医院患者隐私保护内部控制制度（2026版）

医院患者隐私保护内部控制制度（2026版）第一章总则第一条目的与依据为适应2026年医疗卫生事业高质量发展要求，进一步强化医院患者隐私保护力度，规范内部管理流程，防范信息泄露风险，维护患者合法权益及医院正常医疗秩序，依据《中华人民共和国民法典》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《医疗机构病历管理规定》等相关法律法规及卫生健康行政部门最新标准，结合本院数字化转型与智慧医院建设实际，制定本制度。第二条适用范围本制度适用于全院所有部门、科室及全体工作人员（含正式职工、合同制人员、规培生、实习生、进修人员、返聘专家、外包服务人员、保洁安保人员及志愿者等）。凡在本院区域内从事医疗、护理、医技、行政、后勤、教学、科研等活动，或接触、处理患者信息的任何个人与部门，均须严格遵守本制度。第三条基本原则（一）合法合规原则：患者隐私的收集、存储、使用、加工、传输、提供、公开等处理活动，必须具备合法目的，采取合法方式，并严格遵循相关法律法规规定。（二）最小必要原则：仅收集和处理与医疗服务、医院管理直接相关的最少信息，不得过度收集患者隐私。（三）知情同意原则：除法律法规规定或抢救生命等紧急情况外，处理患者敏感个人信息应当取得患者的单独同意。（四）全程控制原则：建立覆盖患者信息全生命周期的内部控制体系，确保从产生到销毁的各个环节均处于严密监控之下。（五）权责一致原则：明确各岗位在隐私保护中的职责与权限，实行“谁主管、谁负责，谁使用、谁负责，谁泄露、谁担责”的追责机制。第四条核心定义本制度所称患者隐私，是指患者在诊疗活动中向医疗机构提供的，以及医疗机构在服务过程中产生的，能够单独或者与其他信息结合识别特定患者身份的各种信息。包括但不限于患者的姓名、身份证号、社会保障号、居住地址、联系方式、病理诊断、影像资料、基因信息、生物识别信息、性生活史、婚姻史、家族病史、财务状况等。第二章组织架构与职责第五条领导机构医院设立患者隐私保护管理委员会，作为全院隐私保护的最高决策与监督机构。委员会由院长任主任委员，分管医疗、信息、法务的副院长任副主任委员，成员包括医务部、护理部、信息中心、保卫科、质控办、门诊部、住院部及相关临床科室负责人。委员会下设办公室在医务部，负责日常统筹协调工作。第六条主要职责（一）审定医院患者隐私保护战略规划、年度工作计划及重大政策制度。（二）协调解决跨部门的隐私保护重大问题及重大安全隐患。（三）审批涉及患者隐私信息出境、大规模数据开放及科研数据利用等高风险事项。（四）组织重大隐私泄露事件的调查与处置，提出处理意见。第七条执行机构与职责（一）医务部：负责诊疗环节隐私保护的规范制定与监督检查，处理因隐私泄露引发的医疗纠纷。（二）信息中心：负责技术防护体系建设，保障信息系统安全，实施数据加密、访问控制、脱敏去标识化及安全审计等技术措施。（三）护理部：负责护理操作过程中的隐私保护落实，加强护理人员隐私保护意识培训。（四）保卫科：负责物理区域安全巡查，监控非法拍摄、窃听等行为，配合公安机关查处侵犯隐私案件。（五）人力资源部：负责将隐私保护要求纳入员工入职、离职管理及绩效考核，签署保密协议。（六）法务部：负责隐私保护相关合同、协议的合规性审查，提供法律支持。（七）各临床、医技科室主任：为本科室隐私保护第一责任人，负责落实科室内部具体管控措施。第三章患者隐私信息的分类分级管理第八条信息分类根据信息属性及敏感程度，将患者隐私信息分为以下三类：（一）基础身份信息：姓名、性别、出生日期、身份证号、社保卡号、联系电话、家庭住址等。（二）诊疗健康信息：主诉、现病史、既往史、体格检查记录、辅助检查结果（检验、影像、病理）、诊断证明、治疗方案、手术记录、用药记录等。（三）特殊敏感信息：基因检测数据、传染病（含性病、艾滋病）筛查结果、精神障碍诊断、心理评估记录、生育史、生殖系统检查记录、器官移植信息等。第九条信息分级按照泄露后对患者及医院造成的影响程度，实施三级管控：（一）核心级（绝密）：特殊敏感信息及包含个人身份识别号的完整病历原始数据。泄露可能导致患者遭受严重社会歧视、人身威胁或重大财产损失。（二）重要级（机密）：常规诊疗健康信息及基础身份信息。泄露可能对患者名誉、正常生活造成较大影响。（三）一般级（内部）：仅去标识化后的统计数据或已公开的信息。泄露风险较低。第十条分级管控策略信息级别存储要求访问权限传输加密审计要求核心级强制加密存储，物理隔离最小授权，需多因素认证强制SSL/TLS1.3及以上全量实时审计，异常报警重要级加密存储角色基础访问控制（RBAC）加密传输定期审计，日志留存6个月一般级标准存储按需开放可内部明文（受限）抽查审计第四章信息收集与录入控制第十一条告知与同意在挂号、建档及首次接诊时，医务人员应主动履行告知义务，明确告知患者收集信息的目的、范围、存储期限及可能的用途。对于特殊敏感信息的收集，必须签署《患者特殊信息处理知情同意书》。除紧急救治且无法联系家属的情况外，不得强制收集与诊疗无关的信息。第十二条录入规范（一）实名制录入：患者身份信息必须凭有效身份证件录入，确保真实准确。（二）终端管控：严禁在非医院认证的终端设备（如私人手机、个人电脑）上录入或存储患者隐私信息。（三）语音录入限制：在门诊诊室、病房等公共区域，严禁使用语音输入法录入涉及患者隐私的病历内容，防止被周围人员窃听。（四）第三方录入：对于体检中心、合作单位等外部传入的数据，必须经过数据清洗和安全网关扫描，确认无恶意代码后方可录入医院系统。第十三条纸质病历管理（一）书写规范：纸质病历书写应在相对封闭的环境中进行，避免无关人员旁观。（二）存放安全：在架病历必须加锁管理，科室病历柜每日上锁。正在使用的病历不得随意放置在护士站、医生办公桌等开放区域。（三）复印控制：复印病历需严格按照《医疗机构病历管理规定》执行，必须核对申请人身份及委托关系，复印内容由科室主任审批，并在复印件上加盖“病历复印专用章”。第五章信息系统访问与使用控制第十四条账号权限管理（一）实名账号：全院信息系统实行“一人一号”实名制管理，严禁共用账号。（二）权限分配：权限分配遵循“最小权限”和“岗位适配”原则。新员工开通权限需经科室申请、信息中心审核、医务部备案。离职人员账号必须在离职当日由人力资源部通知信息中心立即注销。（三）权限审计：每半年由信息中心联合医务部对全院账号权限进行一次合规性审计，清理僵尸账号、越权账号。第十五条身份认证机制（一）关键系统认证：登录电子病历（EMR）、实验室信息系统（LIS）、影像归档和通信系统（PACS）等核心业务系统，必须采用“用户名+强密码+数字证书/生物特征”的多因素认证方式。（二）密码策略：系统密码长度不得少于10位，必须包含大小写字母、数字及特殊符号，并强制每90天更换一次。（三）自动锁屏：终端设备在无操作超过3分钟后，必须自动锁定屏幕，重新登录需再次验证身份。第十六条数据查询与浏览（一）正当性原则：仅可查询本科室或本职责范围内患者的诊疗信息。严禁因好奇心、私人关系等非医疗目的查询其他患者信息。（二）批量查询限制：原则上禁止批量导出或查询患者名单。因科研、质控等确需批量查询的，须经科研管理部门或质控办审批，报信息中心备案，且必须使用去标识化数据。（三）敏感信息预警：系统对查询艾滋病、精神病、性病等特殊敏感信息的行为设置实时监控预警，一旦发生非授权科室或非经治医师的查询行为，立即触发安全审计警报。第十七条床旁终端与移动设备（一）查房车/PDA管理：查房终端设备必须配备物理防盗锁；PDA手持设备需设置开机密码，且禁止安装非工作必需的APP。（二）无线传输管控：在院内无线网络传输患者数据时，必须通过医院内部专用VPN通道，严禁通过公共Wi-Fi传输任何患者隐私数据。（三）设备遗失报告：存储或处理过患者隐私的移动设备遗失或被盗，当事人必须在发现后1小时内向科室及信息中心报告，立即启动远程擦除程序。第六章信息共享、外传与科研利用控制第十八条对外提供信息审批向院外任何单位（包括医保、民政、公安、司法、保险公司、其他医疗机构等）提供患者病历或诊疗信息时，必须严格审核以下材料：（一）申请单位出具的正式公函，注明调取用途、法律依据。（二）患者本人或其法定代理人签字的授权委托书（法律法规强制规定的除外）。（三）经办人的有效身份证件及工作证明。上述材料齐全后，经医务部审核、主管院领导审批，由病案室指定专人提供，并详细记录《患者信息对外提供登记表》。第十九条科研数据利用管理（一）数据提取：临床科研项目需使用患者真实数据时，项目负责人需填写《科研数据提取申请表》，明确数据字段、样本量及使用期限。（二）脱敏处理：所有用于科研的数据必须经过严格的去标识化处理，去除姓名、身份证号、住址等直接标识符。对于无法完全去标识且必须保留的信息（如出生日期），需进行泛化处理（如只保留年份）。（三）环境隔离：科研数据应在独立的科研数据域进行分析，严禁将科研数据导出至个人电脑或互联网环境。分析过程产生的中间数据及最终成果，发布前需经隐私影响评估。第二十条媒体宣传与教学（一）采访拍摄：媒体进入医院采访拍摄，需经宣传科批准，并由工作人员全程陪同。拍摄画面中不得出现患者面部特征、病历资料、床头卡姓名等信息，除非患者签署书面肖像使用同意书。（二）教学示教：临床教学示教（如查房、手术观摩）需提前告知患者并取得同意。患者明确拒绝的，不得安排作为示教对象。在示教过程中，不得随意讨论与教学无关的患者隐私。第七章物理环境与场所隐私保护第二十一条诊室与治疗区域（一）一医一患一诊室：门诊诊室必须严格执行“一医一患一诊室”制度，做到随手关门。（二）隐私遮挡：凡涉及患者身体隐私检查（如妇科、男科、肛肠科、乳腺科等），检查室必须配备窗帘、屏风或更衣帘，操作前必须请无关人员（包括无关医务人员）回避。（三）叫号系统：门诊及检查科室叫号系统仅显示排队序号，严禁显示患者全名及详细病情。如需显示姓名，应隐藏名字中间部分（如“张*三”）。第二十二条公共区域与谈话场所（一）谈话隐私：医生与患者进行病情告知、签署知情同意书等敏感谈话时，应选择专门的谈话间或病房内，避免在走廊、电梯间、护士站等公共区域大声讨论病情。（二）电梯管理：严禁在电梯内讨论患者病情、翻阅病历资料。（三）报告发放：检验报告、检查报告单应通过自助打印机打印或手机端推送，需人工领取的，必须核对患者身份凭证，严禁将报告随意放置在窗口台面任人翻拿。第二十三条病房管理（一）床头卡信息：床头卡应简化显示，建议仅显示姓名、性别、年龄及护理等级，隐藏详细诊断信息（传染病等特殊科室除外，但需做专门标识保护）。（二）探视管理：严格探视时间管理，探视者不得随意翻阅病历夹、护理记录单或在病房内拍摄录像。（三）安静环境：医护人员在进行查房、治疗时，应压低声音，保护患者隐私不被同病房其他患者及家属探知。第八章网络安全与技术防护措施第二十四条网络边界防护（一）内外网隔离：医院业务内网与互联网必须实施逻辑或物理隔离。严禁私自搭建跨网连接通道，严禁在内网计算机上使用无线网卡、3G/4G/5G上网卡。（二）终端准入：内网计算机必须安装医院统一认证的杀毒软件、终端安全管理系统，未达标终端禁止接入内网。（三）外联管控：严格控制内网计算机的USB接口使用，原则上采用USB封堵策略。确需使用的，需经过审批并使用加密U盘。第二十五条数据防泄漏（DLP）部署数据防泄漏系统，对敏感数据的导出、打印、截屏、复制等行为进行监控和阻断。（一）截屏管控：在核心业务系统客户端禁止截屏、录屏功能。（二）打印管控：打印病历、检验报告等敏感文件时，系统强制添加包含操作员工号、时间的水印，并记录打印日志。（三）外发管控：禁止通过私人邮箱、微信、QQ、网盘等社交工具传输患者隐私数据。第二十六条数据备份与恢复（一）备份策略：建立“本地+异地”双重备份机制，关键数据每日增量备份，每周全量备份。（二）加密备份：备份数据必须进行加密存储，密钥由专人分段保管。（三）恢复演练：每季度进行一次数据恢复演练，确保备份数据的可用性与完整性，防止因硬件故障或勒索病毒导致数据永久丢失。第九章应急响应与违规处理第二十七条应急响应流程一旦发生或疑似发生患者隐私泄露事件，按以下流程处置：（一）事件发现与报告：发现人或系统应在15分钟内向信息中心及医务部报告。（二）初步研判与遏制：信息中心立即断开相关网络连接，封存涉案设备，防止扩散。（三）调查评估：成立调查组，查明泄露原因、泄露规模、涉及人群及责任主体。（四）补救措施：对受影响患者采取通知、解释、安抚等补救措施，必要时提供法律援助。（五）整改与报告：修复安全漏洞，形成整改报告，按规定向上级卫生健康行政部门及公安机关报告。第二十八条违规分级处理根据违规行为的性质、情节及后果，将违规分为三级进行处理：违规等级违规行为描述处理措施一般违规未随手关门导致隐私暴露、无意中在公共区域谈论病情、密码设置不符合规范等未造成实质后果的行为。责令立即改正，全院通报批评，扣除当月绩效奖金，取消年度评优资格。严重违规非授权查询患者信息、通过社交软件传输少量患者信息、因管理不善导致纸质病历遗失等行为。记过处分，暂停执业权限3-6个月，扣除半年绩效奖金，进行离岗培训。极重违规出售患者信息、批量导出数据牟利、因重大过失导致大规模数据泄露、故意破坏数据安全系统等行为。解除劳动合同，吊销执业证书，移交司法机关追究刑事责任，永久列入行业黑名单。第二十九条举报机制医院设