患者医疗信息分级访问和授权使用制度.docxVIP

患者医疗信息分级访问和授权使用制度

一、总则

制度目的

为规范患者医疗信息管理，保障患者隐私权，防止信息泄露，依据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《医疗质量管理办法》等法律法规，制定本制度。

适用范围

本制度适用于医疗机构内所有涉及患者医疗信息的收集、存储、使用、传输、共享等环节，包括电子病历、检验报告、影像资料、财务信息等。

基本原则

最小权限原则：仅授予必要人员访问特定信息的权限。

分级防护原则：根据信息敏感程度实施差异化保护。

权责统一原则：明确信息管理责任，落实追责机制。

动态调整原则：根据业务需求和安全风险定期优化权限设置。

二、信息分级标准

根据患者医疗信息的敏感程度和泄露风险，划分为以下三级：

级别

信息类型示例

泄露后果

一级（高敏感）

传染病诊断、精神疾病记录、性病治疗、HIV检测结果、基因检测数据

可能引发社会歧视、人身安全威胁或重大社会影响

二级（中敏感）

住院病历、手术记录、危重病诊断、长期用药记录、医保报销信息

可能影响患者就业、保险购买或家庭关系

三级（低敏感）

门诊病历、常规检验结果、普通影像报告、基础个人信息（姓名、年龄）

泄露风险较低，但需防止大规模数据滥用

注：

特殊群体（如未成年人、精神障碍患者）信息自动升级一级。

涉及国家秘密的医疗信息按《保守国家秘密法》管理。

三、访问权限分级与授权规则

1.角色权限划分

角色

一级信息

二级信息

三级信息

特殊权限

临床医生

仅限主管患者

主管患者及会诊需求

全科室

紧急抢救时可临时调阅非主管患者信息（需记录）

护士

仅限护理患者

护理患者及医嘱执行

全科室

禁止调阅非护理科室信息

医技人员

仅限检查结果

检查相关记录

全科室

禁止调阅非关联科室信息

行政人员

禁止访问

仅限医保/财务相关

基础信息

需单独申请权限

第三方机构

禁止访问

仅限合作项目范围

基础信息

需签订保密协议并定期审计

2.授权流程

初始授权：员工入职时，由信息管理部门根据岗位职责分配基础权限。

临时授权：

会诊需求：由主管医生发起申请，经科室主任审批后生效（有效期≤24小时）。

科研需求：需通过伦理委员会审查，签订数据使用协议。

权限终止：

员工离职/调岗时，信息管理部门需在24小时内冻结账号。

第三方合作终止后，需立即删除其访问权限。

四、技术与管理措施

系统层面

电子病历系统需支持：

角色权限自动匹配

操作日志记录（包括调阅时间、IP地址、操作内容）

敏感信息脱敏显示（如身份证号部分隐藏）

高敏感信息传输需使用SSL加密，禁止通过普通邮件发送。

物理层面

纸质病历存放需上锁，借阅需登记并限期归还。

废弃病历需粉碎处理，禁止整本丢弃。

审计与监督

信息管理部门每月抽查权限使用情况，重点审计：

非工作时间访问记录

批量导出操作

高敏感信息调阅

违规行为包括：

超权限访问

未授权共享

私自拷贝数据

五、违规处理与追责

内部处理

首次违规：警告+暂停权限1个月

二次违规：通报批评+扣除绩效

三次及以上：解除劳动合同

法律责任

泄露一级信息50条以上或违法所得超5000元，构成《刑法》第253条“侵犯公民个人信息罪”，依法追究刑事责任。

医疗机构未履行管理职责，最高可处5万元罚款。

六、附则

本制度自发布之日起实施，由医院信息管理委员会负责解释。

根据法律法规变化和技术发展，每年修订一次。

制定部门：

发布日期：