2026年患者隐私保护制度

2026年患者隐私保护制度第一条总则为适应2026年及未来医疗健康数据生态的发展趋势，进一步强化医疗机构对患者隐私权的保护，规范医疗健康数据的收集、存储、使用、加工、传输、提供、公开等行为，依据《中华人民共和国民法典》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《中华人民共和国医师法》及相关医疗卫生管理法规，结合本机构实际运营情况与信息技术发展水平，特制定本制度。本制度旨在确立“隐私默认设计、数据最小化采集、全程动态防护、权责清晰可溯”的隐私保护原则，确保患者个人信息和医疗数据在全生命周期内的安全性、保密性与完整性。本制度适用于本医疗机构内所有部门、全体工作人员（包括但不限于医师、护士、医技人员、行政管理人员、后勤保障人员、实习生、进修人员等），以及为本机构提供信息系统建设、维护、数据分析、云计算服务等服务的第三方合作单位。所有涉及患者隐私处理活动的主体，必须严格遵守国家法律法规及本制度规定，对患者隐私承担无限保密责任。第二条组织架构与职责医疗机构设立数据安全与隐私保护管理委员会，作为最高决策机构，负责统筹规划全院患者隐私保护工作。委员会由院长任主任委员，信息科主任、医务科主任、护理部主任、法务部主任任副主任委员，各临床科室主任及关键职能部门负责人为成员。委员会下设办公室，挂靠在信息科，负责日常管理与执行监督。医务科负责制定临床诊疗过程中的隐私保护规范，监督医务人员在问诊、查房、讨论等环节的隐私保护行为；护理部负责规范护理人员在护理操作、病区管理中的隐私保护措施；信息科负责技术防护体系的建设与运维，包括访问控制、加密脱敏、安全审计等技术手段的落实；法务部负责隐私相关法律事务的处理、合同审核及合规性审查；人力资源部负责员工入职背景调查、保密协议签署及离职后的保密管理。各部门负责人是本部门患者隐私保护的第一责任人，负责将本制度要求细化落实到具体岗位，并定期组织自查。建立“谁主管、谁负责；谁使用、谁负责；谁经手、谁负责”的层级责任制，确保责任落实到人。第三条患者隐私数据分类分级管理根据数据的敏感程度、泄露后对患者权益及医疗机构声誉造成的影响，将患者隐私数据实施严格的分类分级管理。数据分为核心数据、重要数据和一般数据三个等级。核心数据包含患者身份证号、银行卡号、基因测序数据、传染病筛查结果、精神疾病诊断记录、病理切片图像等一旦泄露可能对患者人身财产安全造成严重危害的数据；重要数据包含患者姓名、联系电话、家庭住址、主诉、现病史、既往史、用药记录、手术记录等常规诊疗信息；一般数据包含挂号时间、就诊科室、非特指性的医疗统计数据等。针对不同等级的数据，采取差异化的保护措施。核心数据必须采用最高强度的加密算法进行存储和传输，且实施严格的访问审批与双人复核机制；重要数据需采用标准加密措施，并实施基于角色的访问控制；一般数据则遵循基础安全管理规范。数据分类分级清单由信息科牵头，每半年更新一次，以适应新业务开展的需求。第四条患者隐私数据分类分级与防护措施对照表数据等级数据范畴存储加密要求传输加密要求访问控制策略审计频率脱敏规则核心数据身份证号、基因信息、指纹/虹膜等生物识别信息、性病/精神类诊断、病理原始数据AES-256位加密，密钥硬件安全模块（HSM）管理TLS1.3协议，双向身份认证强制多因素认证（MFA），需申请临时授权，双人复核实时审计，异常行为立即阻断完全掩码（如：***）或不可逆匿名化重要数据姓名、住址、电话、病历摘要、检查检验结果、医嘱信息、医保信息AES-256位加密，密钥定期轮换TLS1.3协议基于角色的访问控制（RBAC），最小权限原则每日审计，异常行为告警部分掩码（如：张，138**1234）一般数据挂号流水号、就诊时间、科室名称、医疗费用统计AES-128位加密或等同强度TLS1.2及以上协议基于部门级别的访问控制每周审计展示原始数据或轻度脱敏第五条信息收集与获取规范在收集患者个人信息时，必须遵循合法、正当、必要和诚信原则。医疗机构在挂号、建档、入院等环节，应当向患者及其监护人明确告知收集信息的目的、方式、种类、存储期限及可能的用途，并取得患者本人的明确同意。告知内容应以显著方式（如电子弹窗、纸质说明并签字）展示，不得通过默认勾选、捆绑同意等方式获取患者授权。实行诊疗活动中的最小化采集原则。医师在问诊和开具检查单时，仅收集与当前疾病诊断、治疗直接相关的信息，不得强制收集与诊疗无关的个人偏好、社交关系等数据。对于通过物联网设备、可穿戴设备自动采集的生命体征数据，应设置数据采集频率上限，避免过度收集。在获取患者既往病史时，若需通过区域卫生信息平台或其他医疗机构调阅，必须经过患者授权，并在系统中留痕。对于急诊抢救等无法事先取得同意的特殊情况，应在抢救结束后的24小时内补办相关手续，并在病历中记录原因。第六条存储与传输安全机制患者隐私数据必须存储在医疗机构自建或通过严格合规审查的云服务器及数据库中。严禁将患者核心数据存储在个人计算机、移动硬盘、私人网盘或未受控的终端设备中。数据库系统应配置完备的防攻击、防入侵、防泄露设施，定期进行漏洞扫描和渗透测试。在数据传输方面，全院内部网络与外部互联网必须实行逻辑或物理隔离。临床科室、医技科室与信息中心之间的数据传输必须通过内部专网进行。所有通过无线网络（Wi-Fi、4G/5G）传输的医疗数据，必须建立VPN隧道或使用同等强度的加密通道。严禁在微信、QQ、钉钉等公共社交软件中直接发送包含患者隐私的文件、图片或文字。若因会诊需要必须传输，必须使用机构指定的、具有端到端加密功能的医疗协同专用软件。对于纸质病历及检查报告的存储，必须配备带锁的档案柜，并由专人管理。废弃的纸质病历资料在销毁前必须使用碎纸机进行粉碎处理，严禁直接丢弃至普通垃圾桶。第七条访问控制与身份认证建立全院统一的身份认证与权限管理系统。所有工作人员在使用医疗信息系统时，必须使用唯一的数字身份证书（CA证书）或强密码口令登录。2026年起，核心业务系统（如电子病历系统、影像归档和通信系统PACS）将全面取消弱口令认证，强制实施基于生物识别（指纹或人脸）或硬件令牌的多因素认证（MFA）。实施严格的基于角色的访问控制（RBAC）机制。权限分配应与员工的岗位职责严格匹配，实行“最小够用”原则。医师只能查看其负责收治患者的病历，护士只能查看其负责护理患者的医嘱与护理记录。跨科室查看病历、查阅非当班患者数据等行为，必须经过系统申请并由医务科或科室负责人审批授权，系统将自动记录申请理由、审批人及访问时长。系统应具备“防爬虫”和“防批量下载”功能。对于异常的批量查询、全表扫描、高频访问等行为，系统应自动触发熔断机制，立即中断会话并锁定相关账号，同时向安全管理中心发送告警信息。第八条临床使用与隐私保护在临床诊疗场所，医师、护士应确保患者隐私不被无关人员窥视。在门诊诊室，实行“一医一患一诊”制度，严禁无关人员闯入诊室。在病房查房时，讨论患者的病情应在私密空间或病床旁低声进行，避免在电梯、走廊、食堂等公共场合谈论具体患者的病情。床头卡上应隐藏敏感诊断信息，仅显示患者姓名、性别、年龄及护理等级。使用移动查房车、平板电脑等移动终端时，必须设置屏幕自动锁屏功能，且锁屏时间不得超过系统设定的安全阈值（如30秒）。工作人员离开工位或设备时，必须立即退出系统或锁定屏幕，防止他人冒用操作。在进行手术、有创检查等操作前，核对患者信息时，应仅核对必要标识，避免大声朗读患者全部病史。对于涉及患者隐私部位的检查、治疗，必须严格遵守操作规范，拉好隔帘或关闭门窗，尊重并保护患者身体隐私。第九条数据脱敏与去标识化技术在非临床直接诊疗的场景下，如科研教学、统计分析、质量控制、绩效考核等活动中，使用患者数据必须经过脱敏或去标识化处理。去标识化处理应确保数据无法通过特定手段识别到特定个人，且处理过程不可逆。建立动态脱敏规则库。当非临床人员（如科研人员、数据分析师）查询数据库时，系统应根据其权限等级，自动对敏感字段进行脱敏展示。例如，科研人员在进行流行病学研究时，只能看到去除了姓名、身份证号、住址等直接标识符的数据集。对于必须使用明文数据进行特殊算法训练（如AI辅助诊断模型训练）的情况，需经数据安全与隐私保护管理委员会特别审批，并采用联邦学习、多方安全计算等隐私计算技术，在保证数据不出域、不明文的前提下完成模型训练，严禁将原始数据导出提供给外部AI公司。第十条科研教学与学术交流中的隐私保护利用患者病历资料开展科研教学或撰写学术论文时，必须事先经过医学伦理委员会审查。在论文发表、学术会议演讲、案例分享中，必须对患者面部特征、姓名、住址、住院号等个人信息进行严格的遮盖处理，确保无法识别出特定患者。教学医院在安排临床示教时，涉及患者隐私的检查或操作，必须事先征得患者的书面同意。如果患者拒绝，不得以教学为由强行安排，应尊重患者的意愿，可采用标准化病人或模拟教具替代。科研数据在导出时，必须经过科室负责人审批、信息科复核，并打上唯一的水印标记，一旦发生泄露，可通过水印追溯泄露源头。导出的数据仅限在指定的、无外网连接的科研计算机上使用，使用完毕后应彻底删除。第十一条第三方合作与外包服务管理严禁在未签署保密协议（NDA）和数据处理协议（DPA）的情况下，向第三方供应商提供患者隐私数据。对于系统建设商、软件开发商、设备维保商等第三方人员，需进入院内操作系统的，必须实行实名登记和备案制度。第三方人员进入院内工作区域或访问测试环境，必须由本院员工全程陪同。严禁为第三方人员开通生产环境的正式账号，如需测试，必须使用脱敏后的模拟数据或经过严格审批的脱敏真实数据。对于云服务提供商，必须通过国家相关安全资质认证，明确数据主权归属本机构，并约定数据存储的物理位置位于境内。合同中必须明确数据泄露的通知时限、赔偿责任及违约责任，定期对第三方进行安全审计与风险评估。第十二条远程医疗与互联网医院隐私保护针对2026年日益普及的互联网诊疗和远程医疗服务，必须建立专门的安全防护体系。互联网医院APP或小程序必须强制用户进行实名认证，并结合手机号验证、人脸识别等多种手段确保身份真实性。互联网诊疗过程中的音视频问诊记录、电子处方、健康咨询内容必须全程加密存储。医师在非工作场所（如家中）进行远程诊疗时，必须使用机构配发的专用安全终端，严禁使用个人手机或电脑处理患者核心数据。互联网医院应具备防截屏、防录屏功能（在技术可行范围内），并在患者端显著提示隐私保护政策。对于配送至患者手中的药品，物流单据上应对疾病诊断、药品名称进行隐私保护，仅显示必要的收件信息。第十三条特殊人群隐私保护对于未成年人、精神障碍患者、性病患者、艾滋病患者等特殊群体的隐私信息，实行更高级别的保护措施。未经监护人或法定代理人同意，不得向无关第三方披露未成年人的病历资料。对于涉及性病、艾滋病等高敏感传染病，实行首诊负责制和严格的保密管理，除法律规定向疾控中心进行直报外，严禁向任何无关人员（包括患者家属、单位同事）泄露。在开展产前诊断、基因检测等项目时，应充分告知患者基因数据的潜在风险及隐私保护措施，特别是涉及家族遗传信息的，应特别强调其对家庭成员的潜在影响，并取得患者的专项授权。第十四条安全审计与监控建立覆盖全生命周期的日志审计系统。系统应记录所有用户（包括系统管理员）的登录、查询、修改、删除、导出、打印等操作行为。日志内容应包含操作人、操作时间、IP地址、MAC地址、操作模块、操作前数据、操作后数据等关键要素。日志保存期限不得少于5年，重要日志应长期保存。部署数据库审计系统与数据防泄漏（DLP）系统。实时监控数据库的访问流量，自动识别敏感数据的流转路径。对于通过邮件、即时通讯工具、USB拷贝等渠道外发敏感数据的行为，系统应立即阻断并记录。设立数据安全与隐私保护运营中心，实行7×24小时监控。对审计日志进行定期分析，及时发现潜在的数据泄露风险和违规操作行为。每月生成隐私保护审计报告，提交数据安全与隐私保护管理委员会审阅。第十五条应急响应与违规处理制定患者隐私泄露突发事件应急预案。一旦发现或怀疑发生患者隐私泄露事件，当事人或发现人应立即上报医务科或信息科。医疗机构应在启动应急预案后，立即采取补救措施，防止损失扩大。根据法律法规要求，对于可能对患者人身财产安全造成严重危害的泄露事件，应立即向公安机关报案，并在规定时限内（如72小时内）向相关卫生行政部门及受影响患者告知事件情况。告知内容包括泄露的时间、范围、可能的影响及已采取的补救措施。建立严厉的违规追责机制。对于违反本制度规定，造成患者隐私泄露或潜在泄露风险的，视情节轻重给予警告、罚款、扣发绩效、降职、待岗培训等处分；情节严重，构成犯罪的，依法追究刑事责任；给患者或医疗机构造成经济损失的，依法承担赔偿责任。对于主动发现漏洞并及时上报、有效避免重大损失的人员，给予表彰和奖励。第十六条持续改进与培训将患者隐私保护纳入医疗机构年度培训计划。所有新入职员工必须接受不少于4学时的隐私保护专项培训，并通过考试合格后方可开通系统权限。在职员工每年至少接受一次复训，内容包括最新法律法规、制度更新、典型案例分析及操作技能。定期开展隐私保护意识宣传活动，通过院内网、宣传栏、海报等形式，营造“保护隐私人人有