中医隐私保护管理规范

中医隐私保护管理规范一、适用范围与核心权责划分中医服务场景涵盖公立中医院、民营中医馆、中医门诊部、私人中医诊所、线上中医问诊平台、中医养生保健机构、中医膏方定制机构等多类主体，服务对象既包含确诊疾病的患者，也包含进行体质调理、亚健康干预、产后修复、养生保健的健康人群，与通用医疗隐私保护相比，中医隐私信息具备更强的个性化与敏感性特征：中医四诊信息（脉形、舌象、面色特征）属于个人独一无二的生物特征信息，多数患者因情志病、慢性病、生殖系统疾病、皮肤病等隐私性疾病偏好寻求中医调理，相关信息的敏感度远高于普通诊疗信息，部分私人中医诊疗、上门中医保健服务还会涉及服务对象的住址、家庭关系、出行轨迹等私密信息，因此中医隐私保护不能直接套用通用医疗隐私保护规范，需要结合行业特性制定落地规则。核心权责划分明确为三个层级：1.机构主体责任：各类提供中医服务的机构主要负责人为隐私保护第一责任人，需根据机构规模设立专职或兼职隐私保护管理员，明确各岗位隐私保护具体要求，承担隐私信息的全流程管理责任，发生隐私泄露事件时由机构主体首先承担对服务对象的告知、赔偿等法律责任。2.从业人员个人责任：中医医师、中医技师、针灸师、推拿师、膏方调制人员、导诊人员、前台收费人员等所有可能接触隐私信息的从业人员，都需要签订隐私保护终身承诺书，不得私自收集、存储、向外披露服务对象的任何隐私信息，不得利用职务便利获取隐私信息谋取私利，离职后仍然需要承担保密责任。3.服务对象权利：服务对象有权知晓自身隐私信息的收集范围、使用用途、存储期限，有权查询、更正、删除自身的隐私信息，有权拒绝非必要的隐私信息收集，对隐私泄露事件有权追究相关机构与人员的法律责任。二、中医隐私信息分类分级保护标准为实现差异化保护，合理分配管理资源，根据中医隐私信息的敏感程度、一旦泄露可能造成的危害程度，将中医隐私信息分为三个等级，具体分类与保护要求如下：信息等级信息类别具体包含内容保护要求基线一级（最高敏感）中医特殊生物特征信息原始脉诊记录（含手写脉案、脉诊仪原始数据）、舌诊原始影像、面色诊原始影像、个人定制体质档案（含膏方定制全记录）、中医经络检测原始数据全流程加密存储，仅授权主诊医师、必要收费人员调取，不得用于任何与本次服务无关的场景，对外使用必须经过个人书面同意，完成全去标识化处理一级（最高敏感）特殊病种诊疗调理信息生殖系统疾病调理记录、情志类疾病（抑郁、焦虑、失眠等）诊疗记录、性传播疾病中医调理记录、肥胖内分泌调理记录、遗传性疾病中医干预记录、艾滋病病毒感染者中医随访记录、隐私部位针灸推拿调理记录单独专柜/加密分区存储，非经服务对象本人书面同意，不得向任何第三方（包括服务对象成年亲属，法律强制要求除外）披露，所有调取操作需要登记用途与调取人信息一级（最高敏感）私人场景服务信息上门中医诊疗/保健服务的地址、联系方式、行程记录、高端私人医生定制服务的全流程信息服务终止后非必要不得留存，如需留存需单独加密，不得泄露服务对象的出行与居住隐私二级（敏感）普通诊疗服务信息一般疾病中医处方、纸质/电子病历档案、缴费记录、常规检查检验结果、入院出院记录仅授权机构内对应岗位工作人员调取，不得在公共场合、无关人员在场时谈论相关内容，对外使用需要完成去标识化处理二级（敏感）基础身份信息服务对象姓名、身份证号、联系电话、家庭住址、工作单位仅用于预约、诊疗、配送等必要服务场景，不得出售或向无关第三方提供三级（一般信息）非识别性公开信息已经完成全去标识化处理的中医案例数据、脱敏后的行业统计数据、不含个人信息的预约排班信息可用于学术研究、行业统计、机构宣传等公开场景本分类分级标准需要根据机构实际服务场景动态调整，例如开展中医优生优育调理的机构，需要将所有相关调理信息全部纳入一级敏感信息管理；开展线上AI舌诊服务的平台，需要将所有用户上传的原始舌象照片纳入一级敏感信息管理，不得擅自将原始数据用于AI模型训练，除非获得用户单独的明示授权同意。此外，针对未成年人的中医隐私信息，无论信息本身属于哪一级，都需要按照最高敏感等级进行保护，未经监护人书面同意，不得披露、使用未成年人的任何中医隐私信息。三、全流程隐私保护操作规范3.1信息采集环节规范中医隐私信息采集严格遵循最小必要原则，不得采集与本次服务无关的信息，具体操作要求如下：第一，当面采集信息时，不得在开放大厅、走廊、分诊台等有无关人员在场的区域询问服务对象的隐私病史，所有涉及隐私的问诊都需要在单独的诊室中进行，关门沟通，避免无关人员听到问诊内容。第二，采集生物特征信息前，必须明确告知采集用途、存储期限、使用范围，例如拍摄舌诊照片前，需要明确告知“本次拍摄舌象是为了记录您诊疗前后的变化，存储在机构加密系统中，不会用于其他用途”，获得服务对象口头同意后再采集，采集一级敏感信息需要获得书面同意，不得默认获得授权。第三，禁止从业人员用个人手机、个人平板等私人移动设备采集存储服务对象的舌象、脉案、处方等隐私信息，所有信息采集必须使用机构统一配发的工作设备，采集后直接上传机构加密服务器，不得留存于本地设备。第四，线上中医问诊场景中，弹窗提示隐私政策时，不得默认勾选同意，需要服务对象主动点击确认同意后方可开始采集信息，针对一级敏感信息，需要单独设置授权确认环节，不得捆绑在整体隐私政策中概括授权。3.2信息存储环节规范分为纸质存储和电子存储两类分别明确要求：第一，纸质隐私信息存储，所有含一级敏感信息的脉案、处方、病历，都需要存放在带锁的专用档案柜中，由专人负责管理，非工作时间不得将纸质档案放置在诊室桌面、护士台等开放区域；档案借阅需要登记借阅人姓名、借阅时间、借阅用途，归还后及时放回锁柜；纸质档案超过保存期限需要销毁时，必须采用碎纸机粉碎的方式，不得随意丢弃至公共场所垃圾桶，更不得整体卖给废品回收机构。第二，电子隐私信息存储，所有一级敏感信息必须采用端到端加密存储，加密密钥由机构隐私保护管理员专人保管，每季度定期更换密钥；禁止将电子隐私信息存储在公有云免费存储盘、个人云盘、公共开放服务器等未达到安全等级的存储介质中；机构内部信息系统需要设置权限分级，不同岗位只能开放对应权限的信息，例如导诊只能看到预约的姓名和联系电话，看不到具体的诊疗信息，收费人员只能看到缴费项目金额，看不到具体的病种信息；系统需要自动记录所有信息调取日志，记录调取人、调取时间、调取内容，日志保存期限不得少于3年。第三，针对离职从业人员，必须要求其立即交还所有存储隐私信息的工作设备，当场删除所有个人设备中留存的隐私信息，签订离职后隐私保护承诺书，明确离职后仍然不得披露原机构服务对象的隐私信息，违规需要承担法律责任。3.3信息使用与传输环节规范第一，机构内部使用隐私信息，仅可用于本次诊疗、收费、随访等必要场景，不得用于其他无关用途，例如带教过程中需要使用服务对象的案例，必须提前获得服务对象的明确同意，对所有可识别个人身份的信息进行打码遮挡处理，不得露出姓名、联系方式、长相、住址等任何可识别信息；中医教学、学术交流公开场合讨论案例，不得提及任何可识别出服务对象身份的信息。针对名老中医整理临床经验、开展学术研究需要使用既往病案的情况，必须对所有病案进行全去标识化处理，删除所有可识别个人身份的信息，不得泄露服务对象的任何可识别信息；如果研究需要保留可识别信息，必须逐份获得对应服务对象的书面授权同意，未经同意不得擅自使用未脱敏的病案开展研究或者出版著作。第二，对外传输隐私信息，仅可在法律要求或者获得服务对象明确同意的场景下传输，例如转院介绍需要传输病历，需要获得服务对象同意，传输过程必须采用加密传输方式，不得用普通个人微信、QQ传输一级敏感信息，必须使用机构统一的加密工作系统或者加密邮件传输；禁止将服务对象的隐私信息出售、出租给任何第三方机构用于广告营销、产品推广等商业用途，哪怕是脱敏后的信息也需要获得授权后方可使用。第三，线上直播问诊、公开义诊等场景中，不得随意展示观众提问中的个人隐私信息，直播连麦需要获得当事人明确同意，对个人信息进行打码处理，直播结束后不得留存连麦过程中的隐私信息。3.4信息销毁环节规范当服务对象要求删除自身隐私信息，或者隐私信息超过法定保存期限，或者服务终止后不再需要留存隐私信息时，需要及时完成信息销毁，确保信息无法被复原。具体要求：纸质信息必须全部粉碎，不得整体废弃；电子信息需要彻底删除存储介质中的所有文件，淘汰的工作硬盘、U盘等存储设备，必须采用物理粉碎或者消磁处理，不得随意转卖或者丢弃，避免信息被技术复原；云端存储的信息需要向云服务商要求确认所有备份都已经删除，留存完整的销毁记录，记录销毁时间、销毁内容、经办人信息，销毁记录保存期限不得少于3年。四、从业人员隐私保护能力建设与管理中医行业多数从业人员对隐私保护的重视程度不足，尤其是不少基层从业的中医师，习惯随手把脉案放在诊室桌面，或者用个人手机拍摄存储舌象、处方，因此需要建立常态化的能力建设与考核管理机制：4.1分级培训体系第一，新员工入职培训，所有新入职的从业人员，包括医师、技师、导诊、收费员、清洁工、后勤人员等所有可能接触到隐私信息的人员，都需要完成不少于8学时的中医隐私保护专项培训，培训内容除了《中华人民共和国个人信息保护法》《医疗机构管理条例》《医疗纠纷预防和处理条例》等通用法律法规之外，重点讲解中医隐私的特殊性、本机构的分类分级标准、各岗位的操作规范，培训完成后需要参加闭卷考试，考试合格后方可上岗，不合格的需要重新培训，再次不合格的不予录用。第二，在岗人员年度培训，所有在岗从业人员每年需要完成不少于4学时的再培训，培训内容结合当年发生的行业隐私泄露案例、新出台的法律法规要求更新，重点讲解本机构年度检查中发现的问题，针对性开展整改培训。第三，管理层专项培训，机构负责人、隐私保护管理员每年需要完成不少于8学时的专项培训，学习隐私保护管理方法、应急处置流程、合规要求，提升整体管理能力。4.2考核与问责机制建立隐私保护考核与个人绩效、职称评定、岗位聘用直接挂钩的机制，具体要求：第一，日常考核，由隐私保护管理员每月对各岗位隐私保护执行情况进行抽查，检查内容包括是否有用私人设备存储隐私信息、是否按要求锁好档案柜、是否按要求加密存储等，发现一次违规给予书面警告，扣除当月绩效奖金的10%，累计三次违规给予记过，暂停执业学习，直到考核合格后方可恢复上岗。第二，问责层级，发生轻度隐私泄露事件（仅泄露三级一般信息，未造成实际危害），由直接责任人承担责任，隐私保护管理员承担管理责任；发生中度隐私泄露事件（泄露二级敏感信息，造成轻度危害），除直接责任人外，科室负责人承担管理责任；发生重度隐私泄露事件（泄露一级敏感信息，造成服务对象名誉、财产损失），机构主要负责人承担第一责任，按照法律法规要求承担民事、行政甚至刑事责任。第三，激励机制，年度内未发生任何违规行为的从业人员，给予年度隐私保护专项奖励，在职称评定、岗位晋升中优先考虑，鼓励从业人员主动监督举报违规行为，对举报属实的给予不低于当月基本工资10%的奖励。五、第三方合作隐私保护管控当前中医行业越来越多的和第三方平台合作，例如线上问诊平台、AI中医设备服务商、外卖送药平台、养生产品电商平台等，第三方合作是中医隐私泄露的高发环节，因此需要建立明确的第三方管控规则：第一，合作前尽调，选择第三方合作方的时候，需要审查第三方的隐私保护能力，要求第三方提供隐私保护合规证明，确认其具备符合等级保护要求的信息安全保护能力，签订合作协议的时候，必须单独设置隐私保护条款，明确隐私保护的责任划分，明确要求第三方只能按照约定的用途使用隐私信息，不得超范围使用，不得留存超出合作期限的隐私信息，明确发生隐私泄露事件时第三方需要承担的责任与赔偿标准。第二，合作过程管控，向第三方提供隐私信息的时候，遵循最小必要原则，只提供完成合作所需要的最少信息，例如送药平台只需要提供收货地址和联系电话，不需要提供具体的诊疗病种信息，不得向第三方提供一级敏感信息，除非获得服务对象的书面明确同意。第三，合作终止后，要求第三方立即销毁所有获取的服务对象隐私信息，提供书面销毁证明，机构隐私保护管理员需要核实销毁情况，确认第三方没有留存任何信息。六、监督审计与应急处置6.1日常监督审计建立内部监督加外部审计结合的常态化监督机制，内部由隐私保护管理员每月开展一次全流程抽查，每季度向机构管理层提交隐私保护合规报告，说明检查中发现的问题、整改推进情况；每年开展一次内部全面审计，对所有隐私信息的存储、使用情况进行全流程梳理，排查风险隐患。外部审计每年委托具备资质的第三方信息安全审计机构开展一次隐私保护合规审计，出具正式审计报告，针对审计发现的问题制定整改方案，按时完成整改，整改结果存档备查。此外，机构需要在分诊台、官方公众号等显著位置公示隐私保护投诉电话，接受服务对象的投诉举报，对服务对象提出的隐私保护疑问及时答复，对投诉的违规行为及时调查处理，7个工作日内答复处理结果。6.2隐私泄露应急处置制定专门的隐私泄露事件应急预案，明确分级处置流程，具体要求：第一，发现隐私泄露线索后，立即启动应急预案，第一时间采取技术、管理措施阻断泄露，防止泄露范围进一步扩大，例如发现员工私自将隐私信息发布到互联网，立即要求员工删除内容，联系平台下架相关内容，冻结相关员