预案（《个人信息保护法》第57条）。16.C解析：《护士条例》第31条规定，泄露隐私情节严重可吊销执业证书。17.C解析：拒绝检测无法律后果，医疗机构不得以此胁迫（《艾滋病防治条例》第39条）。18.B解析：数据迁移需加密传输、校验完整性，原数据应备份（《数据安全法》第21条）。19.B解析：15岁未成年人无完全民事行为能力，需患者本人授权（《民法典》第19条）。20.C解析：《个人信息保护法》第57条规定，发生泄露需24小时内报告。二、多项选择题1.ABCD解析：《基本医疗卫生与健康促进法》第32条要求医疗机构履行隐私保护全流程义务，包括制度制定、培训、安全存储及脱敏统计。2.BC解析：B违反《护士条例》第18条（不得泄露隐私）；C违反《药品管理法》第101条（禁止向无关方提供患者信息）。3.AC解析：权限设置应遵循最小权限（仅必要人员）和动态调整（职责变化时更新），分级授权可能导致权限过大，双人验证非强制要求。4.AC解析：B选项无明确时间限制；D选项禁止单独带离病历（《医疗机构病历管理规定》第15条）。5.ABCD解析：《信息安全技术个人信息安全规范》要求系统具备日志记录、脱敏显示、异常提醒及备份功能。6.ABD解析：C选项错误，已治愈患者信息需按保存期限留存（《医疗机构病历管理规定》）。7.ABD解析：宗教信仰、亲属联系方式、教育程度均非诊疗必需信息，属于过度收集（《个人信息保护法》第6条）。8.ABCD解析：《个人信息保护法》第57条规定，泄露后需暂停系统、评估影响、通知患者、调查责任。9.BCD解析：A选项口头告知不符合"明确同意"要求（《个人信息保护法》第14条）。10.ABCD解析：《医疗质量安全核心制度》规定，所有接触患者信息的人员均为责任主体。三、判断题1.√（《个人信息保护法》第28条）2.×（需遵循最小必要原则，非所有科室均可共享）3.×（需按保存期限留存，死亡后仍需保存10年）4.√（《民法典》第1036条紧急救治例外）5.×（需书面授权，口头同意无效）6.×（原数据库应备份，不可立即删除）7.×（不得因拒绝提供非必需信息拒绝诊疗，《基本医疗卫生与健康促进法》第32条）8.√（《传染病信息报告管理规范》要求隐去身份证号）9.√（《医学科研诚信指南》要求病例分享需去标识化）10.√（《医疗机构病历管理规定》第16条允许收取工本费）四、简答题1.答：（1）最小必要原则：仅收集、使用与诊疗直接相关的信息，限制访问权限至必要人员。（2）知情同意原则：处理敏感信息前需取得患者书面同意，明确告知用途、范围及期限。（3）安全保障原则：采用加密存储、访问控制、日志记录等技术措施，确保信息不泄露、不篡改。2.答：（1）电子信息采用非对称加密存储（如RSA-2048）；（2）纸质病历存放在带锁的档案柜，非工作时间由专人保管；（3）设置访问权限分级管理（如医生、护士、管理员权限不同）；（4）定期备份数据并异地存储（防止物理损坏）；（5）对存储设备进行物理安全管理（如监控、门禁）。3.答：（1）立即启动内部调查，调取访问日志确认泄露来源；（2）与患者沟通核实具体情况，告知已采取的补救措施；（3）若确认泄露，按《个人信息保护法》第57条向卫生健康部门报告；（4）对责任人员进行处理（如纪律处分、暂停执业）；（5）向患者提供必要的帮助（如心理疏导、法律救济指引）。4.答：区别：去标识化是通过技术手段删除或隐匿直接标识符（如姓名、身份证号），但仍可通过其他信息（如年龄、疾病史）关联到个人；匿名化是彻底消除所有可识别信息，无法通过任何方式还原至特定个人。举例：去标识化-将"张三，30岁，HIV阳性"处理为"患者A，30岁，HIV阳性"（仍可通过年龄+疾病史关联）；匿名化-将数据汇总为"30岁HIV阳性患者占比15%"（无法关联到个人）。五、案例分析题（1）违反的法律法规及条款：①《艾滋病防治条例》第39条："未经本人或者其监护人同意，任何单位或者个人不得公开艾滋病病毒感染者、艾滋病病人及其家属的姓名、住址、工作单位、肖像、病史资料以及其他可能推断出