要闻资讯

《通知》不仅规定了医疗机构的义务，也明确了患者对电子病历信息享有的权利，包括 “查阅、复制、更正、删除” 等，这是对《民法典》《个人信息保护法》中患者权益的细化，为患者权利主张提供了具体路径。

1. 查阅、复制权：“知情权” 的核心体现

《通知》要求医疗机构 “为患者查阅、复制电子病历信息提供便利，不得拒绝或拖延”，并明确 “患者可通过电子病历系统自助查询、打印，或向医疗机构申请纸质复制件，医疗机构应在规定时限内提供”。从法律层面来看，查阅、复制权是患者 “知情权” 的核心体现，也是患者维护自身权益的基础 —— 通过查阅、复制电子病历信息，患者可了解自身的诊疗过程，发现医疗机构是否存在诊疗过错，为后续的医疗纠纷处理（如协商、调解、诉讼）提供证据。

需要注意的是，医疗机构在履行查阅、复制义务时，需遵循以下要求：一是时限要求，根据《医疗机构病历管理规定》，医疗机构应在患者提出申请后 15 个工作日内提供查阅、复制服务，若因特殊情况（如电子病历信息未完成归档）需延长，需向患者说明理由并约定时限；二是形式要求，患者可选择电子形式（如 PDF 文件、U 盘拷贝）或纸质形式的复制件，医疗机构提供的复制件需加盖医疗机构公章，确保其真实性和有效性；三是费用要求，医疗机构仅可收取必要的工本费（如纸张、U 盘的费用），不得收取高额服务费，否则可能构成 “乱收费”，面临行政监管部门的处罚。

2. 更正、删除权：“信息准确性” 的保障

《通知》明确规定 “患者认为电子病历信息存在错误或不完整的，有权向医疗机构申请更正；对于与诊疗活动无关的、非法收集的电子病历信息，患者有权申请删除”，医疗机构 “应在收到申请后及时核查，确有错误或应当删除的，应在规定时限内更正或删除，并告知患者”。这一规定与《个人信息保护法》第四十六条（更正权）、第四十七条（删除权）相衔接，为患者维护电子病历信息的准确性和合法性提供了依据。

从法律实践来看，患者行使更正、删除权需满足以下条件：一是主体适格，申请人需为患者本人或其监护人（若患者为无民事行为能力人或限制民事行为能力人）；二是理由充分，申请更正需提供证据证明电子病历信息存在错误（如提供其他医疗机构的诊断证明，证明当前电子病历中的诊断有误），申请删除需证明信息与诊疗活动无关或属于非法收集（如医疗机构收集的患者无关的个人隐私信息）；三是程序合规，患者需以书面或电子形式向医疗机构提交申请，说明申请事项、理由及依据，医疗机构需在收到申请后 10 个工作日内进行核查，并将核查结果及处理意见告知患者，若医疗机构拒绝更正或删除，需说明理由，患者对处理结果不服的，可向卫生行政部门投诉或提起诉讼。

3. 权利救济：“多元化途径” 保障权益实现

《通知》还明确了患者权利受损时的救济途径，包括 “向医疗机构投诉、向卫生行政部门举报、申请调解、提起诉讼” 等，形成了多元化的权利救济体系。从法律视角来看，不同的救济途径具有不同的特点和适用场景，患者可根据自身情况选择：

（1）向医疗机构投诉：这是最直接、便捷的救济方式，患者可向医疗机构的医务处、投诉管理部门提交投诉申请，要求医疗机构解决问题（如更正电子病历信息、赔偿损失等），医疗机构需在规定时限内（通常为 7-15 个工作日）处理并反馈；

（2）向卫生行政部门举报：若医疗机构拒绝履行义务（如拒绝患者查阅、复制电子病历信息）或存在违规使用电子病历信息的行为，患者可向当地卫生健康委员会等行政部门举报，行政部门将依法对医疗机构进行调查，若查实存在违法行为，将责令医疗机构改正，并给予行政处罚（如警告、罚款、吊销执业许可证等）；

（3）申请调解：患者可向医疗纠纷人民调解委员会申请调解，由调解组织居中协调双方达成协议。

作为专业医疗律师，我们建议医疗机构立即采取以下行动，将合规要求转化为实际操作：

1、医院立即开展合规差距评估：

医院专门岗位对照《通知》《个人信息保护法》等，全面审视现有电子病历系统的权限设置、告知同意流程、数据对外提供流程、日志审计功能等是否存在漏洞。

2、医院应立即展开修订与完善知情同意文书专项工作

医院应重新设计分层式、场景化的授权同意书。将诊疗所必需的信息处理与其他目的（科研、管理、向第三方提供）分开，供患者逐项选择。

在信息系统界面嵌入强制弹出式告知，确保在关键操作前获得有效同意。

3、医院应立即构建全方位管理制度体系。

医院应制定《电子病历信息使用管理办法》《数据分类分级管理制度》《数据安全事件应急预案》等核心医院管理制度。

医院建立或完善内部申请-审批流程，对非诊疗目的的内部批量数据使用，实行部门申请、伦理委员会（或法务/信息部门）审核、主管领导批准的多级管控措施。

4、医院应强化技术支持和保障措施

医院应加强与IT供应商合作，提升系统安全能力，确保访问控制、数据加密、操作留痕、匿名化处理等技术措施到位，部署数据库审计系统，实时监控和预警异常数据访问行为（如非工作时间访问、批量下载）。

5、医院应常态化组织全员培训与考核

对全体医务人员、行政人员、实习生、外包人员等进行强制性的数据安全与隐私保护培训，并通过案例教学强调违规的法律后果。培训考核记录必须存档。

6、医院应做好应急响应准备

医院应建立清晰的数据泄露应急响应团队和流程，确保在发生安全事件时能迅速止损、履行通知报告义务（向主管部门和受影响患者），并配合调查。

患者应充分认识到电子病历信息的重要性，仔细阅读授权文件，积极行使自己的知情、同意、查阅、复制、更正、撤回同意和删除（在法定条件下）的权利，尤为重要的提示患者重视对病历记录提出及时更正的权利。

患者若发现信息被滥用，可向卫生健康行政部门投诉举报，或寻求法律救济。

在大数据时代，第三方（包括但不限于医药企业、科研机构等数据接收方）在使用接收数据时，必须意识到数据来源的合规性至关重要。在与医疗机构合作时，应审查其授权链条的完整性，签订严密的数据处理协议，自身也要建立合规的数据使用和保护体系。

《通知》的发布，标志着电子病历信息的使用进入了 “强监管、细规则、严责任” 的新阶段。它对于医疗机构而言，既是一道紧箍咒，也是一副安全盾。医院提前布局、主动合规的机构，不仅能规避巨大的法律风险，更能赢得患者信任，并在未来的数据驱动型医疗竞争中占据先机。反之，漠视合规者，必将面临前所未有的法律与声誉风险。

律师建议，医疗机构应尽快将法律要求内化为治理能力，将数据安全与隐私保护提升到战略高度，从而实现可持续的健康发展。

（完）