26年个人信息保护法护理适用课件

202X演讲人2026-05-0226年个人信息保护法护理适用课件目录01.课件开篇与立法背景概述02.护理场景中个人信息的核心范畴界定03.护理全流程个人信息保护合规实操04.常见合规风险排查与整改路径05.突发个人信息泄露事件的应急处置06.课件总结与行业展望各位护理同仁、科室负责人：大家好，我是某医疗集团护理部专职合规专员张默。之所以今天和大家聚焦2026年版的个保法护理场景适用要点，是因为近三年来《个人信息保护法》（以下简称个保法）的配套细则陆续落地，尤其是2025年国家卫健委修订发布的《医疗机构个人信息保护管理暂行办法》，不少一线护理伙伴反馈“新规太多跟不上”。我结合这三年来我们科室处理的4起个人信息保护投诉、2次监管检查整改的亲身经历，把护理全流程里的个保法适用逻辑拆解清楚，希望能帮大家把合规要求落到日常工作里。今天的课件整体分为6个模块：先从立法背景和护理场景的适配性讲起，再明确护理场景里的个人信息范畴，接着拆解全流程的合规实操，然后梳理常见风险的排查整改路径，最后讲突发泄露的应急处置，最后做整体总结。01PARTONE课件开篇与立法背景概述1个保法的立法初衷与护理场景的核心关联我刚接触个保法的时候，总觉得这是法务、信息部门的事，和我们护士、护理员的日常工作没关系。直到2023年我们科室有个新护士，用个人微信给患者家属发了术后伤口换药记录，被患者投诉到卫健委，才明白：护理工作全程都在处理患者的个人信息，每一次记录、每一次沟通，都在触碰个保法的红线。个保法的核心是“保护自然人的个人信息权益，规范个人信息处理活动”，而护理场景是医疗健康领域个人信息处理最高频的场景：从患者入院时的身份登记，到日常的血压血糖记录、护理依赖等级评估，再到出院后的随访沟通，我们每天都在收集、存储、传递患者的个人信息。2026年的个保法配套细则里，专门新增了“医疗护理场景个人信息处理规范”章节，就是针对我们这个群体的实操要求。1个保法的立法初衷与护理场景的核心关联1.22021-2026年个保法配套政策的迭代脉络从2021年个保法正式实施，到2026年的现行版本，和护理相关的政策更新主要有三个节点：2022年：《个人信息处理合规指南（医疗健康领域）》发布，明确护理记录属于“敏感个人信息”，必须单独获得授权；2024年：《养老机构个人信息保护规范》出台，针对居家上门护理、养老机构的信息收集做了细化要求；2025年：卫健委修订《医疗机构个人信息保护管理暂行办法》，将护理人员的信息处理行为纳入监管范围，明确了未履行告知义务、过度收集信息的处罚标准。我整理了一份我们科室的政策学习清单，会后大家可以扫码领取，里面把和护理直接相关的条款都标红了。02PARTONE护理场景中个人信息的核心范畴界定1个保法对个人信息的法定定义根据个保法第二条，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。这里要注意两个关键点：一是“可识别性”，哪怕只是一个血糖值，结合患者的姓名和病房号，就能识别到特定的人，所以也属于个人信息；二是“处理活动”，包括收集、存储、使用、加工、传输、提供、公开等，我们做的每一次护理操作，都属于“处理”行为。2护理场景专属的个人信息类型护理场景里的个人信息，比普通场景更特殊，主要分为三类：2护理场景专属的个人信息类型2.1基础身份信息就是我们入院时登记的姓名、身份证号、联系方式、家庭住址、医保卡号等，这类信息是护理工作的基础，但必须遵循“最小必要”原则——比如我们不需要收集患者的宗教信仰、婚恋状况，除非患者主动告知且护理工作确实需要（比如清真饮食护理）。2护理场景专属的个人信息类型2.2敏感个人信息这是护理场景里最需要注意的部分，根据个保法第二十八条，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括健康信息、生物识别信息等。护理场景里的敏感个人信息主要包括：患者的疾病史、诊疗记录、手术史；日常护理记录：血压、血糖、心率、褥疮情况、精神状态；特殊护理相关信息：比如残疾人护理的残疾等级、母婴护理的婴儿出生信息、精神科护理的病情评估记录；护理依赖等级：比如失能老人的护理依赖程度鉴定结果。2护理场景专属的个人信息类型2.3特殊场景扩展信息比如上门护理时的家属联系方式、患者的家庭住址、养老机构里的老人的子女联系方式，这类信息虽然不属于直接的健康信息，但一旦泄露可能导致诈骗、骚扰，也属于个保法的保护范围。3护理场景中“个人信息”与“医疗数据”的边界很多伙伴会问：护理记录属于医疗数据还是个人信息？其实两者是交叉的：护理记录既是医疗数据（属于医疗机构的核心数据），也是个人信息（属于患者的个人隐私）。根据个保法的优先适用原则，当医疗数据涉及特定自然人的可识别信息时，必须遵循个保法的要求，比如不能随意公开医疗数据，不能未经授权传递给第三方。我之前遇到过一个案例：我们科室的一个护士把患者的褥疮护理记录发到了医院的公共工作群里，虽然群里都是医护人员，但还是被患者投诉了，因为公共群不属于“限定范围的查阅主体”，违反了个保法的“限定处理范围”要求。03PARTONE护理全流程个人信息保护合规实操护理全流程个人信息保护合规实操这部分是今天的核心内容，我会结合护理的三个核心环节，拆解每个步骤的合规要求，都是我们科室经过整改后验证过的实操方法。1入院/接待环节的信息收集合规入院接待是护理工作的第一个环节，也是个人信息收集的第一个节点，这里最容易出现过度收集、未履行告知义务的问题。1入院/接待环节的信息收集合规1.1严格遵循“最小必要”原则我们科室之前的入院登记表上，有“婚姻状况”“职业”“收入”等栏目，后来被督察组指出属于过度收集，我们立即修改了登记表，只保留了姓名、身份证号、联系方式、住址、过敏史、既往病史这6项必要信息。这里给大家一个实操技巧：凡是表格上的栏目，都要问自己“这个信息是不是为了完成当前的护理工作必须要的？”比如“职业”只有在涉及职业病护理时才需要收集，否则就可以删掉。1入院/接待环节的信息收集合规1.2履行明确的告知义务根据个保法第十七条，处理个人信息应当履行告知义务，包括处理的目的、方式、范围，以及患者的权利（查阅、复制、删除、更正等）。我们科室现在的入院知情同意书里，专门增加了“个人信息保护告知”条款，用通俗易懂的语言告诉患者：“我们将收集您的健康信息用于日常护理和诊疗，仅由您的责任护士和主治医生查阅，不会未经您同意传递给第三方”。这里要注意：敏感个人信息的告知必须单独进行，不能和入院同意书混在一起。比如收集患者的HIV检测结果，必须单独签一份《敏感个人信息处理授权书》，明确告知收集的目的和用途。1入院/接待环节的信息收集合规1.3授权同意的特殊要求根据个保法第二十九条，处理敏感个人信息应当取得个人的单独同意。我们科室之前有个新护士，把敏感信息的授权条款放在了入院同意书里，让患者一起签字，后来被投诉，整改的时候我们专门给新护士做了培训，要求敏感信息的授权必须单独签署，并且要向患者解释清楚每一项内容。2护理执行环节的信息处理合规这是护理工作最核心的环节，也是个人信息处理最频繁的环节，最容易出现违规行为。2护理执行环节的信息处理合规2.1护理记录的规范管理我们科室现在的护理记录分为电子记录和纸质记录两种：电子记录：全部上传到医院的加密信息系统，只有责任护士和主治医生有权限查阅，系统会自动记录每一次查阅的时间和人员，防止未经授权的访问；纸质记录：用完后必须及时归档到患者的病历柜里，废弃的护理单必须用碎纸机处理，不能随便扔在垃圾桶里。去年我们有个护士把用过的血糖记录单扔在了公共垃圾桶里，被保洁员捡到后交给了患者家属，被投诉了，后来我们专门制定了“废弃护理记录处理流程”，要求所有废弃的纸质记录必须当天碎纸。2护理执行环节的信息处理合规2.2敏感信息的查阅权限管控护理人员只能查阅自己负责的患者的信息，不能随便查阅其他病房的患者记录。我们科室现在给每个护士都设置了专属的系统账号，只能查看自己分管的患者的信息，比如有个护士帮朋友查了隔壁床的糖尿病患者的血糖记录，被系统监测到，我们对她进行了通报批评和罚款，同时给所有护士做了权限管控的培训。2护理执行环节的信息处理合规2.3信息传递的合规要求护理工作中经常需要传递患者的信息，比如给家属反馈病情、和其他科室的医护人员沟通，这里必须注意：不能用个人微信、QQ等非加密渠道传递敏感信息；如果需要用工作群传递，必须使用医院的加密工作群，并且限定群成员为相关医护人员；传递信息时，必须隐去无关的个人信息，比如不要把患者的身份证号、家庭住址一起发送。我们科室之前有个护士用个人微信给患者家属发了术后伤口的照片，被患者投诉，后来我们规定：所有患者信息的传递必须通过医院的加密通讯系统，或者使用纸质记录当面交接。3出院/随访环节的信息留存与销毁出院和随访环节是个人信息处理的收尾环节，也是最容易被忽略的环节。3出院/随访环节的信息留存与销毁3.1信息留存的期限与范围根据《医疗纠纷预防和处理条例》，护理记录需要保存30年，但根据个保法，个人信息的处理应当在实现处理目的后及时销毁。这里我们需要平衡两者：患者出院后，护理记录的核心内容需要保存30年用于医疗纠纷处理，但如果患者要求删除自己的个人信息，我们需要在15个工作日内删除除了医疗纠纷处理必需的信息之外的内容。3出院/随访环节的信息留存与销毁3.2患者的个人信息权利行使根据个保法第四十四条，患者有权查阅、复制自己的护理记录，有权要求更正错误的信息，有权要求删除自己的个人信息。我们科室现在专门设置了“个人信息查询窗口”，患者可以在3个工作日内查阅自己的护理记录，去年有个患者要求查阅自己的术后护理记录，我们一开始说没有，后来才知道护士把记录存在了私人电脑里，没有上传到医院系统，整改的时候我们要求所有护理记录必须当天上传到医院系统，不能存在私人设备里。3出院/随访环节的信息留存与销毁3.3境外传输的禁止要求根据个保法第三十八条，个人信息向境外提供的，应当经过安全评估。护理场景里基本不会有境外传输的情况，但如果是连锁养老机构，比如总部在境外，就需要注意：不能把国内患者的信息传到境外，除非经过国家网信部门的安全评估。4上门护理场景的特殊合规要求随着居家护理、上门护理的普及，这个场景的个人信息保护问题越来越突出，我们科室作为试点单位，总结了三个核心合规要点：4上门护理场景的特殊合规要求4.1上门前的信息核对上门护理前，必须确认上门对象是患者本人，不能随便把护理用品交给陌生人。我们现在要求上门护士必须携带患者的身份证复印件和授权委托书（如果是家属陪同），并且在上门前10分钟和患者电话确认，防止出现冒领护理用品或者泄露信息的情况。4上门护理场景的特殊合规要求4.2上门时的信息保护上门护理时，不能在电梯里、走廊里大声谈论患者的病情，比如有个上门护士在电梯里和同事说“那个张大爷的褥疮很严重，需要经常翻身”，被其他乘客听到，后来张大爷投诉了，说侵犯了他的隐私。我们现在要求上门护士必须随身携带隐私保护提示卡，上面写着“请勿在公共场合谈论患者病情”。4上门护理场景的特殊合规要求4.3上门后的信息记录与签字上门护理后，必须让患者或者家属签字确认护理记录，不能代签，除非有患者的书面授权委托书。我们现在要求上门护士必须使用加密的移动护理终端记录信息，并且在完成护理后当场让患者签字，不能事后补签。04PARTONE常见合规风险排查与整改路径常见合规风险排查与整改路径我整理了我们科室这三年来排查出的12个常见合规风险，给大家做一个分类梳理：1日常排查的重点环节1.1护理记录的电子化管理重点排查：有没有护士用私人手机、U盘存储护理记录，有没有未加密的电子文件，有没有系统权限管控不到位的情况。我们科室之前排查出有3个护士用私人手机存储了患者的护理记录，我们立即要求他们删除，并且建立了“私人设备存储信息处罚制度”，以后再发现类似情况，直接扣除当月绩效。1日常排查的重点环节1.2信息收集的合规性重点排查：有没有收集超出必要范围的信息，有没有未履行告知义务，有没有敏感信息未单独授权。我们科室之前的入院登记表上有“宗教信仰”栏目，后来我们删掉了，因为不属于护理工作的必要信息。1日常排查的重点环节1.3员工的培训情况重点排查：有没有定期组织个保法的培训，有没有新护士入职时的个保法培训。我们科室现在每个月都会组织一次个保法的培训，并且每月进行一次合规考核，考核不合格的需要重新培训。2常见违规行为的整改方案2.1违规收集信息立即停止收集，删除已收集的信息，对相关员工进行培训，并且补签知情同意书（如果需要的话）。比如我们科室之前有个养老机构的护理员收集了老人的银行账户信息（除了代收护理费之外），我们立即要求她删除，并且给老人道歉，同时修改了入院登记表。2常见违规行为的整改方案2.2违规传递信息立即追回已传递的信息，对相关员工进行处分，并且完善信息传递的流程。比如我们科室之前有个护士用个人微信给家属发了患者的护理记录，我们立即要求她撤回消息，并且对她进行了通报批评，同时建立了“信息传递审批制度”，所有传递患者信息的行为都需要经过护理部的审批。2常见违规行为的整改方案2.3未履行告知义务补签知情同意书，对患者进行道歉，并且对相关员工进行培训。比如我们科室之前有个新护士没有给患者签署敏感信息授权书，我们立即给患者补签了，并且对新护士进行了专项培训。3监管部门的检查要点根据卫健委的最新检查标准，护理场景的个人信息保护检查重点有三个：是否存在过度收集个人信息的情况；是否存在未履行告知义务的情况；是否存在泄露患者敏感信息的情况。我们科室去年接受了卫健委的检查，因为我们的护理记录系统有一个权限漏洞，导致部分护士可以查阅其他患者的信息，我们立即修复了漏洞，并且对所有护士的权限进行了重新设置，最后顺利通过了检查。05PARTONE突发个人信息泄露事件的应急处置突发个人信息泄露事件的应急处置如果发生了个人信息泄露，一定要第一时间处理，不能隐瞒，否则会面临更严重的处罚。我们科室去年遇到过一次护理记录泄露的事件，给大家分享一下我们的处置流程：1应急处置的标准流程1.1第一时间上报发现泄露后，立即上报护理部和医院的法务部门，不能拖延。我们科室去年有个护士的工作电脑被偷了，里面存储了20多个患者的护理记录，她一开始想自己处理，后来发现处理不了，才上报给我们，幸好发现及时，没有造成太大的影响。1应急处置的标准流程1.2风险评估立即评估泄露的信息类型、范围、影响程度，比如如果泄露的是患者的身份证号和联系方式，就要考虑可能会有诈骗、骚扰的风险；如果泄露的是患者的健康信息，就要考虑可能会对患者的人格尊严造成侵害。我们当时评估后发现泄露的是20多个患者的血糖记录和联系方式，属于敏感信息，影响范围较大，所以我们立即通知了这20多个患者。1应急处置的标准流程1.3整改措施立即修复漏洞，比如如果是系统被黑客攻击，就要升级防火墙，更换密码；如果是私人设备存储了信息，就要立即删除信息，并且更换设备的密码。我们当时立即更换了工作电脑的密码，并且升级了医院的信息系统防火墙，同时要求所有护士不能在私人设备上存储患者的护理记录。1应急处置的标准流程1.4告知患者根据个保法第五十七条，发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知患者有关主管部门和患者。我们当时在72小时内通知了这20多个患者，并且给他们提供了免费的反诈咨询服务，最后没有出现诈骗的情况。2应急处置的注意事项01.不能向无关人员透露泄露情况，防止造成更大的恐慌；02.不能销毁或者篡改相关证据，比如系统日志、聊天记录