天津
患者医疗信息收集、存储、使用、传输、处理、发布流程与规范
导语:根据《医疗机构患者医疗信息规范管理专项整治行动方案》(国家卫生健康委办公厅等3部门联合发布,2025年6月23日)要求,医疗机构要“规范医疗信息的收集、存储、使用、传输、处理、发布等工作流程,确保医疗信息使用合法合规、安全可控”。为此,杏林职苑特编制《患者医疗信息收集、存储、使用、传输、处理、发布流程与规范》,并附信息收集授权书、信息使用/发布申请表等模板,可供各级各类医疗机构参考。
目录
1.总则
1.1目的
1.2适用范围
2.术语定义
2.1患者医疗信息
2.2信息收集
2.3信息存储
2.4信息使用
2.5信息传输
2.6信息处理
2.7信息发布
3基本原则
3.1合法性原则
3.2正当性原则
3.3必要性原则
3.4安全性原则
3.5知情同意原则
3.6保密原则
4.信息收集规范
4.1信息收集原则
4.2信息收集流程
4.3信息收集的授权
5.信息存储规范
5.1存储方式
5.2存储期限
5.3存储安全
6.信息使用规范
6.1信息使用原则
6.2信息使用范围
6.3信息使用申请与审批
7.信息传输规范
7.1传输安全措施
7.2传输加密要求
8.信息处理规范
8.1信息修改与更正
8.2信息删除
8.3信息共享与交换
9.信息发布规范
9.1信息发布原则
9.2信息发布审批流程
10.附则
10.1修订
10.2解释权
10.3施行日期
附录A:患者医疗信息收集授权书
附录B:患者医疗信息使用申请表
附录C:患者医疗信息发布申请表
1.总则
1.1目的
为落实《医疗机构患者医疗信息规范管理专项整治行动方案》及《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》,建立患者医疗信息全生命周期管理体系,明确组织架构、细化管理流程、强化技术保障,确保信息处理合法合规、安全可控,保护患者隐私权与信息安全,防范泄露、篡改、丢失风险,提升医疗服务质量,支撑医院数字化转型与高质量发展。
1.2适用范围
本规范适用于我院所有涉及患者医疗信息处理的部门、科室、人员及信息系统。具体包括但不限于:
临床科室:涉及患者诊疗信息的产生、记录和使用。
医技科室:涉及患者检查、检验、用药等信息的产生和报告。
职能部门:如医务部、护理部、病案科、信息科、财务科、医保办、公共卫生科等,涉及患者信息的归档、管理、统计、结算和对外报送。
信息系统:包括电子病历系统(EMR)、医院信息系统(HIS)、实验室信息系统(LIS)、影像归档和通信系统(PACS)等所有存储、处理或传输患者医疗信息的应用系统。
第三方合作机构:与我院合作开展远程医疗、临床研究、信息系统维护等,并可能接触患者医疗信息的单位或个人。
全体工作人员:包括医师、护士、技师、药师、管理人员、信息系统开发与维护人员、实习生、进修生等所有可能接触患者医疗信息的人员。
2.术语定义
2.1患者医疗信息
也称患者诊疗信息,是指医疗机构在提供医疗服务过程中产生的,以一定形式记录、保存的信息以及其他与医疗卫生服务有关的信息,包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。
2.2信息收集
指通过直接或间接方式获取患者医疗信息的行为。直接收集指由我院工作人员在诊疗、护理、管理等过程中直接记录和录入信息。间接收集指通过接收其他医疗机构转诊信息、患者自行提供、或从第三方合法渠道获取信息。
2.3信息存储
指将收集到的患者医疗信息以电子数据或纸质文件等形式,保存在我院指定的信息系统、服务器、数据库或物理介质中的行为。
2.4信息使用
指对我院存储的患者医疗信息进行查阅、调用、分析、统计、展示、打印等操作,以支持临床诊疗、护理、科研、教学、医院管理、医保结算等活动。
2.5信息传输
指通过内部网络、互联网、移动存储介质等方式,将患者医疗信息从一个系统、部门或地点发送到另一个系统、部门或地点的行为。
2.6信息处理
指对患者医疗信息进行的修改、更正、补充、删除、去标识化、匿名化等操作,以确保信息的准确性、完整性和安全性。
2.7信息发布
指通过网站、公众号、学术会议、期刊论文、新闻媒体等渠道,向不特定的社会公众或特定范围的第三方披露患者医疗信息的行为。发布的信息必须经过严格的脱敏处理,确保无法识别到特定个人,或已获得患者的明确授权。
3基本原则
3.1合法性原则
严格遵法依规,信息处理需有法律依据或患者授权,严禁非法收集、使用、买卖信息,定期开展法规培训;
3.2正当性原则
用于医疗服务、医学教育、科研、医院管理等相关目的,禁止商业或不正当用途,临床研究需伦理审批+患者同意;
3.3必要性原则
遵循“最小必要”,仅收集实现目的所需最少信息,避免过度收集(如常规门诊不额外采集无关家族病史);
3.4安全性原则
采取加密、访问控制、安全审计等技术与管理措施,定期风险评估,保障信息安全;
3.5知情同意原则
收集前以清晰方式告知患者处理目的、范围、存储期限及权利,敏感个人信息需“单独同意”,患者可撤回同意(不影响撤回前合法处理);
3.6保密原则
接触人员负保密义务(不因离职终止),签保密协议,违规从严处理(含纪律处分、行政处罚、刑事责任)。
4.信息收集规范
4.1信息收集原则
4.1.1知情同意
在收集患者医疗信息前,必须向患者或其法定代理人履行告知义务,并取得其明确同意。告知内容应包括:
本专《医疗机构患者医疗信息规范管理指引》包括“患者医疗信息规范管理专项整治行动实施细则,患者医疗信息管理制度,电子病历系统分级授权与权限管理规定,患者医疗信息收集、存储、使用、传输、处理与发布规范”等内容。欢迎将本专栏加入收藏。
