住院患者信息保密與授權(quán)管理規(guī)范一、總則（一）目的與依據(jù)為切實(shí)保障住院患者的個(gè)人隱私與信息安全，規(guī)范醫(yī)院及相關(guān)從業(yè)人員對(duì)患者信息的獲取、使用、存儲(chǔ)和傳輸行為，維護(hù)正常醫(yī)療秩序，提升醫(yī)療服務(wù)質(zhì)量與患者信任度，依據(jù)國(guó)家相關(guān)法律法規(guī)及行業(yè)倫理準(zhǔn)則，特制定本規(guī)范。（二）適用范圍本規(guī)范適用于醫(yī)院內(nèi)部所有涉及住院患者信息處理的科室、部門及其工作人員，包括但不限于臨床醫(yī)師、護(hù)士、醫(yī)技人員、行政管理人員、實(shí)習(xí)進(jìn)修人員以及為醫(yī)院提供服務(wù)的第三方機(jī)構(gòu)人員。患者信息涵蓋在住院診療過(guò)程中產(chǎn)生的所有個(gè)人識(shí)別信息、臨床診療信息、檢查檢驗(yàn)結(jié)果、用藥記錄、費(fèi)用信息及其他相關(guān)敏感數(shù)據(jù)。（三）基本原則1.患者隱私至上原則：將保護(hù)患者隱私作為信息管理的首要準(zhǔn)則，任何涉及患者信息的操作均需以尊重和保護(hù)患者隱私為前提。2.最小必要原則：信息的收集、使用和披露僅限于實(shí)現(xiàn)診療、管理等合法目的所必需的最小范圍，避免無(wú)關(guān)信息的獲取和擴(kuò)散。3.全程可控原則：對(duì)患者信息的產(chǎn)生、流轉(zhuǎn)、存儲(chǔ)、使用和銷毀進(jìn)行全生命周期的管理與監(jiān)控，確保每一個(gè)環(huán)節(jié)都處于有效控制之下。4.權(quán)責(zé)一致原則：明確各崗位人員在患者信息保密與授權(quán)管理中的具體職責(zé)與權(quán)限，做到有權(quán)必有責(zé)，用權(quán)受監(jiān)督。二、患者信息的界定與保密范圍（一）患者信息的界定住院患者信息是指在患者住院期間，醫(yī)院為提供醫(yī)療服務(wù)而收集、記錄、存儲(chǔ)的，與患者個(gè)人身份相關(guān)聯(lián)的各類信息。主要包括：1.患者基本身份信息：姓名、性別、年齡、身份證號(hào)（處理時(shí)應(yīng)注意脫敏）、聯(lián)系方式、家庭住址等。2.臨床診療信息：主訴、現(xiàn)病史、既往史、體格檢查、診斷結(jié)果、治療方案、手術(shù)記錄、護(hù)理記錄等。3.檢查檢驗(yàn)信息：各類影像學(xué)檢查報(bào)告、實(shí)驗(yàn)室檢驗(yàn)結(jié)果、病理報(bào)告等。4.用藥與治療信息：藥品名稱、劑量、用法、療程、治療效果及不良反應(yīng)等。5.費(fèi)用與結(jié)算信息：住院費(fèi)用明細(xì)、支付方式等。6.其他與患者健康狀況和醫(yī)療服務(wù)相關(guān)的敏感信息。（二）保密范圍所有能夠直接或間接識(shí)別到特定患者的信息，無(wú)論其載體形式（紙質(zhì)、電子、口頭等），均屬于保密范圍。對(duì)于雖不能直接識(shí)別患者，但經(jīng)合理組合后可能識(shí)別出患者的信息，亦應(yīng)視同敏感信息予以保護(hù)。三、信息保密要求與禁止行為（一）保密要求1.意識(shí)培養(yǎng)：醫(yī)院應(yīng)定期組織員工進(jìn)行患者信息保密知識(shí)培訓(xùn)，強(qiáng)化保密意識(shí)，使其充分認(rèn)識(shí)到信息泄露的危害性和法律責(zé)任。2.權(quán)限控制：嚴(yán)格執(zhí)行信息系統(tǒng)訪問(wèn)權(quán)限管理制度，根據(jù)崗位工作需要分配最小化的信息訪問(wèn)權(quán)限，并定期進(jìn)行權(quán)限審查與清理。3.介質(zhì)管理：紙質(zhì)病歷等資料應(yīng)存放于指定的安全柜中，未經(jīng)授權(quán)不得帶出工作區(qū)域；電子存儲(chǔ)介質(zhì)（如U盤、移動(dòng)硬盤）的使用需符合醫(yī)院規(guī)定，嚴(yán)禁私自拷貝、存儲(chǔ)患者信息。4.環(huán)境管理：工作場(chǎng)所應(yīng)保持適當(dāng)?shù)乃矫苄裕苊庠诠矃^(qū)域或非工作場(chǎng)合談?wù)摶颊卟∏榧跋嚓P(guān)信息。計(jì)算機(jī)屏幕應(yīng)設(shè)置保護(hù)措施，防止無(wú)關(guān)人員窺視。（二）禁止行為1.嚴(yán)禁未經(jīng)患者本人或其法定代理人同意（除法律規(guī)定的特殊情形外），向任何無(wú)關(guān)第三方泄露患者信息。2.嚴(yán)禁以任何形式（包括但不限于口頭、書(shū)面、網(wǎng)絡(luò)傳輸、社交媒體發(fā)布等）私自泄露、傳播、買賣患者信息。4.嚴(yán)禁將患者信息用于與診療、教學(xué)、科研、醫(yī)院管理無(wú)關(guān)的其他目的。5.嚴(yán)禁使用非醫(yī)院指定或未經(jīng)安全認(rèn)證的設(shè)備、軟件處理和存儲(chǔ)患者信息。6.嚴(yán)禁在個(gè)人通訊工具（如私人手機(jī)、郵箱）中存儲(chǔ)、傳輸患者敏感信息。四、信息使用與授權(quán)管理因臨床診療、護(hù)理、醫(yī)技檢查、醫(yī)療質(zhì)量管理、教學(xué)科研等內(nèi)部工作需要使用患者信息時(shí)，相關(guān)人員應(yīng)憑有效工號(hào)及權(quán)限在醫(yī)院指定的信息系統(tǒng)內(nèi)進(jìn)行操作，并對(duì)其操作行為負(fù)責(zé)。使用過(guò)程中，應(yīng)嚴(yán)格遵守最小必要原則和保密要求。（二）患者信息的外部授權(quán)與披露1.患者本人授權(quán)：患者本人或其法定代理人有權(quán)查閱、復(fù)制其自身住院信息。如需向院外機(jī)構(gòu)或個(gè)人提供，應(yīng)由患者本人或其法定代理人簽署《患者信息披露授權(quán)書(shū)》，明確授權(quán)范圍、用途、接收方和有效期限。2.法定要求披露：因司法機(jī)關(guān)、行政執(zhí)法機(jī)關(guān)依法履行職責(zé)需要調(diào)取患者信息的，應(yīng)要求其出具法定證明文件和工作證件，經(jīng)醫(yī)院指定部門審核批準(zhǔn)后，按照規(guī)定程序提供，并做好記錄備案。3.教學(xué)科研使用：用于教學(xué)、科研目的的患者信息，必須進(jìn)行去標(biāo)識(shí)化處理，確保無(wú)法識(shí)別到具體患者。如確需使用可識(shí)別信息，應(yīng)事先獲得患者書(shū)面授權(quán)，并嚴(yán)格限制在研究范圍內(nèi)使用。4.緊急情況處理：在突發(fā)公共衛(wèi)生事件或其他緊急情況下，為保護(hù)患者生命健康或公共利益，可在必要范圍內(nèi)臨時(shí)披露患者信息，但事后應(yīng)及時(shí)補(bǔ)辦相關(guān)手續(xù)并記錄。（三）授權(quán)流程管理1.《患者信息披露授權(quán)書(shū)》應(yīng)包含患者基本信息、授權(quán)事項(xiàng)、授權(quán)范圍、授權(quán)期限、接收方信息、患者簽名及日期等要素。2.授權(quán)書(shū)應(yīng)由醫(yī)院統(tǒng)一制定格式，由相關(guān)科室負(fù)責(zé)保管，并建立登記臺(tái)賬。3.對(duì)于超出常規(guī)范圍的信息披露申請(qǐng)，需經(jīng)科室負(fù)責(zé)人及醫(yī)院信息安全管理部門審批。五、組織管理與人員職責(zé)（一）組織領(lǐng)導(dǎo)醫(yī)院應(yīng)成立信息安全管理委員會(huì)，由院領(lǐng)導(dǎo)牽頭，相關(guān)職能科室（如醫(yī)務(wù)部、護(hù)理部、信息部、質(zhì)控部、院感科、保衛(wèi)科等）負(fù)責(zé)人為成員，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)患者信息保密與授權(quán)管理工作，制定和完善相關(guān)制度，監(jiān)督制度落實(shí)情況。（二）部門職責(zé)1.信息部：負(fù)責(zé)醫(yī)院信息系統(tǒng)的安全建設(shè)與維護(hù)，落實(shí)信息訪問(wèn)權(quán)限控制、數(shù)據(jù)加密、安全審計(jì)等技術(shù)措施，保障信息系統(tǒng)穩(wěn)定運(yùn)行和數(shù)據(jù)安全。2.醫(yī)務(wù)部/護(hù)理部：負(fù)責(zé)組織開(kāi)展醫(yī)務(wù)人員的信息保密知識(shí)培訓(xùn)與教育，監(jiān)督臨床科室執(zhí)行本規(guī)范的情況，處理與患者信息相關(guān)的投訴和糾紛。3.各臨床科室：科室主任/護(hù)士長(zhǎng)為本科室患者信息保密管理的第一責(zé)任人，負(fù)責(zé)組織本科室人員學(xué)習(xí)并嚴(yán)格執(zhí)行本規(guī)范，加強(qiáng)日常監(jiān)督與管理，及時(shí)報(bào)告信息安全事件。（三）人員職責(zé)1.所有工作人員在入職時(shí)須簽署《患者信息保密承諾書(shū)》，明確其在信息保密方面的權(quán)利與義務(wù)。2.嚴(yán)格遵守信息系統(tǒng)操作規(guī)程，妥善保管個(gè)人賬號(hào)和密碼，不得轉(zhuǎn)借他人使用，密碼應(yīng)定期更換。3.在工作中發(fā)現(xiàn)患者信息泄露或潛在安全風(fēng)險(xiǎn)時(shí)，應(yīng)立即采取補(bǔ)救措施并向本科室負(fù)責(zé)人及醫(yī)院信息安全管理部門報(bào)告。4.離職或調(diào)離崗位時(shí)，應(yīng)主動(dòng)交回所有存儲(chǔ)有患者信息的介質(zhì)，辦理信息系統(tǒng)賬號(hào)注銷等手續(xù)，并承諾離職后繼續(xù)遵守保密義務(wù)。六、信息安全保障與應(yīng)急處置（一）技術(shù)保障醫(yī)院應(yīng)投入必要的資源，采用符合國(guó)家標(biāo)準(zhǔn)的信息安全技術(shù)和產(chǎn)品，如防火墻、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)備份與恢復(fù)系統(tǒng)、防病毒軟件等，定期進(jìn)行信息系統(tǒng)安全評(píng)估和漏洞掃描，及時(shí)修補(bǔ)安全隱患。對(duì)敏感患者數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸。（二）應(yīng)急處置1.應(yīng)急預(yù)案：制定患者信息泄露事件應(yīng)急預(yù)案，明確應(yīng)急響應(yīng)流程、責(zé)任分工、處置措施和后期恢復(fù)等內(nèi)容。2.事件報(bào)告：發(fā)生或疑似發(fā)生患者信息泄露事件時(shí)，當(dāng)事人應(yīng)立即向科室負(fù)責(zé)人和醫(yī)院信息安全管理部門報(bào)告。醫(yī)院信息安全管理部門接到報(bào)告后，應(yīng)立即組織調(diào)查核實(shí)，并根據(jù)事件嚴(yán)重程度按規(guī)定上報(bào)上級(jí)主管部門。3.應(yīng)急響應(yīng)：?jiǎn)?dòng)應(yīng)急預(yù)案，采取果斷措施控制事態(tài)發(fā)展，防止信息進(jìn)一步泄露，盡可能減少對(duì)患者和醫(yī)院造成的損害。4.調(diào)查處理：對(duì)信息泄露事件進(jìn)行全面調(diào)查，查明原因、責(zé)任人和影響范圍，并依法依規(guī)對(duì)相關(guān)責(zé)任人進(jìn)行處理。同時(shí)，總結(jié)經(jīng)驗(yàn)教訓(xùn)，完善防范措施。七、監(jiān)督與責(zé)任追究（一）監(jiān)督檢查醫(yī)院信息安全管理委員會(huì)應(yīng)定期或不定期組織對(duì)各科室、各部門執(zhí)行本規(guī)范情況的監(jiān)督檢查，檢查結(jié)果納入科室和個(gè)人的績(jī)效考核。鼓勵(lì)患者及社會(huì)各界對(duì)醫(yī)院患者信息保護(hù)工作進(jìn)行監(jiān)督。（二）責(zé)任追究對(duì)違反本規(guī)范，造成患者信息泄露或其他不良后果的，醫(yī)院將根據(jù)情節(jié)輕重，對(duì)相關(guān)責(zé)任人給予批評(píng)教育、通報(bào)批評(píng)、經(jīng)濟(jì)處罰、崗位調(diào)整、直至黨紀(jì)政紀(jì)處分；構(gòu)成犯罪的，依法移交司法機(jī)關(guān)追究刑事責(zé)任。因信息泄露給患者造成損害的，醫(yī)院將依法承擔(dān)相應(yīng)的賠償責(zé)任。八、附則（一）解釋權(quán)本規(guī)范由醫(yī)院信息安全管理委員會(huì)負(fù)責(zé)解釋。（二）生效日期本規(guī)范自發(fā)布之日起施行。原有相關(guān)規(guī)