落实《个人信息保护法》，医院如何保护患者隐私？

落实《个人信息保护法》，医院如何保护患者隐私？

导读

《个人信息保护法》的落实与医疗、管理等流程密切相关，需全院协同配合。

2021年11月1日起，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式施行，将对各行各业带来巨大而深远的影响。对于医疗机构而言，患者个人信息是智慧医院信息处理活动中必不可少的内容，而且大多属于敏感个人信息。作为个人信息处理者，医疗机构应如何落实《个人信息保护法》，才能做到合规？

在医疗卫生工作当中，医务人员常常要采集、记录、使用和处理患者及相关人员的个人信息，这些属于患者个人隐私和敏感信息。医院在对病历书写与管理当中，应当慎之又慎，在保护患者信息与方便医患互动、提升服务效率、保障医疗质量之间取得平衡。

重视保护患者病历信息安全

患者病历信息属于个人信息，只要是实名呈现的病历信息，都将受法律的保护。

仔细阅读《个人信息保护法》，在第4条当中，“个人信息”被清晰定义：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

在《个人信息保护法》第28条，医疗健康信息被规定为敏感个人信息，应取得个人的“单独同意”。患者因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及其他与自己身体健康状况产生的相关信息等等，都属于个人敏感信息。

这些信息往往以门（急）诊病历和住院病历的形式呈现，包括文字、符号、图表、影像、切片等资料。无论其表现是电子病历，或者是纸质病历，亦或是医学影像资料等等，总之，你可以从中获悉患者的真实状况。这些病案是患者的个人疾病史，也将会在医疗机构内部中长期保存。

既然个人病历包含个人敏感信息，患者对于病历的使用有哪些权利？

根据第44、45、46条规定，患者对于病历享有知情权和决定权，有权查阅、复制病历，也有权向医疗机构请求病历资料中个人信息的更正和补充。在更改与补充的时候，只要患者提供了必要的证明材料，履行了相关手续，例如，患者可以出具《病历资料更正声明书》，而医疗机构应当予以办理。

此次《个人信息保护法》出台，将会是患者隐私强有力的保障。一般来说，身为医务人员，在诊疗过程中，采集、记录、存储、加工、使用患者个人敏感信息时，一定要谨慎。因为，“敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”（28条）。

如果医疗机构一定要使用患者信息，必须征求个人单独同意，或者是个人书面作出的同意。“基于个人同意处理个人信息的，应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定”（14条）。

如果医疗机构要使用儿童患者个人信息，应当取得其监护人同意。根据该法第31条的规定，个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意，同时应当制定专门的个人信息处理规则。

加强对患者信息保护的评估管理

根据《医疗机构管理条例实施细则》，病历将在医院中进行长期保存。譬如，住院病历，医院保管时间不可小于三十年，丢失或毁坏均为院方责任，又譬如，关于在医院创建档案的门诊病历，存放时限不可小于十五年。

对于医院管理者来说，加强对患者信息保护的评估和管理，提升医院职工对于患者个人敏感信息的保护意识，非常重要。

根据《个人信息保护法》（第54条、第55条）的规定，个人信息处理机构应当加强对本机构涉及个人信息处理工作相关的管理工作。那么，医疗机构应当定期对医院诊疗工作中涉及患者个人信息、病历档案的环节、部门进行审计和个人信息保护影响评估。

此外，医疗机构应当根据患者个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相关措施，以确保个人信息处理活动能够符合法律、行政法规的规定。同时，还应该防止未经授权的访问以及个人信息泄露、篡改、丢失。

时下智慧医院建设进程加快，患者线上数据安全也是患者隐私安全的重要组成。对此，医院可以制定内部管理制度和操作规程，对个人信息实行分类管理。相关数据应当采取相应的加密、去标识化等安全技术措施，应当确保信息安全使用。医院还应当合理确定个人信息处理的操作权限。

因而，医院应当定期对从业人员进行安全教育和培训，制定并组织实施个人信息安全事件应急预案，同时落实法律、行政法规规定的其他措施。

科研涉及患者个人信息应当匿名

患者病历是重要的个案信息，是宝贵的科研资料，对进行疑难杂症的科学研究来说，有很大的裨益。不过，医疗科研工作者在使用患者病历时，也应当加强患者个人信息保护意识。

以往，科研工作者在发表科技论文的时候，需要对患者的个人信息进行匿名化处理，对其中涉及到的相关图像进行模糊处理。不过，涉及到审稿等其他环节，就不会特别在意。在审稿过程中，出版单位担心特殊个案的真实性，往往要求医务人员提交病历。此法一出，这种行为将会受到限制。

另外，如果相关人士在境外刊物发表涉及患者个人信息的论文，还需要走特殊程序，由有关单位进行审查。《个人信息保护法》第38条规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当通过国家网信部门组织的安全评估，或者按照国家网信部门的规定经专业机构进行个人信息保护认证等。

根据《个人信息保护法》第66条，违反规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得。

对违法处理个人信息的应用程序，责令暂停或者终止提供服务，根据其违法情节，还将予以相应的赔款。故而，医疗机构应当进一步重视病案管理中的患者隐私保护。

-END-

关注我院

订阅号

更多资讯

请关注

我院服务号

扫码关注我院