医疗机构患者医疗信息保护相关法律法规及政策应知应会

（供参考学习）

1.《中华人民共和国民法典》

第一千零三十二条：自然人的个人信息受法律保护，任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

第一千二百二十六条：医疗机构及其医务人员应当对患者的隐私和个人信息保密，泄露患者隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。

2.《中华人民共和国基本医疗卫生与健康促进法》

第三十三条：公民接受医疗卫生服务时，人格尊严受法律保护，医疗卫生机构及人员应尊重患者人格尊严、保护患者隐私。第九十二条规定国家保护公民个人健康信息，确保信息安全，任何组织或个人不得非法收集、使用、加工、传输、买卖、提供或公开公民个人健康信息。

第一百零一条：违反本法规定，医疗卫生机构等的医疗信息安全制度、保障措施不健全，导致医疗信息泄露，或者医疗质量管理和医疗技术管理制度、安全措施不健全的，由县级以上人民政府卫生健康等主管部门责令改正，给予警告，并处一万元以上五万元以下的罚款；情节严重的，可以责令停止相应执业活动，对直接负责的主管人员和其他直接责任人员依法追究法律责任。

第一百零二条：违反本法规定，医疗卫生人员有下列行为之一的，由县级以上人民政府卫生健康主管部门依照有关执业医师、护士管理和医疗纠纷预防处理等法律、行政法规的规定给予行政处罚：

（一）利用职务之便索要、非法收受财物或者牟取其他不正当利益；

（二）泄露公民个人健康信息；

（三）在开展医学研究或提供医疗卫生服务过程中未按照规定履行告知义务或者违反医学伦理规范。

前款规定的人员属于政府举办的医疗卫生机构中的人员的，依法给予处分。

3.《中华人民共和国医师法》

第二十三条医师在执业活动中履行下列义务:

……

(三)尊重、关心、爱护患者，保护患者的隐私;

第四十九条医师在执业活动中，违反本法规定，有下列行为之一的，由县级以上人民政府卫生健康主管部门给予警告或者责令暂停六个月以上一年以下执业活动;情节严重的，吊销其执业证书;构成犯罪的，依法追究刑事责任:

……

(九)泄露患者隐私，造成严重后果的;

4.《中华人民共和国个人信息保护法》

第二十八条：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

第二十九条：处理敏感个人信息应取得个人的单独同意。

第五十一条：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

5.《中华人民共和国网络安全法》

第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

6.《医疗质量管理办法》

第二十四条：疗机构及其医务人员开展诊疗活动，应当遵循患者知情同意原则，尊重患者的自主选择权和隐私权，并对患者的隐私保密。

第四十五条：医疗机构执业的医师、护士在执业活动中，有下列行为之一的，由县级以上地方卫生计生行政部门依据《执业医师法》、《护士条例》等有关法律法规的规定进行处理；构成犯罪的，依法追究刑事责任：

……

（四）泄露患者隐私，造成严重后果的；

其他卫生技术人员违反本办法规定的，根据有关法律、法规的规定予以处理。

7.《医疗质量安全核心制度》

……

3.实施电子病历的医疗机构，应当建立电子病历的建立、记录、修改、使用、存储、传输、质控、安全等级保护等管理制度。

4.医疗机构应当保障病历资料安全，病历内容记录与修改信息可追溯。

8.《医疗卫生机构网络安全管理办法》

第十八条：各医疗卫生机构应按照有关法律法规的规定，参照国家网络安全标准，履行数据安全保护义务，坚持保障数据安全与发展并重，通过管理和技术手段保障数据安全和数据应用的有效平衡。关键信息基础设施运营者应拟定关键信息基础设施安全保护计划，建立健全数据安全和个人信息保护制度。

第二十二条：各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作，数据全生命周期活动应在境内开展，因业务确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估或审核，针对影响或者可能影响国家安全的数据处理活动需提交国家安全审查，防止数据安全事件发生。

第二十五条 发生个人信息和数据泄露、毁损、丢失等安全事件和网络系统遭攻击、入侵、控制等网络安全事件，或者发现网络存在漏洞隐患、网络安全风险明显增大时，各医疗卫生机构应当立即启动应急预案，采取必要的补救和处置措施，及时以电话、短信、邮件或信函等多种方式告知相关主体，并按照要求向有关主管监管部门报告。

第三十二条：违反本办法规定，发生个人信息和数据泄露，或者出现重大网络安全事件的，按《网络安全法》《国密码法》《基本医疗卫生与健康促进法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及网络安全等级保护制度等法律法规处理。

9.《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》

第二十条：医疗机构应当严格执行信息安全和医疗数据保密的有关法律法规，妥善保管患者信息，不得非法买卖、泄露患者信息。发生患者信息和医疗数据泄露后，医疗机构应当及时向主管的卫生健康行政部门报告，并立即采取有效应对措施。