新筛保密制度

新筛保密制度一、新筛保密制度

第一章总则

第一条为规范新生儿疾病筛查（以下简称“新筛”）工作中涉及的信息保密管理，保护筛查对象及相关人员的隐私权益，依据《中华人民共和国保守国家秘密法》《中华人民共和国个人信息保护法》等法律法规，制定本制度。

第二条本制度适用于所有参与新筛工作的机构、人员及相关流程中产生的涉密信息，包括筛查样本、筛查结果、个人信息、工作数据等。

第三条新筛保密工作遵循“最小必要、合法正当、分级管理、全程防护”的原则，确保信息在采集、存储、传输、使用、销毁等环节的安全。

第四条各级医疗机构、疾病预防控制机构及第三方服务机构应当建立健全保密责任制，明确各岗位的保密职责，对违反本制度的行为依法依规追究责任。

第五条筛查对象及其家属享有知情权、选择权及隐私保护权，任何单位和个人不得非法泄露其相关信息。

第二章保密信息范围

第六条保密信息包括但不限于：

（一）筛查对象基本信息，如姓名、身份证号、联系方式、家庭住址等；

（二）筛查样本信息，包括样本采集时间、存储编号、检测项目等；

（三）筛查结果，包括筛查阳性/阴性判定、确诊报告、随访记录等；

（四）遗传病筛查相关的基因信息、家族史等敏感数据；

（五）新筛工作数据统计，如地区筛查率、发病率、漏诊率等汇总信息；

（六）参与筛查工作人员的姓名、职务及工作内容等可能涉及内部管理的信息。

第七条保密信息的密级划分：

（一）核心密级：涉及筛查对象隐私且可能引发社会关注的敏感信息，如罕见病确诊记录、基因突变数据等；

（二）普通密级：一般筛查结果、随访记录等非敏感信息；

（三）内部密级：工作数据统计、流程优化方案等机构内部管理信息。

第三章保密管理职责

第八条医疗机构职责：

（一）设立新筛保密管理岗，负责信息收集、存储、使用的监督；

（二）建立电子病历与纸质病历的同步加密管理机制，确保数据安全；

（三）定期开展保密培训，要求参与筛查的医护、检验、信息人员签署保密承诺书；

（四）对筛查阳性病例的告知流程进行脱敏处理，避免泄露无关人员信息。

第九条疾病预防控制机构职责：

（一）对新筛数据实行分级存储，核心密级信息存储在专用加密服务器；

（二）建立跨区域数据传输的加密通道，禁止使用公共网络传输涉密数据；

（三）定期对下级机构的新筛保密工作进行督导检查，对违规行为通报批评。

第十条第三方服务机构职责：

（一）与委托机构签订保密协议，明确数据使用边界；

（二）采用符合国家标准的加密技术，确保样本运输、检测过程中的信息安全；

（三）项目结束后按规定销毁筛查数据，并提交销毁报告。

第四章保密操作规范

第十一条信息采集阶段：

（一）采集筛查对象信息时，采用匿名化编码替代真实姓名，确保原始信息与筛查结果脱敏关联；

（二）样本采集、标记、运输需全程记录，并由双人核对，防止信息错配。

第十二条信息存储阶段：

（一）核心密级信息存储期限为筛查对象终身，普通密级信息存储期限为5年；

（二）数据库设置访问权限，实行多级授权，操作日志需自动记录并定期审计；

（三）纸质病历按档案管理要求加密存放，非授权人员不得接触。

第十三条信息传输阶段：

（一）筛查结果传输采用专用安全平台，禁止通过邮件、即时通讯工具发送；

（二）远程会诊需通过加密视频系统，会议结束后自动清除录音录像；

（三）数据传输前进行病毒查杀与加密处理，传输路径需经安全评估。

第十四条信息使用阶段：

（一）阳性病例随访需由主治医师授权，并记录使用目的；

（二）科研引用需脱敏处理，并经伦理委员会审批；

（三）禁止将筛查数据用于商业目的或与无关第三方共享。

第五章保密监督与责任追究

第十五条监督机制：

（一）医疗机构设立保密监督小组，由医务科、信息科及纪检监察部门组成；

（二）疾病预防控制机构定期抽查新筛数据访问记录，对异常行为溯源调查；

（三）建立举报渠道，鼓励内部人员及社会公众举报泄密行为，经核实给予奖励。

第十六条责任追究：

（一）违反本制度导致信息泄露的，对直接责任人处以罚款，情节严重的取消从业资格；

（二）泄露核心密级信息的，依法承担民事赔偿责任，构成犯罪的移送司法机关；

（三）机构因管理不善发生泄密事件的，追究主要负责人及相关科室的行政责任。

第六章保密保障措施

第十七条技术保障：

（一）医疗机构配备生物识别门禁系统，限制涉密区域人员进入；

（二）采用区块链技术对筛查数据进行不可篡改存储，增强防抵赖能力；

（三）定期更新加密算法，确保数据在存储与传输过程中的安全性。

第十八条应急保障：

（一）制定泄密应急预案，明确报告流程、处置措施及恢复方案；

（二）定期开展应急演练，检验数据备份、系统恢复等能力；

（三）核心密级信息需异地备份，防止因自然灾害或技术故障导致数据丢失。

第十九条经费保障：

（一）医疗机构设立保密专项经费，用于技术升级、培训及应急演练；

（二）疾病预防控制机构将保密工作纳入年度预算，确保持续投入；

（三）第三方服务机构按协议约定承担保密费用，并提交使用明细。

第七章附则

第二十条本制度由卫生健康行政部门负责解释，自发布之日起施行。

第二十一条各医疗机构可根据本制度制定实施细则，报省级卫生健康行政部门备案。

第二十二条本制度未尽事宜，依照国家相关法律法规执行。

二、新筛保密制度实施细则

第二章保密工作组织架构

第一条各参与新筛工作的机构需设立专职或兼职的保密工作负责人，负责本单位的保密制度落实，定期向上一级主管部门报告工作情况。疾病预防控制机构应指定专门科室统筹辖区内所有医疗机构的新筛保密工作，建立定期沟通机制。

第二条保密工作负责人应具备以下条件：熟悉保密法律法规，掌握新筛业务流程，具备较强的风险识别能力，且无违反保密规定的记录。医疗机构需每年对其保密负责人进行考核，考核不合格的应予更换。

第三条建立保密工作委员会，由医疗机构主要负责人、信息科科长、医务科科长、护理部负责人及疾控机构相关领导组成，负责解决保密工作中的重大问题。委员会每季度召开一次会议，审议保密制度的修订及重要泄密事件的处置方案。

第四条明确各岗位人员的保密职责：

（一）新生儿家长或监护人：配合信息采集，有权拒绝无关人员接触其孩子筛查信息，并监督医疗机构履行保密义务；

（二）医护人员：在样本采集、结果告知等环节执行保密规定，不得擅自泄露筛查对象信息；

（三）检验人员：对筛查样本严格标识，检测过程全程录像，结果报告需经双人复核；

（四）信息管理人员：负责数据库加密设置，定期更新密码，禁止将账号外借；

（五）随访人员：仅向筛查对象反馈结果，不得询问无关信息，记录内容需经筛查对象确认。

第三章保密教育培训与承诺

第一条新筛工作所有参与人员上岗前必须接受保密培训，内容包括：

（一）保密法律法规，如《保守国家秘密法》中关于公民义务的规定；

（二）新筛信息分类标准，区分核心密级、普通密级及内部密级的判定依据；

（三）实际案例教学，如某地区因随访人员泄露患儿信息导致家庭纠纷的事件；

（四）应急处置流程，如发现数据泄露时的报告步骤及配合调查的要求。

第二条培训效果评估：

（一）培训结束后进行闭卷考试，合格率不得低于90%，不合格者需补训；

（二）每年开展保密知识竞赛，将成绩纳入绩效考核；

（三）对第三方服务机构进行年度审核，重点考察其保密培训记录及效果。

第三条保密承诺书制度：

（一）所有参与人员需签署保密承诺书，明确违约责任，包括但不限于经济赔偿、行政处分；

（二）承诺书一式两份，一份存档，一份由本人留存；

（三）每年重新签署承诺书，变更岗位需重新培训并签署。

第四章筛查对象信息保护措施

第一条信息采集环节：

（一）设置单独的筛查登记处，避免家长在等待时听到无关信息；

（二）采用电子签名代替手写，采集时同步生成唯一识别码，取代身份证号等敏感信息；

（三）对特殊儿童如弃婴、孤儿采用临时编码，待身份确认后再关联真实信息。

第二条样本管理：

（一）样本管标签需包含识别码、采集日期、检测项目等，禁止添加姓名等个人信息；

（二）样本运输使用专用密封箱，由专人递送至检验科，交接时双方需在运输单上签字；

（三）检验科设置样本销毁室，过期或检测后剩余样本需经两人核对后销毁，并记录操作人及时间。

第三条结果告知：

（一）阳性结果由主治医师通过短信或挂号信告知，内容仅限于“建议进一步检查”，避免直接提及病名；

（二）随访时使用统一话术，如“孩子筛查结果需要关注，请带至指定医院复查”，避免情绪化表达；

（三）对不愿接受筛查结果的家长，由医务科介入调解，必要时上报疾控机构协调处理。

第五章信息系统保密防护

第一条网络环境安全：

（一）新筛信息系统部署在医疗机构内部专用网络，禁止接入互联网；

（二）核心数据存储区设置物理隔离，仅允许特定机房空调、消防系统接入；

（三）采用防火墙、入侵检测系统，每日检查系统日志，发现异常立即报告。

第二条访问控制：

（一）系统账号分级授权，如医师仅可查看本班组筛查结果，检验科只能操作样本数据；

（二）登录密码需符合复杂度要求，每90天强制修改，禁止使用生日等易猜密码；

（三）离职人员账号需立即停用，并核对操作记录，防止恶意删除数据。

第三条数据脱敏：

（一）对外发布统计报告时，将患儿数量控制在10例以上，避免个体信息暴露；

（二）科研引用数据需经伦理委员会批准，并由信息科进行二次脱敏处理；

（三）与医保系统对接时，仅传输筛查项目，禁止同步个人身份信息。

第六章应急响应与处置流程

第一条信息泄露判定：

（一）出现以下情形视为泄密：筛查对象在社交媒体主动发布阳性结果，或被无关人员索要筛查信息；

（二）内部人员通过非正常渠道查询他人筛查数据；

（三）信息系统遭黑客攻击导致数据外泄。

第二条报告流程：

（一）发现泄密的第一时间向机构保密负责人报告，30分钟内向疾控机构书面汇报；

（二）涉及跨区域传播的，需同时通知患儿户籍地及现居住地疾控部门；

（三）重大泄密事件需立即向卫生健康行政部门及公安机关报告。

第三条处置措施：

（一）立即限制信息系统访问权限，查找泄露源头，封存相关设备；

（二）对筛查对象进行心理疏导，必要时提供法律援助；

（三）配合调查，提供所有操作记录、通信记录及工作日志。

第四条事件评估与改进：

（一）泄密事件处理完毕后，组织专项复盘，分析漏洞原因，修订相关流程；

（二）对涉事人员进行再培训，并将教训纳入新员工入职教育；

（三）对违规行为依法处理，如解雇员工、吊销第三方服务资质等。

第七章第三方服务机构的监管

第一条准入审查：

（一）第三方机构需通过保密资质认证，包括物理环境测评、技术方案评估；

（二）签订保密协议时明确违约成本，如泄密事件的赔偿上限；

（三）要求第三方机构提供保险担保，覆盖可能发生的泄密损失。

第二条过程监督：

（一）医疗机构每月抽查第三方机构的工作记录，重点检查样本交接、数据传输等环节；

（二）疾控机构定期对第三方机构进行现场检查，核实其保密措施落实情况；

（三）建立第三方机构黑名单制度，对违规者禁止在辖区新筛工作中参与。

第三条退出机制：

（一）合同到期后，如第三方机构连续两年考核不合格，取消合作资格；

（二）发生重大泄密事件的，立即终止合同并追究其民事责任；

（三）退出时需完成所有数据交还，并由审计机构确认无泄密风险。

第八章保密工作的考核与改进

第一条考核内容：

（一）机构层面：保密制度完善度、培训覆盖率、事件响应及时性；

（二）个人层面：保密承诺履行情况、操作规范执行度、异常行为举报数量；

（三）技术层面：系统加密等级、数据备份有效性、安全漏洞修复速度。

第二条考核方式：

（一）每季度开展自查，形成书面报告；

（二）每半年由疾控机构组织抽查，包括现场检查、模拟测试；

（三）每年进行年度评估，结果与绩效考核挂钩。

第三条持续改进：

（一）建立保密工作台账，记录检查发现的问题及整改措施；

（二）将考核结果纳入医疗机构等级评审，优秀者给予资金奖励；

（三）定期发布保密工作简报，推广先进经验，分析典型案例。

第九章附则

第一条本细则由省级卫生健康行政部门负责解释，各级医疗机构可根据实际情况制定补充规定。

第二条本细则自发布之日起施行，原相关规定与本细则不一致的以本细则为准。

第三条各级机构应将本细则纳入新员工岗前培训，确保所有人员理解并遵守。

三、新筛保密制度操作流程

第一章样本采集与标识管理

第一条采集前准备：

（一）医疗机构在新筛门诊设置专用等候区，张贴“信息保密”标识，避免无关人员进入；

（二）医护人员佩戴工作牌，采集时主动告知筛查对象“信息仅用于健康检查，会严格保密”；

（三）准备足量的一次性手套、消毒棉签及密封样本管，由专人提前送达采集点。

第二条信息采集规范：

（一）核对筛查对象时，仅询问姓名、出生日期等必要信息，禁止追问家庭背景；

（二）采用电子录入方式记录信息，避免手写纸质单据，确需记录的应使用加密平板；

（三）对特殊儿童如弃婴，先采集基本信息及临时编码，待民政部门协调后再补充家庭信息。

第三条样本采集要求：

（一）采集血片时使用专用毛细血管采血针，避免与其他患者共用器械；

（二）采集完成后立即用专用笔在样本管上标记唯一识别码，内容包括：机构简称、采集日期、识别码；

（三）样本管需放入装有硅胶干燥剂的密封袋，袋外注明检测项目及联系人电话。

第四条样本交接流程：

（一）医护人员将样本袋交给运输人员时，双方需在交接单上签字并按手印；

（二）运输人员使用专用保温箱，途中避免接触非工作人员，确需停车时将样本置于阴凉处；

（三）检验科接收样本时，核对识别码、数量及保存状态，异常情况立即上报医务科。

第二章筛查结果管理与告知

第一条检验操作规范：

（一）检验人员按样本管标识核对检测项目，禁止擅自更改或增加项目；

（二）检测过程使用可追溯的条形码系统，每一步操作自动记录在样本信息中；

（三）阳性结果需经资深技师复核，必要时进行重复检测，确保无误判。

第二条结果报告流程：

（一）检验科完成检测后，将阳性报告按密级分类，核心密级需双人核对签字；

（二）医务科指定专人负责阳性结果登记，录入电子台账并通知随访人员；

（三）阳性报告通过专用加密渠道发送至家长手机或指定邮箱，内容仅包含“建议复查”字样。

第三条告知注意事项：

（一）随访人员通话时使用保密话术，如“根据孩子筛查结果，建议到XX医院进一步检查”；

（二）禁止询问筛查对象是否为特定家庭，避免因敏感话题导致家长情绪激动；

（三）对不愿接受结果的家长，由医务科负责人亲自介入，提供书面解释材料。

第四条异常情况处置：

（一）若家长拒绝复查，随访人员需记录拒绝原因并上报疾控机构，协调医疗资源介入；

（二）发现筛查对象已在外地就诊，需通过疾控网络查询其诊断结果，避免重复检查；

（三）对疑似假阳性的样本，检验科需进行复核，必要时重新采集样本检测。

第三章信息系统使用与防护

第一条登录管理：

（一）新筛信息系统设置多级登录界面，如家长查询仅显示阳性/阴性，医师可查看详细信息；

（二）操作员需输入工号及动态口令，系统自动记录登录IP及时间；

（三）临时离岗需退出系统，禁止将账号交予他人使用。

第二条数据查询规范：

（一）医师查询本班组筛查结果时，需输入患者临时编码，禁止关联其他患者信息；

（二）检验科查询样本时，仅显示识别码及检测项目，禁止查看其他患者数据；

（三）统计人员生成报告前，需经信息科审核，确保不包含个体识别信息。

第三条数据传输安全：

（一）与医保系统对接时，采用VPN加密通道，传输完毕后自动断开连接；

（二）短信告知使用专用平台，发送前校验手机号，避免重复发送；

（三）禁止通过公共网络传输数据，确需外出时使用加密U盘拷贝，并在办公室重新上传。

第四条系统维护：

（一）信息科每月检查数据库备份，确保核心数据完整；

（二）发现系统漏洞时，立即暂停相关功能，修复后通知所有用户；

（三）定期更换系统密码，采用“字母+数字+特殊符号”组合，长度不少于12位。

第四章保密培训与监督机制

第一条岗前培训：

（一）新员工入职后需参加保密培训，内容包括：如何保护筛查对象隐私、泄密案例分析；

（二）培训结束后进行角色扮演，如模拟处理家长质疑信息真实性的场景；

（三）考核合格者方可上岗，培训资料存档备查。

第二条定期监督：

（一）医务科每月抽查病历，检查阳性病例告知记录是否规范；

（二）信息科检查系统操作日志，查找异常登录行为；

（三）疾控机构每季度进行现场检查，核对样本交接单及随访记录。

第三条违规处理：

（一）发现泄露筛查对象信息的，对直接责任人处以1000元罚款，情节严重的取消执业资格；

（二）第三方机构若违反保密协议，取消合作并索赔10万元，构成犯罪的移交司法机关；

（三）机构负责人若监管不力，追究行政责任，如造成重大影响则撤职。

第四条举报保护：

（一）在医疗机构公告栏设置举报箱，鼓励员工匿名反映问题；

（二）经核实属实的举报，给予举报人现金奖励，如发现重大泄密事件奖励1万元；

（三）严禁打击报复举报人，违者加重处罚。

第五章应急响应与处置

第一条泄密判定标准：

（一）筛查对象在社交媒体发布阳性结果，并标注姓名或学校名称；

（二）家长无意中泄露孩子筛查信息给亲友，导致他人产生误解；

（三）检验科电脑遭黑客攻击，导致样本识别码外泄。

第二条报告流程：

（一）发现泄密的第一时间向机构负责人报告，1小时内上报疾控机构；

（二）涉及跨区域传播的，需同时通知患儿户籍地及现居住地疾控部门；

（三）重大泄密事件需立即向卫生健康行政部门及公安机关报告。

第三条处置措施：

（一）立即限制信息系统访问权限，查找泄露源头，封存相关设备；

（二）对筛查对象进行心理疏导，必要时提供法律援助；

（三）配合调查，提供所有操作记录、通信记录及工作日志。

第四条事件评估：

（一）泄密事件处理完毕后，组织专项复盘，分析漏洞原因，修订相关流程；

（二）对涉事人员进行再培训，并将教训纳入新员工入职教育；

（三）对违规行为依法处理，如解雇员工、吊销第三方服务资质等。

四、新筛保密制度监督与责任追究

第一章监督检查机制

第一条监督主体

（一）各级医疗机构设立由医务科、信息科、护理部及纪检监察人员组成的保密工作小组，负责日常监督，每月至少开展一次全面检查；

（二）疾病预防控制机构指定专门科室统筹辖区内所有医疗机构的新筛保密工作，建立定期沟通机制，每季度组织现场督导；

（三）卫生健康行政部门将新筛保密工作纳入医疗机构等级评审及绩效考核，对不合格单位进行通报批评。

第二条监督内容

（一）检查信息采集时是否使用匿名编码，核对样本管标识是否规范；

（二）抽查阳性病例告知记录，确认是否通过短信或挂号信告知，避免口头泄露；

（三）核查信息系统访问日志，查找异常登录行为，如非工作时间访问、异地登录等；

（四）检查第三方服务机构的保密协议及培训记录，确认其是否具备相应资质。

第三条监督方式

（一）采取“听、看、查、问”相结合的方式，听取科室汇报，查看工作记录，检查现场管理，询问相关人员；

（二）采用突击检查形式，避免被检查单位预先准备；

（三）对发现问题单位，下达整改通知书，限期改正，并跟踪整改效果。

第二章违规行为认定

第一条信息泄露类型

（一）直接泄露：医护人员向无关人员告知筛查结果，或家长主动传播他人信息；

（二）间接泄露：在公开场合谈论筛查工作，导致个体信息被猜测；

（三）技术泄露：信息系统存在漏洞，导致数据被黑客窃取，或账号被非法使用。

第二条违规情形

（一）未按规定进行身份核对，擅自采集样本；

（二）样本管标识不清或缺失，导致信息错配；

（三）阳性报告未双人复核，或直接发送给非指定人员；

（四）短信告知内容包含个体识别信息，如姓名或学校名称；

（五）将筛查数据用于商业目的，或与无关第三方共享；

（六）信息系统密码设置不符合要求，或长期不更换；

（七）第三方服务机构违反保密协议，或未通过资质认证。

第三条责任界定

（一）根据违规情节严重程度，分为一般违规、严重违规及重大违规，对应不同处罚等级；

（二）若因第三方服务机构导致泄密，追究其全部责任，并连带追究医疗机构管理责任；

（三）对已满刑事责任的行为，移交司法机关处理，同时追究相关单位连带责任。

第三章责任追究程序

第一条调查取证

（一）发现违规行为时，立即启动调查程序，收集相关证据，包括录音、录像、工作记录等；

（二）对涉事人员进行询问，制作询问笔录，确保证据链完整；

（三）必要时进行现场勘验，如检查电脑硬盘、服务器日志等。

第二条处理决定

（一）一般违规：给予警告或罚款，并要求书面检查；

（二）严重违规：取消当年评优资格，对直接责任人处以罚款，情节严重的取消执业资格；

（三）重大违规：追究行政责任，如解雇员工、吊销医疗机构相关资质，构成犯罪的移送司法机关。

第三条申诉机制

（一）被处理人员可在收到处罚决定后15日内向上级主管部门提出申诉；

（二）申诉期间不停止原处罚执行，但需暂停对被申诉人的处分；

（三）上级主管部门应在30日内作出复查决定，并将结果书面通知申诉人。

第四章责任追究方式

第一条行政责任

（一）对直接责任人：警告、罚款、降级、撤职，直至取消执业资格；

（二）对科室负责人：通报批评、取消评优资格，情节严重的调离管理岗位；

（三）对机构负责人：诫勉谈话、行政处分，导致重大影响的撤职。

第二条经济责任

（一）对直接责任人：处以5000元至5万元罚款，情节严重的追偿经济损失；

（二）对医疗机构：处以10万元至100万元罚款，并取消下一年度项目经费；

（三）对第三方服务机构：处以20万元至200万元罚款，吊销服务资质。

第三条刑事责任

（一）故意泄露国家秘密，情节严重的，处3年以上7年以下有期徒刑；

（二）非法获取、出售、提供公民个人信息，情节严重的，处3年以上7年以下有期徒刑；

（三）因泄密导致严重后果的，依法从重处罚。

第五章责任追究保障

第一条建立台账制度

（一）所有违规行为需记录在案，包括时间、地点、人物、情节、处理结果等；

（二）台账由专人管理，定期向上一级主管部门报告；

（三）作为医疗机构绩效考核及负责人任用的重要依据。

第二条定期评估机制

（一）每年对责任追究工作进行总结，分析问题原因，改进工作方法；

（二）对反复出现问题的单位，进行重点监管，必要时派驻督导组；

（三）将责任追究结果纳入社会信用体系，对违规单位实施联合惩戒。

第三条警示教育

（一）定期召开警示教育大会，通报典型案例，剖析违规教训；

（二）组织全员学习保密法律法规，提高保密意识；

（三）将责任追究案例制作成警示教育片，在机构内部播放。

第六章附则

第一条本制度由省级卫生健康行政部门负责解释，各级医疗机构可根据实际情况制定补充规定；

第二条本制度自发布之日起施行，原相关规定与本制度不一致的以本制度为准；

第三条各级机构应将本制度纳入新员工岗前培训，确保所有人员理解并遵守。

五、新筛保密制度保障措施

第一章组织保障与经费投入

第一条组织架构完善

（一）各级医疗机构需设立保密工作委员会，由主要负责人挂帅，统筹协调保密工作；

（二）指定专职保密管理员，负责日常管理、培训考核及监督检查，并配备必要办公场所；

（三）建立保密工作网络，由疾控机构牵头，各医疗机构指定联络员，定期召开会议。

第二条经费保障机制

（一）将保密工作经费纳入年度预算，包括培训费、技术改造费及应急备用金；

（二）对保密措施落实到位的单位，给予专项奖励，如年度考核前10名的单位奖励5万元；

（三）鼓励第三方服务机构购买保密保险，将保费列入合作成本，由医疗机构承担。

第三条人员保障措施

（一）保密管理员需具备医学背景及管理经验，每年参加省级培训，提升专业能力；

（二）对表现突出的保密管理员，在职称评定、评优评先中予以倾斜；

（三）建立人才储备库，选拔优秀年轻员工参与保密工作，培养后备力量。

第二章技术保障与设施建设

第一条信息系统升级

（一）采用国产加密芯片，确保数据存储安全，避免受外部技术控制；

（二）部署人工智能监控系统，自动识别异常登录行为，如多次密码错误；

（三）建立区块链存证系统，记录所有操作行为，防止篡改。

第二条物理环境改造

（一）新筛门诊设置独立区域，采用隔音材料，避免信息外泄；

（二）样本保存室安装温湿度监控设备，确保样本质量；

（三）配备专用销毁设备，对过期样本进行物理销毁，并记录操作过程。

第三条应急设备配备

（一）每个科室配备应急断电系统，确保断电时数据不丢失；

（二）准备应急通讯设备，如卫星电话，确保极端情况下仍能上报信息；

（三）定期检查设备，确保处于良好状态，如防火墙、入侵检测系统等。

第三章培训保障与文化建设

第一条分级培训体系

（一）岗前培训：新员工入职后必须接受保密培训，考核合格方可上岗；

（二）定期培训：每年至少组织4次培训，内容包括法律法规、案例教学、应急演练；

（三）专项培训：针对新出现的泄密风险，及时开展针对性培训，如黑客攻击防范。

第二条培训效果评估

（一）采用笔试+角色扮演的方式考核，确保培训效果；

（二）将培训成绩纳入绩效考核，不合格者需补训；

（三）定期开展培训满意度调查，不断优化培训内容。

第三条保密文化建设

（一）设立保密宣传栏，定期更新保密知识，营造浓厚氛围；

（二）组织保密主题竞赛，如知识问答、演讲比赛，增强员工意识；

（三）将保密文化融入企业文化，如制定保密格言，悬挂在科室显眼位置。

第四章第三方服务监管

第一条准入审查严格化

（一）要求第三方机构通过保密资质认证，包括物理环境测评、技术方案评估；

（二）审查其管理制度，确保有专职保密负责人及应急预案；

（三）要求提供保险担保，覆盖可能发生的泄密损失，最低100万元。

第二条过程监管精细化

（一）医疗机构每月抽查第三方机构的工作记录，重点检查样本交接、数据传输等环节；

（二）疾控机构定期对第三方机构进行现场检查，核实其保密措施落实情况；

（三）建立第三方机构黑名单制度，对违规者禁止在辖区新筛工作中参与。

第三条退出机制规范化

（一）合同到期后，如第三方机构连续两年考核不合格，取消合作资格；

（二）发生重大泄密事件的，立即终止合同并追究其民事责任；

（三）退出时需完成所有数据交还，并由审计机构确认无泄密风险。

第五章应急保障与评估改进

第一条应急响应体系

（一）制定泄密应急预案，明确报告流程、处置措施及恢复方案；

（二）定期开展应急演练，检验数据备份、系统恢复等能力；

（三）核心密级信息需异地备份，防止因自然灾害或技术故障导致数据丢失。

第二条事件评估机制

（一）泄密事件处理完毕后，组织专项复盘，分析漏洞原因，修订相关流程；

（二）对涉事人员进行再培训，并将教训纳入新员工入职教育；

（三）对违规行为依法处理，如解雇员工、吊销第三方服务资质等。

第三条持续改进机制

（一）建立保密工作台账，记录检查发现的问题及整改措施；

（二）将考核结果纳入医疗机构等级评审，优秀者给予资金奖励；

（三）定期发布保密工作简报，推广先进经验，分析典型案例。

第六章附则

第一条本细则由省级卫生健康行政部门负责解释，各级医疗机构可根据实际情况制定补充规定；

第二条本细则自发布之日起施行，原相关规定与本细则不一致的以本细则为准；

第三条各级机构应将本细则纳入新员工岗前培训，确保所有人员理解并遵守。

六、新筛保密制度评估与改进

第一章评估机制

第一条评估主体

（一）各级医疗机构设立由医务科、信息科、护理部及纪检监察人员组成的保密工作评估小组，负责日常评估，每月至少开展一次全面检查；

（二）疾病预防控制机构指定专门科室统筹辖区内所有医疗机构的新筛保密工作，建立定期沟通机制，每季度组织现场评估；

（三）卫生健康行政部门将新筛保密工作纳入医疗机构等级评审及绩效考核，对不合格单位进行通报批评。

第二条评估内容

（一）检查信息采集时是否使用匿名编码，核对样本管标识是否规范；

（二）抽查阳性病例告知记录，确认是否通过短信或挂号信告知，避免口头泄露；

（三）核查信息系统访问日志，查找异常登录行为，如非工作时间访问、异地登录等；

（四）