4.7 顾客信息管理与隐私保护标准:合规、安全与信任的基石
文件编号AMSOP-PS-SOP-007 (示例)
版本号1.0
生效日期YYYY-MM-DD
制定部门行政部 / IT部 / 医务部
批准人XXX
1. 目的 (Purpose)
本标准旨在规范本机构内所有顾客信息的收集、存储、使用、传输、共享和销毁等全生命周期管理,确保:
- 严格遵守《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、《医疗卫生机构网络安全管理办法》等国家及地方关于个人信息保护和医疗数据安全的法律法规。
- 最大限度保护顾客的个人隐私和信息安全,防止信息泄露、滥用或丢失。
- 规范员工访问和使用顾客信息的行为,严格执行"最小必要"原则,严防员工间不必要的顾客信息传播。
- 保障顾客对其个人信息的知情权、访问权、更正权、删除权等合法权利。
2. 范围 (Scope)
本标准适用于本机构所有形式(纸质、电子、影像、口头等)的顾客信息,涵盖从信息产生到最终销毁的各个环节。约束对象为本机构所有可能接触到顾客信息的员工(包括但不限于医师、护士、治疗师、咨询师、客服、前台、市场人员、管理人员、IT 人员、保洁人员等)以及与本机构有合作关系的、需访问顾客信息的第三方。
3. 职责 (Responsibilities)
- 机构管理层:
- 核心责任: 对机构的顾客信息保护工作负最终领导责任,确保政策制定、资源投入和有效执行。
- 任命信息安全负责人或隐私保护官(如适用)。
- 信息安全负责人 / 隐私保护官 (如有指定):
- 核心责任: 监督本标准的执行,组织培训,处理隐私相关投诉与事件,定期进行风险评估和审计,向管理层汇报信息保护状况。
- IT 部门:
- 核心责任: 负责电子信息系统的安全防护(访问控制、加密、防火墙、备份、安全审计日志等),确保技术措施到位并持续更新。
- 医务部 / 病案室 (或指定部门):
- 核心责任: 负责纸质病历和相关医疗文书的规范管理、存储、借阅和按规定销毁。
- 各部门负责人:
- 核心责任: 确保本部门员工了解并遵守本标准,落实本部门相关的隐私保护措施,对本部门员工的违规行为承担管理责任。
- 所有员工:
- 核心责任: 严格遵守本标准及签署的保密协议,在其职责范围内合理、最小化地访问和使用顾客信息,承担个人保密义务,无论在职或离职,无论在工作场所内外,均不得在非工作必要场合(包括员工之间、社交媒体等)讨论或泄露任何可识别的顾客信息。
4. 核心原则 (Core Principles)
- 合法正当 (Legality & Legitimacy): 信息的收集和使用必须基于合法、正当的理由(如诊疗需要、顾客同意、法律规定)。
- 目的明确 (Purpose Specification): 收集信息时应明确告知顾客目的,信息使用不得超出所述目的范围。
- 最小必要 (Minimization):
- 仅收集与服务直接相关的、最少的必要信息。
- 员工仅可访问和使用履行其当前工作职责所必需的最少顾客信息。严禁出于好奇或其他非工作目的访问顾客记录。
- 知情同意 (Informed Consent): 在收集、使用(特别是超出常规诊疗范围的使用,如营销、案例展示、研究)或向第三方提供顾客信息前,应获得顾客的单独、明确同意。需建立顾客授权管理机制。
- 安全保障 (Security): 采取必要的技术和管理措施(加密、访问控制、安全审计等),确保信息存储、传输和处理过程中的安全。
- 保密义务 (Confidentiality): 所有员工对工作中接触到的顾客信息负有终身保密义务,此义务适用于任何场合,包括员工之间的非必要信息传播和在个人社交媒体上的分享。
- 顾客权利保障 (Patient Rights): 保障顾客查阅、复制、更正、补充、删除其信息的权利,并对信息处理提出限制或拒绝,以及撤回同意。
- 责任可究 (Accountability): 建立追责机制,对违反隐私保护规定的行为进行严肃处理。
- 去标识化优先 (Anonymization/Pseudonymization Priority): 在进行内部数据分析、运营报告、培训、案例讨论等活动时,应优先使用经过有效去标识化处理的数据,以降低风险。
5. 操作流程 (Procedure Steps)
5.1 顾客信息收集 (Information Collection)
- 5.1.1 仅收集与顾客身份识别、健康评估、诊断、治疗、随访、结算等直接相关的信息。
- 5.1.2 在首次收集或关键信息收集时(如填写登记表、问诊),应通过《隐私政策告知书》或类似方式,清晰、易懂地告知顾客信息收集的目的、范围、存储期限、使用方式、可能的共享情况及顾客权利。
- 5.1.3 敏感个人信息(如身份证号、银行账号、详细疾病史、基因信息等)的收集需更加谨慎,确保具有明确的法律依据或获得顾客的单独同意。
5.2 顾客信息存储 (Information Storage)
5.2.1纸质信息:
- 存放于指定、安全的区域(如病案室、护士站内锁柜),由专人管理。
- 离开工作岗位时,确保含有顾客信息的文件不被随意放置在桌面或他人可及之处。
- 借阅需登记、审批,归还需核对。
- 5.2.2 电子信息:
- 存储于符合安全等级保护要求的服务器或经安全评估的云平台。
- 数据库和关键文件必须采取加密存储。
- 建立严格的访问控制策略(见 5.3)。
- 定期进行数据备份,并确保存储介质安全,备份数据同样需要保护。
- 5.2.3 影像资料: 按电子或物理介质管理要求进行存储和访问控制。
- 5.2.4 信息保留期限: 根据《医疗机构病历管理规定》等法律法规和业务需要,设定合理的保留期限,到期后按规定销毁。
- 5.2.5 信息销毁:
- 审批: 达到保留期限的信息销毁前需履行内部审批程序。
- 方式: 纸质信息应使用符合保密要求的碎纸机销毁或专业机构销毁;电子信息应进行不可恢复的彻底删除或存储介质物理销毁。
- 监督: 重要或批量信息销毁过程建议安排双人监销。
- 记录: 销毁过程需有详细记录(时间、内容、方式、执行人、监销人)。
5.3 顾客信息访问与使用 (Information Access & Use - 强调内部控制)
5.3.1实施严格的【基于角色的访问控制 (RBAC)】:
- IT 部门根据员工的岗位职责,在电子信息系统(EMR/HIS/CRM等)中设置最小必要访问权限。
- 权限需与岗位职责严格对应,例如:前台人员仅能访问预约、登记、结算所需信息;咨询师可访问咨询记录和初步评估信息;治疗医师/护士可访问完整的诊疗相关病历;市场人员原则上不应直接访问详细医疗记录,如需数据分析应优先使用去标识化数据。
- 权限需定期审核和更新(至少每年一次,以及员工岗位变动或离职时必须及时调整)。
- 5.3.2 严禁非授权访问和使用:
- 员工必须使用个人专属账号和强密码登录系统,严禁与他人共享账号或密码。
- 不得试图绕过权限设置访问信息。
- 严禁出于个人好奇、社交谈资或其他非履行本职工作需要的原因,查阅任何顾客(包括同事、熟人、名人等)的信息。
- 5.3.3 规范内部信息流转与沟通:
- 工作相关讨论限制: 仅允许在为该顾客提供直接服务所必需的情况下,在直接相关的责任人员之间交流必要的顾客信息。
- 禁止在公共区域或非私密环境讨论: 严禁在走廊、电梯、餐厅、休息室、班车等公共区域或非私密环境下(如开放式办公区)讨论任何可识别到具体顾客的信息。
- 禁止员工间非必要传播: 不得将自己权限范围内获取的顾客信息(如八卦、特殊病例、照片视频等)告知无关的同事。
- 内部沟通工具使用规范: 优先使用机构指定的安全内部通讯工具。原则上禁止使用个人微信、QQ 等社交工具传输任何含有可识别顾客信息的文件、图片、文字。 工作群组沟通应避免涉及具体顾客敏感信息,必要时应"一对一"沟通或当面沟通。
- 5.3.4 使用场景规范 (结合知情同意): 顾客信息仅可用于:
- 顾客本人的诊断、治疗、护理和随访(常规使用)。
- 医疗费用结算。
- 必要的内部质量控制、病例讨论(必须在限定范围和场合进行,优先使用去标识化信息)。
- 获得顾客单独、明确书面授权的营销活动(如发送个性化优惠信息)。
- 获得顾客单独、明确书面授权的案例展示、宣传(必须对肖像等进行必要处理或获得肖像权授权)。
- 经伦理委员会批准并获得顾客单独、明确书面同意(或已按规范进行完全去标识化处理)的科研、教学活动。
- 5.3.5 访问日志记录: 电子信息系统必须具备完善的、不可篡改的安全审计日志功能,详细记录所有用户对顾客信息的访问、修改、删除、导出等操作(用户、时间、IP地址、操作内容),日志保存时间符合法规要求(如不少于6个月),并由专人定期审计。
- 5.3.6 移动设备与远程访问管理:
- 原则上禁止使用个人移动设备(手机、平板、笔记本)处理、存储敏感顾客信息。
- 如确需使用机构配发的移动设备或进行远程访问,必须经过严格审批,并强制采取加密、VPN、设备管理等安全措施。
- 离开设备时必须锁定屏幕。
5.4 顾客信息共享与披露 (Information Sharing & Disclosure)
- 5.4.1 原则上,未经顾客单独、明确书面同意,不得向任何第三方(包括顾客家属,除非顾客明确授权、或法律规定、或紧急情况下无法征得同意但为保护顾客重大利益所必需)共享或披露可识别的顾客信息。
- 5.4.2 特定情况下的披露: 仅在法律法规强制要求(如配合司法调查、法定传染病报告)或涉及公共重大利益时,方可在符合法律程序、履行告知义务(如可能)的前提下进行最小范围披露,并记录披露情况。
- 5.4.3 向其他医疗机构转诊: 需获得顾客同意,并通过安全方式传输信息,确保接收方有能力保护信息安全。
5.4.4与第三方合作 (加强管理):
- 如需与供应商、合作伙伴(如 IT 服务商、营销平台、检测机构)共享数据,必须进行安全评估,确保其具备足够的数据安全能力。
- 必须签订详细的保密协议和数据处理协议,明确双方责任和安全要求。
- 优先提供去标识化信息。 如确需提供可识别信息,必须获得顾客单独同意,并采取加密等安全传输措施。
- 定期对第三方进行审计或要求提供安全报告。
5.5 顾客权利响应 (Responding to Customer Rights)
- 5.5.1 设立明确、便捷的渠道(如指定电话、邮箱、前台窗口)和流程,供顾客提出查阅、复制、更正、补充其信息,以及撤回同意、限制处理、要求删除等请求。
- 5.5.2 指定部门/人员(如医务科、客服部或隐私保护官)负责处理顾客请求,核实身份后,在法律规定时限内(如 15 个工作日)予以响应和处理(提供信息、说明理由或告知后续步骤)。
5.6 安全技术与管理措施 (Security Measures)
- 5.6.1 技术措施: 部署防火墙、入侵检测/防御系统(IDS/IPS)、Web应用防火墙(WAF);使用强密码策略、多因素认证(MFA);对敏感数据和传输通道进行加密(SSL/TLS);定期进行漏洞扫描和渗透测试;建立完善的灾难恢复和业务连续性计划。
- 5.6.2 物理措施: 严格控制对服务器机房、病案室等关键区域的物理访问;工作站设置屏幕自动锁定;公共区域电脑禁止存储敏感信息;网络端口管理。
- 5.6.3 管理措施: 制定并执行详细的隐私保护政策和流程;对员工进行持续培训和考核;签订保密协议;建立信息安全事件报告与奖惩机制;定期进行内部审计;建立供应商安全管理机制。
5.7 隐私泄露事件应急响应 (Privacy Breach Response)
- 5.7.1 制定详细的《顾客信息安全事件应急预案》(可单独制定或纳入整体应急预案)。
- 5.7.2 一旦发现或怀疑发生信息泄露,员工有义务立即向直属上级或信息安全负责人报告。
- 5.7.3 启动应急预案,成立应急小组,进行事件调查(原因、范围、影响)、影响评估、采取遏制和补救措施(如修改密码、隔离系统、追回信息)、根据法律要求和评估结果决定是否及如何通知受影响的顾客和监管机构。
- 5.7.4 事件处理后进行复盘分析,查找根本原因,修订和完善防护措施及应急预案。
6. 沟通与培训 (Communication & Training)**
- 入职培训: 所有新员工入职时必须接受隐私保护政策和保密义务的培训,理解并签署《员工保密协议》。
- 定期培训: 每年至少进行一次全员隐私保护和信息安全意识培训,结合最新法规要求和内部发生的实际案例(去标识化后),重点强调内部保密纪律、最小必要原则、移动设备/社交媒体风险、以及违规的严重后果。
- 针对性培训: 对接触敏感信息岗位(如 IT、病案管理、财务、市场、客服、咨询)进行基于其岗位风险的场景化、案例式专项培训。
- 持续沟通: 通过内部邮件、公告栏、定期会议、知识竞赛等方式,持续宣传隐私保护的重要性,营造全员重视信息安全的文化氛围。
7. 文件与记录 (Documentation & Records)**
- 顾客签署的各类《知情同意书》(包含信息使用授权部分,建议建立授权管理台账)。
- 顾客信息访问/使用/共享/销毁记录与审批单(如适用)。
8. 附件 (Appendices)**
- 附录 VV: 《顾客隐私政策告知书》模板示例 (应使用清晰易懂的语言)
- 附录 WW: 《员工保密协议》模板示例 (明确保密范围、义务、违约责任)
- 附录 XX: 《顾客信息查阅/复制/更正/删除申请表》模板示例
- 附录 YY: 《第三方信息共享保密与数据处理协议》要点示例
- 附录 ZZ: 《顾客信息处理行为规范(员工须知)》简明版示例 (作为快速参考)
- 附录 AAA: (可选) 《信息系统权限申请/变更/注销表》模板示例
- 附录 BBB: (可选) 《信息销毁记录表》模板示例
南
作者:李亚南
蜜獾集智AI · 创始人 | AMSOP体系创始人