患者个人信息保护与管理规定

患者个人信息保护与管理规定第一章总则1.1立法目的为保障患者在诊疗、随访、科研、教学、保险理赔、公共卫生应急等场景下的个人信息安全，维护患者人格尊严与隐私权益，提升医疗机构数据治理能力，依据《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》《网络安全法》等上位法，特制定本规定。1.2适用范围本规定适用于本机构及其关联单位在境内开展医疗服务、健康管理、临床研究、远程会诊、互联网医院、第三方检验检查合作、保险结算、供应链采购等活动中对患者个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期管理。1.3基本原则原则内涵落地要点合法正当必要以诊疗合同、知情同意、法律义务为边界，禁止过度收集建立“最小够用”字段清单，每季度审计公开透明处理规则、目的、范围、保存期限主动告知门诊大厅、App、小程序三端同步公示精准质量数据准确、完整、及时更新主数据平台每日对账，异常字段24h内修正安全可控分级分类、加密、脱敏、审计、备份生产库、备份库、容灾库“三地四中心”架构患者参与查询、复制、更正、删除、撤回同意权开通400热线、自助终端、线上工单三大通道责任追溯谁处理谁负责，谁审批谁留痕引入区块链时间戳，确保日志不可篡改第二章组织与职责2.1治理架构层级组成核心职责例会机制决策层院务会、法务、伦理委员会审批制度、预算、重大事件问责每季度一次管理层信息安全委员会（分管院长任主任）发布策略、协调资源、应急处置每月一次执行层数据保护官（DPO）+医务部+信息科+护理部日常运营、技术落地、培训考核每两周一次监督层纪委、内审、第三方测评机构合规审计、风险评估、通报整改每半年一次2.2岗位职责清单岗位姓名（示例）专业背景具体职责考核指标DPO李**法学+信息安全双硕士审批跨部门数据共享、响应患者权利请求年度合规事件≤1起数据安全工程师王**CISSP加密策略、漏洞扫描、渗透测试高危漏洞修复时效≤7天临床数据管理员张**公共卫生硕士脱敏方案、科研数据提取脱敏准确率≥99.5%隐私客服专员赵**护理学学士接听400热线、指导线上操作满意度≥95%第三章数据分类与分级3.1患者个人信息类别类别示例字段敏感级别处理限制身份标识姓名、身份证号、医保卡号高加密存储，展示掩码健康生理主诉、检验结果、影像、基因序列高科研二次利用须伦理审批财务支付银行卡号、交易流水中支付通道token化行踪轨迹住院床号、手术时间、GPS定位中对外提供须去标识化社会属性职业、婚姻、宗教信仰低营销场景禁止推送3.2分级管控矩阵级别加密算法访问控制审计频次备份策略高SM4/AES256多因子+角色+属性实时热备+冷备+异地容灾中SM4/AES128角色+最小权限每日热备+冷备低哈希加盐角色每周冷备第四章收集与告知4.1收集渠道与最小化清单渠道允许字段禁止字段技术措施窗口挂号姓名、身份证号、手机号指纹、人脸原始图像字段级加密自助机医保卡号、密码银行卡密码输入控件国密加固互联网医院身份证OCR、人脸识别比对值人脸原始图比对值不落库可穿戴设备心率、步数精确GPS边缘计算脱敏4.2告知与同意的颗粒度场景告知形式同意方式撤回路径初诊电子屏+纸质《告知书》手写签名+扫码电子签App“隐私设置”一键撤回科研二次利用单独《科研知情同意书》明示勾选+动态口令400热线24h内删除商业保险直赔弹窗《数据共享声明》滑动验证+短信确认柜面或线上撤回，T+1屏蔽第五章存储与跨境5.1存储区域与期限数据类型存储区域最长保存期到期处置门急诊病历本地私有云15年自动归档+加密压缩住院病历本地私有云+异地容灾30年审批后转缩微胶片影像原始DICOM对象存储湖在线5年，近线10年AI识别转有损压缩科研脱敏数据集科研专区项目结束+5年零重写擦除5.2跨境传输评估流程步骤责任人输出时限业务必要性评估业务部门《跨境需求说明书》5工作日个人信息保护影响评估（PIA）DPO+法务《PIA报告》10工作日省级卫健委报备院办备案回执15工作日国家网信部门安全评估法务通过通知书30工作日签署SCC标准合同法务+合作方中英文合同7工作日第六章使用与加工6.1临床使用场景场景授权颗粒脱敏规则日志要求医生站调阅患者就诊号+医生工号+当日有效自动掩码身份证中间8位访问日志保留3年移动查房设备绑定+地理围栏隐藏完整住址异常坐标触发告警AI辅助诊断只读镜像库，禁止回写姓名替换为Hash模型输入输出全量审计6.2科研使用场景研究类型伦理批件数据层级下载管控回顾性队列伦理豁免或快审去标识化Level3VPN+堡垒机+水印前瞻性干预伦理全会审批编码化Level2专用加密U盘+双人双锁多中心RCT国家医学研究登记备案原始可溯源Level1只读沙箱，禁止落地6.3商业限制清单禁止行为示例处罚措施精准药品推销根据诊断结果推送抗癌药终止合作+罚款50万差异化定价利用基因信息抬高保费列入黑名单+行业通报数据悬赏众包在社交平台发布数据标注任务解除劳动合同+刑事责任第七章共享与披露7.1对外共享矩阵接收方共享目的数据范围法律文件技术措施卫健委疾控中心法定传染病直报姓名、诊断、实验室结果法定职责条款专线+VPN+SM2证书医保局DRG付费结算病案首页、费用清单医保协议医保专网加密机商业保险公司商保直赔发票、出院小结个人信息共享协议API网关+token互联网医院配送合作方药品配送姓名、电话、地址数据处理协议地址掩码+虚拟号7.2司法披露流程步骤责任部门关键动作时限接收文书法务部核验法院印章、案件关联性4h内部审批院务会评估披露范围最小化24h数据脱敏信息科无关字段掩码6h交付与留痕法务+纪委加密光盘+回执单+区块链存证即时第八章权利响应8.1患者权利清单权利请求渠道身份核验处理时限结果形式查询窗口/400/小程序人脸识别+短信15日加盖电子章PDF复制同上同上15日加密U盘或邮寄光盘更正线上工单病历佐证+医师确认7日更正记录+版本快照删除400热线书面理由+身份核验15日删除报告+不可逆证明撤回同意App隐私设置动态口令即时生效撤回确认短信8.2例外情形例外类型适用条件告知义务医疗质量追溯删除影响医疗安全评估书面说明+保存3年司法冻结接到公安机关冻结函解冻后24h内通知科研最小必要去标识化后无法关联伦理委员会公告第九章安全事件应急9.1事件分级级别定义首次通报监管上报患者告知特别重大泄露≥5万人或敏感数据≥1万人1h内1h内3日内重大泄露≥1万人2h内2h内5日内较大泄露≥1千人4h内次日7日内一般泄露<1千人24h内年度汇总无需主动9.2应急响应流程阶段关键动作工具输出发现与初判安全监测平台告警+人工复核SIEM+SOAR《事件初报》遏制与隔离下线漏洞系统、封禁账号防火墙+EDR《遏制报告》根除与恢复补丁升级、密码重置、备份还原漏洞扫描+灾备《恢复确认》事后复盘根因分析、制度修订、培训鱼骨图+5Why《复盘报告》第十章审计与问责10.1审计计划类型频次覆盖范围方法合规审计年度全量系统访谈+日志抽样+渗透专项审计季度高敏感系统代码审查+配置基线随机飞行检查不定期重点科室红队模拟+社会工程10.2问责梯度违规等级行为举例个人处罚科室处罚院级处罚轻微未及时注销离职账号扣绩效500元通报—一般未脱敏数据发送科研合作方警告+降档取消评优约谈分管领导严重私自出售患者信息解除劳动合同年度考核降级行业通报+罚款特别严重导致群体性隐私泄露移送司法科室整顿停业整顿第十一章培训与考核11.1年度培训体系对象学时形式内容考核新员工8学时线下+VR情景制度、案例、钓鱼演练满分100，≥90合格医生4学时线上直播临床科研合规、脱敏工具线上测验≥90分外包驻场6学时线下物理安全、终端管控签到+闭卷≥80分管理层2学时闭门研讨最新监管趋势、问责案例提交学习心得11.2培训效果评估指标目标值数据来源钓鱼邮件点击率≤3%邮件安全网关违规事件数量同比下降20%审计报告患者权利请求差错率≤1%客服系统第十二章技术控制细节12.1加密与密钥管理场景算法密钥长度rotation周期硬件模块数据库透明加密SM4256bit90天国密HSM影像文件对象加密AES256256bit180天云KMS接口传输SM2+SM3256bit每次会话SSLVPN网关12.2日志与审计日志类型保留时长存储位置防篡改用户访问3年日志湖+蓝光光盘区块链哈希管理员操作5年物理隔离日志网只写WORM盘数据库DDL10年异地容灾库双写校验12.3开发安全阶段控制点工具指标需求隐私影响评估Jira插件高敏感需求100%评估编码静态代码扫描SonarQube高危漏洞0发布测试脱敏数据生成Tonic.ai真实数据0落入测试库上线灰度+红队自研红队平台高危漏洞0上线第十三章科研与伦理协同13.1数据匿名化技术标准级别技术组合重识别风险伦理快审条件Level4匿名差分隐私+随机噪声ε<1<0.05可豁免Level3去标识删除直接标识符+K-匿名k≥5<0.1快审3日Level2编码单向哈希+盐值<0.2全会审批Level1原始仅加密—全会+患者再同意13.2科研数据沙箱功能技术实现使用限制只读虚拟桌面远程桌面协议+剪贴板禁用禁止截屏、拍照水印注入用户ID+时间戳+随机色点泄露可溯源输出审批机器学习模型需导出向量人工复核+DPO电子签第十四章第三方合作管理14.1准入评估评估维度权重评估方法及格线安全认证30%ISO27701、国密测评证书在有效期合规记录25%公开行政处罚查询近2年0处罚技术能力25%现场渗透+代码抽查高危漏洞0个保险赔付20%网络责任险≥5000万保单真实可查14.2合同关键条款条款示例文本违约责任数据返还与删除合作终止10日内返还并出具删除证明每延迟1日1万元违约金审计权甲方有权每年一次现场审计，乙方须配合