文/鄧明攀 劉春林

本文圍繞公立醫(yī)院高質(zhì)量發(fā)展背景下，醫(yī)院信息化建設(shè)風(fēng)險(xiǎn)及應(yīng)對(duì)進(jìn)行探討，結(jié)合業(yè)務(wù)場(chǎng)景就醫(yī)院對(duì)外合作中的風(fēng)險(xiǎn)點(diǎn)進(jìn)行提示，并提出應(yīng)對(duì)建議。

為鞏固深化醫(yī)改成果，國(guó)務(wù)院辦公廳于2021年5月14日發(fā)布了《關(guān)于推動(dòng)公立醫(yī)院高質(zhì)量發(fā)展的意見》；隨后，國(guó)家衛(wèi)生健康委、國(guó)家中醫(yī)藥管理局發(fā)布了《關(guān)于印發(fā)公立醫(yī)院高質(zhì)量發(fā)展促進(jìn)行動(dòng)（2021—2025年）的通知》；國(guó)家醫(yī)改領(lǐng)導(dǎo)小組秘書處也于2022年2月9日發(fā)布了《關(guān)于抓好推動(dòng)公立醫(yī)院高質(zhì)量發(fā)展意見落實(shí)的通知》。足見國(guó)家對(duì)公立醫(yī)院高質(zhì)量發(fā)展的重視，而實(shí)現(xiàn)公立醫(yī)院高質(zhì)量發(fā)展的行動(dòng)內(nèi)容非常豐富，涉及信息化建設(shè)、臨床重點(diǎn)?？迫?、人才隊(duì)伍、智慧醫(yī)院、醫(yī)療服務(wù)模式、醫(yī)學(xué)技術(shù)、運(yùn)營(yíng)管理，兼顧技術(shù)和管理考量。

而公立醫(yī)院高質(zhì)量發(fā)展促進(jìn)行動(dòng)中有提及“加強(qiáng)醫(yī)療信息化建設(shè)”“以信息化為支撐”等內(nèi)容，實(shí)踐中，以互聯(lián)網(wǎng)+醫(yī)療時(shí)代，智慧醫(yī)院、遠(yuǎn)程醫(yī)療、區(qū)塊鏈、人工智能、大數(shù)據(jù)、5G、云計(jì)算、物聯(lián)網(wǎng)、元宇宙等為代表的新一代信息技術(shù)在醫(yī)療領(lǐng)域融合應(yīng)用，那么，如何應(yīng)對(duì)信息化建設(shè)中，特別是《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律施行以來公立醫(yī)院對(duì)外合作中的信息安全風(fēng)險(xiǎn)，對(duì)公立醫(yī)院實(shí)現(xiàn)高質(zhì)量發(fā)展提出挑戰(zhàn)。鑒于此，筆者擬圍繞公立醫(yī)院高質(zhì)量發(fā)展背景下，醫(yī)院信息化建設(shè)風(fēng)險(xiǎn)和應(yīng)對(duì)進(jìn)行探討，結(jié)合業(yè)務(wù)場(chǎng)景就醫(yī)院對(duì)外合作中的風(fēng)險(xiǎn)點(diǎn)進(jìn)行提示，并提出應(yīng)對(duì)建議。

醫(yī)院對(duì)外合作中的法律風(fēng)險(xiǎn)

2021年11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》正式實(shí)施，其第28條明確規(guī)定，“生物識(shí)別”和“醫(yī)療健康”等信息適用個(gè)人敏感信息處理規(guī)則。而醫(yī)療機(jī)構(gòu)因診療活動(dòng)采集、存儲(chǔ)了大量的醫(yī)療健康信息，形成信息池或數(shù)據(jù)池，在加強(qiáng)信息化建設(shè)過程中，容易忽視數(shù)據(jù)安全和信息安全。同時(shí)，公立醫(yī)院信息化建設(shè)面臨最大的風(fēng)險(xiǎn)便是安全管理，而公立醫(yī)院對(duì)外合作場(chǎng)域便是信息安全管理高風(fēng)險(xiǎn)地帶。本文將醫(yī)療機(jī)構(gòu)對(duì)外合作中的業(yè)務(wù)場(chǎng)景，按合作主體和合作項(xiàng)目進(jìn)行了分類。

醫(yī)療機(jī)構(gòu)之間

公立醫(yī)院高質(zhì)量發(fā)展是深化醫(yī)改舉措之一，而深化醫(yī)改舉措并不限于此，包括醫(yī)聯(lián)體、遠(yuǎn)程會(huì)診、檢查檢驗(yàn)結(jié)果互認(rèn)、分級(jí)診療、現(xiàn)代醫(yī)院管理和公立醫(yī)院績(jī)效考核等政策措施。

一是醫(yī)療聯(lián)合體。為構(gòu)建優(yōu)質(zhì)高效醫(yī)療衛(wèi)生服務(wù)體系，推動(dòng)優(yōu)質(zhì)醫(yī)療資源下沉，發(fā)揮城市醫(yī)聯(lián)體和縣域醫(yī)共體的作用，加強(qiáng)公立醫(yī)院醫(yī)療能力建設(shè)，其中，患者在醫(yī)聯(lián)體內(nèi)的健康信息的互聯(lián)互通成為發(fā)揮這一作用不可缺少的一環(huán)，患者健康信息上下級(jí)醫(yī)院轉(zhuǎn)移，甚至在信息技術(shù)支撐下，建立信息共享通道。此時(shí)，在沒有取得患者同意的情況下，醫(yī)療機(jī)構(gòu)之間可根據(jù)診療需求，查閱患者在醫(yī)聯(lián)體內(nèi)不同機(jī)構(gòu)的就診信息，增加治療方案的全面性和有效性，但除了診療服務(wù)外，科研項(xiàng)目也可能使用患者健康信息，同時(shí)，也存在過度使用風(fēng)險(xiǎn)。

二是遠(yuǎn)程會(huì)診。遠(yuǎn)程會(huì)診涉及兩家醫(yī)療機(jī)構(gòu)，同時(shí)可能依賴第三方信息科技，遠(yuǎn)程會(huì)診將獲取患者的面部信息和健康信息，經(jīng)患者申請(qǐng)或同意，遠(yuǎn)程會(huì)診醫(yī)療機(jī)構(gòu)可依法收集，并提供診療方案，但收集后的存儲(chǔ)、使用和傳輸?shù)葎t存在風(fēng)險(xiǎn)，如涉及國(guó)際會(huì)診，則還可能面臨個(gè)人信息出境的問題。因此，在協(xié)議里要就信息處理義務(wù)是否進(jìn)行約定，涉及跨境傳輸?shù)模欠穹闲畔鬏斠?，是否脫密處理，提供范圍和?shù)量是否有限，是否盡到安全評(píng)估義務(wù)，是否向患者履行告知義務(wù)。

三是檢查檢驗(yàn)結(jié)果互認(rèn)。本項(xiàng)工作適用于各級(jí)醫(yī)療機(jī)構(gòu)，特別是醫(yī)聯(lián)體內(nèi)數(shù)據(jù)信息的互聯(lián)互通，患者享有個(gè)人信息攜帶權(quán)，可否帶走檢查檢驗(yàn)數(shù)據(jù)，如何通過信息化建設(shè)，保證醫(yī)聯(lián)體內(nèi)結(jié)果互認(rèn)，是否對(duì)查詢主體進(jìn)行授權(quán)管理，是否需要征得患者同意，是檢查檢驗(yàn)結(jié)果互認(rèn)工作順利開展不可忽視的重要環(huán)節(jié)。

第三方信息處理主體

醫(yī)療機(jī)構(gòu)的主要業(yè)務(wù)是提供診療服務(wù)，而信息化建設(shè)不可避免地需要信息技術(shù)作支撐，而自主研發(fā)成本遠(yuǎn)遠(yuǎn)高于購(gòu)買信息服務(wù)。實(shí)踐中，大部分醫(yī)療機(jī)構(gòu)在信息化建設(shè)過程中首選購(gòu)買軟件系統(tǒng)軟硬件以及相應(yīng)的維護(hù)服務(wù)。此時(shí)，第三方機(jī)構(gòu)是醫(yī)院患者個(gè)人信息，特別是健康信息的密切接觸者，也有可能是信息收集和存儲(chǔ)主體，如何防范患者健康信息使用或泄露風(fēng)險(xiǎn)，須引起關(guān)注。具體的適用場(chǎng)景包括以下5種。

第一種，互聯(lián)網(wǎng)醫(yī)院合作或運(yùn)營(yíng)維護(hù)商?；ヂ?lián)網(wǎng)醫(yī)院合作或運(yùn)營(yíng)維護(hù)商在合作上通過信息技術(shù)支撐達(dá)到互聯(lián)網(wǎng)醫(yī)院就診目的，提供醫(yī)療服務(wù)的可及性和高效性，而合作內(nèi)容上必然涉及大量患者個(gè)人信息或健康信息，那么，醫(yī)療機(jī)構(gòu)是否提供，依據(jù)是什么，有無法定依據(jù)，均是有待思考的問題。而且，互聯(lián)網(wǎng)醫(yī)院因合作形式不同，通常由實(shí)體醫(yī)療機(jī)構(gòu)委托第三方公司運(yùn)營(yíng)或由第三方公司獨(dú)立運(yùn)營(yíng)，故依托或獨(dú)立設(shè)置的互聯(lián)網(wǎng)醫(yī)院的合作協(xié)議在簽署時(shí)，個(gè)人信息保護(hù)責(zé)任主體有所不同。

第二種，云存儲(chǔ)機(jī)構(gòu)。傳統(tǒng)存儲(chǔ)設(shè)備已無法滿足信息增量的需求，且傳統(tǒng)介質(zhì)設(shè)備的存儲(chǔ)有限，成本高，損毀風(fēng)險(xiǎn)高。伴隨信息技術(shù)的發(fā)展，云存儲(chǔ)因其便捷、低成本、安全受到醫(yī)療機(jī)構(gòu)的青睞，但仍須考慮諸如勒索病毒的安全事件發(fā)生以及云存儲(chǔ)機(jī)構(gòu)內(nèi)部管理不當(dāng)引發(fā)的泄露風(fēng)險(xiǎn)。同時(shí)，在選擇合作商時(shí)，是否履行盡職調(diào)查，調(diào)查合作商是否具有外資背景以及服務(wù)器是否在境內(nèi)等。

第三種，檢驗(yàn)設(shè)備或院內(nèi)信息系統(tǒng)供應(yīng)商或維護(hù)商。檢驗(yàn)設(shè)備或院內(nèi)系統(tǒng)不斷收集、存儲(chǔ)患者個(gè)人信息和健康信息，部分設(shè)備還兼具人臉識(shí)別功能，在疫情防控當(dāng)前，入院體溫采集設(shè)備中，部分醫(yī)療機(jī)構(gòu)采用的設(shè)備具有采集高清人臉圖像的功能，屬于過度采集，收集信息越多，保護(hù)義務(wù)越重，無疑該行為加重了醫(yī)院的保護(hù)責(zé)任。可穿戴設(shè)備適時(shí)抓取患者的信息，傳輸至終端，預(yù)約掛號(hào)系統(tǒng)收集的個(gè)人信息，均可能存儲(chǔ)于第三方機(jī)構(gòu)，如何防范其中的個(gè)人信息泄露或不當(dāng)處理風(fēng)險(xiǎn)，仍需警惕。

第四種，自助醫(yī)療設(shè)備捐贈(zèng)商。第三方捐贈(zèng)商選擇在醫(yī)療機(jī)構(gòu)放置符合患者診療需求的醫(yī)療設(shè)備，這些設(shè)備免費(fèi)提供醫(yī)院使用，但將收集患者個(gè)人信息，如患者的基本信息、既往病史等信息，雖然系捐贈(zèng)行為，但收集患者個(gè)人信息的行為屬于醫(yī)院的行為還是捐贈(zèng)商的行為，其中涉及的法律風(fēng)險(xiǎn)，醫(yī)療機(jī)構(gòu)是否已予以關(guān)注。與此類似的是基金會(huì)項(xiàng)目，部分合作項(xiàng)目通過基金會(huì)與醫(yī)院達(dá)成合作，合作必然涉及患者個(gè)人信息提供和使用，而個(gè)人健康信息和未成年人的個(gè)人信息均屬于個(gè)人敏感信息，相關(guān)風(fēng)險(xiǎn)是否清楚，是否采取配套的防范措施，有待進(jìn)一步思考。

第五種，病歷微縮、保管和委托郵寄服務(wù)商。病歷是醫(yī)療機(jī)構(gòu)診療活動(dòng)符合診療規(guī)范的重要證據(jù)，而病歷涉及患者的基本信息和健康信息，法律及配套規(guī)范均規(guī)定醫(yī)院妥善保管病歷的義務(wù)和責(zé)任。同時(shí)，醫(yī)療機(jī)構(gòu)在信息化建設(shè)過程中，基于成本和存儲(chǔ)考慮，通常會(huì)選擇委托第三方機(jī)構(gòu)縮微或存儲(chǔ)保管，在此過程中，因第三方工作人員的文化水平和法治意識(shí)普遍不高，未做分區(qū)管理，可能引發(fā)病歷損毀或泄露風(fēng)險(xiǎn)。

而保管亦是如此，是否進(jìn)行現(xiàn)場(chǎng)查看、合同義務(wù)和責(zé)任約定是否完善、合同到期如何處理等問題是否有所考慮。病歷原件存儲(chǔ)在第三方，涉訴后，因舉證責(zé)任，第三方是否可以滿足醫(yī)療機(jī)構(gòu)臨時(shí)調(diào)取原件的需求，如病歷遺失，導(dǎo)致醫(yī)院承擔(dān)舉證不能的法律后果，該責(zé)任是否在合作協(xié)議中明確約定。

病歷委托郵寄，是否取得患者同意，如地址寫錯(cuò)或非患者本人提供，可能導(dǎo)致患者健康信息泄露的風(fēng)險(xiǎn)。

與患者相關(guān)的其他第三方主體

前述兩類主體均與患者相關(guān)，但偏向于醫(yī)療服務(wù)活動(dòng)和醫(yī)療信息技術(shù)支撐，而第三類主體則主要輔助醫(yī)療機(jī)構(gòu)提供更加優(yōu)質(zhì)的醫(yī)療服務(wù)，以及與患者切身利益相關(guān)的其他活動(dòng)。此外，便是第三方主體基于勞動(dòng)人事管理或保險(xiǎn)合同獲取員工和被保險(xiǎn)人的健康信息，以便于人資管理和完成保險(xiǎn)理賠審查工作。

一是回訪服務(wù)商?；颊邼M意度調(diào)查已納入公立醫(yī)院高質(zhì)量范疇，而為了完成該項(xiàng)工作，醫(yī)院基于成本考慮，委托第三方完成患者滿意度調(diào)查和回訪工作成為優(yōu)先選擇。第三方便基于該項(xiàng)委托服務(wù)收集了患者個(gè)人信息和健康信息，是否有合法依據(jù)，且醫(yī)院可能面臨的信息泄露和不當(dāng)處理風(fēng)險(xiǎn)。

二是職業(yè)心理評(píng)估服務(wù)商。近年來，社會(huì)因抑郁自殺的案件偶見報(bào)端，特別是學(xué)生和醫(yī)務(wù)工作者，而公立醫(yī)院這些科室如精神病科、兒科以及相關(guān)的?？漆t(yī)院，在委托第三方職業(yè)心理評(píng)估時(shí)，將獲取患者及員工的個(gè)人敏感信息，收集其個(gè)人信息是否符合《個(gè)人信息保護(hù)法》相關(guān)規(guī)定，同時(shí)，是否履行相應(yīng)的保護(hù)義務(wù)，有無相應(yīng)的防范措施和不當(dāng)處理的責(zé)任約定。

三是商業(yè)保險(xiǎn)公司。保險(xiǎn)公司因患者保險(xiǎn)理賠申請(qǐng)，基于理賠審查職責(zé)，可能向醫(yī)院提出查閱、復(fù)制患者病歷的申請(qǐng)，而患者病歷涉及患者個(gè)人信息，除了按病歷管理規(guī)定，還須審查保險(xiǎn)條款和授權(quán)委托書范圍，不能僅憑申請(qǐng)便提供相應(yīng)的信息，有條件的，可向患者本人核實(shí)，防范信息泄露和道德倫理風(fēng)險(xiǎn)。

四是殯葬合作公司。實(shí)踐中，患者死亡出現(xiàn)兩家殯葬服務(wù)機(jī)構(gòu)，這是有損醫(yī)院形象和社會(huì)評(píng)價(jià)的，究其原因在于患者信息泄露和內(nèi)部管理混亂問題。

五是委托第三方檢查檢驗(yàn)。隨著疫情防控常態(tài)化，核酸檢測(cè)如血常規(guī)一般成為必要檢查項(xiàng)目。實(shí)踐中，委托第三方檢測(cè)項(xiàng)目并不限于核酸這類檢測(cè)項(xiàng)目，部分醫(yī)療機(jī)構(gòu)因無法完成部分檢測(cè)項(xiàng)目，包括病理、影像或基因檢測(cè)等，則可能委托第三方檢驗(yàn)，這其中涉及患者個(gè)人信息，是否告知患者，收集、存儲(chǔ)、傳輸、使用是否符合《個(gè)人信息保護(hù)法》相關(guān)規(guī)定。

六是用人單位定點(diǎn)醫(yī)療機(jī)構(gòu)。如工傷、職業(yè)病健康檢查以及體檢等事項(xiàng)，因涉及患者個(gè)人信息，檢查結(jié)果可否直接提供給用人單位，其合同依據(jù)是什么，員工體檢信息整體發(fā)給委托單位，是否有合規(guī)邊界。

七是藥物、醫(yī)療器械臨床試驗(yàn)申辦方。藥物或醫(yī)療器械臨床試驗(yàn)收集的信息便是受試者（患者）的個(gè)人信息，是否需要取得患者單獨(dú)同意，做好個(gè)人信息保護(hù)，同時(shí)，防范信息跨境傳輸風(fēng)險(xiǎn)。

法律風(fēng)險(xiǎn)原因分析

從上述場(chǎng)景適用存在的風(fēng)險(xiǎn)看，主要是患者個(gè)人信息處理各個(gè)環(huán)節(jié)中的不當(dāng)行為，引發(fā)的信息泄露或不當(dāng)處理風(fēng)險(xiǎn)，究其原因，在于信息化建設(shè)過程中，更為重視技術(shù)，而忽視了管理，即信息技術(shù)應(yīng)用中的合規(guī)風(fēng)險(xiǎn)。具體表現(xiàn)為安全管理意識(shí)不足和對(duì)個(gè)人信息泄露責(zé)任較重認(rèn)識(shí)不足。

首先是信息化建設(shè)合規(guī)意識(shí)不足。公立醫(yī)院高質(zhì)量發(fā)展強(qiáng)調(diào)了信息化建設(shè)的作用，并成為醫(yī)院等級(jí)評(píng)審、區(qū)域醫(yī)學(xué)中心、現(xiàn)代醫(yī)院管理、醫(yī)聯(lián)體建設(shè)等項(xiàng)目的評(píng)價(jià)依據(jù)，故刺激了醫(yī)院在信息化建設(shè)中的投入，軟硬件投入均作相應(yīng)的增加，但忽視了合規(guī)管理，包括事前預(yù)防和事中控制。事前預(yù)防，信息系統(tǒng)和服務(wù)采購(gòu)項(xiàng)目是否符合政府采購(gòu)相關(guān)規(guī)定，供應(yīng)商或合作方資質(zhì)是否合法，是否有相關(guān)業(yè)績(jī)，是否具備信息安全的能力和條件，包括日常防范工作和應(yīng)急處理方案等，協(xié)議是否約定完整，是否具有明確主體，避免爭(zhēng)議發(fā)生后無法適用合同條款解決爭(zhēng)議。事中控制，包括信息安全維護(hù)，是否定期提交維護(hù)報(bào)告，是否存在合同之外的不當(dāng)處理，如信息交易、傳輸或公開等行為。

其次是個(gè)人信息泄露責(zé)任較重?！秱€(gè)人信息保護(hù)法》于2021年11月1日正式施行以來，有關(guān)個(gè)人信息保護(hù)的訴訟糾紛在司法實(shí)踐中已發(fā)生，包括醫(yī)療機(jī)構(gòu)。根據(jù)《個(gè)人信息保護(hù)法》第66條規(guī)定，違反本法規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，給予警告，沒收違法所得，對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處100萬元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬元以上10萬元以下罰款。有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處5000萬元以下或者上一年度營(yíng)業(yè)額5%以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處10萬元以上100萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。

從上述規(guī)定可知，個(gè)人信息處理不當(dāng)所面臨行政處罰有警告、沒收違法所得、罰款和暫停營(yíng)業(yè)、吊銷執(zhí)照，同時(shí)，實(shí)行雙罰制，包括機(jī)構(gòu)和責(zé)任人，責(zé)任人還將面臨罰款和限制從業(yè)。

應(yīng)對(duì)建議

公立醫(yī)院高質(zhì)量發(fā)展促進(jìn)行動(dòng)要求醫(yī)院加快推進(jìn)信息化建設(shè)進(jìn)程，而醫(yī)院信息化建設(shè)不僅包括提高自身信息化建設(shè)水平，同時(shí)，還須發(fā)揮自己在地區(qū)醫(yī)聯(lián)體牽頭或龍頭作用，且均須加強(qiáng)與第三方的合作。然而，醫(yī)療機(jī)構(gòu)對(duì)外合作中便涉及數(shù)據(jù)信息互聯(lián)互通問題，如何應(yīng)對(duì)合作場(chǎng)景中的風(fēng)險(xiǎn)，本文提出如下3點(diǎn)建議。

第一，轉(zhuǎn)變信息化建設(shè)理念，技術(shù)和合規(guī)管理并重。

信息化高樓不僅需要人力、技術(shù)和設(shè)備的支撐，還需要主要地基的穩(wěn)固，避免空中樓閣。作為醫(yī)院管理者，可從重視技術(shù)投入和追求信息化建設(shè)規(guī)模，向信息化成效和低風(fēng)險(xiǎn)指數(shù)轉(zhuǎn)變，即從技術(shù)偏好向兼顧技術(shù)和管理轉(zhuǎn)變。信息化建設(shè)提供的多為虛擬產(chǎn)品或服務(wù)，實(shí)效和低風(fēng)險(xiǎn)理應(yīng)成為項(xiàng)目立項(xiàng)和推進(jìn)的重要考慮因素，其落地應(yīng)符合公立醫(yī)院高質(zhì)量發(fā)展大局。

第二，梳理對(duì)外合作中的個(gè)人信息風(fēng)險(xiǎn)點(diǎn)，做好防范。

前文第一部分已就醫(yī)院對(duì)外合作中的常見場(chǎng)景風(fēng)險(xiǎn)點(diǎn)進(jìn)行了梳理，主要?dú)w為3類，醫(yī)療機(jī)構(gòu)之間、第三方信息處理主體、與患者有關(guān)的其他第三方主體，與診療活動(dòng)緊密程度有所不同，但均提及了個(gè)人信息泄露風(fēng)險(xiǎn)及相應(yīng)的責(zé)任?；诖?，醫(yī)療機(jī)構(gòu)應(yīng)加強(qiáng)事前預(yù)防和事中控制管理，并制定或完善相應(yīng)的應(yīng)急處理預(yù)案。

事前預(yù)防：一是醫(yī)療機(jī)構(gòu)自查，包括資質(zhì)和業(yè)績(jī)等自查；二是做好安全評(píng)估，涉及安全保護(hù)性措施，可向信息安全專業(yè)咨詢，購(gòu)買相應(yīng)的服務(wù)；三是建立醫(yī)院數(shù)據(jù)合規(guī)體系，可向法律專業(yè)人士咨詢，如醫(yī)院有法律顧問，可將信息化建設(shè)相關(guān)協(xié)議提交審查，完善合同條款設(shè)計(jì)，并協(xié)助建立數(shù)據(jù)合規(guī)流程及制度，如無法律顧問，可以專項(xiàng)委托行業(yè)專業(yè)律師完成，防范合作中可能面臨的法律風(fēng)險(xiǎn)。該項(xiàng)工作，也符合現(xiàn)代醫(yī)院管理合規(guī)要求。

事中控制：可對(duì)項(xiàng)目運(yùn)營(yíng)加強(qiáng)管理，提供項(xiàng)目委托運(yùn)營(yíng)季度或年度報(bào)告，加強(qiáng)數(shù)據(jù)合規(guī)審計(jì)，特別是維護(hù)環(huán)節(jié)，如患者個(gè)人信息泄露投訴，及時(shí)與第三方溝通相關(guān)情況，達(dá)成書面意見。

事后處理：及時(shí)性和有效性，其中，及時(shí)性包括發(fā)現(xiàn)及時(shí)和應(yīng)對(duì)及時(shí)，前者是醫(yī)療機(jī)構(gòu)與第三方信息互通的及時(shí)性，后者是對(duì)外處理的及時(shí)性，即危機(jī)公關(guān)，包括當(dāng)事人和社會(huì)輿情的控制。有效性則包括應(yīng)急處理方案的有效性，合作雙方應(yīng)急事件處理水平的提升，以及與當(dāng)事人妥善解決相關(guān)爭(zhēng)議的有效性和合作雙方解決爭(zhēng)議的實(shí)效性。

第三，建立健全對(duì)外合作個(gè)人信息合規(guī)體系，優(yōu)化對(duì)外合作操作流程。

在梳理院內(nèi)個(gè)人信息保護(hù)涉及的業(yè)務(wù)場(chǎng)景基礎(chǔ)上，建立健全對(duì)外個(gè)人信息合規(guī)體系，包括但不限于：一是制度建設(shè)，如患者個(gè)人信息保護(hù)領(lǐng)導(dǎo)小組，確定常設(shè)辦公室（信息科、事業(yè)發(fā)展部或?qū)ν夂献鹘涣飨嚓P(guān)部門），覆蓋業(yè)務(wù)場(chǎng)景涉及的全部科室，確定小組成員分工及職責(zé)以及工作內(nèi)容，明確不同操作權(quán)限；二是分類管理個(gè)人信息，明確不同業(yè)務(wù)場(chǎng)景對(duì)個(gè)人信息的處理范圍，確保個(gè)人信息處理目的的正當(dāng)性；三是信息化建設(shè)過程中應(yīng)增加對(duì)個(gè)人信息保護(hù)安全技術(shù)措施投入的預(yù)算，作為信息安全風(fēng)險(xiǎn)防范的重要舉措，并成為常態(tài)，確保信息安全；四是達(dá)到個(gè)人信息處理數(shù)量的，應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督，并將個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式予以公開，接受社會(huì)監(jiān)督，如涉及人事變動(dòng)，則及時(shí)更新；五是做好合規(guī)審計(jì)，委托專業(yè)的第三方做好審計(jì)工作，出具相應(yīng)的建議意見書，包括審計(jì)、法律、信息安全等事項(xiàng)；六是做好個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄，確?；颊邆€(gè)人信息處理的合規(guī)性。

第四，加強(qiáng)所涉科室員工的培訓(xùn)，妥善留存?zhèn)€人信息保護(hù)相關(guān)記錄或資料。

如信息科、病案科、設(shè)備科、臨床醫(yī)技科室、科研科等科室，應(yīng)對(duì)自職責(zé)范圍內(nèi)涉及第三方合作，特別是與患者個(gè)人信息密切相關(guān)的合作業(yè)務(wù)，則必須加強(qiáng)管理，強(qiáng)化個(gè)人信息保護(hù)相關(guān)法律規(guī)定和配套規(guī)范或標(biāo)準(zhǔn)的學(xué)習(xí)和培訓(xùn)。信息安全工作常備不懈，應(yīng)建立專項(xiàng)檔案，就院內(nèi)制度體系和業(yè)務(wù)場(chǎng)景中涉及的個(gè)人信息規(guī)范和標(biāo)準(zhǔn)培訓(xùn)、合作協(xié)議等事項(xiàng)產(chǎn)生的記錄和資料進(jìn)行妥善保管，其中，個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄至少保存達(dá)3年，但可根據(jù)項(xiàng)目周期和院內(nèi)實(shí)際，延長(zhǎng)保存期限，確保信息安全項(xiàng)目的可追溯性。

最后，通過轉(zhuǎn)變信息化建設(shè)理念，梳理醫(yī)院對(duì)外合作中的信息安全風(fēng)險(xiǎn)，結(jié)合院內(nèi)實(shí)際，建立或優(yōu)化對(duì)外合作操作流程，重視其中的環(huán)節(jié)風(fēng)險(xiǎn)，不同業(yè)務(wù)場(chǎng)景，涉及的個(gè)人信息處理范圍和要求有所不同，具體可參見筆者發(fā)表于《中國(guó)醫(yī)院院長(zhǎng)》雜志2021年第5期的《醫(yī)療機(jī)構(gòu)病案管理風(fēng)險(xiǎn)識(shí)別與防范》一文。同時(shí)，完善各個(gè)業(yè)務(wù)場(chǎng)景內(nèi)涉及患者個(gè)人信息保護(hù)的操作流程，加強(qiáng)員工對(duì)個(gè)人信息保護(hù)法律規(guī)范、信息安全規(guī)范或標(biāo)準(zhǔn)或操作指引的學(xué)習(xí)和培訓(xùn)，提高相關(guān)科室員工的應(yīng)對(duì)能力，建立健全對(duì)外合作個(gè)人信息合規(guī)體系，從而實(shí)現(xiàn)醫(yī)院精細(xì)化管理目的，增強(qiáng)醫(yī)院現(xiàn)代化管理水平，實(shí)現(xiàn)從高效管理中創(chuàng)造效益，進(jìn)而推動(dòng)醫(yī)院高質(zhì)量發(fā)展。