要闻资讯

《关于进一步加强医疗机构电子病历信息使用管理的通知》（以下简称 “《通知》”）的出台，并非孤立的行政规范性文件，而是对我国现有法律体系中关于个人信息保护、医疗数据安全等规定的细化与落地。从法律依据来看，其直接承接《中华人民共和国民法典》（以下简称《民法典》）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）《中华人民共和国数据安全法》（以下简称《数据安全法》）及《医疗机构病历管理规定》等法律法规的核心要求，形成 “上位法原则指引 — 下位法具体规制” 的制度闭环。

《民法典》第一千二百二十五条明确规定 “医疗机构及其医务人员应当按照规定填写并妥善保管住院志、医嘱单、检验报告、手术及麻醉记录、病理资料、护理记录等病历资料。患者要求查阅、复制前款规定的病历资料的，医疗机构应当及时提供”，确立了病历资料的保管义务与患者的查阅复制权，而电子病历作为病历资料的数字化形式，自然纳入该条款的规制范畴。《个人信息保护法》则将 “医疗健康信息” 列为敏感个人信息，要求处理敏感个人信息需取得个人的单独同意，且应采取更严格的安全保障措施，《通知》中关于电子病历信息收集、使用的授权要求，正是对这一规定的具体回应。此外，《数据安全法》强调数据分类分级保护，《通知》中针对电子病历信息的分级管理、风险评估等内容，也与该法的 “数据安全保护义务” 一脉相承。

随着医疗信息化的快速推进，电子病历已成为医疗机构诊疗活动的核心载体，但其使用管理中暴露出的法律问题日益凸显，亟需通过专门通知予以规范。从实践来看，当前电子病历信息使用管理主要存在三大法律痛点：一是授权不规范，部分医疗机构未明确告知患者电子病历信息的使用范围、目的，或未取得患者的单独同意，直接将电子病历信息用于科研、教学等非诊疗活动，涉嫌违反《个人信息保护法》关于敏感个人信息处理的规定；二是安全保障不到位，因系统漏洞、员工操作不当等原因，导致电子病历信息泄露、篡改的情况时有发生，不仅侵犯患者的隐私权、个人信息权益，还可能引发医疗纠纷，甚至承担行政责任或刑事责任；三是权利义务不清晰，患者对电子病历信息的查阅、复制、更正、删除等权利行使路径不明确，医疗机构在履行信息保护义务、应对患者权利主张时缺乏具体指引，导致双方权利义务失衡。

《通知》的出台，正是针对上述痛点，从法律层面进一步明确医疗机构、患者及其他相关主体在电子病历信息使用管理中的权利义务，细化操作规范，为解决实践中的法律争议提供依据，同时也为医疗机构合规运营划定边界，降低法律风险。

《通知》首先对电子病历信息的范围进行了界定，明确其包括 “医疗机构通过电子病历系统生成、记录的患者诊疗活动相关的全部信息，包括门（急）诊病历、住院病历、检查检验报告、医嘱单、手术记录、护理记录等”。从法律视角来看，这一界定的核心意义在于明确了法律规制的 “客体边界”—— 只有纳入该范围的信息，才适用《通知》及相关法律法规关于电子病历信息使用管理的规定，进而确定医疗机构的保护义务范围与患者的权利主张范围。

需要注意的是，《通知》将电子病历信息与 “一般医疗数据” 进行了区分，强调电子病历信息直接关联患者的个体诊疗活动，具有更强的人身依附性和敏感性，因此其保护标准应高于一般医疗数据。例如，对于未直接关联患者身份的匿名化医疗数据，医疗机构在使用时可适当放宽授权要求，但对于电子病历信息，即使进行去标识化处理，若仍存在通过合理手段识别患者身份的可能，仍需按照敏感个人信息的标准进行保护，这与《个人信息保护法》第二十八条关于 “去标识化处理后的个人信息仍属于个人信息” 的规定一致。

此外，《通知》还明确电子病历信息包括 “生成、记录、存储、传输、使用等各环节的信息”，这意味着医疗机构的合规义务不仅限于电子病历信息的生成和存储阶段，还延伸至传输、使用等全流程。例如，医疗机构将电子病历信息传输给第三方合作机构（如远程医疗平台、第三方检验机构）时，需确保传输过程中的安全，同时要求第三方机构履行同等的保护义务，否则医疗机构需承担连带责任，这一点在《个人信息保护法》第四十二条关于 “委托处理个人信息” 的规定中也有明确体现 —— 受托人应当按照委托人的要求处理个人信息，不得擅自转委托，且需履行与委托人同等的安全保障义务，委托人对受托人的处理活动负有监督责任。

《通知》针对电子病历信息的收集与使用，明确要求医疗机构 “遵循合法、正当、必要的原则，取得患者或其监护人的同意”，并细化了授权的具体要求，这是对《个人信息保护法》第五条 “处理个人信息应当遵循合法、正当、必要和诚信原则” 的直接落实，也是防范医疗机构侵权风险的核心条款。

1. 授权的形式要求：“单独同意” 与 “书面 / 电子确认”

《通知》强调，对于电子病历信息的使用（尤其是非诊疗目的的使用，如科研、教学、商业合作等），医疗机构需取得患者的 “单独同意”，且应采用 “书面或电子形式” 予以确认。从法律层面来看，“单独同意” 的要求源于《个人信息保护法》第二十九条关于 “处理敏感个人信息应当取得个人的单独同意” 的规定，其核心在于避免医疗机构通过 “捆绑授权”（如将电子病历信息使用授权与诊疗服务绑定，不授权则不提供诊疗）的方式变相强制患者同意，保障患者的自主选择权。

实践中，医疗机构需注意 “单独同意” 的形式有效性：一是内容明确性，授权文件中需清晰告知患者电子病历信息的使用范围（如用于某一项具体的科研项目、某一时间段的教学活动）、使用目的、使用期限及第三方接收主体（若涉及），不得使用模糊表述（如 “用于医疗机构的相关业务”）；二是意思表示真实性，不得通过欺诈、胁迫等手段迫使患者同意，也不得将同意作为提供诊疗服务的前提（除非电子病历信息的使用是诊疗活动的必要环节，如为了明确诊断而调取既往电子病历）；三是形式规范性，无论是书面授权还是电子授权，都需留存完整的记录，电子授权需确保患者身份的真实性（如通过人脸识别、手机验证码等方式验证），并保存授权操作的日志，以备后续核查。

2. 授权的例外情形：“法定免责” 与 “合理限制”

《通知》也明确了授权的例外情形，即 “因维护公共利益、开展法定职责或紧急救治等需要，医疗机构可以在未取得患者同意的情况下使用电子病历信息”。这一规定并非对 “单独同意” 原则的突破，而是基于公共利益与个人权益平衡的 “法定免责” 情形，符合《个人信息保护法》第十三条关于 “处理个人信息无需取得个人同意” 的法定情形，具体包括：

（1）维护公共利益：如为应对突发公共卫生事件（如疫情防控），医疗机构需向卫生行政部门报送患者的电子病历信息，用于流行病学调查、疫情溯源等工作；

（2）开展法定职责：如司法机关因办案需要，依法向医疗机构调取患者的电子病历信息，医疗机构需予以配合（但需审查司法机关的法律文书是否合法，如介绍信、调取令等）；

（3）紧急救治：如患者处于昏迷状态，无法表达意愿，医疗机构为挽救患者生命，需调取其既往电子病历信息（如过敏史、基础疾病等），用于制定救治方案。

需要注意的是，即使在上述例外情形下，医疗机构也需遵循 “必要最小化” 原则，即仅使用实现目的所必需的电子病历信息，不得超出范围使用，且需在事后及时补充记录使用情况（如记录使用的时间、原因、范围及审批人），若患者恢复意识或其监护人到场，需及时告知相关情况。

《通知》用较大篇幅明确了医疗机构对电子病历信息的安全保障义务，包括 “建立健全安全管理制度、落实技术保障措施、加强人员管理、开展风险评估” 等内容。从法律视角来看，这些义务并非单纯的行政要求，而是医疗机构的 “法定义务”，若未履行或未完全履行，将承担相应的法律责任（包括行政责任、民事责任甚至刑事责任）。

1. 安全管理制度：“制度先行” 防范合规风险

《通知》要求医疗机构 “建立电子病历信息安全管理责任制，明确主要负责人、分管负责人及相关部门的职责”，并制定 “电子病历信息收集、存储、传输、使用、销毁等各环节的安全管理制度”。从法律层面来看，健全的安全管理制度是医疗机构履行安全保障义务的前提，也是判断其是否存在过错的重要依据 —— 若医疗机构未建立相关制度，或制度未落实，导致电子病历信息泄露、篡改，即使不存在故意，也可能因 “过错推定” 而承担民事赔偿责任（《民法典》第一千一百六十五条第二款规定 “依照法律规定推定行为人有过错，其不能证明自己没有过错的，应当承担侵权责任”）。

实践中，医疗机构的安全管理制度需涵盖以下核心内容：一是权限管理，明确不同岗位人员对电子病历信息的访问权限（如医生仅能访问自己诊疗患者的电子病历，护士仅能访问护理相关记录），实行 “最小权限原则”，并定期审查权限设置，及时收回离职人员的权限；二是操作日志管理，记录所有人员访问、修改电子病历信息的操作（包括操作人、操作时间、操作内容），日志保存期限不得少于电子病历的保管期限（根据《医疗机构病历管理规定》，门急诊病历保管期限自患者最后一次就诊之日起不少于 15 年，住院病历自患者出院之日起不少于 30 年）；三是应急处置机制，制定电子病历信息泄露、篡改的应急预案，明确应急响应流程（如立即停止违规操作、排查风险点、通知受影响患者、向监管部门报告等），避免损害扩大。

2. 技术保障措施：“技术赋能” 筑牢安全防线

《通知》要求医疗机构 “采用加密、访问控制、数据备份、灾难恢复等技术措施，保障电子病历信息的完整性、保密性和可用性”。从法律层面来看，技术保障措施是落实安全管理制度的关键，也是医疗机构防范电子病历信息安全风险的 “技术防线”，若技术措施不到位，导致电子病历信息泄露、篡改，医疗机构需承担相应责任。

具体而言，医疗机构需落实以下技术措施：一是加密技术，对电子病历信息的存储和传输进行加密（如采用对称加密或非对称加密技术），确保即使信息被窃取，也无法被非法解密；二是访问控制技术，采用身份认证（如用户名密码、USBKey、人脸识别等）、权限验证等方式，防止未授权人员访问电子病历信息；三是数据备份与灾难恢复技术，定期对电子病历信息进行备份（包括本地备份和异地备份），并建立灾难恢复系统，确保在系统故障、自然灾害等情况下，电子病历信息不丢失、可恢复；四是防篡改技术，采用区块链、时间戳等技术，对电子病历信息的生成、修改进行全程留痕，确保信息的完整性，防止被非法篡改（这一点尤为重要，因为电子病历作为医疗纠纷中的关键证据，其完整性直接影响证据效力，若存在篡改痕迹，可能导致医疗机构在诉讼中败诉）。

3. 人员管理：“人岗匹配” 防范内部风险

《通知》强调医疗机构需 “加强对医务人员及其他相关人员的培训和管理，提高其电子病历信息安全意识和操作规范水平”，并 “建立人员考核与问责机制，对违反电子病历信息安全管理规定的人员依法依规处理”。从实践来看，电子病历信息泄露、篡改的风险不仅来自外部攻击，还可能来自内部人员的违规操作（如医务人员将账号借给他人使用、擅自复制电子病历信息用于非诊疗活动等），因此人员管理是安全保障义务的重要环节。

从法律视角来看，医疗机构对内部人员的管理义务包括：一是培训义务，定期组织医务人员学习《通知》及相关法律法规，讲解电子病历信息安全管理的操作规范和法律风险，确保其知晓自身职责；二是监督义务，通过操作日志审查、不定期抽查等方式，监督医务人员的操作行为，及时发现并纠正违规操作；三是问责义务，对于违反安全管理规定的人员，根据情节轻重采取警告、罚款、调离岗位等措施，若其行为造成电子病历信息泄露、篡改，导致患者损失，医疗机构在承担赔偿责任后，可向该人员追偿（《民法典》第一千一百九十一条第一款规定 “用人单位的工作人员因执行工作任务造成他人损害的，由用人单位承担侵权责任。用人单位承担侵权责任后，可以向有故意或者重大过失的工作人员追偿”）。