2026年医疗机构隐私保护管理规范.docxVIP

2026年医疗机构隐私保护管理规范

第一章总则

1.1立法依据

本规范依据《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》《网络安全法》《数据安全法》《电子病历管理规范（2025版）》以及国家卫生健康委、国家中医药局、国家疾控局联合发布的《医疗健康数据分类分级指南（2025修订）》制定，适用于在中华人民共和国境内开展医疗活动的各级各类医疗机构。

1.2适用范围

本规范覆盖门急诊、住院、体检、互联网医院、远程会诊、临床试验、科研合作、健康管理、医保结算、供应链、第三方检测、医联体、医共体等全部业务场景，对机构、人员、系统、数据、设备、场所、合作方、外包方、患者、研究对象、公众等全主体产生约束力。

1.3基本原则

最小必要原则：采集、存储、使用、共享、删除均以诊疗、管理、科研、公卫、教学的最小范围为限。

全生命周期原则：从数据产生到销毁的每一环节均设控制点与责任人。

分类分级原则：按“个人一般信息、个人敏感信息、个人核心信息”三级与“公开、内部、秘密、机密”四级交叉管理。

可审计原则：任何操作必须留痕，日志保存不少于十五年，支持秒级溯源。

患者主导原则：患者享有查询、更正、封存、撤回同意、限制处理、拒绝营销、数据可携、近亲属继承等八项权利。

技术中立原则：不限制具体技术路线，但须通过国家级安全测评机构测评并备案。

第二章组织与职责

2.1隐私保护委