各省、自治区、直辖市卫生健康部门,中医药管理机构,疾病预防控制机构,以及新疆生产建设兵团相关主管部门:
依据《中华人民共和国基本医疗卫生与健康促进法》、《中华人民共和国医师法》、《医疗机构管理条例》及其细则等相关法律法规及部门规章,需进一步执行医疗安全与质量管理的核心制度、医疗机构病历管理规范、电子病历系统的功能应用及管理标准、医疗卫生机构网络安全管理措施等要求。为此,特此通知,关于进一步加强医疗机构电子病历信息使用管理工作的具体事项如下:
一、加强医疗机构内部管理
(一)需界定电子病历的适用范围。此类病历系一种记录方式,涉及医务人员在医疗服务中通过信息系统创建的文字、符号、图表、图形、数字、影像等数字化资料,具备存储、管理、传输及再现功能,涵盖门诊和住院病历。
(二)强化医疗机构责任担当。医疗机构需对本机构电子病历信息的运用和管理承担主要责任,必须依照法律法规,严格维护患者隐私权,严禁将病历资料用于非医疗、教学、研究等正当目的之外的信息泄露。医疗机构需指定负责电子病历信息使用管理的核心部门,并明晰各相关机构和人员的具体职责,综合协调医疗、科研、信息技术等相关部门履行管理职责,并指导临床部门切实承担起使用信息的主体责任。同时,医疗机构需加强纪检监察部门的监督作用,严格监管电子病历信息使用权限的滥用和信息泄露等不当行为。需将电子病历信息的规范化使用与管理纳入行政管理人员及医务人员的绩效考核体系,一旦发生违规操作或信息泄露等不良行为住院病历点评,必须依照法律法规,对相关责任部门和个体进行严肃追究。
(三)完善医疗机构的管理体系。医疗机构需对电子病历信息系统的分级管理进行优化,细化电子病历在建立、记录、修订、保存、传输等环节的工作流程,同时明确使用和管理权限的具体范围。构建电子病历信息使用的长效监管体系,以预防并迅速处理不合理查阅、使用、转发电子病历信息的情况,保障电子病历信息的合法合规使用及安全可控。建立应急处置制度,建立健全电子病历信息泄露场景的处置流程。
(四)严格执行分级管理的规定。医疗单位需依据电子病历信息的价值、敏感度、应用场合等因素,认真执行分级别和类别的访问控制及权限管理。秉持最小权限原则,依据岗位责任、角色职责、使用需求等,明确临床治疗、教学、管理等部门人员的访问权限和期限,坚决禁止未授权的病历信息查阅、复制、传播及篡改行为。一旦出现与就医诊疗相关的网络舆论事件,必须迅速对相关人员的资料进行封存,同时禁止无关人员查阅、浏览或转发相关记录。
二、规范电子病历信息使用
医疗机构需确保电子病历系统的操作记录、时间及操作者信息能够被查询和追踪。采用数字水印等技术,以实现使用过程中的信息留痕。在医疗机构共享电子病历信息时,必须建立严格的授权和审批流程,以保障信息的安全与防止篡改。医疗机构在接收来自其他单位的电子病历资料时,必须核实这些信息的合规性、完整性和安全性,同时依据内部管理规定,构建详尽的接收、保存及运用记录,确保数据流动的轨迹能够被追踪。
(三)必须保障数据安全。依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国电子签名法》等相关法律法规,医疗机构需加强数据安全管理。需构建电子病历信息安全防护体系住院病历点评,并充分利用信息化技术来监控电子病历信息的使用状况。定期进行安全评估,对于异常的访问行为或未授权的操作,能够及时发出警报,并向上级管理人员进行通报,以此有效预防和控制可能存在的安全威胁。
三、强化卫生健康行政部门监管
地方各级卫生健康行政机构,包括中医药和疾控部门在内,需强化对医疗机构在电子病历信息使用上的规范指导与监督,并定期进行监测与评估。省级卫生健康行政机构需将医疗机构电子病历信息使用规范情况纳入医院评审、医院巡查、智慧医院建设等关键工作的评估要素。同时,各办医主体单位应组织并推动相关落实工作。
国家卫生健康委办公厅 国家中医药局综合司
国家疾控局综合司
2025年6月23日
(信息公开形式:主动公开)
