6樊荣 从电子病历角度加强医疗行为合规管理

从电子病历角度加强医疗行为合规管理北京清华长庚医院樊荣人本济世厚德至善中国政法大学法律硕士学院兼职导师西南医科大学法律硕士研究生实践指导教师中国医师协会医和学院讲师团讲师北京市医院管理中心医学人文讲师团讲师深圳市卫生健康能力建设和继续教育中心兼职教师世界华人医师协会患者安全与医疗质量委员会委员中国医院协会医疗法制专业委员会副秘书长中国医师协会、北京大学患者安全与医患关系研究中心委员中国医师协会道德建设委员会委员北京医患和谐促进会副会长北京卫生法学会患者安全专业委员会常务委员北京医院创新管理与技术应用协会医学人文专业委员会秘书长、副主任委员《世界华人医师杂志》《中国医学人文》《医师报》《中国医学论坛报》编委、《医学与法学》审稿专家发展沿革2010-电子病历基本规范（试行）2013-医疗机构病历管理规定2017-电子病历应用管理规范（试行）2010—病历书写基本规范2018—核心制度病历管理制度信息安全管理制度电子病历当前存在的主要问题有法律效力的电子病历电子病历与纸质病历的举证电子签名的形式与应用电子病历的复制与封存电子病历对于医院管理措施的体现电子病历带来的便利与风险电子病历管理与信息安全管理的结合1.有法律效力的电子病历《电子病历基本规范（试行）》第九条

医务人员采用身份标识登录电子病历系统完成各项记录等操作并予确认后，系统应当显示医务人员电子签名。2011年，《上海市电子病历应用功能规范实施细则（试行）》也强制性规定实施电子病历的医疗机构应当采用电子签字以确保电子病历的有效性，并对电子签名的认证、生效原则都做了具体规定。《医疗机构病历管理规定》第四条

按照病历记录形式不同，可区分为纸质病历和电子病历。电子病历与纸质病历具有同等效力。《电子病历应用管理规范（试行）》第十条

有条件的医疗机构电子病历系统可以使用电子签名进行身份认证，可靠的电子签名与手写签名或盖章具有同等的法律效力。第十一条

电子病历系统应当采用权威可靠时间源。强制电子签名→非强制电子签名

同等效力——证据效力民事诉讼法(2013年版）第六十三条证据包括：（一）当事人的陈述；（二）书证；（三）物证；（四）视听资料；（五）电子数据；（六）证人证言；（七）鉴定意见；（八）勘验笔录。证据必须查证属实，才能作为认定事实的根据。最高人民法院《关于适用<中华人民共和国民事诉讼法>的解释》第一百一十六条“电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息。存储在电子介质中的录音资料和影像资料，适用电子数据的规定”最高法、最高检、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第一条电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据；电子数据包括但不限于下列信息、电子文件：（一）网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；（二）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；（三）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；（四）文档、图片、音视频、数字证书、计算机程序等电子文件。数字化形式记载的证人证言等言词证据，不属于电子数据。电子签名法第二条本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。电子签名法第十三条电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力。打印版签名属于可靠的电子签名吗？电子签名的合法性要求在电子病历或电子处方中使用的电子签名，应按照《卫生系统电子认证服务管理办法（试行）》选择合格的电子认证服务机构。纳入卫生系统电子认证服务体系的电子认证服务机构，其颁发的数字证书应当能够在各类卫生信息系统中进行注册、授权及使用，确保实现互信互认、一证多用。电子签名的合法性要求电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明《电子签名法》第二十一条规定的相关内容。电子签名的合法性要求第二十一条电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：（一）电子认证服务提供者名称；（二）证书持有人名称；（三）证书序列号；（四）证书有效期；（五）证书持有人的电子签名验证数据；（六）电子认证服务提供者的电子签名；（七）国务院信息产业主管部门规定的其他内容。第二十二条电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。1.有法律效力的电子病历电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第十二条（时间戳要求）电子签名应采用带时间戳的电子签名格式，时间戳应基于不受医疗机构控制的权威可靠时间源。第十一条电子病历系统应当采用权威可靠时间源。时间戳与时间源时间源是指通过卫星或其他授权系统作为时间基础源，通过时间基础源服务器提供的标准精确的时间作为依据，以确保操作系统或软件的时间与时间基础源一致，常见的时间基础源有GPS卫星信号、北斗卫星系统、IRIG-B码、铷原子钟、CDMA、RS232等。时间戳与时间源通过时间接受设备（例如GPS、CDMA、北斗卫星）来做时间戳是否可行？时间戳分两类，一类是自建时间戳，即通过时间接收设备（如GPS，CDMA，北斗卫星）来获取时间到时间戳服务器上，并通过时间戳服务器签发时间戳证书，其本身是不具备法律效力的。另一类是具有法律的效力的时间戳：它是由我国中科院国家授时中心与北京联合信任技术服务有限公司负责建设的我国第三方可信时间戳认证服务，对后一种时间戳的法律效力已经体现在法院相关判决中。时间戳与时间源可信时间戳（TSA）是由权威可信的时间戳服务中心签发的一个能够证明数据电文在一个时间点已经存在的、完成的、可验证的，具备法律效力的电子凭证，它是有关机构认定的一个可以标示某时刻事件的技术。时间戳已经在司法领域被应用于数据电文的证据保全之中，具有较强的证据可信度和证明力。条文对比电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第二十四条电子病历数据应当保存备份，并定期对备份数据进行恢复试验，确保电子病历数据能够及时恢复。当电子病历系统更新、升级时，应当确保原有数据的继承与使用。第十九条门（急）诊电子病历由医疗机构保管的，保存时间自患者最后一次就诊之日起不少于15年；住院电子病历保存时间自患者最后一次出院之日起不少于30年。数据保全电子病历的第三方存储问题《电子病历系统功能规范(试行)》第六条，“电子病历的管理以建立数据中心为基础，实现信息实时上传和自动备份到医院数据中心和第三方存储中心，在设定一定权限的基础上实现数据资源的共享，并保障数据安全”《电子签名法》第八条，“审查数据电文作为证据的真实性，应当考虑以下因素：①生成、储存或者传递数据电文方法的可靠性；②保持内容完整性方法的可靠性；③用以鉴别发件人方法的可靠性；④其他相关因素。”1.有法律效力的电子病历可靠的电子签名可信的时间戳数据保全规范的使用管理2.电子病历与纸质病历的举证手写病历打印病历与纸质病历具有同等法律效力的电子病历可以提交电子数据证据与纸质病历不具有同等法律效力的电子病历不建议提交电子数据证据第二十一条医疗机构应当为申请人提供电子病历的复制服务。医疗机构可以提供电子版或打印版病历。通过法院调取第六条【病历提交的范围和期限】民法典第1222条规定的病历资料包括医疗机构保管的门诊病历、住院志、体温单、医嘱单、检验报告、医学影像检查资料、特殊检查（治疗）同意书、手术同意书、手术及麻醉记录、病理资料、护理记录、医疗费用、出院记录以及国务院卫生行政主管部门规定的其他病历资料。患者依法向人民法院申请医疗机构提交由其保管的与纠纷有关的病历资料等，医疗机构未在人民法院指定期限内提交的，人民法院可以依照民法典第1222条第二项规定推定医疗机构有过错，但是因不可抗力等客观原因无法提交的除外。3.电子签名的形式与应用账号+密码Ukey手机扫二维码具有电子签名设备的人员应妥善保管数字证书介质并为其设立可靠的密码，仅限个人使用，不得主动将密码和相应权限授予他人。持有人出现数字证书介质丢失或损坏等异常情况时，应当立即联系电子认证服务机构进行妥善处理。3.电子签名的形式与应用对于数字证书的发放管理，医院应该制定完善的证书发放、使用、补发等制度。这些制度应该与医生、护士、技术人员的职业资格管理制度相关联。为了保证医疗工作的连续性，制度中一些特殊的内容需要充分考虑。例如一人多个证书忘记带证书介质时临时签名证书的管理签名记录的处理实习生证书与签名的管理——暂存、完成、确认、提交3.电子签名的形式与应用在签名操作流程上需要充分考虑平衡签名的可靠性与日常医疗操作的方便性。通常为防止介质丢失后被其他人冒用而失去签名唯一性，数字证书使用时需要使用人输入PIN码进行确认。每次签名都输入PIN码一天签名输入一次半天一次一个终端一次第一次使用数字证书时要求输入PIN码，如果在一定时间间隔内容连续进行签名，则不必再输入PIN码。当系统闲置一定时间后，可以要求再次输入PIN码进行认证。3.电子签名的形式与应用电子签名的应用范围主要用于结果记录签名，过程记录签名较少。医院中常用的需要签名电子病历内容包括：病历记录、医生下达的医嘱、处方、各种检查报告、检验报告、手术记录与麻醉记录、重症监护记录、诊断证明等等。在实际应用时，医院往往还需要为患者、管理部门、法律机构等提供病历文件，在这些文件中除需要有医疗执行人员个人的签名外，医院还需要对整份文件再进行签章确认。就相当与在提交的病历上盖上医院图章一样。条文对比电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第七条电子病历包括门（急）诊电子病历、住院电子病历及其他电子医疗记录。电子病历内容应当按照卫生部《病历书写基本规范》执行，使用卫生部统一制定的项目名称、格式和内容，不得擅自变更。第十二条医疗机构使用电子病历系统进行病历书写，应当遵循客观、真实、准确、及时、完整、规范的原则。门（急）诊病历书写内容包括门（急）诊病历首页、病历记录、化验报告、医学影像检查资料等。住院病历书写内容包括住院病案首页、入院记录、病程记录、手术同意书、麻醉同意书、输血治疗知情同意书、特殊检查（特殊治疗）同意书、病危（重）通知单、医嘱单、辅助检查报告单、体温单、医学影像检查报告、病理报告单等。条文对比电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第二十二条对目前还不能电子化的植入材料条形码、知情同意书等医疗信息资料，可以采取措施使之信息数字化后纳入电子病历并留存原件。第十八条医疗机构因存档等需要可以将电子病历打印后与非电子化的资料合并形成病案保存。具备条件的医疗机构可以对知情同意书、植入材料条形码等非电子化的资料进行数字化采集后纳入电子病历系统管理，原件另行妥善保存。3.电子签名的形式与应用门诊手术记录门诊知情同意书住院一般护理记录单……非病历医疗文书的管理患者电子签名的管理条文对比电子病历系统功能规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第十三条为患者创建电子病历，必须赋予患者唯一的标识号码，建立包含患者基本属性信息的主索引记录，确保患者的各种电子病历相关记录准确地与患者唯一标识号码相对应。第十三条医疗机构应当为患者电子病历赋予唯一患者身份标识，以确保患者基本信息及其医疗记录的真实性、一致性、连续性、完整性。条文对比电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第二十五条医疗机构应当建立电子病历信息安全保密制度，设定医务人员和有关医院管理人员调阅、复制、打印电子病历的相应权限，建立电子病历使用日志，记录使用人员、操作时间和内容。未经授权，任何单位和个人不得擅自调阅、复制电子病历。第十四条（修改留痕要求）已确认提交的电子病历在修改时必须留有痕迹，修改者需进行电子签名和时间戳。第十四条电子病历系统应当对操作人员进行身份识别，并保存历次操作印痕，标记操作时间和操作人员信息，并保证历次操作印痕、标记操作时间和操作人员信息可查询、可追溯。条文对比电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第九条医务人员采用身份标识登录电子病历系统完成各项记录等操作并予确认后，系统应当显示医务人员电子签名。第十三条（提交时间要求）电子病历在完成时应执行电子签名并进行提交，提交时应使用时间戳对病历内容进行保护，时间戳的时间应为提交时间第十四条（修改留痕要求）已确认提交的电子病历在修改时必须留有痕迹，修改者需进行电子签名和时间戳。第十五条医务人员采用身份标识登录电子病历系统完成书写、审阅、修改等操作并予以确认后，系统应当显示医务人员姓名及完成时间。去掉了电子签名的强制性要求条文对比电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第十条电子病历系统应当设置医务人员审查、修改的权限和时限。实习医务人员、试用期医务人员记录的病历，应当经过在本医疗机构合法执业的医务人员审阅、修改并予电子签名确认。医务人员修改时，电子病历系统应当进行身份识别、保存历次修改痕迹、标记准确的修改时间和修改人信息。第十一条（电子签名使用者要求）电子签名的使用者应为医疗机构授权使用信息系统的人员。电子病历的有效签名者应为具备相应执业资格的医务人员，无医疗机构相应执业资格的医务人员（实习医务人员、试用期医务人员、进修医务人员等）所书写的电子病历内容，应由带教医务人员审阅、修改后进行电子签名。第十六条电子病历系统应当设置医务人员书写、审阅、修改的权限和时限。实习医务人员、试用期医务人员记录的病历，应当由具有本医疗机构执业资格的上级医务人员审阅、修改并予确认。上级医务人员审阅、修改、确认电子病历内容时，电子病历系统应当进行身份识别、保存历次操作痕迹、标记准确的操作时间和操作人信息。权限与时限对于运行病历，修改的权限为本院执业医师→实习、试用期医务人员；上级医务人员→进修、下级医务人员；上级医师→自己的查房记录；质控人员→科室医师。对于已归档的病历，修改的权限为医疗管理部门批准。权限与时限时限——及时对于运行病历的修改，应以不影响后续记录书写为前提，即在后续记录书写时限前完成前次记录的审阅、修改、确认，并以终末病历质控完成即将归档作为最终修改时限。对于已归档病历的修改无时限要求，但由于较易被视为篡改，故建议以医务管理部门的合理性审批为前提，严格审查修改依据及理由，谨慎修改。条文对比电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第二十条门诊电子病历中的门（急）诊病历记录以接诊医师录入确认即为归档，归档后不得修改。第二十一条住院电子病历随患者出院经上级医师于患者出院审核确认后归档，归档后由电子病历管理部门统一管理。第十五条（病历归档要求）电子病历归档时须由医疗机构电子病历管理部门对电子签名正确性进行验证。第十七条电子病历应当设置归档状态，医疗机构应当按照病历管理相关规定，在患者门（急）诊就诊结束或出院后，适时将电子病历转为归档状态。电子病历归档后原则上不得修改，特殊情况下确需修改的，经医疗机构医务部门批准后进行修改并保留修改痕迹。电子病历的归档在所有主观、客观病历文书成功进行电子签名后，将这些文档从各个系统汇总到电子病历归档系统，使之成为一个完整的病历。医疗机构应对其进行二次的验证，证明这些文书在传输过程中没有被篡改，进一步保证病历的安全有效，成为一份真正意义上的电子病历病历书写推定过错修改——用正确的内容替代错误的内容，并保持原记录清晰可见。涂改——用新的内容替代旧的内容，并让旧的内容不可见。篡改——用虚假错误内容替代真实正确内容。伪造——假造，没有改的动作，完全以假乱真。第十四条

医疗机构应当严格病历管理，任何人不得随意涂改病历，严禁伪造、隐匿、销毁、抢夺、窃取病历。——《医疗机构病历管理规定（2013年版）》2010年《病历书写基本规范》第33条规定，“打印病历编辑过程中应当按照权限要求进行修改，已完成录入打印并签名的病历不得修改”。一种错误的认识——只要病历保存之后进行的任何修改都属于篡改。客观构成主观恶意《北京市高级人民法院关于审理医疗损害赔偿纠纷案件若干问题的指导意见（试行）》13、当事人对病历资料及其他进行医疗损害鉴定所需的材料的真实性、完整性有异议的，应当由人民法院先行组织双方当事人举证、质证。人民法院应根据举证、质证的具体情况进行审查。经审查，病历资料存在瑕疵的，人民法院应通过咨询专家、委托文件检验、病历评估或由鉴定专家作初步判断来认定瑕疵病历是否对鉴定有实质性影响。如果没有实质性影响，则仍可继续进行鉴定，但瑕疵病历部分不能作为鉴定依据；如果有实质性影响，造成鉴定无法客观进行的，则应终止鉴定。《第八次全国法院民事商事审判工作会议（民事部分）纪要》12.对当事人所举证据材料，应根据法律、法规及司法解释的相关规定进行综合审查。因当事人采取伪造、篡改、涂改等方式改变病历资料内容，或者遗失、销毁、抢夺病历，致使医疗行为与损害后果之间的因果关系或医疗机构及其医务人员的过错无法认定的，改变或者遗失、销毁、抢夺病历资料一方当事人应承担相应的不利后果；制作方对病历资料内容存在的明显矛盾或错误不能作出合理解释的，应承担相应的不利后果；病历仅存在错别字、未按病历规范格式书写等形式瑕疵的，不影响对病历资料真实性的认定。电子病历篡改，推定医院全责李*阳在家中的地坪不慎滑倒致右髋部受伤到某市第二人民医院就诊治疗。入院诊断为：1、右股骨颈骨折；2、右髋部挫伤；3、右侧大隐静脉曲张。2018年3月30日，患者在医院行右股骨颈骨折切开复位内固定术和右髋关节修复。2018年4月10日11时37分，患者翻身后突发病情恶化，意识丧失，呼之不应，面色青紫，心率为0，深度昏迷，呼吸停止，经抢救无效于当日13时10分宣布死亡。2018年5月22日，经湖南省湘雅司法鉴定中心鉴定：患者系肺动脉血栓栓塞致循环呼吸衰竭死亡。电子病历篡改，推定医院全责患方认为，医院在对患者的诊疗过程中，存在对血栓预防认识不足、抗凝用药严重不足不规范、病历造假等过错，应当对患者的死亡后果承担赔偿责任。医院辩称，1、医院的医疗活动没有违反医疗卫生管理法规及相关部门规章；2、患者的死亡结果是由自身疾病发展所致，与医院的医疗活动没有因果关系；3、湘潭医学会的鉴定结果显示医院的此次诊疗活动不构成医疗事故；4、根据原告的诉讼事实，原告要求赔偿的理由不成立：本次手术不是大手术，而是微创手术；医院采取了相关的抗凝药物，用药规范，且采取了相关的防栓措施；病历不存在造假，原始病历封存在法院，电子病历的诊疗结果与封存病历是一致的。请求法院驳回原告的诉讼请求。电子病历篡改，推定医院全责湘潭市医学会于2018年8月16日就患者与人民医院医疗事件作出的湘潭医鉴【2018】6号医疗事故技术鉴定书。湘潭市医学会经鉴定认定该医疗事件不构成医疗事故。原告质证认为该鉴定书所依据的医疗资料经鉴定已经证实有缺页，且有多处删除与修改的行为，且该修改行为是法律禁止的行为，该鉴定结论不能作为本案的依据，不能达到被告的证明目的。电子病历篡改，推定医院全责湖北诚实计算机司法鉴定所于2019年4月30日对患者在医院的电子病历是否有增加、删减、修改作出的鄂诚实【2019】电子鉴定第5号司法鉴定意见书。该鉴定书通过对比和查看医院现场打印的电子病历和法院提供的封存病历，电子病历有101张，而封存病历只有81张，找出二者之间的11处不一致或相矛盾的地方，通过查看电子病历系统后台日志发现2018年7月27日上午9：06医院通过后台操作对病历进行了数十次修改。按照国家卫健委对于未使用电子CA签名的医疗机构要求医疗文书签名必须手工签名，而在法院提供的病历上医生与护士的签名基本上都是扫描后制成的签名图片。此类签名图片可以被用于插入到电子病历文档中，而医务人员并未实际手工签名，存在伪造手工签名的可能；经现场调查证实，该院电子病历系统没有启用电子签名功能与电子病历质控功能。经鉴定，被告医院提供的患者电子病历（病历号1393486）有缺页，有多处删除与修改的行为。电子病历篡改，推定医院全责经本院审查，根据湖北诚实计算机司法鉴定所的鉴定意见，被告的电子病历系统后台显示，2018年7月27日上午9：06被告通过后台操作对原告电子病历进行了数十处修改，后台修改病历的行为发生在医疗事故鉴定结论作出之前，同时在诉讼过程中，医院也承认患者死亡后，医院只对患者的客观病历资料进行了封存，主观病历资料没有进行封存，也没有让死者家属复印。根据上述事实，不能认定作出医疗事故鉴定的住院病历是未经涂改、修正的，故对于原告的质证意见，本院予以认可，该证据不能达到被告的证明目的，不能作为本案证据使用。被告医院在患者死亡后对患者的病历有篡改行为，且医院未能提供有效证据证明自己对患者的死亡后果没有过错，应当对患者的死亡承担医疗损害责任。判决承担全责，共计791608.48元。4.电子病历的复制与封存电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第二十五条医疗机构应当建立电子病历信息安全保密制度，设定医务人员和有关医院管理人员调阅、复制、打印电子病历的相应权限，建立电子病历使用日志，记录使用人员、操作时间和内容。未经授权，任何单位和个人不得擅自调阅、复制电子病历。第二十条电子病历系统应当设置病历查阅权限，并保证医务人员查阅病历的需要，能够及时提供并完整呈现该患者的电子病历资料。呈现的电子病历应当显示患者个人信息、诊疗记录、记录时间及记录人员、上级审核人员的姓名等。4.电子病历的复制与封存电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第二十九条医疗机构可以为申请人复印或者复制电子病历资料的范围按照我部《医疗机构病历管理规定》执行。第三十条医疗机构受理复印或者复制电子病历资料申请后，应当在医务人员按规定时限完成病历后方予提供。第三十一条复印或者复制的病历资料经申请人核对无误后，医疗机构应当在电子病历纸质版本上加盖证明印记，或提供已锁定不可更改的病历电子版。第二十条（电子病历复制要求）医疗机构应按照《电子病历基本规范》要求，为申请人复制电子病历文档。由医疗机构复制的电子病历文档不可被任何单位和个人修改，并能被原电子签名系统识别和验证。第二十一条 （电子病历电子文档复制方法）患方依法要求复制电子病历的内容时，应将电子病历信息系统中需复制的内容制作为一份电子文档，生成可以使用常规软件阅读的电子文件并由医疗机构对该文件进行电子签名和时间戳保护后，提供给患方。第二十二条 （电子病历纸质文档复制方法）患方要求医疗机构提供电子病历内容纸质复制件时，医疗机构应打印需复制电子病历内容的纸质版本，并按照有关规定将纸质病历复制件提供给患方。第二十一条医疗机构应当为申请人提供电子病历的复制服务。医疗机构可以提供电子版或打印版病历。复制的电子病历文档应当可供独立读取，打印的电子病历纸质版应当加盖医疗机构病历管理专用章。4.电子病历的复制与封存电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第二十二条有条件的医疗机构可以为患者提供医学影像检查图像、手术录像、介入操作录像等电子资料复制服务。电子病历的复制申请人依法要求复制电子病历的内容时，应将电子病历信息系统中需复制的内容制作为一份电子文档，生成可以使用常规软件独立读取的电子文件。经申请人核对无误，由医疗机构对该文件进行电子签名和时间戳保护后，提供给申请人。由医疗机构复制的电子病历文档不可被任何单位和个人修改，并能被原电子签名系统识别和验证。申请人依法要求医疗机构提供电子病历内容纸质复制件时，医疗机构应打印需复制电子病历内容的纸质版本。经申请人核对无误，由医疗机构在纸质版本上加盖医疗机构病历管理专用章后，提供给申请人。4.电子病历的复制与封存电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第三十二条发生医疗事故争议时，应当在医患双方在场的情况下锁定电子病历并制作完全相同的纸质版本供封存，封存的纸质病历资料由医疗机构保管。第十九条（复制锁定封存电子病历的主体）患者本人或者其代理人、死亡患者法定继承人或者其代理人向医疗机构提出复制、锁定或封存病历的要求时，医疗机构应对依规定提供相应服务。第二十三条依法需要封存电子病历时，应当在医疗机构或者其委托代理人、患者或者其代理人双方共同在场的情况下，对电子病历共同进行确认，并进行复制后封存。封存的电子病历复制件可以是电子版；也可以对打印的纸质版进行复印，并加盖病案管理章后进行封存。4.电子病历的复制与封存电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第十九条（复制锁定封存电子病历的主体）患者本人或者其代理人、死亡患者法定继承人或者其代理人向医疗机构提出复制、锁定或封存病历的要求时，医疗机构应对依规定提供相应服务。第二十四条（电子病历锁定方法）执行电子病历锁定操作时，对于已归档的电子病历，由电子病历系统将需锁定的文件组合成一份电子文件。对于未归档电子病历，则在医院各类信息系统将相关电子病历数据归集到电子病历系统后，再将所有文件组合成一份电子文件。第二十五条（电子病历锁定后防伪）对需锁定的电子文件进行防伪和安全处理，包括数字水印处理（内容包括：医院名称、操作者名称、操作设备MAC地址、锁定时间），加盖医疗机构电子签章。第二十四条封存的电子病历复制件应当满足以下技术条件及要求：（一）储存于独立可靠的存储介质，并由医患双方或双方代理人共同签封；（二）可在原系统内读取，但不可修改；（三）操作痕迹、操作时间、操作人员信息可查询、可追溯；（四）其他有关法律、法规、规范性文件和省级卫生计生行政部门规定的条件及要求。4.电子病历的复制与封存电子病历基本规范（试行）北京市电子病历应用管理规范（试行）（征求意见稿）电子病历应用管理规范（试行）第二十八条（封存后病历管理）电子病历锁定或封存后又发生新的医疗行为依法需要进行病历记录时，医疗机构可以继续记录和使用。第二十五条封存后电子病历的原件可以继续使用。电子病历尚未完成，需要封存时，可以对已完成的电子病历先行封存，当医务人员按照规定完成后，再对新完成部分进行封存。电子病历的封存发生医疗事故争议时，应当在医患双方在场的情况下，对电子病历共同进行确认，并进行复制后封存。封存的电子病历复制件可以是电子版；也可以对打印的纸质版进行复印，并加盖病案管理章后进行封存。封存件由医疗机构保管。封存的电子病历复制件应当满足以下技术条件及要求：①储存于独立可靠的存储介质，并由医患双方或双方代理人共同签封；②可在原系统内读取，但不可修改；③操作痕迹、操作时间、操作人员信息可查询、可追溯；④其他有关法律、法规、规范性文件和省级卫生计生行政部门规定的条件及要求。封存后电子病历的原件可以继续使用。电子病历尚未完成，需要封存时，可以对已完成的电子病历先行封存，当医务人员按照规定完成后，再对新完成部分进行封存。电子病历的封存①定位患方在电子病历系统中的唯一标识号码，并确定需封存的范围；②对于已归档的电子病历，由电子病历系统将需封存的文件组合成一份电子文件；对于未归档电子病历，则在医院各类信息系统将相关电子病历数据归集到电子病历系统后，再将所有文件组合成一份电子文件；③该电子文件应满足电子病历的操作痕迹、操作时间、操作人员信息可查询、可追溯；④对需封存的电子文件形成副本并进行防伪和安全处理，包括数字水印处理（内容包括：医院名称、操作者名称、操作设备MAC地址、封存时间）。该文件可在原系统内读取，但不可修改；⑤将电子文件副本存入独立可靠的存储介质中，加盖医疗机构电子签章；⑥提取在存储介质中的电子数据副本即为封存的电子病历数据原件；⑦将该存储介质置于一个封存袋中，粘贴袋口使其内容物密封，可粘贴封条，在封口处加盖医院相应印章，同时请患方主要人员骑缝手写签名；⑧建议书写电子病历封存笔录，医患双方签字各保留一份。笔录中应注明，封存后电子病历的原件可以继续使用。电子病历未锁定导致无法封存案王某民于2011年10月31日主因“间断头晕3天”到甲医院就诊。入院初步诊断：心律失常，Ⅲ度房室传导阻滞，完全性左束支传导阻滞，冠状动脉粥样硬化性心脏病，高血压3级（极高危组），慢性支气管炎，左肺切除术后。入院后，甲医院给予降压及改善心肌供血治疗，控制心率，11月5日，王某民出现咳嗽，咳黄痰伴暗红色血丝及喘息，给予抗炎、平喘、化痰等治疗，效果不明显。2011年11月6日，王某民经急救车转至乙医院治疗，2011年11月7日乙医院收入院。入院诊断：心律失常，Ⅲ度房室传导阻滞，急性心功能不全，冠心病，不稳定型心绞痛；高血压病3级（极高危）；慢性支气管炎合并肺部感染；I型呼吸衰竭；左肺切除术后；急性肾功能不全；上消化道出血，应激性溃疡；低钠血症；抑郁症。医方进一步完善各项辅助检查，给予心电监护，维持心率，扩血管，抗感染，平喘化痰等治疗。电子病历未锁定导致无法封存案同年11月8日，乙医院经会诊考虑患者王某民心脏传导系统器质性病变。自11月13日起，患者王某民体温升高，肺部感染及肺淤血较前加重，后于2011年11月22日，经乙医院抢救无效死亡。王某民死亡后，乙医院告知患方家属可进行尸检，但患方家属表示同意乙医院的死亡诊断，签字拒绝进行尸检。乙医院出具了王某民北京市死亡医学证明书载：王某民，男，77岁，死亡原因：多脏器功能衰竭。死亡日期2011年11月22日。王某民死亡后，乙医院告知患方家属可进行尸检，但患方家属表示同意乙医院的死亡诊断，签字拒绝进行尸检。乙医院出具了王某民北京市死亡医学证明书载：王某民，男，77岁，死亡原因：多脏器功能衰竭。死亡日期2011年11月22日。电子病历未锁定导致无法封存案本案在审理过程中，被告甲医院、乙医院均向法院提交了王某民分别在该二所医院就诊的相关病历。原告对乙医院的病历予以认可。对甲医院的电子病历，原告提出其未按照卫生部的《电子病历基本规范（试行）》进行锁定；电子病历中未授予唯一标识号码，不能确保病历记载内容与患者的医疗记录相对应；电子病历中的电子签名均非可靠的电子签名，存在违法对电子病历进行修改等问题，故不认可该电子病历。甲医院解释称，其与患方共同封存了与电子病历内容相同的纸质病历，病历号即为唯一标识号码，电子签名均真实、可靠，医生登录电子病历系统均有唯一用户名、密码，二线医生有权对一线医生的诊断、治疗进行指导，并修改病历，该电子病历真实、可靠。电子病历未锁定导致无法封存案法院经原被告同意，委托北京某信息科技股份有限公司人员会同双方到甲医院将王某民电子病历予以锁定。后经原告申请，被告甲医院垫交鉴定费用，法院委托北京某电子数据司法鉴定中心就本案电子病历系统产生的数据在生成后是否被修改过；电子病历数据生成的准确时间及其生成后是否被修改过等问题进行司法鉴定。鉴定费用的插曲5万电子病历未锁定导致无法封存案电子数据鉴定中心经鉴定作出司法鉴定意见书，鉴定意见为：“经使用专用电子数据取证设备分析，在甲医院的住院数据库、病历数据库和历史数据库中，提取和分析与鉴定要求相关内容，具体内容如下：1、甲医院的电子病历系统，在电子病历数据生成后，医生可以进行修改操作，在电子病历归档前，如果医生进行了修改操作，系统会在病历表记录进行修改的医生号和修改日期，在电子病历归档后，如果医生进行了修改操作，系统同时会将修改前的整条病历数据生成一条日志进行记录，放置到标注有rz的日志表中。2、文件名为‘00438976_20101009(tsa).pdf’、‘00438976_20101106(tsa).pdf’、‘00438976_20101201(tsa).pdf’和‘00438976_20111107(tsa).pdf’的4份电子病历在数据生成后，未发现伪造、篡改痕迹，该4份电子病历数据与数据库中的数据比较结果如下：（1）住院病案首页、住院病案首页附页、入院记录、出院记录、特种检查治疗贵重药品审批表、诊断证明书、首次病程录、查房记录、护理记录首页、护理记录1，RICU/CCU护理记录1,2、体温脉搏血压表，内容一致。（2）医嘱单部分签名在数据库中有记录，但病历签名位置为空，其他内容一致。”电子病历未锁定导致无法封存案北京某司法鉴定所经鉴定作出司法鉴定意见书。鉴定意见为：“（一）甲医院在对被鉴定人王某民诊疗过程中存在以下医疗过错行为：1.未尽高度谨慎注意义务，对该患者的病情和既往史缺乏缜密的分析讨论和鉴别诊断，检查措施不完善，延误了急性左心衰（心功能不全）的及时诊断和早期治疗；2.对急性左心衰合并肾功能不全等并发症的发生未尽到预见义务和风险评估义务；3.转出EICU（重症监护室）未尽充分的告知义务。（二）甲医院上述医疗过错行为与被鉴定人王某民的死亡后果之间存在一定因果关系，甲医院负共同责任，参与度为Ｄ级[参与度范围为40%-60%]（理论系数值50%）。（三）乙医院在对被鉴定人王某民治疗过程中无明显不当，与该患者的死亡后果之间不存在因果关系,医方不承担责任。”判决，50%责任，17万元。5.电子病历对于医院管理措施的体现重大手术管理术前病情风险评估表姓名

病历号

分类项目得分一般情况年龄段□55岁及以下（0分）□56-65岁（0.25分）□66-74岁（0.5分）□75岁及以上（1分）

性别□男（0.25分）□女（0分）功能状态□完全自理（0分）□部分不能自理（0.25分）□大部分不能自理（0.75分）□完全不能自理（1分）BMI□＜18.5（0.25分）□18.5-23.9（0分）□24.0-26.9（0.25分）□27.0-29.9（0.5分）□≥30（1分）术前病情（各1分）□急诊病例□需药物控制的高血压

□慢性疾病应用激素□术前30内存在充血性心衰□术前30天内存在腹水□呼吸衰竭□术前48h内存在脓毒血症□重度COPD病史□呼吸机依赖□透析□肿瘤转移□急性肾功能衰竭□糖尿病

专科风险□自定义专业风险1□自定义专业风险2□自定义专业风险3□自定义专业风险4重点手术管理手术级别（1-4分）□1级□2级□3级□4级

全麻下诊断不明探查手术外院医师来院手术次数小于5次必行重大手术报告非计划再次手术演示、教学、直播手术新技术、新项目临床试验、研究性手术心脏、肺、小肠移植两个及以上联合器官移植手术合计＜8分（低风险）8—10分（中风险）＞10分（高风险）高风险患者须进行重大手术报告，由医患办共同进行纠纷风险评估并采取提前干预措施。患者医疗纠纷风险因素评估表患者姓名

病历号

心理风险患者有心理精神问题或长期酗酒的□1分对治疗的期望值过高的□1分医疗过程中有不满情绪的，提出不合理诉求或曾发生投诉等意见反映的□1分交代病情、告知沟通中表示出不理解的□1分社会风险患者属于特殊身份者（“三无”人员、VIP、官员、外宾、明星等）□1分有社会问题经历：如下岗、吸毒、刑满释放等□1分有家庭内部矛盾或关系不和睦的□1分有其他纠纷涉（与他人经济财产纠纷、劳资纠纷、交通事故等）及责任推诿的□1分熟人介绍来院就诊并要求指定医师、护士诊疗的□1分诊疗风险手术或治疗效果不佳，或出现并发症的□1分发生院内感染或者有可能感染的□1分患者病情危及生命、临终或发生死亡的□1分患者系急诊入院□1分属于慢性病患者反复住院或长期住院的□1分经济风险患者没有医保并存在住院预交金不足的□1分产生医疗欠费并长时间未补缴的□1分需要使用贵重自费药品、器械或耗材的□1分暴力风险经从本人了解或通过北京市医院安全保卫信息平台共享曾发生过医疗纠纷；曾属高风险就诊人员（扬言实施暴力，多次到医院无理缠闹）；曾发生涉医110警情；曾为涉医案件违法犯罪行为人（侮辱、恐吓、威胁、谩骂、推搡和恶意尾随医务人员；殴打、伤害医务人员；非法限制医务人员人身自由；携带违禁物品；非法占用、故意损毁医院财物；扰乱医疗秩序等）。□5分总分**分（*纠纷风险患者）说明＜3分（低纠纷风险患者）3~5分（中纠纷风险患者）＞5分（高纠纷风险患者）用药差错丙戊酸钠片→丙戊酸钠口服溶液500mg→500ml护士药师医师患者开具医嘱审核医嘱核对医嘱发药复核确认复核确认再次确认执行医嘱6.电子病历带来的便利与风险患者安全的基本理念6.电子病历带来的便利与风险便利方便快捷智能管理痕迹清晰留痕风险ctrl+c，ctrl+v，模板导入对电脑规则的学习与利用程序化的例外信息安全医疗机构医疗质量安全专项整治行动方案（一）医疗质量管理组织体系不健全问题。重点整治医疗机构主要负责人未落实医疗质量管理第一责任人职责，未成立由其担任主任的医疗质量管理委员会；未指定或者成立专门部门具体负责日常医疗质量管理的问题；各业务科室质量管理制度不健全，未指定专人负责科室日常医疗质量管理等医疗机构院、科两级医疗质量安全管理组织体系不健全的问题。（二）医疗质量安全管理制度不完善问题。重点整治医疗机构未严格按照法律法规及有关规定要求，建立健全本机构质量安全管理制度，细化完善并严格落实18项医疗质量安全核心制度的问题；重点整治未落实《手术质量安全提升行动方案》等有关要求，建立健全手术分级管理目录制定、医务人员授权、患者术后管理、医疗机构内部督查等有关制度的问题。医疗机构医疗质量安全专项整治行动方案（三）医疗质量安全工作机制落实不到位问题。重点整治医疗机构未形成医疗质量安全工作管理闭环，未建立并落实定期督导、考核、通报、反馈机制，主要负责人未按照要求定期召开会议研究部署医疗质量安全工作等问题；未落实“以质为先”的绩效管理理念，未建立以医疗质量安全为导向的绩效分配机制，未将医疗质量指标情况作为科室综合目标考核和绩效分配依据等问题。（四）医疗安全风险防范和应急处置机制不健全问题。重点整治医疗机构患者安全意识不强、医疗安全风险识别防范和应对能力不足，未坚持“预防为主、关口前移”理念，医疗质量(安全)不良事件报告机制不健全、落实不到位，未督促引导医务人员主动报告不良事件，未及时对不良事件进行分析、开展系统性改进工作、建立健全应急处置预案等问题。医疗机构医疗质量安全专项整治行动方案（五）科室质量安全管理制度落实不到位问题。重点整治科室及医务人员首诊负责制度落实不到位，推诿拒诊患者、延误急危患者抢救的问题；三级查房制度落实不到位，未按规定时间、频次查房，未对四级手术患者和疑难危重患者进行重点查房的问题；术前评估、麻醉评估、术前讨论、手术安全核查和围手术期管理等制度落实不到位，值班和交接班制度落实不到位，安排值班力量不足、值班人员擅离职守，影响患者安全的问题。（六）医疗文书书写、管理不规范问题。重点整治医疗机构病历质量控制制度不健全，日常管理不到位，病历书写不及时、不完整、不规范的问题，电子病历复制粘贴导致记录错误的问题，伪造篡改病历问题，以及未经亲自诊查开具医学证明文件等医疗文书问题。医疗机构医疗质量安全专项整治行动方案（七）医院感染管理不到位问题。重点整治未落实医疗机构院感管理制度规范，违反无菌操作技术规范和隔离技术规范，违规重复使用一次性医疗器械，发生医院感染暴发事件未按规定报告等问题。（八）泄露患者隐私问题。重点整治医疗机构对患者隐私保护重视程度不够、管理制度不健全，日常教育监督和管理不到位的问题；医务人员法律意识淡漠，违规留存、拍摄、复制、传播患者影像资料、病历信息的问题；诊室、病房、更衣室、手术室、检查室等重点场所隐私保护机制不健全，巡视检查不到位，泄露患者隐私的问题。医疗机构医疗质量安全专项整治行动方案（九）电子病历系统管理不到位问题。重点整治医疗机构电子病历系统管理制度不健全，信息查阅权限授予管理机制不完善，导致无关人员随意查阅患者病历信息的问题；医务人员对电子病历系统登录秘钥、口令管理不到位，随意授权他人使用，影响医疗质量安全和患者隐私安全的问题。（十）医德医风建设管理不到位问题。重点整治医疗机构医德医风建设管理和培训教育不到位，对医务人员医德医风方面苗头性、倾向性问题失察失管，对线索举报、群众反映问题处置不力的问题。关于进一步加强医疗机构电子病历信息使用管理的通知一、加强医疗机构内部管理（一）明确电子病历范围。电子病历是病历的一种记录形式，指医务人员在医疗活动过程中，使用信息系统生成的文字、符号、图表、图形、数字、影像等数字化信息，并能实现存储、管理、传输和重现的医疗记录，包括门（急）诊病历和住院病历。关于进一步加强医疗机构电子病历信息使用管理的通知一、加强医疗机构内部管理（二）压实医疗机构主体责任。医疗机构对本单位电子病历信息使用管理承担主体责任，要依法依规严格保护患者隐私，不得以非医疗、教学、研究目的泄露患者的病历信息。医疗机构应明确电子病历信息使用管理的牵头部门，确定各相关部门和人员的职责分工，统筹协调医务、科教、信息等相关部门落实管理责任，指导临床业务部门落实使用主体责任。医疗机构要强化纪检部门的监督职能，加强对电子病历信息使用权限滥用、信息泄露等行为的监管。要将电子病历信息规范使用管理情况纳入行政管理人员和医务人员绩效评价，出现违规操作、泄露信息等不良事件，要依法依规追究相应部门和个人责任。信息安全管理制度关于进一步加强医疗机构电子病历信息使用管理的通知一、加强医疗机构内部管理（三）健全医疗机构管理制度。医疗机构应当完善电子病历信息系统分级管理制度，规范电子病历的建立、记录、修改、保存、传输等各环节工作流程，以及使用、管理的权限范围。建立电子病历信息使用长效监管机制，预防并及时处置不合理调阅、使用、转发电子病历信息等情形，确保电子病历信息使用合法合规、安全可控。建立应急处置制度，建立健全电子病历信息泄露场景的处置流程。断电导致信息系统故障2015年5月9日晨间，成都某医院信息系统出现故障。有患者表示，当时医院不能挂号，医生也无法开出处方。该院保安告知患者，故障在当天内无法修复，希望患者明天再来。即便如此，仍有上千病患滞留院内，医生手写病历和开药，但无法缴费和取药。2015年5月9日13时，该院查明事故原因：5月8日晚23时左右，该院信息系统中心机房一台给系统主机供电的UPS突然被烧坏，造成系统主机全部断电、业务系统中断。事后，院方积极联系厂家送来供电UPS，经过抢修、安装、调试，5月9日上午10:30左右供电恢复正常，业务系统在11:00左右恢复正常运行。本次供电故障还造成一台负载均衡不能使用，院方正在调试启动备用设备。主机故障导致信息系统故障2019年3月18日凌晨2:15，广州市某医院门急诊信息系统出现严重故障，给医院工作及患者就诊带来不便。故障发生后，该医院第一时间组织各公司工程师紧急抢修，迅速启动应急预案，并通过医院官网、微信、微博及联系区内主流媒体发布信息。3月19日9:30，信息系统已部分恢复。在系统未完全修复前，该医院公告采用临时人工作业方案。3月20日0:00，原数据库已恢复95%，新门急诊信息系统功能也逐步完善。14:30，自费医疗、医保门诊业务、公费记账已经恢复。3月25日，该医院在各大平台恢复预约挂号服务。3月18日故障发生后，广州市某医院组织了8家相关公司的专家对该院数据库及硬件进行联合排查，最终确认该系统故障属于偶发事件。故障原因是存储设备和数据库主机硬件故障，导致数据库崩溃；存储和数据库主机故障排除后，医院发现由于上述故障导致数据库文件异常，通过数据库双机热备份数据文件仍无法恢复，只能选择通过完全备份的数据库文件恢复，且由于完全备份数据库存储10多年的数据，经评估，恢复需耗时2至3天，而恢复数据库后产生的后继故障无法评估。广州市某医院及时向主管部门番禺区卫生健康局报送信息化系统故障应急处置工作。关于进一步加强医疗机构电子病历信息使用管理的通知一、加强医疗机构内部管理（四）落实分级管理要求。医疗机构应当根据电子病历信息的重要程度、敏感级别、使用场景等具体情况，严格实施分级分类访问控制与权限管理。遵循最小可用原则，按照岗位职责、角色任务、使用需求等，明确临床诊疗、教学、管理等相关人员分级访问权限和时限，严禁未经授权查阅、复制、传播或篡改病历信息。发生就医诊疗相关舆情时，要立即封存涉及人员的相关信息，无关人员不得访问浏览记录转发。保险机构违规查询患者个人信息2022年2月，江西省宜春市人民检察院收到群众举报，称其家属办完住院手续后，有保险代理机构业务人员向其推销“某手术保险”。宜春市人民检察院立案办理并进行全面摸排。初步核实保险代理机构业务人员通过医院手术科室护士站查询患者纸质病历或登录病历管理系统违法获取大量患者医疗健康信息（包括患者姓名、身份证号、联系方式、手术类型等）的情况。保险代理机构业务人员手机通话记录与患者办理住院手续时间点相吻合，手机通话的先后顺序反映了患者在办理住院手续后不久即会接到保险代理机构业务人员电话，进一步印证了患者个人信息泄露的事实。宜春市检察院审查认为，根据《中华人民共和国个人信息保护法》《医疗机构病历管理规定》等法律法规，医疗健康等信息属于敏感个人信息，未经公民本人同意，亦无法律授权等个人信息保护法规定的理由，医院擅自向保险代理机构提供患者医疗健康信息，改变了公民公开个人信息的范围、目的和用途，不属于法律规定的合理处理；保险从业人员收集、使用获取的医疗健康信息从事保险营销，违反了国家规定，侵害了不特定多数患者的个人信息权利。卫生健康部门对侵害医疗患者个人信息的行为负有监管职责。医院护士出售个人信息获刑张某是某儿童摄影公司的员工，2012年公司安排其到医院做妈妈班业务，其跟医院医护人员熟悉了。刘某是A医院的产科护士。2016年，张某找刘某想让其提供医院产房登记的新产妇个人信息，以方便她打电话推销产品并组织产妇的育婴班，并且以每条信息两元支付给其报酬。刘某答应张某后就利用值班时间将新产妇登记本用手机拍照下来，只拍了登记本上新产妇姓名、家庭住址、联系电话、出生时间、第几胎以及孕周等信息内容。自2016年4月至2017年7月刘某给张某提供了约7000条新产妇个人信息，张某给其微信转账共计15930元。王某是B医院的产科护士。2016年，张某找王某想让其提供医院产房登记的新产妇个人信息，以方便她打电话推销产品并组织产妇的育婴班，并且以每条信息两元的价格支付给其报酬。王某答应张某后就利用值班登记的时候用手机将新生儿听力筛查登记本的部分内容用手机拍照下来，只拍了登记本上新产妇姓名、联系电话、出生时间、家庭住址等信息内容。自2016年1月至2017年7月王某大约给张某提供了5000多条新产妇个人信息，张某给其转账共计14290元。法院最终判处被告人刘某拘役六个月，缓刑六个月，并处罚金人民币二万元；判处被告人王某拘役六个月，缓刑六个月，并处罚金人民币二万元。关于进一步加强医疗机构电子病历信息使用管理的通知二、规范电子病历信息使用（一）规范相关人员使用权限和行为。医疗机构应当为电子病历系统操作人员提供专有的身份标识和识别手段，并设置相应权限。明确操作人员对本人身份标识的使用负责，不得违规收集、使用、传输、透露、买卖患者病历信息或通过网络渠道传播。医疗机构从业人员均应妥善保管个人身份识别介质，依权限规范使用电子病历信息，并由医疗机构根据工作岗位和工作内容定期更新调整其使用权限和时限。参与见习实习和培养培训的学生、进修医生等短期工作人员，需接受医疗机构组织的相关培训，依权限在教学学习活动中规范使用电子病历信息，其使用权限和时限不得超过培训进修学习范围和时长。医疗机构应当与提供信息系统维护和数据分析服务等业务的外部服务商签订严格的保密协议和授权协议，明确其访问电子病历系统的范围、目的和期限，并在服务过程中接受医疗机构监督，确保数据安全。外部公司非法获取个人信息并销售被判刑责案2015年7月、11月，浙江省某疾病预防控制中心与浙江省某网络医院签订协议，约定浙江省某预防接种信息平台（含PC端和App）由某网络医院负责技术支持及平台运营。2015年10月、2016年6月，某网络医院与A公司分别签订软件开发合同、智慧疫苗接种平台接口开发合同，约定由A公司负责开发疫苗接种平台的软件并进行一年免费维护，三方就保密信息的披露使用等进行了相应保密规定。2016年8月，A公司法定代表人黄某与技术主管郑某合谋，以自编程序下载的方式，未经授权，私自通过网络医院前置服务器上的数据接口非法获取3704467条公民个人信息（数据库包含儿童姓名、性别、出生时间、父母姓名、电话、居住地址等19个字段信息），根据电话号码去重后为2480313条，并将上述信息保存在郑某使用的笔记本电脑中。A公司将该信息出售给多家公司，获利10万余元。最终相关人员获刑。关于进一步加强医疗机构电子病历信息使用管理的通知二、规范电子病历信息使用（二）保障全流程可追溯。医疗机构要确保电子病历系统历次操作痕迹、操作时间和操作人员等信息可查询、可追溯。支持通过数字水印等技术手段，确保使用过程留痕。医疗机构共享电子病历信息时，应有严格的授权机制和审批流程，确保信息的安全性和防篡改性。医疗机构接收外单位提供的电子病历信息时，应对信息来源的合法性、完整性、安全性进行验证，并参照内部管理要求建立详细的接收、存储、使用记录，实现数据流向可追溯。非法侵入医院信息系统获取统方数据并销售被判刑责案2015年7、8月间，上海某医院检验科主管技师蔡某为图私利，在明知自己无权进入本院计算机数据库获取医生用药量信息的情况下，仍与罗某商议，拟利用罗某的技术便利，由罗某编写程序，非法下载上海某医院的统方数据，然后由蔡某向医药销售人员出售牟利。2015年终，蔡某与罗某约定，由罗某编写下载程序和进行统方，并介绍肖某每月去蔡某处一次下载数据，蔡某每月向罗某支付报酬人民币1.2万元。此后，罗某编写了专门用于采集医院数据的应用程序，并将装有该程序的笔记本电脑，连同其通过职务获知的该医院计算机系统数据库用户名和密码一并提供给肖某。从2016年2月起至案发，蔡某每月一次将肖某带进该医院检验科办公室，利用内部网线将笔记本电脑接入医院计算机信息系统，采集当月的医生用药信息数据。尔后，肖某将采集到的数据交给罗某进行统方，统方完成后则由罗某将存有统方数据的U盘交给蔡某，由蔡某出售给医药销售人员获利。2016年1月至10月间，罗某从蔡某处获取报酬12万元，分给肖某总计5.4万元。经该医院发现并报案，法院判决犯非法获取计算机信息系统数据罪，判处有期徒刑2-3年，并处罚金。关于进一步加强医疗机构电子病历信息使用管理的通知二、规范电子病历信息使用（三）确保数据安全。医疗机构要按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国电子签名法》等法律法规规定，强化数据安全管理。建立电子病历信息安全防护体系，充分利用信息化手段监测电子病历信息使用情况。定期开展安全评估，对异常访问或未经授权的操作及时发出警报并通