患者就医数据隐私保护提质细则

患者就医数据隐私保护提质细则第一章总则与基本原则1.1目标与依据为全面提升医疗机构患者就医数据隐私保护能力，切实维护患者个人信息安全及合法权益，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《医疗卫生机构网络安全管理办法》等相关法律法规及行业标准，结合本院信息化建设实际情况，特制定本提质细则。本细则旨在构建全流程、全生命周期、多维度的数据隐私防护体系，实现从“被动合规”向“主动防御”与“精细化管理”的转变。1.2适用范围本细则适用于本院所有涉及患者就医数据处理（包括收集、存储、使用、加工、传输、提供、公开、删除等）的部门、科室、信息系统及全体工作人员（含正式员工、合同制人员、实习生、进修生、外包服务人员及第三方合作机构人员）。1.3核心原则（1）最小必要原则：处理患者数据应当限于实现处理目的的最小范围，不得过度收集与医疗服务无关的信息。（2）知情同意原则：在收集患者个人信息前，应当向患者告知处理目的、方式、范围及存储期限，并获得其明确授权。紧急情况下为挽救生命可依规先行处理，事后及时补办手续。（3）全程可控原则：建立数据全生命周期追溯机制，确保数据流转过程可审计、可追溯、可管控。（4）分类分级原则：依据数据重要性和敏感程度实施差异化保护策略，核心隐私数据采取最高级别防护措施。（5）权责一致原则：坚持“谁主管、谁负责，谁使用、谁负责，谁运维、谁负责”，严格落实数据安全责任制。第二章患者就医数据分类分级标准2.1数据分类定义患者就医数据是指患者在就医过程中产生的，能够单独或者结合其他信息识别特定自然人的各种信息。根据数据属性和业务场景，将其分为以下四大类：（1）基础身份信息：包括姓名、身份证号、社会保障号码、护照号、联系电话、家庭住址、工作单位等。（2）医疗健康信息：包括病历资料（门诊病历、住院病历、出院小结）、检查检验结果（影像数据、血液生化报告、病理报告）、处方信息、手术记录、护理记录、过敏史、家族病史等。（3）支付与金融信息：包括医保结算信息、自费支付记录、银行卡号、支付账户信息、费用明细清单等。（4）衍生与行为信息：包括挂号记录、就诊轨迹、APP操作日志、网页浏览记录、设备IP地址、生物识别信息（指纹、人脸识别数据）等。2.2数据分级规范根据数据泄露、篡改、丢失、滥用后对患者个人权益、公共利益及国家安全造成的危害程度，将患者就医数据划分为四个等级，并实施对应的保护强度。数据等级定义描述典型数据示例保护强度要求第四级（绝密级）泄露后可能危害国家安全、公共利益或对患者造成极其严重的人身、财产损害。基因测序数据、传染病筛查报告（未公开）、精神卫生专科病历、生物识别原始数据。最高强度物理隔离、强加密存储、双人双鉴审批访问、操作强制审计。第三级（敏感级）泄露后对患者个人尊严、人身安全或财产安全造成严重损害。身份证号、病历原文、检查检验详细报告、处方详情、家庭住址、银行卡号。高强度加密存储、严格的访问控制（RBAC）、数据脱敏展示、传输加密。第二级（内部级）泄露后可能对患者的正常生活造成一般性影响或干扰医院正常秩序。挂号记录、就诊时间、普通诊断名称（不含详情）、费用总额、联系电话。内部网络隔离访问、身份认证、基础审计、防止批量爬取。第一级（公开级）可向社会公开或患者自愿公开，不涉及隐私的信息。医院科室介绍、医生出诊时间表（公开部分）、就医指引、健康宣教知识。基础网络安全防护、防篡改。第三章数据采集与录入安全规范3.1前端采集控制（1）最小化字段设置：信息系统在开发及配置时，应严格限制录入表单字段。对于非诊疗必须的个人信息（如婚姻状况、收入水平等，除非特定科室需求），一律设置为非必填项或默认不采集。（2）合规性校验：前端界面应设置数据格式校验，防止恶意代码注入或非法字符录入。对于身份证号、电话号码等敏感字段，应具备格式自动查重与逻辑校验功能。（3）知情同意强化：在患者初次建档或签署电子病历时，系统必须弹窗显示《个人信息处理告知书》，内容需清晰列明数据用途及第三方共享情况（如有），患者必须点击“同意”后方可进行后续操作。系统应记录同意的时间戳及IP地址。3.2录入过程安全（1）权限分离：医生录入病历时，仅能录入与其执业范围相关的数据；护士录入护理记录时，不得随意修改医生下达的医嘱数据。（2）后台屏蔽：对于窗口挂号人员、收费人员，其操作界面应通过技术手段自动屏蔽（打码）患者的详细病史及检查结果，仅显示必要的身份与支付信息。（3）语音与影像采集：在门诊诊室、检查室等区域进行录音、录像（如用于教学或手术记录）时，必须提前告知患者并获得明确书面同意。采集的音视频数据应按照第三级或第四级数据进行管理。第四章数据存储与介质安全管理4.1数据库安全加固（1）加密存储：所有第三级及以上敏感数据在数据库底层必须采用加密算法（如SM4国密算法或AES-256）进行存储。数据库密码密钥应与应用程序分离存储，并实施定期轮换机制（每季度至少一次）。（2）静态数据脱敏：开发、测试、数据分析等非生产环境数据库，必须使用经过脱敏处理后的数据。严禁将真实生产数据（包含患者明文信息）直接复制到测试环境。（3）数据库审计：部署独立的数据库审计系统，对所有SQL操作语句进行实时记录，特别是对批量查询（SELECT）、导出（EXPORT）、删除（DELETE）、修改（UPDATE）操作进行高危告警。4.2备份与恢复安全（1）备份加密：所有数据备份文件（全量、增量）必须进行加密处理。（2）异地容灾：建立异地数据容灾备份中心，确保在发生重大灾难时核心数据不丢失。（3）备份介质管理：物理备份介质（硬盘、磁带）应存放于防火、防潮、防磁的安全环境中，并实行严格的出入库登记制度。废旧备份介质在销毁前，必须进行物理消磁或粉碎处理，确保数据不可恢复。4.3终端与移动存储（1）禁止私存：严禁医护人员将患者数据（包括病历截图、文档复印件）存储在个人计算机、私人U盘、私人网盘或个人手机中。（2）移动设备管理（MDM）：用于移动查房的平板电脑、手持终端（PDA）必须安装MDM客户端，实施设备绑定、应用白名单、远程数据擦除策略。一旦设备丢失或离线超时，管理员可立即远程清除设备内所有医疗数据。第五章数据访问控制与身份认证5.1强身份认证机制（1）多因素认证（MFA）：所有访问核心业务系统（HIS、EMR、PACS）的医护人员，必须通过“用户名+口令+动态令牌/生物特征”的多因素认证方可登录。（2）统一身份认证（IAM）：建设全院统一的身份认证平台，实现单点登录（SSO），确保用户账号在全生命周期内的唯一性。员工离职或转岗时，IAM系统应自动同步权限，即时回收原系统访问权限。（3）弱口令整治：系统应强制实施强密码策略（长度不少于12位，包含大小写字母、数字及特殊符号），并禁止使用近5次使用过的旧密码。连续输错密码5次应锁定账号。5.2细粒度权限管理（1）基于角色的访问控制（RBAC）：依据科室、岗位、职称预设角色模板。系统管理员应根据“最小授权”原则，将用户加入对应角色，严禁直接赋予用户超级管理员权限。（2）数据范围控制：横向隔离：医生通常只能查看本科室或本人负责的患者数据。跨科室会诊需通过临时授权流程。纵向隔离：低年资医师对某些特殊诊断结果或高敏感数据（如HIV初筛阳性）可能仅有“查看需确认”权限，而无直接导出权限。（3）特权账号管理（PAM）：对数据库管理员（DBA）、系统运维人员等特权账号，实施“账号托管”策略。运维人员平时不掌握特权密码，需通过工单审批，系统在特定时间窗口自动下发密码，并全程录屏审计。第六章数据使用与展示脱敏规则6.1动态脱敏展示在业务系统前端页面展示患者数据时，应根据当前登录用户的角色和业务场景，实时进行动态脱敏处理。具体规则如下表：数据类型脱敏展示规则（示例）适用场景姓名王某（隐藏中间字）或王**（保留姓氏）查房列表、收费窗口、排队叫号身份证号110101****1234（保留首尾各4位）电子病历查看、医保结算手机号138****1234通知发送界面、随访记录住址北京市朝阳区***（隐藏具体门牌号）患者信息概览病历详情[内容已脱敏，请点击申请权限查看]跨科室非授权医生查看6.2科研与教学使用（1）数据去标识化：用于临床研究、教学演示、学术论文的数据集，必须经过严格的去标识化处理（去除姓名、身份证号、住址等18类直接标识符），并进行重标识风险评估。（2）科研数据审批：提取大量患者数据用于科研时，申请人需填写《科研数据提取申请表》，经科主任、医务处、伦理委员会审批通过后，由数据中心在隔离环境内提取数据，签署保密协议后方可交付。6.3统计与报表（1）aggregation原则：对外发布医疗统计数据（如门诊量、疾病谱）时，必须确保数据聚合到无法识别个人的程度。当某类病例数量极少（如少于3例）时，应不予显示或合并至“其他”类别，防止通过差分攻击反推个体信息。第七章数据传输与接口安全管理7.1网络传输安全（1）加密通道：全院内部业务数据传输必须通过VPN、SSL/TLS加密通道进行。严禁在公共Wi-Fi环境下处理或传输患者数据。（2）网络隔离：严格执行内外网物理或逻辑隔离。临床业务数据网与互联网办公网之间部署网闸（安全隔离与信息交换系统），数据交换必须经过内容过滤和病毒查杀。7.2接口（API）安全管理（1）接口鉴权：所有对外提供数据服务的API接口，必须采用OAuth2.0、JWT等标准安全协议进行身份鉴权和令牌管理。（2）防爬虫与防刷：接口需具备频率限制、IP黑名单、验证码等防爬虫机制。防止恶意攻击者通过遍历接口ID窃取数据。（3）医联体/区域平台传输：向区域卫生信息平台、医联体单位上传患者数据时，必须采用符合国家标准的数字证书进行签名加密，并明确接收方的数据使用范围和法律责任。第八章第三方合作与外包服务管理8.1合作伙伴准入（1）安全评估：在引入第三方服务商（如互联网医院平台、远程会诊平台、云存储服务商、科研合作机构）前，必须对其数据安全保护能力进行尽职调查和风险评估。（2）合同约束：在与第三方签署的合同中，必须设立专门的数据安全与隐私保护条款，明确数据所有权、保密义务、违约责任及数据处理期限。禁止第三方将数据转授权给其他方。8.2外包人员管理（1）背景调查：对接触核心数据的驻场外包人员（如软件工程师、运维人员）进行严格的安全背景调查。（2）保密协议：外包人员入场前必须签署比本院员工更严格的《数据保密承诺书》。（3）操作管控：外包人员仅能访问其工作所需的特定测试环境或受限生产环境，其所有操作行为必须被实时监控和录屏，禁止未经批准的批量数据下载。第九章数据销毁与生命周期终结9.1销毁触发条件当达到以下条件之一时，应立即启动数据销毁流程：（1）医疗服务目的已实现且无继续保存必要的。（2）患者撤回同意且法律法规允许删除的。（3）超出法律法规规定的保存期限（如门诊病历保存15年，住院病历保存30年）的。（4）医疗机构终止运营或相关信息系统废弃的。9.2销毁执行标准（1）逻辑销毁：通过软件指令对数据进行覆盖或删除，并清除相关索引记录，使得系统无法检索到该数据。（2）物理销毁：对于存储过患者敏感数据的硬盘、服务器、磁带等废旧存储介质，应采用消磁机进行多次消磁或通过专业粉碎机进行物理粉碎，确保数据彻底无法恢复。（3）销毁记录：每次数据销毁操作均需记录销毁数据的类型、数量、时间、执行人及监销人，形成《数据销毁记录表》并归档保存。第十章安全审计与监督管理10.1审计日志管理（1）日志内容：审计日志必须包含用户账号、操作终端IP/MAC、操作时间、操作模块、操作前数据、操作后数据、执行结果等关键要素。（2）日志留存：审计日志留存时间不得少于6个月，对于涉及敏感数据操作的日志，建议留存3年以上。（3）防篡改：审计日志系统应独立于业务系统部署，并采用WORM（WriteOnceReadMany）技术存储，防止管理员或黑客篡改日志。10.2异常行为监测部署用户实体行为分析（UEBA）系统，利用大数据分析技术监测异常行为：（1）时间异常：非工作时间（如深夜）频繁查询病历。（2）量级异常：单日查询病历数量远超平均水平。（3）内容异常：查询非本科室、非本人管辖的患者数据。（4）地点异常：同一账号在极短时间内从异地登录。一旦发现异常，系统应立即触发告警，并采取自动阻断措施（如强制登出、冻结账号）。10.3定期审计与评估（1）内部审计：数据安全管理小组每季度对核心业务系统进行一次数据安全合规性审计，检查权限配置、日志留存、漏洞修复情况。（2）风险评估：每年至少开展一次全面的数据安全风险评估，识别潜在风险点，并制定整改计划。（3）合规自查：对照国家最新法律法规及行业标准，定期开展个人信息保护合规自查，及时调整不合规的数据处理活动。第十一章应急响应与违规处罚11.1应急响应机制（1）预案制定：制定《患者数据泄露安全事件应急预案》，明确应急组织架构、响应流程及各部门职责。（2）事件分级：根据数据泄露的影响范围和危害程度，将事件分为特别重大（I级）、重大（II级）、较大（III级）和一般（IV级）。（3）处置流程：报告：发现数据泄露疑似事件，应在30分钟内向数据安全管理小组报告。研判：小组在1小时内完成初步研判，确定事件等级。处置：立即采取断网、隔离账号、修补漏洞等技术措施，防止损失扩大。通报：按照法律法规要求，对于可能危害患者权益或公共安全的事件，及时向卫生健康行政部门及公安机关报告，并通知受影响患者。11.