2026年患者隐私保护合规考试试题及答案

2026年患者隐私保护合规考试试题及答案1.根据2025年修订的《医疗卫生机构患者隐私保护管理办法》，下列哪项不属于应当纳入严格保护的患者敏感隐私信息？A.就诊患者的传染病感染史B.患者本次就诊的普通感冒血常规结果C.未成年患者的人工流产手术记录D.患者医保账户支付密码及生物识别信息答案：B解析：根据最新修订的管理办法，患者敏感隐私信息指一旦泄露、非法提供或滥用，极易导致患者名誉、身心健康受损，或者遭受歧视、不公平对待的健康医疗信息及关联个人信息。普通感冒的常规血常规结果属于普通诊疗信息，不会给患者带来上述风险，不属于高敏感隐私范畴；A、C选项涉及特殊疾病史、敏感生殖健康信息，D选项属于核心身份识别及财产信息，均属于敏感隐私信息范畴。2.某三甲医院开展互联网复诊服务，医生为患者开具处方后，平台下列哪种操作符合合规要求？A.自动将患者处方信息同步推送给合作的第三方零售药店用于售药，无需再次征得患者同意B.为提升用户体验，将患者的慢性病病史默认共享给平台入驻的所有全科医生方便复诊C.经患者单独同意后，将患者的用药随访信息推送给签约的家庭医生团队D.在就诊结束后30天自动删除所有患者的问诊音视频记录以节约存储空间答案：C解析：A选项处方信息属于敏感医疗信息，推送至第三方药店需单独征得患者同意，不得默认同步；B选项患者病史仅可对本次接诊的接诊医生开放，默认共享给所有平台医生违反最小必要及知情同意原则；C选项随访信息推送至签约家庭医生属于为患者提供诊疗服务的必要范畴，经单独同意后符合合规要求；D选项互联网诊疗的音视频记录属于医疗文书范畴，需按照电子病历管理规定保存至少30年，不得擅自提前删除。3.医疗机构发生患者隐私信息泄露事件，涉及人数达到多少人以上时，应当在24小时内向属地卫生健康行政部门、网信部门、公安机关报告？A.10人B.50人C.100人D.500人答案：C解析：2025年修订的《医疗卫生机构网络安全事件处置规程》明确，患者隐私信息泄露事件分为四级，涉及100人及以上信息泄露的属于较大网络安全事件，需在24小时内完成三部门同步上报；涉及人数不足100人的，可在72小时内完成上报。4.某医学院科研团队欲使用本院存储的患者病历数据开展糖尿病防控公益研究，下列哪种情形无需单独征得患者同意？A.研究数据完全去标识化处理，且通过技术验证无法复原识别到特定自然人B.研究成果拟在国际核心期刊发表，需标注患者年龄段及地域分布C.研究过程中需调用患者的身份证号及联系方式用于后续随访D.研究项目为商业药企赞助的降糖药物四期临床观察答案：A解析：根据《个人信息保护法》及《医疗数据安全管理规范》，匿名化处理后的医疗数据不再属于可识别特定自然人的个人信息范畴，用于公益科研场景无需再征得个人同意；B选项研究成果发表若涉及可识别的群体特征，仍需征得同意，同时需做脱敏处理；C选项调用身份证号、联系方式等可识别信息需单独征得同意；D选项商业赞助的研究属于商业用途，无论是否脱敏均需逐人征得单独同意。5.医疗机构信息科工作人员下列哪种行为属于合规操作？A.因上级领导亲戚要查询其配偶的住院记录，直接在后台调取病历信息并发送给领导B.为调试新上线的电子病历系统，临时使用自己的权限调取10份测试用病历，调试完成后立即删除访问缓存并在运维系统登记备案C.发现某就诊患者为本地公众人物，将其患性病的信息私下告知自己的朋友D.将自己的系统账号密码借给临床科室的进修医生使用，方便其调取病历答案：B解析：A选项未经患者授权及正规审批流程擅自调取他人病历，属于违规行为；B选项属于系统运维必要操作，且履行了缓存删除、登记备案流程，符合合规要求；C选项私下传播患者敏感隐私信息，属于侵权违规行为；D选项转借系统账号属于权限管理违规行为，极易造成患者信息泄露。6.患者下列哪项请求不属于法定可支持的患者隐私相关权利？A.请求查阅、复制自己的全部门诊及住院病历资料B.请求医疗机构更正自己病历中记录错误的既往过敏史信息C.请求医疗机构将自己的电子病历信息出售给保险机构以获取报酬D.请求医疗机构删除自己5年前因感冒就诊的非必要留存的APP登录痕迹信息答案：C解析：医疗卫生机构禁止出售任何患者个人信息，即使患者本人同意，该交易也违反医疗数据管理的强制性禁止规定，不受法律支持；A选项属于患者的知情权范畴，B选项属于个人信息更正权范畴，D选项属于个人信息删除权范畴，均为法定支持的合法权利。7.医疗机构与第三方医学检验机构合作开展检验项目，关于患者检验样本及相关信息的传递，下列说法正确的是？A.为提高效率，医疗机构可将包含患者姓名、身份证号、住址在内的全量信息随样本一同发送给检验机构无需加密B.双方应当签署专门的隐私保护协议，明确第三方不得超出检验用途使用患者信息，且检验完成后需按约定销毁或返还相关信息C.第三方检验机构可将收集到的患者检验信息用于自身的客户精准营销D.患者有权拒绝将样本送检至第三方机构，但医疗机构无需告知患者检验机构的名称及资质答案：B解析：A选项传输患者敏感个人信息需采取端到端加密措施，不得明文传输；B选项符合第三方合作的隐私保护要求，明确了用途限制及处置规则；C选项第三方机构超出检验用途将患者信息用于营销，属于违规行为；D选项患者对送检机构享有知情权，医疗机构需明确告知检验机构的名称、资质、信息使用规则等内容。8.某涉外医院拟将1000份中国患者的肿瘤诊疗数据传输至境外合作机构开展联合研究，下列哪个前提是不需要满足的？A.通过国家网信部门组织的数据出境安全评估B.逐人单独征得患者的书面同意，明确告知出境用途、接收方信息、境外留存期限等内容C.向属地卫生健康行政部门申请医疗数据出境审批备案D.向境外机构支付相应的数据使用费用答案：D解析：重要医疗数据出境需满足三项法定前置条件：一是通过国家网信部门的数据出境安全评估，二是逐人征得患者单独书面同意，三是经卫生健康行政部门审批备案；是否向境外机构支付费用属于双方民事合作约定范畴，不属于法定合规前提。9.医疗机构工作人员故意泄露患者隐私，情节严重的，卫生健康行政部门可给予的处罚不包括下列哪项？A.暂停6个月以上1年以下执业活动B.吊销执业证书C.处1万元以上10万元以下罚款D.对造成的患者损失承担连带赔偿责任答案：D解析：卫生健康行政部门可给予的处罚包含行政处罚、执业资质处罚两类，A、B属于执业资质处罚，C属于行政处罚；连带赔偿责任属于民事责任范畴，由人民法院司法判定，不属于行政部门的处罚权限。10.接诊14岁未成年女性患者，确诊早孕后，下列哪种处置符合隐私保护规定？A.直接打电话告知其父母就诊情况B.评估患者认知能力后，按照患者要求为其保密，不告知其监护人，同时做好相关风险告知及诊疗记录C.将患者的就诊情况告知其所在学校的班主任D.让同诊室的其他未成年患者旁听诊疗过程答案：B解析：对于已满14周岁的未成年人，涉及性与生殖健康的诊疗信息，在其具备完全认知能力、不存在危及生命安全的紧急情形下，应当优先尊重其隐私意愿，不得擅自告知监护人或学校等第三方，同时需做好风险告知及书面记录，规避诊疗风险；A、C选项违反隐私保护要求，D选项属于公开患者隐私的违规行为。11.下列哪些行为属于侵犯患者隐私的违规行为？A.门诊医生在候诊区大声询问患者的性传播疾病感染史B.护士将患者的艾滋病阳性检验结果张贴在护士站公开的白板上C.病案室工作人员为报销保险的患者家属复印患者病历，未核对家属的授权委托书D.医院公众号发布患者的救治案例，使用了患者的真实姓名及正面照片，且未做模糊处理答案：ABCD解析：A选项在公共区域询问患者敏感病史，属于公开泄露隐私；B选项公开张贴敏感检验结果，侵犯患者隐私权；C选项未经授权向家属提供病历，属于违规披露；D选项未经同意使用患者真实信息用于宣传，同时侵犯肖像权及隐私权，四项均属于违规侵权行为。12.医疗机构开展患者隐私保护合规培训，应当覆盖下列哪些人员？A.全体执业医师、护士、药师等卫生技术人员B.信息科、病案室、收费处等接触患者信息的行政后勤人员C.在院进修、实习的医学生及医护人员D.与医院合作的第三方运维、陪护、保洁等外包服务人员答案：ABCD解析：所有可能接触到患者隐私信息的人员均应当纳入隐私保护培训范围，卫生技术人员、行政后勤人员、进修实习人员、外包服务人员均存在接触患者信息的可能，均需完成培训并签署隐私保护承诺。13.下列关于患者隐私信息存储的要求，说法正确的有？A.电子病历系统应当设置分级访问权限，对患者的敏感隐私信息设置单独的访问审批流程B.存储患者隐私信息的服务器应当设在中国境内，确需在境外存储的应当经过安全评估C.患者隐私信息存储应当采取加密、脱敏等技术措施，防止未授权访问D.医疗机构终止运营时，应当对存储的所有患者隐私信息进行安全销毁或移交属地卫生健康行政部门指定的机构存储答案：ABCD解析：A选项符合权限最小必要的管理要求，敏感信息访问需额外审批；B选项符合《数据安全法》关于重要数据境内存储的要求，境外存储需经过评估；C选项符合数据存储的技术安全要求；D选项符合医疗机构终止运营后的患者信息处置规则，四项均正确。14.患者因隐私信息泄露向医疗机构投诉，医疗机构应当采取的处置措施包括？A.第一时间受理投诉，登记患者诉求及相关线索B.开展内部调查，核实泄露原因及责任主体C.及时将调查处置结果反馈给投诉患者D.若存在泄露扩散风险，立即采取补救措施，防止影响扩大答案：ABCD解析：患者隐私投诉处置需覆盖全流程：首先要及时受理登记，其次开展内部核查，再者及时反馈结果，同时做好风险防控，四项均为必要处置措施。15.下列哪些场景下，医疗机构可以不经患者同意使用其隐私信息？A.为应对突发公共卫生事件，需要紧急收集使用患者的流行病学调查信息B.司法机关办案需要，持法定文书调取患者的病历信息C.为履行法定疾控职责，需要上报患者的法定传染病感染信息D.为宣传医院的诊疗技术，在内部宣传栏使用患者治愈的案例，隐去姓名及可识别信息答案：ABC解析：A、B、C均属于《个人信息保护法》明确规定的可不经个人同意使用个人信息的法定情形；D选项即使隐去可识别信息，用于医院内部宣传不属于法定豁免情形，仍需征得患者同意后方可使用。16.患者的就诊号、病床号不属于可识别个人身份的信息，因此不属于患者隐私保护范畴。（）答案：×解析：就诊号、病床号结合医疗机构存储的患者姓名、身份证号等信息可精准识别到特定患者，属于关联个人信息的组成部分，应当纳入隐私保护范畴。17.患者死亡后，其隐私信息不再受法律保护，医疗机构可随意处置。（）答案：×解析：自然人死亡后，其姓名、肖像、隐私、名誉等人格利益仍受法律保护，医疗机构应当按照规定保护死亡患者的隐私信息，不得随意披露或处置。18.社区卫生服务中心工作人员为开展65岁以上老人健康随访，可直接调取辖区内老人的健康档案信息，无需再次征得同意。（）答案：√解析：为履行法定公共卫生服务职责开展的免费健康随访，属于法定可不经个人同意使用信息的范畴，无需重复征得老人同意。19.医疗机构可将患者的联系方式提供给合作的商业体检机构，用于向患者推送体检优惠信息。（）答案：×解析：未经患者单独明确同意，不得向第三方提供患者个人信息用于商业营销，该行为属于侵犯患者隐私的违规行为。20.电子病历系统的访问日志应当至少保存10年，便于追溯隐私泄露责任。（）答案：×解析：电子病历访问日志属于医疗数据安全审计记录，应当至少保存30年，与电子病历的法定保存期限保持一致。21.精神障碍患者的就诊信息属于高敏感隐私信息，非经法定程序不得向任何第三方披露。（）答案：√解析：精神障碍病史一旦泄露极易导致患者遭受社会歧视，属于高敏感健康信息，适用最严格的保护要求，仅可在法定情形下经审批后披露。22.患者要求删除自己的病历信息的，医疗机构应当立即删除所有相关记录。（）答案：×解析：病历属于法定需留存的医疗文书，在法定保存期限内，患者不得要求删除符合规范的病历原始记录，仅可要求删除医疗机构超出诊疗用途留存的冗余个人信息。23.医疗机构举办学术会议时，可随意使用患者的影像学检查资料作为案例展示，无需做任何处理。（）答案：×解析：学术展示使用患者医疗资料应当进行去标识化处理，隐去所有可识别到特定患者的信息，必要时需征得患者书面同意后方可使用。24.收费处工作人员为核对患者身份，可在公共区域大声核对患者的姓名、年龄、住址等信息。（）答案：×解析：公共区域核对患者身份应当采取低声、一对一核验的方式，不得大声公开患者个人信息，避免无关人员获知患者隐私。25.发现患者隐私信息泄露的工作人员，应当第一时间向本单位的隐私保护管理部门报告。（）答案：√解析：医疗机构实行隐私泄露事件首报负责制，发现风险的工作人员需第一时间上报，便于机构及时采取补救措施，降低泄露影响。26.案例：某三甲医院眼科医生张某，在个人抖音账号上发布了一段为患者做白内障手术的短视频，视频中清晰露出了患者的面部，同时配文“80岁老太太重见光明，感谢我们的技术吧”，视频发布后获得10万+播放量，被患者家属发现后向医院投诉，要求删除视频并赔偿精神损失。（1）张某的行为是否违反患者隐私保护规定？请说明理由。（2）医院接到投诉后应当采取哪些合规处置措施？（3）该事件给医疗机构的隐私保护管理带来哪些警示？答案及解析：（1）张某的行为违反患者隐私保护相关规定。理由如下：一是张某未提前征得患者及家属的书面同意，擅自将包含患者可识别面部特征的诊疗视频发布到公共社交平台，同时侵犯了患者的肖像权和隐私权；二是发布内容带有明显的个人及科室宣传性质，超出了诊疗活动的必要用途，违反了个人信息使用的最小必要原则和知情同意原则。（2）医院应当采取的处置措施：第一，第一时间要求张某删除个人账号发布的涉案视频，同时安排专人对接抖音平台，下架所有用户转发的相关内容，最大限度降低信息传播范围；第二，安排医患沟通专员主动联系患者及家属，诚恳致歉，结合患者的诉求协商精神损失赔偿方案，争取取得患者及家属的谅解；第三，开展内部责任调查，按照医院规章制度对张某给予通报批评、扣除绩效等处罚，同时将事件上报属地卫生健康行政部门，若情节严重可配合行政部门给予相应行政处罚；第四，开展全员隐私保护专项培训，排查医护人员个人社交账号发布医疗相关内容的同类风险，建立内容审核机制。（3）警示：一是医疗机构应当建立医护人员个人社交账号发布医疗相关内容的专项管理制度，明确禁止未经同意发布任何包含患者可识别信息的内容，所有医疗相关内容发布需经过科室及管理部门双重审核；二是加强对医护人员的隐私保护合规培训，明确违规泄露隐私所需承担的民事、行政甚至刑事责任，提升全员合规意识；三是建立日常监测机制，定期检索公共社交平台涉及本机构及患者的相关内容，及时发现处置违规发布行为，避免引发合规纠纷。27.案例：某民营医院信息科工作人员李某，私下将自己管理的10万条患者就诊信息（包含姓名、手机号、疾病诊断、就诊记录）以20万元的价格出售给保健品销售公司，导致大量患者接到骚扰推销电话，其中3名患者因相信诈骗分子掌握的精准就诊信息，被骗取财物共计12万元，患者集体向卫生健康行政部门投诉。（1）李某的行为需要承担哪些