2026年患者隐私保护管理考试题库及答案

2026年患者隐私保护管理考试题库及答案一、单项选择题1.根据《个人信息保护法》及医疗行业规范，患者隐私保护的核心法律依据不包括以下哪项？A.《中华人民共和国民法典》B.《中华人民共和国医师法》C.《医疗纠纷预防和处理条例》D.《互联网诊疗管理办法》答案：D2.医疗机构在收集患者个人信息时，应遵循“最小必要原则”，以下哪项符合该原则？A.收集患者10年内所有就诊记录B.仅收集与当前诊疗直接相关的联系方式C.要求患者提供三代以内亲属的健康状况D.存储患者所有社交平台账号信息答案：B3.关于患者隐私访问控制，正确的做法是？A.所有医护人员默认拥有患者全量信息访问权限B.实习医生经带教老师口头同意后可访问患者病历C.按岗位职责设置差异化访问权限，并定期审计D.为方便查询，将登录密码共享给科室备用答案：C4.发生患者隐私泄露事件后，医疗机构应在多长时间内向所在地卫生健康主管部门报告？A.6小时B.12小时C.24小时D.48小时答案：C5.电子病历中患者敏感信息（如诊断结果、用药记录）的存储期限，应符合《医疗机构病历管理规定》中的要求，一般不少于？A.5年B.10年C.15年D.30年答案：D6.医疗机构与第三方合作开发健康管理APP时，关于患者信息共享的合规要求，错误的是？A.需与第三方签订书面数据安全协议B.共享前需获得患者明确同意C.要求第三方仅处理约定范围内的信息D.允许第三方将患者信息转委托给其他公司答案：D7.以下哪项属于“去标识化”处理？A.将患者姓名替换为“患者A”，但保留身份证后四位B.移除姓名、身份证号，仅保留年龄、性别和疾病类型C.对患者信息进行加密，密钥由专人保管D.将患者信息匿名化后与公共数据库关联分析答案：B8.患者因昏迷无法自行签署隐私同意书时，医疗机构的正确做法是？A.直接采集和使用必要信息，事后补充告知近亲属B.拒绝提供诊疗服务，直至患者或家属签署同意书C.扩大信息采集范围以确保诊疗安全D.仅记录患者基本信息，不进行任何后续处理答案：A9.医疗机构对员工的隐私保护培训频率至少为？A.每季度一次B.每年一次C.每两年一次D.每三年一次答案：B10.关于患者生物识别信息（如指纹、人脸识别数据）的保护，错误的是？A.仅用于身份验证，不得用于其他用途B.存储时应进行不可逆加密C.可与其他个人信息合并存储以方便管理D.需设置严格的访问和使用审批流程答案：C二、多项选择题1.患者隐私保护的内容包括以下哪些？A.姓名、身份证号等个人基本信息B.门诊病历、检查报告等诊疗信息C.基因检测、影像数据等生物信息D.职业、收入等社会关系信息答案：ABCD2.医疗机构违反患者隐私保护规定可能承担的法律责任包括？A.民事赔偿责任B.行政处罚（如警告、罚款）C.刑事责任（如侵犯公民个人信息罪）D.行业处分（如暂停执业）答案：ABCD3.以下哪些行为符合“知情同意”原则？A.在患者入院时发放《隐私保护告知书》，明确信息使用范围B.手术前向患者说明需将部分影像数据用于学术研究，获得书面同意C.未经患者同意，将其信息用于商业推广D.患者拒绝共享信息时，仍提供基础诊疗服务答案：ABD4.医疗机构应建立的患者隐私保护制度包括？A.信息访问权限管理制度B.泄露事件应急处置制度C.员工隐私保护培训制度D.第三方合作安全评估制度答案：ABCD5.患者隐私泄露的常见风险点包括？A.医护人员违规调阅、传播患者信息B.电子病历系统存在安全漏洞C.患者个人终端（如手机）丢失导致信息泄露D.第三方合作机构数据管理不善答案：ABCD三、判断题1.患者隐私仅指诊疗过程中产生的医疗信息，不包括个人基本信息。（）答案：×2.医疗机构可以将患者信息用于内部统计分析，无需获得患者同意。（）答案：×3.实习医生因学习需要，可直接访问所有患者的电子病历。（）答案：×4.患者要求查阅自己的病历信息时，医疗机构可以收取合理的复制成本费用。（）答案：√5.发生隐私泄露后，医疗机构只需通知受影响患者，无需向监管部门报告。（）答案：×6.去标识化后的患者信息可以自由向社会公开，不受任何限制。（）答案：×7.医疗机构使用患者信息前，必须获得书面同意，口头同意无效。（）答案：×8.为提升效率，医疗机构可将患者信息加密后存储在公共云服务器。（）答案：√（需符合安全评估要求）四、简答题1.简述患者隐私保护的“最小必要原则”具体要求。答案：指医疗机构在收集、使用、存储患者信息时，应限于实现诊疗目的所必需的最小范围，包括：（1）收集信息的类型和数量应与诊疗需求直接相关；（2）使用方式不超出约定的目的；（3）存储期限不超过必要时间；（4）避免过度采集或留存无关信息。2.医疗机构发生患者隐私泄露事件后，应采取哪些应急处置措施？答案：（1）立即阻断泄露途径（如关闭系统漏洞、暂停相关账号）；（2）评估泄露范围和影响（确定涉及患者数量、信息类型）；（3）内部报告（向医院管理层、隐私保护负责人汇报）；（4）通知受影响患者（告知泄露情况、可能风险及补救措施）；（5）向卫生健康主管部门和网信部门报告（24小时内）；（6）开展内部调查（追究相关人员责任）；（7）制定整改措施（完善制度、加强技术防护）。3.医疗机构与第三方合作处理患者信息时，需重点审查哪些合规要点？答案：（1）第三方的资质（是否具备数据安全处理能力）；（2）合作协议内容（明确信息使用范围、保密义务、违约责任）；（3）数据最小化（仅共享必要信息，禁止超范围使用）；（4）安全技术措施（第三方是否采取加密、访问控制等防护手段）；（5）监督机制（定期检查第三方数据处理情况）；（6）患者同意（需获得患者对信息共享的明确授权）。五、案例分析题案例：某医院为优化服务，开发了患者端APP，允许患者在线查询病历、预约挂号。近期，有患者反映收到陌生短信，内容包含其在该医院的检查结果和就诊时间。经调查，APP存在以下问题：（1）用户登录仅需短信验证码，未设置密码；（2）开发团队为测试方便，保留了一个超级管理员账号，可查看所有患者信息；（3）泄露事件发生后，医院未及时通知患者。问题：1.分析该医院在患者隐私保护中存在的违规行为。2.提出整改措施。答案：1.违规行为：（1）身份验证机制不健全（仅短信验证码易被截获，未设置密码增加安全层级）；（2）超级管理员账号管理失控（未限制权限、未定期更换密码）；（3）未履行泄露事件告知义务（未及时通知受影响患者）；（4）技术防护措施不足（未对传输中的患者信息进行加密）。2.整改措施：（1）优化登录验证（增加密码+短信验证码双重认证）；（2）清理冗余账号（删除超级管理员账号，按角色分配最小权限）；（3）完