医院隐私保护管理考核细则

医院隐私保护管理考核细则一、总则第一条【制定目的】为全面贯彻落实《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国医师法》《医疗卫生机构网络安全管理办法》《信息安全技术个人信息安全规范》（GB/T35273—2020）《医疗卫生机构信息系统安全管理基本要求》（WS/T444—2014）《电子病历系统功能应用水平分级评价标准（试行）》《国家健康医疗大数据标准、安全和服务管理办法（试行）》等法律法规及技术标准，健全医院隐私保护管理体系，压实全员隐私保护责任，防范患者个人信息泄露、滥用、非法提供等风险，保障患者人格尊严与合法权益，提升医疗服务质量与信任度，特制定本考核细则。第二条【制定依据】本细则依据下列文件制定：《中华人民共和国个人信息保护法》第六条、第十条、第十七条、第二十一条、第二十三条、第三十条、第三十四条、第三十八条、第四十条、第四十二条；《中华人民共和国数据安全法》第二十七条、第三十条、第三十二条；《中华人民共和国基本医疗卫生与健康促进法》第三十三条、第九十二条；《医疗卫生机构网络安全管理办法》（国卫规划发〔2022〕24号）第七条、第十一条、第十五条、第二十条；《国家健康医疗大数据标准、安全和服务管理办法（试行）》（国卫规划发〔2018〕23号）第十二条、第十四条、第十六条、第二十一条；《信息安全技术个人信息安全规范》（GB/T35273—2020）第5章（个人信息处理基本原则）、第6章（个人信息控制者义务）、第7章（个人信息主体权利响应）、第8章（个人信息安全事件处置）；《电子病历系统功能应用水平分级评价标准（试行）》（国卫办医函〔2018〕1079号）中关于“隐私保护”“权限控制”“操作留痕”“审计追溯”的四级及以上要求；国家卫生健康委员会《医疗机构病历管理规定（2013年版）》《医疗机构投诉管理办法》《互联网诊疗监管办法（试行）》相关条款；本院《信息安全管理制度》《数据分类分级管理办法》《信息系统权限管理制度》《员工行为规范》《信息安全管理委员会章程》等内部制度。第三条【适用范围】本细则适用于本院所有在职人员，包括但不限于：医疗、护理、医技、药学、检验、影像、病理、信息、后勤、行政、财务、科研、教学、实习、进修、规培、外包服务（含IT运维、保洁、安保、物流、档案托管、云服务供应商驻场人员）等各类岗位人员；所有接触、处理、存储、传输、使用患者个人信息的业务系统与物理载体，包括HIS、EMR、LIS、PACS、手麻系统、重症监护系统、互联网医院平台、远程会诊系统、自助终端、移动查房APP、微信公众号/小程序、呼叫中心、纸质病历、检查报告单、知情同意书、体检档案、科研数据库、教学病例库、医保结算系统、第三方接口平台等；涉及患者身份识别信息（姓名、身份证号、手机号、住址、出生日期、生物识别信息）、健康状况信息（主诉、现病史、既往史、家族史、体格检查、实验室检验结果、医学影像资料、诊断结论、治疗方案、用药记录、手术记录、护理记录、康复计划）、支付与保险信息（医保卡号、商业保险信息、费用明细）、社会心理信息（家庭关系、职业、宗教信仰、性取向、精神状态评估）等全部类型个人信息的全生命周期管理活动。第四条【基本原则】医院隐私保护管理考核坚持以下原则：合法正当必要原则：所有个人信息处理活动须有明确法律依据或患者明示同意，处理目的、方式、范围、期限应限定于诊疗必需、科研合规、管理必需之最小范围；最小够用原则：系统设计、流程设置、权限分配、数据调阅、信息输出等环节，严格遵循“仅获取履行职责所必需的最少信息”要求；权责一致原则：谁主管、谁负责；谁使用、谁负责；谁审批、谁负责；谁运维、谁负责；建立覆盖全流程的责任闭环；全程可溯原则：所有涉及患者信息的操作（新建、查询、修改、导出、打印、复制、共享、删除、归档）均须实现身份认证、操作留痕、日志审计、异常预警；动态管控原则：根据岗位变动、系统升级、业务调整、风险变化，及时更新权限策略、修订制度流程、组织专项培训、开展穿透式检查；患者赋权原则：保障患者依法享有的知情权、决定权、查阅权、复制权、更正权、删除权、撤回同意权、投诉举报权，并建立高效响应机制；分级分类保护原则：依据《本院数据分类分级管理办法》，将患者信息按敏感程度划分为核心级、重要级、一般级，实施差异化技术防护与管理控制措施。第五条【术语定义】本细则所称：患者个人信息：以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人身份或反映其活动情况的各种信息，包括但不限于姓名、身份证件号码、联系方式、住址、生物识别信息、健康生理信息、医疗诊断信息、支付信息等；去标识化：通过对个人信息的技术处理，使其在不借助额外信息的情况下无法识别个人信息主体的过程；匿名化：通过对个人信息的技术处理，使其无法识别特定自然人且不能被复原的过程；个人信息处理者：在本院范围内决定个人信息处理目的、方式等的组织或个人，包括院领导、科室负责人、信息系统管理员、数据安全官、临床医师、护士长等；个人信息控制者：对个人信息负有直接管理责任的岗位人员，如病历质控员、信息科系统运维工程师、医保办审核员、科研项目PI、教学秘书等；个人信息主体：患者本人及其法定代理人、近亲属（依法律规定享有知情同意权者）；高风险操作：指可能引发大规模信息泄露或严重权益侵害的操作行为，包括但不限于：批量导出患者信息、跨系统数据共享、向第三方提供原始数据、未加密传输敏感信息、越权访问核心病历、擅自修改诊断/手术记录、私自拍摄/传播影像资料、在非授权设备上存储患者数据等；隐私影响评估（PIA）：针对新业务系统上线、重大流程改造、新技术应用、数据出境等场景，开展的事前风险识别、分析与缓解措施制定活动。二、组织管理与职责分工第六条【组织架构】医院实行“党委领导、院长负责、专委统筹、部门协同、全员参与”的隐私保护组织管理体系。设立三级管理架构：第一级：医院信息安全与隐私保护委员会由党委书记、院长任双主任，分管医疗、信息、护理、科研、纪检、法务、院感、保卫的副院长任副主任，成员包括医务处、护理部、信息科、质管办、科教处、科研处、医保办、门诊部、住院部、病案室、院感科、纪检监察室、法务办公室、保卫科、后勤保障部主要负责人。委员会每季度召开会议，审议隐私保护重大事项、听取年度考核报告、决策整改方案、批准PIA报告、处理重大违规事件。办公室设在信息科，承担日常协调、制度建设、监督指导、考核组织工作。第二级：科室隐私保护工作小组各临床医技科室、职能处室成立由科室主任（处长）任组长，护士长（副处长）、信息联络员、质控员、带教老师为成员的工作小组。负责本科室制度宣贯、权限初审、日常巡查、问题上报、员工教育、应急响应。每月向委员会办公室提交《科室隐私保护自查表》及问题台账。第三级：岗位隐私保护责任人全体在岗人员均为本岗位隐私保护第一责任人。信息系统管理员、数据安全专员、病历质控员、科研项目负责人、教学负责人、外包服务现场主管须签署《隐私保护岗位责任承诺书》，明确具体职责边界与失职追责情形。第七条【委员会办公室职责】信息科作为委员会办公室常设机构，承担以下职责：牵头制定、修订、解释本细则及相关配套制度；组织全院隐私保护政策宣贯、年度培训、专项演练与知识测试；建设并维护统一身份认证系统、权限管理系统、操作审计系统、日志分析平台；对新系统上线、接口开发、云服务采购、数据共享协议开展前置隐私合规审查与PIA；每季度汇总分析全院操作日志、审计告警、投诉举报、安全事件数据，形成《隐私风险态势月报》；牵头组织年度考核工作，编制考核方案、组织交叉检查、复核争议项、汇总考核结果、提出奖惩建议；管理全院隐私保护投诉渠道（电话、邮箱、窗口、线上平台），确保7个工作日内完成初步响应，30个工作日内完成调查反馈；建立并动态更新《医院隐私保护负面行为清单》《高风险操作禁令》《典型违规案例库》；负责与上级卫健主管部门、网信、公安、保密等部门的对接协调与材料报送。第八条【科室工作小组职责】各科室工作小组承担以下职责：组织本科室员工学习本细则及最新监管要求，确保知晓率100%、理解准确率≥95%；按照《岗位权限申请表》模板，严格审核本部门人员权限需求，确保“按需分配、最小授权”，杜绝“一人多岗、权限叠加、长期未清理”现象；每月开展一次覆盖所有信息终端（含医生站、护士站、自助机、移动设备）的物理环境与操作行为检查，重点核查：屏幕防窥膜安装、离岗锁屏执行、纸质病历存放、U盘使用登记、非授权软件安装、社交媒体发布内容；监督本科室科研项目、教学活动、对外合作中的数据使用合规性，确保所有数据使用均经伦理审查与PIA备案；及时发现、制止、上报疑似违规行为，不得隐瞒、包庇、拖延；配合委员会办公室开展突击检查、日志调阅、访谈问询；每季度末向办公室提交加盖科室公章的《隐私保护自查表》，内容须包含：权限清理情况、培训覆盖情况、检查发现问题、整改措施与时限。第九条【岗位责任人职责】全体人员须切实履行以下基本义务：严格遵守本细则及各项操作规程，主动接受考核与监督；仅在履行岗位职责必需范围内访问、处理、使用患者信息，严禁用于非医疗目的（如人情挂号、代开药品、学术炒作、自媒体引流、商业推销）；严格执行身份认证（工号+密码/指纹/人脸识别），禁止共用账号、借用他人账号、使用弱口令、长期不更换密码；操作完毕立即退出系统，离岗必须锁屏（Windows+L），禁止长时间保持登录状态；严禁通过微信、QQ、邮件、网盘、公共云盘、社交平台传输、存储、分享患者信息；严禁私自拍摄、截屏、打印、复印、携带、外传患者病历、检查报告、影像资料；严禁在非授权设备（个人手机、平板、笔记本）上存储、处理、查看患者信息；发现系统漏洞、异常登录、可疑操作、信息泄露迹象，须立即报告信息科并留存证据；接受患者依法提出的查阅、复制、更正、删除等请求，在规定时限内响应并配合完成；外包服务人员须额外签署《第三方隐私保护补充协议》，接受同等标准考核。三、考核内容与评分标准第十条【考核维度】本细则实行百分制量化考核，设置四大核心维度，权重分配如下：制度执行与流程合规（30分）：考核制度知晓、流程遵循、记录完整、审批规范情况；技术防护与系统管控（30分）：考核权限管理、日志审计、加密传输、漏洞修复、终端安全等技术措施落实情况；行为规范与操作合规（25分）：考核日常操作、信息使用、物理环境、沟通表达等行为表现；应急响应与持续改进（15分）：考核风险识别、事件处置、问题整改、能力提升等持续改进成效。第十一条【制度执行与流程合规考核细则】序号考核项目具体要求评分标准分值扣分依据1.1制度知晓与学习全体人员每年参加不少于8学时隐私保护专题培训，完成在线考试（合格线≥90分）；新入职、转岗、外包人员须在上岗前完成岗前培训与考核。每缺1人未参训或考试不合格，扣0.5分；新员工未培训上岗，扣1分/人；科室未组织集中学习记录，扣2分。5培训签到表、考试成绩单、学习记录本、系统后台数据1.2权限申请与审批新增、变更、注销信息系统权限须填写《岗位权限申请表》，经科室负责人、信息科、分管院领导三级审批；权限配置须与岗位说明书严格匹配。发现1例未经审批开通权限，扣1分；权限超岗位范围，扣0.5分/例；审批流程缺失，扣0.5分/例；权限长期未清理（超6个月无操作记录），扣0.2分/例。6权限管理系统后台、审批表存根、岗位说明书1.3知情同意管理涉及患者信息收集、使用、共享、出境的场景（如科研、教学、第三方合作、互联网诊疗），须取得患者书面或电子形式的单独、明确、自愿同意，告知目的、方式、范围、期限、权利。缺少同意书或同意要素不全（缺目的、缺范围、缺撤回说明），扣1分/份；使用过期同意书，扣0.5分/份；未按同意范围使用信息，扣2分/例。5病历系统电子同意模块、纸质同意书存档、科研伦理批件附件1.4记录完整性与可追溯性所有患者信息操作（查询、修改、导出、打印、复制、共享）须在系统中完整留痕，包含操作人、时间、IP地址、终端号、操作对象（病历号/报告号）、操作类型、关键字段变更前后值。日志缺失率＞0.1%，扣2分；关键字段（如诊断、手术名称、用药剂量）修改无留痕，扣1分/例；日志保存期＜180天，扣3分。6审计日志系统导出数据、日志保留策略文档1.5数据共享与第三方管理向外部单位提供患者信息，须签订《数据安全与隐私保护协议》，明确双方权责、安全义务、违约责任、审计权利；协议须经法务与信息科联合审核。未签协议即提供数据，扣5分/次；协议关键条款缺失（如数据用途限制、安全技术措施、泄露赔偿），扣2分/项；未留存协议原件，扣1分/份。8协议文本、法务审核意见、信息科备案记录第十二条【技术防护与系统管控考核细则】序号考核项目具体要求评分标准分值扣分依据2.1身份认证强度全院信息系统强制启用双因素认证（工号+动态口令/生物识别）；密码复杂度符合8位以上、大小写字母+数字+特殊字符组合，90天强制更换。未启用双因素认证的系统，扣3分/个；抽查10个账号，1个不符合密码策略，扣0.2分；存在默认密码、空密码，扣2分/例。6系统配置截图、密码策略文档、渗透测试报告2.2权限精细化管理实现基于角色（RBAC）与属性（ABAC）的混合权限模型；支持按科室、病区、病种、操作类型、数据敏感级别进行细粒度控制；高风险操作（如批量导出、删除）须二次审批。未实现细粒度控制，扣3分；高风险操作无二次审批机制，扣2分；权限组命名混乱、含义不清，扣1分。6权限管理系统界面截图、权限矩阵表、审批流程图2.3数据加密与脱敏传输层（TLS1.2+）、存储层（AES-256）全面启用强加密；生产环境数据库、备份介质、日志文件中敏感字段（身份证、手机号、病历摘要）须实时脱敏显示；测试环境禁止使用真实患者信息。未启用TLS加密，扣2分/系统；敏感字段未脱敏，扣1分/字段类型；测试库含真实数据，扣3分。6加密配置截图、脱敏策略文档、测试环境数据样本2.4终端与物理安全所有临床终端安装统一终端安全管理软件，禁止USB存储设备自动运行；医生工作站、护士站、自助机须安装防窥膜；纸质病历存放于上锁柜内，借阅须登记；监控覆盖所有病案室、信息机房、档案室。未装终端安全软件，扣1分/台；抽查10台终端，1台未装防窥膜，扣0.2分；纸质病历未上锁或借阅无登记，扣1分/次；关键区域监控缺失，扣2分/处。6终端软件后台数据、现场照片、借阅登记本、监控点位图2.5漏洞管理与应急响应每季度开展一次全系统渗透测试与漏洞扫描；高危漏洞（CVSS≥7.0）须在72小时内完成修复或临时加固；每年至少组织1次隐私泄露应急桌面推演。未开展季度测试，扣2分；高危漏洞超期未修复，扣3分/例；未组织推演，扣2分；推演无记录、无总结，扣1分。6渗透测试报告、漏洞修复工单、推演方案与纪要第十三条【行为规范与操作合规考核细则】序号考核项目具体要求评分标准分值扣分依据3.1日常操作规范查询患者信息须有明确诊疗目的；禁止无故反复查询、批量浏览、非工作时间频繁访问；离岗锁屏执行率100%；禁止在公共场合讨论患者病情。抽查日志，发现1例无诊疗目的查询，扣0.5分；离岗未锁屏被现场抓拍，扣1分/次；在电梯、食堂、走廊等场所谈论患者信息，扣2分/次。5操作日志分析报告、现场检查记录、监控录像3.2信息输出与传播打印、复印患者资料须经审批并登记；严禁通过微信、邮件发送含患者信息的图片/文档；严禁在朋友圈、微博、知乎等平台发布任何可识别患者身份的内容。未登记打印，扣0.5分/次；发现1例微信发送病历截图，扣3分；社交媒体发布患者信息，扣5分/次，并启动纪律调查。6打印登记本、网络行为审计日志、社交媒体巡查记录3.3移动设备与远程办公使用医院配发的移动终端（PAD/手机）须安装MDM管理软件；远程访问内网须通过VPN+双因素；禁止在个人设备上安装医院APP或存储患者数据。个人设备安装医院APP，扣2分/台；移动终端未装MDM，扣1分/台；VPN未启用双因素，扣2分。5MDM后台数据、VPN配置截图、终端检查记录3.4外包服务人员管理所有外包人员须持有效门禁卡、佩戴专属工牌；其系统账号须标注“外包”前缀；操作日志单独归集；驻场主管须每日核查其操作合规性。外包人员无门禁/工牌，扣1分/人；账号未标注，扣0.5分/个；日志未单独归集，扣2分；主管未履职核查，扣1分。5门禁系统记录、账号列表、日志归集策略、主管检查表3.5患者权利响应收到患者查阅、复制病历请求，门诊须在24小时内、住院须在48小时内响应；更正请求须在5个工作日内核实并反馈；删除请求须评估合法性后7日内完成。超期未响应，扣1分/次；未按期反馈更正结果，扣1分/次；无正当理由拒绝删除，扣2分/次。4患者申请记录、响应时限登记表、处理结果回执第十四条【应急响应与持续改进考核细则】序号考核项目具体要求评分标准分值扣分依据4.1隐私影响评估（PIA）新建信息系统、重大业务流程改造、引入新技术（AI辅助诊断、可穿戴设备）、数据出境前，须完成PIA并报委员会审批；PIA报告须包含风险识别、影响分析、缓解措施、残余风险评估。应做未做PIA，扣5分/项；PIA流于形式（无风险识别、无缓解措施），扣2分/项；未报批即上线，扣3分/项。5PIA报告、审批签字页、系统上线记录4.2风险监测与预警审计系统须配置敏感操作（如深夜访问、高频查询、跨科室访问、批量导出）实时告警规则；信息科每日分析告警，对高风险行为发起人工核查。未配置关键告警规则，扣2分；告警未及时核查（超24小时），扣0.5分/次；核查无记录，扣0.5分/次。4告警规则配置截图、核查工单、分析日报4.3问题整改闭环对自查、检查、审计、投诉、事件中发现的问题，须建立台账，明确整改责任人、措施、时限；整改须经科室负责人与信息科双确认；同类问题重复发生，加倍扣分。问题未建台账，扣1分/项；无整改计划，扣1分/项；超期未完成，扣1分/项；同一问题2次复发，扣2分/项。4问题台账、整改计划书、验收确认单4.4持续改进机制每半年组织1次隐私保护最佳实践分享；每年更新《负面行为清单》与《典型案例库》；根据考核结果与监管新规，年度修订本细则及配套制度。未组织分享会，扣1分；清单/案例库超1年未更新，扣1分；细则未按年度修订，扣2分。2分享会签到与纪要、清单/案例库版本号、修订审批记录四、考核方式与组织实施第十五条【考核周期】实行“季度自查、半年督查、年度总评”三级考核机制：季度自查：各科室工作小组每季度末组织全面自查，对照本细则逐项核查，填写《科室隐私保护自查表》，于下一季度首月5日前提交委员会办公室；半年督查：委员会办公室每半年（6月、12月）牵头组织跨科室交叉检查，抽取不低于20%的临床、医技、职能科室，采用“听汇报、查台账、看现场、抽日志、访员工”方式，形成《督查问题清单》并限期整改；年度总评：每年12月底前完成全年考核总评，汇总四次季度自查、两次半年督查、全年投诉举报、安全事件、审计日志分析等数据，计算科室与个人最终得分，形成《年度隐私保护管理考核报告》。第十六条【考核方法】采用“四维融合”考核法：系统数据采集：通过权限管理系统、审计日志平台、终端管理软件、网络行为审计系统，自动采集客观数据（权限数、操作频次、告警次数、漏洞数量、培训完成率）；文档资料核查：调阅知情同意书、权限审批表、PIA报告、整改台账、培训记录、应急预案等纸质与电子文档；现场实地检查：随机抽查诊室、病房、护士站、检查科室、信息机房、病案室、档案室，核查物理安全、设备管理、操作行为、环境合规；人员访谈测试：随机抽取各层级人员（含外包）进行闭卷测试（30题）与情景问答（5题），检验制度理解深度与应急处置能力。第十七条【评分定级】年度考核结果按总分划分为四个等级：优秀（90分及以上）：制度执行到位、技术防护严密、行为高度规范、持续改进有力，无重大风险隐患；良好（80–89分）：整体合规，存在少量一般性问题，已按期整改；合格（70–79分）：基本满足要求，但存在若干需重点关注的薄弱环节，须在下一年度重点提升；不合格（69分及以下）：存在严重违规行为、重大管理漏洞或屡查屡犯问题，触发一票否决条款。第十八条【一票否决条款】出现下列任一情形，该科室或个人年度考核直接评定为“不合格”：发生经确认的患者个人信息泄露事件，导致患者权益受损或引发重大舆情；存在主观故意、恶意窃取、倒卖、滥用患者信息的行为；未经患者单独同意，将患者信息用于商业营销、学术炒作、自媒体运营等非诊疗目的；在互联网平台（含微信群、公众号、短视频）公开传播可识别患者身份的图文、音视频资料；伪造、篡改、隐匿患者病历、检查报告、知情同意书等关键医疗文书；因权限管理严重失职（如长期未清理离职人员账号、违规授予超级权限），导致重大安全事件；对委员会办公室下达的整改指令拒不执行或虚假整改，造成风险扩大。五、结果应用与奖惩机制第十九条【结果应用】考核结果作为医院内部管理的重要依据，与以下事项直接挂钩：科室绩效：考核结果纳入科室年度综合目标责任制考核，占比不低于5%；优秀科室优先推荐参评“全国改善医疗服务示范科室”；不合格科室取消当年评优资格，负责人须向委员会作出书面说明；干部任用：科室负责人、信息科负责人、病案室负责人等关键岗位人员的提拔任用，须核查其任期内隐私保护考核结果，连续两年不合格者，原则上不予提拔；职称晋升：申报卫生专业技术职务任职资格人员，须提供近3年隐私保护考核结果，其中1次不合格者须提交专项整改报告，2次不合格者延迟1年申报；评优评先：各级各类先进个人、优秀党员、青年岗位能手等评选，须核查候选人近2年考核结果，不合格者一票否决；外包服务续签：外包服务商年度考核结果低于80分，暂停新项目合作；连续两年低于70分，终止服务合同。第二十条【奖励措施】对在隐私保护工作中表现突出的集体与个人，给予以下激励：通报表扬：对年度考核优秀科室、连续三年考核优秀的个人，在全院质量与安全大会上通报表扬；绩效奖励：设立“隐私保护卓越奖”，对发现重大风险隐患、成功拦截泄露事件、创新管理举措的团队或个人，给予一次性绩效奖励（5000–20000元）；资源倾斜：优秀科室在信息化建设项目立项、设备更新、培训名额等方面予以优先支持；荣誉激励：推荐优秀个人参评“全国卫生健康系统个人信息保护先进工作者”。第二十一条【处罚措施】对考核不合格或存在违规行为的，视情节轻重给予以下处理：约谈提醒：对考核得分70–79分科室负责人、个人，由分管院领导进行警示约谈，责令限期整改；通报批评：对考核不合格（≤69分）科室及个人，在全院范围内通报批评；经济处罚：对因个人违规导致信息泄露或产生不良后果者，按《员工奖惩条例》扣发当月绩效奖金；造成经济损失的，依法追偿；岗位调整：对屡次考核不合格、责任心严重缺失、不适合继续从事涉密岗位者，调整至非信息敏感岗位；纪律处分：对存在主观恶意、严重失职、涉嫌违法的，移交纪检监察室或司法机关处理；资质吊销：对违规情节特别严重、丧失执业信任的医务人员，建议卫生健康行政部门依法暂停或吊销其执业证书。第二十二条【申诉复核】被考核对象对考核结果有异议的，可在收到结果通知后5个工作日内，向委员会办公室提交书面申诉材料；办公室须在10个工作日内组织复核，必要时邀请第三方专家参与；复核结论为最终结果，并书面反馈申诉人。六、附则第二十三条【解释权】本细则由医院信息安全与隐私保护委员会负责解释。委员会可根据法律法规更新、技术发展、监管要求及医院实际，适时组织修订。第二十四条【配套制度】本细则施行后，《医院信息系统用户权限管理办法》《患者病历查阅与复制管理规定》《科研数据使用与隐私保护指南》《外包服务隐私安全管理规定》《互联网诊疗隐私保护操作规程》等配套制度同步生效，构成完整的隐私保护制度体系。第二十五条【生效日期】本细则自发布之日起30日后施行。原有相关规定与本细则不一致的，以本细则为准。七、附件附件1：科室隐私保护自查表（季度）科室名称填报日期填报人联系方式一、制度执行情况1.本季度是否组织全员学习本细则及最新要求？□是□否（如否，请说明）2.新入职/转岗人员岗前培训覆盖率？_____%3.权限清理情况：共清理离职/转岗人员账号_个；发现并纠正超范围权限_例二、技术防护情况4.防窥膜安装率：_____%（抽查10台，达标≥95%）5.离岗锁屏执行抽查合格率：_____%（抽查20次）6.纸质病历存放是否全部上锁？□是□否（如否，请列明位置）三、行为规范情况7.本季度是否发现员工违规使用微信等发送患者信息？□是□否（如是，请简述）8.是否发生患者关于隐私保护的投诉？□是□否（如是，请简述及处理结果）四、问题与整改9.自查发现问题（请列明）：10.已采取整改措施（请列明）：11.需医院层面协调解决事项：科室负责人签字：__________日