2026年患者隐私保护管理试题与答案

2026年患者隐私保护管理试题与答案一、单项选择题1.根据2025年印发的《医疗卫生机构患者个人信息保护管理规范》，医疗机构收集患者传染病感染史、基因检测结果等敏感医疗个人信息时，应当采取的同意方式为（）A.口头告知后默认同意B.签署通用就诊知情同意书即可C.单独书面告知信息处理用途、范围、留存时限等内容，取得患者明确书面同意D.无需取得同意，医疗机构可自行收集答案：C解析：敏感医疗个人信息直接涉及患者核心隐私权益，根据规范要求，收集此类信息必须履行单独告知义务，取得患者单独明确同意，不得捆绑到通用就诊同意书中。2.医疗机构内部非诊疗责任人员申请跨科室调阅患者电子病历，无公共卫生、司法调取等法定情形的，应当履行的审批流程为（）A.由调阅人所属科室主任签字审批即可B.由病案管理部门审核，同时征得患者本人或其授权委托人签字同意C.由信息科主任审批即可D.由医务科主任审批即可答案：B解析：非诊疗必需的跨科室调阅属于超出常规诊疗范围的患者信息处理行为，必须经过病案管理部门审核确认用途合法合规，且征得患者本人同意后方可开展。3.发生10人及以上患者隐私信息批量泄露的重大事件时，医疗机构应当在（）内向属地卫生健康部门、网信部门上报事件情况A.2小时B.12小时C.24小时D.72小时答案：A解析：根据医疗数据安全事件分级上报要求，涉及10人以上个人信息泄露的重大事件必须在2小时内完成初报，一般泄露事件可在24小时内上报。4.下列选项中不属于法定患者隐私保护范畴的是（）A.患者的婚育史、性取向信息B.患者自行在公开社交平台发布的自身就诊vlog内容，且未明确禁止他人使用C.患者的医保支付记录、个人账户信息D.患者的精神疾病诊疗记录答案：B解析：个人自行公开且未明确拒绝他人使用的信息不属于未公开隐私范畴，无需按照隐私保护规则限制处理，但涉及敏感信息的仍需遵守最小必要原则。5.医疗机构向商业保险公司提供患者就诊信息用于理赔核验时，下列做法符合要求的是（）A.为提升理赔效率，直接向保险公司开放医院信息系统查询端口B.要求保险公司签署保密协议后，批量提供参保患者全年就诊数据C.仅提供与该理赔事项直接相关的最小必要信息，且取得患者本人书面授权D.无需患者同意，凭保险公司理赔申请函即可提供患者全部就诊记录答案：C解析：向第三方提供患者医疗信息必须同时满足最小必要和知情同意两大核心原则，不得超出使用范围提供额外信息，不得未经同意向商业机构传输患者隐私。6.根据《医疗人工智能数据安全管理细则（2025版）》，使用患者医疗数据训练AI辅助诊断模型时，符合要求的做法是（）A.为提升模型准确率，可未经脱敏将原始诊疗数据上传至公有云训练B.用于训练的数据必须经过不可逆去标识化处理，确保无法复原到特定个人C.只要用于医学科研目的，无需任何审批即可使用患者原始隐私数据D.AI生成的诊断报告可随意公开，无需对患者保密答案：B解析：用于AI训练的医疗数据必须完成不可逆去标识化，剥离所有可识别到特定个人的信息，从源头避免隐私泄露风险。7.患者申请复制自身相关诊疗资料时，医疗机构可以拒绝提供的是（）A.门诊病历、检验检查报告B.手术同意书、麻醉记录单C.疑难病例讨论记录中涉及其他患者的病情分析内容D.出院记录、医嘱单答案：C解析：诊疗资料中涉及第三方患者隐私的内容，不得向申请人提供，避免侵犯其他患者的隐私权。8.下列场景中，医疗机构处理患者隐私信息无需取得患者单独同意的是（）A.将患者诊疗案例用于公开发表的学术论文B.为确认法定传染病感染情况，依法向疾控中心上报患者相关信息C.将患者肖像、诊疗经历用于医院官方公众号宣传D.向境外科研机构提供患者生物样本及关联基因信息答案：B解析：为履行法定职责、应对公共卫生事件等情形处理患者隐私信息的，属于法定免责情形，无需取得患者单独同意。9.医疗卫生人员违规泄露患者隐私，造成严重后果的，卫生健康主管部门不能直接作出的处罚是（）A.暂停6个月以上1年以下执业活动B.吊销执业证书C.处1万元以上10万元以下罚款D.直接撤销其全部专业技术职称答案：D解析：专业技术职称撤销需经过职称评审主管部门的法定程序，卫生健康主管部门不能直接作出撤销职称的处罚。10.对于已去世患者的隐私信息保护，下列说法正确的是（）A.患者去世后隐私权益自动消灭，医疗机构可随意处置其信息B.近亲属为了自身合法、正当利益的，可以申请查阅、复制逝者的相关诊疗信息C.逝者生前所在单位可凭单位介绍信查阅其就诊记录D.科研机构可直接调取去世患者的全部医疗数据用于科研答案：B解析：根据《个人信息保护法》要求，逝者的个人信息权益受法律保护，仅近亲属为自身合法正当利益可申请查阅相关信息，其他主体调取仍需符合法定要求。二、多项选择题1.下列选项中属于患者敏感医疗个人信息的有（）A.传染病、性病感染史B.精神疾病诊疗记录C.指纹、人脸等生物识别信息D.未成年人的就诊记录答案：ABCD解析：《医疗卫生机构患者个人信息保护管理规范》明确将传染病史、精神疾病诊疗记录、生物识别信息、未成年人医疗信息全部纳入敏感医疗个人信息范畴，适用更严格的保护规则。2.医疗机构应当采取的患者隐私信息安全防护措施包括（）A.对电子病历系统设置分级访问权限，操作日志留存不少于10年B.存储患者隐私数据的服务器不得部署在境外C.每年开展不少于2次全员患者隐私保护专项培训D.对患者隐私数据的传输、存储全过程采取加密措施答案：ABCD解析：以上均为现行规范明确要求的强制性防护措施，其中电子病历操作日志留存要求自2025年起从5年调整为10年。3.下列情形中，医疗机构调取患者隐私信息无需征得患者同意的有（）A.公安机关持法定文书调取患者信息用于刑事案件侦查B.疾控中心为处置突发传染病疫情开展流行病学调查C.医疗机构开展同病种临床路径优化分析，使用已完成不可逆去标识化的批量患者数据D.患者家属持本人身份证调取患者就诊记录用于查询遗产相关医疗费用答案：ABC解析：家属调取逝者遗产相关医疗费用记录的，需提供法定继承人证明、患者死亡证明等材料，仅持本人身份证不符合调取要求，仍需履行相关审核程序。4.患者发现自身隐私被医疗机构泄露后，可采取的合法救济途径包括（）A.要求医疗机构停止侵害、消除影响、赔偿损失B.向属地卫生健康部门、网信部门投诉举报C.向人民法院提起民事诉讼D.要求涉事工作人员公开赔礼道歉答案：ABCD解析：以上均为患者隐私权受侵害后的合法救济途径，符合《民法典》《个人信息保护法》等法律规定。5.医疗机构开展互联网诊疗活动时，符合患者隐私保护要求的做法有（）A.不得向第三方共享互联网诊疗过程中获取的患者信息，法律法规另有规定的除外B.患者要求删除互联网诊疗相关个人信息的，除法律法规另有规定外应当及时予以删除C.互联网诊疗过程中的音视频资料留存不少于30年D.互联网诊疗平台的用户访问日志留存不少于6个月答案：AB解析：互联网诊疗音视频资料法定留存时限为15年，用户访问日志法定留存时限为12个月，因此选项C、D错误。三、判断题1.医疗机构宣传时使用患者诊疗案例，只要隐去患者姓名就不构成隐私侵权。（）答案：×解析：即使隐去姓名，只要通过诊疗时间、病情特征、肖像等其他信息可以识别到特定患者，且未取得患者单独同意的，仍构成隐私侵权。2.患者申请更正病历中错误的个人隐私信息，医疗机构核实属实后应当在3个工作日内完成更正。（）答案：√解析：《医疗卫生机构患者个人信息保护管理规范》明确患者信息更正的响应时限为3个工作日。3.发生患者隐私泄露事件后，医疗机构只需向监管部门上报，无需告知受影响的患者。（）答案：×解析：除法定不宜告知的情形外，医疗机构应当及时将泄露情况、潜在风险、应对措施等告知受影响的患者。4.医学院校学生在带教老师指导下观摩诊疗过程，无需征得患者同意。（）答案：×解析：涉及患者隐私的诊疗观摩活动，必须提前向患者告知观摩目的、参与人员等内容，征得患者明确同意后方可开展。5.医保部门为核验医保报销真实性调取患者就诊数据的，医疗机构可以直接提供，无需患者同意。（）答案：√解析：医保部门的报销核验属于法定监管职责，属于无需患者同意的合法处理情形。6.医疗机构可以将患者检验检查报告发布在公开微信小程序上，患者输入身份证号即可查询。（）答案：×解析：检验检查报告属于敏感隐私信息，必须采取人脸识别、短信核验、身份信息多重校验等加密防护措施，不得公开放置在无防护的公开平台，防止数据被批量爬取泄露。7.医疗卫生人员因工作需要获取的患者隐私信息，不得在诊疗活动之外的场合随意谈论。（）答案：√解析：医疗卫生人员对执业过程中获取的患者隐私负有保密义务，非工作必需不得泄露、传播相关信息。8.向境外提供患者医疗数据的，只要经过医疗机构伦理委员会审批即可，无需报请网信部门开展数据出境安全评估。（）答案：×解析：敏感医疗数据出境必须经过网信部门组织的数据出境安全评估，伦理委员会审批只是前置程序之一，不能替代安全评估要求。9.患者拖欠医疗费用的，医疗机构可以泄露其隐私信息作为催缴手段。（）答案：×解析：患者隐私权是法定权益，与医疗费用支付属于不同法律关系，医疗机构不得采取泄露隐私的方式催缴费用。10.患者死亡后，其近亲属可以随意处置死者的全部医疗隐私信息。（）答案：×解析：近亲属仅能为了自身合法正当利益查阅、复制逝者相关医疗信息，不得随意泄露、公开逝者隐私信息。四、案例分析题1.案例：2026年3月，某三甲医院呼吸内科护士李某为博取网络流量，在个人抖音账号发布其照顾的某知名艺人患肺炎住院的病房视频，视频中清晰显示艺人的面部特征、病床号、诊疗卡信息，该视频发布后24小时内播放量突破2000万，引发全网热议，对患者正常生活造成严重影响。请结合相关规定回答以下问题：（1）李某的行为违反了哪些患者隐私保护规定？（2）李某及所属医疗机构分别应当承担什么法律责任？（3）该事件暴露出医疗机构隐私保护管理存在哪些漏洞？应当采取哪些整改措施？参考答案：（1）违反的规定：①违反《个人信息保护法》关于敏感个人信息处理的知情同意要求，未经患者同意擅自公开其医疗健康信息、生物识别信息等敏感个人信息；②违反《医疗卫生机构患者个人信息保护管理规范》中医疗卫生人员不得违规泄露、公开执业过程中获取的患者隐私信息的强制性要求；③违反《护士条例》中护士执业应当尊重患者隐私权的执业准则。（2）责任承担：①李某作为直接责任人：由卫生健康主管部门给予警告，暂停1年执业活动，处5万元罚款；需向患者承担赔礼道歉、赔偿精神损害抚慰金等民事责任；情节严重构成侵犯公民个人信息罪的，依法追究刑事责任。②所属医疗机构：未落实工作人员隐私保护培训、内部信息管控义务，由卫生健康主管部门给予警告、通报批评，处10万元罚款，责令限期整改；对医疗机构主要负责人、分管负责人给予行政处分、绩效扣减等处理；对患者的损害承担连带民事赔偿责任。（3）存在的漏洞：一是工作人员隐私保护意识薄弱，未开展常态化针对性培训；二是诊疗区域个人电子设备使用管理制度缺失，未禁止非工作需要拍摄患者相关信息；三是内部违规行为监测机制缺位，未及时发现和制止违规泄露行为。整改措施：①立即开展全员隐私保护专项培训，考核合格后方可上岗，每年培训时长不少于4学时；②出台诊疗区域电子设备使用管理规定，禁止非工作用途拍摄患者肖像、诊疗信息等内容，确因工作需要拍摄的需履行审批及脱敏程序；③建立违规行为监测及举报机制，对违规处理患者隐私的行为实行零容忍，发现一起严肃处理一起；④完善隐私泄露应急处置预案，发生泄露事件后第一时间采取阻断传播、下架内容等措施，最大限度降低对患者的影响。2.案例：2026年5月，某互联网医院上线AI皮肤病辅助诊断服务，为提升模型识别准确率，该医院未经患者同意，将近3年存储的120万条皮肤病患者的就诊记录、皮损照片、身份信息等原始数据，未做脱敏处理上传至境外某云服务商的AI训练平台，后被境外黑客窃取，造成大量患者隐私泄露。请结合相关规定回答以下问题：（1）该互联网医院的做法存在哪些违规之处？（2）该事件应当如何处置？参考答案：（1）违规之处：①处理患者敏感医疗个人信息未征得患者单独同意，违反知情同意核心原则；②用于AI训练的患者原始数据未做不可逆去标识化处理，违反《医疗人工智能数据安全管理细则》的相关要求；③将敏感医疗数据传输至境外服务器，未报请网信部门开展数据出境安全评估，违反数据出境管理规定；④未采取有效数据安全防护措施，导致数据被黑客窃取，未履行数据安全保护法定职责。（2）处置方式：①第一时间启动数据安全事件