EN
在醫療信息化高速發展的今天,電子病歷早已成為醫療機構日常診療工作的重要組成部分。然而,隨著數據泄露事件頻發,電子病歷的安全管理迫在眉睫。6月30日,國家衛生健康委、國家中醫藥局、國家疾控局三部門聯合發布《關于進一步加強醫療機構子病歷信息使用管理的通知》(以下簡稱《通知》),對電子病歷的規范管理、權限控制、數據安全等提出更嚴格要求。這是繼2017年《電子病歷應用管理規范(行)》后,我國醫療信息化領域的又一里程碑式政策。以下是新規的六大核心要點,醫療機構和醫務人員必看!
1.壓實主體責任:電子病歷管理成“一把手工程”
《通知》明確將醫療機構定為電子病歷信息管理的“第一責任人”,要求必須建立起一套由牽頭部門統籌、多部門協同的管理機制。這意味著醫務、科教、信息等部門需要打破壁壘,緊密合作。例如,信息部門負責技術保障,醫務部門把控使用規范,科教部門則監督教學科研過程中的病歷使用情況。同時,電子病歷規范使用還將被納入績效考核,從制度層面督促各部門履職盡責。
劃重點:醫療機構需設立紀檢監督機制,嚴查權限濫用和泄露行為。一旦出現違規情況,如某醫院員工利用職務之便私自查看明星患者病歷并泄露信息,不僅直接責任人將受到處罰,管理部門也難辭其咎;電子病歷管理情況與醫院評審、智慧醫院建設直接掛鉤,未來在評選優秀醫院、智慧醫療示范單位時,電子病歷管理水平將是重要的考量因素。
2.權限分級再細化:遵循“最小可用”原則
新規要求醫療機構對電子病歷實施分級分類訪問控制,按崗位需求設定權限和時限。臨床診療人員,僅能調閱診療必需的病歷,這有效避免了無關病歷信息的暴露;教學科研人員如需使用病歷,必須經過嚴格審批,且權限范圍不能超出培訓需要,防止學術研究中出現病歷信息濫用;外部服務商,如為醫院提供系統維護的公司,必須簽訂保密協議,其每一次訪問電子病歷的操作都將受到全程監控。
特別規定:見習醫生、進修生等短期人員的使用權限需嚴格限定,違規將追責。此前就曾有見習醫生出于好奇,違規查看患者病歷,最終導致信息泄露。新規落地后,此類行為將面臨更嚴厲的處罰。
3.數據安全升級:數字水印+全流程追溯
為防范信息篡改和泄露,《通知》提出兩大技術手段。操作留痕方面,所有電子病歷的修改、查閱、傳輸記錄均需可追溯,包括時間、操作人員身份。想象一下,若病歷被惡意篡改,通過操作留痕功能,能夠快速鎖定修改時間和人員,為追查提供有力證據。
數字水印技術則是在病歷共享或導出時嵌入隱形標識,確保來源可查、責任可究。比如,醫院將患者病歷導出提供給第三方機構,一旦出現信息泄露,通過數字水印就能追蹤到信息最初的流出源頭。此外,醫療機構需建立應急處置制度,一旦發生輿情或泄露事件,立即封存相關數據并阻斷傳播,將損失降到最低。
4.嚴控外部合作:外包服務納入監管
如今,許多醫療機構會與信息系統維護、數據分析等外部服務商合作。在合作過程中,醫療機構需明確數據訪問范圍、目的和期限。例如,邀請服務商進行系統維護時,要限定其僅能訪問與維護工作相關的數據,且規定好維護的時間周期。同時,要監督服務商落實保密義務,定期檢查其保密措施是否到位;禁止未經授權的數據復制、傳播,避免服務商私自留存、傳播病歷數據。
5.患者隱私保護:非必要不觸碰
《通知》重申“非醫療、教學、研究目的不得泄露患者信息”。電子病歷系統需通過電子簽名和權威時間源確保數據真實性和不可篡改,電子簽名就如同手寫簽名一般,確保每一次操作都能明確責任人;權威時間源則保證病歷數據的時間準確性,防止篡改時間逃避責任。
患者隱私泄露將按《數據安全法》《個人信息保護法》追責。此前,某醫院因管理不善,導致大量患者病歷信息在網上流傳,醫院不僅面臨巨額罰款,相關責任人還被追究刑事責任。新規實施后,此類行為將受到更嚴格的法律制裁。
6.政策延續性:與電子病歷評級掛鉤
此次新規與2018年《電子病歷系統應用水平分評價標準》形成銜接,要求醫療機構在實現全院信息共享(4級)和醫療決策支持(5級)的基礎上,進一步強化安全管理。這意味著,未來醫院想要在電子病歷評級上取得更高等級,不能只關注信息共享和決策支持功能,更要重視數據安全管理。未來,電子病歷應用水平或成醫院高質量發展的核心指標,成為衡量醫院綜合實力的重要標準之一。
此次《通知》通過制度約束+技術賦能雙管齊下,既回應了公眾對醫療數據安全的關切,也為醫療機構信息化建設提供了明確指引。隨著電子病歷管理的精細化,醫療質量和患者權益將得到更堅實保障。無論是患者看病就醫,還是醫院開展科研教學,都將在更安全、規范的環境下進行。
最后,我們是為廣大醫療機構提供智慧醫療系統的服務商,如果貴醫院需要智慧醫療HIS系統、智慧管理HRP系統、智慧運營HCRM系統,歡迎您隨時溝通~
以下是政策原文:
各省、自治區、直轄市及新疆生產建設兵團衛生健康委、中醫藥局、疾控局:
按照《中華人民共和國基本醫療衛生與健康促進法》《中華人民共和國醫師法》《醫療機構管理條例》及其實施細則等法律法規和部門規章規定,進一步落實醫療質量安全核心制度、醫療機構病歷管理規定、電子病歷系統功能和應用管理規范、醫療衛生機構網絡安全管理辦法等有關要求,現就進一步加強醫療機構電子病歷信息使用管理工作通知如下:
一、加強醫療機構內部管理
(一)明確電子病歷范圍。電子病歷是病歷的一種記錄形式,指醫務人員在醫療活動過程中,使用信息系統生成的文字、符號、圖表、圖形、數字、影像等數字化信息,并能實現存儲、管理、傳輸和重現的醫療記錄,包括門(急)診病歷和住院病歷。
(二)壓實醫療機構主體責任。醫療機構對本單位電子病歷信息使用管理承擔主體責任,要依法依規嚴格保護患者隱私,不得以非醫療、教學、研究目的泄露患者的病歷信息。醫療機構應明確電子病歷信息使用管理的牽頭部門,確定各相關部門和人員的職責分工,統籌協調醫務、科教、信息等相關部門落實管理責任,指導臨床業務部門落實使用主體責任。醫療機構要強化紀檢部門的監督職能,加強對電子病歷信息使用權限濫用、信息泄露等行為的監管。要將電子病歷信息規范使用管理情況納入行政管理人員和醫務人員績效評價,出現違規操作、泄露信息等不良事件,要依法依規追究相應部門和個人責任。
(三)健全醫療機構管理制度。醫療機構應當完善電子病歷信息系統分級管理制度,規范電子病歷的建立、記錄、修改、保存、傳輸等各環節工作流程,以及使用、管理的權限范圍。建立電子病歷信息使用長效監管機制,預防并及時處置不合理調閱、使用、轉發電子病歷信息等情形,確保電子病歷信息使用合法合規、安全可控。建立應急處置制度,建立健全電子病歷信息泄露場景的處置流程。
(四)落實分級管理要求。醫療機構應當根據電子病歷信息的重要程度、敏感級別、使用場景等具體情況,嚴格實施分級分類訪問控制與權限管理。遵循最小可用原則,按照崗位職責、角色任務、使用需求等,明確臨床診療、教學、管理等相關人員分級訪問權限和時限,嚴禁未經授權查閱、復制、傳播或篡改病歷信息。發生就醫診療相關輿情時,要立即封存涉及人員的相關信息,無關人員不得訪問瀏覽記錄轉發。
二、規范電子病歷信息使用
(一)規范相關人員使用權限和行為。醫療機構應當為電子病歷系統操作人員提供專有的身份標識和識別手段,并設置相應權限。明確操作人員對本人身份標識的使用負責,不得違規收集、使用、傳輸、透露、買賣患者病歷信息或通過網絡渠道傳播。醫療機構從業人員均應妥善保管個人身份識別介質,依權限規范使用電子病歷信息,并由醫療機構根據工作崗位和工作內容定期更新調整其使用權限和時限。參與見習實習和培養培訓的學生、進修醫生等短期工作人員,需接受醫療機構組織的相關培訓,依權限在教學學習活動中規范使用電子病歷信息,其使用權限和時限不得超過培訓進修學習范圍和時長。醫療機構應當與提供信息系統維護和數據分析服務等業務的外部服務商簽訂嚴格的保密協議和授權協議,明確其訪問電子病歷系統的范圍、目的和期限,并在服務過程中接受醫療機構監督,確保數據安全。
(二)保障全流程可追溯。醫療機構要確保電子病歷系統歷次操作痕跡、操作時間和操作人員等信息可查詢、可追溯。支持通過數字水印等技術手段,確保使用過程留痕。醫療機構共享電子病歷信息時,應有嚴格的授權機制和審批流程,確保信息的安全性和防篡改性。醫療機構接收外單位提供的電子病歷信息時,應對信息來源的合法性、完整性、安全性進行驗證,并參照內部管理要求建立詳細的接收、存儲、使用記錄,實現數據流向可追溯。
(三)確保數據安全。醫療機構要按照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國電子簽名法》等法律法規規定,強化數據安全管理。建立電子病歷信息安全防護體系,充分利用信息化手段監測電子病歷信息使用情況。定期開展安全評估,對異常訪問或未經授權的操作及時發出警報并通知上級管理人員,有效防范潛在安全風險。
三、強化衛生健康行政部門監管
地方各級衛生健康行政部門(含中醫藥、疾控部門,下同)要加強對醫療機構規范使用電子病歷信息的指導和監管,定期監測評估。各省級衛生健康行政部門要將醫療機構規范使用電子病歷信息情況作為醫院評審、醫院巡查、智慧醫院建設等相關工作重要評估依據。各辦醫主體單位組織推進落實。
?
國家衛生健康委辦公廳????????國家中醫藥局綜合司
國家疾控局綜合司
2025年6月23日
關注康博嘉微信公眾號
獲取營銷干貨和最新活動資訊
智慧醫療HIS
智慧管理HRP
智慧服務HCRM
智慧診所SaaS
干貨分享
公開課
行業政策
企業簡介
企業新聞
加入我們
聯系我們
智慧醫院整體解決方案白皮書獲取
4009-612-812
