2026年患者隐私试题及答案

2026年患者隐私试题及答案一、单项选择题（每题2分，共30分）1.根据《个人信息保护法》及《医疗领域个人信息保护规定》（2025修订），以下哪项不属于患者隐私的核心保护范围？A.患者就诊时的面部影像记录（非诊疗必要）B.患者既往心理咨询记录C.患者医保缴费金额D.患者手术中切除组织的病理报告答案：C（医保缴费金额属于经济信息，非直接关联诊疗隐私，除非与健康状况强相关）2.某医院为优化就诊流程，拟通过第三方公司开发的APP收集患者手机号、身份证号、既往病史等信息。根据“最小必要原则”，以下哪项信息无需收集？A.用于身份核验的身份证号后4位B.用于预约的手机号C.用于疾病评估的既往手术史D.用于营销推广的家庭住址答案：D（家庭住址与就诊流程无直接必要关联，违反最小必要原则）3.患者张某因抑郁症就诊，要求医生不得将病情告知其配偶。根据《民法典》第1032条及《医师法》第23条，医生的正确做法是？A.必须告知配偶，因涉及家庭成员健康利益B.拒绝告知，但需在病历中注明患者要求C.需与患者协商，若配偶可能受直接影响可部分告知D.直接拒绝患者要求，按常规流程记录答案：B（患者对病情有自主决定权，非法定必须告知情形时应尊重其隐私要求）4.某基层医院因系统升级，需将2020-2023年电子病历数据迁移至云服务器。根据《数据安全法》及《医疗数据分类分级指南》，以下哪项操作不符合存储要求？A.对患者姓名、身份证号进行去标识化处理B.采用AES-256加密算法对敏感字段加密C.仅授权3名系统管理员拥有完整数据访问权限D.将备份数据存储于未联网的本地硬盘答案：A（去标识化数据仍可能通过关联分析复原个人信息，迁移敏感医疗数据需采用匿名化处理）5.实习医生李某在撰写学术论文时，需引用患者王某的典型病例。根据《医疗质量安全核心制度》，李某应首先完成哪项程序？A.直接使用病例，因已匿名化处理B.经带教老师审核后使用C.取得患者书面同意或伦理委员会批准D.在论文中隐去患者姓名即可答案：C（涉及患者个人信息的学术使用需获得患者同意或伦理审查）6.某医院与保险公司合作开展健康管理项目，需共享患者的诊断结果和治疗方案。根据《个人信息保护法》第23条，以下哪项是合法共享的必要前提？A.保险公司承诺不向第三方转售信息B.医院通过公告栏告知患者合作事项C.患者明确同意共享的具体内容和范围D.保险公司具备三级等保认证答案：C（个人信息共享必须取得个人明确同意，公告告知不构成有效同意）7.患者陈某在急诊科就诊时，其朋友未经允许拍摄了病历屏幕内容。医护人员发现后，正确的处理措施是？A.要求其删除照片，若拒绝则报警B.记录情况但不干涉，因属个人行为C.告知患者朋友病历内容属于隐私，需经患者同意D.直接没收拍摄设备答案：A（他人擅自拍摄病历侵犯患者隐私，医护人员有权要求删除，必要时寻求公权力救济）8.某互联网医院在用户注册时，要求勾选“同意收集地理位置、通讯录、短信记录”作为使用前提。根据《个人信息保护法》第16条，该行为违反了？A.目的明确原则B.最小必要原则C.公开透明原则D.质量原则答案：B（地理位置、通讯录等与互联网诊疗无直接必要关联，属于过度收集）9.护士王某在值班时，被患者家属追问患者的HIV检测结果。根据《传染病防治法》第12条，王某的正确回应是？A.“结果还没出来，出来后会通知患者本人”B.“这是患者隐私，我不能透露”C.“检测结果显示阳性，但请不要告诉其他人”D.“你是家属，有权知道，结果是阳性”答案：B（HIV检测结果属于患者隐私，非法定情形不得向家属透露）10.某医院因设备故障导致300份患者电子病历泄露至公共网络，根据《医疗质量安全事件报告暂行规定》，医院应在多长时间内向上级卫生行政部门报告？A.立即（1小时内）B.24小时内C.48小时内D.72小时内答案：A（重大患者信息泄露属于一级医疗质量安全事件，需立即报告）11.患者赵某要求复制其门诊病历，医院以“病历尚未归档”为由拒绝。根据《医疗机构病历管理规定》（2024修订），医院的行为是否合法？A.合法，未归档病历不可复制B.不合法，患者有权复制所有在院期间形成的病历资料C.合法，需待归档后5个工作日内提供D.不合法，需在患者提出申请后24小时内提供答案：B（2024修订规定明确患者可复制在院期间形成的所有病历，不受归档状态限制）12.某医药公司为研发新药，向医院购买去标识化的患者用药数据。根据《数据安全法》第33条，以下哪项是合规交易的必要条件？A.数据已无法通过任何方式复原到特定个人B.医院已取得所有患者口头同意C.医药公司承诺仅用于研发D.交易金额需经第三方评估答案：A（去标识化数据若仍可复原，则需按个人信息保护；完全匿名化后可自由交易）13.医生刘某在社交媒体发布“今日接诊一位罕见病患者，症状为……”，未提及姓名但详细描述了患者年龄、病史、居住区域等特征。根据《个人信息保护法》第28条，该行为可能构成？A.合理学术交流，不侵权B.侵犯隐私，因信息可被识别C.侵犯名誉权，非隐私权D.合法科普，无需担责答案：B（虽未具名，但结合年龄、病史、区域等特征可识别特定个人，属于泄露隐私）14.某体检中心将客户的体检报告数据提供给第三方用于健康大数据分析，客户签署的《服务协议》中有“同意数据用于学术研究”条款。根据《个人信息保护法》第17条，该同意是否有效？A.有效，因客户已签署协议B.无效，因未明确数据使用的具体范围和方式C.有效，学术研究属于合法使用D.无效，需单独取得书面同意答案：B（同意条款需明确数据处理的目的、方式、范围，笼统表述“学术研究”不构成有效同意）15.患者孙某死亡后，其家属要求查阅并复制孙某的全部病历。根据《民法典》第994条及《医疗机构病历管理规定》，医院的正确做法是？A.拒绝，因患者已死亡，隐私保护终止B.仅提供死亡记录，其他病历不可复制C.经家属书面申请后，提供全部可复制病历D.需经司法机关批准后提供答案：C（患者死亡后，其近亲属仍有权行使隐私相关权利，可依法查阅复制病历）二、多项选择题（每题3分，共30分。每题至少2个正确选项，错选、漏选均不得分）1.根据《医疗领域个人信息保护规定》（2025修订），患者隐私保护的“最小必要原则”体现在哪些方面？A.仅收集与诊疗直接相关的信息B.限制访问病历的人员范围（仅必要医护）C.存储时间不超过诊疗所需的合理期限D.向第三方共享信息时仅提供必要字段答案：ABCD（均为最小必要原则的具体要求）2.以下哪些情形属于医疗机构合法处理患者个人信息的情形？A.为应对突发公共卫生事件，向疾控部门报告患者信息B.应法院要求提供患者病历作为诉讼证据C.经患者书面同意用于新药临床试验D.为统计医院年度诊疗数据，汇总患者年龄、性别信息答案：ABCD（分别对应法定职责、司法协助、个人同意、统计匿名化处理）3.某医院拟建立患者信息安全管理制度，需包含以下哪些内容？A.信息访问权限分级机制B.数据泄露应急处置流程C.医护人员隐私保护培训计划D.第三方合作方安全评估标准答案：ABCD（均为信息安全管理制度的核心要素）4.患者有权对其个人信息行使以下哪些权利？A.查阅、复制病历资料B.要求更正错误的诊断记录C.撤回之前作出的信息使用同意D.要求删除已治愈疾病的相关信息答案：ABC（删除权仅在特定情形下行使，如信息处理无合法依据，已治愈疾病信息不属于必须删除范围）5.以下哪些行为可能导致医护人员承担法律责任？A.护士将工作电脑登录密码告知实习医生B.医生在值班室讨论患者病情时未回避无关人员C.药剂师因工作失误将患者处方信息发送至错误邮箱D.护工在整理病房时看到患者病历并转述给他人答案：ABCD（均涉及违规处理患者信息，可能承担民事、行政或刑事责任）6.根据《数据安全法》，医疗数据处理者需履行的义务包括？A.制定数据安全管理制度和操作规程B.采取必要技术措施保障数据安全C.定期开展数据安全风险评估D.向社会公开数据处理的完整流程答案：ABC（数据处理流程涉及商业秘密，无需向社会公开）7.患者隐私泄露后，医疗机构应采取的应急措施包括？A.立即暂停相关系统运行B.评估泄露信息的类型和影响范围C.通知受影响患者并告知补救措施D.向卫生行政部门和网信部门报告答案：ABCD（均为泄露事件的标准处置步骤）8.以下哪些信息属于“敏感个人信息”（需特别保护）？A.患者的基因检测结果B.12岁儿童的就诊记录C.患者的精神疾病诊断D.孕妇的产检超声图像答案：ABCD（基因信息、未成年人信息、精神健康信息、身体隐私信息均属敏感信息）9.互联网医院在收集患者信息时，需向用户明确告知的内容包括？A.信息收集的目的和方式B.信息存储的地点和期限C.信息共享的第三方主体D.用户行使权利的途径答案：ABCD（《个人信息保护法》第17条要求的告知内容）10.关于电子病历的打印和流转，以下符合规范的是？A.打印病历时隐去患者身份证号、联系方式B.流转至外院的病历需经患者书面同意C.实习医生可通过个人邮箱发送患者病历用于学习D.废弃的病历纸质文档需粉碎处理答案：ABD（个人邮箱传输存在安全风险，禁止通过非加密个人账号流转病历）三、判断题（每题2分，共20分。正确填“√”，错误填“×”）1.患者在医院公共区域的活动影像属于公开信息，医院无需保护。（）答案：×（公共区域影像仍可能涉及患者隐私，医院需限制非必要存储和使用）2.医护人员因工作需要查阅患者病历后，可将账号密码告知同事以便紧急情况下使用。（）答案：×（账号密码需专人专用，禁止共享）3.患者签署《知情同意书》后，医疗机构可无限期使用其个人信息。（）答案：×（信息使用需在同意的目的和期限内，超出范围需重新取得同意）4.匿名化处理后的患者数据可以自由交易，无需标注来源。（）答案：√（匿名化数据无法识别特定个人，不受个人信息保护规则限制）5.老年患者因认知障碍无法表达隐私意愿，其子女可代为决定是否共享病情。（）答案：×（需由法定监护人代为行使权利，但需以患者利益最大化为原则）6.医院为提升服务质量，可将患者评价中的姓名、就诊时间等信息用于宣传。（）答案：×（需取得患者明确同意，否则构成隐私侵权）7.急救情况下无法取得患者同意时，医疗机构可直接处理其个人信息。（）答案：√（属于《个人信息保护法》规定的“为维护公共利益或个人重大利益”的例外情形）8.护士在治疗室大声讨论患者的性病诊断，导致其他患者听到，属于隐私泄露。（）答案：√（未采取合理措施保护隐私，构成侵权）9.患者要求查看其电子病历的访问记录，医院以“系统无此功能”为由拒绝。（）答案：×（患者有权知悉其信息的处理情况，医院需提供访问记录查询服务）10.医药代表经医院允许进入病房推销药品时，可拍摄患者使用药物的过程。（）答案：×（拍摄患者需取得明确同意，且与诊疗无关的拍摄属于违规收集信息）四、案例分析题（共20分）案例1（8分）：2026年3月，某三甲医院信息系统遭黑客攻击，导致5000份患者电子病历（包含姓名、身份证号、诊断结果、用药记录）泄露至暗网。经调查，医院未按规定对敏感字段加密，且近1年未更新系统安全补丁。问题：（1）医院存在哪些违规行为？（4分）（2）患者可主张哪些权利？（4分）答案：（1）违规行为：①未对敏感个人信息采取加密等必要安全措施（违反《个人信息保护法》第51条）；②未定期进行系统安全维护（违反《数据安全法》第21条）；③未履行个人信息保护义务导致泄露（违反《医疗领域个人信息保护规定》第18条）。（2）患者权利：①要求医院采取补救措施（如通知平台删除泄露信息）；②主张损害赔偿（若因泄露遭受财产或精神损失）；③向卫生行政部门或网信部门投诉；④要求医院提供泄露信息的具体情况说明。案例2（12分）：2026年5月，某社区医院医生张某为完成科研课题，未经患者李某同意，将其糖尿病诊疗记录（包含血糖监测数据、用药调整过程）提供给合作药企用于新药疗效分析。李某发现后，以隐私侵权为由起诉。问题：（1）张某的行为是否构成侵权？法律依据是什么？（4分）（2）医院是否需承担连带责任？为什么？（4分）（3）若李某